La lettera dell’EDPB sul Secondo Protocollo aggiuntivo alla Convenzione sulla criminalità informatica

di Claudia Figliolia

16 aprile 2022

Il 22 febbraio 2022 l’European Data Protection Board, in riscontro all’istanza di parere presentata dalla Commissione Libertà civili, giustizia e affari interni (LIBE) del Parlamento europeo in merito al secondo Protocollo aggiuntivo alla Convenzione sulla criminalità informatica, ha sottolineato la necessità che ne venga garantita la conformità all’acquis europeo soprattutto con riguardo alla tutela dei dati personali.
Dal punto di vista dell’Unione europea e dei suoi Stati membri – sottolinea l’EDPB – il Protocollo deve essere valutato alla luce del diritto e della giurisprudenza europea, con particolare riferimento alle garanzie di cui al Capo V del Regolamento (UE) n. 2016/679 (GDPR) e al Capo V della Direttiva (UE) n. 2016/680. Ai sensi dell’art. 44 del GDPR, qualsiasi trasferimento di dati personali dagli Stati membri dell’UE a Paesi terzi dovrebbe poter avvenire solo se non ne risulti pregiudicato il livello di protezione garantito dal GDPR: “It is therefore essential that the level of protection resulting from the Protocol for the exchange of personal data with third countries is essentially equivalent to the level of protection provided by EU law”.
Per quanto concerne la cooperazione rafforzata, l’EDPB ribadisce la natura essenziale del “dual criminality principle” (pur non espressamente menzionato nel Protocollo), quale principio volto a garantire che uno Stato non possa avvalersi dell’assistenza di un altro per applicare una sanzione penale non prevista nell’ordinamento giuridico di quest’ultimo.
Infine, con riguardo, alle tutele apprestate dal Protocollo alla protezione dei dati personali l’EDPB si rammarica che talune delle proprie raccomandazioni in ordine all’attuazione dei principi di proporzionalità nel trattamento dei dati personali e all’esercizio dei diritti degli interessati non siano state prese in considerazione dalla Convenzione.
Infine, pur accogliendo favorevolmente la previsione secondo cui “[e]ach Party shall have in place effective judicial and non-judicial remedies to provide redress for violations of this article” (art. 14, par. 13), l’EDPB “regrets that neither the text of the Protocol nor the explanatory report explicitly clarifies that such redresses are available under the jurisdiction of each Party to the Cybercrime Convention to any concerned data subjects, as per the EDPB recommendation made in its previous contribution”. Trattasi, quest’ultimo, di un principio essenziale per garantire la piena compatibilità della Convenzione con il diritto dell’UE che appare ancor più rilevante laddove si consideri che non tutte le Parti della Convenzione sulla criminalità informatica sono sottoposte alla giurisdizione della Corte europea dei diritti dell’uomo.
L’EDPB raccomanda inoltre l’istituzione di meccanismi di cooperazione e di scambio di informazioni tra le autorità pubbliche competenti, in una prospettiva volta a consentire una supervisione coordinata e coerente sull’attuazione del protocollo.