Sono attesi a breve importanti sviluppi normativi in Europa sul tema dell’accesso ai dati personali da parte delle autorità giudiziarie e di pubblica sicurezza.
Tra questi si segnalano in particolare la probabile pubblicazione di una nuova proposta di Regolamento ePrivacy e l’avanzamento dei lavori sulle proposte legislative in materia di prova digitale (i cosiddetti Regolamento e Direttiva e-Evidence). Inoltre, si attendono nell’arco del prossimo semestre numerose sentenze della Corte di Giustizia dell’Unione europea in materia di conservazione ed accesso ai dati personali.
Indice degli argomenti
L’accesso ai dati personali per fini di pubblica sicurezza
Tema cruciale perché l’acquisizione di prove digitali come email e dati di traffico telefonico o telematico è sempre più importante per la salvaguardia della sicurezza nazionale e per la lotta contro la criminalità organizzata e il terrorismo.
Tuttavia, l’autorità giudiziaria spesso fatica ad ottenere tali dati, perché conservati all’estero o a causa di specifici limiti procedurali imposti anche per garantire la riservatezza delle comunicazioni e la tutela dei dati personali. Ciò preoccupa numerosi paesi europei che si sentono privati di uno strumento che ritengono indispensabile per la lotta al crimine.
E’ questo il senso delle numerose le iniziative legislative volte a regolamentare la conservazione e l’accesso ai dati personali secondo modalità che bilancino gli interessi di tutela della sicurezza pubblica con i diritti fondamentali alla riservatezza e alla protezione dei dati personali.
Le proposte legislative in discussione a livello europeo
Come detto sopra, le proposte legislative in materia di conservazione ed accesso ai dati personali di cui si sta discutendo a livello europeo sono numerose. Le principali sono contenute nel pacchetto sulle prove elettroniche (detto anche e-Evidence Package) il quale comprende, tra le altre cose:
- una proposta di Regolamento che intende istituire ordini europei di produzione e di conservazione di prove digitali, ovvero decisioni vincolanti, emesse o convalidate dall’autorità giudiziaria di uno Stato membro, con cui si ingiunge ad un prestatore di servizi digitali operante all’interno dell’UE di produrre o conservare prove digitali;
- una proposta di Direttiva che renderebbe obbligatorio per i prestatori di servizi digitali extra-europei di designare un rappresentante legale nell’Unione europea incaricato di ricevere gli ordini europei di produzione e di conservazione di prove digitali.
I negoziati sul pacchetto in questione si sono dimostrati particolarmente difficili, anche a causa del fatto che su numerosi punti il Consiglio e il Parlamento europeo hanno espresso posizioni diametralmente opposte. Tuttavia, far progredire i lavori rientra tra la priorità della presidenza croata del Consiglio (1 gennaio 30 giugno 2020). Si attende quindi a breve l’inizio del cosiddetto “trilogo”, ovvero il lavoro di confronto tra Commissione europea, Parlamento europeo e Consiglio per giungere ad una posizione condivisa sul pacchetto e-Evidence.
È quindi ragionevole attendersi importanti sviluppi nel corso del prossimo semestre.
Un’ulteriore priorità della presidenza croata è il cosiddetto Regolamento ePrivacy nel quale verranno fissati con tutta probabilità i limiti entro i quali gli Stati membri potranno imporre ai fornitori di servizi di comunicazione elettronica obblighi di conservazione di dati. A tale proposito, dopo aver riscontrata lo scorso novembre l’impossibilità di trovare un accordo sul testo del Regolamento in seno al Consiglio, è probabile che la Commissione pubblichi una nuova proposta di Regolamento a breve.
In parallelo, l’Unione europea sta negoziando con gli Stati Uniti i termini di un trattato internazionale che dovrebbe facilitare l’accesso da parte delle autorità europee ai dati conservati negli Stati Uniti e viceversa. Si tratta di un trattato di particolare importanza visto che i principali fornitori di servizi di comunicazione elettronica si trovano negli Stati Uniti, ed è quindi verso quel paese che vengono indirizzate la maggior parte delle richieste transfrontaliere di accesso ai dati. Anche su questo fronte è quindi legittimo attendersi sviluppi nei prossimi mesi.
Un’altra iniziativa in materia di accesso a prove digitali conservate all’estero da tenere a mente è quella che è stata attivata in seno al Consiglio d’Europa (che, è bene ricordare, non è un’istituzione dell’Unione europea, ma tutti gli Stati membri ne fanno parte). Attraverso la redazione di un protocollo addizionale alla Convenzione di Budapest sul crimine informatico del Consiglio d’Europa si vuole fare in modo di ottenere i dati relativi al traffico telefonico e telematico conservati all’estero in maniera meno dispendiosa e più veloce. I negoziati relativi a tale protocollo addizionale stanno procedendo a rilento, ma è previsto che si concludano entro dicembre 2020. È quindi probabile che la gran parte del lavoro di redazione del protocollo venga ultimata nei prossimi mesi.
Gli sviluppi giurisprudenziali da monitorare
L’importanza del tema e la diversità di approcci normativi adottati dagli Stati membri ha dato origine a una molteplicità di controversie davanti alla Corte di Giustizia Ue volte a verificare la compatibilità con il diritto dell’Unione di svariate normative nazionali in materia di accesso ai dati. Molte di queste controversie verranno decise dalla Corte nell’arco dei prossimi mesi, e visto che i legislatori europei tendono a codificare le decisioni della Corte quasi ogni volta che si trovano a legiferare su di un tema già affrontato dalla Corte, sarà importante seguire con particolare attenzione questi sviluppi giurisprudenziali, i quali influenzeranno con tutta probabilità i lavori relativi a tutte le iniziative legislative sopra menzionate.
Una prima serie di cause (causa C-623/17, Privacy International; cause riunite C-511/18, La Quadrature du Net e a., e C-512/18, French Data Network e a.; causa C-520/18, Ordre des barreaux francophones et germanophone e a.) riguarda principalmente l’applicabilità della Direttiva 2002/58/CE (cosiddetta Direttiva ePrivacy, antecedente normativo del Regolamento ePrivacy), e delle relative garanzie, a quei fornitori di servizi di comunicazione elettronica che sono obbligati per legge a conservare i dati dei propri abbonati e a consentire alle autorità pubbliche di accedervi, indipendentemente dal fatto che tali obblighi siano imposti per motivi di sicurezza nazionale. Recentemente, l’avvocato generale Campos Sánchez-Bordona ha suggerito alla Corte di rispondere in senso affermativo. Le sentenze della Corte in queste cause sono attese nei prossimi mesi e saranno fondamentali per determinare entro quali limiti gli Stati membri potranno imporre obblighi di conservazione dei dati ai fornitori di servizi di comunicazione elettronica, anche dopo l’eventuale entrata in vigore del Regolamento ePrivacy.
Un’altra causa di rilievo che verrà decisa a breve dalla Corte di Giustizia (causa C‑746/18, H.K. contro Prokuratuur) riguarda le condizioni di accesso ai dati relativi alle comunicazioni elettroniche da parte dell’autorità giudiziaria. Se la Corte deciderà di in linea con il parere da poco espresso dall’avvocato generale Pitruzzella, l’autorità giudiziaria potrà accedere ai metadati delle comunicazioni elettroniche anche per il perseguimento di reati non gravi, a condizione che le categorie di dati ed il periodo per il quale si richiede l’accesso non consentano di trarre conclusioni precise sulla vita privata delle persone a cui i dati si riferiscono. Anche in questo caso si tratta di un tema di fondamentale importanza ai fini dei negoziati relativi al Regolamento ePrivacy e alle altre proposte legislative discusse in precedenza.
Il tema del bilanciamento tra diritto alla privacy e legittimi obbiettivi di pubblica sicurezza verrà in parte affrontato dalla Corte anche nelle tanto attese sentenze sul trasferimento di dati personali negli Stati Uniti (causa C-311/18, Facebook Ireland e Schrems; causa T-738/16, La Quadrature du Net e a. / Commissione).
In ultimo, è bene ricordare come la Corte europea dei diritti dell’uomo abbia recentemente stabilito che imporre per legge alle compagnie telefoniche di registrare i nominativi di tutti gli acquirenti di carte SIM prepagate non è contrario al diritto alla riservatezza garantito dalla Convenzione europea dei diritti dell’uomo. Si tratta anche in questo caso di una sentenza che andrà probabilmente ad influire sui negoziati sul Regolamento ePrivacy.
Conclusioni
In conclusione, il 2020 si prospetta come un anno all’insegna della regolamentazione della conservazione e dell’accesso ai dati personali ai fini della repressione dei reati. Come si è visto, sono numerose le iniziative legislative e gli sviluppi giurisprudenziali che gli addetti ai lavori e gli stakeholder interessati (in particolare, le aziende fornitrici di servizi di comunicazione digitali) dovranno seguire con attenzione nei mesi a seguire. È bene ribadire però come ciascuna delle iniziative segnalate non sia da analizzarsi in maniera isolata, ma nel contesto del più ampio progetto di riforma di settore che si è cercato di tratteggiare in questo articolo.
