Simile all'attuale dibattito sulla crittografia e sulla lotta alla criminalità, il governo spagnolo sta giustificando nuovi poteri per controllare lo spazio digitale, mettendo in evidenza nuove minacce come il furto di dati e informazioni, l’hackeraggio o gli attacchi informatici contro le infrastrutture sensibili.
Minacce astratte per giustificare le nuove regole
La dichiarazione astratta del tipo “recenti e gravi eventi che si sono verificati in parte del territorio spagnolo”, viene utilizzata per giustificare l'assunzione di un'ampia gamma di poteri da parte dello Stato, che riguardano sia la sfera pubblica che quella privata. Il problema è che questi sono destinati ad avere carattere permanente, incidono gravemente sui diritti dei cittadini e non si limitano nemmeno al solo territorio per il quale è stata apportata questa modifica in via d’urgenza.
Ci sono due aree principali di cui l'amministrazione statale ha assunto il controllo: la realizzazione di una rete in fibra ottica che l'amministrazione regionale della Catalogna ha esteso in tutta la regione, e IdentiCAT, un sistema di identità digitale auto-sovrana (SSIs) per i cittadini.
Per quanto riguarda la prima, è sorprendente che l'autorizzazione già esistente nella Legge generale sulle telecomunicazioni era insufficiente e che era urgente modificarla. L'uso di termini astratti nella nuova legislazione, come "ordine pubblico", "pubblica sicurezza" o "sicurezza nazionale", crea un quadro di insicurezza giuridica inaccettabile. Si tratta di competenze che, come sottolinea lo stesso testo, non riguardano solo una rete o un servizio di comunicazione elettronica, ma si estendono anche agli elementi che necessariamente accompagnano l'installazione di una rete o la fornitura di un servizio di comunicazione elettronica, come l'infrastruttura che può ospitare le reti pubbliche di comunicazione elettronica, le risorse ad esse associate o qualsiasi elemento o livello della rete o del servizio necessario.
Il Ministero aggira la normale procedura
La nuova legge delinea inoltre una serie di situazioni in cui il Ministero dell'Economia e delle Imprese può adottare misure cautelari, senza udienza, citando, anche in questo caso, minacce astratte all'ordine pubblico e alla sicurezza pubblica. Tali misure potrebbero incidere su molteplici diritti dei cittadini e sarebbero assunte direttamente dall'Amministrazione dello Stato senza alcun successivo controllo giudiziario, il che dimostra che l'introduzione di tale autorizzazione è, ancora una volta, altamente discutibile se approvata come decreto-legge.
Per quanto riguarda i nuovi modelli di identità digitale basati su blockchain, la legge stabilisce in particolare che i sistemi di identificazione basati su queste tecnologie di registrazione distribuita e i sistemi di firma basati sulla prima, non saranno in alcun caso ammissibili e, pertanto, non potranno essere autorizzati, purché non siano soggetti a una specifica regolamentazione da parte dello Stato nell'ambito del diritto dell'Unione Europea, oltre a riservare una posizione di autorità intermedia, quando tale regolamentazione esiste già.
Il problema è che, in realtà, esistono già diverse normative applicabili a questi sistemi di identificazione, a partire dal sistema europeo per il riconoscimento delle identità elettroniche (o eIDAS), o, ad esempio, normative come quelle relative alla protezione dei dati personali.
La giustificazione della legge è altamente discutibile
Come è accaduto nella sentenza della Corte costituzionale 55/2018, la legittimità di questa ingerenza nell'ambito delle competenze di auto-organizzazione di un'amministrazione autonoma è discutibile, tanto più quando include un ulteriore obbligo importante, come quello di essere in futuro un'autorità intermedia per questi sistemi.
Anche se avevano in mente il progetto catalano durante la stesura del decreto legge, la realtà è che altri territori stavano cominciando a considerare lo sviluppo di soluzioni di questo tipo, e non è una tecnologia che è stata progettata per realizzare azioni illegali. Nei rapporti dell'osservatorio Blockchain dell'Unione Europea, queste tecnologie di identità autosovrana sono espressamente menzionate come meccanismi che permetterebbero agli utenti di controllare non solo il loro identificativo, ma anche tutte le informazioni ad esso associate.
Non è ammissibile un divieto che, con la scusa della mancanza di una regolamentazione, alla fine inciderà sullo sviluppo di una tecnologia neutrale e utile, con la scusa della mancanza di una regolamentazione, e ancor meno in una regolamentazione approvata con urgenza come il Decreto Legge.
Si parla dell'impossibilità di reagire in tempo a causa dello scioglimento delle Camere, della necessità di rispondere, ma si propongono una serie di modifiche a regole già in vigore da anni in alcuni casi, o superflue in altri, e nuove autorizzazioni che potrebbero finire per violare i diritti fondamentali.
Questa regola non deve essere analizzata solo dal punto di vista esclusivo di una comunità autonoma e di una situazione specifica nel tempo. Ciò che conta non sono le dichiarazioni che sono state fatte riguardo al suo obiettivo. Il suo campo di applicazione non si limita a questo, e alla fine costituisce un'importante interferenza nei diritti dei cittadini.
*Questo testo è stato originariamente pubblicato sul blog di Rights International Spain.