Il presente articolo, si propone di prendere in esame i profili più significativi legati all’accesso transfrontaliero alla prova digitale del Regolamento, nonché cercare di verificarne gli impatti da esso derivati verso l’Operatore di telecomunicazioni.
1. Le Prove Elettroniche. Quali dati fornire?
Come anticpiato nel precedente articolo, la definizione di Prova Elettronica la si rileva dall’Art. 3 paragrafo 8) del Regolamento, che sancisce che sono “i dati relativi… conservati… al momento della ricezione…”. Questa disposizione acquista notevole importanza nei confronti dei prestatori di servizi (da qui “Società Telco”) in termini di processo, in quanto rappresenta un limite intrinseco alla fornitura dei dati richiesti, i quali non potranno in alcun modo esorbitare da quelli conservati (sino) al momento della notifica, escludendo automaticamente tutti quelli che verranno a formarsi dopo la ricezione (notifica) dell’Ordine.
L’importanza della disposizione de qua è apprezzabile anche in considerazione del fatto che, per eseguire un Ordine di produzione, il Regolamento stabilisce 10 giorni di tempo (fatte salve le urgenze per le quali il termine è di 8 ore). Essendoci, quindi, la possibilità che trascorrano alcuni giorni dal momento in cui si riceve l’Ordine a quello di effettiva elaborazione dello stesso (e della relativa produzione dei dati), i prestatori di servizio dovranno prestare la massima attenzione, onde evitare di fornire i dati che si andranno a formare in quel lasso di tempo, rischiando di configurare in tal modo un’eccedenza di trattamento, ma dovranno evitare anche la cancellazione (definitiva) di dati avvenuta (a qualsiasi titolo) tra la data di notifica e l’elaborazione dei dati da fornire.
Per evitare l’eventualità che vengano forniti dati in eccedenza (o meno dati), il prestatore di servizio dovrà elaborare le richieste appena notificate, il che potrebbe avere significative ripercussioni a livello organizzativo in specie sulle Società Telco più piccole in quanto dovrà essere garantito un costante presidio sul Front End delle notifiche dell’EPOC e EPOC-PR. Alternativa, a mio avviso, è quella di agire a livello dei vari sistemi che conservano i dati oggetto del Regolamento, attraverso specifiche policy (di non facile attuazione), che garantiranno la corretta ricostruzione del dato effettivamente conservato al momento della notifica.
Andando ora ad esaminare l’art. 5 del Regolamento (Vedi Capitolo 6 “Ordine Europeo – Condizioni per l’emissione” dell’Articolo “Che cos’è il Regolamento E-Evidence”) ritengo opportuno porre l’attenzione su due condizioni.
Il Paragrafo 8 prevede, infatti, che per i dati conservati per una Autorità pubblica, questi possono essere richiesti tramite Ordine di produzione solo se l’Autorità pubblica è situata nel luogo di emissione;
8. Qualora i dati siano conservati o altrimenti trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, è possibile emettere un ordine europeo di produzione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati si trova nello Stato di emissione.
Anche il Considerando 44 conferma tale disciplina:
(44) Qualora i dati siano conservati o trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, dovrebbe essere possibile emettere un ordine europeo di produzione o un ordine europeo di conservazione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati è situata nello Stato di emissione.
Se ne ricava, quindi, che la produzione o la conservazione di dati appartenenti ad un Autorità pubblica sarà possibile solo qualora questa sia situata nello Stato di emissione. A parere dello scrivente, in tale disciplina è ravvisabile la necessità che eventuali dati trattati da un prestatore di servizio italiano, per conto di una Autorità pubblica italiana, debbano essere esonerati dall’essere oggetto di esecuzione dell’Ordine di produzione o conservazione. In altri termini, questa tipologia di dati dovrebbe essere inserita in una sorta di Black List, che escluda la possibilità che vengano trattati tale tipologia di dati.
Il Paragrafo 5 dell’art. 10 disciplina, invece, i casi di “immunità o privilegi” rilevati dal destinatario (prestatore di servizi), prevedendo una procedura di informazione del destinatario verso l’Autorità di esecuzione e di emissione, volta alla verifica della possibilità di fornire o meno i dati oggetto di “immunità o privilegi”.
In questa casistica, si ritiene che il prestatore del servizio debba attivare tutti i meccanismi di identificazione dei dati oggetto di “immunità o privilegi” tali, nei casi di richiesta di Ordine su tali dati, da consentire le dovute verifiche verso l’autorità di emissione e di esecuzione.
Anche il paragrafo 4 dell’art. 11 disciplina, i casi di “immunità e privilegi”, relativi ad un EPOC-PR, che possono essere rilevati dal destinatario (prestatore di servizi).
Valgono qui le considerazioni fatte per l’EPOC, circa la necessità di attivare meccanismi di identificazione dei dati oggetto di “immunità e privilegi” da consentirne le dovute verifiche verso l’autorità di emissione e di esecuzione.
2. Le Prove Elettroniche. Termini per adempiere
Come abbiamo visto, ai capitoli 9.1 e 9.2 del precedente articolo è riportata la disciplina dei termini per adempiere, per i quali vorremmo porre l’attenzione:
EPOC, è previsto un termine di 10 giorni (8 ore per i casi di emergenza) per adempiere.
Una riduzione così consistente circa i termini di adempimento, costituisce una notevole criticità per le Società Telco, soprattutto perché la disposizione del Regolamento pecca di una indicazione circa giorni e orari in cui poter inviare le richieste; tale mancanza fa presupporre alla necessità di adozione di un meccanismo di continuità del servizio da parte del prestatore di servizi di h. 24 7/7.
Ultimo aspetto da valutare, ma non per importanza, riferito al termine ridotto di 8 ore in situazione emergenziale, è quello riguardante l’intensità dei controlli da effettuare, da parte del prestatore dei servizi, prima di procedere alla produzione dei dati, i quali non potranno che limitarsi ad un livello superficiale, se non addirittura, essere totalmente assenti.
EPOC-PR, è previsto un termine di 60 giorni (prorogabili di altri 30) per conservare i dati.
La formulazione dell’art. 11 paragrafo 2 del Regolamento, contribuisce ad alimentare i dubbi inerenti al periodo nel quale il prestatore di servizio abbia l’obbligo di conservare i dati in attesa dell’emissione dell’EPOC finalizzato alla loro acquisizione:
(art. 11 paragrafo 2).
2. Qualora, durante il periodo di conservazione di cui al paragrafo 1 l’autorità di emissione confermi che è stata emessa una successiva richiesta di produzione, il destinatario conserva i dati per tutto il tempo necessario (n.d.r. cosa vuol dire per tutto il tempo necessario?) per la loro produzione una volta ricevuta la successiva richiesta di produzione.
Sarebbe stata sicuramente più efficace la previsione all’interno del paragrafo 2 dell’art. 11, di un termine massimo entro cui l’Autorità di emissione avrebbe dovuto notificare l’EPOC, al superamento del quale sarebbe dovuto decadere l’obbligo previsto in capo al prestatore di servizio di conservazione dei dati, con conseguente possibilità di cancellazione degli stessi.
Tale termine costituirebbe un sicuro deterrente alle ipotesi, seppur remote, di eccessivo lassismo da parte delle Autorità di emissione. La formula scelta dal legislatore comunitario, invece, lascia aperta la possibilità che i dati rimangano conservati per un periodo tale che, in alcuni casi, potrebbe contrastare con i principi fondanti del trattamento dei dati (i.e. Principio di minimizzazione dei dati sanciti dal GDPR). Infatti, la mancata previsione di un termine del tempo di conservazione, potrebbe rendere il trattamento di conservazione, lesivo di principi applicabili al trattamento dei dati personali sanciti nel Regolamento e nella relativa normativa di attuazione e integrazione (considerando 33 e 50 e art. 5, par. 1 lett. b) e e) del Regolamento.
Concordo, pertanto, con il Parere del Comitato 23/2018, ove a pag. 6 evidenzia:
Il Comitato rileva che, per l’ordine europeo di conservazione (EPOC-PR), non vi è alcuna garanzia che la conservazione dei dati sarà limitata a ciò che è necessario produrre. Infatti il periodo di conservazione potrebbe superare 60 giorni poiché non è previsto un termine entro cui l’autorità di emissione comunichi al destinatario di astenersi dall’emettere o di revocare un ordine di produzione. Il Comitato raccomanda quindi che sia fissato almeno un termine entro cui l’autorità di emissione debba comunicare di astenersi dall’emettere o di revocare l’ordine di produzione al fine di rispettare il principio della minimizzazione dei dati previsto dal RGPD.
Termine che purtroppo non è stato recepito.
L’Ordine di conservazione (EPOC-PR) comporterà per i prestatori di servizio, lo sviluppo di specifiche policy volte a stabilire ove e come conservare il dato e a garantirne l’immodificabilità e l’integrità degli stessi.
Tali Policy dovranno ovviamente essere compliant alle normative vigenti in tema di Privacy (GDPR), a quelle sul rispetto dell’integrità e immodificabilità del dato ed a quelle che disciplineranno le modalità dell’eventuale cancellazione dell’eventuale copia digitale prodotta e non più richiesta con l’EPOC, da parte dell’Autorità di emissione, come previsto dal Paragrafo 3 dell’art 11:
3. Qualora la conservazione non fosse più necessaria, l’autorità di emissione ne informa il destinatario senza indebito ritardo e l’obbligo di conservazione sulla base dell’ordine europeo di conservazione cessa di sussistere.
3. Rimborso Spese
Come riportato al Capitolo 10 del precedente articolo, il Considerando 68 e l’art. 14 (Rimborso spese) prevedono rimborsi verso il prestatore di servizi, qualora analoga possibilità sia prevista dall’ordinamento nazionale.
Art. 14
1. Laddove tale possibilità sia prevista dal diritto nazionale dello Stato di emissione per gli ordini interni in situazioni analoghe, il prestatore di servizi può chiedere allo Stato di emissione il rimborso delle sue spese, conformemente al diritto nazionale di tale Stato. Gli Stati membri comunicano le proprie norme interne di rimborso alla Commissione, che le rende pubbliche.
2. Il presente articolo non si applica al rimborso dei costi del sistema informatico decentrato di cui all’articolo 25.
Tale rimborso, a mio avviso, riveste più una valenza estetica che di contenuto. Ritengo, infatti, assai difficile (o alquanto complicato), procedere con una richiesta di rimborso nei confronti di un altro Paese la quale, in termini di gestione, potrebbe comportare anche un costo maggiore rispetto al ristoro stesso.
Un ulteriore dubbio riguarda anche la collaborazione degli Stati membri nella comunicazione delle rispettive norme interne in tema di rimborsi.
L’eventuale inadempimento, infatti, non risulta disciplinato a livello comunitario, pertanto si ritiene altamente probabile che tale comunicazione venga effettuata solo da alcuni paesi.
Su questo il tempo ci darà ragione…. o torto.
In Italia i rimborsi per le prestazioni obbligatorie di giustizia, sono disciplinate dal c.d. Listino Ministeriale del 28/12/2017 (Decreto 28 dicembre 2017 – Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003) ove nell’allegato sono descritte le prestazioni e i rimborsi previsti. Le voci disciplinate dal predetto Listino, non ricomprendono i dati disciplinati dal Regolamento, ad eccezione del traffico che rimane comunque una prestazione gratuita.
4. Sanzioni
Al Capitolo 11 del precedente articolo, abbiamo visto che il Regolamento prevede un sistema sanzionatorio (Considerando 69 e art. 15), rimandando la competenza dell’attuazione del regime sanzionatorio a ciascuno Stato membro.
In merito a questo punto, ci potrebbe essere la “spinta” (visto che già una norma esiste, estendiamola al Regolamento) ad applicare l’attuale apparato sanzionatorio previsto, in caso di inadempimento delle prestazioni obbligatorie (art. 57 CCE), dall’art. 30 co. 16 del Codice Comunicazioni Elettroniche (CCE), agli inadempimenti previsti dal Regolamento.
A mio avviso dovrebbe, viceversa, essere previsto uno specifico regime sanzionatorio, in quanto il Regolamento prevede nella definizione di “prestatore di servizio”, una base di soggetti più ampia rispetto a quella del Codice delle Comunicazioni Elettroniche (art. 57).
