Sorveglianza, diritti e privacy: Israele non rispetta il GDPR

LA RETE DIRITTI UMANI DIGITALI INVIA AL GARANTE UNA LETTERA APERTA E DENUNCIA LA COMPROMISSIONE DELLA TUTELA DEI DATI DEI CITTADINI EUROPEI 

Roma, 3 giugno 2026 – Il trattamento «infimo» riservato da Israele a chi osa opporsi al genocidio palestinese, come gli attivisti della Global Sumud Flotilla, richiama un’altra questione rimasta in secondo piano, che vede responsabile sempre Israele: le costanti violazioni del GDPR (General Data Protection Regulation, 2016/279), con conseguente compromissione della tutela dei dati personali dei cittadini europei. 

Per questo motivo, alla luce dei recenti sviluppi, la Rete per i Diritti Umani Digitali, composta da una decina di organizzazioni rappresentanti la società civile, ha inviato al Garante per la Protezione dei Dati Personali (GPDP) una lettera aperta che chiede all’autorità di verificare se il trattamento dei dati da parte di Israele sia effettivamente conforme al GDPR. 

L’articolo 45 del GDPR permette infatti il trasferimento di dati personali verso un Paese extra-UE o un’organizzazione internazionale solo in presenza di determinate garanzie — tra cui limitazioni alla sorveglianza, supervisione indipendente e tutela giurisdizionale effettiva, come stabilito dalla Corte di Giustizia dell’Unione Europea. 

Gli eventi più recenti, tuttavia, alimentano forti dubbi sul rispetto di tali requisiti da parte di Israele. Secondo quanto riportato, anche l’EDPB (European Data Protection Board) starebbe riesaminando la decisione adottata dalla Commissione nel gennaio 2024, che riconosceva Israele come Paese “adeguato” in materia di protezione dei dati personali dei cittadini europei. 

L’iniziativa si colloca in un contesto di mobilitazione più ampio. La lettera della Rete, infatti, fa seguito a un appello già lanciato dai cittadini europei con la Richiesta di sospensione totale dell’accordo di associazione UE-Israele in considerazione delle violazioni dei diritti umani da parte di Israele, che ha raccolto 1.1 milioni di firme in 5 mesi (affinché la proposta passi, ne servono 1.5 entro Gennaio 2027; alla data odierna, l’Italia ha raggiunto il 494% della soglia minima con 260 mila firmatari). 

Le richieste della Rete Diritti Umani Digitali 

Di seguito, le questioni più problematiche evidenziate nella lettera. 

1. La richiesta, da parte del governo israeliano alle organizzazioni internazionali operanti nei territori palestinesi occupati di fornire dati di soggetti non direttamente coinvolti nelle loro attività (familiari, partner locali, donatori, ecc.) non presenta chiare e sufficienti garanzie circa la conservazione di tali dati, né sull’accesso da parte di altre autorità, utilizzi successivi e rimedi disponibili agli interessati. 

2. L’elevato numero di “eccezioni” a beneficio di autorità come IDF, Shin Bet e Mossad nella protezione e nella trasmissioni di dati per ragioni di sicurezza nazionale, le limitazioni dei diritti di accesso ai database di tali autorità e la messa in capo delle responsabilità di supervisione delle pratiche a personale separato dalla Privacy Protection Authority israeliana ed interno alle autorità stesse, rende difficilmente compatibile l’accesso ai dati personali da parte delle autorità pubbliche israeliane con l’Articolo 45 del GDPR. 

3. L’assenza di chiare ed attuabili garanzie di accesso, conservazione, utilizzo successivo, condivisione tra autorità e rimedi disponibili diventa ancora più problematica a fronte del trattamento di dati personali e sensibili su larga scala, come dimostra l’uso documentato di sistemi di riconoscimento facciale, banche dati biometriche e strumenti di analisi basati sull’intelligenza artificiale nei territori palestinesi occupati e a Gaza. 

4. La sola esistenza formale di diritti non è sufficiente ad attivare i rimedi necessari nei casi di sorveglianza, screening o trattamenti collegati ad autorità di intelligence e sicurezza, dal momento che gli interessati potrebbero non essere in grado di accedere alle informazioni relative al trattamento, contestarlo o ottenere riparazione. 

5. Come richiamato anche dal Garante italiano, la decisione di “adeguatezza” relativa allo stato d’Israele come definito dal diritto internazionale non pregiudica l’accesso, il trattamento o il trasferimento di dati personali dell’Unione in relazione ad attività nei territori palestinesi occupati. 

6. Le modifiche relative all’uso della pena di morte e alla creazione di tribunali speciali per imputati palestinesi accrescono la necessità di garanzie particolarmente chiare, indipendenti e attuabili, dal momento che incidono sul più ampio contesto di stato di diritto, giusto processo e disponibilità di rimedi effettivi nello stato di Israele. 

7. Considerate le preoccupazioni documentate sul rispetto degli obblighi internazionali in materia di diritti umani, il rischio che i dati trasferiti dall’Unione possano essere accessibili, combinati o riutilizzati in contesti caratterizzati da sorveglianza su larga scala, limitata trasparenza e rimedi deboli mette in dubbio l’equivalenza sostanziale richiesta dal GDPR. 

Questi elementi sono più che sufficienti a richiedere un esame approfondito nell’ambito del quadro di adeguatezza e una discussione coordinata tra le autorità di controllo. 

In conclusione, la tutela dei dati personali non può essere separata dal rispetto dei diritti fondamentali e dello stato di diritto. Di fronte a violazioni documentate, sorveglianza estesa e garanzie insufficienti, è necessario che le istituzioni europee e nazionali verifichino con rigore la conformità degli accordi esistenti con Israele agli standard previsti dal GDPR, assicurando ai cittadini europei una protezione effettiva e non soltanto formale dei propri diritti.