Nel contesto sopra descritto si inserisce l’indagine sul livello di conoscen- za della normativa europea in materia di protezione dei dati da parte dei partecipanti al questionario on-line.
In particolare, la sezione E di quest’ultimo aveva lo scopo specifico di comprendere in che modo gli Stati membri gestiscono il rapporto tra le ri- chieste EIO e le esigenze di protezione dei dati personali che possono venire in rilievo nel corso delle procedure di scambio delle prove digitali. Dall’a- nalisi delle domande risulta chiara la difficoltà della quasi totalità dei paesi che hanno partecipato all’indagine a rispondere anche alle più semplici delle richieste. Nella maggior parte dei casi, tutta questa sezione E è stata lascia- ta senza alcuna risposta. I problemi derivano soprattutto dalla mancanza di familiarità con il nuovo regolamento generale sulla protezione dei dati e sulla nuova direttiva.
Nei casi in cui una qualche risposta è stata fornita, tuttavia si trattava di risposte generiche: ad esempio alcuni dei partecipanti hanno semplicemente confermato che le procedure di EIO nel proprio paese si svolgono in un ambiente protetto e sicuro, quindi anche i dati personali che possono venire in rilievo beneficiano di un elevato livello di tutela.
Questa sezione era composta da 17 domande distinte.
Q1. Le prove, e tra queste anche quelle digitali, raccolte mediante un EIO possono contenere dati personali, come nel caso delle informazioni sui conti bancari (considerando 24 della Direttiva EIO), informazioni sulle operazioni
6.3 Analisi della sezione E del questionario 149
bancarie (considerando 24) e monitoraggio delle operazioni bancarie (articolo 28) o potrebbero riguardare la comunicazione di dati personali (come nel caso di videoconferenze o conferenze telefoniche, del considerando 24). Sapete se vengono condotte verifica periodiche alla luce dei principi di protezione dei dati in relazione alla trasmissione di tali prove?
Q2. In caso affermativo, può fornire una descrizione delle procedure di verifica periodica?
La maggior parte dei paesi ha lasciato queste prime due domande senza risposta, o ha dichiarato di non essere a conoscenza del fatto che la verifica periodica abbia luogo o meno.
Inoltre, in alcuni casi gli Stati membri partecipanti all’indagine hanno sottolineato il fatto che le procedure di scambio delle prove tramite EIO av- vengono principalmente “human based”, ovvero con l’intervento di corrieri o incaricati dall’autorità giudiziaria appositamente autorizzati al trasferimento di tali prove. Questo secondo le risposte dovrebbe comportare meno rischi per la protezione dei dati personali.
Q3. Ha riscontrato difficoltà/problemi sia nella trasmissione di richieste di EIO che nello scambio di prove in relazione alla protezione dei dati personali in esse contenuti?
Q4. In caso affermativo, può spiegare quali difficoltà ha riscontrato? (Ad esempio, un diverso livello di protezione dei dati nei vari Stati membri).
Nessuno dei partecipanti ha purtroppo dato risposta alle due precedenti domande. Ciò potrebbe essere dovuto da un lato, al fatto che effettivamente le procedure di EIO vengono attuate tenendo in considerazione la disciplina introdotta dalla Direttiva 2016/680/UE. Pertanto, non sorgono particolari difficoltà nella trasmissione di EIO e nello scambio di prove digitali ottenute con tale strumento processuale e vengono rispettate anche le garanzie di tutela dei dati personali. Dall’altro lato, la mancanza di risposta potrebbe anche essere dovuto ad una scarsa conoscenza della normativa in materia di “data protection”.
Q5. Esistono garanzie in merito al rispetto dei diritti fondamentali diversi dal diritto alla protezione dei dati personali, direttamente o implicitamente rilevanti nell’EIO?
Anche questa domanda non ha avuto risposta nella maggior parte dei casi.
Soltanto in un caso è stata indicata una possibile salvaguardia a tutela dei diritti fondamentali delle persone, nel contesto dell’EIO.
150 Profili di “data protection” nello scambio transnazionale...
La garanzia, indicata da un solo partecipante, riguardava il fatto che non sono utilizzati strumenti automatici (o automatizzati) per procedere al controllo delle prove digitali trasmesse, ma è necessario un controllo manuale davanti al giudice. Pertanto l’elemento umano funziona, anche in questo caso, quale garanzia del rispetto dei diritti degli interessati.
Una seconda garanzia menzionata è la disponibilità nel processo di rimedi e strumenti per gli indagati/imputati a tutela dei loro diritti fondamentali.
Q6. Il vostro Stato ha già implementato la direttiva 2016/680/EU (sulla protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte di autorità competenti ai fini della prevenzione, dell’inda- gine, dell’individuazione o del perseguimento di reati penali o l’esecuzione di sanzioni penali, e sulla libera circolazione di tali dati, e l’abrogazione della decisione quadro del Consiglio 2008/977/JHA)?
Q7. In caso affermativo, può fornire riferimenti relativi (numero e data di pubblicazione) e informare a partire dalla data applicabile alle autorità giudiziarie?
Q8. In caso affermativo, il suo Stato ha una versione ufficiale inglese della legge di attuazione nazionale?
Q9. È disponibile una traduzione non ufficiale in inglese della legge di implementazione?
Le risposte alle serie di 4 domande sopra indicate hanno dimostrato che ormai la maggior parte dei paesi ha attuato la direttiva 2016/680/EU. I partecipanti hanno semplicemente risposto che i rispettivi ordinamenti giu- ridici hanno adottato leggi di recepimento della stessa, senza specificare poi il provvedimento e se vi sia una versione ufficiale o non ufficiale in inglese dello stesso.
Solo due Stati membri hanno precisato che:
– in Italia la Direttiva è stata attuata con l’emanazione del decreto legislativo numero 51 del 18 maggio 201812.
– in Austria la Direttiva è stata attuata con l’adozione del Data Protec- tion Adjustment Act 2018.
12Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accer- tamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circo- lazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. Si veda www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2018-05-18;51!vig=.
6.3 Analisi della sezione E del questionario 151
La successiva serie di domande poste ai partecipanti al questionario on- line mirava ad indagare il livello di conoscenza dei partecipanti sugli aspetti e modalità di operatività della Direttiva.
Purtroppo le varie domande sono state lasciate vuote, a dimostrazione della scarsa conoscenza nei partecipanti all’indagine, della materia e del suo rapporto con le procedure di EIO.
Q10. Il vostro Stato fornisce garanzie più elevate al trattamento dei dati personali da parte delle autorità competenti definite all’art. 3, lett. f, della Direttiva 2016/680/UE, rispetto a quelle stabilite dalla direttiva stessa?
Q11. Quali misure tecniche o organizzative appropriate secondo il dispo- sto dell’art. 4, lett. f, Direttiva 2016/680/UE, sono poste in essere nel suo Stato al fine di garantire un trattamento sicuro dei dati personali?
Q12. Quale limite di tempo prevede la normativa di recepimento del suo Stato per la cancellazione dei dati personali ai sensi dell’articolo 5 della Direttiva 2016/680/UE?
Q13. È a conoscenza di ulteriori misure legislative adottate dal suo Stato secondo l’art. 13 della Direttiva 2016/680/UE? (L’art. 13 stabilisce che gli Stati membri possono adottare misure legislative che possono limitare la comunicazione di informazioni all’interessato laddove ciò sia necessario per le indagini)
Q14. Il suo Stato ha adottato misure legislative che limitano, interamente o in parte, il diritto di accesso ai dati personali che viene ai sensi dell’articolo 15? (Limitazioni al diritto di accesso dell’interessato)
Q15. Si prega di fornire il sito web dell’autorità nazionale per la protezione dei dati.
Q16. Il suo Stato ha altre leggi in materia di protezione dei dati perso- nali, che includano norme per il trattamento dei dati personali in materia di polizia?
Q17. Siete a conoscenza di eventuali decisioni giudiziarie o amministra- tive sull’attuazione della direttiva 2016/680/EU nel vostro paese? In caso affermativo, si prega di fornire una copia o il riferimento ad un link in cui reperire la risorsa.
L’analisi dei risultati della sezione E del questionario ha senza dubbio rilevato la necessità di organizzare a livello europeo con il supporto degli Stati membri percorsi formativi per giudici e pubblici ministeri che si occupano di EIO, sul tema della protezione dei dati personali.