- Introduzione
Il pacchetto di provvedimenti proposti dalla Commissione lo scorso 17 aprile 2018, comprensivo della proposta di regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale (di seguito, anche “proposta di Regolamento e-Evidence”) e della proposta di direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali, costituisce senz’altro un rilevante punto di svolta nel processo di adeguamento degli strumenti di formazione e circolazione probatoria in ambito transnazionale alle nuove sfide della società dell’informazione digitale.
Il pacchetto di proposte, e le misure ivi contemplate, reagiscono alla constata inadeguatezza degli strumenti normativi esistenti che, per un verso, non prevedono alcun riferimento specifico all’utilizzo delle tecnologie digitali e di Internet e, per altro, si fondano sull’ineliminabile ruolo di mediazione delle autorità giudiziarie degli stati interessati.
Questo scenario ha reso indifferibile l’esigenza di introdurre norme ad hoc che tenessero in conto non soltanto l’opportunità di definire misure di carattere speciale rispondenti alle caratteristiche tecniche di Internet e del digitale ma anche l’urgenza di attivare meccanismi di formazione e acquisizione di prove in grado di prescindere dalla dinamica fondata sul necessario coinvolgimento delle autorità nazionali.
Con questo paper si intende offrire un’analisi dei benefici e delle criticità legati alla proposta di Regolamento e-Evidence, attraverso le lenti del rispetto dei diritti fondamentali dei soggetti a vario titolo coinvolti nei meccanismi previsti dalla suddetta proposta. Tale disamina sarà incentrata, segnatamente, sul confronto con le rilevanti disposizioni che a livello europeo, con la Carta dei diritti fondamentali dell’Unione europea e la Convenzione europea dei diritti dell’uomo, contribuiscono a definire una tutela multilivello dei diritti fondamentali, vincolando al loro rispetto sia il legislatore dell’Unione europea sia i legislatori degli Stati membri. Il confronto con tale standard di tutela passa necessariamente dalla considerazione dal significativo repertorio giurisprudenziale che ha visto specialmente la Corte di giustizia esercitarsi nell’enforcement delle disposizioni della Carta alla realtà di Internet. Come è noto, in esito alle modifiche introdotte dal Trattato di Lisbona, la Carta dei diritti fondamentali dell’Unione europea, già proclamata a Nizza nel 2001, è divenuta formalmente fonte vincolante del diritto dell’Unione di rango primario, al pari dei Trattati. Tale innovazione comporta la necessità che la legislazione di rango secondario, fra cui i regolamenti e le direttive emanati dalle istituzioni dell’Unione, sia conforme nel suo contenuto alle disposizioni della Carta; implicando, altresì, la possibilità per la Corte di giustizia dell’Unione europea di svolgere un sindacato giurisdizionale sulla compatibilità di disposizioni di diritto derivato con la Carta nell’ambito di un rinvio pregiudiziale di validità.
Merita peraltro segnalare come la Corte di giustizia, all’esito dell’annoveramento della Carta tra le fonti di diritto primario, si sia distinta per un particolare attivismo nel settore della tutela dei diritti fondamentali in ambito digitale. Tale attivismo ha comportato un sostanziale scrutinio ex post di atti e provvedimenti precedenti all’entrata in vigore della Carta per verificarne la compatibilità con il contenuto di quest’ultima. Un’operazione invero non necessaria, stante comunque l’esigenza, all’epoca dell’approvazione dei suddetti atti e provvedimenti, del rispetto dell’acquis comunitario, e segnatamente dei principi generali del diritto comunitario, così come risultanti dalle tradizioni costituzionali comuni degli Stati membri e dalla Convenzione europea dei diritti dell’uomo. Da ciò deriva una particolare sensibilità maturata dalla Corte con sede nel Lussemburgo nel valutare l’impatto che le misure a vario titolo previste nel diritto dell’Unione europea, anche in sede di recepimento da parte degli Stati membri, producono sui diritti fondamentali. Tale accentuata sensibilità si è esercitata soprattutto in relazione al diritto alla privacy e alla protezione dei dati personali, cui rispettivamente sono dedicati gli artt. 7 e 8 della Carta, e ha trovato manifestazione nei più importanti leading cases degli ultimi anni, tra cui le sentenze Digital Rights Ireland, Google Spain, Schrems, Tele2 Sverige. Nemmeno secondaria è risultata l’attenzione che la Corte di giustizia ha rivolto al tema della responsabilità degli Internet service provider, specialmente in casi inerenti al bilanciamento tra libertà di espressione ed enforcement del diritto d’autore (Sabam, Netlog, Telekabel Wien).
È alla luce di questo specifico “clima” che occorre esplorare le novità contenute nella proposta di Regolamento e-Evidence, sì da mettere in evidenza le innovazioni che meritano sicura approvazione e gli aspetti critici sui quali, nel corso del processo legislativo, è opportuno che le istituzioni dell’Unione elaborino una serie di emendamenti. Per una esauriente illustrazione di punti di forza e di debolezza del pacchetto di misure elaborato dalla Commissione si procederà a delineare il quadro giuridico su cui gli atti oggetto di proposta sono destinati a innestarsi, tenendo conto anche del quadro comparato, con particolare riguardo al rapporto tra Unione europea e Stati Uniti. Sarà quindi possibile considerare nel dettaglio il contenuto della proposta di Regolamento e-Evidence, confrontandolo con la legislazione e la giurisprudenza di riferimento in tema di tutela dei diritti fondamentali. Infine, sulla base del vaglio così condotto, il presente paper formulerà una serie di proposte di emendamento volte a riconciliare il contenuto della proposta con lo standard europeo in tema di protezione dei diritti dei soggetti a vario titolo coinvolti.
- Il contesto giuridico e politico di riferimento e l’opportunità di nuovi strumenti ad hoc
La proposta di Regolamento e-Evidence si iscrive entro un quadro di importanti trasformazioni che hanno caratterizzato lo scorso decennio, che permettono di cogliere come l’esigenza di ammodernamento degli strumenti di acquisizione delle prove derivi sia da fattori contingenti legati allo scenario politico sia da evoluzioni che concernono il campo giuridico a livello internazionale e comparato.
Va da sé, in relazione alla prima categoria, che l’ecosistema digitale, con le opportunità offerte da servizi di messaggistica, social network, chat, newsgroup, forum, tra gli altri, costituisca ormai terreno fertile per la consumazione di reati o di parte di questi. L’emersione del fenomeno terroristico su scala internazionale, con le correlate manifestazioni di proselitismo, rappresenta l’esempio più lampante, sebbene non esclusivo, dell’utilizzo della rete per finalità criminali secondo modalità capillari.
Ma il carattere di transnazionalità non riguarda soltanto i fenomeni criminali al cui contrasto le autorità degli Stati membri sono dedite, predicandosi anche dell’articolazione della rete, vale a dire dell’infrastruttura tramite cui i contenuti sono veicolati o archiviati. Il ricorso sempre più frequente a piattaforme di cloud o a servizi di hosting offerti da operatori variamente dislocati nel territorio dell’Unione europea accresce la probabilità che il luogo di consumazione di una condotta illecita, penalmente rilevante, ove è radicata la giurisdizione dell’autorità procedente, e il luogo di conservazione dei dati che costituiscono prove dell’avvenuta commissione di tale fattispecie criminosa differiscano.
Guardando ai fattori che ineriscono al piano strettamente giuridico, non si può tacere la rilevanza della recente approvazione, negli Stati Uniti, del CLOUD Act, che consente ora alle autorità di polizia statunitensi di adottare misure aventi a oggetto dati situati nel territorio di paesi terzi. Accanto a tale potere, il CLOUD Act ha istituito una base giuridica per la conclusione di accordi bilaterali tra gli Stati Uniti e altri paesi per permettere alle autorità di questi ultimi di accedere direttamente ai dati detenuti presso fornitori di servizi stabiliti nel territorio statunitense. Tale previsione costituisce una significativa innovazione, in quanto permette di superare il meccanismo previgente fondato sugli accordi di reciproca assistenza (MLATs – Mutual Legal Assistance Treaties) invalsi nella prassi dei rapporti tra gli stati ma caratterizzati da modalità operative del tutto incompatibili con lo sviluppo raggiunto dalle tecnologie digitali. È a questo scenario che la proposta di Regolamento e-Evidence reagisce, con l’obiettivo di confezionare in futuro un accordo bilaterale tra Europa e Stati Uniti. L’approvazione del CLOUD Act deve peraltro essere contestualizzata nell’ambito della causa United States v. Microsoft Corp., nella quale rilievo centrale riveste il tema della applicabilità extra-territoriale della disciplina statunitense (segnatamente, dello Stored Communications Act, “SCA”), che richiederebbe il trasferimento di dati personali dall’Unione europea (in particolare, dall’Irlanda) verso gli Stati Uniti al di fuori delle condizioni stabilite dal Regolamento generale per la protezione dei dati personali (“GDPR”). Il caso ha portato alla luce l’esistenza di una prassi di dubbia conformità con il rispetto dei diritti fondamentali, consistente nel ricorso a misure di carattere unilaterale per accedere a dati al di fuori delle garanzie che accompagnano e sovrintendono normalmente il trattamento di dati personali dei cittadini europei. Tale pratica porta con sé altresì il rischio di ingenerare conflitti con altri ordinamenti giuridici, che potrebbero tutelare a vario titolo la conservazione di dati presso gli archivi elettronici (come nel caso di ricorso a strumenti come il cloud) o accordare particolari protezioni a beneficio degli operatori che prestano tali servizi ovvero, su un piano più generale, contemplare un diverso bilanciamento dei diritti in questione nello specifico caso, limitando, per esempio, le circostanze in cui il diritto alla riservatezza o alla protezione dei dati personali riescono cedevoli e dunque recessivi rispetto ad altri interessi concorrenti costituzionalmente rilevanti o comunque meritevoli di tutela[1].
Stante lo stretto coinvolgimento degli operatori (destinatari di ordini di facere e in quanto tali pressoché impossibilitati a sottrarsi alle richieste dell’autorità giudiziaria) e il rischio che la loro attività contribuisse a realizzare violazioni dei diritti fondamentali degli individui, l’avvento del CLOUD Act è stato accolto con generale favore nel contesto statunitense. Con questo intervento, il Congresso ha infatti individuato una specifica base giuridica per garantire alle autorità di pubblica sicurezza l’accesso a dati custoditi nel territorio europeo, evitando che misure in tal senso potessero riposare esclusivamente sulla discrezionalità della magistratura e, in ultima analisi, dell’esecutivo. Altresì, il CLOUD Act ha introdotto una legislazione che interagisce specificamente con il rinnovato contesto tecnologico, tenendo conto delle relative caratteristiche e peculiarità. Si è così adeguato il quadro degli strumenti repressivi alla complessità raggiunta dalle tecnologie digitali, onde non affidare il soddisfacimento delle finalità investigative esclusivamente al ricorso all’enforcement di misure di carattere generale, talvolta previste da una legislazione risalente e in quanto tali difficilmente compatibili con lo stato dell’arte delle tecnologie. Ma è soprattutto sul lato della cooperazione internazionale che si coglie il contributo del CLOUD Act, non soltanto –come si accennava- nel gettare le basi per accordi bilaterali che possano costituire condizioni di reciprocità per l’accesso da parte delle autorità di sicurezza ai dati conservati nel territorio di altri stati, ma soprattutto nell’assicurare un robusto corpo di diritti, sia sostanziali che procedurali, i quali rappresentano le condizioni al cui rispetto è subordinata l’efficacia degli accordi bilaterali medesimi. La tutela della privacy e di altri diritti fondamentali costituisce così il nucleo fondante che informa il funzionamento dei meccanismi di cooperazione tra i governi degli stati interessati, individuando un livello di protezione invalicabile che non consente compressioni. L’obiettivo è assicurare che l’esistenza di meccanismi di raccordo che consentano alle autorità di diversi stati l’accesso ai dati di individui non divenga strumento di violazione di diritti fondamentali. Si tratta, all’evidenza, di un importante punto di connessione tra ordinamenti che concepiscono un diverso grado di protezione di interessi come la tutela dei dati personali e della privacy.
Così inquadrata, la proposta di Regolamento e-Evidence mira a costituire l’altra metà di un possibile accordo transatlantico per la raccolta di prove in ambito penale nell’ecosistema digitale.
La proposta reagisce, come si anticipava, all’acclarata inefficacia degli strumenti finora sperimentati, prendendo atto del carattere di volatilità delle prove elettroniche, da cui discende la dimensione giocoforza internazionale della relativa disciplina. A livello europeo, in particolare, nessuno degli atti allo stato vigenti contiene un esplicito riferimento alla possibilità per le autorità degli Stati membri di accedere presso dati conservati dai fornitori di servizi. La legislazione esistente comprende: la direttiva 2014/41, relativa all’ordine europeo di indagine penale; la convenzione sull’assistenza giudiziaria in materia penale tra gli Stati membri; la decisione 2002/187/GAI istitutiva di Eurojust; il regolamento 2016/794 su Europol; la decisione quadro 2002/465/GAI relativa alle squadre investigative comuni. Oltre a questi strumenti di cooperazione, si devono annoverare i meccanismi di richiesta id assistenza delle autorità di polizia, previsti dalla direttiva 2016/680, dalla direttiva 2015/849, dalla direttiva 2016/2258 e dalla decisione 2007/845/GAI. Si deve in particolare rammentare, come la stessa relazione alla proposta sottolinea, che la direttiva 2014/41, nota anche come Direttiva OEI, interessa in realtà un ambito comprensivo delle prove elettroniche, applicandosi a qualsiasi atto d’indagine, ma non stabilisce alcuna disposizione ad hoc al riguardo. La proposta di Regolamento e-Evidence mira tuttavia a introdurre uno strumento radicalmente nuovo anziché modificare il quadro esistente.
Su questo quadro, la proposta ambisce a superare una delle principali criticità emerse dall’applicazione degli accordi di reciproca assistenza, legata alle lungaggini di processi che coinvolgono le autorità di ciascuno Stato membro e che quindi non possono prescindere da una forte centralizzazione. L’istituzione di nuovi strumenti standard per l’acquisizione di prove, quali l’ordine europeo di produzione e l’ordine europeo di conservazione, intende evitare il dispendio di tempo e risorse necessari ad attuare forme di cooperazione che inevitabilmente seguono iter diversi per ciascuno dei paesi interessati (si pensi, ad esempio, alla necessità di traduzione dei relativi atti di cui si compone la richiesta di assistenza). Ma soprattutto gli accordi di mutua assistenza non tengono in conto la necessità di garantire il rispetto di una serie di diritti fondamentali che sono senz’altro attinti nella misura in cui sia necessario accedere a dati conservati presso un operatore terzo e formare le relative prove elettroniche. Tale impatto di grande momento costituisce il risultato della digitalizzazione che ha rivoluzionato le tradizionali modalità di formazione, archiviazione e scambio di dati. Di conseguenza, ogni intervento o misura direttamente o indirettamente in correlazione con l’accesso a dati in formato digitale si pone in naturale tensione con un compendio di diritti non circoscritto alla sola privacy e alla tutela dell’identità personale, che pure rappresentano gli interessi immediatamente attinti. Si pensi alla libertà di manifestazione del pensiero, quale ulteriore esempio, nonché alla libertà di iniziativa economica degli operatori su cui sono destinati a gravare, talvolta, i “costi” di misure imposte a soggetti formalmente estranei alla commissione di reati o di illeciti di altra natura. Tale delicato equilibrio conosce, poi, un campo di applicazione più vasto rispetto al contesto nazionale cui erano confinate, tendenzialmente, le attività di indagine e perseguimento di reati prima dell’avvento di Internet su larga scala. Tale fattore costituisce un ulteriore elemento di complicazione, in quanto sugli stessi interessi e diritti ora ricordati si potranno esercitare sensibilità e visioni diverse, incardinate nei rispettivi ordini costituzionali. Così, gli Stati Uniti manifesteranno una maggiore inclinazione a favorire l’esercizio della libertà di parola rispetto ai paesi europei, i quali a loro volta, per esempio, imporranno una visione maggiormente protettiva della privacy e dei dati personali, una visione che proprio recentemente ha trovato traduzione con l’entrata in vigore del GDPR. La necessità di un atto che codificasse strumenti nuovi adatti al contesto tecnologico con cui devono interagire era dunque cogente e la proposta di Regolamento e-Evidence recepisce queste istanze, cercando di fare in modo che la tutela dei diritti fondamentali costituisca la “cartina di tornasole” per l’efficace funzionamento dei meccanismi ivi contemplati.
- Il contenuto della proposta di Regolamento e-Evidence: un effettivo rafforzamento delle garanzie del cittadino
Si è messo in opportuna evidenza come la proposta di Regolamento e-Evidence offra una risposta al problema della volatilità e della conseguente dimensione transnazionale delle prove elettroniche. La proposta istituisce infatti un comune meccanismo di formazione delle prove in ambito digitale da immettere nella disponibilità delle autorità degli Stati membri. Gli strumenti individuati a tale scopo sono due: da un lato, l’ordine europeo di produzione, dall’altro lato, l’ordine europeo di conservazione. Tali ordini sono diretti a ottenere da un prestatore di servizi stabilito in un altro Stato membro l’acquisizione ovvero la conservazione di dati in previsione della relativa produzione come prove nell’ambito di un’indagine o di un processo penale in corso nel paese di emissione. Gli ordini di produzione e conservazione sono adottati dalle autorità del c.d. stato di emissione e sono rivolti ai prestatori di servizi (tramite la figura del rispettivo rappresentante legale designato per uno Stato membro). Si tratta di un primo essenziale elemento di novità che mette in luce il superamento della logica centralizzata, fondata sulla necessaria interlocuzione tra le autorità dello stato di emissione e dello stato di esecuzione, che caratterizzava le preesistenti forme di cooperazione e assistenza giudiziaria, segnandone il limite probabilmente più importante. La dinamica necessaria a ottenere l’acquisizione di prove viene a essere disintermediata, fondandosi esclusivamente, in prima battuta, sul rapporto tra l’autorità dello stato di emissione[2] di un ordine di produzione o conservazione, interessata a ottenere dati che potrebbero rilevare come prove nell’ambito di procedimenti penali, e il prestatore di servizi.
La nozione di “prestatore di servizi” è intesa dalla proposta di Regolamento in senso ampio, essendo comprensiva non soltanto degli Internet service provider regolati dalla direttiva 2000/31/CE (c.d. Direttiva E-Commerce). Rientrano in tale ambito, infatti, secondo una scelta coerente con la complessa natura dell’“architettura” dell’informazione digitale, i fornitori di servizi di comunicazione elettronica, i fornitori di servizi della società dell’informazione (tra cui la proposta cita in particolare i fornitori di servizi di hosting, in cui la conservazione di dati è componente peculiare, tra i quali figurano i gestori di mercati online e i social network) e i fornitori di servizi di nomi a dominio Internet e di numerazione IP (tra cui si menzionano: i prestatori di indirizzi IP e i registri e registrar di nomi di dominio). I prestatori che possono essere destinatari di ordini di produzione o conservazione sono però soltanto quelli che offrono servizi nell’Unione, vale a dire gli operatori che consentono alle persone fisiche o giuridiche in uno o più Stati membri di utilizzare i relativi servizi o che vantano con tali ultimi Stati membri un collegamento sostanziale. La definizione del perimetro di applicazione sembra coerente con altri settori recentemente normati, su tutti la protezione dei dati personali. Il GDPR accoglie infatti il criterio del targeting dell’offerta di beni o servizi (in alternativa al monitoraggio su base regolare del comportamento degli utenti) per indicare l’ambito di applicazione territoriale della disciplina europea.
In coerenza con questo approccio, al fine di facilitare l’esecuzione degli ordini di produzione e conservazione, la proposta di Regolamento ne individua i destinatari direttamente nei rappresentanti legali designati dai prestatori di servizi; in assenza di tale designazione (adempimento cui è dedicata la proposta di direttiva che accompagna la bozza di Regolamento e-Evidence), gli ordini saranno rivolti a qualsiasi stabilimento del prestatore di servizi nell’Unione.
Le dinamiche di emissione ed esecuzione di ordini di produzione e conservazione si devono rapportare con una serie di meccanismi che sono volti, in primis, ad assicurare il rispetto dei diritti dei soggetti a vario titolo coinvolti e, in secondo luogo, a contenere il ricorso allo strumento degli ordini di produzione e conservazione entro i limiti in cui esso si appalesi necessario e proporzionato.
In tal senso si iscrivono disposizioni come l’art. 5 che, in relazione all’ordine di produzione, consente di ricorrervi solo se e quando (i.) sia “necessario e proporzionato” per i procedimenti penali pendenti e (ii.) una misura dello stesso tipo sia disponibile per lo stesso reato in una situazione nazionale comparabile nello Stato membro di emissione. Altresì, con una scelta non immune da implicazioni critiche (v. infra), l’art. 5 consente l’emissione di un ordine di produzione per qualsiasi reato (e dunque in ogni caso) ove si tratti di dati relativi agli abbonati o agli accessi, laddove ne circoscrive l’utilizzo a reati puniti con la pena detentiva di durata massima di almeno tre anni e a particolari categorie di reati[3] ove gli ordini di produzione riguardino dati relativi a operazioni o al contenuto. Ancorché la modulazione di varie categorie di dati, allo stato, non paia del tutto convincente e possa risultare foriera di incertezze, la scelta di ancorare, seppure in relazione ad alcune categorie soltanto, la possibilità di emettere ordini di produzione a una soglia minima di gravità dei reati perseguiti merita senz’altro approvazione, ponendosi come ostacolo a un ricorso eccessivamente disinvolto e indiscriminato a meccanismi che presentano un impatto non irrilevante su un compendio di diritti che non sono limitati alla sfera degli indagati/imputati, ma si estendono anche ai prestatori di servizi ed eventuali terzi. L’accesso a mezzi di formazione della prova così impattanti deve correttamente essere evitato e pertanto escluso laddove il sacrificio che essi imporrebbero ad alcune libertà fondamentali, specialmente dell’indagato/imputato, sia sproporzionato rispetto al disvalore della condotta penalmente rilevante, che si presume tradotto da un trattamento sanzionatorio più mite.
Quanto invece agli ordini di produzione, l’art. 6 riproduce il canone di necessità e proporzionalità “per impedire la rimozione, la cancellazione o la modifica di dati in vista di una successiva richiesta di produzione”. In questo caso, l’ordine potrà essere evaso per qualsiasi reato.
Un secondo livello di tutele introdotte nell’ottica di preservare il rispetto dei diritti fondamentali si coglie particolarmente nella valorizzazione del ruolo dei prestatori di servizi nell’ambito della procedura di esecuzione degli ordini europei. Si tratta di una prospettiva che segnala il ruolo di garanzia svolto da questi, sempre più frequentemente, nel contesto digitale, talvolta come veri e propri “arbitri” del bilanciamento tra diritti fondamentali. La proposta di Regolamento e-Evidence delinea, infatti, la facoltà per i prestatori di servizi di opporsi all’esecuzione di un ordine di produzione o conservazione. Normalmente, secondo quanto previsto dagli artt. 9 e 10, i destinatari provvedono, nel caso di un ordine di produzione, a trasmettere i dati richiesti entro dieci giorni dalla ricezione dell’ordine, ovvero entro sei ore in caso di emergenza mentre, nel caso di un ordine di conservazione, a conservare i dati richiesti senza indebito ritardo per un periodo di almeno sessanta giorni.
Tuttavia, il destinatario può opporsi all’esecuzione di un ordine in presenza di una serie di circostanze, talune di carattere perlopiù formalistico-procedurale (come nel caso in cui l’ordine non sia stato emesso o convalidato da un’autorità di emissione competente ovvero riguardi reati al di fuori dell’ambito di applicazione di questo strumento), talaltre di carattere sostanziale. Tra questi ultimi motivi, elencati dai parr. 4 e 5 dell’art. 14, figura l’ipotesi in cui un ordine, in base alle sole informazioni ivi contenute, violi manifestamente la Carta dei diritti fondamentali dell’Unione europea o sia manifestamente arbitrario[4]. A questo punto, l’autorità di esecuzione potrà consultare l’autorità di emissione prima di decidere di non riconoscere o non eseguire l’ordine. Una volta che l’autorità di esecuzione abbia invece riconosciuto e confermato l’esecutività di un ordine, il destinatario non potrà sottrarsi dal darne corso, pena l’applicazione di una sanzione pecuniaria.
In aggiunta all’ipotesi di opposizione all’esecuzione, il destinatario dispone di un ulteriore strumento di controllo sugli ordini di produzione in riferimento ai prestatori con sede in paesi terzi che debbano far fronte a obblighi contrastanti. Ai sensi dell’art. 15, infatti, il destinatario può interpellare l’autorità di emissione omettendo di dare esecuzione a un ordine ove ritenga che l’ottemperanza a quest’ultimo sia in contrasto con il diritto applicabile in un paese terzo che vieta la divulgazione dei dati per tutelare (i.) i diritti fondamentali delle persone interessate o (ii.) interessi fondamentali del paese terzo connessi alla sicurezza e alla difesa nazionale. Si tratta di una vera e propria opposizione motivata, che deve recare indicazione delle informazioni necessarie sul diritto del paese terzo, sulla sua applicabilità e sulla natura dell’obbligo contrastante. L’autorità di emissione potrà a questo punto decidere di riesaminare l’ordine europeo di produzione, affidando tale compito a un organo giurisdizionale previa sospensione dell’esecuzione dell’ordine. L’organo deputato dovrà svolgere una verifica bifasica, appurando, anzitutto, se il diritto del paese terzo sia applicabile nella fattispecie e, in caso positivo, se esso vieti la divulgazione dei dati oggetto dell’ordine di produzione. La proposta di Regolamento, in proposito, sottolinea la necessità che tale accertamento rivesta carattere sostanziale, incentrandosi sull’esistenza di altri motivi e interessi (come ad esempio la volontà di proteggere attività illecita dall’ingerenza di autorità di altri paesi), di natura diversa, sottesi al diritto del paese terzo. All’esito di tale accertamento, l’organo adito potrà confermare l’ordine ovvero, in caso contrario, trasmettere alle autorità centrali del paese terzo tutte le informazioni relative al caso affinché queste, in un termine di quindici giorni, si pronuncino nel senso di opporsi all’esecuzione dell’ordine ovvero di confermarlo. Nel caso di opposizione, l’organo del riesame revocherà l’ordine informandone l’autorità di emissione e il destinatario. La procedura di riesame degli ordini di produzione è regolata anche per il caso in cui questi impongano obblighi contrastanti per altri motivi con il diritto di un paese terzo.
Si tratta di un ulteriore livello di controllo che è volto a salvaguardare direttamente e immediatamente gli interessi sottesi alla facoltà di opposizione (diritti fondamentali e interessi nazionali), ma indirettamente e mediatamente quell’interesse alla comity tra le autorità di paesi europei e di paesi non europei che si colloca alla base degli attuali disegni di riforma, imponendo di ridurre al minimo i rischi di conflitto tra ordinamenti. In questo specifico frangente, i prestatori di servizi assurgono a perno centrale del sistema, fungendo da “valvola” in grado di regolare l’ingresso di un determinato ordine proveniente dall’autorità di emissione di uno Stato membro nell’ordinamento in cui i dati oggetto di ricerca sono materialmente conservati. La scelta del legislatore europeo non deve sorprendere, giacché sono diversi i meccanismi allo stato esistenti in vari ambiti della legislazione che prevedono un coinvolgimento di attori formalmente estranei a una condotta illecita nella sua repressione. Si pensi alla diffusione di modelli di enforcement pubblico di carattere amministrativo del diritto d’autore, che importano, nell’ambito di procedure di notice and take down, l’incombenza di verificare la liceità di determinati contenuti e di provvedere, nel caso, alla loro rimozione od oscuramento. Anche nel contesto della privacy digitale esistono esperienze analoghe, che concentrano nelle mani degli Internet service provider il potere di verificare il bilanciamento tra interessi potenzialmente confliggenti con la tutela di dati personali, come nel caso del diritto alla deindicizzazione esercitato nei confronti dei motori di ricerca che processano contenuti da siti di terzi. Il ruolo degli attori privati nella tutela di diritti fondamentali non è dunque nuovo, soprattutto nel panorama della società dell’informazione digitale. È necessario, tuttavia, che il loro coinvolgimento sia concepito secondo modalità in grado a loro volta di rispettare la libertà di iniziativa economica e di impresa di cui essi godono. Tale criterio non sarebbe osservato, per esempio, ove le modalità di intervento richieste ai prestatori di servizi fossero eccessivamente gravose, importando costi sproporzionati e non giustificati. Occorre, in altri termini, che la garanzia del rispetto dei diritti fondamentali non richieda l’imposizione da parte della comunità di un costo a carico di soggetti formalmente e sostanzialmente estranei alla commissione di una condotta o attività illecita. Tali principi si possono desumere, per esempio, dalla giurisprudenza della Corte di giustizia in materia di responsabilità degli Internet service provider per violazioni del diritto d’autore perpetrate dai loro utenti a mezzo dei relativi servizi. Indicazioni in questo senso sono state elaborate, in particolare: nella saga Sabam e Netlog, in cui le autorità nazionali avevano imposto l’implementazione di un gravoso sistema di filtraggio per prevenire e reprimere la violazione di contenuti protetti dal diritto d’autore; e nel caso Telekabel Wien, in cui la Corte di giustizia aveva ritenuto conforme al diritto dell’Unione un’ingiunzione adottata nei confronti del fornitore di accesso a Internet per cessare la circolazione di materiali protetti in quanto la stessa rimetteva al prestatore la definizione delle misure appropriate e ragionevoli da adottarsi in concreto.
Non deve pertanto destare sorpresa la definizione di meccanismi che, decentralizzando la dinamica di formazione delle prove elettroniche dal ruolo delle autorità nazionali, rimettano tuttavia all’apprezzamento dei prestatori di servizi la verifica circa la sussistenza di situazioni di conflitto con i diritti fondamentali e con altri interessi nazionali come tutelati dal diritto di un paese diverso. Giova peraltro osservare che il coinvolgimento degli attori privati nella dinamica di esecuzione degli ordini europei non è sguarnito dal controllo degli organi giurisdizionali, stante la definizione di una procedura di riesame che consente di confermare o di sostituire la valutazione condotta prima facie dai prestatori di servizi in sede di opposizione. Analogamente, il compito di effettuare una verifica incombe sulle autorità nazionali anche nell’ipotesi di opposizione a un ordine di produzione o conservazione motivata da una manifesta violazione della Carta dei diritti fondamentali. Da questo quadro emerge nitidamente una nuova veste che contraddistingue i prestatori di servizi, che divengono così “connettori” di ordinamenti diversi chiamati a sincerarsi che i meccanismi di produzione e conservazione di dati non implichino conflitti con i diritti fondamentali, gli interessi nazionali o il diritto di un paese terzo.
- Le criticità e le possibili soluzioni
Il testo della proposta di Regolamento e-Evidence consegnato dalla Commissione nello scorso aprile ha suscitato reazioni contrastanti tra legislatori e stakeholders ma costituisce senza ombra di dubbio una base confortante sulla quale lavorare per un affinamento degli strumenti di formazione delle prove elettroniche su scala transnazionale.
Il primo aspetto sul quale si registrano alcune criticità interpretative concerne la differenziazione dei dati su cui possono ricadere gli ordini di produzione e conservazione. La proposta di Regolamento e-Evidence distingue tra diverse categorie di dati, modulando in relazione a queste i presupposti per l’emissione degli ordini.
Anzitutto i “dati relativi agli abbonati” e i “dati relativi agli accessi” ricevono un trattamento unitario, in quanto un ordine europeo per la loro produzione e conservazione può essere adottato per qualsiasi reato. Si tratta, pertanto, di dati di cui si presume una minore “sensibilità” rispetto ad altre categorie, segnatamente i “dati relativi alle operazioni” e i “dati relativi al contenuto”, soggette a un regime maggiormente stringente.
I dati relativi agli abbonati sono quelli che permettono un’identificazione soggettiva dell’utente e del servizio utilizzato: ricadono in questa categoria, infatti, sia i dettagli sull’identità di un abbonato o cliente sia le informazioni sul tipo di servizio e sulla sua durata. Appartengono a quest’ultima specie, in particolare, i dati tecnici e i dati che identificano le misure tecniche o le interfacce utilizzate dall’abbonato o cliente, nonché i dati necessari a convalidare l’uso di un servizio, ad eccezione delle password.
I dati relativi agli accessi presentano, come si diceva, un livello di sensibilità analogo. Si tratta, infatti, delle informazioni inerenti all’inizio e alla fine di una sessione di accesso a un servizio. Per esplicita previsione dell’art. 1, rientrano in questo ambito soltanto i dati che siano necessari a identificare l’utente del servizio, fra cui: data e ora di utilizzo del servizio, connessione e disconnessione allo stesso, indirizzo IP assegnato all’utente, dettagli sulle interfacce e sull’identificativo dell’utente. Sono qui ricompresi i cosiddetti “meta-dati”. Tale ultima sottocategoria era già stata sottoposta all’attenzione della Corte di giustizia all’epoca della sentenza Digital Rights Ireland, che ha annullato la direttiva 2006/24/CE sulla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione. In tale occasione, la Corte ebbe modo di precisare che, nonostante le importanti limitazioni contemplate, la direttiva non aveva violato il contenuto essenziale degli artt. 7 e 8 della Carta (relativi al diritto alla vita privata e familiare e al diritto alla protezione dei dati personali), bensì aveva arrecato ai relativi diritti una restrizione meramente sproporzionata. La Corte ebbe a dichiarare che il motivo per cui non si era consumata una violazione del contenuto essenziale dei diritti andava individuato nella circostanza che i dati soggetti a indiscriminata conservazione fossero meta-dati, in quanto tali inidonei a rivelare il contenuto dei flussi di telecomunicazioni, pur in grado di permettere, se debitamente assemblati per un periodo di tempo apprezzabile, la costruzione di un profilo sufficientemente dettagliato dell’utente. Da questa indicazione si trae la conferma della relativa sensibilità dei meta-dati.
Su una diversa scala sono collocati invece i dati relativi alle operazioni e i dati relativi al contenuto, come si evince dalla circostanza che l’emissione di un ordine per la loro produzione sia vincolata a condizioni speciali (la soglia minima di gravità di un reato o la natura particolare del reato). I primi includono i dati riguardanti la prestazione di un servizio che sono necessari a fornire informazioni di contesto o supplementari sullo stesso. Si tratta, per esempio, di dati come la fonte e il destinatario di un messaggio, i dati di localizzazione di un dispositivo, la data, l’ora, la durata, le dimensioni, il percorso, il formato, il protocollo utilizzato e il tipo di compressione (salvo che gli stessi costituiscano dati relativi agli accessi). Per esplicita previsione dell’art. 1, rientrano in tale categoria, come già nell’ambito dei dati relativi agli accessi, i cosiddetti meta-dati. Tale previsione non pare del tutto cristallina, lasciando intendere chiaramente che un dato potrà rilevare in alcuni casi come “relativo agli accessi” e in altri come “relativo alle operazioni”. È tuttavia evidente che la collocazione (da valutare su base fattuale?) non è indifferente ai fini della proposta di Regolamento, in quanto nel primo caso un ordine di produzione potrà essere emesso per qualsiasi reato, nel secondo caso soltanto alle condizioni previste dall’art. 5, par. 4. Si tratta di una sacca di ambiguità sulla quale sarebbe opportuna maggiore chiarezza nella versione finale del provvedimento, alla luce delle difficoltà operative che la vaghezza dell’attuale formulazione lascia presagire all’atto della concreta emissione ed esecuzione di ordini di produzione.
Infine, la categoria di informazioni che presenta, insieme ai dati relativi alle operazioni, il maggior livello di sensibilità (anche in base alle indicazioni della Corte di giustizia nel caso Digital Rights Ireland) corrisponde ai dati relativi al contenuto, che comprende qualsiasi dato conservato in formato digitale che sia diverso dalle categorie sopramenzionate: testo, voce, video, immagine o suono. Si tratta di una definizione onnicomprensiva, quasi formulata per esclusione.
Il ricorso a una tecnica definitoria per esempi (che non chiarisce, tuttavia, se le esemplificazioni proposte debbano intendersi a titolo esaustivo ovvero esemplificativo) solleva serie riserve sul piano interpretativo. La mancata menzione di determinate tipologie di dati non permette una loro agevole collocazione, stante anche l’elevata probabilità di sovrapposizioni, quantomeno tra la categoria dei dati relativi agli accessi e i dati relativi alle operazioni. Proprio perché il meccanismo istituito dalla proposta di Regolamento si fonda su una disintermediazione che affida ai prestatori di servizi la verifica del rispetto, da parte degli ordini, delle relative condizioni di legittimità, un efficace funzionamento di questa dinamica presuppone un grado di chiarezza e inequivocità sui relativi presupposti di legittimità. L’ambiguità sulla appartenenza di determinate informazioni all’una o all’altra categoria di dati, in presenza di un diverso trattamento giuridico, può provocare così incertezza, il cui costo sarebbe inesorabilmente destinato a riverberarsi sui prestatori di servizi: si realizzerebbero, così, condizioni eccessivamente gravose, che potrebbero senz’altro essere scongiurate provvedendo, in alternativa, o a una più lineare e puntuale definizione delle categorie di dati o alla rimozione delle differenze di regime attualmente previste dalla proposta. Poiché la scelta di rendere percorribile il canale degli ordini di produzione, con riguardo a categorie maggiormente sensibili di dati, soltanto al ricorrere di condizioni particolari appare di fondo condivisibile, si ritiene che la prima opzione tra le alternative prospettate sia preferibile. L’approdo a una definizione più puntuale è possibile attraverso due interventi: da un lato, una delimitazione meno evasiva della ratio del collocamento di determinati dati entro una precisa categoria, che dovrebbe consentire di definire il perimetro della stessa in modo più nitido (si pensi non soltanto ai meta-dati, ricompresi entro più categorie, ma anche a dati come gli indirizzi IP che sembrano potersi ascrivere a diverse tra le specie indicate dalla proposta); dall’altro lato, l’integrazione (nonché l’aggiornamento costante, al progresso della tecnologia) delle definizioni con alcune fattispecie che gli operatori hanno segnalato da sempre come particolarmente problematiche e che non paiono trovare immediata collocazione nell’alveo descritto dalla proposta di Regolamento: si tratta, segnatamente, dei dati relativi alla cronologia di ciascun utente e dei dati relativi alle ricerche effettuate. Queste ultime informazioni meritano di vedere riconosciuto un collocamento preciso in quanto costituiscono senz’altro dati di particolare rilievo ai fini della formazione di una prova elettronica, essendo in grado di incorporare la narrazione in chiave dinamica delle operazioni di navigazione effettuate da un utente accedendo ai servizi di un prestatore.
La puntualizzazione dell’ambito “materiale” di applicazione degli ordini europei di produzione e conservazione dovrebbe essere svolta anche in un’altra prospettiva di politica del diritto, come reazione alle sollecitazioni promosse da alcuni Stati membri: quella di mantenere il meccanismo delineato dalla proposta di Regolamento e-Evidence confinato entro i limiti di uno strumento volto al perseguimento e alla repressione di reati per i quali sono pendenti procedimenti penali, così da escluderne l’estensione a finalità diverse, come la prevenzione dei reati. Come la stessa relazione si premura di specificare, il ricorso agli ordini europei è finalizzato a consentire la produzione di dati già conservati o comunque l’acquisizione di dati che potrebbero costituire una prova in un procedimento penale già avviato. L’intercettazione in tempo reale di flussi di telecomunicazioni non è contemplata dalla proposta, in ossequio a un raggio d’azione ben definito che non pare suscettibile di estensioni senza snaturare l’equilibrio ivi raggiunto in termini di tutela dei diritti dei vari attori coinvolti (compresi i prestatori di servizi). Se così fosse, infatti, la fisionomia della proposta riuscirebbe completamente sovvertita e gli obblighi imposti ai prestatori di servizi diverrebbero eccessivamente gravosi. Infatti, la proposta di Regolamento e-Evidence non richiede ai prestatori di servizi di raccogliere o di conservare sistematicamente un compendio di dati che ecceda le informazioni già soggette a conservazione per motivi aziendali o per obbligo di legge. Occorre dunque respingere con fermo ma motivato dissenso ogni proposta incline a estendere l’ambito di applicazione del futuro Regolamento alle intercettazioni di flussi di telecomunicazione. Tale opzione non pare condivisibile non soltanto perché imporrebbe, ove accolta, la predisposizione di un robusto corredo di garanzie sostanziali e procedurali, dovendosi per forza di cose circoscrivere entro limiti stringenti, onde non trasformare i prestatori di servizi in fautori di sorveglianza di massa quale braccio “armato” delle autorità di pubblica sicurezza su scala transnazionale. L’accoglimento di siffatte misure nell’alveo del Regolamento e-Evidence comporterebbe un vero e proprio snaturamento delle finalità sottese a tale atto, oltre che del delicato equilibrio che la proposta consegnata dalla Commissione raggiunge tra i vari diritti in gioco. Se così fosse, infatti, si “sposterebbero le lancette all’indietro” da un punto di vista logico nel ricorso agli ordini europei, giacché essi si presterebbero non più (o quantomeno non soltanto), come nel testo attuale, a costituire un mero strumento per l’acquisizione di mezzi di prove già esistenti, bensì a funzionare come una sorta di mezzo di ricerca della prova. L’uso degli ordini europei si inserirebbe così in un contesto investigativo, con conseguenze di grande momento sui prestatori di servizi, che anziché limitarsi a produrre o a conservare dati già detenuti, dovrebbero “ricercare” dati che non sarebbero altrimenti attingibili. Volendo semplificare, ciò che si richiederebbe ai prestatori di servizi non è il corrispondente digitale della “apprensione” di una prova (come nel caso degli ordini europei di produzione e conservazione), ma è la ricerca e la registrazione di prove precedentemente inesistenti. Per queste ragioni, tale opzione provocherebbe uno stravolgimento di fondo della logica e degli obiettivi sottesi alla proposta di Regolamento e-Evidence. A voler tacere, peraltro, della necessità di individuare una soglia di intervento, come nel caso degli ordini di produzione di dati relativi al contenuto o a operazioni, correlata alla gravità o alla tipologia dei reati oggetto di indagine, in grado di giustificare l’attivazione di un meccanismo con importanti ripercussioni per i prestatori di servizi ma anche per i diritti degli utenti, che verrebbero minati nella loro aspettativa alla libertà e alla segretezza delle comunicazioni.
È pertanto auspicabile che per mantenere intatta la propria funzionalità il testo della proposta di Regolamento e-Evidence rimanga circoscritto all’ambito materiale che allo stato la Commissione ha definito. Diversamente, alla luce dell’attenzione che la Corte di giustizia ha mostrato sul tema, in funzione di una giurisprudenza assai sensibile, non sarebbe inverosimile immaginare uno scrutinio che possa interessare, in futuro, la compatibilità di siffatte previsioni con i diritti sanciti dalla Carta dei diritti fondamentali, in particolare i diritti alla privacy e alla tutela dei dati personali, tutelati dagli artt. 7 e 8, che già sono stati ricordati, ma anche la libertà di condurre impresa, sancita dall’art. 16.
Su un diverso versante, la proposta di Regolamento e-Evidence pare indulgere talvolta in un eccesso di ottimismo con riferimento alla tempistica per dare seguito alle procedure di esecuzione o di opposizione all’esecuzione di ordini europei di conservazione o produzione. Si tratta di un elemento di dettaglio non certo decisivo al fine di assicurare la compatibilità del futuro testo con l’assetto della Carta dei diritti fondamentali, ma che sarebbe utile tenere in debito conto al fine di preservare quell’equilibrio tra il ruolo dei diversi soggetti coinvolti (e i rispettivi obblighi) che sembra costituire l’obiettivo implicito della proposta della Commissione. Tale elemento si coglie in almeno due frangenti. In primo luogo, in relazione al termine individuato dall’art. 9, par. 1, in dieci giorni per il destinatario di un ordine di produzione al fine di darvi esecuzione mediante la trasmissione dei dati richiesti all’autorità di emissione. Lo stesso termine, peraltro, può essere ridotto a sei ore in casi di emergenza. Entrambi i termini paiono comprimere eccessivamente il lasso di tempo a disposizione del prestatore di servizi, alla luce del complesso novero di motivi per i quali questi potrebbe opporsi all’esecuzione, ciascuno dei quali implicherà una valutazione sulla base delle informazioni contenute nell’ordine. Da una prospettiva più generale, la disponibilità di un lasso di tempo limitato entro il quale il prestatore è chiamato a dare esecuzione a un ordine sembra costituire un fattore in grado di “diluire” l’importanza dei motivi di opposizione all’esecuzione, inducendo i prestatori di servizi a ottemperare alle richieste ricevute. Si potrebbe così formare un incentivo a dare esecuzione agli ordini di produzione senza un attento e ponderato scrutinio delle informazioni ivi contenute e dell’esistenza di eventuali motivi ostativi, analogo a quello che caratterizza i fornitori di servizi di hosting “sotto pressione” a fronte di richieste di take down da ottemperare in termini ristretti (collateral censorship). È dunque di primaria importanza che i prestatori di servizi, proprio perché rivestono un ruolo cruciale di “connettori” e di vera e propria “valvola” del sistema disegnato dalla proposta di Regolamento e-Evidence, dispongano di un tempo ragionevolmente sufficiente a un esame delle richieste funzionale anche a verificare la sussistenza di eventuali motivi di opposizione. In questa prospettiva, non pare rispondente a canoni di ragionevolezza la previsione di un termine, pur limitato ai casi di emergenza, pari a sei ore. Altrettanto “ottimistica” appare la definizione di un lasso temporale di quindi giorni (estendibile a trenta) entro i quali l’autorità centrale di un paese terzo può riscontrare la notifica di un organo giurisdizionale che abbia verificato la sussistenza di un contrasto tra le richieste evase con un ordine di produzione e il diritto applicabile del paese terzo. L’individuazione di un termine maggiormente rispondente alla complessità dell’iter e della relativa burocrazia è pertanto auspicabile.
Alcuni Stati membri hanno espresso altresì l’auspicio di un rafforzamento del meccanismo di notifica dell’emissione di un ordine europeo di produzione, così da estenderne l’applicazione anche nei confronti delle autorità dello Stato membro di esecuzione. Per tale via, si vorrebbe sottrarre ai prestatori di servizi digitali il compito di valutare l’esistenza di condizioni a fondamento dell’opposizione all’esecuzione degli ordini, contrastando esattamente quella dinamica che privatizzazione dell’enforcement che sembra ormai tendenza radicata e apprezzabile in diversi ambiti, sia come opzione di matrice legislativa sia come portato giurisprudenziale. A differenza però di altri contesti in cui la scelta di affidare a operatori privati (quali i prestatori di servizi digitali) l’enforcement degli strumenti di tutela pare sollevare criticità, in questo specifico ambito l’opzione racchiusa nella proposta di Regolamento e-Evidence si ritiene condivisibile e rispondente alla migliore tutela degli interessi in gioco. Il destinatario di un ordine di produzione, infatti, si situa nella posizione più idonea alla valutazione delle eventuali circostanze ostative all’esecuzione di una richiesta. L’esigenza di un’ulteriore notifica diretta all’autorità dello Stato membro di esecuzione potrebbe limitare i vantaggi della decentralizzazione che caratterizza la dinamica di esecuzione degli ordini europei, ponendo le basi per un eventuale scrutinio “in via immediata” anche da parte delle autorità giudiziarie degli stati di esecuzione e vanificando così, sostanzialmente, i benefici connessi alla disintermediazione. Il rischio latente, dunque, è di sacrificare la funzionalità della procedura allo stato descritta dalla proposta di Regolamento e-Evidence, introducendo elementi di complicazione che potrebbero inficiarne lo scopo ultimo. Fermo restando che la possibilità di un controllo da parte delle autorità giurisdizionali è insita nella proposta consegnata dalla Commissione, la scelta di richiedere una notifica anche allo Stato membro di esecuzione potrebbe condurre a un aggravamento della procedura in grado di vanificare la possibilità offerta dall’intervento diretto dei prestatori di servizi digitali nell’appurare se la richiesta evasa sia enforceable ovvero se ricorrano circostanze che ne impediscono l’esecuzione. Oltretutto, a tacere dei profili ora menzionati, si deve altresì considerare che il prestatore di servizi che riceva una richiesta di produzione o di conservazione di dati dovrebbe disporre di tutti gli elementi che consentano di riconoscere le condizioni per il suo enforcement. Tra gli elementi che il prestatore di servizi è tenuto a valutare, infatti, gli indici di carattere squisitamente giuridico per i quali potrebbe essere opportuno un apprezzamento delle autorità pubbliche paiono limitati e di agevole riconoscibilità anche per operatori privati (si pensi alla violazione non a caso “manifesta” della Carta dei diritti fondamentali o dell’estraneità dell’ordine all’ambito di applicazione del regolamento: elementi di facile riconoscibilità che non implicano necessariamente l’esigenza di un apprezzamento di carattere “tecnico”). Un’interposizione delle autorità dello stato di esecuzione in questo segmento della procedura pare poter insinuare modalità di controllo ingiustificate gravose che emancipano il potere di verifica di un ordine dai soggetti che maggiormente conoscono le caratteristiche tecniche dei servizi digitali. Vi sono dunque fondate ragioni per ritenere che le istanze volte a modificare la proposta nel senso di prevedere coinvolgimento delle autorità nazionali di default dovrebbero essere respinte onde non condizionare l’architettura complessiva e la funzionalità della procedura definita dagli artt.14 e seguenti.
Da ultimo, la proposta di Regolamento e-Evidence pare sacrificare eccessivamente i diritti della persona i cui dati sono ricercati mediante un ordine europeo di produzione o conservazione. L’art. 11, par. 2, infatti, stabilisce che eccezionalmente l’informazione dovuta a tale persona possa essere posticipata per il tempo necessario e proporzionato al fine di non ostacolare il relativo procedimento penale. Questa disposizione potrebbe arricchirsi di ulteriori previsioni, in quanto la carenza di una notifica alla persona titolare dei dati configura senz’altro una limitazione delle sue prerogative difensive. Pur essendo condivisibile che tali eccezioni all’obbligo di informazione siano necessarie a preservare l’efficacia delle misure in discussione, rimetterne la disponibilità alla sola autorità di emissione senza un previo scrutinio di un’autorità giurisdizionale costituisce un’opzione penalizzante per il titolare dei dati in vista dell’esercizio dei diritti che gli sono riconosciuti dall’ordinamento. L’adozione di una formulazione in grado di relegare con maggiore chiarezza al campo delle eccezioni le ipotesi in cui sia negata immediata informazione al titolare dei dati circa la sussistenza di un ordine di produzione o conservazione appare preferibile e in grado di contribuire a un maggior equilibrio tra i diritti degli attori in gioco.
Le osservazioni sopra formulate indicano alcuni correttivi che paiono utili a un sostanziale miglioramento del testo licenziato dalla Commissione, senza alterarne la fisionomia e mantenendone anzi invariati i capisaldi. Nel complesso, la proposta di Regolamento e-Evidence merita sicura approvazione e pare indirizzarsi nella giusta direzione, abbisognando tuttavia di ulteriori, puntuali sforzi per “calare” nella realtà operativa dei prestatori di servizi gli strumenti di cui si intendono munire le autorità nazionali.
[1] È utile rammentare, in tal senso, il caso Promusicae, ove la Corte di giustizia venne interpellata tramite rinvio pregiudiziale circa l’esistenza, nel diritto dell’Unione europea, di un obbligo di disclosure dei dati personali degli utenti responsabili di violazioni del diritto d’autore nell’ambito di procedimenti civili. La Corte di giustizia ebbe a precisare che la sussistenza di tale obbligo, ai sensi del diritto dell’Unione, è circoscritta all’ambito dei procedimenti penali, dovendosi tuttavia ritenere liberi gli Stati membri di prevedere un analogo obbligo di disclosure anche nell’ambito di procedimenti civili, ancorché nel rispetto dell’esigenza di bilanciamento tra gli interessi coinvolti. Si tratta di una vicenda che esemplifica la possibilità che ordinamenti diversi, finanche all’interno dell’Unione europea, contemplino un diverso novero di tutele, rendendo difficoltoso evitare, in uno scenario contraddistinto da frammentazione, l’insorgere di conflitti tra ordinamenti diversi.
[2] Per “autorità di emissione” la proposta di Regolamento e-Evidence intende un novero di soggetti diversi a seconda che l’ordine di produzione abbia a oggetto dati relativi agli abbonati o dati relativi accessi ovvero dati relativi alle operazioni o dati relativi al contenuto. Cfr. l’art. 4, che in particolare esclude il pubblico ministero dal novero di soggetti che configurano un’autorità di emissione nel caso di ordini di produzione di dati relativi alle operazioni o dati relativi al contenuto. Sono comunque competenti i seguenti soggetti: un giudice, un organo giurisdizionale, un magistrato inquirente o qualsiasi altra autorità competente secondo lo Stato di emissione che agisca in veste inquirente. Quando invece gli ordini di protezione cadano su dati relativi agli abbonati o dati relativi agli accessi ovvero in caso di ordini di conservazione anche un pubblico ministero, oltre ai soggetti poc’anzi menzionati, rientra nell’ambito dell’autorità di emissione.
[3] Gli ambiti di riferimento comprendono: frodi e falsificazioni di mezzi di pagamento; abuso e sfruttamento sessuale di minori e pornografia minorile; terrorismo.
[4] Le altre ipotesi in cui il destinatario è legittimato a opporsi all’esecuzione di un ordine comprendono, per esempio, i casi di impossibilità materiale a ottemperare all’ordine o presenza di una causa di forza maggiore, carenza dei presupposti per l’emissione (nel caso di ordini di produzione di dati relativi a operazioni o al contenuto) ovvero di carenza dei dati oggetto dell’ordine tra quelli conservati dal prestatore che ne è destinatario.
