Criminalità informatica: polemiche sul nuovo protocollo per dati e privacy

"Se ratificato dagli Stati membri dell'UE senza ulteriori modifiche - o almeno senza riserve e dichiarazioni significative", sostiene l'EDRi, il Protocollo "potrebbe portare a violazioni sostanziali del diritto dell'UE".

Mentre non è ancora stata fissata la data per la ratifica del secondo Protocollo aggiuntivo sulla criminalità informatica da parte del Parlamento europeo, la società civile e alcuni eurodeputati hanno chiesto il parere della Corte di giustizia europea per le questioni relative ai dati e alla privacy.

Il secondo protocollo aggiuntivo alla Convenzione di Budapest sulla criminalità informatica è pronto a passare alla firma presso il Consiglio d’Europa a Strasburgo giovedì (12 maggio). Tale protocollo modifica la convenzione originale del 2001 per adattarla alle sfide del XXI secolo, con l’obiettivo di garantire un approccio comune e cooperativo alla lotto contro la criminalità informatica.

Nel novembre 2021, i ministri del Consiglio d’Europa hanno approvato formalmente il Protocollo. Ora, dopo la firma dei governi il 12 e 13 maggio, il testo deve essere approvato dal Parlamento europeo.

Il gruppo di difesa internazionale, European Digital Rights (EDRi), e l’associazione no-profit Internet Service Providers Austria (Ispa) chiedono al Parlamento europeo di avvalersi della facoltà di richiedere il parere della Corte di giustizia dell’Ue (Cgur) sulla compatibilità del Protocollo con i Trattati.

“Se ratificato dagli Stati membri dell’Ue senza ulteriori modifiche – o almeno senza riserve e dichiarazioni significative”, sostiene l’EDRi, il Protocollo “potrebbe portare a violazioni sostanziali del diritto dell’Ue”.

Preoccupazioni per la privacy

L’EDRi non è una voce isolata. Anche il Comitato europeo per la protezione dei dati, l’Agenzia dell’UE per i diritti fondamentali e il Consiglio degli ordini degli avvocati d’Europa hanno chiesto una maggiore protezione dei diritti fondamentali.

I critici lamentano che l’espansione dei poteri delle autorità di polizia non sia accompagnata da sufficienti garanzie in termini di protezione dei dati, privacy e diritti procedurali. Il Protocollo prevarrà sulle leggi secondarie dell’Ue, come il Regolamento generale sulla protezione dei dati (Gdpr).

Una questione importante riguarda i trasferimenti diretti di dati personali dai fornitori di servizi europei alle autorità di contrasto nei Paesi terzi, laddove il Protocollo si astenga dall’obbligo di notifica alle forze dell’ordine del Paese in cui ha sede il fornitore.

“La valutazione giuridica e la valutazione della proporzionalità non dovrebbero essere compito delle aziende private”, ha dichiarato a EURACTIV Andreas Gruber, responsabile legale dell’Ispa.

L’Ispa critica anche il fatto che si debba rispondere alle richieste delle procure straniere, anche se le richieste di dati corrispondenti richiedono un’autorizzazione del tribunale a livello nazionale.

Il deputato liberale Moritz Körner ha chiesto pubblicamente al Parlamento europeo di richiedere il parere della Corte di giustizia, ma la vera domanda è se Körner abbia abbastanza consensi in Parlamento per avanzare tale richiesta.

Gli sforzi per semplificare la cooperazione tra gli Stati membri e i Paesi terzi devono “garantire alti livelli di protezione dei dati per i cittadini”, ha affermato l’eurodeputata conservatrice Eva Maydell.

L’eurodeputato Bart Groothuis, di Renew Europe, si è interrogato sul livello di fiducia nelle agenzie di controllo. Groothuis ha dichiarato a EURACTIV: “Questo testo è stato scritto per le forze dell’ordine, senza tenere conto del lavoro quotidiano delle agenzie di intelligence e di come questa interazione funzioni nella pratica. È davvero questo il livello di fiducia che pensiamo di ottenere?”.

Ogni Stato può aderire alla Convenzione su invito.

Potenziale concorrenza

La Commissione europea ha raccomandato a tutti gli Stati membri di aderire al nuovo strumento “nell’interesse dell’Ue”.

Uno dei motivi per cui la Commissione europea sta spingendo per la ratifica del Protocollo è la concorrenza di un altro trattato sulla criminalità informatica attualmente in corso di elaborazione da parte delle Nazioni Unite, afferma Chloé Berthélémy, consulente politico dell’EDRi.

Il vicedirettore generale della DG Home (l’organo dell’Ue che si occupa di migrazione e affari interni), Olivier Onidi, ha dichiarato in un’audizione presso la commissione Libertà civili e giustizia (Libe) del Parlamento europeo all’inizio di quest’anno che, dal momento che il processo all’Onu è iniziato, “questo è un ulteriore elemento che ci spinge a portare avanti il processo di ratifica del Secondo Protocollo di Budapest, per garantire che tale strumento rimanga la nostra guida principale per le attività in quest’ambito”.

In particolare, il Trattato delle Nazioni Unite viene portato avanti da Russia e Cina, e le sessioni conclusive sono previste per il 2024.

La richiesta del parere della Corte potrebbe ritardare ulteriormente la ratifica del Protocollo. Tuttavia, se il Protocollo venisse ratificato rapidamente e in seguito si scoprisse che le disposizioni risultano incompatibili con i Trattati – come alcuni sostengono – l’Ue si troverebbe in una situazione difficile sia a livello interno che internazionale.

La risposta del Consiglio d’Europa

In risposta alle preoccupazioni, Alexander Seger, capo della divisione crimini informatici del Consiglio d’Europa, ha sottolineato in una conferenza stampa venerdì scorso: “Siamo sicuri di aver soddisfatto i requisiti e che tale strumento resisterà anche in seguito alla prova dei tribunali”.

Seger ha anche fatto riferimento alle numerose sessioni di negoziazione e ai sei cicli di consultazione tra settembre 2017 e maggio 2021, assicurando che il testo è conforme al diritto dell’Unione europea.

L’EDRi ha partecipato a tutte le tornate di consultazione organizzate dal principale Comitato per la criminalità informatica per chiedere il rispetto dei diritti umani. Tuttavia, le modifiche e i miglioramenti da loro suggeriti non sono stati presi in considerazione nel testo finale.

I prossimi passi

La data del voto al Parlamento europeo non è ancora stata stabilita in quanto diversi gruppi politici hanno espresso il desiderio di esaminare preventivamente i testi più nel dettaglio.

Il Presidente del Parlamento europeo potrebbe inoltre chiedere un parere alla Commissione giuridica del Parlamento europeo (Juri).