La proposta di Regolamento e-Evidence: osservazioni e possibili sviluppi. La presentazione del Position paper di Oreste Pollicino e Marco Bassini. Le dichiarazioni di Microsoft

di Eduardo Meligrana 

Prof. Pollicino, Avv. Bassini avete appena presentato il vostro Position paper sulla proposta di Regolamento e-Evidence relativo agli ordini europei di produzione e conservazione di prove elettroniche in materia penale presentato lo scorso 18 aprile dalla Commissione Europea. Quali le vostre principali osservazioni?

«La scelta di uno strumento normativo ad hoc riguardante le prove elettroniche a livello europeo deve essere salutata con favore dagli Stati membri.

L’avvento di Internet e dei servizi digitali, infatti, ha determinato mutamenti profondi, che rendono gli attuali meccanismi basati sulla cooperazione tra le autorità degli Stati membri (come l’Ordine europeo di indagine, “OEI”) e tra autorità di Stati membri e di paesi terzi (come per esempio i Trattati di mutua assistenza giudiziaria in materia penale) poco funzionali alla raccolta di prove elettroniche, specialmente a causa della carenza di specifiche disposizioni che intercettano le caratteristiche dell’ambiente digitale e il ruolo di terze parti come i fornitori di servizi Internet.

Sempre con maggior frequenza, invece, le attività criminose avvengono su scala transnazionale, o si svolgono comunque per il tramite anche di servizi digitali.

Il ruolo delle prove elettroniche può quindi risultare decisivo nel contesto di indagini condotte dalle autorità nazionali e la crescente loro importanza richiede agli stati di superare la logica della semplice cooperazione tra autorità giudiziarie.

Di conseguenza, la Commissione ha optato per la definizione di una cornice normativa ad hoc, preferendo tale via rispetto alla modifica della legislazione esistente.

In questo modo, la proposta definisce un meccanismo interamente innovativo, fondato sull’emissione di ordini europei di produzione e di conservazione dalle autorità di uno stato.

Gli ordini sono notificati direttamente ai prestatori di servizi digitali (categoria che comprende i fornitori di servizi di comunicazione elettronica, di servizi della società dell’informazione e di servizi di nomi di dominio Internet e di numerazione IP), così come ai rispettivi rappresentanti nel territorio dell’Unione europea.

Mentre gli ordini di produzione sono finalizzati all’acquisizione immediata di dati e dovranno essere eseguiti entro 10 giorni (e in 6 ore, in casi straordinari) dal prestatore di servizio destinatario, gli ordini di conservazione mirano a “congelare” dati in possesso di un prestatore per 60 giorni, onde evitarne la modifica o la cancellazione, in vista di una successiva acquisizione.

La proposta fa comunque riferimento ad alcuni presupposti che devono essere integrati, così da assicurare che l’emissione di un ordine rappresenti effettivamente una misura necessaria e proporzionata che non interferisca eccessivamente con i diritti e le libertà degli individui interessati.

In assenza dei necessari presupposti, i prestatori di servizi digitali potranno opporsi all’esecuzione di un ordine secondo una procedura determinata».

A vostro parere quali sono i punti di criticità e quali i possibili sviluppi migliorativi 

«Miglioramenti paiono necessari, anzitutto, riguardo alla classificazione dei dati che possono essere raccolti tramite gli ordini europei, specialmente nella misura in cui le definizioni previste dalla proposta non offrono una chiara delimitazione delle diverse tipologie di informazioni.

La proposta prevede condizioni più rigorose per la produzione delle due categorie di dati più sensibili, ossia i dati relativi al contenuto e i dati relativi alle operazioni, a differenza dei dati relativi agli abbonati e ai dati relativi agli accessi.

Tuttavia, la definizione delle categorie dei dati relativi agli accessi e dei dati relativi alle operazioni non pare sibillina, lasciando spazio ad ambiguità e incertezze in ordine alla collocazione di alcune tipologie di informazioni (per esempio, gli indirizzi IP) nell’una o nell’altra nozione. Incertezza che, data la diversità di presupposti per l’emissione di ordini di produzione, ha naturalmente delle conseguenze e genera incertezza per i prestatori di servizi digitali.

Va inoltre segnalata l’opportunità di modificare i termini stabiliti per l’adempimento delle richieste da parte dei prestatori di servizi digitali, in quanto gli stessi risultano allo stato assai ridotti e potrebbero essere estesi a una durata più ragionevole. L’elaborazione di tali richieste non pare infatti immediata, richiedendo tempo e risorse, in particolare in ragione della necessità di appurare l’esistenza di motivi che fondano l’opposizione all’esecuzione degli ordini. Da ultimo, occorre confrontarsi con alcune proposte di modifica sollevate dagli Stati membri che paiono destare criticità.

Per un verso, l’ambito oggetto di regolazione dovrebbe essere limitato ai dati già registrati e meramente archiviati da un prestatore di servizi digitali, in modo da escludere le intercettazioni di telecomunicazioni, attività che presupporrebbe un controllo in tempo reale e un monitoraggio costante, in patente violazione, peraltro, della disciplina europea per i prestatori di servizi dell’informazione.

Per altro verso, occorre guardare con diffidenza  all’ipotesi di estensione del meccanismo di notifica degli ordini alle autorità dello stato di esecuzione, in quanto ciò implicherebbe un sostanziale svuotamento del vantaggio connesso alla proposta, ossia la decentralizzazione nella fase esecutiva di una richiesta, dando luogo, verosimilmente, a ulteriori complicazioni e rallentamenti: l’assenza di un previo controllo da parte dell’autorità.

Da ultimo, va sottolineata l’esigenza di irrobustire le garanzie a tutela della persona in possesso dei dati oggetto di un ordine, che dovrebbe in linea di principio essere avvisata di una richiesta, salvo il ricorrere di circostanze eccezionali. Il vaglio sull’opportunità di limitare la conoscenza immediata dell’esistenza di un ordine dovrebbe più opportunamente essere affidato all’autorità giudiziaria».

In occasione della presentazione del Position paper sulla proposta di Regolamento e – Evidence, elaborato dal Prof. Oreste Pollicino e dall’Avv. Marco Bassini, è intervenuta anche Microsoft che, con Pier Luigi Dal Pino, Direttore centrale per le Relazioni Istituzionali e Industriali Italia – Austria, ha affermato: «La proposta della Commissione rappresenta un miglioramento rispetto dello status quo ed è un passo avanti verso un quadro normativo per l’accesso legittimo ai dati al passo con l’evoluzione digitale dell’era del cloud computing».

«Microsoft accoglie con favore  – ha aggiunto Dal Pino –  la direttiva e il regolamento proposti dalla Commissione alla luce delle disposizioni previste che consentono una migliore protezione dei dati delle persone rispetto alle procedure vigenti nella maggior parte degli Stati membri. Nonostante alcune migliorie possano essere apportate, appare fondamentale potere avanzare nell’architettura e nello scopo proposti dalla Commissione, in cui anche i fornitori di servizi digitali hanno delle responsabilità definite».

«Il pacchetto e-Evidence – ha concluso Dal Pino – porta ad una maggiore chiarezza, maggiore certezza del diritto per i fornitori di servizi digitali e certamente maggiore organicità non solo nell’ambito dell’UE, ma nella costruzione di una solida base per i futuri negoziati con gli Stati Uniti». 

Consulta il Position Paper sul sito MediaLaws.eu