GARANTE EUROPEO DELLA PROTEZIONE DEI DATI
Sintesi del parere del Garante europeo della protezione dei dati sulle due proposte di decisioni del Consiglio che autorizzano gli Stati membri a firmare e ratificare, nell’interesse dell’Unione europea,
il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche
(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD www.edps.europa.eu)
(2022/C 182/04)
Il 25 novembre 2021 la Commissione ha adottato, a norma dell’articolo 16, dell’articolo 82, paragrafo 1, e dell’articolo 218, paragrafi 5 e 6, del trattato sul funzionamento dell’Unione europea, due proposte di decisioni del Consiglio, di cui l’una autorizza gli Stati membri a firmare e l’altra a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica. L’allegato delle proposte stabilisce le direttive del Consiglio per le riserve, le dichiarazioni e le comunicazioni relative alla firma e alla ratifica del protocollo.
Indagare e perseguire i reati è una finalità legittima, e la cooperazione internazionale, compreso lo scambio di informazioni, è diventata più che mai importante. Come sostenuto a lungo dal GEPD, per finalità di applicazione della legge, l’UE necessita di accordi duraturi per la condivisione di dati personali con paesi terzi, che rispettino pienamente i trattati dell’UE e la Carta dei diritti fondamentali. Anche quando indagano su casi nazionali, le autorità di contrasto si trovano sempre più spesso a operare in «situazioni transfrontaliere» perché le informazioni sono conservate elettronicamente in un paese terzo.
Il volume crescente di richieste e la volatilità delle informazioni digitali mettono a dura prova i modelli di cooperazione esistenti, quali i trattati di mutua assistenza giudiziaria. Il GEPD riconosce che le autorità sono costrette a una corsa contro il tempo per reperire i dati necessari alle loro indagini e sostiene gli sforzi profusi per elaborare nuovi modelli di cooperazione, anche nell’ambito della cooperazione con i paesi terzi.
Il protocollo intende migliorare i canali di cooperazione tradizionali e contiene disposizioni volte a rafforzare la cooperazione diretta tra le autorità di contrasto e i prestatori di servizi in un contesto transfrontaliero. In particolare, il protocollo rafforzerebbe la cooperazione in materia di criminalità informatica e la raccolta di prove in formato elettronico relative a reati, per finalità legate a indagini o procedimenti penali specifici.
Pur riconoscendo l’impossibilità di riprodurre integralmente in un accordo internazionale multilaterale la terminologia e le definizioni del diritto dell’UE, il GEPD sottolinea la necessità di fornire idonee garanzie per le persone fisiche, al fine di assicurare la piena conformità al diritto dell’UE.
I principi della protezione dei dati, tra cui l’equità, l’accuratezza e la pertinenza delle informazioni, il controllo indipendente e i diritti individuali delle persone fisiche, sono rilevanti tanto per gli organismi pubblici quanto per le imprese private.
Questi principi di base sono ancor più rilevanti laddove si consideri la sensibilità dei dati richiesti per le indagini penali.
Il presente parere ha lo scopo di offrire alle istituzioni dell’UE analisi obiettive e consigli costruttivi ora che il Consiglio sta valutando le proposte della Commissione per la firma e la ratifica del protocollo e prima che il Parlamento europeo sia chiamato a esprimere il proprio consenso alla conclusione del medesimo.
Il GEPD si compiace che nel testo finale del protocollo non siano state incluse disposizioni sull’accesso diretto ai dati da parte delle autorità di contrasto, nonché del fatto che il protocollo contenga un articolo dedicato alla protezione dei dati personali. Inoltre, il GEPD valuta positivamente le numerose tutele che sono state incluse nel protocollo.
Il GEPD prende atto della conferma dell’applicazione dell’accordo quadro UE-USA ai trasferimenti dall’UE agli Stati Uniti d’America nell’ambito delle disposizioni del protocollo in materia di cooperazione tra autorità. Il GEPD deplora tale decisione.
In caso di adozione di una decisione del Consiglio che autorizzi gli Stati membri, rispettivamente, a firmare e a ratificare il protocollo, nell’interesse dell’Unione, il GEPD accoglie le proposte della Commissione affinché gli Stati membri formulino, nell’interesse dell’Unione, la dichiarazione, la notifica e la comunicazione di cui all’articolo 7, paragrafo 2, lettera b), e paragrafo 5, lettere a) ed e), del protocollo. Tali proposte garantiscono che si possa ordinare ai prestatori di servizi nell’Unione di effettuare il trasferimento di dati personali esclusivamente sulla base di ordini emessi, nel paese terzo richiedente che è parte del protocollo, da un procuratore o da un’altra autorità giudiziaria, o sotto la sua supervisione, oppure sotto la sorveglianza di un altro organismo indipendente e sotto il controllo di un’autorità competente nello Stato membro richiesto.
Il GEPD valuta altresì positivamente la proposta che gli Stati membri formulino la dichiarazione a norma dell’articolo 8, paragrafo 4, del protocollo (sulla cooperazione tra le autorità competenti per dare esecuzione agli ordini di produzione di informazioni relative agli abbonati e di dati sul traffico), in modo da garantire che siano necessarie ulteriori informazioni di supporto per dare esecuzione agli ordini conformemente a tale disposizione.
Inoltre, il GEPD formula le seguenti raccomandazioni per le future decisioni del Consiglio, qualora il protocollo sia firmato e ratificato dagli Stati membri, nell’interesse dell’Unione:
— in conformità del diritto dell’UE, taluni dati compresi nella categoria delle informazioni relative agli abbonati ai sensi della Convenzione sulla criminalità informatica potrebbero essere considerati dati sul traffico che comportano una grave ingerenza nei diritti fondamentali dell’interessato, e l’accesso a tali dati potrebbe essere giustificato soltanto dalla lotta contro reati gravi. Pertanto, il GEPD raccomanda agli Stati membri, contrariamente alla proposta della Commissione, di riservarsi il diritto di non applicare l’articolo 7 del protocollo, concernente la divulgazione delle informazioni relative agli abbonati da parte dei prestatori di servizi direttamente alle autorità competenti di un altro paese, in relazione a determinati tipi di numeri di accesso, a norma dell’articolo 7, paragrafo 9, lettera b);
— gli Stati membri dovrebbero designare un’autorità giudiziaria o un’altra autorità indipendente a norma dell’articolo 7, paragrafo 5, lettera e), del protocollo;
— è opportuno precisare meglio la proposta comunicazione degli Stati membri alle autorità statunitensi all’atto della firma o del deposito dello strumento di ratifica, di accettazione o di approvazione in riferimento all’accordo quadro UE-USA;
— è opportuno modificare la proposta considerazione in relazione ad altri accordi o intese a norma dell’articolo 14, paragrafo 1, lettera c), del protocollo che potrebbero sostituire le disposizioni del protocollo in materia di protezione dei dati (articolo 14).
1. INTRODUZIONE E CONTESTO
1. Nel giugno 2017 il Comitato della Convenzione sulla criminalità informatica del Consiglio d’Europa ha approvato il mandato per la preparazione di un secondo protocollo addizionale alla suddetta Convenzione nel periodo compreso tra settembre 2017 e dicembre 2019 (1).
2. Il 5 febbraio 2019 la Commissione ha adottato una raccomandazione (2) di decisione del Consiglio che autorizza la Commissione a partecipare, a nome dell’Unione europea, ai negoziati su un secondo protocollo addizionale (in appresso «il protocollo») (3) alla Convenzione del Consiglio d’Europa riguardante la cooperazione internazionale rafforzata in materia di criminalità informatica e prove elettroniche (in appresso «la Convenzione sulla criminalità informatica») (STCE n. 185) (4).
3. Il 2 aprile 2019 il Garante europeo della protezione dei dati (in appresso «il GEPD») ha adottato un parere sulla raccomandazione (5). Con decisione del 6 giugno 2019, il Consiglio dell’Unione europea ha autorizzato la Commissione a partecipare, a nome dell’Unione europea, ai negoziati in vista del protocollo (6).
(1) https://rm.coe.int/t-cy-terms-of-reference-protocol/1680a03690
(2) Raccomandazione di decisione del Consiglio che autorizza la partecipazione ai negoziati su un secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica (STCE n. 185) [COM(2019) 71 final].
(3) https://rm.coe.int/1680a49dab (versione provvisoria, come approvata dal Comitato dei ministri).
(4) https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=0900001680081561
(5) Parere del GEPD 3/2019, del 2 aprile 2019, concernente la partecipazione ai negoziati in vista di un secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica.
(6) Decisione del Consiglio, adottata il 6 giugno 2019, che autorizza la Commissione europea a partecipare, a nome dell’Unione europea, ai negoziati su un secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica (STCE n. 185).
4. Il Comitato della Convenzione sulla criminalità informatica ha prorogato il mandato due volte, dapprima fino a dicembre 2020 e poi fino a maggio 2021. Il protocollo è stato redatto dal Comitato della Convenzione sulla criminalità informatica tra il settembre 2017 e il maggio 2021. In tale periodo si sono svolte più di novanta sessioni della plenaria, del gruppo e dei sottogruppi del Comitato della Convenzione sulla criminalità informatica incaricati della redazione del protocollo, oltre a sei cicli di consultazioni delle parti interessate.
5. Il Comitato europeo per la protezione dei dati (EDPB) ha contribuito alle consultazioni pubbliche sul progetto di protocollo il 13 novembre 2019, il 2 febbraio 2021 e il 4 maggio 2021 (7).
6. Nella sua risoluzione del 2021 sulla strategia dell’UE in materia di cibersicurezza per il decennio digitale, il Parlamento europeo ha riconosciuto la necessità di concludere i lavori relativi al protocollo (8).
7. Il 17 novembre 2021 il Comitato dei ministri del Consiglio d’Europa ha adottato il protocollo, che dovrebbe essere aperto alla firma nel maggio 2022. Pertanto, le modifiche al protocollo possono essere proposte soltanto dalle sue parti e adottate dal Comitato dei ministri. Per l’entrata in vigore delle modifiche è richiesta, a norma del protocollo stesso, l’accettazione da parte di tutte le sue parti (9).
8. L’Unione europea non può diventare parte del protocollo, in quanto sia il protocollo che la Convenzione sulla criminalità informatica sono aperti esclusivamente agli Stati (10).
9. Il 25 novembre 2021 la Commissione ha adottato due proposte di decisioni del Consiglio a norma dell’articolo 16, dell’articolo 82, paragrafo 1, e dell’articolo 218, paragrafi 5 e 6, del trattato sul funzionamento dell’Unione europea (TFUE) (11).
10. Secondo queste proposte (12) il protocollo rientra in un settore disciplinato in larga misura da norme comuni ai sensi dell’articolo 3, paragrafo 2, TFUE. Con queste proposte la Commissione mira a ottenere due decisioni del Consiglio che autorizzino gli Stati membri a firmare e, rispettivamente, a ratificare il protocollo, nell’interesse dell’Unione europea. Entrambe le proposte sono accompagnate da un allegato (in appresso «l’allegato») contenente istruzioni per gli Stati membri in merito alle riserve, alle dichiarazioni, alle notifiche o alle comunicazioni e ad altre considerazioni da effettuare all’atto della firma e della ratifica del protocollo, nell’interesse dell’Unione europea. La proposta relativa alla ratifica è accompagnata anche dal testo del protocollo, riportato nell’allegato.
(7) «Contributo dell’EDPB alle consultazioni sul progetto di secondo protocollo addizionale alla convenzione del Consiglio d’Europa sulla criminalità informatica (Convenzione di Budapest) del 13 novembre 2019»; «Dichiarazione 02/2021 sul nuovo progetto di disposizioni del secondo protocollo addizionale alla convenzione del Consiglio d’Europa sulla criminalità informatica (Convenzione di Budapest) adottata il 2 febbraio 2021»; «Contributo dell’EDPB al 6o ciclo di consultazioni sul progetto di secondo protocollo addizionale alla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica del 4 maggio 2021».
(8) Risoluzione del Parlamento europeo del 10 giugno 2021 sulla strategia dell’UE in materia di cibersicurezza per il decennio digitale.
(9) Articolo 21 del protocollo.
(10) Considerando 10 delle proposte di decisione del Consiglio che autorizzano gli Stati membri a firmare e a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche.
(11) Proposta di decisione del Consiglio che autorizza gli Stati membri a firmare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche [COM(2021) 718 final].
Proposta di decisione del Consiglio che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche [COM(2021) 719 final].
A norma dei considerando 14 e 15 della proposta per la firma e dei considerando 13 e 14 della proposta per la ratifica, all’Irlanda è concessa l’opzione di partecipare all’adozione e all’applicazione della decisione, mentre la Danimarca non partecipa all’adozione di tale decisione, non è da essa vincolata né è soggetta alla sua applicazione.
(12) Considerando 3 delle proposte.
11. Affinché l’accordo possa essere concluso, il Consiglio, qualora decida di autorizzarne la firma da parte degli Stati membri, nell’interesse dell’Unione, dovrebbe adottare una decisione che autorizzi gli Stati membri a ratificare l’accordo, nell’interesse dell’Unione, previo consenso del Parlamento europeo. Il protocollo entra in vigore il primo giorno del mese successivo allo scadere di un periodo di tre mesi a decorrere dalla data in cui cinque parti della Convenzione sulla criminalità informatica hanno espresso il loro consenso a essere vincolate dal protocollo, conformemente alle disposizioni dell’articolo 16, paragrafi 1 e 2, del protocollo stesso (13).
12. Il GEPD è stato consultato dalla Commissione europea su entrambe le proposte dopo la loro adozione, a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 (14). I considerando 12 e 13 delle proposte relative alla ratifica e, rispettivamente, alla firma del protocollo fanno riferimento al presente parere. Il GEPD desidera evidenziare che il presente parere non pregiudica eventuali osservazioni supplementari che il GEPD potrebbe formulare sulla base di ulteriori informazioni disponibili.
7. CONCLUSIONI
129. In considerazione del proliferare della criminalità informatica e della crescente importanza delle prove elettroniche per le indagini penali, e vista la difficoltà di ottenere tali prove quando esse non sono disponibili nella giurisdizione degli Stati membri, il GEPD riconosce che le autorità di contrasto hanno la necessità di ottenere le prove elettroniche in modo rapido ed efficace per poter contrastare efficacemente la criminalità.
130. Pertanto, il GEPD è favorevole alla definizione di una risposta internazionale, corredata di adeguate tutele, alle problematiche esistenti in tale contesto.
131. Il protocollo mira sia a migliorare i canali di cooperazione tradizionali sia a prevedere una cooperazione diretta tra le autorità di contrasto e i prestatori di servizi a livello transfrontaliero. Il GEPD si compiace che il protocollo non contenga disposizioni sull’accesso diretto ai dati da parte delle autorità di contrasto.
132. Pur riconoscendo l’impossibilità di riprodurre integralmente in un accordo internazionale multilaterale la terminologia e le definizioni del diritto dell’UE, il GEPD sottolinea la necessità di fornire idonee garanzie per le persone fisiche in relazione alla protezione dei dati, al fine di assicurare la piena conformità al diritto dell’UE.
133. Il GEPD si compiace altresì che il protocollo contenga un articolo dedicato alla protezione dei dati personali. Inoltre, valuta positivamente le numerose tutele che sono state incluse nel protocollo.
134. Il GEPD prende atto della conferma dell’applicazione dell’accordo quadro ai trasferimenti dall’UE agli Stati Uniti d’America nell’ambito delle disposizioni del protocollo in materia di cooperazione tra autorità. Il GEPD deplora tale decisione.
135. In caso di adozione di una decisione del Consiglio che autorizzi gli Stati membri, rispettivamente, a firmare e a ratificare il protocollo, nell’interesse dell’Unione, il GEPD accoglie le proposte della Commissione affinché gli Stati membri formulino, nell’interesse dell’Unione, la dichiarazione, la notifica e la comunicazione di cui all’articolo 7, paragrafo 2, lettera b), e paragrafo 5, lettere a) ed e), del protocollo. Tali proposte garantiscono che si possa ordinare ai prestatori di servizi nell’Unione di effettuare il trasferimento di dati personali esclusivamente sulla base di ordini emessi nel paese terzo richiedente che è parte del protocollo da un procuratore o da un’altra autorità giudiziaria, o sotto la sua supervisione, oppure sotto la sorveglianza di un altro organismo indipendente e sotto il controllo di un’autorità competente nello Stato membro richiesto.
(13) Articolo 16, paragrafo 1: «[...] [Le parti della Convenzione] possono esprimere il loro consenso ad essere vincolate:
a. dalla firma senza riserva di ratifica, accettazione o approvazione; oppure
b. dalla firma con riserva di ratifica, accettazione o approvazione seguita dalla ratifica, accettazione o approvazione».
2. Gli strumenti di ratifica, accettazione o approvazione sono depositati presso il Segretario generale del Consiglio d’Europa.
(14) GU L 295 del 21.11.2018, pag. 39.
136. Il GEPD valuta altresì positivamente la proposta che gli Stati membri formulino la dichiarazione a norma dell’articolo 8, paragrafo 4, del protocollo (sulla cooperazione tra le autorità competenti per dare esecuzione agli ordini di produzione di informazioni relative agli abbonati e di dati sul traffico), in modo da garantire che siano necessarie ulteriori informazioni di supporto per dare esecuzione agli ordini conformemente a tale disposizione.
137. Il GEPD formula le seguenti raccomandazioni per le future decisioni del Consiglio, qualora il protocollo sia firmato e ratificato dagli Stati membri, nell’interesse dell’Unione:
— in conformità del diritto dell’UE, taluni dati compresi nella categoria delle informazioni relative agli abbonati ai sensi della Convenzione sulla criminalità informatica potrebbero essere considerati dati sul traffico che comportano una grave ingerenza nei diritti fondamentali dell’interessato, e l’accesso a tali dati potrebbe essere giustificato soltanto dalla lotta contro reati gravi. Pertanto, il GEPD raccomanda agli Stati membri, contrariamente alle proposte della Commissione, di riservarsi il diritto di non applicare l’articolo 7 del protocollo, concernente la divulgazione delle informazioni relative agli abbonati da parte dei prestatori di servizi direttamente alle autorità competenti di un altro paese, in relazione a determinati tipi di numeri di accesso, a norma dell’articolo 7, paragrafo 9, lettera b);
— gli Stati membri dovrebbero designare un’autorità giudiziaria o un’altra autorità indipendente a norma dell’articolo 7, paragrafo 5, lettera e), del protocollo;
— è opportuno precisare meglio la proposta comunicazione degli Stati membri alle autorità statunitensi all’atto della firma o del deposito dello strumento di ratifica, di accettazione o di approvazione in riferimento all’accordo quadro UE-USA;
— è opportuno modificare la proposta considerazione in relazione ad altri accordi o intese a norma dell’articolo 14, paragrafo 1, lettera c), del protocollo che potrebbero sostituire le disposizioni del protocollo in materia di protezione dei dati (articolo 14).
138. Infine, il GEPD sottolinea che un procuratore di uno Stato membro e, pertanto, anche l’EPPO dovrebbero essere in grado di presentare un ordine o trasferire dati sulla base di un ordine emesso da un’altra parte a norma dell’articolo 8 esclusivamente qualora sia accertato che tale ordine è sottoposto a una revisione da parte di un’autorità giudiziaria o un organismo indipendente ai sensi della giurisprudenza della CGUE.
139. Il GEPD resta a disposizione della Commissione, del Consiglio e del Parlamento europeo per fornire ulteriore assistenza nel corso del processo. Il presente parere non pregiudica le eventuali altre osservazioni che il GEPD potrebbe formulare sulla base di ulteriori informazioni disponibili.
Bruxelles, 20 gennaio 2022
Wojciech Rafał WIEWIÓROWSKI
