Dopo il Consiglio di Europa, che ha adottato per primo strumenti per l'uso della prove elettroniche nei processi civili ed amministrativi, anche l'UE, dando atto delle necessità dei giudici e della polizia di avere un accesso più facile e rapido alle prove elettroniche nei procedimenti penali, sta adottando misure per migliorare l'accesso transfrontaliero alle stesse, creando un quadro giuridico che consenta di indirizzare gli ordini giudiziari direttamente ai fornitori di servizi che operano nell'UE.
Il 7-8 marzo 2019 si è svolta la riunione del Consiglio di Giustizia e degli Affari Interni, ove è stata proposta la creazione di un Regolamento sulle prove elettroniche nel penale e di una Direttiva sulla nomina dei rappresentanti legali per la raccolta delle prove informatiche in materia penale.
Il Regolamento. La proposta di Regolamento ha lo scopo d'introdurre un meccanismo alternativo agli strumenti già esistenti di cooperazione internazionale e assistenza giudiziaria reciproca “per risolvere i problemi derivanti dalla natura volatile delle prove elettroniche, stabilendo nuove procedure per un accesso transfrontaliero rapido, efficiente ed efficace”.
Inoltre, ci si prefigge “la creazione di ordini europei di produzione e conservazione che possono essere emessi per ottenere o conservare e-evidence indipendentemente dall'ubicazione dei dati; gli ordini possono coprire qualsiasi categoria di dati - abbonato, accesso, transazionale e contenuto - con una soglia per questi ultimi due che può essere richiesta solo per reati punibili nel paese emittente con una pena massima di almeno 3 anni, o per cyber specifico / reati legati al terrorismo; i dati richiesti non possono essere utilizzati per scopi diversi da quelli per cui sono stati ottenuti, ad eccezione di: impedire una minaccia grave e immediata alla sicurezza pubblica dello Stato emittente o dei suoi interessi essenziali, o per procedimenti per i quali un ordine di produzione avrebbe potuto essere rilasciato. Una scadenza obbligatoria di 10 giorni per l'esecuzione di un ordine di produzione. In caso di casi di emergenza validamente stabiliti , il termine può essere ridotto a 6 ore . Inoltre, nel caso in cui l'Ordine riguardi dati di accesso e di sottoscrizione, può essere, a determinate condizioni, inviato senza previa convalida dall'autorità giudiziaria competente. In questo caso, la convalida ex-post dovrà essere cercata il prima possibile e entro 48 ore. I fornitori di servizi possono essere sanzionati se non rispettano un ordine. Possono essere imposte sanzioni pecuniarie fino al 2% del fatturato totale mondiale a livello mondiale dell'anno finanziario precedente. La creazione di un sistema di notifica per i dati dei contenuti nei casi in cui l'autorità emittente ritiene che la persona i cui dati sono ricercati non risieda nel proprio territorio. Questa notifica ha lo scopo di informare lo stato di esecuzione e dargli l'opportunità di segnalare se i dati richiesti sono: protetti da immunità e privilegi; o soggetto a regole sulla determinazione e limitazione della responsabilità penale relativa alla libertà di espressione/stampa; o la sua divulgazione può avere un impatto sugli interessi fondamentali dello stato. L'autorità emittente terrà conto di tali circostanze e non emetterà né adatterà l'Ordine. La notifica non ha effetto sospensivo”.
La Direttiva proposta. La Direttiva in questione deve dare attuazione al Regolamento perché definisce le regole per la nomina dei fornitori di servizi/rappresentanti legali, il cui ruolo è quello di ricevere e rispondere agli ordini giudiziari. La creazione di questa figura è stata resa necessaria dalla mancanza di un obbligo giuridico generale per i fornitori di servizi di paesi terzi di essere fisicamente presenti nell'UE.
Questa la posizione presa dal Consiglio di Giustizia e degli Affari Interni, che prevede questi punti focali: “I criteri per la definizione dell'ubicazione dei rappresentanti legali rimangono come nella proposta della Commissione. I rappresentanti legali si trovano in uno degli stati membri in cui è stabilito il fornitore di servizi o offrono servizi; Il Consiglio ha inoltre sottolineato che i rappresentanti legali dovrebbero disporre di risorse e poteri sufficienti per svolgere i propri compiti; Fornitori di servizi e rappresentanti legali possono essere ritenuti responsabili in solido per non conformità; I rappresentanti legali possono essere utilizzati per raccogliere tipi di prove diverse dalle prove elettroniche e per ricevere altre richieste relative alle forze dell'ordine, quali gli ordini di indagine europei, fatte salve le procedure specifiche previste in altri strumenti giuridici per la cooperazione giudiziaria in materia penale; Sono state aggiunte disposizioni specifiche per limitare l'onere per le PMI . Tra queste figura la possibilità per le PMI di "condividere" lo stesso rappresentante legale e che le singole sanzioni nei confronti di un fornitore di servizi dovrebbero tenere conto della sua capacità finanziaria; Riguardo alle sanzioni, il testo rimane come proposto dalla Commissione e prevede che le sanzioni siano efficaci, proporzionate e dissuasive; Un elenco completo dei rappresentanti legali è reso accessibile al pubblico per garantire un facile accesso da parte delle autorità incaricate dell'applicazione della legge, principalmente ma non solo, attraverso la rete giudiziaria europea in materia penale; Il Consiglio ha previsto un termine di recepimento di 18 mesi al fine di garantire che i rappresentanti legali siano operativi una volta entrato in vigore il regolamento sulle prove elettroniche 6 mesi dopo”.
Occorre sottolineare che il Regolamento e la Direttiva di attuazione costituiscono protocolli addizionali della Convenzione di Budapest (ossia la Convenzione sulla criminalità informatica, adottata dal Consiglio d'Europa il 23 novembre 2001 ed in vigore dal 1° luglio 2004, che rappresenta “il primo trattato internazionale sulle infrazioni penali commesse via internet e su altre reti informatiche” e contiene inoltre una serie di misure e procedure appropriate, quali la perquisizione dei sistemi di reti informatiche e l'intercettazione dei dati).
