Sintesi del parere del Garante europeo della protezione dei datisulla comunicazione della Commissione europea al Consiglio e al Parlamentoeuropeo sull’istituzione di un Centro europeo per la lotta alla criminalitàinformatica

(Il testo integraledel presente parere è reperibile in inglese, francese e tedesco sul sito webdel GEPD http:// www.edps.europa.eu)

(Pubblicato sulla GUUE n. C 336 del 6/1/2012)

1. Introduzione

1.1. Consultazione del GEPD

1. Il 28marzo 2012 la Commissione ha adottatouna comunicazione dal titolo «Lotta alla criminalità nell’era digitale:istituzione di un Centro europeo per la lotta alla criminalità informatica» ⁽¹⁾.

2. Il GEPD rileva che il Consiglio hapubblicato le proprie conclusioni sull’istituzione di un Centro europeo per lalotta alla criminalità informatica il 7 e l’8 giugno 2012 ⁽²⁾. Il Consiglio approva gli obiettivi della comunicazione,appoggia l’istituzione del centro (denominato anche «EC3») all’interno diEuropol nonché l’utilizzo delle attuali strutture al fine di agevolarel’interconnessione dei lavori su altri settori della lotta alla criminalità,conferma che l’EC3 deve fungere da punto di riferimento nella lotta allacriminalità informatica e che l’EC3 opererà in stretto contatto con agenzie eattori pertinenti a livello internazionale, e chiede alla Commissione, inconsultazione con Europol, di precisare maggiormente la portata dei compitispecifici che permetteranno al centro di diventare operativo entro il 2013.Tuttavia, le conclusioni non fanno riferimento all’importanza dei dirittifondamentali e, in particolare, alla protezione dei dati nell’istituzionedell’EC3.

3. Prima dell’adozione dellacomunicazione della Commissione, il GEPD aveva avuto la possibilità diformulare osservazioni informali sul progetto di comunicazione. Nelle sueosservazioni informali, il GEPD aveva sottolineato che la protezione dei dati èun aspetto essenziale da tenere in considerazione nell’istituzione del Centroeuropeo per la lotta alla criminalità informatica (di seguito «EC3»). Purtroppo,la comunicazione non ha tenuto conto delle osservazioni formulate nella faseinformale. Inoltre, le conclusioni del Consiglio chiedono di garantire che ilcentro diventi operativo già entro l’anno prossimo. Per questo motivo laprotezione dei dati dovrà essere presa in considerazione nelle prossime misureche verranno adottate già a brevissimo termine.

4. Il presente parere trattadell’importanza della protezione dei dati nell’istituzione dell’EC3 e forniscesuggerimenti specifici che potrebbero essere presi in considerazione nel corsodell’elaborazione del mandato dell’EC3 nonché nella revisione legislativa delquadro giuridico di Europol. Agendo di propria iniziativa, il GEPD ha quindiadottato il presente parere sulla base dell’articolo 41, paragrafo 2, delregolamento (CE) n. 45/2001.

1.2. Ambito di applicazione dellacomunicazione

5. Nella sua comunicazione, la Commissionesegnala l’intenzione di istituire un Centro europeo per la

lotta alla criminalità informaticaquale priorità della strategia di sicurezza interna ⁽³⁾.

6. La comunicazione elenca in modo nonesauriente diversi ambiti di criminalità informatica su cui dovrebbeconcentrarsi l’EC3: reati informatici commessi da gruppi di criminalitàorganizzata, in particolare i reati informatici che permettono di realizzareingenti profitti illegali quali la frode informatica, reati informatici cherecano gravi danni alle vittime, quali lo sfruttamento sessuale dei minorion-line, e reati informatici con serie ripercussioni su sistemi critici delletecnologie dell’informazione e della comunicazione (TIC) nell’Unione.

7. Per quanto riguarda il lavoro del centro,la comunicazione elenca quattro compiti principali ⁽⁴⁾:

— fungere da punto diriferimento europeo per le informazioni sulla criminalità informatica,

— mettere in comune lecompetenze europee in materia di criminalità informatica per aiutare gli Statimembri a rafforzare le loro capacità,

— fornire sostegno agli Statimembri nelle indagini sulla criminalità informatica,

— diventare il portavoce degliinvestigatori europei sulla criminalità informatica a livello di autorità dicontrasto e giudiziarie.

8.      Leinformazioni trattate dall’EC3 verranno raccolte dal maggior numero possibiledi fonti pubbliche, private o accessibili al pubblico, arricchendo i dati dipolizia disponibili, e riguarderanno le attività di criminalità informatica, imetodi con cui tali attività vengono svolte e i loro presunti autori. L’EC3collaborerà inoltre direttamente con altre agenzie e organi europei, siatramite la partecipazione di tali organismi al consiglio di direzione delcentro che tramite la cooperazione operativa, se del caso.

9. La Commissione propone che l’EC3 sial’interfaccia naturale delle attività di Interpol sulla criminalità informaticae delle altre unità internazionali di polizia preposte alla lotta contro lacriminalità informatica. In collaborazione con Interpol e altri partnerstrategici nel mondo, l’EC3 dovrebbe inoltre sforzarsi di migliorare ilcoordinamento delle risposte nel quadro della lotta alla criminalitàinformatica.

10.    In pratica, laCommissione propone di creare questo EC3 come parte di Europol. L’EC3 faràparte di Europol (5) e, diconseguenza, sarà assoggettato al regime giuridico di Europol (6).

11. Secondo la Commissione europea (7), le principali novità che l’EC3, nellaformulazione proposta, apporterà alle attività attuali di Europol saranno: i)maggiori risorse per una maggiore efficienza nella raccolta di informazioni davarie fonti e ii) scambio di informazioni con partner esterni alla comunitàdelle autorità di contrasto (principalmente, partner del settore privato).

1.3. Punto centrale del parere

12. Nel presente parere il GEPD intende:

— chiedere alla Commissione dichiarire il campo di applicazione delle attività dell’EC3, nella misura in cuiesse siano pertinenti per la protezione dei dati,

— valutare le attività previstenel contesto del quadro giuridico attuale di Europol, specialmente la lorocompatibilità con il quadro,

— evidenziare gli aspettipertinenti che il legislatore dovrebbe precisare più dettagliatamente nelcontesto della futura revisione del regime giuridico di Europol al fine digarantire un maggiore livello di protezione dei dati.

13.    Il parere èstrutturato come segue. La parte 2.1 illustra perché la protezione dei dati èun elemento essenziale nella creazione dell’EC3. La parte 2.2 tratta lacompatibilità tra gli obiettivi fissati nella comunicazione per l’EC3 e ilmandato giuridico di Europol. La parte 2.3 verte sulla cooperazione con ilsettore privato e i partner internazionali.

3. Conclusioni

50. Il GEPD considera la lotta alla criminalitàinformatica un elemento fondamentale per il rafforzamento della sicurezza nellospazio digitale e per la creazione della fiducia necessaria. Il GEPD rileva cheil rispetto dei regimi di protezione dei dati deve essere ritenuto parteintegrante della lotta alla criminalità informatica e non un deterrente allasua efficacia.

51. La comunicazione fa riferimento all’istituzionedi unn uovo Centro europeo per la lotta allac riminalità informaticaall’interno di Europol, benché un Centro per la lotta alla criminalitàinformatica di Europol esista già da diversi anni. Il GEPD vorrebbe vedereprecisate più chiaramente le nuove funzioni e le attività che distingueranno ilnuovo EC3 dall’attuale Centro per la lotta alla criminalità informatica diEuropol.

52. Il GEPD raccomanda di definire chiaramentele competenze dell’EC3 anziché limitarsi a esporle facendo riferimento alconcetto di «criminalità informatica» incluso nell’attuale legislazioneEuropol. Inoltre, la definizione delle competenze e delle strategie disalvaguardia per la protezione dei dati dell’EC3 dovrà fare parte dellarevisione della legislazione Europol. Finché la nuova legislazione Europol nondiventerà applicabile, il GEPD raccomanda che la Commissione enunci talicompetenze e strategie di salvaguardia per la protezione dei dati nel mandatodel centro. Tra queste potrebbero figurare:

— una definizione chiara deicompiti relativi al trattamento dei dati (in particolare, indagini e attivitàdi sostegno operativo) che potrebbe svolgere il personale del centro, da solo oin collaborazione con squadre investigative comuni, e

— procedure chiare che da unaparte garantiscano il rispetto dei diritti individuali (compreso il dirittoalla protezione dei dati) e dall’altra forniscano garanzie che gli elementi diprova sono stati acquisiti legalmente e possono essere utilizzati dinanzi a untribunale.

53. Il GEPD ritiene che gli scambi didati personali dell’EC3 con il «maggior numero possibile di fonti pubbliche,private o accessibili al pubblico» implichino rischi specifici per laprotezione dei dati poiché spesso comporteranno il trattamento di dati raccoltiper fini commerciali e trasferimenti internazionali di dati. Questi rischi vengonoaffrontati dall’attuale decisione Europol, la quale stabilisce che, ingenerale, Europol non debba scambiare dati direttamente con il settore privatoe effettuato possa farlo con determinate organizzazioni internazionali solo incircostanze molto specifiche.

54.    In talecontesto, e considerata l’importanza di queste due attività per l’EC3, il GEPDraccomanda di fornire le opportune strategie di salvaguardia per la protezionedei dati conformemente alle disposizioni in vigore nella decisione Europol. Talisalvaguardie dovranno essere integrate nel mandato del centro che dovrà essereelaborato dalla squadra preposta alla realizzazione dell’EC3 (e successivamentenel quadro giuridico rivisto di Europol) e non dovranno in alcun modo tradursiin una minore protezione dei dati.

Fatto a Bruxelles, il 29 giugno 2012

Peter HUSTINX

Garante europeo della protezione deidati

NOTE                                      

(1) Lacriminalità informatica non è definita nella legislazione dell’UE.

(2) Conclusionidel Consiglio sull’istituzione di un Centro europeo per la lotta allacriminalità informatica, 3172a sessione del Consiglio «Giustizia e affari interni»,Lussemburgo, 7 e 8 giugno 2012.

(3) Lastrategia di sicurezza interna dell’UE in azione: cinque tappe verso un’Europapiù sicura [COM(2010) 673 def., del 22 novembre 2010]. Cfr. anche il parere delGEPD su questa comunicazione, formulato il 17 dicembre 2010 (GU C 101dell’1.4.2011, pag. 6).

(4)Comunicazione, pagg. 4-5.

(5) Comeraccomandato dallo studio di fattibilità pubblicato nel febbraio 2012, chevaluta le differenti opzioni disponibili (status quo, istituzione pressoEuropol, proprietà/parte di Europol, centro virtuale),http://ec.europa.eu/home-affairs/doc_centre/crime/docs/20120311_final_report_feasibility_study_for_a_european_cybercrime_centre.pdf

(6) Decisionedel Consiglio, del 6 aprile 2009, che istituisce l’Ufficio europeo di polizia(Europol) (2009/371/GAI).

(7) Comunicatostampa del 28 marzo, Frequently Asked Questions: the new European CybercrimeCentre Riferimento: ME­MO/12/221. Data: 28 marzo 2012.http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/12/221