La Convenzione costituisce un importante strumento per favorire la cooperazione internazionale nella lotta alla criminalità informatica, attraverso l’armonizzazione delle procedure ed il potenziamento dell’assistenza giudiziaria in questi settori. Il Gruppo dei Garanti europei si era già espresso in merito con un parere (n.4/2001, adottato il 22 marzo 2001 — v. Newsletter 16-29 aprile 2001 ) nel quale venivano evidenziati alcuni problemi riguardo alla rispondenza del progetto ai principi di protezione dati sanciti sia nella Convenzione del Consiglio d’Europa in materia di protezione dei dati (108/1981), sia negli altri strumenti successivamente adottati in questo settore. E’ evidente, infatti, che le attività di cooperazione internazionale comportano necessariamente lo scambio di dati personali (dati sul traffico telefonico o telematico, registrazione di comunicazioni, ecc.) non sempre connessi a forme di criminalità informatica.

Rispetto alle considerazioni sviluppate dai Garanti in quel documento, il testo definitivo risulta aver recepito solo in parte le obiezioni e i suggerimenti avanzati nell’ottica di una maggiore attenzione alle esigenze di protezione dei dati personali. Un punto importante è rappresentato dall’inserimento, nell’art. 15 della Convenzione, di un richiamo esplicito alla Convenzione europea per la salvaguardia dei diritti dell’uomo (che prima era richiamata soltanto nel Preambolo), il cui articolo 8 sancisce il diritto fondamentale al rispetto della vita privata. Nell’articolo si fa obbligo agli Stati firmatari di assoggettare l’applicazione delle misure di assistenza previste dalla Convenzione alle norme di diritto interno; tali norme devono prevedere, in particolare, condizioni e garanzie atte ad assicurare la tutela adeguata dei diritti dell’uomo e delle libertà fondamentali. Nella versione precedente dell’articolo, inoltre, non si faceva menzione del principio di proporzionalità; nel testo definitivo si dice, invece, che il diritto interno deve prevedere che le misure ed i provvedimenti adottati in base alla Convenzione siano proporzionati rispetto alla natura ed alle circostanze del reato — sempre, e non più solo "se del caso". L’invito dei Garanti europei di introdurre specificazioni maggiori quanto ai criteri che giustificano l’adozione delle misure previste per la lotta alla criminalità informatica in termini di necessità, adeguatezza e proporzionalità è stato dunque accolto.

Tuttavia, le altre osservazioni e raccomandazioni dei Garanti non hanno ricevuto eguale attenzione. Ciò vale, in particolar modo, per le disposizioni più specificamente riferite alla protezione dei dati personali. L’articolo 28 della Convenzione riguarda, ad esempio, le condizioni che uno Stato richiesto di assistenza può porre al fine di fornire la documentazione o le informazioni necessarie. Il Gruppo aveva richiesto che questa non fosse una possibilità, ma un obbligo: nel testo definitivo è rimasta invece una formulazione non precettiva ("la Parte richiesta può condizionare l’assistenza..."). Fra queste condizioni è compresa la necessità di mantenere "riservate" le informazioni fornite; nessun riferimento esplicito è fatto alla normativa in materia di protezione dati, come invece aveva chiesto il Gruppo. L’articolo precedente (27, comma 4) elenca inoltre le condizioni alle quali uno Stato può rifiutarsi di fornire assistenza, e fra tali condizioni è compresa la possibilità che, dando corso alla richiesta, si rechi pregiudizio "alla sovranità, alla sicurezza, all’ordine pubblico o ad altri interessi fondamentali". E’ una formula ampia, che già i Garanti avevano criticato in quanto ambigua chiedendo di introdurre disposizioni specificamente riferite alla protezione dei dati fra gli "altri interessi fondamentali".

Come chiarito dalla Relazione illustrativa allegata alla Convenzione, la disposizione va invece interpretata in senso restrittivo, e solo "in casi eccezionali" è possibile rifiutare di prestare assistenza per motivi legati alla protezione dei dati. "E’ preclusa qualunque applicazione ampia, categorica o sistematica dei principi di protezione dati quale giustificazione del rifiuto di prestare cooperazione". La Relazione (che non ha valore giuridico, ma fornisce parametri sull’interpretazione delle norme convenzionali) dice chiaramente che non può costituire motivo di rifiuto il fatto che le Parti interessate dispongano di sistemi diversi per la tutela della privacy (ad esempio, l’assenza di un’autorità di garanzia specifica) o di strumenti diversi di tutela (ad esempio, perché non è prevista la cancellazione dei dati trasmessi una volta utilizzati). La Convenzione indica piuttosto l’opportunità, per lo Stato dal quale devono essere trasferiti i dati, di formulare condizioni specifiche ai fini del trasferimento, ma non di rifiutarsi tout court.

Dunque, non è stato accolto l’invito ad inserire nel testo della Convenzione un riferimento esplicito al livello di protezione che i singoli Stati devono garantire a chi sia oggetto delle misure previste dalla Convenzione stessa. Inoltre, per quanto riguarda l’altro punto sollevato dai Garanti, ossia il problema della conservazione dei dati sul traffico, è rimasta invariata la disposizione (articolo 16) che fa obbligo di conservare i dati telematici (connessione, indirizzo web etc.) e di traffico per almeno 90 giorni, in attesa di un’eventuale richiesta da parte di uno Stato firmatario della Convenzione. Questa disposizione comporta un onere non indifferente per gli operatori di Tlc, i fornitori di servizi Internet ed anche i privati.

E’ vero che il Preambolo alla Convenzione contiene adesso un richiamo esplicito alla Convenzione 108/1981 in materia di protezione dati, ma si tratta, appunto, solo di un richiamo. I Garanti avevano chiesto, in realtà, che i Paesi firmatari della Convenzione sulla criminalità informatica fossero invitati a sottoscrivere anche la Convenzione n. 108/1981, in modo da garantire l’esistenza di un denominatore comune quanto alle salvaguardie esistenti in materia di privacy. Bisogna sottolineare, ancora una volta, che alla Convenzione sul cybercrime possono aderire Stati non facenti parte del Consiglio d’Europa, e dunque non vincolati al rispetto delle relative convenzioni e raccomandazioni né, tanto meno, delle direttive elaborate a livello di UE anche sulla base dei principi sanciti nella Convenzione 108/1981 sulla protezione dei dati personali.