Nella lotta al cybercrime, il Gruppo dei Garanti europei chiede maggiori garanzie per i cittadini, in particolare riguardo alle intercettazioni telefoniche, allo scambio di informazioni sul contenuto delle telefonate e delle e-mail, al periodo di conservazione dei dati personali.

Il 22 marzo scorso il Gruppo dei Garanti europei, costituito ai sensi dell'Articolo 29 della Direttiva sulla protezione dei dati personali, ha reso noto il parere espresso sul progetto di Convenzione del Consiglio d'Europa per la lotta alla criminalità informatica. Per "criminalità informatica" si intende la realizzazione di attività criminali attraverso l'impiego di strumenti telematici.

Si tratta di un testo la cui elaborazione è in corso dal 1997: la Convenzione mira a favorire la cooperazione internazionale nella lotta alla criminalità informatica, attraverso l'armonizzazione delle procedure e il potenziamento dell'assistenza giudiziaria in questi settori. Tali attività comportano necessariamente lo scambio di dati personali (dati sul traffico telefonico o telematico, registrazione di comunicazioni, ecc.) non sempre connessi a forme di criminalità informatica. Il Gruppo ha pertanto ritenuto di dover valutare la rispondenza del progetto di Convenzione (nella versione del 22 dicembre 2000, l'ultima resa pubblica) ai principi di protezione dati sanciti sia nella Convenzione del Consiglio d'Europa in materia di protezione dati, sia negli altri strumenti successivamente adottati in questo settore. Il Progetto sarà sottoposto entro breve all'Assemblea Parlamentare del Consiglio d'Europa, e dovrà essere successivamente adottato dal Comitato dei Ministri del Consiglio d'Europa.

Il Gruppo ha rilevato, in primo luogo, che le disposizioni del progetto di Convenzione hanno un impatto considerevole in termini di diritti fondamentali. Nel preambolo al progetto di Convenzione ci si richiama alla Convenzione europea del 1950 per la salvaguardia dei diritti dell'uomo (CEDU), il cui articolo 8 sancisce il diritto fondamentale alla privacy. Da ciò discende la necessità di valutare se le misure che comportano una limitazione di tali diritti ai fini della lotta alla criminalità (come, ad esempio, le intercettazioni telefoniche o lo scambio di informazioni sul contenuto di conversazioni telefoniche o telematiche) siano effettivamente necessarie e non eccessive secondo quanto richiesto dalla Convenzione stessa. Il fatto è che alcuni degli elementi del progetto sono del tutto nuovi, e il loro impatto in termini di diritti fondamentali non sembra essere stato valutato appieno dal comitato che si è occupato della redazione del progetto. Occorre quindi introdurre specificazioni maggiori quanto ai criteri che giustificano l'adozione delle misure previste per la lotta alla criminalità informatica in termini di necessità, adeguatezza e proporzionalità.

Va inoltre sottolineato che non tutti i Paesi potenziali firmatari del progetto di Convenzione sono anche membri del Consiglio d'Europa (USA, Canada, Giappone, Repubblica Sudafricana): ciò porterebbe ad una sostanziale discriminazione di trattamento, in quanto gli Stati membri del Consiglio d'Europa sono tenuti anche al rispetto di tutti gli strumenti adottati dal Consiglio e, in particolare, della Convenzione 108 sulla protezione dei dati personali, delle Raccomandazioni elaborate dal Consiglio in questo settore e delle direttive dell'Unione Europea concernenti la protezione dei dati (in particolare, la direttiva 95/46). Soprattutto, il progetto nella sua versione attuale non prevede l'obbligo per gli Stati non membri del Consiglio d'Europa di introdurre salvaguardie e condizioni conformi agli strumenti indicati.

Nel parere vengono quindi evidenziate alcune lacune più specificamente riguardanti disposizioni in materia di protezione dati. In particolare, il progetto prevede in sostanza un obbligo generale di cooperazione comprendente anche la fornitura di informazioni, materiali ecc., con pochissime eccezioni. Un articolo introdotto nel progetto in via provvisoria (articolo 27 bis) sembra in parte rispondere all'esigenza di tutelare la riservatezza delle persone oggetto delle informazioni suddette. Tuttavia, esso prevede la possibilità (non l'obbligo) per lo Stato al quale venga fatta una richiesta, di fornire le informazioni o i materiali in oggetto solo se non sussistono limitazioni in termini di segretezza o utilizzo. Non si fa invece menzione esplicita della tutela dei dati personali quale condizione limitante. In sostanza, non è chiaro se questa disposizione sia sufficiente a giustificare il rifiuto di prestare assistenza sulla base del rischio di violare il principio dell'adeguatezza del livello di protezione dei dati personali che, in base alla direttiva 95/46, costituisce il criterio fondamentale ai fini del trasferimento di dati verso Paesi terzi. Il Gruppo dei Garanti ha quindi proposto di inserire nella Convenzione l'articolo suddetto in modo permanente, modificandolo nel senso indicato e specificando meglio il livello di protezione che deve essere garantito ai singoli che siano oggetto dei provvedimenti citati nel Progetto di Convenzione. Questo anche perché i principi sanciti dalla direttiva europea in materia di protezione dati si applicano alle attività del cosiddetto "terzo pilastro" (ossia, alla cooperazione di polizia e giudiziaria): potrebbe, dunque, verificarsi che la situazione in atto in un Paese terzo (cioè non membro dell'UE) che richiede informazioni sia tale da non garantire un livello adeguato di protezione dei dati personali, come invece è necessario in base alla direttiva affinché il Paese richiesto proceda al trasferimento dei dati. Se dunque il progetto non prevederà la possibilità per la il Paese cui vengono richieste le informazioni di imporre specifiche garanzie e condizioni ai fini del loro trasferimento, potrebbero nascere conflitti (soprattutto per i Paesi membri dell'UE) fra l'obbligo di prestare assistenza, da un lato, e l'obbligo di rispettare diritti fondamentali imposto dalla CEDU e dagli strumenti comunitari.

Il Gruppo ha peraltro rilevato con favore che nell'ultima versione del Progetto non si prevede più un obbligo generalizzato di conservazione di tutti i dati sul traffico a carico dei fornitori di servizi Internet. I Garanti hanno chiesto che tale obbligo non sia più introdotto in eventuali successive versioni del Progetto. Anche in questo ambito, tuttavia, non è prevista la possibilità per lo Stato richiesto di rifiutare la comunicazione di dati sul traffico per motivi connessi alla protezione dei dati; inoltre, si fa obbligo di conservare i dati telematici e sul traffico, su richiesta, per almeno 60 giorni in attesa della decisione sulla necessità di disporne e sulle modalità di utilizzo - il che comporta un onere non indifferente per gli operatori di TLC, i fornitori di servizi Internet ed anche i privati.

I Garanti europei hanno valutato positivamente lo sforzo compiuto dal Consiglio d'Europa per migliorare il testo del progetto alla luce dei principi che regolano la protezione dei dati, ma hanno invitato i responsabili della sua formulazione a tenere in maggiore conto le osservazioni e le competenze degli esperti nazionali in materia di protezione dati.