Nel dicembre 2020, la European Parliament’s Civil Liberties, Justice and Home Affairs Committee ha redatto dei report relativi a una coppia di proposte legislative del 2018 concernenti le prove elettroniche in materia penale, nonché concesso mandato per avviare i negoziati sulle stesse. Queste proposte sono il risultato di un processo di riflessione durato quasi due anni e volto a consentire il miglior adattamento della giustizia penale alle sfide dell’era digitale.
Le proposte normative concernenti le prove elettroniche in materia penale avrebbero lo scopo di permettere alle autorità giudiziarie e di polizia di richiedere o proteggere direttamente i dati elettronici necessari per indagare e perseguire crimini perpetuati dai fornitori di servizi elettronici che operano in Unione europea, imponendo a tali fornitori l’obbligo di nominare un rappresentante legale allo scopo di raccogliere prove e rispondere alle richieste delle autorità competenti. Le due proposte sono infatti denominate, rispettivamente, «Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for electronic evidence in criminal matters» e «Proposal for a Directive of the European Parliament and of the Council laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings».
Il documento del Parlamento europeo Electronic evidence in criminal matters consente di acquisire una panoramica dettagliata di questo quadro.
Nell’introduzione vi è la definizione di electronic evidence, descritta come qualsiasi dato che può servire come prova «regardless of whether it is stored on or generated, processed or transmitted by an electronic device». Tale rappresentazione include sia i content data – quali mail, messaggi, fotografie – sia i non-content data – come i dati relativi agli abbonati e al traffico. Questi dati, detenuti dai fornitori di servizi, sono difficilmente accessibili dalle forze dell’ordine e dalle autorità giudiziarie, a causa della loro “volatilità”. Tali specifiche categorie di dati, infatti, possono essere agilmente cancellate, alterate o trasferite. In accordo con il principio di minimizzazione dei dati, inoltre, gli stessi devono essere adeguati, pertinenti e limitati a ciò che è necessario per uno scopo specifico (art. 5, GDPR). Nel rispetto di questo principio e in assenza di conservazione obbligatoria prescritta dalla legge, i fornitori di servizi tendono a cancellare i dati in loro possesso il più rapidamente possibile, a scapito delle autorità pubbliche che sono preposte alla raccolta di prove nell’ambito di indagini o procedimenti penali. Molti fornitori di servizi, ancora, hanno le loro sedi aziendali o conservano i dati al di fuori del paese di indagine (in particolare negli Stati Uniti e in Irlanda). In alcune occasioni risulta dunque difficile determinare dove concretamente si trovino i dati mentre, in altri casi, i medesimi possono essere distribuiti tra più Paesi, sollevando domande sulla legge nazionale applicabile (si veda, tra tutti, il caso Schrems. Ne abbiamo parlato qui, qui e qui).
Il quadro giuridico relativo all’accesso transfrontaliero alle prove è caratterizzato, allo stato, dalla coesistenza di più livelli di regolamentazione, come le convenzioni internazionali e gli accordi bilaterali, il diritto dell’UE che riguarda sia la cooperazione giudiziaria in materia penale sia la protezione dei dati, nonché le leggi nazionali.
La procedura standard per ottenere prove situate in un paese da utilizzare per indagini o procedimenti penali in un altro è stabilita dalle convenzioni internazionali che prevedono la mutual legal assistance (MLA), una forma di cooperazione transfrontaliera tra autorità pubbliche. Tra queste rilevano la Convenzione europea del Consiglio d’Europa sull’assistenza reciproca in materia penale, la Convenzione delle Nazioni Unite sulla criminalità organizzata transnazionale e la Convenzione del Consiglio d’Europa sulla criminalità informatica (la Convenzione di Budapest). I singoli Stati membri dell’UE hanno inoltre firmato vari trattati MLA con paesi terzi. L’Unione da ultimo ha stipulato diversi accordi quadro, soprattutto con gli Stati Uniti, che è il principale destinatario delle richieste MLA di prove elettroniche da parte Stati membri.
Il meccanismo MLA tuttavia è stato concepito prima dell’era di Internet ed è quindi considerato da alcuni inadeguato a garantire prove sotto forma di dati elettronici estremamente volatili, anche a causa del numero di richieste sempre in aumento e del tempo necessario per evaderle. In Europa, dunque, tale meccanismo è stato gradualmente sostituito da strumenti di mutuo riconoscimento, soprattutto a seguito dell’introduzione dello European Investigation Order (EIO) ad opera della direttiva 2014/41/UE, strumento di riconoscimento reciproco utilizzato per le richieste transfrontaliere relative a tutti i tipi di prove. Tale direttiva, tuttavia, non si applica all’Irlanda, dove hanno sede molti fornitori di servizi.
Questi approcci nazionali divergenti comportano un’incertezza giuridica per tutti gli attori coinvolti: le autorità pubbliche devono fronteggiare potenziali conflitti di giurisdizione, i fornitori di servizi rischiano di essere sottoposti a obblighi potenzialmente contrastanti tra loro e di incorrere in sanzioni, gli utenti non hanno spesso certezze su quale sia lo Stato competente ad accedere ai loro dati.
Come dichiarato dalla Commissione, quindi, le due proposte legislative hanno lo scopo di adattare i meccanismi di cooperazione all’era digitale, fornendo alla magistratura e alle forze dell’ordine strumenti adeguati a contrastare forme moderne di criminalità. La proposta di regolamento sugli European production and preservation orders (OPEs) ha l’obiettivo di permettere alle autorità competenti di uno Stato membro di richiedere direttamente a un fornitore di servizi stabilito o rappresentato in un altro Stato membro l’accesso o la conservazione dei dati elettronici necessari per le indagini e il perseguimento dei reati contemplati dal regolamento. Per quanto riguarda la proposta di direttiva, essa richiederebbe ai fornitori di servizi che operano in uno o più Stati membri di designare almeno un rappresentante legale nell’UE incaricato di ricevere ed eseguire gli ordini emessi dalle autorità competenti di tutta l’Unione.
La base giuridica scelta per il regolamento sarebbe l’articolo 82, par. 1, TFUE che garantisce il reciproco riconoscimento delle decisioni giudiziarie tra gli Stati. Il regolamento introdurrebbe due nuove misure investigative: lo European production order (EPOC) per richiedere la produzione di dati memorizzati da un fornitore di servizi situato in un altro Stato entro dieci giorni dal ricevimento dell’ordine (sei ore in casi di emergenza); e lo European preservation order (EPOC-PR) per domandare la conservazione di tali dati per un periodo di sessanta giorni al fine di impedire la loro rimozione, cancellazione o alterazione, in vista di una successiva richiesta di produzione di questi dati attraverso i canali MLA (nel caso di paesi terzi), un EIO (tra Stati membri partecipanti) o un EPOC. Entrambi gli EPOs potrebbero essere richiesti solo in riferimento agli autori – noti e ignoti – di un crimine già perpetrato. Il regolamento proposto classifica inoltre i dati in quattro categorie secondo il loro livello di intrusività: subscriber data, access data, transactional data (tutti non-content data) e stored content data (content data).
La direttiva proposta si basa invece sugli articoli 53 TFUE (libertà di stabilimento dei lavoratori autonomi) e 62 TFUE (libera prestazione di servizi). La direttiva imporrebbe sia ai prestatori di servizi europei che operano in più di uno Stato membro, sia fornitori di servizi non europei che offrono servizi sul mercato dell’UE l’obbligo di nominare un rappresentante legale in (almeno) uno Stato membro. Quest’ultimo fungerebbe da unico punto di contatto per le autorità nazionali competenti. I fornitori di servizi dovrebbero notificare la nomina all’autorità centrale dello Stato membro ospitante e si prevedono sanzioni in caso di inosservanza.
Le proposte appaiono entrambe valide e meritevoli di considerazione. Non ci resta che attenderne i successivi sviluppi.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale