L’eEvidence Framework, proposta di regolamento e direttiva della commissione ue, è uno dei tentativi più interessanti con cui l’Europa mira a risolvere un annoso problema. La dimensione transnazionale di molti crimini (non solo i cosiddetti cyber crime) unita alle caratteristiche dei dati digitali, hanno sollevato negli ultimi anni molteplici quesiti dal punto di vista legale, in primis quello relativo a chi abbia la giurisdizione su tali dati. La mancanza di adeguati strumenti giuridici uniformi a livello europeo per risolvere potenziali conflitti giurisdizionali rappresentano, a livello nazionale e trans-nazionale, un limite concreto per le indagini delle forze di polizia.
Ricordiamo infatti che il processo di digitalizzazione in atto ha reso i dati elettronici fondamentali anche in anche in ambito investigativo, sia nei procedimenti civili che in quelli penali. Dalla fase investigativa a quella dibattimentale tali prove hanno assunto un innegabile valore probatorio. In ambito penale, i dati relativi alla posizione di un determinato soggetto (location data), ad esempio, possono fornire ad un sospetto un alibi o contribuire alla sua incriminazione.
Lo stato dell’arte in ambito cooperazione giudiziaria
La maggior parte dei dati elettronici, siano essi catalogabili come indizi o prove, sono per lo più nelle mani di service providers e operatori telefonici. I principali service provider, i cosiddetti OTT (Over The Top Players, come vengono definiti Google, Apple, Microsoft, Facebook), nonostante offrano i loro servizi a livello globale, hanno il proprio headquarter e quindi sono giuridicamente situati all’estero, soprattutto negli Stati Uniti e ciò rende estremamente lunghe e complicate le attività delle autorità giudiziarie nazionali.
Di fatto, le modalità di cooperazione bilaterali tradizionali (cosiddette Mutual Legal Assistance -LA) richiedono molto tempo, a fronte di attività che richiedono investigazioni rapide. Gli MLAs sono perlopiù accordi bilaterali o multilaterali (in quel caso convenzioni). Grazie a tali accordi un pubblico ministero o un giudice di un paese ha la possibilità di chiedere ad un suo omologo situato in un altro paese d’inoltrare per suo conto, una richiesta di accesso ai dati ad un service provider od un operatore telefonico, in relazione ad un’investigazione su un crimine che sta portando avanti. Tali procedimenti hanno dimostrato di non essere in grado di rispondere efficacemente alle istanze delle forze dell’ordine in relazione a dati, che per loro natura sono caratterizzati dalla loro volatilità. Questa preoccupazione ha portato i legislatori di tutto il mondo a riflettere sull’adeguatezza delle procedure investigative penali ad oggi esistenti.
La situazione in Europa e negli Stati Uniti
Negli ultimi anni sono state prese molteplici iniziative legislative a livello internazionale e nazionale, come il secondo protocollo aggiuntivo annunciato alla Convenzione di Budapest sul cybercrime e negli Stati Uniti il CLOUD Act, la cui genesi è da farsi risalire al famoso Microsoft Case. In quel caso, la localizzazione fisica dei dati nel data center irlandese della compagnia americana aveva comportato l’impossibilità da parte di Microsoft di consegnare i dati relativi ad un indagato alla polizia statunitense poiché l’autorità giudiziaria americana non aveva la giurisdizione su tali dati. In Europa, le difficoltà riscontrate dalle autorità giudiziarie dei paesi membri con gli esistenti strumenti di cooperazione internazionale hanno portato all’approvazione, dopo diversi anni di negoziazione, della Direttiva sullo European Investigation Order (EIO). Tale strumento, implementato negli ordinamenti di tutti i paesi membri da appena due anni (in alcuni paesi ancor più di recente) ha come principale obiettivo di velocizzare gli attuali strumenti di cooperazione giudiziaria all’interno dell’Unione Europea.
I dati relativi all’efficacia del nuovo strumento non sono ad oggi ancora stati pubblicati dalla Commissione europea anche perché alcuni paesi membri non hanno implementato le misure previste dalla Direttiva sull’EIO nel termine previsto per legge. Nonostante questo, la Commissione europea, nell’aprile del 2018, ancor prima che tutti gli Stati membri implementassero l’EIO ha presentato un progetto di legge per un framework volto a rendere più efficaci i procedimenti relativi all’accesso e consegna di prove in formato digitali (e-evidence) situate in un altro paese rispetto a quello in cui il procedimento penale è portato avanti. Ad oggi tale proposta, sostenuta dal Consiglio, che ha approvato il testo della Commissione europea apportando solo poche e non sostanziali modifiche, non è stata ancora approvata dal Parlamento europeo e per questo motivo non è stata ancora approvata.
Che cosa prevede la proposta per un eEvidence Framework
La proposta di legge per un eEvidence Framework si compone una Direttiva e un Regolamento.
Il Regolamento prevede una procedura standard per la produzione e preservazione di e-evidence da parte di service provider che offrono i loro servizi in più di un paese dell’Unione europea e hanno una connessione stabile con almeno uno Stato dell’Unione, senza quindi necessariamente dover avere il proprio headquarter sul territorio dell’Ue. Tali soggetti, cosi come stabilito nella eEvidence Directive, devono individuare, all’interno del proprio organico un rappresentante legale che gestisca le richieste di produzione e preservazione dati provenienti dall’estero in modo da poter rispondere alle richieste di accesso dati nei termini di legge. Mentre l’EIO aveva ad oggetto anche le intercettazioni di comunicazioni le misure previste nell’eEvidence package riguardano solo i dati conservati dei data center dai service providers (cosiddetti stored data).
Il production order previsto nella proposta per un regolamento sull’eEvidence non prevede, nel procedimento ordinario, diversamente dal passato, alcun controllo o coinvolgimento da parte dell’autorità giudiziaria del paese in cui il service provider è stabilito. Tale autorità potrà essere interpellata dal service providers solo in alcuni casi tassativamente previsti.
Con la nuova procedura il giudice o pubblico ministero inquirente, qualora voglia raccogliere prove che ritenga siano in possesso di un service provider, inoltrerà direttamente la sua richiesta al service provider e non più al suo omologo nel paese dove il service provider ha una stabile connessione (uffici, centro aministrativo). Il provider avrà a sua volta fino a 10 giorni, od in caso di urgenza 6 ore per poter produrre all’autorità richiedente i dati richiesti.
Nella proposta per un regolamento sull’eEvidence i dati vengono classificati e differenziati in base alla sensibilità delle informazioni che essi contengono. Nello specifico, la proposta della Commissione divide i dati tra Subscriber data (dati identificativi del soggetto), Access Data (dati di accesso come quelli relativi all’IP), Transactional data (dati relativi alle comunicazioni intercorse tra più soggetti, quando e tra chi) e Content Data (contenuto delle conversazioni, audio, video e foto). Mentre Subscriber, Access e Content data sono presenti in altre iniziative legislative, la novità di questa proposal è rappresentata dai Transactional data, dati che si originano ad esempio dalle conversazioni chat di piattaforme come quella di Facebook Messenger.
La differenziazione tra le varie categorie di dati comporta differenze nella procedura per la produzione delle e-evidence. Nel caso di Subscriber e Access Data la richiesta può essere inviata ad un service provider non solo da un giudice ma anche da un pubblico ministero nel corso delle indagini. Al contrario, nel caso di Transactional e Content data, vista la sensibilità delle informazioni contenute sarà necessario un ordine proveninete da un giudice.
Nel caso del Preservation Order invece, il provider dovrà evitare di cancellare o rendere non più disponibili determinati dati per un periodo di 60 giorni. In tale lasso di tempo l’autorità inquirente sarà obbliga ad iniziare la procedura per richiedere tali dati utilizzando le misure ad oggi a sua disposizione (MLA, EIO ma anche Production Order). Qualora l’autorità investigativa non sia in grado di provvedere nei termini previsti ad inoltrare una richiesta per la consegna dei dati rilevanti per la sua indagine, il service provider sarà libero di cancellare o comunque non rendere più disponibili i dati in questione.
Diversamente dalle precedenti misure di cooperazione in ambito penale, la proposta per un regolamento sull’eEvidence amplia il suo scopo di applicazione a tutte quelle entità che in relazione ai servizi offerti entrano in possesso di dati che possono risultare fondamentali nelle indagini penali. Per questo motivo, soggetti a tali misure sono, non solo gli operatori telefonici, che rimangono soggetti anche alle altre misure fino ad ora applicabili- sia a livello nazionale che Europeo – ma anche i su citati OTT e cloud service provider.
Tali procedure, standardizzate e omologhe senza distinzioni a livello procedurale tra i vari stati membri mirano a rafforzare la cooperazione tra autorità giudiziarie e service provider, e non tra le autorità giudiziarie. La standardizzazione delle procedure viene assicurata da una serie di formulari, allegati alla proposta pubblicata dalla Commissione. Sarà attraverso tali formulari che l’autorità richiedente invierà al service provider la sua richiesta. Allo stesso modo, qualora il service provider intenda non ottemperare a tale istanza, dovrà motivare tramite un altro formulario la sua decisione, richiedendo di conseguenza l’intervento dell’autorità giudiziaria del paese in cui è stabilita.
Profili di criticità della proposta
Necessità e proporzionalità delle misure
Dal punto di vista legislativo, la prima questione che dev’essere analizzata riguarda la necessità e proporzionalità delle misure previste dall’iniziativa della Commissione europea per un eEvidence framework. L’Impact Assessment che sostanzia anche tramite dati empirici le misure previste dal pacchetto sull’eEvidence non riesce a dimostrare la necessità ed urgenza delle procedure previste dalla proposta per un regualtion sull’eEvidence.
Per quel che riguarda la necessità, bisognerebbe da un lato considerare la mancanza di dati in merito all’efficacia delle procedure previste dall’EIO. Dall’altro, una riflessione merita il fatto che i dati riportati nell’Impact Assessment in merito alle richieste trans-nazionali da parte di organi di polizia a service provider sono parziali, provenendo per la maggior parte dai transparency report dei principali service provider: Apple, Google, Facebook e Microsoft. Come riportato dall’Impact Assessment tali service provider rappresentano infatti oltre il 70% delle compagnie soggette a tali richieste, ma non sono gli unici. Conseguentemente, considerando che l’impatto di tali misure ricade su molti più soggetti, tale analisi risulta essere quanto meno parziale. Considerando il numero di attori che saranno interessati dalle procedure previste dell’eEvidence framework, una maggiore e più dettagliata analisi sarebbe stata forse più appropriata.
Un giudizio sulla proporzionalità dovrebbe invece tener in considerazione in primis l’impatto che tali procedure hanno sui diritti fondamentali degli individui soggetti a tali misure. Tali diritti sono riconosciuti sia nella Carta dei diritti fondamentali dell’Unione Europea (CFREU), sia nella Convenzione Europea dei diritti dell’uomo (CEDU), In particolare, nell’eEvidence framework, i diritti che verranno interessati più da vicino qualora il pacchetto venga approvato sono il diritto alla privacy (art. 8 CFREU e art. 7 CEDU), il diritto a un processo equo (art. 47 CFREU e art. 6 CEDU) e quello alla difesa (art. 48 CFREU).
Diritti fondamentali
Per quel che riguarda il diritto alla privacy, i problemi maggiori risiedono nella classificazione dei dati prevista dall’eEvidence proposal. Sebbene la sensitività dei dati sia diversa, secondo l’European Data Protection Body, che in merito alla eEvidence proposal ha rilasciato una opinion, i dati, siano essi subcribers o content, richiedono un adeguata protezione che non è del tutto assicurata dalla proposta della Commissione. Inoltre, la definizione a contrari di content data come tutto ciò che non può esser fatto risalire alle altre categorie, è in contrasto con la giurisprudenza della Corte di Giustizia Europea, che richiede un grado di definizione e chiarezza che nell’eEvidence proposal non è assicurato.
In aggiunta, la proposta per un regolamento sull’eEvidence non chiarisce attraverso quali canali le comunicazioni tra autorità e service providers debbano svolgersi. La mancata implementazione di canali di comunicazione sicuri mette a repentaglio la privacy e confidenzialità delle comunicazioni che devono intercorrere tra i soggetti interessati dalle procedure dell’eEvidence regulation.
Da ultimo, la proposta su eEvidence non chiarisce il regime relativo alla cosiddetta data retention. Nello specifico, differentemente da quanto avviene nell’EIO non viene specificato come e da chi i dati richiesti, una volta che questi hanno assolto il loro compito, vengano gestiti. Ad oggi, dopo la pronuncia della Corte Europea sulla Data Retention Directive, ogni Stato ha implementato, o meno, proprie leggi per ovviare al gap normativo lasciato dalla sentenza della corte. Di conseguenza, in relazione alla frammentazione normativa e la mancata specificazione nella proposta per un regolamento sull’eEvidence, il diritto alla privacy dei soggetti interessati da tali misure sembrerebbe essere a rischio.
Per quel che riguarda il diritto alla difesa ed il diritto ad un processo equo, le misure previste dalla proposal sull’eEvidence della Commissione non assicurano al soggetto sul quale vertono le investigazioni in un paese adeguati diritti. Di fatto l’indagato, insieme al suo avvocato saranno costretti a potersi difendere e sollevare eventuali eccezioni non nel proprio paese di residenza ma in quello in cui l’investigazione è in atto. Barriere linguistiche e differenze a livello procedurale e sostanziale rischiano de facto di limitare oltremodo i diritti costituzionalmente garantiti degli indagati o di chi, per connessione diretta o indiretta è entrato in contatto con tale soggetto (transactional data di fatto riguarderanno non solo le conversazioni e dati dei soggetti ma anche di coloro i quali hanno avuto con gli indagati le conversazioni oggetto d’indagine).
La scelta dello strumento legislativo
Dal profilo più strettamente giuridico, la scelta di optare per un regolamento come strumento legislativo invece che una direttiva rappresenta, per chi scrive, uno dei profili più problematici di questa proposta sull’eEvidence della Commissione Europea. Il Trattato sul Funzionamento dell’Unione Europea stabilisce la necessità e le modalità per un’effettiva ed efficace cooperazione tra Stati in ambito penale. Considerando il dettato Comunitario, la scelta di un Regolamento, direttamente applicabile nell’ordinamento nazionale invece che di una Direttiva, che dev’essere implementata a livello nazionale è criticabile.
Di fatto l’intenzione del legislatore europeo è di costruire una serie di procedure standard per tutti i paesi, senza tener conto delle differenze a livello sostanziale (codice penale) e procedurale (codice di procedura penale) che esistono tra i vari Stati membri dell’Unione. Questo approccio è criticabile sotto molteplici aspetti. Le procedure, sebbene standardizzate andranno infatti ad impattare, direttamente ed indirettamente su sistemi tra loro diversi, non riducendo ma semmai cristallizzando quelle differenze procedurali e sostanziali che ad oggi esistono.
Così facendo i diritti dei cittadini interessati da tali misure rimarranno diversi a seconda dello stato che avanzerà le proprie richieste o di quello che dovrà comminare sanzioni qualora i service provider si rifiutino di ottemperare ad un ordine proveniente da un’autorità giudiziaria di un altro paese.
Conclusione
La proposta è ad oggi provvisoria e sarà presumibilmente modificata dal Parlamento europeo, il cui attento scrutinio ha portato ad una riflessione di ampio raggio. Le perplessità avanzate da molti soggetti, siano essi privati, accademici e delle autorità legislative hanno rallentato il processo di approvazione della legge. Considerando le criticità brevemente descritte c’è da auspicare che tale riflessione comporti una modifica del testo, soprattutto per la parte relative agli strumenti atti a salvaguardare i diritti dei soggetti che potranno essere interessati dalle misure previste dalla proposta.