EFF, i partner internazionali si appellano ai delegati dell’UE per aiutare a correggere i difetti nella bozza di trattato sulla criminalità informatica delle Nazioni Unite che possono indebolire il quadro di protezione dei dati dell’UE

A pochi giorni dall'ultima sessione negoziale per l'approvazione del Trattato sulla criminalità informatica delle Nazioni Unite, l'EFF e 21 organizzazioni internazionali della società civile hanno invitato oggi con urgenza i delegati degli Stati dell'UE e della Commissione europea a respingere i numerosi difetti del progetto di convenzione, che includono una portata eccessivamente ampia che garantirà poteri di sorveglianza intrusivi senza solide garanzie in materia di diritti umani e protezione dei dati.

È giunto il momento di chiedere modifiche al testo per restringere la portata del trattato, limitare i poteri di sorveglianza e precisare i principi di protezione dei dati. Senza queste soluzioni, il progetto di trattato potrebbe dare alle pratiche abusive dei governi una parvenza di legittimità internazionale e dovrebbe essere respinto.

Lettera qui sotto:

Appello urgente per affrontare i difetti critici nell'ultima bozza della Convenzione delle Nazioni Unite sulla criminalità informatica

In vista della riunione conclusiva del Comitato ad hoc sulla criminalità informatica (AHC) delle Nazioni Unite (ONU) che si terrà a New York alla fine di questo mese, noi, le organizzazioni sottoscritte, desideriamo attirare urgentemente la vostra attenzione sui persistenti difetti critici nell'ultima bozza di la Convenzione delle Nazioni Unite sulla criminalità informatica (di seguito Convenzione sulla criminalità informatica o Convenzione).

Nonostante le recenti modifiche, continuiamo a condividere profonde preoccupazioni riguardo alle persistenti carenze dell’attuale bozza ed esortiamo gli Stati membri a non firmare la Convenzione nella sua forma attuale.

Principali preoccupazioni e proposte di rimedio:

1. Portata eccessivamente ampia e incertezza giuridica:

• Il campo di applicazione del progetto di convenzione rimane eccessivamente ampio, includendo i reati informatici e altri reati legati ai contenuti. Il titolo proposto per la Convenzione e l’introduzione del nuovo articolo 4 – con il suo riferimento illimitato ai “reati stabiliti in conformità con altre convenzioni e protocolli delle Nazioni Unite” – crea una significativa incertezza giuridica ed espande la portata a un elenco indefinito di possibili crimini che verranno accertati solo in futuro. Questa ambiguità rischia di criminalizzare l’espressione legittima online, con un effetto dissuasivo dannoso per lo Stato di diritto. Continuiamo a raccomandare di restringere il campo di applicazione della Convenzione ai soli crimini cyber-dipendenti chiaramente definiti e già esistenti, per facilitarne l'applicazione coerente, garantire la certezza giuridica e la prevedibilità e ridurre al minimo i potenziali abusi .
• Il progetto di Convenzione all'articolo 18 non è chiaro riguardo alla responsabilità delle piattaforme online per i reati commessi dai loro utenti. L'attuale bozza dell'articolo non prevede il requisito della partecipazione intenzionale ai reati previsti dalla Convenzione, contraddicendo così anche l'articolo 19 che richiede invece l'intenzionalità. Ciò comporta il rischio che gli intermediari online possano essere ritenuti responsabili delle informazioni diffuse dai loro utenti, anche senza l'effettiva conoscenza o consapevolezza della natura illegale dei contenuti (come stabilito nella legge sui servizi digitali dell'UE), il che incentivi una moderazione dei contenuti eccessivamente ampia sforzi delle piattaforme a scapito della libertà di espressione. Inoltre, la formulazione è molto più ampia (“per la partecipazione”) rispetto alla Convenzione di Budapest (“impegnata a beneficio della cooperazione”) e meriterebbe un chiarimento sulla falsariga del paragrafo 125 del Rapporto esplicativo del Consiglio d'Europa alla Convenzione di Budapest .
• La proposta contenuta nel progetto di risoluzione riveduto di elaborare un progetto di protocollo supplementare alla Convenzione rappresenta un'ulteriore spinta ad ampliare la portata dei reati, rischiando di creare un quadro sempre più punitivo e in espansione illimitata.
  

2. Protezione insufficiente per gli attori in buona fede:

• Il progetto di Convenzione non incorpora un linguaggio sufficiente per proteggere gli attori in buona fede, come i ricercatori nel campo della sicurezza (indipendentemente dal fatto che si tratti di test autorizzati o di protezione di un sistema di tecnologia dell’informazione e della comunicazione), informatori, attivisti e giornalisti, da un’eccessiva criminalizzazione. È fondamentale che l'elemento mens rea nelle disposizioni relative ai reati cyber-dipendenti includa riferimenti al dolo e al danno causato .
  

3. Mancanza di garanzie specifiche sui diritti umani:

• L’articolo 6 non include specifiche garanzie in materia di diritti umani – come proposto dalle organizzazioni della società civile e dall’Alto Commissariato delle Nazioni Unite per i diritti umani – per garantire una comprensione comune tra gli Stati membri e facilitare l’applicazione del trattato senza limitazioni illegittime dei diritti umani o delle libertà fondamentali . Queste garanzie dovrebbero essere:
• applicabile all’intero trattato per garantire che gli sforzi contro la criminalità informatica forniscano un’adeguata protezione dei diritti umani;
• essere conformi ai principi di legalità, necessità e proporzionalità, non discriminazione e finalità legittima ;
• incorporare il diritto alla privacy tra i diritti umani specificati;
• affrontare la mancanza di un’efficace integrazione della dimensione di genere per garantire che la Convenzione non pregiudichi i diritti umani sulla base del genere.
  

4. Misure procedurali e applicazione della legge:

• La Convenzione dovrebbe limitare la portata delle misure procedurali alle indagini sui reati penali previsti dalla Convenzione, in linea con il punto 1 sopra.
  
• Al fine di facilitare la loro applicazione e – alla luce della loro invasività – di ridurre al minimo il potenziale di abuso, questo capitolo della Convenzione dovrebbe incorporare le seguenti condizioni minime e garanzie stabilite dal diritto internazionale sui diritti umani. Nello specifico, nell’articolo 24 dovrebbero essere inseriti :
• i principi di legalità, necessità, proporzionalità, non discriminazione e finalità legittima;
• previa autorizzazione indipendente (giudiziaria) delle misure di sorveglianza e monitoraggio durante tutta la loro applicazione;
• un'adeguata informazione delle persone interessate una volta che ciò non metta più a repentaglio le indagini;
• e relazioni periodiche, comprendenti dati statistici sull'uso di tali misure.
  

• Gli articoli 28/4, 29 e 30 dovrebbero essere cancellati , poiché includono misure di sorveglianza eccessive che aprono la porta a interferenze con la privacy senza garanzie sufficienti e potenzialmente minano la sicurezza informatica e la crittografia.
  

5. Cooperazione internazionale:

• La Convenzione dovrebbe limitare la portata della cooperazione internazionale esclusivamente ai crimini stabiliti nella Convenzione stessa per evitare abusi (come indicato al punto 1 sopra). La condivisione delle informazioni per la cooperazione tra forze dell’ordine dovrebbe essere limitata a specifiche indagini penali con esplicita protezione dei dati e dei diritti umani garanzie.
  
• L’articolo 40 richiede “la più ampia misura di assistenza giudiziaria reciproca” per i reati previsti dalla Convenzione nonché per qualsiasi reato grave ai sensi del diritto interno dello Stato richiedente. Nello specifico, laddove non si applica alcun trattato sull’assistenza legale reciproca tra gli Stati Parte, i paragrafi da 8 a 31 stabiliscono norme estese sugli obblighi di assistenza legale reciproca con qualsiasi Stato Parte con garanzie dei diritti umani generalmente insufficienti e motivi di rifiuto. Ad esempio, il paragrafo 22 stabilisce un livello elevato di “fondati motivi per credere” affinché lo Stato richiesto possa rifiutare l’assistenza.
  
• Quando gli Stati parti non possono trasferire dati personali in conformità con le loro leggi applicabili, come il quadro normativo dell’UE sulla protezione dei dati, l’obbligo contrastante di cui all’articolo 40 di concedere allo Stato richiedente “la più ampia misura di assistenza giudiziaria reciproca” può incentivare indebitamente il trasferimento dei dati personali. i dati sono soggetti a condizioni adeguate ai sensi dell'articolo 36, paragrafo 1, lettera b), ad esempio attraverso deroghe per situazioni specifiche di cui all'articolo 38 della direttiva sull'applicazione della legge dell'UE. L’articolo 36, paragrafo 1, lettera c), della Convenzione incoraggia inoltre gli Stati parti a stabilire accordi bilaterali e multilaterali per facilitare il trasferimento dei dati personali, il che crea un ulteriore rischio di compromettere il livello di protezione dei dati garantito dal diritto dell’UE.
• Quando i dati personali sono trasferiti nel pieno rispetto del quadro di protezione dei dati dello Stato richiesto, l’articolo 36, paragrafo 2, dovrebbe essere rafforzato per includere norme chiare, precise, inequivocabili ed efficaci per proteggere i dati personali nello Stato richiedente e per evitare che i dati personali essere ulteriormente trattati e trasferiti in altri Stati con modalità che possano violare il diritto fondamentale alla privacy e alla protezione dei dati.

Conclusione e invito all'azione:

Durante tutto il processo negoziale, abbiamo ripetutamente sottolineato i rischi che il trattato nella sua forma attuale comporta per i diritti umani e per la sicurezza informatica globale. Nonostante le ultime modifiche, la bozza rivista non riesce a rispondere alle nostre preoccupazioni e continua a rischiare di rendere gli individui e le istituzioni meno sicuri e più vulnerabili alla criminalità informatica, minando così il suo stesso scopo.

L’incapacità di restringere il campo di applicazione dell’intero trattato ai crimini cyber-dipendenti, di proteggere il lavoro dei ricercatori nel campo della sicurezza, dei difensori dei diritti umani e di altri attori legittimi, di rafforzare la tutela dei diritti umani, di limitare i poteri di sorveglianza e di precisare la protezione dei dati I principi conferiranno alle pratiche abusive dei governi una patina di legittimità internazionale. Renderà inoltre le comunicazioni digitali più vulnerabili ai crimini informatici che la Convenzione intende affrontare. In definitiva, se il progetto di Convenzione non può essere fissato, dovrebbe essere respinto.

Con la sessione conclusiva dell'AHC delle Nazioni Unite che sta per riprendere, invitiamo le delegazioni degli Stati membri dell'Unione Europea e la delegazione della Commissione Europea a raddoppiare i loro sforzi per colmare le lacune evidenziate e garantire che la proposta Convenzione sulla criminalità informatica sia strettamente focalizzata nel suo materiale portata e non utilizzata per compromettere i diritti umani o la sicurezza informatica. In assenza di cambiamenti significativi per affrontare le carenze esistenti, esortiamo le delegazioni degli Stati membri dell’UE e la Commissione europea a respingere il progetto di Convenzione e a non presentarlo all’Assemblea generale delle Nazioni Unite per l’adozione.

Questa affermazione è supportata dalle seguenti organizzazioni:

Accedi adesso
Bilisim alternativo
ARTICOLO 19: Campagna globale per la libera espressione
Centro per la democrazia e la tecnologia Europa
Comitato per la tutela dei giornalisti
Coraggio digitale
Diritti digitali Irlanda
Società digitale
Fondazione per la frontiera elettronica (EFF)
epicentro.funziona
Centro europeo per il diritto senza scopo di lucro (ECNL)
Diritti Digitali Europei (EDRi)
Partner globali digitali
Scambio internazionale di libertà di espressione (IFEX)
Istituto Internazionale della Stampa
IT-Pol Danimarca
KICTANet
Istituto per la politica dei media (Kirghizistan)
Privacy Internazionale
Fondazione CONDIVIDI
Vrijschrift.org
Associazione mondiale degli editori di notizie (WAN-IFRA)
Zavod Državljan D (Cittadino D)