Documento trapelato sul "controllo delle chat": La Germania si batterà per la privacy?
Il governo tedesco ha posto alla Commissione europea domande difficili sulla legge di sorveglianza che intende adottare.
Domande difficili da porre
La proposta di regolamento della Commissione europea sulla prevenzione e la lotta contro gli abusi sui minori è un attacco frontale ai diritti civili. Nella sua proposta di legge, la Commissione europea descrive uno dei più sofisticati apparati di sorveglianza di massa mai dispiegati al di fuori della Cina: la scansione del CSAM (materiale pedopornografico) sui dispositivi di tutti.
Il governo tedesco, tuttavia, ha concordato nel suo documento di coalizione che ogni cittadino ha il “diritto alla crittografia”, che sarebbe ovviamente compromesso se la bozza della Commissione UE diventasse legge.
In una dichiarazione interna trapelata alla Commissione UE, il governo tedesco chiede che la bozza di legge sia allineata agli “standard costituzionali per la protezione delle comunicazioni private e riservate”. La dichiarazione si schiera contro “la sorveglianza generale e le misure di scansione delle comunicazioni private”.
Secondo la fuga di notizie, il governo tedesco pone 61 domande, che in parte sono molto severe e porranno seri problemi di risposta alla Commissione UE.
Ad esempio, il governo tedesco chiede esplicitamente se il riferimento all’importanza della crittografia Ende-zu-Ende nel testo significhi anche che tale crittografia non deve essere compromessa quando si rilevano immagini di violenza sessuale. Inoltre, il governo tedesco chiede come la proposta di legge sia compatibile con alcune disposizioni del Regolamento generale sulla protezione dei dati (GDPR) o se il software possa essere costruito in modo tale da distinguere tra i bambini in situazioni non abusive (ad esempio in spiaggia) e quelli in situazioni di abuso.
Un’altra domanda importante riguarda la sicurezza di tutti i cittadini europei: Il governo tedesco chiede come la legge possa determinare se la tecnologia non venga usata in modo improprio e come possa determinare l’uso improprio.
Come risponderà la Commissione?
Nel complesso, il governo tedesco pone domande critiche che mettono in luce tutti i punti deboli della proposta di legge della Commissione europea: La sorveglianza generale di massa proposta dal disegno di legge indebolirà la sicurezza dei cittadini e delle imprese europee e minerà il diritto alla privacy.
È prevedibile che la Commissione europea sia in grado di rispondere a queste domande solo in modo insoddisfacente. L’abbondanza e la profondità dei dettagli delle domande del governo tedesco e le massicce violazioni dei diritti fondamentali da parte della legge proposta rendono quasi impossibile rispondere in modo soddisfacente per gli esperti di protezione dei dati.
Lotta per la privacy
La domanda da porsi ora è: come reagirà il governo tedesco quando riceverà le risposte non soddisfacenti? Spingerà per il “diritto alla crittografia”, come dichiarato nel documento della coalizione? Difenderà il diritto alla privacy di ogni cittadino europeo?
Sebbene le domande trapelate siano un ottimo segnale, non dobbiamo stare fermi ad aspettare gli sviluppi della situazione.
Dobbiamo invece agire subito e dire ai politici che il nostro diritto alla privacy è importante.
- **Se vivete in Germania, firmate la petizione di Campact**per contrastare il progetto della Commissione europea che porterebbe a una sorveglianza di massa senza precedenti in Europa.
- **Se vivete in Austria, firmate la petizione #aufstehn**per contrastare la bozza della Commissione europea che porterebbe a una sorveglianza di massa senza precedenti in Europa.
- **Date voce al vostro feedback**alla Commissione europea e condividete le vostre preoccupazioni su questo progetto di legge.
- **Verificate qui**come potete unirvi alla protesta e come potete chiamare e inviare e-mail ai vostri rappresentanti.
Insieme dobbiamo combattere la sorveglianza di massa!
Documento trapelato
Data: 10.06.2022 Da: Governo tedesco Documento: 206/2022
Interrogazione della Germania sulla COM Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme per prevenire e combattere gli abusi sessuali sui minori
Il GER ringrazia la COM per l’iniziativa e accoglie con favore lo sforzo della COM per prevenire e combattere gli abusi sessuali sui minori. Questo è anche un obiettivo del trattato di coalizione. La bozza di regolamento CSA è un passo importante verso la lotta agli abusi sessuali sui minori nello spazio digitale a livello europeo e verso una migliore protezione dei bambini.
Una legislazione comune che includa la valutazione del rischio, la mitigazione del rischio, la segnalazione del rischio, una chiara base giuridica e un nuovo Centro europeo può contribuire a rafforzare la prevenzione e il perseguimento degli abusi sessuali su minori in tutta l’UE, riconoscendo al contempo le strutture esistenti dei servizi di segnalazione dei contenuti.
La riservatezza delle comunicazioni è un bene importante nelle nostre società liberali che deve essere protetto. In base alla Carta dei diritti fondamentali, ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Tutte le misure di regolamentazione devono essere proporzionate, non devono andare oltre quanto necessario per prevenire gli abusi sessuali sui minori nello spazio digitale e devono bilanciare efficacemente gli interessi contrastanti della protezione dei minori dagli abusi da un lato e della tutela della privacy dall’altro.
GER contribuirà a trovare modalità chiare, appropriate e permanenti per misure che aiutino a rafforzare la prevenzione e il perseguimento degli abusi sessuali sui minori in tutta l’UE. Secondo il trattato di coalizione dei GER, la segretezza delle comunicazioni, un alto livello di protezione dei dati, un alto livello di sicurezza informatica e la crittografia universale Ende-zu-Ende sono essenziali per i GER. Il trattato di coalizione dei GER si oppone alle misure di monitoraggio generale e alle misure di scansione delle comunicazioni private. GER sta esaminando la bozza di proposta alla luce del trattato di coalizione. Per GER è importante che la normativa che combatte e previene la diffusione di materiale pedopornografico sia in linea con i nostri standard costituzionali di protezione delle comunicazioni private e riservate.
Per quanto riguarda l’istituzione di un Centro dell’UE, la strategia dell’UE aveva in mente un approccio piuttosto completo che riguardava la prevenzione sia online che offline. L’attuale proposta sembra sostenere principalmente le attività di contrasto, senza avere un mandato esplicito per le misure di prevenzione offline. Dal nostro punto di vista, il Centro dell’UE dovrebbe essere anche un centro per le misure di sensibilizzazione e il sostegno alle reti (comprese le reti di sopravvissuti ad abusi sessuali su minori). Siamo convinti che il Centro UE debba concentrarsi in particolare sulla prevenzione del CSA online. Tuttavia, nell’ambito delle sue competenze, dovrebbe concentrarsi anche sulla CSA offline, quando i reati online sono associati alla violenza offline. Inoltre, GER consiglia di implementare una struttura paritaria di partecipazione attiva delle persone colpite da CSA fin dall’inizio nella progettazione del Centro UE. Il Centro dell’UE mira a fornire sostegno alle persone colpite da CSA. Tuttavia, l’attuale proposta non fornisce informazioni sulla partecipazione delle persone colpite da CSA al Centro UE.
Nonostante questi commenti sostanziali, stiamo ancora esaminando l’attuale proposta di istituire il Centro UE come agenzia indipendente.
La nostra riserva d’esame include anche, ma non solo, la struttura organizzativa del nuovo Centro europeo, l’articolo 4 e, in generale, il bilanciamento tra i diritti fondamentali, in particolare per quanto riguarda la riservatezza delle comunicazioni e la crittografia Ende-zu-Ende.
Il GER sarebbe molto favorevole alla possibilità di organizzare workshop tecnici di esperti accanto alla LEWP. I workshop tecnici darebbero agli SM l’opportunità di conoscere meglio le tecnologie in gioco per quanto riguarda gli ordini di rilevamento e contribuirebbero a migliorare la comprensione comune all’interno degli SM.
Stiamo esaminando intensamente la bozza di regolamento e la commenteremo ulteriormente. A questo punto GER ha numerose domande. Desideriamo ringraziare la Presidenza e la COM per l’opportunità di trasmettere le nostre domande e osservazioni iniziali.
GER chiede gentilmente chiarimenti in merito alle seguenti domande. A questo punto la priorità di GER è rappresentata dalle seguenti domande:
- In che modo il CSA dell’UE sostiene la prevenzione degli abusi sessuali sui minori offline? Oltre al diritto all’informazione e alla cancellazione di CSAM, quali misure di sostegno sono previste per le vittime e i sopravvissuti di abusi sessuali su minori?
- Può la Commissione fornire esempi di possibili misure di mitigazione per quanto riguarda la diffusione di CSAM e il grooming, che siano adatte a prevenire un ordine di individuazione?
- La Commissione potrebbe spiegare come deve essere concepita la verifica dell’età da parte dei provider e degli App Store? Che tipo di informazioni deve fornire l’utente? Per quanto riguarda l’adescamento, la vostra proposta mira specificamente alla comunicazione con un utente minorenne. L’identificazione di un utente minorenne deve avvenire solo attraverso la verifica dell’età? Se è stato rilevato un rischio, i provider saranno obbligati a impiantare la registrazione dell’utente e la verifica dell’età? Ci sarà anche una verifica per identificare gli utenti adulti che utilizzano in modo improprio le app progettate per i bambini?
- La Commissione condivide l’opinione secondo cui il considerando 26, che indica che l’uso della tecnologia di crittografia Ende-zu-Ende è uno strumento importante per garantire la sicurezza e la riservatezza delle comunicazioni degli utenti, significa che le tecnologie utilizzate per individuare gli abusi sui minori non devono compromettere la crittografia Ende-zu-Ende?
- La Commissione potrebbe descrivere in dettaglio le tecnologie che non infrangono la crittografia Ende-zu-Ende, proteggono le apparecchiature terminali e sono comunque in grado di rilevare il CSAM? Esistono limiti tecnici o giuridici (esistenti o futuri) per l’utilizzo di tecnologie in grado di rilevare abusi sessuali su minori online?
- Che tipo di misure (tecnologiche) la COM ritiene necessarie per i fornitori di servizi di hosting e di comunicazione interpersonale nel corso della valutazione del rischio? In particolare, come può un fornitore condurre una valutazione del rischio senza applicare le tecnologie di cui agli articoli 7 e 10? Come possono questi fornitori adempiere all’obbligo se il loro servizio è crittografato Ende-zu-Ende?
- Quanto sono mature le tecnologie all’avanguardia per evitare i falsi positivi? Quale percentuale di falsi positivi si può prevedere quando si utilizzano le tecnologie per rilevare il grooming? Al fine di ridurre i falsi positivi, la COM ritiene necessario stabilire che i risultati positivi siano resi noti solo se il metodo soddisfa determinati parametri (ad esempio, una probabilità di successo del 99,9% che il contenuto in questione sia appropriato)?
- La proposta stabilisce una base giuridica per il trattamento dei dati personali dei fornitori nel contesto di un ordine di rilevamento ai sensi dell’articolo 6 del GDPR? La proposta stabilisce una base giuridica per il trattamento dei dati personali per il Centro UE nel contesto di un ordine di rilevamento ai sensi del regolamento 2018/1725?
Inoltre, vorremmo già sollevare le seguenti domande:
Valutazione e riduzione del rischio:
-
La COM può fornire dettagli sui “campioni di dati” rilevanti e sulla portata pratica degli obblighi di valutazione del rischio? In particolare, distinguendo tra fornitori di servizi di hosting e fornitori di servizi di comunicazione interpersonale.
-
La COM può confermare che la ricerca volontaria di CSAM da parte dei fornitori rimane (legalmente) possibile? È prevista l’estensione del regolamento provvisorio che consente ai fornitori di cercare CSAM?
-
All’art. 3 par. 2 (e) ii la proposta descrive caratteristiche tipiche delle piattaforme di social media. La COM può descrivere gli scenari in cui per tali piattaforme l’analisi del rischio non dà un risultato positivo?
Per quanto riguarda gli ordini di rilevamento:
-
Il considerando 23 afferma che gli ordini di rilevamento dovrebbero - se possibile - essere limitati a una parte identificabile del servizio, ad esempio a utenti o gruppi di utenti specifici. La COM potrebbe chiarire come devono essere identificati specifici utenti/gruppi di utenti e in quali scenari un ordine di rilevamento dovrebbe essere emesso solo nei confronti di uno specifico utente/gruppo di utenti?
-
I requisiti di cui all’articolo 7, paragrafi 5, 6 e 7, devono essere intesi in modo cumulativo?
-
La COM può chiarire il concetto di “prove di un rischio significativo”? È sufficiente che ci siano più utenti minori sulle piattaforme e che questi comunichino nella misura descritta all’articolo 3?
-
In che modo l’ordine di rilevamento specifica le misure tecniche richieste al fornitore?
-
La COM può chiarire i requisiti dei paragrafi 5b, 6a e 7b - quale standard di revisione viene applicato? Come può essere misurata la probabilità di cui all’art. 7, par. 7 (b)? 7, paragrafo 7, lettera b)? Si applica il principio in dubio pro reo a favore del servizio di hosting?
-
Come vengono valutate le ragioni per l’emissione dell’ordine di identificazione rispetto ai diritti e agli interessi legittimi di tutte le parti interessate ai sensi dell’articolo 7, paragrafo 4, lettera b)? Si basa su una misura concreta o astratta?
-
La COM ha già ricevuto un feedback da parte dei fornitori, in particolare per quanto riguarda l’articolo 7? In caso affermativo, potete elaborare il feedback generale?
-
In che modo l’ordine di identificazione specifica concretamente la misura richiesta al fornitore? Cosa consegue a questo proposito dall’articolo 7, paragrafo 8 (“è mirato e specifica [l’ordine di individuazione]”), cosa dall’articolo 10, paragrafo 2 (“Il fornitore non è tenuto a utilizzare alcuna tecnologia specifica”)?
-
A pagina 10 della proposta si legge: “L’obbligo di rilevare gli abusi sessuali su minori online è preferibile alla dipendenza da azioni volontarie da parte dei fornitori, non solo perché tali azioni si sono finora dimostrate insufficienti per combattere efficacemente gli abusi sessuali su minori online (…)“. Quali sono le prove che dimostrano l’insufficienza di queste opzioni volontarie?
-
In che modo la proposta di regolamento si collega ai diritti degli interessati ai sensi degli artt. 12 e seguenti del GDPR, in particolare l’articolo 22 del GDPR?
-
Per quanto riguarda i compiti delle autorità di controllo della protezione dei dati ai sensi del GDPR e di altri atti europei esistenti o attualmente negoziati (come il DSA), come si può ottenere un controllo efficace degli ordini di identificazione?
-
L’espressione “tutte le parti interessate” di cui all’art. 9 comprende anche gli utenti che hanno diffuso i CS. 9 include gli utenti che hanno diffuso CSAM o adescato minori ma che sono stati comunque controllati?
Le tecnologie
-
Quali tecnologie possono essere utilizzate in linea di principio? Microsoft Photo ID soddisfa i requisiti?
-
Le tecnologie utilizzate in relazione ai servizi cloud devono consentire anche l’accesso a contenuti criptati?
-
Come viene garantita o convalidata la qualità delle tecnologie? Come si rapporta la proposta del CSA con la bozza di legge sull’AI?
-
Come viene valutata l’equivalenza delle tecnologie dei fornitori ai sensi dell’articolo 10, paragrafo 2, e come si relaziona con la capacità dei fornitori di invocare i segreti commerciali?
-
La tecnologia può essere progettata per distinguere tra immagini di bambini in un contesto normale/non abusivo (ad esempio, in spiaggia) e CSAM?
-
Il software di analisi del testo è in grado di distinguere una conversazione legittima tra adulti (genitori, parenti, insegnanti, allenatori sportivi, amici ecc.) e bambini da una situazione di adescamento?
-
Come si vuole garantire che i provider utilizzino esclusivamente la tecnologia - in particolare quella offerta dal Centro UE - per eseguire l’ordine di rilevamento?
-
Come gestire un eventuale errore? Come dovrebbero essere rilevati eventuali casi di abuso?
-
Potreste approfondire il tema della supervisione umana e di come questa possa prevenire gli errori delle tecnologie utilizzate?
-
Come vi aspettate che i fornitori informino gli utenti sull‘“impatto sulla riservatezza delle comunicazioni degli utenti”? È un obbligo dovuto all’emissione di un ordine di rilevamento? Oppure può essere una parte dei termini e delle condizioni?
-
I fornitori di file/immagini-hosting, che non hanno accesso ai contenuti che memorizzano, rientrano nell’ambito di applicazione del regolamento?
Ulteriori obblighi per i provider
-
In che modo gli obblighi di segnalazione previsti da questa proposta si collegano all’attuale segnalazione del NCMEC? Come è possibile razionalizzare al meglio i due processi? Come si può garantire che non si verifichino né una duplicazione delle segnalazioni né una perdita di segnalazioni?
-
Quale ruolo dovrebbe svolgere l’Autorità di coordinamento per quanto riguarda l’obbligo di segnalazione?
-
Per quanto riguarda l’abolizione del CSAM in tutta l’UE, in che modo la Commissione affronta le differenze nazionali in materia di diritto penale?
-
Quale numero di casi si aspetta la COM per le segnalazioni al CSA dell’UE? Quanti casi saranno trasmessi alle autorità nazionali competenti per l’applicazione della legge e/o a Europol?
-
Il diritto a un ricorso effettivo sarà influenzato dall’obbligo, previsto dall’art. 14, di eseguire un ordine di allontanamento entro il termine previsto? 14 di eseguire un ordine di allontanamento entro 24 ore?
-
A che punto si può presumere che il provider sia a conoscenza del contenuto, è necessaria una conoscenza umana?
-
Quale standard di controllo assume la COM nei confronti dei vari “attori” della catena informativa nel processo di emissione di un ordine? Questo include il requisito di una valutazione/audit umano in ogni caso?
-
Perché Europol dovrebbe essere coinvolto in tutti i casi, cioè non solo nei casi di responsabilità non chiara degli Stati membri?
-
In che modo gli ordini di blocco possono essere limitati in pratica a contenuti o aree specifiche di un servizio, oppure può essere bloccato solo l’accesso al servizio nel suo complesso?
-
I servizi cloud devono bloccare l’accesso ai contenuti criptati se ricevono una segnalazione di attività sospetta su determinati utenti?
Sanzioni
-
Perché si è scelto un margine di giudizio per quanto riguarda le sanzioni?
-
L’art. 35 si applica ai casi di uso improprio della tecnologia o all’omissione di misure efficaci per prevenire tale uso improprio (art. 10, par. 4)?
-
Perché la proposta non segue le sanzioni previste dal regolamento TCO?
-
L’articolo 35, paragrafo 2, potrebbe essere limitato alle violazioni di un obbligo centrale o di un numero limitato di obblighi centrali?
Sistemi di condivisione delle informazioni
-
L’articolo 39, paragrafo 2, non prevede che le autorità nazionali di contrasto siano direttamente collegate ai sistemi di scambio di informazioni. In che modo le segnalazioni saranno trasmesse alle autorità nazionali di contrasto?
-
Che cosa comprende il sistema di scambio di informazioni? Come si può bilanciare al meglio l’efficacia e la protezione dei dati?
-
Solo i CSA dell’UE ed Europol avranno accesso diretto alla banca dati degli indicatori (art. 46(5)), come possono le LEA nazionali/le autorità nazionali di coordinamento partecipare al meglio alle informazioni? La COM ritiene necessaria una nuova interfaccia per far sapere alle autorità nazionali che potrebbero essere disponibili ulteriori informazioni?
Centro UE ed Europol
-
Per quanto riguarda la proposta di cooperazione del Centro dell’UE con Europol, come immagina la Commissione la distribuzione dei compiti tra le due entità in termini concreti, al fine di garantire che venga evitata qualsiasi duplicazione degli sforzi?
-
Abbiamo notato che la valutazione d’impatto della Commissione non esamina ulteriormente la possibilità di integrare i compiti di prevenzione e assistenza alle vittime nella FRA e i compiti rilevanti per l’applicazione della legge in Europol, invece di creare una nuova entità. Sembra piuttosto che questa possibilità sia stata scartata dopo un esame preliminare. Vorremmo quindi sapere perché questa opzione non è stata esaminata in primo luogo? Inoltre, chiediamo gentilmente alla COM di spiegare i vantaggi che si aspetta dalla creazione di una nuova entità invece di assegnare i compiti alla FRA e a Europol in combinazione?
-
La proposta legislativa prevede che Europol fornisca alcuni “servizi di supporto” ai CSA dell’UE. Quali sono i mezzi e i servizi concreti a cui l’EU CSA dovrebbe attingere da Europol? Come si possono distinguere questi compiti di supporto da quelli dell’ACS dell’UE? In questo contesto, vorremmo chiedere se e in caso affermativo, quante risorse aggiuntive la COM prevede per Europol?
-
Come dovrebbe gestire Europol questo supporto in termini di risorse e come fa la Commissione a garantire che tale supporto non vada a scapito degli altri compiti di Europol?
-
In che modo la struttura di governance proposta per il CSA dell’UE può essere ottimizzata con la struttura di governance di Europol, assicurando che non si creino squilibri tra la Commissione e gli Stati membri?
-
L’articolo 53, paragrafo 2, della bozza riguarda l’accesso reciproco alle informazioni e ai sistemi informativi pertinenti in relazione a Europol. È corretto ritenere che la disposizione non disciplini l’accesso alle informazioni in quanto tale, poiché si fa riferimento alle disposizioni pertinenti (“conformemente agli atti di diritto dell’Unione che disciplinano tale accesso”)? Qual è allora il contenuto normativo specifico della disposizione? Spiegare.
-
Per quale periodo la COM stima che l’EU CSA possa iniziare il suo lavoro (anche se forse non è ancora pienamente operativo)?
-
In quale fase del processo le immagini vengono cancellate secondo la proposta?
-
Ai sensi dell’articolo 64, paragrafo 4, lettera h), il direttore esecutivo della CSA dell’UE da istituire può imporre sanzioni pecuniarie in caso di atti criminali a danno delle risorse finanziarie dell’Unione. In che modo ciò si riferisce ai procedimenti EPPO?
-
In che modo la proposta può garantire che le competenze della CSA dell’UE non entrino in conflitto con quelle di Eurojust?