Dal 26 settembre 2019 è iniziata la negoziazione tra Stati Uniti e Unione Europea per trovare un accordo per facilitare l’accesso alle prove elettroniche nelle indagini penali. Conciliare le normative Usa e Ue in ambito protezione dei dati e indagini penali è un’impresa ardua ma di cosa si tratta? Perché è necessario questo accordo?
Il quadro
Con lo sviluppo di servizi di comunicazione elettronica come i social media, la posta elettronica e le applicazioni di messaggistica, si sono creati nuovi strumenti per commettere o facilitare i crimini; si tratta di una minaccia considerevole nello spazio europeo di libertà, sicurezza e giustizia. Tuttavia, la raccolta delle informazioni e delle potenziali prove archiviate dai fornitori di questi servizi è piuttosto complessa a causa della natura transfrontaliera di Internet, della localizzazione incerta dei dati conservati e del fatto che, spesso, il fornitore di servizi non ha una presenza “fisica” nell’Unione europea.
Il Cloud act Usa
Mentre gli Stati Uniti hanno adottato il Cloud Act nel 2018 che “consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano; quindi anche se sono su server fuori dagli Usa”, il principale strumento europeo esistente per l’accesso ai dati in una situazione transfrontaliera è la Direttiva sull’Ordine Europeo di Indagine (OEI) in materia penale adottata nell’aprile 2014.
Questa Direttiva, che disciplina la comunicazione diretta tra autorità giudiziarie, prevede scadenze, standardizza moduli e limita la possibilità di rifiutare l’esecuzione delle richieste, si rivela tuttavia inadeguata nell’ambito della raccolta di prove elettroniche a causa della natura volatile delle stesse e dei tempi di elaborazione richiesti dall’OEI. Ad esempio, infatti, mentre il termine complessivo previsto dalla direttiva per eseguire un OEI è di 30 giorni, i dati elettronici possono essere trasferiti o cancellati con un click.
Le proposte di regolamento Ue
Proprio per questo, la Commissione europea ha emanato nell’aprile del 2018 una proposta di Regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale e, simultaneamente, una proposta di direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali. Le due proposte sono sempre a oggi in fase di negoziazione.
Sebbene queste proposte affrontino la situazione specifica dei fornitori di servizi che operano nel mercato Ue, esiste il rischio che alcuni obblighi contrastino con le leggi di Paesi terzi. Le proposte di regolamentazioni sulle prove elettroniche includono meccanismi specifici nel caso in cui un fornitore di servizi si trovi ad affrontare obblighi contrastanti derivanti dalla legge di un Paese terzo quando le prove richieste includono una procedura di ricorso per chiarire tale situazione.
Il rischio, però, è che tali meccanismi rallentino il processo di produzione delle prove elettroniche mentre si cerca proprio di velocizzarlo tenendo conto della natura volatile di queste. Un accordo Usa-Ue in questo contesto è necessario per evitare obblighi contrastanti poiché i principali fornitori di servizi in possesso di prove pertinenti per indagini penali nell’UE operano proprio sotto la giurisdizione degli Stati Uniti.
Gdpr e CLOUD Act, obblighi contrastanti
Il CLOUD Act (Clarifying Lawful Overseas Use of Data), adottato dal Congresso degli Stati Uniti il 23 marzo 2018, chiarisce tramite un emendamento allo Stored Communications Act del 1986 che i fornitori di servizi statunitensi hanno l’obbligo di trasmettere i dati relativi al contenuto e non alle autorità statunitensi, indipendentemente da dove tali dati siano archiviati, quindi anche nell’Unione Europea.
Cloud act, la norma USA che fa a pugni con la privacy europea: i nodi
Questa disposizione del Cloud Act entra in conflitto diretto con le normative europee sulla protezione dei dati e particolarmente con l’articolo 48 del GDPR che prevede che “le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria”.
Così, l’EDPB ha già sottolineato che qualsiasi futuro accordo tra l’UE e gli USA deve prevalere sulle leggi nazionali statunitensi e includere adeguate garanzie di protezione dei dati per essere pienamente compatibile con il diritto primario e secondario dell’UE. Ciò include in particolare la garanzia della continuità della protezione dei dati in caso di condivisione e trasferimenti successivi. Inoltre, l’EDPB ha ribadito la richiesta di ulteriori miglioramenti al livello di salvaguardia stabilito dall’accordo quadro UE-USA, ad esempio per quanto riguarda la disponibilità di ricorsi giudiziari. Questo è importante se si pensa che esistono dubbi sul fatto che l’accordo simile concluso tra il Regno Unito e gli Stati Uniti sull’accesso ai dati elettronici per combattere la criminalità prevalga sulle regole interne statunitensi.
Inoltre, lo Stored Communications Act US del 1986 vietava la divulgazione di dati relativi al contenuto a forze dell’ordine di paesi terzi, mentre i dati non di contenuto possono essere trassmessi su base volontaria.
La legge statunitense nella sua versione attuale vieta ai fornitori di servizi degli USA di rispondere alle richieste delle autorità di contrasto straniere in merito alla comunicazione di dati relativi al contenuto. Questa legge richiede che la causa probabile sia dimostrata prima che una richiesta di assistenza giudiziaria reciproca da un Paese terzo possa essere eseguita. Pertanto, un accordo UE-US è necessario per completare l’obiettivo e l’efficacia delle proposte della Commissione sulle prove elettroniche, in particolare quando si tratta di dati sui contenuti detenuti da fornitori di servizi statunitensi. Consentirebbe la cooperazione diretta con un fornitore di servizi creando un quadro giuridico più efficiente per le autorità giudiziarie dell’UE mentre i professionisti attualmente incontrano difficoltà nell’ottenere dati sui contenuti tramite richieste di assistenza giudiziaria reciproca.
Per quanto riguarda i dati non relativi al contenuto, mentre le autorità statunitensi hanno incoraggiato le forze dell’ordine e le autorità giudiziarie europee a richiedere quei dati direttamente ai fornitori di servizi statunitensi a causa del crescente numero di richieste di assistenza giudiziaria reciproca indirizzate, la legge consente ma non obbliga ai fornitori di servizi con sede negli Stati Uniti di rispondere a tali richieste. Un accordo fornirebbe maggiore certezza, chiare garanzie procedurali e ridurrebbe la frammentazione per le autorità dell’UE nell’accesso ai dati non relativi al contenuto detenuti dai fornitori di servizi statunitensi. Consentirebbe inoltre l’accesso reciproco da parte delle autorità statunitensi ai dati detenuti dai fornitori di servizi dell’UE.
Conclusioni
L’obbiettivo della normativa europea in negoziazione relativa alla trasmissione delle prove elettroniche è di dotare le autorità giudiziarie degli Stati membri di uno strumento più efficace e più in linea con le specificità di tali prove rispetto all’ordine europeo d’indagine. Tenendo conto che la maggior parte dei fornitori di servizi a cui verrebbero indirizzati hanno sede negli Stati Uniti, ogni ordine di produzione di prove elettroniche emesso creerebbe obblighi legali constrastanti per quelle aziende. In assenza di accordo UE-US, le autorità giudiziarie europee dovrebbero quindi ricorrere ai meccanismi di ricorso previsti nelle bozze di legislazione della Commissione per ottenere dati necessari per le inchieste da parte di fornitori di servizi con sede negli USA. Questo creerebbe un significativo allungamento dei tempi per ottenere le prove elettroniche richieste, che andrebbe a contrastare con l’obbiettivo stesso delle proposte. A questo punto, verrebbe a mancare il valore aggiunto della normativa europea relativa alla trasmissione delle prove elettroniche in negoziazione.