DT\1011370IT.doc PE524.632v01-00
IT
Unita nella diversitàIT
PARLAMENTO EUROPEO 2009 - 2014
Commissione per le libertà civili, la giustizia e gli affari interni
12.12.2013
DOCUMENTO DI LAVORO 3
sulla relazione tra le prassi di sorveglianza nell'UE e negli Stati Uniti e le disposizioni dell'UE sulla protezione dei dati
Commissione per le libertà civili, la giustizia e gli affari interni
Relatore: Claude Moraes
Jan Philipp Albrecht (Coautore)
PE524.632v01-00 2/10 DT\1011370IT.doc
IT
1. Prassi di sorveglianza di massa negli UE e negli Stati Uniti
Numerosi Stati membri e paesi terzi dispongono di programmi di sorveglianza di massa delle comunicazioni elettroniche condotti dalle rispettive agenzie di intelligence delle comunicazioni, come dimostrato nel contesto delle rivelazioni dell'ex collaboratore dell'NSA Edward Snowden e in seguito ulteriormente arricchite e sostenute da un gran numero di indagini giornalistiche e relazioni1. Alcune delle rivelazioni sono state confermate dalle agenzie d'intelligence, ma nella maggior parte dei casi le rispettive agenzie hanno scelto di non commentare o hanno affermato che i documenti sono stati interpretati in modo errato.
Stati Uniti, Regno Unito, Svezia, Francia e Germania hanno i mezzi per collegarsi ai cavi della dorsale internet e raccogliere tutto il traffico per un determinato periodo di tempo ("full take", NSA e GCHQ) o parte di esso (FRA, DGSE, BND) e almeno i Paesi Bassi sembra stiano lavorando a un programma simile. L'accesso alla dorsale avviene mediante strutture per intercettazioni legali e interfacce normalizzate2 oppure collegandosi direttamente ai cavi in fibra ottica mediante curvature o giunzioni3.
Secondo le relazioni dei mezzi di comunicazione, almeno Stati Uniti e Regno Unito dispongono anche di mezzi per ottenere accesso a sistemi di telecomunicazioni e informatici riservati mediante accessi non autorizzati, tra cui un possibile accesso al fornitore di servizi di comunicazione delle istituzioni dell'UE. Si ritiene inoltre che l'NSA abbia un programma per l'inserimento attivo di backdoor in strumenti di crittografia ampiamente utilizzati al fine di poter leggere la maggior parte del traffico e dei dati intercettati4.
L'accesso ai dati immagazzinati ed elaborati nelle infrastrutture informatiche, comprese quelle remote (cloud computing), avviene mediante diversi programmi di intelligence, il più importante dei quali è il programma PRISM dell'NSA con le sottostanti disposizioni giuridiche raccolte nel FISA Act e nello USA Patriot Act. Inoltre, almeno le ambasciate, i consolati e gli stabilimenti militari degli Stati Uniti e del Regno Unito in paesi terzi, compresi altri Stati membri, ospitano infrastrutture per intercettazioni elettromagnetiche destinate alle intercettazioni della rete GSM, in cui rientrano anche capi di Stato e di governo5.
I dati personali grezzi raccolti mediante questi programmi sono condivisi in massa tra le comunità d'intelligence di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda
1 Si vedano i due studi commissionati dalla DG INPOL, unità tematica C, nel contesto dell'indagine speciale della commissione LIBE: "The US surveillance programmes and their impact on EU citizens’ fundamental rights", PE 474.405, settembre 2013, e "National programmes for mass surveillance of personal data in EU Member States and their compatibility with EU law", PE 493.032, ottobre 2013.
2 Cfr. la stanza segreta 641A presso la sala di commutazione dell'AT&T a San Francisco, si veda "Whistle- Blower's Evidence, Uncut", Wired, 22.5.2006, http://www.wired.com/science/discoveries/news/2006/05/70944;
il programma Tempora della GCHQ, si veda "GCHQ taps fibre-optic cables for secret access to world's communications", The Guardian, 21.6.2013, http://www.theguardian.com/uk/2013/jun/21/gchq-cables-secret- world-communications-nsa; il regolamento sulla sorveglianza dei servizi di telecomunicazione tedeschi del 2005. L'Istituto europeo per le norme di telecomunicazione (ETSI) dispone di un seminario sulle intercettazioni legali responsabile per la definizione di tali norme.
3 La Marina statunitense dispone di un sottomarino specializzato per questo genere di operazioni sui cavi sottomarini, l'USS Jimmy Carter.
4 "NSA Cryptanalysis and Exploitation Services: Project Bullrun – classification guide to the NSA's decryption program", disponibile al seguente indirizzo: http://www.theguardian.com/world/interactive/2013/sep/05/nsa- project-bullrun-classification-guide.
5 James Ball: "NSA monitored calls of 35 world leaders after US official handed over contacts", The Guardian, 25.10.2013, http://www.theguardian.com/world/2013/oct/24/nsa-surveillance-world-leaders-calls
DT\1011370IT.doc 3/10 PE524.632v01-00
IT
nell'ambito dell'accordo "Five Eyes"1. Esistono altri accordi di condivisione, in varia misura, delle informazioni d'intelligence tra questi paesi e altri Stati membri.
Sebbene nella maggior parte dei casi una simile sorveglianza di massa sia, in una lettura rigorosa delle rispettive normative, consentita solo per le comunicazioni straniere, esistono prassi che consentono di aggirare tale limitazione, tra cui la definizione di una soglia molto bassa per stabilire la probabilità che le comunicazioni oggetto di sorveglianza siano straniere (per esempio, con un'interpretazione estesa della soglia di "pertinenza" del FISA Act statunitense), la dichiarazione di internet come "straniero" per natura (come rivelato recentemente per il BND, il servizio informazioni tedesco2) o lo scambio dei dati raccolti sui rispettivi cittadini3. Questo sottolinea la natura intrinsecamente transnazionale delle attività di sorveglianza e i limiti degli organi di vigilanza esclusivamente nazionali.
Tutte queste rivelazioni hanno sollevato serie preoccupazioni circa la legalità di tali misure ai sensi della legislazione primaria e secondaria dell'UE sulla protezione dei dati, della legislazione sulla cybersicurezza e sulla criminalità informatica, degli obblighi previsti dal Consiglio d'Europa e delle più generiche disposizioni del diritto dell'Unione che riguardano tra l'altro la competenza sulle frontiere dell'UE e degli Stati membri. Le sezioni seguenti mettono in evidenza le sfide poste dalle prassi di sorveglianza di massa degli Stati Uniti e di numerosi Stati membri dell'UE al diritto dell'Unione e, in particolare, alla sua protezione dei dati.
2. Diritto dell'Unione europea e diritto europeo in materia di protezione dei dati
Diritto primario: I sistemi giuridici degli Stati membri devono rispettare i diritti fondamentali e i principi giuridici fondamentali sanciti dall'articolo 6 del trattato sull'Unione europea e dalla Carta dei diritti fondamentali dell'Unione europea. La protezione dei dati è un diritto fondamentale vincolante ai sensi dell'articolo 8 della Carta dei diritti fondamentali, che riflette l'articolo 8 della Convenzione europea sui diritti dell'uomo e ha una base giuridica propria all'articolo 16 del TFUE: "Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano". I diritti fondamentali godono di una protezione speciale e di maggiori tutele rispetto ad altri diritti tutelati dalla legge.
Esiste un importante corpo giuridico della Corte europea dei diritti dell'uomo che stabilisce le norme per definire la legalità e legittimità delle attività di sorveglianza segreta da parte di dirigenti e comunità d'intelligence. In particolare, la giurisprudenza della Corte europea dei diritti dell'uomo sul diritto alla privacy e sulla protezione dei dati relativamente alla sorveglianza da parte dei servizi segreti ha sottolineato i pericoli che tale misure comportano per la riduzione o persino l'annullamento della democrazia, nonostante l'intento di difenderla, e ha ribadito che gli Stati contraenti non possono, in nome della lotta contro lo spionaggio e il
1 L'esistenza dell'accordo "Five Eyes", noto anche come accordi UKUSA, è già stata confermata dalla relazione speciale del Parlamento europeo sull'esistenza di un sistema d'intercettazione globale per le comunicazioni private ed economiche (sistema d'intercettazione ECHELON), A5-0264/2001, 11.7.2001. 2001. Si veda anche:
Comunicato stampa dell'NSA, 24.6.2010: "Declassified UKUSA Signals Intelligence Agreement Documents Available", http://www.nsa.gov/public_info/press_room/2010/ukusa.shtml.
2 Fakt, rete televisiva tedesca ARD, 12.11.2013, http://www.mdr.de/fakt/video160094.html, manoscritto disponibile all'indirizzo: http://www.mdr.de/fakt/bnd114-download.pdf.
3 James Ball: "US and UK struck secret deal to allow NSA to 'unmask' Britons' personal data", The Guardian, 20.11.2013, http://www.theguardian.com/world/2013/nov/20/us-uk-secret-deal-surveillance-personal-data
PE524.632v01-00 4/10 DT\1011370IT.doc
IT
terrorismo, adottare qualsiasi misura ritengano adeguata1. La giurisprudenza della Corte europea dei diritti dell'uomo stabilisce in modo chiaro e preciso quali sono i reati e le attività per le quali può essere ordinata la sorveglianza per la sicurezza nazionale; la legge deve indicare chiaramente quali categorie di persone possono essere soggette a sorveglianza e il fatto che devono esistere dei limiti rigorosi sulla durata delle attività di sorveglianza nonché dei mezzi di ricorso efficaci nei casi di presunta interferenza illegittima con i diritti sanciti dalla CEDU.
Gli Stati membri hanno affermato che l'UE non è competente per quanto riguarda le prassi di sorveglianza d'intelligence dal momento che il mantenimento dell'ordine pubblico e la salvaguardia della sicurezza interna rientrano nell'ambito delle loro esclusive aree di intervento. Tuttavia, dal momento che esistono esenzioni alla sicurezza nazionale nel diritto dell'UE sulla protezione dei dati (si veda di seguito in dettaglio), deve essere chiarito anche da parte del Parlamento cosa si intenda per "sicurezza nazionale" e in quale misura i provvedimenti adottati relativamente alla sicurezza nazionale non rientrino nell'ambito del diritto primario e secondario dell'UE sulla protezione dei dati.
Diritto sulla protezione dei dati: La direttiva 1995/46/CE2 stabilisce le norme generali per la protezione dei dati nel settore pubblico e privato. La decisione quadro 2008/977/GAI3 stabilisce le norme sulla protezione dei dati per il settore dell'applicazione della legge nello scambio di dati all'interno delle frontiere dell'Unione. L'attuale diritto dell'UE sulla protezione dei dati si basa sui principi di limitazione dello scopo, minimizzazione dei dati e sui diritti dell'interessato, tra cui il diritto ad essere informato sul trattamento dei dati e di opporvisi, ad avere accesso ai propri dati e a non essere oggetto di decisioni automatizzate che possano danneggiarlo significativamente.
Limiti alla protezione dei dati per la sorveglianza di massa da parte degli Stati membri:
Secondo l'articolo 13 della direttiva 1995/46/CE, gli Stati membri possono adottare provvedimenti normativi per limitare tali diritti solo qualora tale restrizione costituisca una misura necessaria per salvaguardare: a) la sicurezza nazionale; b) la difesa; c) la pubblica sicurezza; d) la prevenzione, la ricerca, l'accertamento e il perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate; e) un rilevante interesse economico o finanziario di uno Stato membro o dell'Unione europea, anche in materia monetaria, di bilancio e tributaria; f) un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, all'esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);
g) la protezione della persona interessata o i diritti e le libertà altrui.
La "sicurezza nazionale" in questo caso riguarda gli Stati membri dell'UE, non un paese terzo.
Inoltre, è difficile, in termini pratici, differenziarla dalla "sicurezza pubblica" che non rientra nell'ambito di competenza dell'UE. Esiste inoltre una cospicua giurisprudenza che limita il
1 Klass e altri contro la Repubblica federale di Germania, Corte europea dei diritti dell'uomo, 6 settembre 1978 (serie A, n. 28).
2 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
3 Decisione quadro 2008/977/GAI del Consiglio del 27 novembre 2008 sulla protezione dei dati personali trattati nell'ambito della cooperazione giudiziaria e di polizia in materia penale.
DT\1011370IT.doc 5/10 PE524.632v01-00
IT
concetto di "sicurezza nazionale" e qualsiasi provvedimento adottato dalle agenzie governative a tal proposito deve essere anche proporzionato ai sensi dei principi generali dello Stato di diritto. Nei casi in cui le imprese private forniscano dati personali alle agenzie d'intelligence nazionali per fini di sicurezza nazionale, tali informazioni e il loro successivo trattamento da parte dei servizi d'intelligence nazionali possono rientrare tra le esenzioni nazionali di cui all'articolo 4 del TUE. Tuttavia, una simile richiesta avanzata dai servizi di sorveglianza nazionali deve rispettare l'articolo 2 del TUE ed essere pienamente conforme alla CEDU e allo Stato di diritto.
Limiti alla protezione dei dati per la sorveglianza di massa da parte di paesi terzi: La sicurezza nazionale dei paesi terzi non costituisce una base per l'esenzione ai sensi dell'attuale diritto sulla protezione dei dati. Pertanto, i dati personali europei sono in linea di principio protetti nei confronti di tali esenzioni quando sono trasferiti verso paesi terzi, quali la decisione sull'approdo sicuro del 2000 relativa ai trasferimenti di dati personali verso gli Stati Uniti1 la quale specifica che qualsiasi limitazione dei diritti dell'interessato è consentita solo "nella misura necessaria" a soddisfare i requisiti di sicurezza nazionale e di pubblico interesse o i requisiti delle forze di polizia. Nel caso un paese terzo non garantisca un livello adeguato di protezione dei dati personali, il diritto dell'Unione prevede due modi per impedire o interrompere il trasferimento di dati dall'Unione verso tali paesi: a) la Commissione può unilateralmente sollevare un rating di adeguatezza esistente; b) le autorità nazionali per la protezione dei dati possono interrompere il trasferimento di dati personali. Tutto ciò è chiarito anche nell'accordo sull'approdo sicuro all'articolo 3, paragrafo 1, basato sull'articolo 25, paragrafo 3 della direttiva 1995/462. La Commissione ha recentemente annunciato 13 raccomandazioni per migliorare tale accordo al fine, tra l'altro, di assicurare che l'esenzione alla sicurezza nazionale nella decisione sull'approdo sicuro sia usata solo nella misura in cui sia strettamente necessaria e proporzionata3.
In generale, il sistema dell'UE sui trasferimenti di dati personali verso paesi terzi si basa sul principio della continuità della protezione, al fine di evitare che la protezione garantita nell'UE sia persa, ridotta o negata solo perché i dati sono trasferiti in un paese terzo. Le norme e i meccanismi stabiliti mirano ad assicurare tale requisito. Ciò era già previsto dalla direttiva 95/46/CE e gli attuali progetti di regolamento e una direttiva chiariranno ulteriormente tale principio. La direttiva migliorerà inoltre la situazione relativamente alle attività volte all'applicazione della legge dal momento che otterrà una maggiore convergenza del quadro giuridico sulla protezione dei dati applicabile al settore. I trasferimenti verso paesi terzi richiedono sempre il rispetto della limitazione dello scopo e i dati personali sono trattati nel paese terzo solo per scopi specifici, chiariti e legittimati e non sono ulteriormente trattati in modo incompatibile. Si tratta di un prerequisito che si applica a qualsiasi trasferimento, che sia basato su una decisione di adeguatezza della Commissione o su accordi contrattuali messi in atto dal responsabile del trattamento dei dati dell'UE e dall'importatore. L'ulteriore
1 Decisione n. 2000/520/CE della Commissione del 26 luglio 2000 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative "Domande più frequenti" (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (notificata con il numero C(2000) 2441).
2 Cfr. Franz C. Mayer: Mit Europarecht gegen die amerikanischen und britischen Abhöraktionen? Teil 1: NSA, www.verfassungsblog.de/de/mit-europarecht-gegen-die-amerikanischen-und-britischen-abhoeraktionen-teil-1- nsa.
3 Comunicazione della Commissione al Parlamento europeo e al Consiglio sul funzionamento dell'approdo sicuro dal punto di vista dei cittadini dell'UE e delle società stabilite nell'UE, COM(2013)847, 27.11.2013.
PE524.632v01-00 6/10 DT\1011370IT.doc
IT
trattamento dei dati trasferiti a un paese terzo per fini di intelligence costituisce uno scopo incompatibile e sarebbe necessariamente un'eccezione agli obblighi imposti. Deve pertanto essere in linea con il sistema di eccezioni di cui all'articolo 13 della direttiva 1995/46/CE1. Per quanto riguarda la sorveglianza di massa e le attività d'intelligence condotte sulla base del trattamento di categorie di massa di dati personali, i paesi nei quali i poteri di accesso alle informazioni delle autorità governative superano quelli consentiti dalle norme sulla protezione dei diritti dell'uomo accettate a livello internazionale non saranno considerati come destinazioni sicure per i trasferimenti.
Il pacchetto di riforma della protezione dei dati: Le due leggi summenzionate sono attualmente in fase di revisione, con un regolamento generale sulla protezione dei dati che sostituisce la direttiva del 1995 e una direttiva sulla protezione dei dati che sostituisce la decisione quadro del 2008. La commissione, il 21 ottobre 2013, ha votato quasi all'unanimità a favore dei mandati negoziali per i relatori, Jan Philipp Albrecht e Dimitrios Droutsas, al fine di ottenere un accordo in prima lettura con il Consiglio prima della fine dell'attuale legislatura.
Le relazioni della LIBE si basano sui diritti stabiliti dalle attuali norme dell'UE, le chiariscono fino a un certo punto e mirano a una migliore e più coerente applicazione nell'Unione.
L'esplicito riferimento all'esenzione alla "sicurezza nazionale" all'articolo 2 sull'ambito di applicazione del regolamento è stato eliminato dalla LIBE, sulla base della contestazione dell'ambito di applicazione dell'esenzione alla sicurezza nazionale. La relazione della LIBE ha inoltre introdotto un nuovo articolo 43 bis nel regolamento sulla protezione dei dati per assicurare che le richieste di accesso ai dati personali immagazzinati e trattati nell'UE da parte delle autorità pubbliche o dei tribunali dei paesi terzi siano consentite solo se hanno una base giuridica nel diritto dell'UE e se sono autorizzate dalla competente autorità europea per la protezione dei dati.
La direttiva e-privacy, la riservatezza delle comunicazioni e la conservazione dei dati: La privacy delle comunicazioni elettroniche è disciplinata specificamente dalla direttiva 2002/582. In base all'articolo 5, gli Stati membri assicurano la riservatezza delle comunicazioni mediante disposizioni di legge nazionali. In particolare essi vietano l'ascolto, la captazione, la memorizzazione e altre forme d' intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell'articolo 15, paragrafo 1. "Una tale restrizione della confidenzialità delle comunicazioni può essere adottata dagli Stati membri solo ai sensi dell'articolo 15, paragrafo 1, quando costituisca una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica". Anche in questo caso, tale esenzione alla sicurezza nazionale non può essere usata in modo indiscriminato, ma deve soddisfare determinate condizioni. L'articolo 15, tuttavia, come clausola generale di apertura ha portato diversi Stati membri ad adottare leggi per la conservazione dei dati che vanno oltre
1 Il GEDP nella sua presentazione all'audizione con la commissione LIBE del 7 ottobre 2013 ha adottato questo parere.
2 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), modificata da ultimo nel 2009:
DT\1011370IT.doc 7/10 PE524.632v01-00
IT
il disposto dalla direttiva sulla conservazione dei dati del 20061. La direttiva sulla conservazione dei dati è attualmente oggetto di un procedimento da parte della Corte di giustizia in seguito a ricorsi costituzionali presentati in Irlanda e Austria2. La direttiva e- Privacy stabilisce inoltre obblighi positivi per gli Stati membri affinché impediscano la sorveglianza di massa delle comunicazioni da parte di operatori privati. Nella sentenza sul caso Scarlet contro Sabam, la CGUE ha stabilito che un sistema di sorveglianza generale di un fornitore di servizi internet per tracciare le attività dei suoi clienti su internet non era conforme alla direttiva e-Privacy e alla Carta dei diritti fondamentali dell'Unione europea3. Protezione dei dati da parte delle istituzioni dell'Unione: Il regolamento n. 2001/454 riguarda il trattamento dei dati personali da parte delle istituzioni e degli organismi dell'Unione. Per le agenzie quali Europol o Eurojust, il regime di protezione dei dati è definito nei loro specifici atti legali. Inoltre, a causa della natura specifica e sensibile delle informazioni trattate da tali agenzie, hanno una responsabilità maggiore per i gravi effetti negativi sui diritti fondamentali degli individui dovuti alla divulgazione d'informazioni a paesi terzi. Nel caso in cui l'UE o le sue agenzie trasferiscano dati personali verso paesi terzi, devono adottare i provvedimenti necessari per assicurare che i dati trasferiti non siano ulteriormente trattati per scopi incompatibili come le attività d'intelligence. Nel caso scoprano che i dati sono o possono essere usati per fini d'intelligence o sorveglianza di massa, devono adottare le misure necessarie per impedirlo, informare il GEDP e, se necessario, sospendere il trasferimento.
Sono state avanzate preoccupazioni circa il fatto che la condivisione delle informazioni con l'Europol da parte delle autorità di contrasto nazionali e potenzialmente da parte dei servizi di intelligence e altre parti internazionali, rende indistinguibili i confini tra ciò che può essere considerato cooperazione di polizia, trattata dal titolo V, capo 5 del TFUE, e ciò che è considerata intelligence a livello dell'UE. Questo lascia poco spazio per un'adeguata revisione della legalità e dell'adeguatezza del tipo di informazioni scambiate e delle loro fonti esatte rispetto ai principi di protezione dei dati, perché non è chiaro quale legge sia applicabile e, di conseguenza, quali principi si applichino. I presunti programmi di sorveglianza condotti da alcuni Stati membri dell'UE indicano una progressiva unione di soggetti e prassi di polizia, esercito e intelligence che generano insicurezza e incertezza giuridica per le azioni e la credibilità delle stesse agenzie dell'UE e mettono in evidenza una divario di responsabilità che deve essere efficientemente affrontato a livello europeo.
Accordo quadro sulla protezione dei dati tra Stati Uniti e Unione europea: Nel maggio 2010, la Commissione europea ha adottato il mandato per i negoziati tra l'Unione europea e gli Stati Uniti su un accordo quadro in materia di protezione dei dati nell'ambito della cooperazione di polizia e giudiziaria ("accordo onnicomprensivo"), autorizzato dal Consiglio il 2 dicembre 20105. Fin dall'inizio, i negoziati si sono rivelati impegnativi e oltre un anno fa hanno raggiunto una fase di stallo. L'importanza principale di un accordo quadro sta nella
1 Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.
2 La sentenza del procuratore generale è attesa per il 12 dicembre 2013.
3 Sentenza della Corte (terza camera) nel caso C-70/10, 24 novembre 2011.
4 Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.
5 http://europa.eu/rapid/press-release_IP-10-1661_en.htm
PE524.632v01-00 8/10 DT\1011370IT.doc
IT
risoluzione delle questioni sul ricorso giudiziario per i cittadini dell'UE quando i loro dati personali sono trasferiti negli Stati Uniti. Al momento, i cittadini dell'UE non godono di pieni e reciproci diritti di ricorso giudiziario dal momento che l'accesso ai tribunali degli Stati Uniti è garantito solo ai soggetti statunitensi (cittadini e residenti permanenti). Oltre a questa questione concreta e urgente, la conclusione dei negoziati ripristinerebbe la fiducia nei trasferimenti transatlantici di dati. Sarebbe essenziale raggiungere entro l'estate 2014 l'obiettivo della Commissione di un accordo significativo e globale che assicuri la possibilità di ricorso giudiziario per i cittadini dell'UE.
Convenzione 108 del Consiglio d'Europa: L'UE sta attualmente aderendo alla Convenzione europea sui diritti dell'Uomo del Consiglio d'Europa e tutti gli Stati membri ne fanno già parte. L'articolo 8 della CEDU afferma: "Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza". Questo è definito in modo più chiaro nella convenzione 108 del Consiglio d'Europa sulla protezione delle persone per quanto riguarda l'elaborazione automatica dei dati a carattere personale del 28 gennaio 1981, che all'articolo 5 stabilisce che i dati personali devono essere ottenuti e trattati in modo corretto e lecito e registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini. L'articolo 9 della convenzione 108 ammette deroghe solo se costituiscono "una misura necessaria in una società democratica" o per la "protezione della persona interessata e dei diritti e delle libertà altrui". Esiste una cospicua giurisprudenza che definisce cosa rientra in tali limiti1.
3. Disposizioni sulla sicurezza dei dati e sugli attacchi cibernetici
Disposizioni sulla sicurezza dei dati: Tutte le leggi dell'Unione sulla protezione dei dati contengono disposizioni che impongono al responsabile del trattamento dei dati di assicurare la sicurezza dei dati personali trattati. Ciò comprende garantire la sicurezza dei dati contro gli attacchi cibernetici dall'esterno e le notifiche alle autorità di vigilanza e agli interessati nel caso di violazione dei dati. Per conclusione logica, alle autorità degli Stati membri deve essere vietato perseguire tali attacchi e devono anzi ottenere l'accesso legale in casi individuali sulla base di intercettazioni legali. Non è ancora chiaro se gli attacchi segnalati contro la Belgacom e altri fornitori di servizi di telecomunicazioni, come la rete Swift, abbiano comportato una violazione dei dati personali; tuttavia, dal momento che la Belgacom ha successivamente ammesso che esiste la possibilità che si sia verificato un accesso ai dati personali dei clienti2, devono essere adottate misure precauzionali per informare i clienti, tra cui vi sono le istituzioni dell'UE, in merito agli attacchi cibernetici segnalati.
Direttiva sugli attacchi cibernetici e Convenzione di Budapest: La nuova direttiva sugli attacchi contro i sistemi d'informazione3 è entrata in vigore nel corso dell'estate scorsa e ha sostituto la decisione quadro esistente. Entrambe si basavano sulla Convenzione del Consiglio
1 Due esempi importanti sono S. e Marper contro il Regno Unito (2009), che ha ridotto il tempo di conservazione nella banca dati britannica del DNA, in particolare per le persone non sospettate, e Gillan e Quinton contro il Regno Unito (2010), che ha stabilito che i poteri concessi alla polizia dal Terrorism Act del 2000 non erano né sufficientemente circoscritti né soggetti ad adeguate misure di salvaguardia legale e pertanto non erano conformi alla legge.
2 http://www.lesoir.be/343247/article/economie/2013-10-18/belgacom-pirate-donnees-privees-ses-clients-sont- concernees
3 Direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi d'informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio.
DT\1011370IT.doc 9/10 PE524.632v01-00
IT
d'Europa sulla criminalità informatica del 2001, nota anche come Convenzione di Budapest1. Tale convenzione prevede che le sue parti stabiliscano come reato penale l'accesso non autorizzato a un sistema informatico, l'intercettazione di trasmissioni di dati non pubblici nonché l'interferenza con dati e sistemi informatici. Nonostante la Convenzione di Budapest preveda disposizioni che consentono alle parti di definire disposizioni giuridiche per l'intercettazione di dati da parte delle autorità competenti (per esempio, nel caso di misure volte all'applicazione della legge), queste si applicano solo nel territorio del rispettivo paese.
La sorveglianza (di massa) delle comunicazioni e gli attacchi ai sistemi d'informazione nel territorio di un'altra parte contraente della Convenzione non sono contemplati e sono pertanto illegali ai sensi del recepimento nazionale della Convenzione di Budapest, della decisione quadro dell'UE e della nuova direttiva. Questo è ancora più significativo considerando che gli Stati Uniti hanno aderito alla Convenzione di Budapest.
La commissione LIBE ha recentemente espresso preoccupazione circa il lavoro svolto in seno alla commissione per la Convenzione sulla criminalità informatica del Consiglio d'Europa al fine di elaborare un protocollo aggiuntivo sull'accesso transfrontaliero ai dati registrati su computer e ha manifestato "preoccupazione per il fatto che, in caso di approvazione di tale protocollo aggiuntivo, la sua attuazione potrebbe portare a un accesso a distanza illimitato da parte delle autorità di contrasto ai server e ai sistemi informatici soggetti ad altre giurisdizioni, senza il ricorso agli accordi di assistenza giudiziaria reciproca o ad altre forme di cooperazione giudiziaria introdotte per garantire i diritti fondamentali della persona, compresa la protezione dei dati e il rispetto delle procedure"2.
4. Conclusioni e raccomandazioni
1. I sistemi giuridici degli Stati membri devono rispettare i diritti fondamentali e i principi giuridici fondamentali sanciti dall'articolo 6 del trattato sull'Unione europea e dalla Carta dei diritti fondamentali dell'Unione europea.
2. La protezione dei dati è un diritto fondamentale vincolante ai sensi dell'articolo 8 della Carta dei diritti fondamentali, che riflette l'articolo 8 della Convenzione europea sui diritti dell'uomo e ha una base giuridica propria all'articolo 16 del TFUE.
3. Gli Stati membri sono vincolati da numerose norme dell'UE sulla protezione dei dati e sulla sicurezza informatica. Sono necessarie ulteriori indagini per capire se alcune delle attività di sorveglianza di massa violino il diritto primario e secondario dell'UE a tal proposito. Va inoltre esaminato se le attività degli Stati membri violano gli obblighi nel contesto delle convenzioni del Consiglio d'Europa e la Convenzione europea sui diritti dell'uomo.
4. Dal momento che esistono esenzioni per la sicurezza nazionale nel diritto dell'UE sulla protezione dei dati, deve essere chiarito anche da parte del Parlamento cosa si intenda per
"sicurezza nazionale" e in quale misura i provvedimenti adottati relativamente alla sicurezza nazionale non rientrino nell'ambito del diritto primario e secondario dell'UE sulla protezione dei dati.
1 Consiglio d'Europa, Convenzione 185 sulla criminalità informatica, Budapest, 23 novembre 2001.
2 Parere ai sensi dell'articolo 50 della commissione per le libertà civili, la giustizia e gli affari interni per la commissione per l'industria, la ricerca e l'energia sullo sfruttamento del potenziale del cloud computing in Europa (2013/2063(INI)), 19.9.2013, PE504.203v02-00.
PE524.632v01-00 10/10 DT\1011370IT.doc
IT
5. La sicurezza nazionale dei paesi terzi non costituisce una base per l'esenzione ai sensi dell'attuale diritto sulla protezione dei dati. I dati personali europei sono, in linea di principio, protetti nei confronti di tali esenzioni quando sono trasferiti verso paesi terzi, quali la decisione sull'approdo sicuro del 2000 relativa ai trasferimenti di dati personali verso gli Stati Uniti. La revisione dell'accordo sull'approdo sicuro deve chiaramente limitare la portata delle possibili esenzioni e deve escludere le attività di sorveglianza di massa.
6. La riforma della protezione dei dati dell'UE deve essere conclusa in via prioritaria. Dopo l'adozione delle relazioni della commissione LIBE e i mandati negoziali del 21 ottobre 2013, il Consiglio deve ora adottare quanto prima una sua posizione negoziale di modo che possa essere raggiunto un accordo prima della fine dell'attuale legislatura. Sarà della massima importanza mantenere il nuovo articolo 43 bis sulla protezione contro l'accesso ai dati da parte di paesi terzi.
7. I negoziati tra l'Unione europea e gli Stati Uniti su un accordo quadro concernente la protezione dei dati nell'ambito della cooperazione di polizia e giudiziaria devono essere conclusi rapidamente, risolvendo chiaramente il problema legato all'assenza attuale della possibilità di ricorso giudiziario per i cittadini dell'UE negli Stati Uniti.
8. Il protocollo aggiuntivo sull'accesso transfrontaliero ai dati registrati su computer proposto per la Convenzione sulla criminalità informatica del Consiglio d'Europa potrebbe portare a un accesso a distanza illimitato da parte delle autorità di contrasto ai server e ai sistemi informatici soggetti ad altre giurisdizioni, il che è inaccettabile. Qualsiasi protocollo simile deve invece fare riferimento ad accordi di assistenza giudiziaria reciproca e ad altre forme di cooperazione giudiziaria per garantire i diritti fondamentali della persona e il rispetto delle procedure.
9. Il futuro regolamento dell'Europol deve contenere un articolo che vieti il trattamento dei dati ottenuti violando i diritti fondamentali ai sensi dell'articolo 6 del TUE e della Carta dei diritti fondamentali dell'Unione europea.
10. I presunti programmi di sorveglianza condotti da alcuni Stati membri dell'UE indicano una progressiva unione di soggetti e prassi di polizia, esercito e intelligence che generano insicurezza e incertezza giuridica per le azioni e la credibilità delle stesse agenzie dell'UE e mettono in evidenza una divario di responsabilità che deve essere efficientemente affrontato a livello europeo.
