CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Adottato il 22 marzo 2001

IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO ALTRATTAMENTO DEI DATI PERSONALI,

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 ¹ ,

vista la suddetta direttiva, in particolare gli articoli 29 e 30, paragrafo 1, lettera a), e paragrafo 3,

visto il suo regolamento interno, in particolare gli articoli 12 e 14,

HA ADOTTATO IL SEGUENTE PARERE:

Introduzione

La cibercriminalità è il rovescio della medaglia della società dell'informazione. L'uso delle nuove tecnologie reca enormi benefici alle società, ma offre anche la possibilità di commettere reati di tipo nuovo, oppure di tipo tradizionale sfruttando i nuovi strumenti disponibili. I paesi e numerose organizzazioni sono consapevoli del problema, che è pertanto trattato, ad esempio, a livello di Unione europea ² , G8 ³ , OCSE, Nazioni Unite e Consiglio d'Europa. L'obiettivo di tali iniziative è quello di creare una società dell'informazione in cui ai cittadini siano assicurate libertà e sicurezza.

Il Consiglio d'Europa vanta una lunga tradizione e una vasta esperienza sia nella cooperazione internazionale in campo criminale sia in materia di diritti dell'uomo. Dal 1997 è impegnato nella stesura di un progetto di convenzione sulla cibercriminalità. Il comitato di esperti sulla criminalità nel ciberspazio (PC-CY) ha concluso i suoi lavori nel dicembre del 2000 e l'Assemblea parlamentare del Consiglio d'Europa sarà chiamata a esprimere il suo parere (presumibilmente nella primavera del 2001) prima della trasmissione del testo per l'approvazione al Comitato dei ministri del Consiglio d'Europa.

Un apposito gruppo sarà incaricato di modificare il testo in funzione del parere espresso dall'Assemblea.

Tale convenzione può essere sottoscritta anche da paesi che non sono membri del Consiglio d'Europa. Gli Stati Uniti, il Canada, il Giappone e il Sudafrica stanno già attivamente partecipando al processo di stesura della convenzione.

Dall'aprile 2000 sul sito Web del Consiglio d'Europa sono state messe a disposizione del pubblico varie versioni del progetto di convenzione. Il progetto della relativa relazione è stato pubblicato per la prima volta soltanto di recente, nel febbraio del 2001. Il processo di stesura di entrambi i documenti è ancora in corso. Il presente parere formula osservazioni soltanto sul testo del progetto di convenzione quale pubblicato in data 22 dicembre 2000 (versione n. 25 pubblica ⁴ ) e non sulla relazione.

Il gruppo prende atto degli sforzi compiuti in molti settori per combattere la cibercriminalità e condivide gli obiettivi generali di tali sforzi nella misura in cui possono contribuire a migliorare il livello di sicurezza per tutti i cittadini e in particolare per il trattamento dei dati personali. Esso desidera tuttavia mettere in rilievo la necessità di trovare un giusto equilibrio tra la lotta contro la criminalità informatica e i diritti fondamentali di tutela dei dati personali e della vita privata delle persone per quanto riguarda le misure proposte nell'insieme del progetto di convenzione. Tali diritti trovano fondamento nella Convenzione europea dei diritti dell'uomo del Consiglio d'Europa, nella Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del Consiglio d'Europa del 1981, nella raccomandazione n. R (87) 15 tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia, nella raccomandazione n. R (95) 4 sulla protezione dei dati personali nel settore dei servizi di telecomunicazione con particolare riguardo ai servizi telefonici, nella Carta dei diritti fondamentali dell'UE, nelle direttive sulla protezione dei dati dell'UE, nel Patto internazionale relativo ai diritti civili e politici delle Nazioni Unite del 1966.

Per tali motivi il gruppo formula le seguenti osservazioni sull'attuale progetto di convenzione sulla cibercriminalità del Consiglio d'Europa.

Il progetto di convenzione

Il contenuto di tale progetto di convenzione per quanto riguarda l'armonizzazione delle norme di diritto procedurale (capitolo II) e l'assistenza internazionale reciproca (capitolo III) concerne lo scambio di dati personali (dati sul traffico, contenuto di comunicazioni, ecc.) nel quadro della cooperazione internazionale in ambito penale non esclusivamente in relazione con la criminalità informatica.

Il capitolo III riguarda la cooperazione internazionale "ai fini delle indagini o delle procedure concernenti reati connessi a dati e a sistemi informatici o ai fini della raccolta delle prove in forma elettronica di un reato". La maggior parte degli obblighi di assistenza reciproca prescritti dalla convenzione può riguardare qualsiasi reato, informatico o no, per cui essa sia ricercata. Tra gli obblighi figurano l'assistenza reciproca riguardo all'estradizione, all'informazione spontanea, alla conservazione di dati informatici e di dati sul traffico, all'accesso a dati informatici e a dati sul traffico e alla loro divulgazione, all'accesso dall'estero a dati archiviati, nonché alla raccolta in tempo reale di dati sul traffico e all'intercettazione di comunicazioni. Il capitolo prevede anche la possibilità di effettuare le richieste di assistenza reciproca attraverso strumenti di comunicazione rapidi quali fax e posta elettronica. Una successiva conferma formale è necessaria soltanto se richiesta dalla parte sollecitata a fornire assistenza.

Il progetto di convenzione (capitolo II, sezione 2) prevede anche che le parti armonizzino le loro norme di diritto procedurale al fine di assicurare che siano disponibili le seguenti misure: conservazione rapida di dati informatici archiviati, conservazione e divulgazione rapide di dati relativi al traffico, ingiunzione a una persona di trasmettere i dati informatici sotto il suo controllo e a un fornitore di servizi di comunicare le informazioni su un abbonato sotto il suo controllo, perquisizioni e sequestro di dati informatici archiviati, raccolta in tempo reale di dati relativi al traffico e intercettazione di dati relativi al contenuto.

In merito al diritto penale sostanziale, il progetto di convenzione (capitolo II, sezione 1) chiede alle parti di considerare determinati atti come reati con tutte le relative conseguenze, in particolare l'esercizio di specifici poteri investigativi normalmente utilizzabili per le indagini di tipo penale. È il caso ad esempio dell'accesso illegale a dati informatici, dell'intercettazione illegale, dell'abuso di dispositivi quali programmi informatici o parole di accesso, della contraffazione e delle frodi informatiche, dei reati connessi alla pedo-pornografia o delle violazioni dei diritti d'autore e dei connessi diritti.

Il gruppo si rammarica che non sia stata prevista alcuna disposizione per considerare come reato le violazioni delle norme sulla tutela dei dati.

Protezione dei diritti dell'uomo, dei dati e della vita privata

Il preambolo del progetto di convenzione fa riferimento alla Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU) del Consiglio d'Europa del 1950, al Patto internazionale relativo ai diritti civili e politici delle Nazioni Unite del 1966, alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del Consiglio d'Europa del 1981 (testo tra parentesi) e alla raccomandazione n. R (87) 15 tesa a regolamentare l'utilizzo dei dati a carattere personale nel settore della polizia (testo tra parentesi).

Il progetto di convenzione non armonizza tuttavia le garanzie e le condizioni che si applicano alle misure previste sulla base dei testi cui è fatto riferimento. Sebbene il progetto di convenzione (articolo 15) menzioni nel contesto del diritto procedurale che "l'istituzione, l'attuazione e l'applicazione dei poteri e delle procedure previsti nella sezione (capitolo II, sezione 2) sono soggette alle condizioni e alle garanzie previste dall'ordinamento interno di ciascuna delle parti", non impone che tali garanzie e condizioni siano effettivamente esistenti.

Gli Stati membri del Consiglio d'Europa sono obbligati ad applicare la convenzione CEDU (che sancisce il diritto alla tutela dei dati personali e al rispetto della vita privata, il diritto della segretezza della corrispondenza, il diritto di essere sottoposto a un equo processo e il diritto a non essere privato della libertà salvo nei casi previsti dalla legge, che garantisce la libertà di espressione e che impone il rispetto di precise condizioni contenute in testi giuridici chiari per l'applicazione di restrizioni a tali diritti in forza della legge) e altri strumenti pertinenti. Tali paesi devono pertanto prevedere garanzie e condizioni, quantunque la natura concreta di questi e i loro obiettivi non siano necessariamente identici in tutti gli Stati membri. Tuttavia, poiché il progetto di convenzione è destinato ad essere sottoscritto anche da paesi non aderenti al Consiglio d'Europa, tali Stati non sono soggetti agli stessi obblighi degli Stati membri del Consiglio d'Europa e il progetto di convenzione non li obbliga a introdurre garanzie e condizioni in accordo con i testi internazionali in materia di diritti dell'uomo.

Inoltre la formulazione dell'articolo 15 del progetto di convenzione potrebbe lasciare intendere che la protezione dei diritti dell'uomo sia da prendere in considerazione soltanto quando è necessaria e debba essere solo "adeguata". Le considerazioni sulla proporzionalità tra i poteri e le procedure, da un lato, e la natura e le circostanze dell'infrazione, dall'altro, non valgono peraltro in linea di principio ma solo "se del caso".

Se potesse essere interpretato come una restrizione alle garanzie e alle procedure, ciò ridurrebbe notevolmente, o addirittura minerebbe del tutto, la tutela dei diritti fondamentali.

Nel capitolo III relativo alla cooperazione internazionale, si osserva un'analoga mancanza di armonizzazione delle condizioni e delle garanzie. Alcuni degli obblighi di assistenza alla parte che la richiede sono soggetti alle condizioni e alle garanzie previste dal diritto nazionale (raccolta in tempo reale di dati relativi al traffico e intercettazioni di dati relativi al contenuto)⁵ . Gli altri obblighi non sono soggetti a ulteriori condizioni. Ciò significa che un membro del Consiglio d'Europa non potrebbe rifiutare la sua collaborazione, tranne soltanto nei due casi in cui la violazione del suo ordine pubblico è riconosciuta come motivo di rifiuto ⁶ . Il requisito della doppia incriminazione (un'altra garanzia molto importante) può essere invocato soltanto in casi limitati ⁷ . Di conseguenza, in generale e a prescindere da concetti nazionali o più ampi in merito alle garanzie e alle condizioni, la parte cui è presentata la richiesta deve fornire informazioni, materiale, ecc. come richiesto dall'altra parte. Ciò costituisce un obiettivo auspicabile in termini di effettiva applicazione della legge e di lotta contro la criminalità, ma potrebbe non superare l'esame della necessità, dell'adeguatezza e della proporzionalità richieste dagli strumenti sui diritti dell'uomo recepiti nella specifica legislazione nazionale e nella costituzione.

In questo contesto, il gruppo osserva anche che in tutto il progetto di convenzione ⁸ viene fatto riferimento alle "misure legislative e di altra natura" che i firmatari sono obbligati ad adottare per attuare la convenzione. Il gruppo desidera attirare l'attenzione del Consiglio d'Europa, in particolare delle sue istanze attualmente impegnate nella stesura del progetto di convenzione, e di tutti i potenziali firmatari sul fatto che tali termini devono essere interpretati alla luce della giurisprudenza della Corte europea dei diritti dell'uomo se le relative misure devono costituire restrizioni legittime dei diritti e delle libertà fondamentali.

Numerosi Stati membri dell'UE attuano la direttiva 95/46/CE anche nel "terzo pilastro", ossia per il trattamento di dati personali in ambito penale. Le loro leggi nazionali richiedono pertanto che i dati di carattere personale possano, in linea di principio, essere trasmessi a paesi extracomunitari soltanto se tali paesi garantiscono un adeguato livello di protezione delle persone per quanto riguarda il trattamento dei loro dati personali. Tali paesi devono pertanto essere in grado di verificare l'adeguatezza del livello di protezione nel paese terzo. Qualora manchi un'adeguata protezione, può tuttavia rendersi necessario un trasferimento di dati personali per combattere la criminalità. Il diritto nazionale può aver contemplato tale possibilità, prevedendo eccezioni al principio dell'adeguatezza. La stessa esigenza di fissare condizioni può manifestarsi in altri paesi in forza della loro costituzione e del loro diritto procedurale. Pertanto il progetto di convenzione dovrebbe, come minimo, prevedere la possibilità di conciliare entrambi gli obiettivi, permettendo alla parte che riceve la richiesta di imporre garanzie specifiche e condizioni particolari per rendere possibile il trasferimento. Altrimenti potrebbero insorgere conflitti tra l'obbligo di prestare assistenza e l'obbligo di rispettare i diritti fondamentali sanciti dagli strumenti europei e dalla pertinente giurisprudenza.

Apparentemente l'articolo 27bis e l'articolo 27(6) dovrebbero affrontare tale questione, ma non è chiaro in quale modo. L'articolo 27bis di per sé non menziona esplicitamente la tutela dei dati personali bensì fa riferimento a "riservatezza e restrizioni all'utilizzo" in merito alle informazioni o al materiale. Esso prevede solo la possibilità ("può", nessun obbligo) che la parte cui è rivolta la richiesta subordini la trasmissione dell'informazione o del materiale al rispetto della riservatezza oppure a restrizioni al loro uso.

Contemporaneamente, tali possibilità sembrano essere notevolmente limitate: come precisa la nota 48, la riservatezza potrebbe non essere garantita se il diritto procedurale richiede la divulgazione. La nota 49 spiega che l'articolo 27bis non pregiudica l'articolo 27 relativo all'assistenza reciproca in mancanza di accordi internazionali.

L'articolo 27(4) consente di negare l'assistenza reciproca per i motivi in esso enumerati, come ad esempio quando l'accoglimento della richiesta rischia di pregiudicare il suo ordine pubblico, la sua sovranità, la sua sicurezza o altri interessi fondamentali. Prima di rifiutare o di differire l'assistenza, la parte cui è rivolta la richiesta valuta se tale richiesta può essere soddisfatta parzialmente o a determinate condizioni (articolo 27(6)). Non è chiaro tuttavia se sia possibile basare le condizioni di tutela dei dati su tale disposizione, in quanto essa è in relazione con i motivi di rifiuto elencati all'articolo 27(4) che non include necessariamente la protezione dei dati.

Il gruppo è del parere che tali disposizioni e le loro restrizioni non siano sufficienti a garantire pienamente i diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali. I cittadini potrebbero non essere in grado di prevedere il momento e le modalità con cui i loro diritti fondamentali saranno limitati. Il progetto di convenzione dovrebbe pertanto contenere come minimo le norme di tutela dei dati specificanti la protezione che deve essere concessa alle persone soggette a tutte le misure previste nel progetto di convenzione. Inoltre ai firmatari dovrebbe essere chiesto di sottoscrivere la convenzione 108 ⁹ del Consiglio d'Europa aperta ai paesi non membri del Consiglio d'Europa.

In particolare sarebbe opportuno chiarire l'articolo 27bis e la sua relazione con i paragrafi 4 e 6 dell'articolo 27 alla luce delle osservazioni di cui sopra. In considerazione del fatto che la direttiva 95/46/CE è normalmente applicata in modo uniforme, incluso cioè il trattamento dei dati personali nel "terzo pilastro", vi sono validi motivi per concludere che la nozione di ordine pubblico può anche comprendere situazioni in cui un inadeguato livello di tutela delle persone con riguardo al trattamento dei loro dati personali nel paese che avanza la richiesta comprometterebbe i diritti e le libertà delle persone in questione.

In questo contesto, si fa esplicito riferimento al fatto che il diritto alla protezione dei dati di carattere personale è stato recentemente sancito dall'articolo 8 della Carta dei diritti fondamentali dell'UE. L'esistenza o l'inesistenza di un adeguato livello di protezione in un paese terzo sono menzionati anche nella convenzione Europol quale importante criterio per decidere se, e in caso affermativo in quale misura, i dati personali possono essere trasmessi da Europol a quel paese terzo al fine di assicurare il rispetto della legge.

Se l'articolo 27bis, qualora chiarito e modificato come indicato in precedenza, può permettere qualche progresso in relazione alle questioni legate alla riservatezza e alle restrizioni all'utilizzo nel contesto specifico del trasferimento di dati personali verso paesi non membri del Consiglio d'Europa o non membri dell'UE, il gruppo è del parere che un impegno scritto di soddisfare le richieste di cui all'articolo 27bis non costituisce necessariamente un adeguato impegno a rispettare la vita privata (vedi sopra).

L'inclusione di disposizioni di tutela dei dati contribuirà a codificare e a chiarire l'esame da eseguire con riguardo alla necessità, all'adeguatezza e alla proporzionalità richieste dagli strumenti sopracitati.

Il gruppo è altresì del parere che i firmatari della convenzione debbano soddisfare i requisiti delle disposizioni in materia di protezione dei dati prima di essere giudicati idonei a fornire un adeguato livello di tutela riguardo ai diritti e alle libertà dei soggetti dei dati. Un siffatto approccio contribuirà a garantire l'armonizzazione delle garanzie e delle condizioni da applicare alle misure previste nel progetto di convenzione. Se una parte in un paese terzo desidera beneficiare dei vantaggi di un trasferimento di dati personali, essa deve accettare di assumere la responsabilità di garantire che i diritti fondamentali delle persone in questione siano adeguatamente protetti una volta ricevuti i dati.

Dati relativi al traffico

Il gruppo si compiace che l'attuale versione della convenzione (versione n. 25) non contenga più, a differenza dei progetti precedenti, un obbligo generale di sorveglianza consistente nella conservazione sistematica di tutti i dati relativi al traffico. Ciò è in linea con la sua raccomandazione 3/99 relativa alla conservazione dei dati sulle comunicazioni da parte dei fornitori di servizi Internet a fini giudiziari adottata il 7 settembre 1999 ¹⁰ , che illustra le argomentazioni giuridiche ¹¹ contrarie a un siffatto obbligo generale.

Anche i Garanti per la protezione dei dati dell'UE hanno espresso con fermezza la loro opposizione a tale misura in occasione della loro conferenza nella primavera del 2000 a Stoccolma. Essi hanno adottato una risoluzione in cui affermano di guardare "con preoccupazione alle proposte relative al fatto che i fornitori di servizi Internet dovrebbero conservare sistematicamente i dati sul traffico oltre le esigenze di fatturazione, al fine di consentire l'eventuale accesso da parte degli organi giudiziari. La Conferenza sottolinea il fatto che tale conservazione costituirebbe una violazione dei diritti fondamentali garantiti alle persone dall'articolo 8 della Convenzione europea dei diritti dell'uomo. Laddove, in casi specifici, i dati sul traffico devono essere conservati, vi deve essere una necessità dimostrabile, il periodo di conservazione deve essere il più breve possibile e la pratica deve essere chiaramente disciplinata dalla legge."

Le opinioni al riguardo sono convergenti. Anche altre istituzioni e altri gruppi come il Gruppo di lavoro internazionale per la protezione dei dati nel settore delle telecomunicazioni nella sua posizione comune sugli aspetti della protezione dei dati nel progetto di convenzione 12 hanno espresso forti riserve.

Pur tuttavia le disposizioni contenute nel progetto di convenzione in merito ai dati sul traffico danno adito a serie preoccupazioni: gli articoli 29 e 30 sulla conservazione e sulla diffusione rapide di dati relativi al traffico e di altra natura non contemplano la possibilità per la parte cui è presentata la richiesta di rifiutarsi di fornire l'assistenza per motivi legati alla tutela dei dati, bensì soltanto per le ragioni di ordine generale indicate in precedenza (ordine pubblico, ecc.). Contemporaneamente, l'obbligo di conservare per almeno 60 giorni, su richiesta, dati informatici archiviati e dati relativi al traffico al fine di consentire l'adozione di una decisione sui motivi della loro necessità e sulle modalità del loro utilizzo comportano un notevole onere per le imprese (operatori di telecomunicazioni, fornitori di servizi Internet e altre) e i privati. Preoccupazioni simili sono sollevate dall'articolo 20 che obbliga i fornitori di servizi a raccogliere o registrare in tempo reale, nel quadro delle loro capacità tecniche, dati relativi al traffico.

In generale le imprese potrebbero aver necessità di una maggiore certezza del diritto per quanto riguarda i loro obblighi e la concreta applicazione di questi. Esse potrebbero temere che i consumatori possano nutrire un'insufficiente fiducia nei loro prodotti e servizi qualora non sia chiaro chi possa accedere a dati e comunicazioni riservati e quando ciò sia possibile.

Conclusioni

Il gruppo pone l'accento sul ruolo importante che il Consiglio d'Europa svolge da decenni quale efficiente custode dei diritti e delle libertà fondamentali. Il gruppo è del parere che il Consiglio d'Europa, nel promuovere la cooperazione internazionale in materia di criminalità informatica oltre la cerchia dei suoi membri, deve prestare particolare attenzione alla tutela dei diritti e delle libertà fondamentali, in particolare al diritto al rispetto della vita privata e alla tutela dei dati personali.

Il gruppo ritiene pertanto che sia necessario chiarire il testo degli articoli del progetto di convenzione in quanto la loro formulazione è spesso troppo vaga e confusa ed essi potrebbero rappresentare una base insufficiente per le relative leggi e per le misure vincolanti che sono destinate a limitare legittimamente i diritti e le libertà fondamentali.

Eventuali spiegazioni contenute nella relazione non possono supplire alla mancanza di chiarezza giuridica del testo stesso.

La maggior parte delle disposizioni contenute nel progetto di convenzione produce un forte impatto sui diritti fondamentali del rispetto della vita privata e della protezione dei dati personali. Come descritto in precedenza, le scelte espresse nell'attuale testo del progetto di convenzione anticipano, in una certa misura, il risultato dell'esame necessario qualora debbano essere poste restrizioni al diritto fondamentale del rispetto della vita privata (articolo 8 del CEDU) e agli altri diritti 13 . Una delle domande fondamentali a questo proposito è se una misura sia necessaria in una situazione specifica e, in caso affermativo, se sia opportuna, equa e non eccessiva. Alcuni degli elementi del progetto di convenzione sono completamente nuovi e il loro impatto sui diritti fondamentali, in particolare i diritti del rispetto della vita privata e della tutela dei dati, possono non essere stati sufficientemente valutati dal comitato di esperti sui crimini nel ciberspazio (PC-CY). Il gruppo ritiene necessario migliorare la giustificazione delle misure previste in termini di necessità, adeguatezza e proporzionalità come richiesto dagli strumenti di protezione dei dati e dei diritti dell'uomo di cui sopra.

Il gruppo raccomanda vivamente che il progetto di convenzione contenga disposizioni sulla tutela dei dati specificanti la protezione che deve essere garantita ai soggetti delle informazioni da trattare in relazione con tutte le misure previste nel progetto di convenzione. Anche l'articolo 27 dovrebbe essere incluso (sopprimendo quindi le parentesi) e migliorato come indicato in precedenza. L'inclusione delle disposizioni sulla tutela dei dati contribuirà alla codificazione e al chiarimento dei requisiti in materia di necessità, adeguatezza e proporzionalità richiesti dall' acquis del Consiglio d'Europa e degli Stati membri dell'UE.

Il gruppo è inoltre del parere che debba essere incluso nel preambolo (sopprimendo quindi le parentesi) il riferimento alla convenzione 108, sebbene ciò non produca alcun obbligo, e che i firmatari della convenzione sulla cibercriminalità dovrebbero essere invitati a sottoscrivere la convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale.

Inoltre il gruppo esprime rammarico per il fatto che nel progetto di convenzione non sia prevista alcuna disposizione per sanzionare le violazioni delle norme sulla tutela dei dati.

Il gruppo rileva una discrepanza di trattamento tra i paesi aderenti al Consiglio d'Europa e gli altri Stati, in quanto i membri del Consiglio d'Europa sono tenuti a rispettare gli obblighi loro derivanti dalla Convenzione europea dei diritti dell'uomo, dalla convenzione 108, dalle pertinenti raccomandazioni del Consiglio d'Europa, della Carta dei diritti fondamentali dell'UE, dalle direttive dell'UE in materia di tutela dei dati e dalla pertinente legislazione nazionale, mentre i paesi non membri del Consiglio d'Europa, sulla base dell'attuale progetto di convenzione, non sono soggetti a obblighi identici o simili.

Il gruppo ritiene inoltre che i firmatari della convenzione debbano accettare di assumere la responsabilità di garantire che i diritti fondamentali delle persone siano adeguatamente tutelati una volta ricevuti dagli Stati membri dell'Unione europea e del Consiglio d'Europa i dati ad esse pertinenti.

La posizione proposta nell'attuale progetto di convenzione (versione pubblica n. 25) di non obbligare i firmatari a imporre ai fornitori di servizi di conservare i dati relativi al traffico per tutte le comunicazioni non dovrebbe assolutamente essere oggetto di revisione.

Il gruppo deplora la ritardata diffusione dei documenti e auspica che il dibattito pubblico prosegua con la partecipazione di tutte le parti interessate (organizzazioni dei diritti dell'uomo, imprese, ecc.) prima che l'Assemblea parlamentare del Consiglio d'Europa discuta la questione e prenda una decisione in merito.

Il gruppo ritiene che parecchie delle carenze messe in luce in precedenza in questo parere sono riconducibili al fatto il Consiglio d'Europa non ha utilizzato al meglio le competenze disponibili in materia di protezione dei dati. Il gruppo invita pertanto il Consiglio d'Europa, e in particolare gli Stati membri dell'UE, a consultare i propri esperti nel campo della tutela dei dati prima di definire la propria posizione sul progetto di convenzione e a ottimizzare l'uso dei propri contributi.

Il gruppo invita il Consiglio d'Europa, la Commissione europea, il Parlamento europeo e gli Stati membri a tener conto del presente parere.

Il gruppo si riserva la facoltà di formulare ulteriori osservazioni.

Per il Gruppo
Il Presidente
Stefano RODOTÀ