EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32023D0436
Council Decision (EU) 2023/436 of 14 February 2023 authorising Member States to ratify, in the interest of the European Union, the Second Additional Protocol to the Convention on Cybercrime on enhanced cooperation and disclosure of electronic evidence
Decisione (UE) 2023/436 del Consiglio del 14 febbraio 2023 che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche
Decisione (UE) 2023/436 del Consiglio del 14 febbraio 2023 che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche
ST/6438/2022/INIT
OJ L 63, 28.2.2023, p. 48–53
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
ELI: http://data.europa.eu/eli/dec/2023/436/oj
|
28.2.2023 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 63/48 |
DECISIONE (UE) 2023/436 DEL CONSIGLIO
del 14 febbraio 2023
che autorizza gli Stati membri a ratificare, nell’interesse dell’Unione europea, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche
IL CONSIGLIO DELL’UNIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 16 e l’articolo 82, paragrafo 1, in combinato disposto con l’articolo 218, paragrafo 6,
vista la proposta della Commissione europea,
vista l’approvazione del Parlamento europeo (1),
considerando quanto segue:
|
(1) |
Il 6 giugno 2019 il Consiglio ha autorizzato la Commissione a partecipare, a nome dell’Unione, ai negoziati sul secondo protocollo addizionale alla Convenzione del Consiglio d’Europa sulla criminalità informatica (STCE n. 185) («Convenzione sulla criminalità informatica»). |
|
(2) |
Il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche («protocollo») è stato adottato dal Comitato dei ministri del Consiglio d’Europa il 17 novembre 2021 e dovrebbe essere aperto alla firma il 12 maggio 2022. |
|
(3) |
Le disposizioni del protocollo rientrano in un settore disciplinato in larga misura da norme comuni ai sensi dell’articolo 3, paragrafo 2, del trattato sul funzionamento dell’Unione europea (TFUE), compresi gli strumenti che agevolano la cooperazione giudiziaria in materia penale, garantendo norme minime in materia di diritti processuali e garanzie in merito alla protezione dei dati e alla riservatezza. |
|
(4) |
La Commissione ha inoltre presentato proposte legislative per un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale e una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali, che introducono ordini europei di produzione e di conservazione vincolanti da rivolgere direttamente a un rappresentante di un prestatore di servizi in un altro Stato membro. |
|
(5) |
Partecipando ai negoziati sul protocollo, la Commissione si è assicurata che fosse compatibile con le pertinenti norme comuni dell’Unione. |
|
(6) |
Per garantire la compatibilità del protocollo con il diritto e le politiche dell’Unione sono necessarie varie riserve, dichiarazioni, notifiche e comunicazioni in relazione al protocollo. Altre sono pertinenti al fine di garantire l’applicazione uniforme del protocollo da parte degli Stati membri dell’Unione che sono parti del protocollo («Stati membri che sono parti») nei loro rapporti con paesi terzi che sono parti del protocollo («paesi terzi che sono parti») e l’effettiva applicazione del protocollo. |
|
(7) |
Le riserve, dichiarazioni, notifiche e comunicazioni in merito alle quali vengono forniti orientamenti agli Stati membri nell’allegato della presente decisione non pregiudicano la possibilità per questi ultimi di formulare individualmente altre riserve o dichiarazioni ove il protocollo lo consenta. |
|
(8) |
Gli Stati membri che non abbiano formulato riserve, dichiarazioni, notifiche e comunicazioni in conformità dell’allegato della presente decisione all’atto della firma dovrebbero farlo all’atto del deposito del loro strumento di ratifica, di accettazione o di approvazione del protocollo. |
|
(9) |
In seguito alla ratifica, accettazione o approvazione del protocollo, gli Stati membri dovrebbero inoltre rispettare le indicazioni previste nell’allegato della presente decisione. |
|
(10) |
Il protocollo prevede procedure rapide che migliorano l’accesso transfrontaliero alle prove elettroniche e un elevato livello di garanzie. Pertanto, la sua entrata in vigore contribuirà alla lotta contro la criminalità informatica e altre forme di criminalità a livello mondiale, facilitando la cooperazione tra gli Stati membri che sono parti e i paesi terzi che sono parti, garantirà un elevato livello di protezione delle persone e risolverà i conflitti di legge. |
|
(11) |
Il protocollo prevede garanzie adeguate in linea con i requisiti per i trasferimenti internazionali di dati personali di cui al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (2) e alla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (3). Pertanto, la sua entrata in vigore contribuirà a promuovere le norme dell’Unione in materia di protezione dei dati a livello globale, agevolerà i flussi di dati tra gli Stati membri che sono parti e i paesi terzi che sono parti e garantirà che gli Stati membri che sono parti adempiano ai loro obblighi sanciti dalle norme dell’Unione in materia di protezione dei dati. |
|
(12) |
La rapida entrata in vigore del protocollo confermerà inoltre la posizione della Convenzione sulla criminalità informatica quale principale quadro multilaterale nella lotta contro la criminalità informatica. |
|
(13) |
L’Unione non può ratificare il protocollo, in quanto solo gli Stati possono esserne parti. |
|
(14) |
È pertanto opportuno autorizzare gli Stati membri a ratificare il protocollo, agendo congiuntamente nell’interesse dell’Unione. |
|
(15) |
Il Garante europeo della protezione dei dati è stato consultato a norma del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4) e ha espresso un parere il 21 gennaio 2022. |
|
(16) |
A norma degli articoli 1 e 2 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al trattato sull’Unione europea (TUE) e al TFUE, e fatto salvo l’articolo 4 di tale protocollo, l’Irlanda non partecipa all’adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione. |
|
(17) |
A norma degli articoli 1 e 2 del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non partecipa all’adozione della presente decisione, non è da essa vincolata né è soggetta alla sua applicazione, |
|
(18) |
Le versioni del protocollo facenti fede sono le versioni inglese e francese del testo, adottato dal Comitato dei ministri del Consiglio d’Europa il 17 novembre 2021, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Gli Stati membri sono autorizzati a ratificare, nell’interesse dell’Unione, il secondo protocollo addizionale alla Convenzione sulla criminalità informatica riguardante la cooperazione rafforzata e la divulgazione di prove elettroniche («protocollo») (5).
Articolo 2
1. All’atto della ratifica del protocollo, gli Stati membri che, all’atto della firma del protocollo, non hanno formulato riserve, dichiarazioni, notifiche o comunicazioni in conformità delle sezioni da 1 a 3 dell’allegato della presente decisione vi procedono all’atto del deposito del loro strumento di ratifica, di accettazione o di approvazione del protocollo.
2. In seguito alla ratifica, accettazione o approvazione del protocollo, gli Stati membri rispettano inoltre le indicazioni previste nella sezione 4 dell’allegato della presente decisione.
Articolo 3
La presente decisione entra in vigore il giorno dell’adozione.
Articolo 4
La presente decisione è pubblicata nella Gazzetta ufficiale dell’Unione europea.
Articolo 5
Gli Stati membri sono destinatari della presente decisione.
Fatto a Bruxelles, il 14 febbraio 2023
Per il Consiglio
Il presidente
E. SVANTESSON
(1) Approvazione del 17 gennaio 2023 (non ancora pubblicata nella Gazzetta ufficiale).
(2) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(3) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
(4) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
(5) Cfr. pag. 28 della presente Gazzetta ufficiale.
ALLEGATO
Il presente allegato stabilisce le riserve, dichiarazioni, notifiche, comunicazioni e indicazioni di cui all’articolo 2.
1. Riserve
A norma dell'articolo 19, paragrafo 1, del protocollo, una parte può dichiarare di avvalersi di una o più riserve previste in taluni articoli del protocollo.
A norma dell'articolo 7, paragrafo 9, lettera a), del protocollo, una parte può riservarsi il diritto di non applicare l’articolo 7 (Divulgazione delle informazioni relative agli abbonati). Gli Stati membri si astengono dal formulare una tale riserva.
A norma dell'articolo 7, paragrafo 9, lettera b), del protocollo, una parte, alle condizioni ivi stabilite, può riservarsi il diritto di non applicare l’articolo 7 a determinati tipi di numeri di accesso. Gli Stati membri possono formulare una tale riserva, ma soltanto in relazione ai numeri di accesso diversi da quelli necessari al solo fine di identificare l'utente.
A norma dell'articolo 8, paragrafo 13, del protocollo, una parte può riservarsi il diritto di non applicare l’articolo 8 (Esecuzione degli ordini emessi da un'altra parte finalizzati alla presentazione accelerata di informazioni sugli abbonati e dati relativi al traffico) ai dati sul traffico. Gli Stati membri sono invitati ad astenersi dal formulare una tale riserva.
Qualora l'articolo 19, paragrafo 1, fornisca una base per altre riserve, gli Stati membri sono autorizzati a considerare e formulare tali riserve.
2. Dichiarazioni
A norma dell'articolo 19, paragrafo 2, del protocollo, una parte può formulare le dichiarazioni previste in determinati articoli del protocollo.
A norma dell'articolo 7, paragrafo 2, lettera b), del protocollo, una parte può formulare la seguente dichiarazione in merito agli ordini impartiti ai prestatori di servizi sul proprio territorio:
"L'ordine di cui all'articolo 7, paragrafo 1, deve essere emesso da un procuratore o da un'altra autorità giudiziaria, o sotto la sua supervisione, oppure sotto la sorveglianza di un altro organismo indipendente".
In relazione agli ordini impartiti ai prestatori di servizi sul proprio territorio gli Stati membri formulano la dichiarazione di cui al secondo paragrafo del presente punto.
A norma dell'articolo 9 (Divulgazione accelerata di dati informatici in caso di emergenza), paragrafo 1, lettera b), del protocollo, una parte può dichiarare che non darà seguito alle richieste di cui al paragrafo l, lettera a), dello stesso articolo che si limitano a una richiesta di divulgazione di informazioni relative agli abbonati. Gli Stati membri sono invitati ad astenersi dal formulare una tale dichiarazione.
Qualora l'articolo 19, paragrafo 2, fornisca una base per altre dichiarazioni, gli Stati membri sono autorizzati a considerare e formulare tali dichiarazioni.
3. Dichiarazioni, notifiche o comunicazioni
A norma dell'articolo 19, paragrafo 3, del protocollo, una parte è tenuta a formulare dichiarazioni, notifiche o comunicazioni previste in determinati articoli del protocollo secondo le modalità ivi specificate.
A norma dell'articolo 7, paragrafo 5, lettera a), del protocollo, una parte può notificare al segretario generale del Consiglio d'Europa che essa esige, quando è emesso un ordine in conformità del paragrafo 1 di tale articolo a un prestatore di servizi sul loro territorio, in ogni caso o in determinate circostanze, la notifica contestuale dell'ordine, delle informazioni supplementari e di una sintesi dei fatti relativi all'indagine o al procedimento. Di conseguenza, gli Stati membri presentano la seguente notifica al segretario generale del Consiglio d'Europa:
"In caso di emissione di un ordine a norma dell'articolo 7, paragrafo 1, a un prestatore di servizi sul territorio di [Stato membro], [Stato membro] esige in ogni caso la notifica contestuale dell'ordine, delle informazioni supplementari e di una sintesi dei fatti relativi all'indagine o al procedimento."
A norma dell'articolo 7, paragrafo 5, lettera e), del protocollo, gli Stati membri designano un'unica autorità competente a ricevere la notifica di cui all'articolo 7, paragrafo 5, lettera a), del protocollo e compiere le azioni di cui all'articolo 7, paragrafo 5, lettere b), c) e d), del protocollo e, al momento della prima notifica al segretario generale del Consiglio d’Europa ai sensi dell’articolo 7, paragrafo 5, lettera a), del protocollo, comunicano al segretario generale del Consiglio d’Europa i dati di contatto di tale autorità.
A norma dell'articolo 8, paragrafo 4, del protocollo, una parte può dichiarare che sono necessarie ulteriori informazioni di supporto per dare esecuzione agli ordini di cui al paragrafo 1 di tale articolo. Pertanto, gli Stati membri formulano la seguente dichiarazione:
"Sono necessarie ulteriori informazioni di supporto per dare esecuzione agli ordini di cui all'articolo 8, paragrafo 1. Le informazioni supplementari richieste dipenderanno dalle circostanze dell'ordine e dalla relativa indagine o dal relativo procedimento.".
A norma dell'articolo 8, paragrafo 10, lettere a) e b), del protocollo, gli Stati membri comunicano e aggiornano i dati di contatto delle autorità designate, rispettivamente, per emettere un ordine a norma dell'articolo 8 e quelli delle autorità designate per ricevere un ordine a norma dell'articolo 8. Gli Stati membri che partecipano alla cooperazione rafforzata istituita dal regolamento (UE) 2017/1939 del Consiglio (1), relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea ("EPPO"), includono l'EPPO, nei limiti dell'esercizio delle sue competenze di cui agli articoli 22, 23 e 25 di tale regolamento, tra le autorità oggetto della comunicazione ai sensi dell'articolo 8, paragrafo 10, lettere a) e b), del protocollo, e lo fanno in modo coordinato.
Pertanto, gli Stati membri formulano la seguente dichiarazione:
"In conformità dell'articolo 8, paragrafo 10, [Stato membro], in quanto Stato membro dell'Unione europea che partecipa alla cooperazione rafforzata sull'istituzione della Procura europea ("EPPO"), designa come autorità competente l’EPPO nell'esercizio delle sue competenze di cui agli articoli 22, 23 e 25 del regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea ("EPPO")."
A norma dell'articolo 14, paragrafo 7, lettera c), del protocollo, gli Stati membri comunicano al segretario generale del Consiglio d’Europa l'autorità o le autorità a cui trasmettere la notifica a norma dell'articolo 14, paragrafo 7, lettera b), del protocollo, per le finalità di cui al capo II, sezione 2, del protocollo, in relazione a un incidente di sicurezza.
A norma dell'articolo 14, paragrafo 10, lettera b), del protocollo, gli Stati membri comunicano al segretario generale del Consiglio d’Europa l'autorità o le autorità competenti a rilasciare l'autorizzazione ai fini del capo II, sezione 2, del protocollo in relazione al trasferimento successivo a un altro Stato o a un'organizzazione internazionale dei dati ricevuti a norma del protocollo.
Qualora l'articolo 19, paragrafo 3, del protocollo fornisca una base per altre dichiarazioni, notifiche o comunicazioni, gli Stati membri sono autorizzati a considerare e formulare tali dichiarazioni, notifiche o comunicazioni.
4. Altre indicazioni
Gli Stati membri che partecipano alla cooperazione rafforzata istituita dal regolamento (UE) 2017/1939 garantiscono che l'EPPO, nell'esercizio delle sue competenze di cui agli articoli 22, 23 e 25 di tale regolamento, possa chiedere la cooperazione a norma del protocollo allo stesso modo dei procuratori nazionali di tali Stati membri.
Per quanto riguarda l'applicazione dell'articolo 7, in particolare in relazione a determinati tipi di numeri di accesso, gli Stati membri possono sottoporre un ordine ai sensi di tale articolo all'esame di un procuratore o di un'altra autorità giudiziaria quando la loro autorità competente riceve una notifica simultanea dell'ordine prima della divulgazione delle informazioni richieste da parte del prestatore.
A norma dell'articolo 14, paragrafo 11, lettera c), del protocollo, gli Stati membri provvedono affinché, quando trasferiscono dati ai fini del protocollo, la parte ricevente sia informata del fatto che il loro quadro giuridico interno impone di informare personalmente la persona fisica i cui dati sono forniti.
Per quanto riguarda i trasferimenti internazionali sulla base dell'accordo tra gli Stati Uniti d'America e l'Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati (2) ("accordo quadro"), gli Stati membri comunicano, ai fini dell'articolo 14, paragrafo 1, lettera b), del protocollo, alle autorità competenti degli Stati Uniti che l'accordo quadro si applica ai trasferimenti reciproci di dati personali tra le autorità competenti a norma del protocollo. Tuttavia, gli Stati membri tengono conto del fatto che l'accordo quadro dovrebbe essere integrato da garanzie supplementari che tengano conto delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra autorità, come previsto dal protocollo. Pertanto, gli Stati membri presentano alle autorità competenti degli Stati Uniti la seguente comunicazione:
"Ai fini dell'articolo 14, paragrafo 1, lettera b), del secondo protocollo addizionale alla Convenzione del Consiglio d'Europa sulla criminalità informatica ("protocollo"), [Stato membro] considera che l'accordo tra gli Stati Uniti d'America e l'Unione europea sulla protezione delle informazioni personali a fini di prevenzione, indagine, accertamento e perseguimento di reati ("accordo quadro") si applica ai trasferimenti reciproci di dati personali a norma del protocollo tra le autorità competenti. Per i trasferimenti tra prestatori di servizi e autorità a norma del protocollo, l'accordo quadro si applica solo in combinazione con un ulteriore e specifico accordo ai sensi dell'articolo 3, paragrafo 1, dell'accordo quadro che tenga conto delle esigenze specifiche del trasferimento di prove elettroniche direttamente dai prestatori di servizi piuttosto che tra autorità. In assenza di un siffatto accordo specifico di trasferimento, tali trasferimenti possono aver luogo a norma del protocollo, nel qual caso si applica l'articolo 14, paragrafo 1, lettera a), in combinato disposto con l'articolo 14, paragrafi da 2 a 15, del protocollo.".
Gli Stati membri provvedono ad applicare l'articolo 14, paragrafo 1, lettera c), del protocollo solo se la Commissione europea ha adottato una decisione di adeguatezza a norma dell'articolo 45 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3) o dell'articolo 36 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (4) per il paese terzo interessato che abbia ad oggetto i rispettivi trasferimenti di dati o sulla base di un altro accordo che contenga adeguate garanzie in materia di protezione dei dati in conformità dell'articolo 46, paragrafo 2, lettera a), del regolamento (UE) 2016/679 o dell'articolo 37, paragrafo 1, lettera a), della direttiva (UE) 2016/680.
(1) Regolamento (UE) 2017/1939 del Consiglio, del 12 ottobre 2017, relativo all’attuazione di una cooperazione rafforzata sull’istituzione della Procura europea ("EPPO") (GU L 283, 31.10.2017, pag. 1).
(2) GU L 336, 10.12.2016, pag. 3.
(3) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
(4) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del, 4.5.2016, pag. 89).