La privacy dei dati di localizzazione raccolti dai cellulari ha trovato un alleato importante nella Corte Suprema degli Stati Uniti, che lunedì ha stabilito un principio destinato a cambiare il modo in cui le forze dell’ordine possono mettere le mani sulle informazioni di geolocalizzazione. D’ora in poi serve un mandato valido, fondato su una causa probabile concreta, prima di poter chiedere a colossi come Google dove si trovava un dispositivo in un dato momento.
La sentenza, arrivata con un voto di 6 a 3 e scritta dalla giudice Elena Kagan, riguarda il caso Chatrie contro Stati Uniti. Il punto centrale è semplice da spiegare anche a chi non mastica diritto costituzionale: i dati sulla posizione memorizzati direttamente sullo smartphone sono considerati privati, e la Costituzione mette dei paletti precisi a quanto il governo può spingersi nel raccoglierli. Secondo i giudici, una persona ha una ragionevole aspettativa di riservatezza riguardo ai movimenti registrati dal proprio telefono, e i cosiddetti mandati di geofencing finiscono per calpestare proprio quel diritto protetto.
Gli esperti di privacy hanno accolto la decisione con entusiasmo. Alan Butler, direttore esecutivo dell’Electronic Privacy Information Center, ha dichiarato che le ricerche di geofencing senza mandato sono incompatibili con le tutele del Quarto Emendamento contro le perquisizioni e i sequestri irragionevoli.
Come funziona il geofencing e perché preoccupa
Il geofencing entra in gioco di solito quando un’indagine non ha sospetti chiari. Gli agenti disegnano un’area su una mappa attorno alla scena del crimine, indicano una finestra temporale e poi inoltrano la richiesta a un’azienda tecnologica, chiedendo informazioni su tutti i dispositivi connessi presenti in quel perimetro durante quel lasso di tempo. Da lì, incrociando i dati con eventuali sospetti, possono richiedere ulteriori dettagli legati agli account, come indirizzi email, numeri di telefono e nomi utente.
La Corte ha chiarito un passaggio decisivo. Gli utenti non condividono in modo davvero volontario le proprie informazioni private con un’azienda come Google. Questo significa che la cosiddetta dottrina della terza parte, secondo cui non ci sarebbe aspettativa di privacy sui dati condivisi con altri, qui non si applica. Di conseguenza scatta la protezione del Quarto Emendamento, e i mandati di geofencing nella loro forma attuale, molto meno rigorosi di un mandato di perquisizione tradizionale, non reggono.
Attenzione però, perché i giudici non hanno vietato del tutto questa pratica. Le forze dell’ordine possono ancora usare i dati di localizzazione, ma solo se hanno già una causa probabile su un sospetto e ottengono un mandato che restringa il campo. Il problema sollevato dai critici è proprio l’ampiezza: il geofencing non pesca soltanto i potenziali colpevoli, ma rastrella la posizione di chiunque si trovasse nella zona. Quando l’area disegnata sulla mappa è grande, parliamo potenzialmente di milioni di persone setacciate in un colpo solo. Per questo viene descritto come una forma di ricerca al contrario: prima si guardano i dati, poi si costruiscono i sospetti. Google, una delle aziende più bersagliate da questo tipo di richieste, negli ultimi anni ha cercato di tutelarsi spostando i dati di posizione dai server Sensorvault direttamente sui dispositivi degli utenti. Resta il fatto che la polizia può comunque rivolgersi ai singoli individui per ottenere quelle informazioni dal loro telefono.
Il caso Chatrie e cosa succede ora
Tutto nasce dalla vicenda di Okello T. Chatrie, arrestato nel 2019 dopo essere stato collegato a una rapina in banca da EUR 170.963, circa 178.000 euro. Gli inquirenti chiesero a Google i dati dei dispositivi presenti vicino all’istituto durante la rapina, restringendo la lista dei possibili sospetti da 19 persone a tre, fino ad arrivare a lui. Il suo avvocato, Adam Unikowsky, ha sostenuto che la polizia non aveva alcuna causa probabile per frugare tra le informazioni del cliente, affidandosi invece a strumenti che permettevano al governo di cercare prima e sviluppare sospetti dopo. Anche un eventuale mandato successivo, ha argomentato, sarebbe incostituzionale, perché mancherebbe comunque la causa probabile per perquisire i documenti virtuali di ogni persona finita dentro il perimetro solo per la sua vicinanza al crimine.
Non è ancora chiaro quale effetto avrà questo nuovo precedente sui casi passati, compreso quello di Chatrie. Tribunali precedenti avevano stabilito che la sua pena non sarebbe cambiata, perché le prove erano state ottenute in buona fede, ma la sentenza della Corte Suprema rimette in discussione la validità di quel mandato. Il caso torna ora davanti a una corte d’appello di grado inferiore, che dovrà decidere se esisteva o meno una causa probabile per autorizzare il mandato di geofencing.