A fine novembre 2022 gli organi dell’Unione europea hanno trovato un’intesa politica sul regolamento e-Evidence, che consentirà alle forze dell’ordine di uno Stato membro di accedere alle prove elettroniche archiviate in un altro Stato membro tramite procedura giudiziaria codificata a livello europeo. Dall’intesa politica all’approvazione di un testo condiviso, però, il passo non è breve.
Il Digital Service Act, invece, approvato e pubblicato, prevede già una procedura attraverso cui le autorità giudiziarie o amministrative degli Stati membri possono chiedere ai prestatori intermediari informazioni. Questa procedura, in linea di massima, verrà mutuata nel regolamento e-Evidence.
Come si sta adeguando il nostro Paese e cosa potrebbe succedere quando sarà approvato il nuovo regolamento.
Digital Services Act: i nuovi effetti e le responsabilità per le aziende italiane
Gli ordini di fornire informazioni nel DSA
La materia è regolata all’articolo 9 del Digital Service Act (Regolamento UE 2022/2065), che impone ai prestatori intermediari di servizi una serie di obblighi informativi.
Ai sensi dell’articolo 2 del Regolamento UE 2022/2065, nella categoria dei “prestatori intermediari di servizi” rientrano i soggetti che effettuano servizi di semplice trasposto di informazioni (mere conduit), i soggetti che effettuano il servizio di memorizzazione temporanea di dati (caching) e, infine, i soggetti che memorizzano informazioni fornite da un destinatario del servizio su richiesta di quest’ultimo (hosting).
Tutti gli operatori che prestano servizi in questi settori, quindi, saranno tenuti ad osservare il disposto dell’articolo 9 del DSA, non proprio sintetico.
In particolare: “1. Appena ricevuto l’ordine di fornire informazioni specifiche su uno o più singoli destinatari del servizio, emesso dalle autorità giudiziarie o amministrative nazionali competenti sulla base del diritto dell’Unione o nazionale applicabile, i prestatori di servizi intermediari informano senza indebito ritardo l’autorità che lo ha emesso, conformemente al diritto dell’Unione, in merito al ricevimento dell’ordine e al seguito dato allo stesso. 2. Gli Stati membri provvedono affinché gli ordini di cui al paragrafo 1 soddisfino le condizioni seguenti: a) gli ordini contengono gli elementi seguenti: – una motivazione dell’obiettivo perseguito con la richiesta di tali informazioni e delle ragioni per cui la trasmissione di tali informazioni è un adempimento necessario e proporzionato per accertare il rispetto delle norme dell’Unione o nazionali applicabili da parte dei destinatari dei servizi intermediari, a meno che una simile motivazione non possa essere fornita per motivi connessi ad attività di prevenzione, indagine, accertamento e perseguimento di reati; informazioni sui mezzi di ricorso a disposizione del prestatore e del destinatario del servizio in questione; b) l’ordine impone al prestatore unicamente di fornire informazioni già raccolte al fine di prestare il servizio e che sono sotto il suo controllo; c) l’ordine è redatto nella lingua dichiarata dal prestatore ed è inviato al punto di contatto da questi nominato, conformemente all’articolo 10. 3. Il coordinatore dei servizi digitali dello Stato membro dell’autorità giudiziaria o amministrativa nazionale che ha emesso l’ordine trasmette senza indebito ritardo una copia dell’ordine di cui al paragrafo 1 a tutti i coordinatori dei servizi digitali tramite il sistema istituito a norma dell’articolo 67. 4. Le condizioni e le prescrizioni di cui al presente articolo non pregiudicano le prescrizioni stabilite dal diritto processuale penale nazionale in conformità al diritto dell’Unione” (articolo 9 del Regolamento UE 2022/2065).
In pratica, l’autorità nazionale dovrà emettere un provvedimento motivato, conforme al diritto nazionale e dell’Unione, contenente l’ordine di fornire informazioni già raccolte.
I due passaggi interessanti del DSA sulla richiesta dati
Il prestatore di servizi dovrà rispondere senza ritardo.
I passaggi interessanti sono, essenzialmente, due: il riferimento alle modalità attraverso le quali il prestatore di servizi ed il destinatario dei servizi possono proporre ricorso e la possibilità di richiedere unicamente dati già in possesso del prestatore di servizi.
Il riferimento ai mezzi di ricorso presuppone che essi siano previsti dall’ordinamento di riferimento: nell’ordinamento italiano, per esempio, alcuni provvedimenti dell’autorità giudiziaria non sono autonomamente impugnabili.
Il caso tipico è quello delle intercettazioni telefoniche ed ambientali, anche a mezzo captatore informatico: di regola vengono disposte dal giudice per le indagini preliminari con decreto motivato su richiesta motivata del pubblico ministero.
In caso di urgenza, le intercettazioni sono disposte direttamente dal pubblico ministero e sono utilizzabili solo nel caso in cui il giudice per le indagini preliminari convalidi il decreto del pubblico ministero.
Tutti questi provvedimenti non sono autonomamente impugnabili né dal soggetto su cui le intercettazioni vengono veicolate (ad esempio l’operatore telefonico) né dal soggetto intercettato.
La procedura prevista dal DSA, al contrario, presuppone che vi sia conoscenza legale da parte di tutti i soggetti interessati, dotandoli anche di autonomi – e disgiunti – mezzi di impugnazione.
Nel nostro ordinamento penale una simile procedura imporrebbe l’impiego del sequestro probatorio: procedura molto più “pesante” rispetto a quelle di mera richiesta di informazioni, ad esempio, da parte della polizia giudiziaria.
Si tratterà quindi di comprendere come il nostro ordinamento recepirà questo modo di procedere: con adeguamento legislativo, con contrasto con il diritto dell’Unione o con interpretazioni conformi a diritto europeo.
Per quanto riguarda, invece, i settori civile ed amministrativo del nostro ordinamento, non dovrebbero esserci particolari problematiche.
L’altro aspetto interessante è quello legato alle informazioni già in possesso del prestatore di servizi: l’implicazione è che il prestatore non sarà tenuto, con questa procedura, ad assumere nuove informazioni “per conto” dell’autorità che ha emesso l’ordine.
Il regolamento e-Evidence: email e messaggistica
Per specifici soggetti prestatori di servizi di hosting, gli organi dell’Unione europea intendono utilizzare una normativa ad hoc, che consenta un accesso transfrontaliero facilitato per quanto riguarda email e messaggistica.
Spesso le app di messaggistica consentono di eludere il sistema delle intercettazioni; delle difficoltà, in sede di indagini, si registrano anche per quanto riguarda le email.
Da qui sia la necessità di un regolamento ad hoc, sia le resistenze di alcuni Stati membri e la difficoltà di trovare un’intesa politica per armonizzare i singoli diritti degli Stati dell’Unione.
Il regolamento e-Evidence, per ora, è solo un’intesa politica, con moltissime incognite davanti: su tutte, il bilanciamento tra diritti fondamentali e l’applicazione concreta di alcuni passaggi legati all’applicazione pratica.
In altri termini: non è detto che venga alla luce e, certamente, non in tempi brevi.
Conclusioni
Il Digital Service Act impatterà su moltissimi settori dell’economia digitale e il lato giudiziario della digitalizzazione dei servizi non sarà toccato meno di quello economico.
In attesa di comprendere come verrà, concretamente, applicato, resta un dato di fondo: è un testo pubblicato e vigente, anche se non ancora del tutto in vigore.
Questo implica che gli Stati dovranno iniziare ad adeguarsi e che ogni regolamento successivo dovrà tenere conto di quanto disposto ed imposto agli Stati membri.
Il regolamento E-evidence, dal canto suo, ancora non esiste e non potrà discostarsi moltissimo dalle previsioni generali del Digital Service Act, pena l’incoerenza del sistema.
Articolo originariamente pubblicato il 26 Gen 2023
