L’Unione europea, rappresentata dalla Commissione europea, sta negoziando dal 2007 – un Accordo multilaterale sulla lotta alla contraffazione commercio (ACTA) con altri nove paesi: gli Sati Uniti d’America, l’Australia, il Canada, il Giappone, la Korea, il Messico, il Marocco, la Nuova Zelanda, Singapore e la Svizzera.
Lo scopo di tale accordo è di rinforzare i diritti sulla proprietà intellettuale (IPR), combattere la contraffazione su larga scala e la pirateria definendo un quadro legale che rafforzi gli IPR in particolare nel mondo digitale attraverso:
- una maggiore cooperazione internazionale
- l’attuazione di pratiche tese al rafforzamento degli IPR.
Visto il potenziale impatto che tale accordo può avere sulla vita privata degli individui, le conseguenze derivanti da ognuno degli aspetti sopraelencati devono essere valutate attentamente al fine di tutelare il pieno rispetto dei diritti fondamentali.
Maggiore cooperazione internazionale
Il quadro legislativo d’applicazione per ciò che riguarda il trasferimento dei dati previsto da ACTA è la Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
Specificatamente, gli articoli 25 e 26 definiscono il regime d’applicazione per il trasferimento dei dati nei paesi terzi. L’articolo 25 stabilisce che i trasferimenti avvengano solo con paesi che assicurano livelli adeguati di protezione. Tali paesi sono stati identificati dall’Article 29 Working Group in una lista che però non include la maggior parte dei partecipanti all’ACTA. Quindi, i trasferimenti previsti nel quadro di questo accordo contravvengono –teoricamente- la legislazione europea.
Nonostante ciò, i negoziatori di ACTA stanno considerando di instituire una serie di strumenti internazionali, quali condivisione internazionale di dati su violazioni sospette di IPR tra le autorità pubbliche (per esempio, autorità di frontiera, polizia e autorità giudiziarie) e forse anche tra attori privati e pubblici.
Queste opzioni, che sono al momento valutate anche in relazione ad altre negoziazioni (come il L’accordo UE-USA sulla protezione e condivisione dei dati per scopi legati al manteniment dell’ordine pubblico) pongono domande fondamentali per ciò che riguarda la protezione dei dati:
a) lo scambio dei dati previsto è reale o piuttosto si tratta di un trasferimento univoco di dati?
Dato che le informazioni disponibili sull’ACTA sono limitate, per rispondere a tale domande è utile fare riferimento agli accordi precedenti in questo campo. L’esempio chiave è il noto accordo SWIFT che non prevedeva lo scambio di informazioni, ma piuttosto il trasferimento univoco dall’UE agli USA. I negoziatori di ACTA perciò devono prendere in considerazione i pro e contro di tale approccio durante la fase negoziale degli accordi futuri. Infatti, il Parlamento europeo, assieme alle autorità europee responsabili per la protezione dei dati dei cittadini UE hanno espresso forti dubbi sulla assenza di reciprocità che ovviamente indebolisce la capacità dell’UE d’avere la stessa portata della sua controparte nell’accordo.
b) ammesso e non concesso che ACTA tratterà l’effettivo scambio di dati con paesi terzi, l’accordo può essere considerato legittimo e proporzionato?
Legittimo: l’assenza di un regime armonizzato di misure tese all’attuazione e sanzione tra i 27 stati membri solleva questioni sulla legittimità di tale accordo, dato che può creare ineguaglianze.
Inoltre, se l’obiettivo dell’accordo non è chiaramente limitato alla lotta alle infrazioni gravi di IPR, ma è esteso a presunte violazioni di IPR, andrà probabilmente contro il suo stesso scope che per l’appunto, usando le parole della Commissione europea, ha come obiettivo
Furthermore, if the scope of the agreement is not clearly limited to the fight against serious IPR infringement offenses, but is extended to alleged IPR infringement, it will probably go against its own purpose, which -using the European Commission’s words- targets “attività di contraffazione e pirateria che hanno un impatto significativo sugli interessi commerciali rather than on activities of ordinary citizens”.
Piuttosto che attività di cittadini ordinary.
Proporzionale: i negoziatori devono tenere in mente il principio di proporzionalità sulla base del quale è necessario stabilire il giusto equilibrio tra lo scopo dell’accordo e la protezione dei diritti fondamentali.
L’ACTA è a rischio di violare tale principio se gli attori coinvolti nello scambio dei dati non sono solo le autorità pubbliche ma anche il settore privato. Non solo è sproporzionale perché corre il rischio di violare il diritto alla privacy a causa del numero maggiore di entità che non devono rispondere a nessuno delle loro azioni, ma anche perché richiederebbe al settore privato degli obblighi che potrebbero non essere proporzionali allo scopo dell’accordo.
c) una volta che le prime due questioni vengono risolte, rimane ancora la questione inerente l’attuazione di salvaguardie sufficienti per la protezione dei dati quando vengono trasferiti dall’UE ai paesi terzi.
Per raggiungere tale scopo, l’EDPS ritiene che:
- la base legale che giustifica la gestione dei dati deve essere verificata e il trasferimento dei dati deve rispettare lo scopo della raccolta dei dati,
- la quantità e il tipo di dati da scambiare deve essere chiaramente specificato e ridotto a ciò che è strettamente necessario per raggiungere l’obiettivo del trasferimento,
- le persone tra cui i dati possono essere scambiati devono essere chiaramente identificate e continui trasferimenti ad altri destinatari devono in principio essere proibiti,
- il metodo usato per scambiare i dati deve essere chiaramente scelto tenendo in conto le conseguenze che ognuno può avere sulla protezione dei dati. Ad esempio, il ‘push system –sulla base del quale ISPs e organizzazioni titolari di indirizzi IP trasferiscono sotto il loro controllo un numero di dati a parti terze residenti in paesi terzi presenta rischi minori sulla violazione della protezione dei dati che il pull system. Sulla base di quest’ultimo, infatti, le forze dell’ordine hanno un accesso diretto alle banche dati di entità private o di enti che centralizzano i dati
- la durata dell’archiviazione dei dati deve essere specificata così come lo scopo per cui tale trattenimento è necessario,
- gli obblighi imposti su coloro che controllano i dati nei paesi terzi devono essere chiaramente stabiliti e
- i diritti degli individui per ciò che riguarda il rispetto dei loro dati personali devono essere chiaramente stabiliti così da garantire che i loro diritti vengano tutelati anche all’estero.
L’attuazione di pratiche tese al rafforzamento dei IPR
Un documento recentemente trapelato sulle negoziazioni ACTA afferma:
“Ogni parte deve assicurare che il rafforzamento delle procedure (…) sia disponibile nella propria legislazione così da garantire un’efficace lotta alle attività che violano i brevetti, diritti d’autore o diritti collegati che avvengono attraverso l’uso di internet, inclusi rapidi rimedi al fine di prevenire tali violazioni e rimedi che possono costituire un deterrente a violazioni ulteriori” (traduzione non ufficiale).
Una delle misure che sono al momento discusse a tal proposito (e già attuate da stati come la Francia) sono le cosiddette ‘politiche delle tre fasi’. In base a tali misure i detentori di diritti d’autore possono controllare e identificare chi accede ad internet e verificare se commette ipotetiche violazioni di tale diritti . Nel caso tale persona effettivamente violi i diritti d’autore essa verrà avvisata tre volte e dopo la terza fase, le verrà bloccato l’accesso ad internet.
Tali pratiche sono state oggetto di forti critiche. Come la Relazione Gallo afferma, il Parlamento europeo “ rincresce il fatto che la Commissione non abbia menzionato o discusso il problema delicato della pirateria on-line, particolarmente la questione del giusto equilibrio tra accesso ad internet e le misure necessarie per combattere la piaga della pirateria in modo efficace .” (traduzione non ufficiale).
Inoltre, in fase di esame del telecoms package il Parlamento europeo ha sottolineato che:
“Le misure prese dagli Stati membri riguardo all’accesso o uso da parte di consumatori finali a servizi e applicazioni attraverso reti di comunicazione elettroniche devono rispettare i diritti fondamentali e le libertà naturali delle persone, così come garantiti dalla Convenzione europea dei diritti dell’uomo e delle libertà fondamentale dai principi generali della Comunità . Qualsiasi di queste misure (…) che rischia di limitare tali diritti fondamentali può solo essere imposta se è appropriata, proporzionale e necessaria in una società democratica e la sua attuazione deve essere sottoposta a salvaguardie procedurali adeguate in conformità con la Convenzione europea per la protezione dei diritti dell’uomo e delle libertà fondamentali e dai principi generali della Comunità, inclusi protezione giuridica in fase processuale” (traduzione non ufficiale).
Al fine di mantenere tale equilibrio, la politica delle tre fasi deve:
- essere in linea con la legislazione sulla protezione dei dati e sulla privacy come stabilita dall’articolo 8 ECHR e articolo 7 della Carta europea dei diritti fondamentali e che ha origine dal diritto alla protezione dei dati come stabilito dall’articolo 8 della Carta sui diritti fondamentali e articolo 16 del TFUE e come elaborato dalla Direttiva 95/46 e Direttiva 2002/58. Alla luce di tali norme, in base al EDPS, il controllo del comportamento individuale su internet e la successiva raccolta degli indirizzi IP è considerato come una interferenza al diritto alla vita privata. A tal proposito vale la pena sottolineare che gli indirizzi IP sono considerati dati personali in Europa mentre non lo sono per esempio negli Stati Uniti d’America
- Essere proporzionale in natura. Per valutare ciò è necessario capire se l’introduzione di tali misure è proporzionale alle conseguenze che può avere in termine di violazione dei diritti alla privacy e alla libertà di informazione ed espressione.
I rappresentanti della società civile, come European Digital Rights , hanno avvertito che la politiche delle tre fasi non affronta la questione della contraffazione dei prodotti, ma impone una serie di requisiti da parte dell’industria per ciò che riguarda i diritti d’autore nella rete internet. Oltre ad avere un impatto sul diritto alla protezione dei dati e privacy rischia anche di violare i diritti alla libertà d’espressione e di informazione.
Alla luce di tali considerazioni, come l’Advocate General Kokott in Promusicae ha giustamente affermato, è necessario valutare attentamente se la condivisione privata di documenti, senza scopo di lucro, violi effettivamente la protezione dei diritti d’autore in misura tale da giustificare l’attuazione della politica delle tre fasi.
A seguito di tutti questi rischi, sarebbe utile considerare vie alternative e meno intrusive per salvaguardare I diritti d’autore. La Direttiva 2002/22/EC prevede già tali misure, come campagne d’informazione per i consumatori e attività di dissuasione. Un’altra possibilità potrebbe riguardare il controllo di un numero limitato d’individui che sono già sospettati di possibili violazioni ai diritti d’autore e pirateria. Anche se, la riposta a tale scelta è che –ovviamente- al fine di trovare i sospettati si deve prima mettere in piedi un sistema di sorveglianza generale.
Per il momento non è possibile fare un’analisi comprensiva dell’accordo ACTA a causa della segretezza delle negoziazioni. Nonostante ciò, nell’attesa dell’apertura di un vero dialogo da parte della Commissione europea, che coinvolga i gruppi di interesse nella creazione delle politiche in questo settore, gli elementi a disposizione costituiscono una base sufficiente per affermare che ACTA rischi di violare I diritti alla protezione dei dati, alla privacy e libertà fondamentali andando contro l’attuale legislazione e giurisprudenza europea.
LB
edecapitani
Leda Bargiotti
Spazio europeo di Libertà Sicurezza e Giustizia 