This document is an excerpt from the EUR-Lex website
Document 52019PC0070
Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters
Raccomandazione di DECISIONE DEL CONSIGLIO che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
Raccomandazione di DECISIONE DEL CONSIGLIO che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
COM/2019/70 final
COMMISSIONE EUROPEA
Bruxelles, 5.2.2019
COM(2019) 70 final
Raccomandazione di
DECISIONE DEL CONSIGLIO
che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
RELAZIONE
1. CONTESTO
L’uso sempre più diffuso, anche a scopi illegali, di social media, posta elettronica, servizi di messaggistica e applicazioni ("app") per comunicare, lavorare, socializzare e ottenere informazioni comporta un aumento dei flussi transfrontalieri di dati. Di conseguenza, un numero crescente di indagini penali si avvale di prove elettroniche che non sono accessibili al pubblico. Dato che internet non conosce frontiere e i servizi possono essere forniti da tutto il mondo, quindi anche da imprese non europee, l’accesso transfrontaliero alle prove elettroniche è divenuto una questione urgente per quasi tutti i tipi di reato. In particolare, i recenti attacchi terroristici hanno sottolineato la necessità, in via prioritaria, di trovare modalità che consentano ai pubblici ministeri e ai giudici degli Stati membri dell’Unione europea di ottenere prove elettroniche in modo più rapido ed efficace.
Attualmente per oltre la metà delle indagini penali è necessario accedere a prove elettroniche transfrontaliere. Le prove elettroniche sono necessarie per circa l'85 % delle indagini penali, e per due terzi di queste indagini vi è la necessità di ottenere tali prove da prestatori di servizi online con sede in un’altra giurisdizione. Il numero di richieste trasmesse ai principali prestatori di servizi online è aumentato dell'84 % tra il 2013 e il 2018. Nell’ambito delle indagini penali, questi tipi di dati sono essenziali per identificare una persona od ottenere informazioni circa le sue attività.
Per prove elettroniche si intendono vari tipi di dati in forma elettronica che sono rilevanti per indagare e perseguire i reati e che spesso sono conservati sui server dei prestatori di servizi online. Le prove elettroniche comprendono i «dati relativi al contenuto» quali la posta elettronica, i messaggi di testo, le fotografie e i video, nonché i «dati non relativi al contenuto», quali i dati relativi agli abbonati o le informazioni riguardanti un account online.
La cooperazione tra autorità giudiziarie è il metodo tradizionale cui viene fatto ricorso per lavorare insieme e far fronte a tutte le forme di criminalità. Il principale strumento di cui si avvalgono oggi gli Stati membri per richiedere l’accesso transfrontaliero alle prove elettroniche della maggior parte degli altri paesi dell’Unione europea è l’ordine europeo di indagine.
Gli Stati membri dell’Unione europea fanno uso di richieste di mutua assistenza giudiziaria con i paesi terzi (e con la Danimarca e l'Irlanda, che hanno scelto di non partecipare all’ordine europeo di indagine). Più autorità sono coinvolte da entrambi i lati. Le relative procedure sono state progettate in un’epoca anteriore ad internet, quando il volume delle richieste era una frazione di quello odierno, e non affrontano gli aspetti legati alla volatilità delle prove elettroniche.
Uno dei principali destinatari delle richieste di mutua assistenza giudiziaria da parte degli Stati membri dell’Unione europea (e di tutto il mondo) per l’accesso alle prove elettroniche sono gli Stati Uniti d'America, dove hanno sede i maggiori prestatori di servizi. Un accordo sulla mutua assistenza giudiziaria tra l’Unione europea e gli Stati Uniti è stato firmato il 25 giugno 2003 ed è entrato in vigore il 1º febbraio 2010. Si tratta di un meccanismo chiave per garantire un’efficace cooperazione transatlantica in materia di giustizia penale e lotta contro la criminalità organizzata e il terrorismo.
Nel 2016 ha avuto luogo un primo riesame congiunto dell’accordo 1 , a seguito del quale si è giunti alla conclusione che esso costituisce un valore aggiunto alla mutua assistenza giudiziaria UE-USA e, in generale, funziona bene. Saranno tuttavia compiuti ulteriori sforzi per migliorare tale cooperazione. Infatti, sebbene la cooperazione giudiziaria tra le autorità pubbliche, tra cui quelle degli Stati Uniti d'America, sia un fattore di cruciale importanza, si tratta di un metodo spesso troppo lento rispetto alla natura volatile delle prove elettroniche (la cui durata media è di 10 mesi) e che può comportare un uso proporzionato di risorse. Inoltre, considerando che la sovranità è un aspetto importante della cooperazione giudiziaria in una determinata inchiesta, sta diventando sempre più comune che l’unico collegamento con l'altro Stato coinvolto sia l’ubicazione dei dati o del prestatore di servizi. In materia di prove elettroniche, il riesame congiunto del 2016 ha incoraggiato gli Stati membri a cooperare direttamente con i prestatori di servizi statunitensi per assicurare ed ottenere prove elettroniche in modo più rapido ed efficace.
La cooperazione diretta con i prestatori di servizi degli Stati Uniti si è sviluppata come una valida alternativa alla cooperazione giudiziaria. Essa è limitata ai dati non relativi al contenuto 2 ed è volontaria ai sensi del diritto degli Stati Uniti. In pratica, le autorità pubbliche dello Stato membro dell’Unione europea interessato contattano direttamente un prestatore di servizi negli Stati Uniti d’America e gli sottopongono alcune richieste, ai sensi delle norme nazionali di procedura penale, relative a dati cui il prestatore di servizi ha accesso, ovvero di norma dati riguardanti un utente dei servizi offerti dal prestatore. Ciò riguarda alcuni prestatori di servizi con sede negli Stati Uniti d’America e, in misura più limitata, in Irlanda, che rispondono direttamente alle richieste delle autorità di contrasto degli Stati membri, su base volontaria, nella misura in cui le richieste riguardano dati non relativi al contenuto.
La legislazione statunitense 3 consente ai prestatori di servizi stabiliti negli Stati Uniti di cooperare direttamente con le autorità pubbliche europee con riferimento ai dati non relativi al contenuto. Tuttavia, tale cooperazione avviene su base volontaria. Pertanto, i prestatori hanno creato le loro proprie strategie o decidono caso per caso se e in che modo cooperare. Oltre all’aumento della cooperazione diretta con i prestatori di servizi, negli Stati Uniti d’America sentenze recenti e cause giudiziarie, tra cui la causa «Microsoft Ireland» 4 , hanno cercato di chiarire se le autorità statunitensi hanno il diritto di richiedere la produzione di dati conservati all’estero da un prestatore di servizi la cui sede principale è negli Stati Uniti d’America.
La portata delle richieste di cooperazione diretta su base volontaria è aumentata rapidamente, con più di 124 000 richieste registrate nel 2017. Pur garantendo un accesso più rapido rispetto all’assistenza giudiziaria reciproca, la cooperazione diretta su base volontaria è limitata ai dati non relativi al contenuto. Essa inoltre può essere inaffidabile e non garantire il rispetto di garanzie procedurali adeguate, è possibile solo con un numero limitato di prestatori di servizi che applicano politiche diverse, non è trasparente e non esiste l'obbligo di rendicontazione. La frammentazione che ne consegue può generare incertezza giuridica, sollevare interrogativi sulla legittimità di un procedimento penale, così come preoccupazioni in merito alla tutela dei diritti fondamentali e alle garanzie procedurali per le persone interessate da tali richieste. A ciò si aggiunge che è soddisfatta meno della metà di tutte le richieste presentate ai prestatori di servizi 5 .
Per quanto riguarda eventuali richieste reciproche da parte delle autorità statunitensi ai prestatori di servizi nell’Unione europea, in molti Stati membri il quadro giuridico sulle telecomunicazioni in vigore vieta ai prestatori nazionali di telecomunicazioni di rispondere direttamente alle richieste delle autorità estere, anche per i dati non relativi al contenuto. Inoltre, non esiste un quadro giuridico che consenta una cooperazione diretta in altri settori della comunicazione. Di norma le autorità statunitensi possono ottenere tali dati dai prestatori di servizi dell’UE mediante una richiesta di mutua assistenza giudiziaria reciproca.
2. OBIETTIVI DELLA PROPOSTA
Con l’Agenda europea sulla sicurezza dell’aprile 2015 6 la Commissione europea si è impegnata a riesaminare gli ostacoli alle indagini penali relative a reati di criminalità informatica, in particolare in materia di accesso transfrontaliero alle prove elettroniche. Il 17 aprile 2018 la Commissione ha proposto al Parlamento europeo e al Consiglio un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale 7 e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali 8 (le "proposte riguardanti le prove elettroniche")
Scopo delle due proposte è accelerare, nell'Unione europea, il processo volto ad assicurare ed ottenere prove elettroniche direttamente dai prestatori di servizi stabiliti in un’altra giurisdizione. L'ambito di applicazione delle proposte comprende specifici tipi di prestatori di servizi che offrono servizi all’interno dell’Unione europea. Un prestatore offre servizi nell’Unione europea quando ne consente l'utilizzo ad utenti in uno o più Stati membri e quando ha un legame sostanziale nell’Unione, per esempio se ha una sede in uno Stato membro o offre servizi a un vasto numero di utenti in tale Stato membro. I prestatori senza una presenza nell’Unione europea sono tenuti a nominare un rappresentante legale nei confronti del quale possano essere eseguiti gli ordini di produzione.
Il Consiglio europeo ha sottolineato l’importanza di tale questione a livello sia interno che esterno. Le conclusioni del Consiglio europeo del 18 ottobre 2018 precisano quanto segue: «[o]ccorrerebbe trovare soluzioni per garantire un accesso transfrontaliero rapido ed efficiente alle prove elettroniche al fine di combattere efficacemente il terrorismo [...] ed altre forme gravi di criminalità, sia all'interno dell'UE che a livello internazionale entro la fine della legislatura si dovrebbe giungere a un accordo sulle proposte della Commissione riguardanti le prove elettroniche e l'accesso alle informazioni finanziarie, come pure su quella intesa a rendere più efficace la lotta al riciclaggio 9 . La Commissione dovrebbe inoltre presentare con urgenza i mandati negoziali relativi ai negoziati internazionali sulle prove elettroniche».
Le proposte della Commissione riguardanti le prove elettroniche costituiscono la base di un approccio coordinato e coerente dell'Unione europea sia al suo interno che sulla scena internazionale, nel dovuto rispetto delle norme dell’Unione, in particolare in materia di non discriminazione tra i suoi Stati membri e i loro cittadini. Nella valutazione d’impatto relativa alle proposte riguardanti le prove elettroniche, la Commissione ha già osservato che tali proposte potrebbero essere utilmente integrate da accordi bilaterali o multilaterali riguardanti l'accesso transfrontaliero alle prove elettroniche e le relative garanzie; tuttavia la Commissione ha deciso di proporre regole interne dell'UE relative alle modalità e alle garanzie appropriate in materia di accesso transfrontaliero alle prove elettroniche prima di avviare negoziati con terzi.
A livello internazionale è in corso una riflessione nell’ambito dei negoziati su un secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica 10 . L’accesso transfrontaliero alle prove elettroniche è stato un punto costantemente all'ordine del giorno delle recenti riunioni ministeriali UE-USA in materia di giustizia e affari interni.
Le due raccomandazioni relative all'apertura dei negoziati con gli Stati Uniti d'America e alla partecipazione ai negoziati del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica saranno adottate a breve in contemporanea dalla Commissione. Anche se progrediranno a ritmi diversi, i due processi affrontano questioni interconnesse e gli impegni assunti nell'ambito di un negoziato possono avere un impatto diretto su altri filoni delle trattative.
Mentre le proposte riguardanti le prove elettroniche affrontano la situazione di determinati tipi di prestatori di servizi che forniscono servizi sul mercato dell’UE, vi è un rischio di obblighi contrastanti con le leggi dei paesi terzi. Al fine di affrontare tali conflitti di legge, in linea con il principio di cortesia internazionale, le proposte riguardanti le prove elettroniche includono disposizioni relative a meccanismi specifici nel caso in cui un prestatore di servizi si trovi in conflitto con gli obblighi derivanti dal diritto di un paese terzo quando sono richieste delle prove. Questi meccanismi comprendono una procedura di riesame al fine di chiarire una situazione del genere. Un accordo UE-USA dovrebbe mirare a evitare obblighi contrastanti tra l’Unione europea e gli Stati Uniti d’America.
I principali prestatori di servizi in possesso di prove pertinenti per le indagini penali operano sotto la giurisdizione degli Stati Uniti. Lo Stored Communications Act del 1986 vieta la divulgazione di dati relativi ai contenuti, mentre i dati non relativi ai contenuti possono essere forniti su base volontaria. Negli Stati Uniti il CLOUD Act (Clarifying Lawful Overseas Use of Data), adottato dal Congresso degli Stati Uniti il 23 marzo 2018 chiarisce mediante un emendamento allo Stored Communications Act del 1986 che i prestatori di servizi statunitensi hanno l'obbligo di rispettare le disposizioni degli Stati Uniti d'America relativi al divulgamento dei dati relativi o non relativi al contenuto, a prescindere dal luogo di conservazione dei dati, ivi compresa l’Unione europea. Il CLOUD Act consente altresì la conclusione di accordi esecutivi con i governi stranieri, sulla cui base i prestatori di servizi degli Stati Uniti d'America sono in grado di fornire dati relativi al contenuto direttamente a tali governi stranieri. L'ambito dei dati oggetto del CLOUD Act riguarda i dati, le intercettazione telefoniche e le comunicazioni elettroniche registrati, mentre le infrazioni interessate sono i «reati gravi». Gli accordi esecutivi con governi stranieri sono soggetti a determinate condizioni, tra cui quella che il paese straniero disponga di sufficienti tutele, anche per limitare l’accesso ai dati relativi a cittadini statunitensi.
L’obiettivo della presente iniziativa è affrontare, attraverso norme comuni, la questione giuridica specifica per l’accesso ai dati relativi al contenuto e a quelli non relativi al contenuto detenuti dai prestatori di servizi nell’Unione europea o negli Stati Uniti. Nel quadro di un accordo internazionale, l'iniziativa integrerebbe le proposte dell’UE riguardanti le prove elettroniche affrontando i conflitti di legge e rendendo più rapido l’accesso alle prove elettroniche. La presente raccomandazione comprende direttive per l’avvio di negoziati su un accordo tra l’UE e gli Stati Uniti d’America in materia di accesso transfrontaliero alle prove elettroniche. L’Unione europea è interessata a raggiungere un accordo globale con gli Stati Uniti sia nella prospettiva della protezione dei diritti e dei valori europei, quali la privacy e la protezione dei dati personali, sia per quanto riguarda i nostri interessi in materia di sicurezza.
In termini di dati relativi al contenuto, come illustrato in precedenza, la legge statunitense (Stored Communications Act del 1986), nella sua forma attuale, vieta ai prestatori di servizi statunitensi di rispondere alle richieste delle autorità di contrasto estere. Attualmente il diritto statunitense impone che la causa probabile sia dimostrata prima che possa essere dato seguito a una richiesta di mutua assistenza giudiziaria proveniente da un paese terzo. Al momento attuale i prestatori di servizi degli Stati membri dell’UE non possono rispondere a richieste presentate direttamente da autorità di paesi terzi. Un accordo tra l’UE e gli Stati Uniti integrerebbe l’obiettivo e l’efficacia delle proposte in materia di prove elettroniche, in particolare per i dati relativi al contenuto detenuti negli Stati Uniti da prestatori di servizi statunitensi. L'accordo consentirebbe una cooperazione diretta con un prestatore di servizi mediante la creazione di un quadro giuridico più efficace per le autorità giudiziarie poiché al momento attuale gli operatori giudiziari dell’UE incontrano difficoltà per ottenere i dati relativi al contenuto attraverso richieste di assistenza giudiziaria.
Per quanto riguarda i dati non relativi al contenuto, a causa del crescente numero di richieste di mutua assistenza giudiziaria trasmesse agli Stati Uniti, le autorità statunitensi hanno incoraggiato le autorità giudiziarie e di contrasto dell'UE a richiedere i dati non relativi al contenuto direttamente ai prestatori di servizi statunitensi, e la legislazione statunitense consente, ma non impone, ai prestatori di servizi con sede negli Stati Uniti di rispondere a tali richieste. Un accordo UE-USA offrirebbe una maggiore certezza del diritto e ridurrebbe la frammentazione cui le autorità dell’UE sono confrontate quando vogliono accedere ai dati non relativi al contenuto detenuti da prestatori di servizi statunitensi. Consentirebbe inoltre alle autorità statunitensi di accedere ai dati detenuti dai prestatori di servizi dell’UE.
La raccomandazione di decisione del Consiglio caldeggia l'avvio di negoziati tra l’Unione europea e gli Stati Uniti d’America, in modo che possa essere raggiunto un accordo transatlantico sull'accesso transfrontaliero alle prove elettroniche da utilizzare nell'ambito di un procedimento penale direttamente dai prestatori di servizi. Essa mira ad adattare i meccanismi di cooperazione all’era digitale, fornendo alle autorità giudiziarie e di contrasto gli strumenti per stare al passo con le attuali modalità di comunicazione dei criminali e combattere le forme moderne di criminalità.
Un accordo tra l’Unione europea e gli Stati Uniti avrebbe una serie di vantaggi pratici:
·fornirebbe alle autorità giudiziarie l’accesso reciproco ai dati relativi al contenuto;
·affronterebbe la questione dell’accesso ai dati non relativi al contenuto sulla base di ordini emessi dalle autorità giudiziarie, in particolare per quanto riguarda l’accesso reciproco da parte delle autorità statunitensi, e rivedrebbe le condizioni e le garanzie per una cooperazione diretta con i prestatori di servizi;
·contribuirebbe a migliorare l’accesso tempestivo delle autorità giudiziarie ai dati;
·consentirebbe di far fronte al rischio di conflitti di leggi;
·ridurrebbe il rischio di frammentazione di norme e procedure e armonizzerebbe i diritti e le garanzie tramite un unico mandato di negoziato per tutti gli Stati membri dell’UE con gli Stati Uniti, assicurando la non discriminazione tra gli Stati membri dell'Unione europea e i loro rispettivi cittadini;
·chiarirebbe la natura vincolante e di esecuzione degli ordini per i prestatori di servizi, precisando al contempo gli obblighi per le autorità giudiziarie.
L'accordo è subordinato a forti meccanismi di tutela dei diritti fondamentali. Le due direttive di negoziato mirano a migliorare la certezza del diritto per le autorità, i prestatori di servizi e le persone interessate, assicurando la proporzionalità, la protezione dei diritti fondamentali, la trasparenza e assunzione di responsabilità da parte sia delle autorità giudiziarie sia dei prestatori di servizi.
3. DISPOSIZIONI RILEVANTI DEL SETTORE
L'attuale quadro giuridico dell’UE si compone degli strumenti di cooperazione dell'Unione in materia penale, quali la direttiva 2014/41/UE relativa all’ordine europeo di indagine penale 11 (direttiva OEI), la convenzione relativa all'assistenza giudiziaria in materia penale tra gli Stati membri dell'Unione europea 12 , il regolamento 2018/1727 su Eurojust 13 , il regolamento (UE) 2016/794 su Europol 14 , la decisione quadro 2002/465/GAI del Consiglio relativa alle squadre investigative comuni 15 e la proposta di regolamento sulla prevenzione della diffusione di contenuti terroristici online 16 .
Il 17 aprile 2018 la Commissione ha proposto al Consiglio e al Parlamento europeo un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale 17 e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali 18 . Sul piano esterno, l’Unione europea ha concluso una serie di accordi bilaterali tra l’Unione e paesi terzi, come l’accordo sulla mutua assistenza giudiziaria (Agreement on Mutual Legal Assistance) tra l’UE e gli Stati Uniti d'America 19 . Il presente accordo è inteso come complemento a tali disposizioni.
I dati personali rientranti nell’ambito di applicazione della presente raccomandazione di decisione del Consiglio sono protetti e possono essere trattati solo in conformità con il regolamento generale sulla protezione dei dati 20 e, per le autorità all'interno dell'Unione europea, la direttiva sulla protezione dei dati nelle attività di polizia e giustizia 21 . L’accordo dovrebbe integrare l’accordo UE-USA sulla protezione dei dati e sulla privacy, altrimenti noto come «l’accordo quadro», che è entrato in vigore il 1º febbraio 2017 e il Judicial Redress Act degli Stati Uniti (JRA), estendendo ai cittadini europei i benefici del Privacy Act degli Stati Uniti che è stato adottato dal Congresso degli Stati Uniti il 24 febbraio 2016.
I dati relativi alle comunicazioni elettroniche rientranti nell’ambito di applicazione della presente raccomandazione di decisione del Consiglio sono protetti e possono essere trattati solo in conformità con la direttiva 2002/58/CE (la direttiva sulla privacy) 22 .
L’accordo dovrà rispettare i diritti fondamentali, le libertà e i principi generali del diritto dell’UE, come sanciti dai trattati dell’Unione europea e dalla Carta dei diritti fondamentali, i diritti procedurali tra cui il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa, i principi della legalità e della proporzionalità dei reati e delle pene e qualsiasi obbligo che incombe alle autorità giudiziarie o di contrasto a tal fine. Per quanto riguarda le necessarie garanzie in materia di protezione dei dati per i dati personali trasferiti dall’Unione europea agli Stati Uniti, le disposizioni applicabili dell’accordo UE-USA in materia di protezione dei dati e della vita privata saranno integrate da garanzie aggiuntive per tener conto del livello di sensibilità delle categorie di dati interessate e delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi.
L’accordo non dovrà inoltre pregiudicare le altre convenzioni internazionali esistenti relative alla cooperazione giudiziaria in materia penale tra autorità, come l’accordo sulla mutua assistenza giudiziaria UE-USA. L'accordo dovrebbe inoltre, nelle relazioni bilaterali tra gli Stati Uniti d'America e l'Unione europea, prevalere su altri accordi o intese concordati in sede di negoziato del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica.
Il Consiglio autorizza l’avvio dei negoziati, adotta le direttive di negoziato e autorizza la firma e la conclusione dell’accordo di cui all’articolo 218, paragrafi 3 e 4, del trattato sul funzionamento dell’Unione europea.
Diritti fondamentali
L'accordo potrebbe potenzialmente incidere su una serie di diritti fondamentali:
·i diritti delle persone fisiche ai cui dati è previsto l’accesso: compreso il diritto alla protezione dei dati personali; il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni; il diritto alla libertà di espressione e di riunione; il diritto a un ricorso effettivo e a un giudice imparziale, la presunzione di innocenza e i diritti della difesa, i principi della legalità e della proporzionalità dei reati e delle pene;
·i diritti del prestatore di servizi: il diritto alla libertà d'impresa; il diritto a un ricorso effettivo;
·il diritto alla libertà e alla sicurezza delle persone.
Tenendo conto dell'acquis pertinente in materia di privacy e protezione dei dati, dovrebbero essere incluse nell’accordo garanzie sufficienti e importanti al fine di assicurare che i diritti dei soggetti interessati siano tutelati in linea con i principi generali del diritto dell’Unione e della pertinente giurisprudenza della Corte di giustizia dell’Unione europea.
L'accordo UE-USA dovrebbe essere compatibile con le proposte della Commissione in materia di prove elettroniche, così come evolveranno nel corso della procedura legislativa nonché con la versione definitiva adottata delle proposte.
Le definizioni dei procedimenti penali per i quali tali dati possono essere ottenuti, i tipi dei dati interessati, gli obblighi relativi all'emissione di un ordine, i mezzi di ricorso giuridico e le garanzie e la portata dei reati in questione costituiranno una parte importante dei negoziati al fine di evitare possibili conflitti di legge e migliorare l’accesso ai dati da parte delle autorità. Le definizioni e l'ambito di applicazione dovrebbero essere compatibili con quelli delle norme interne dell'UE in materia di prove elettroniche e con l'evolversi delle stesse.
La Commissione ritiene che la conclusione di un accordo globale sia nell’interesse tanto dell'Unione europea quanto degli Stati Uniti, poiché tale accordo fornirebbe maggiore chiarezza giuridica per le autorità giudiziarie e di contrasto di entrambe le Parti ed eviterebbe conflitti tra obblighi giuridici per i prestatori di servizi. Un accordo globale è inoltre l’unico modo per evitare l'esistenza di norme diverse per cittadini dell’UE e i prestatori di servizi in base alla loro cittadinanza.
L'accordo chiarirebbe la natura vincolante e di esecuzione degli ordini per i prestatori di servizi, definendo al contempo gli obblighi per le autorità giudiziarie.
Ai punti da 1 a 3 delle direttive di negoziato, la Commissione propone i tre obiettivi principali dell’accordo, vale a dire, in primo luogo, la definizione di norme comuni e la risoluzione dei conflitti di legge per gli ordini concernenti i dati relativi al contenuto e quelli non relativi al contenuto, emessi da un’autorità giudiziaria di una Parte contraente e rivolti a un prestatore di servizi soggetto alla legislazione di un’altra Parte contraente; in secondo luogo, sulla base di tale ordine, consentire il trasferimento di prove elettroniche direttamente su una base di reciprocità da un prestatore di servizi a un’autorità richiedente e, in terzo luogo, garantire il rispetto dei diritti e delle libertà fondamentali e dei principi generali del diritto dell’UE, come sanciti dai trattati dell’Unione europea e dalla Carta dei diritti fondamentali dell’Unione europea.
Al punto 4 delle direttive di negoziato, la Commissione propone che l’accordo si applichi ai procedimenti penali nelle fasi sia istruttoria che processuale. È opportuno che ciò sia compatibile con l’articolo 3 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali. Durante le fasi preprocessuale e processuale tutte le tutele giuridiche per le persone interessate sono applicabili, in particolare, le garanzie procedurali di diritto penale.
Al punto 5 delle direttive di negoziato, la Commissione propone che l’accordo debba creare diritti e obblighi reciproci per le Parti dell’accordo.
Al punto 6 delle direttive di negoziato, la Commissione propone che l’accordo stabilisca le definizioni e i tipi di dati interessati, compresi i dati relativi al contenuto e i dati non relativi al contenuto. I dati relativi al contenuto riguardano il contenuto degli scambi elettronici e sono considerati la categoria più intrusiva di prove elettroniche. I dati non relativi al contenuto riguardano sia i dati relativi agli abbonati, che è il tipo di dati richiesti più frequentemente ai fini di indagini penali, sia i dati relativi al traffico, che includono le informazioni sull’identità dei mittenti e dei destinatari dei messaggi elettronici nonché i metadati, compresi i tempi, la frequenza e la durata degli scambi.
Al punto 7 delle direttive di negoziato, la Commissione propone che l’accordo definisca l’esatto ambito di applicazione per quanto riguarda i reati interessati e le soglie relative ai livelli delle sanzioni. È opportuno che ciò sia compatibile con l’articolo 5, paragrafo 4, della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali. L’autorità di emissione dovrebbe essere tenuta ad assicurarsi che nei singoli casi la misura sia necessaria e proporzionata, anche in considerazione della gravità del reato oggetto dell’indagine. L’accordo dovrebbe includere soglie adeguate relative ai livelli delle sanzioni per i dati relativi al contenuto e quelli non relativi al contenuto. Dovrebbe essere compatibile con una soglia di tre anni che circoscrive l’ambito di applicazione dello strumento ai reati più gravi senza limitare eccessivamente la possibilità di uso dello strumento da parte degli operatori del settore.
La Commissione propone al punto 8 delle direttive di negoziato che l’accordo stabilisca quali sono le condizioni da soddisfare prima che un’autorità giudiziaria possa emettere un ordine e i modi in cui tali condizioni possono essere soddisfatte. È opportuno che ciò sia compatibile con l’articolo 5 sulle condizioni per l'emissione di ordini europei della proposta di regolamento relativo agli ordini di produzione e di conservazione di prove elettroniche nei procedimenti penali.
Al punto 9 delle direttive di negoziato, la Commissione propone che l’accordo includa una clausola che garantisca mezzi di ricorso giurisdizionali efficaci per gli indagati e gli imputati nei procedimenti penali. L’accordo dovrebbe inoltre definire in quali circostanze un prestatore di servizi ha il diritto di opporsi a un ordine. Per le persone interessate, la base di queste disposizioni sono l’articolo 17 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, che garantisce che le persone interessate da un ordine europeo di produzione dispongano di mezzi di ricorso efficaci in conformità del diritto nazionale, di norma durante il procedimento penale. I mezzi di ricorso degli interessati sono inoltre definiti dalla direttiva (UE) 2016/680 e dal regolamento (UE) 2016/679. Essendo una misura vincolante, l’ordine può incidere anche sui diritti dei prestatori di servizi, in particolare sulla libertà d’impresa e le relative condizioni. La Commissione propone che l'accordo comprenda il diritto del prestatore di servizi di sollevare obiezioni nello Stato membro di emissione, ad esempio se l’ordine non è stato emesso o convalidato da un’autorità giudiziaria.
Al punto 10 delle direttive di negoziato, la Commissione propone che l’accordo definisca il periodo entro il quale i dati richiesti nell'ordine devono essere forniti. È opportuno che tale periodo sia compatibile all’articolo 9 della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali che impone l'obbligo di rispondere entro un termine normale di 10 giorni, anche se le autorità possono stabilire un termine più breve, ove giustificato.
Al punto 11 delle direttive di negoziato la Commissione propone che l’accordo non debba inoltre pregiudicare le altre convenzioni internazionali esistenti relative alla cooperazione giudiziaria in materia penale tra le autorità, come l’accordo sulla mutua assistenza giudiziaria UE-USA.
Al punto 12 delle direttive di negoziato la Commissione propone che, per le relazioni bilaterali tra gli Stati Uniti d'America e l'Unione europea, l'accordo prevalga su altri accordi o intese concordati in sede di negoziato del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica, laddove le disposizioni di quest’ultima convenzione o intesa riguardino questioni disciplinate dal presente accordo.
Al punto 13 delle direttive di negoziato la Commissione propone che l’accordo sia reciproco per quanto riguarda le categorie di persone i cui dati non possono essere richiesti a norma dell'accordo. L’accordo non deve operare discriminazioni tra cittadini di diversi Stati membri dell’Unione europea. La Commissione ritiene che tale accordo, applicabile a livello europeo, rappresenti una garanzia per il rispetto di tale requisito.
I punti da 14 a 16 delle direttive riguardano le garanzie in materia di protezione dei dati necessarie per questo accordo specifico. Il punto 14 delle direttive di negoziato dispone che l’accordo renda applicabile, mediante riferimento, l’accordo UE-USA sulla protezione dei dati e sulla privacy, altrimenti noto come «accordo quadro». Al punto 15 la Commissione dispone che l’accordo completi l’accordo quadro con garanzie supplementari che tengano conto del livello di sensibilità delle categorie di dati in questione e delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra le autorità. Il punto 16 stabilisce le garanzie supplementari che la Commissione propone, come richiesto per questo accordo, compresa la specificazione delle finalità, la limitazione delle finalità, la notifica e il trasferimento successivo.
Il punto 17 delle direttive di negoziato riguarda i diritti procedurali aggiuntivi che la Commissione propone come obbligatori per tener conto delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra le autorità. Questi diritti prevedono, tra l'altro, la possibilità che non sia consentito richiedere i dati per usarli un procedimento penale che potrebbe comportare l'applicazione della pena capitale, la proporzionalità degli ordini nonché garanzie specifiche per i dati protetti da privilegi e immunità. Le immunità e i privilegi di talune professioni, come quella di avvocato, nonché gli interessi fondamentali connessi alla sicurezza o alla difesa nazionali nello Stato del destinatario devono parimenti essere presi in considerazione nel corso del processo nello Stato di emissione. Il riesame da parte di un’autorità giudiziaria costituisce un’ulteriore garanzia.
Nelle disposizioni di governance di cui ai punti da 18 a 23 delle direttive di negoziato la Commissione propone che l’accordo preveda verifiche congiunte periodiche sulla sua applicazione e una clausola sulla sua durata. Propone inoltre che l’accordo preveda che le Parti si consultino per agevolare la risoluzione di qualsiasi controversia relativa all’interpretazione o all’applicazione dell’accordo. È opportuno raccogliere dati statistici da entrambe le Parti per facilitare il processo di revisione. Le direttive di negoziato propongono inoltre che il futuro accordo preveda una clausola di sospensione e di risoluzione nel caso in cui la procedura di consultazione non sia in grado di risolvere eventuali controversie.
Raccomandazione di
DECISIONE DEL CONSIGLIO
che autorizza l’avvio di negoziati in vista di un accordo tra l’Unione europea e gli Stati Uniti d’America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 218, paragrafi 3 e 4,
vista la raccomandazione della Commissione europea,
1. Il 17 aprile 2018 la Commissione ha presentato proposte legislative concernenti rispettivamente un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell'acquisizione di prove nei procedimenti penali (le "proposte riguardanti le prove elettroniche") 23 . Nella sessione del Consiglio "Giustizia e affari interni" del 7 dicembre 2018, il Consiglio ha approvato un orientamento generale sulla proposta della Commissione relativa a un regolamento della Commissione 24 .
2. È opportuno avviare negoziati in vista della conclusione di un accordo tra l’Unione e gli Stati Uniti d’America sull'accesso transfrontaliero da parte delle autorità giudiziarie nell’ambito di un procedimento penale alle prove elettroniche detenute da un prestatore di servizi.
3. Occorre che l'accordo comprenda garanzie sui diritti e sulle libertà fondamentali e osservi i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto al rispetto della vita privata e familiare, del domicilio e delle comunicazioni, di cui all'articolo 7 della Carta, il diritto alla protezione dei dati di carattere personale, di cui all'articolo 8 della Carta, il diritto a un ricorso effettivo e un giudice imparziale, di cui all'articolo 47 della Carta, la presunzione di innocenza e i diritti della difesa ,di cui all'articolo 48 della Carta e i principi della legalità e della proporzionalità, di cui all'articolo 49 della Carta. È opportuno che l’accordo sia applicato in conformità di tali diritti e principi.
4. Il garante europeo della protezione dei dati è stato consultato a norma dell’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 25 e ha espresso un parere il [...] 26 ,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
La Commissione è autorizzata a negoziare, a nome dell’Unione, un accordo tra l’Unione e gli Stati Uniti d’America sull'accesso transfrontaliero, da parte delle autorità giudiziarie nell’ambito di un procedimento penale, alle prove elettroniche detenute da un prestatore di servizi.
Articolo 2
Le direttive di negoziato figurano nell'allegato.
Articolo 3
I negoziati sono condotti in consultazione con un comitato speciale che sarà designato dal Consiglio.
Articolo 4
La Commissione è destinataria della presente decisione.
Fatto a Bruxelles, il
Per il Consiglio
Il presidente
COMMISSIONE EUROPEA
Bruxelles, 5.2.2019
COM(2019) 70 final
ALLEGATO
della
Raccomandazione di DECISIONE DEL CONSIGLIO
che autorizza l'avvio di negoziati in vista di un accordo tra l'Unione europea e gli Stati Uniti d'America sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale
ALLEGATO
1.OBIETTIVI
Nel corso dei negoziati la Commissione dovrebbe mirare a conseguire gli obiettivi specificati di seguito in dettaglio, garantendo nel contempo che l’esito dei negoziati sia compatibile con le norme interne dell’Unione relative alle prove elettroniche, così come evolveranno nel corso della procedura legislativa ad opera dei colegislatori dell'Unione e, in ultima analisi, con la loro versione definitiva adottata. Tali norme interne costituiranno la base per la posizione negoziale dell’Unione.
1.Fissare norme comuni e affrontare i conflitti di legge relativi agli ordini per l’ottenimento di prove elettroniche sotto forma di dati relativi al contenuto e dati non relativi al contenuto emessi da un’autorità giudiziaria di una Parte contraente e rivolti a un prestatore di servizi soggetto alla legge dell’altra Parte contraente. Ciò ridurrebbe il rischio di frammentazione delle pratiche e delle norme giuridiche e rafforzerebbe la certezza del diritto tra l’Unione e gli Stati Uniti d’America relativamente all’ottenimento di prove elettroniche nei procedimenti penali.
2.Consentire un trasferimento di prove elettroniche direttamente su base di reciprocità da parte di un prestatore di servizi a un'autorità richiedente di cui al paragrafo 1.
3.Assicurare il rispetto dei diritti e delle libertà fondamentali e dei principi generali del diritto dell’UE come sanciti dai trattati e dalla Carta dei diritti fondamentali dell’Unione europea, in particolare, la proporzionalità, i diritti procedurali, la presunzione di innocenza e i diritti di difesa delle persone sottoposte a procedimento penale, come pure la tutela della privacy e la protezione dei dati personali e dei dati delle comunicazioni quando tali dati sono trattati, compresi i trasferimenti alle autorità di contrasto di paesi terzi, e qualsiasi obbligo che incombe alle autorità giudiziarie e di contrasto a tale riguardo.
Per conseguire gli obiettivi stabiliti nella parte 1, l’accordo dovrebbe tener conto, in particolare, dei seguenti elementi:
2.NATURA E AMBITO DI APPLICAZIONE DELL'ACCORDO
4.L’accordo dovrebbe applicarsi ai procedimenti penali sia nella fase istruttoria che in quella processuale.
5.L’accordo dovrebbe creare diritti e obblighi reciproci per le Parti.
6.L’accordo dovrebbe stabilire le definizioni e i tipi di dati interessati, compresi i dati relativi al contenuto e i dati non relativi al contenuto.
7.L’accordo dovrebbe definire il suo esatto ambito di applicazione per quanto riguarda i reati interessati e le soglie.
8.L’accordo dovrebbe definire le condizioni da soddisfare prima che un’autorità giudiziaria possa emettere un ordine e i modi in cui tali condizioni possono essere soddisfatte.
9.L'accordo dovrebbe prevedere una clausola che consenta mezzi di ricorso giurisdizionali efficaci per gli interessati nel corso di un procedimento penale. L’accordo dovrebbe inoltre definire in quali circostanze un prestatore di servizi ha il diritto di opporsi a un ordine.
10.L’accordo dovrebbe definire il termine per la trasmissione dei dati oggetto di un ordine.
11.L’accordo non dovrebbe inoltre pregiudicare le altre convenzioni internazionali esistenti relative alla cooperazione giudiziaria tra autorità in materia penale, come l’accordo sulla mutua assistenza giudiziaria UE-USA.
12.Nel quadro delle relazioni bilaterali tra gli Stati Uniti d'America e l'Unione europea, l'accordo dovrebbe prevalere su altri accordi o intese concordati in sede di negoziato del secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica, laddove le disposizioni di quest’ultima convenzione o intesa riguardino questioni disciplinate dall'accordo.
3.GARANZIE
13.L’accordo dovrebbe essere reciproco per quanto riguarda le categorie di persone i cui dati non possono essere richiesti a norma dell'accordo. Esso non dovrebbe operare discriminazioni tra cittadini di diversi Stati membri.
14.L’accordo dovrebbe rendere applicabile, mediante riferimento, l’accordo UE-USA sulla protezione dei dati e sulla privacy, altrimenti noto come «l’accordo quadro», entrato in vigore il 1º febbraio 2017.
15.L’accordo dovrebbe integrare l’accordo quadro con garanzie supplementari che tengano conto del livello di sensibilità delle categorie di dati in questione e delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra autorità.
16.Le garanzie aggiuntive in materia di protezione dei dati e della vita privata, che dovranno essere riviste in funzione dell'ambito dell’accordo, dovrebbero tra l'altro interessare:
(a)la specificazione delle finalità per le quali i dati personali e i dati delle comunicazioni elettroniche possono essere richiesti e trasferiti;
(b)il requisito che l'ordine sia limitato ai dati personali e ai dati delle comunicazioni elettroniche necessari e proporzionati in funzione della finalità per i quali l'accesso è autorizzato;
(c)il requisito che l’uso e la divulgazione dei dati ad altre autorità statunitensi non vincolate dall’accordo quadro siano soggetti a notifica e autorizzazione preventiva da parte dell’autorità giudiziaria competente designata dello Stato membro in cui il prestatore di servizi è stabilito o rappresentato e possano aver luogo solo se è garantito che l’autorità ricevente protegge efficacemente i dati personali e i dati delle comunicazioni elettroniche, in linea con le disposizioni dell’accordo. Nel valutare tale autorizzazione preventiva, l’autorità giudiziaria competente dovrebbe tenere debitamente conto di tutti i fattori pertinenti, tra cui la gravità del reato e la finalità per la quale i dati sono inizialmente trasferiti;
(d)il requisito che i trasferimenti successivi ad altri paesi terzi possano essere effettuati solo nei confronti delle autorità di contrasto responsabili della prevenzione, indagine, accertamento e perseguimento di reati, compreso il terrorismo, e dovrebbero essere soggetti all’obbligo di notifica e autorizzazione preventiva da parte dell'autorità giudiziaria competente designata dallo Stato membro in cui il prestatore di servizi è stabilito o rappresentato. Nel valutare tale autorizzazione preventiva, l’autorità giudiziaria competente dovrebbe tenere conto dei fattori di cui all’articolo 7, paragrafo 2, dell’accordo quadro;
(e)l’accordo può prendere in esame le circostanze eccezionali e le garanzie richieste laddove un ulteriore trasferimento possa avvenire senza autorizzazione preventiva, in caso di minaccia grave e imminente per la sicurezza pubblica di uno Stato membro o di un paese terzo;
(f)la notifica di un incidente di sicurezza delle informazioni all’autorità competente designata dallo Stato membro nel quale è stabilito o rappresentato il prestatore del servizio è effettuata alle condizioni di cui all’articolo 10, paragrafo 2, dell’accordo quadro.
17.Le garanzie aggiuntive riguardanti i diritti procedurali, che dovranno essere riviste in funzione dell'ambito dell’accordo, dovrebbero tra l'altro interessare:
(a)garanzie adeguate per assicurare che i dati non possano essere richiesti per l’utilizzo in un procedimento penale che potrebbe comportare l’applicazione della pena capitale;
(b)condizioni adeguate per garantire la necessità e la proporzionalità degli ordini di accesso alle prove elettroniche, distinguendo in particolare tra le categorie di dati a seconda dei casi;
(c)garanzie procedurali per le persone oggetto di un ordine nel quadro di un procedimento penale;
(d)garanzie specifiche per i dati protetti da privilegi e immunità;
(e)disposizioni sulla tutela della riservatezza cui le autorità e i prestatori di servizi devono ottemperare, compresi gli obblighi di non divulgazione.
4.GOVERNANCE DELL’ACCORDO
18.L’accordo dovrebbe stipulare che le Parti procedano periodicamente a una verifica congiunta della sua applicazione ed esaminino come renderne più efficace l’uso. A tal fine è opportuno che dati statistici siano raccolti da entrambi i lati per facilitare il processo di revisione.
19.L’accordo dovrebbe prevedere una clausola relativa alla sua durata. Se la durata debba essere indeterminata o determinata sarà valutato alla luce dei risultati dei negoziati. In entrambi i casi, occorre inserire una disposizione che preveda una revisione dell’accordo a tempo debito.
20.L'accordo dovrebbe inoltre stipulare che le Parti si consultino per agevolare la risoluzione di qualsiasi controversia relativa alla sua interpretazione o applicazione.
21.L’accordo dovrebbe prevedere la possibilità di una sua sospensione e risoluzione ad opera di ciascuna delle Parti nel caso in cui non sia possibile risolvere la controversia mediante la suddetta procedura di consultazione.
22.L’accordo dovrebbe prevedere una clausola relativa alla sua applicazione territoriale.
23.L’accordo farà fede in tutte le lingue ufficiali dell’Unione.
