Γράφει ο Κωνσταντίνος Ζουμπουλάκης*
Η χρήση ψηφιακών μέσων επικοινωνίας είναι πλέον καθολική. Πράγματι, ποιος δεν απολαμβάνει την ευκολία της αποστολής ενός e-mail ή μιας γρήγορης συνομιλίας στα μέσα κοινωνικής δικτύωσης;
Ωστόσο, η διάδοση των ηλεκτρονικών επικοινωνιών διευκολύνει και δραστηριότητες που ξεπερνούν τα όρια μιας καθημερινής συνομιλίας και γίνεται εργαλείο στην διάπραξη αξιόποινων πράξεων. Συγκεκριμένα, η ψηφιοποίηση της επικοινωνίας και των συναλλαγών ωφελεί αναπόφευκτα την εγκληματική δραστηριότητα˙ όχι μόνο σε επίπεδο ηλεκτρονικού εγκλήματος, αλλά και σε ένα πρακτικότερο πλαίσιο, όπως αυτό της επικοινωνίας μεταξύ των δραστών για τον σχεδιασμό και την υλοποίηση μιας εγκληματικής ενέργειας.
Πώς μπορεί αυτή η πραγματικότητα να επηρεάσει τα ψηφιακά δικαιώματα και την προστασία των προσωπικών μας δεδομένων;
Η απάντηση έρχεται μέσω της πρότασης της Ευρωπαϊκής Επιτροπής για την υιοθέτηση του Κανονισμού σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις.
Συγκεκριμένα, ο Ευρωπαίος νομοθέτης έκρινε απαραίτητη την θεσμοθέτηση ενός κοινού Ευρωπαϊκού πλαισίου για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία (e-evidence), με σκοπό την αποτελεσματικότερη καταπολέμηση του εγκλήματος. Το ενδιαφέρον του νομοθέτη φαντάζει αναμενόμενο, αν αναλογιστεί κανείς πως το 85% των ποινικών ερευνών περιλαμβάνει πλέον την χρήση ψηφιακών δεδομένων.
Σε αυτό το πλαίσιο, ο αριθμός των αιτημάτων προς τους μεγαλύτερους παρόχους (Google, Facebook, Twitter, Microsoft, Apple) για πρόσβαση των αρχών σε αποθηκευμένα ψηφιακά δεδομένα αυξήθηκε κατά 84% την πενταετία 2013-2018.
Η ανάγκη για διασυνοριακή πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία αφορά πλέον οποιοδήποτε αδίκημα και δεν περιορίζεται στο κυβερνοέγκλημα ή τα συνήθη διακρατικά εγκλήματα, διευρύνοντας έτσι σημαντικά το πεδίο εφαρμογής του προτεινόμενου Κανονισμού. Η πρόταση της Ευρωπαϊκής Επιτροπής στοχεύει στο να διευκολύνει και να επιταχύνει την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία, μειώνοντας σημαντικά τον κίνδυνο διαγραφής τους από τους παρόχους.
Είναι σαφές πως η κυριαρχία της ψηφιακής επικοινωνίας καθιστά την πρόσβαση στα ψηφιακά δεδομένα αναγκαία για την αποτελεσματικότερη καταπολέμηση του εγκληματος.
Είναι ωστόσο η παραδοχή αυτή αρκετή για να άρει κάθε προβληματισμό σχετικά με την προστασία των προσωπικών δεδομένων;
Το πρόβλημα και η πρόταση της Ευρωπαϊκής Επιτροπής
Η πρόσβαση των αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία αποτελεί ένα περίπλοκο και χρονοβόρο ζήτημα, ιδίως λόγω της διαφορετικής νομοθεσίας που ισχύει στα κράτη μέλη της Ευρωπαϊκής Ένωσης, αλλά και του τόπου όπου τα δεδομένα είναι αποθηκευμένα.
H αποθήκευση των ψηφιακών δεδομένων γίνεται στους servers του εκάστοτε παρόχου ηλεκτρονικων υπηρεσιών, με αποτέλεσμα τα δεδομένα ενός χρήστη να βρίσκονται διάσπαρτα σε διαφορετικές τοποθεσίες και η πρόσβαση σε αυτά να διέπεται από την εκάστοτε ισχύουσα εθνική νομοθεσία.
Γίνεται συνεπώς αντιληπτό πως ο τοπικός κατακερματισμός των δεδομένων ενος χρήστη και το διαφορετικό νομοθετικό πλαίσιο που ισχύει ανά τα κράτη δυσχεραίνει την πρόσβαση των αρχών και επιβραδύνει σημαντικά την διαδικασία.
Για παράδειγμα, προκειμένου μία δικαστής να αποκτήσει πρόσβαση στα δεδομένα της συνομιλίας μεταξύ δύο Ελλήνων στο WhatsApp, πρέπει να απευθύνει σχετικό αίτημα στις αρχές της χώρας που βρίσκονται εγκατεστημένοι οι servers και είναι αποθηκευμένα τα δεδομένα, καθιστώντας έτσι την όλη διαδικασία χρονοβόρα.
Μάλιστα, μολονότι η Ευρωπαϊκή Ένωση έχει ήδη υιοθετήσει την Οδηγία 2014/41/ΕΕ περί της ευρωπαϊκής εντολής έρευνας σε ποινικές υποθέσεις, κρίθηκε πως αυτή δεν επαρκεί για την αποτελεσματική και γρήγορη πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία. Τα παραδοσιακά μέσα συνεργασίας που έχει θεσπίσει η Ένωση δεν ανταποκρίνονται στον ιδιαίτερο χαρακτήρα των ψηφιακών δεδομένων, ο οποίος επιτάσει ταχύτερες διαδικασίες που θα εξασφαλίζουν την έγκαιρη πρόσβαση των αρχών.
Τί ακριβώς είναι όμως τα ηλεκτρονικά αποδεικτικά στοιχεία και γιατί μας αφορούν;
Εν συντομία, κάθε μορφής ψηφιακά δεδομένα που μπορούν να χρησιμοποιηθούν για την έρευνα και δίωξη ενός εγκλήματος θεωρούνται ηλεκτρονικά αποδεικτικά στοιχεία. Ένα e-mail, κάποιο μήνυμα στο WhatsApp, το πότε ήσασταν τελευταία φορά διαθέσιμη στο Messenger, όλα αυτά μπορούν να χρησιμοποιηθούν ως αποδεικτικά στοιχεία για την καταπολέμηση του εγκλήματος.
Σύμφωνα με το άρθρο 2 του Κανονισμού, ως ηλεκτρονικά αποδεικτικά στοιχεία ορίζονται τα δεδομένα συνδρομητή, τα δεδομένα πρόσβασης, τα δεδομένα συναλλαγών και τα δεδομένων περιεχομένου που ειναι αποθηκευμένα σε ηλεκτρονική μορφή από πάροχο ηλεκτρονικών υπηρεσιών ή για λογαριασμό του.
– Δεδομένα συνδρομητή: Πληροφορίες που αφορούν την ταυτότητα του συνδρομητή (ονοματεπώνυμο, ημερομηνία γέννησης, διεύθυνση, τηλέφωνο, κλπ.), καθώς και το είδος και τη διάρκεια της χρησιμοποιούμενης υπηρεσίας.
– Δεδομένα πρόσβασης: Πληροφορίες που αφορούν την έναρξη και λήξη της περιόδου πρόσβασης ενός χρήστη σε μια υπηρεσία (ημερομηνία και ώρα χρήσης, διεύθυνση IP, κλπ.).
– Δεδομένα συναλλαγών: Πληροφορίες που αφορούν την χρήση μιας υπηρεσίας από τον εκάστοτε συνδρομητή και επικεντρώνονται κυρίως στον εντοπισμό της πηγής και του προορισμού ενός μηνύματος, την ανίχνευση της τοποθεσίας της συσκευής, καθώς και τον ακριβή προσδιορισμό της ημερομηνίας, ώρας και διάρκειας μιας επικοινωνίας.
– Δεδομένα περιεχομένου: Περιλαμβάνουν οποιαδήποτε πληροφορία μοιραζόμαστε στον ψηφιακό κόσμο και αποθηκεύεται σε ψηφιακή μορφή, όπως κείμενο, φωνή, βίντεο, εικόνες και ήχος.
Γίνεται συνεπώς αντιληπτό πως οι τέσσερις αυτές κατηγορίες δεδομένων περιλαμβάνουν το σύνολο των πληροφοριών που μοιραζόμαστε στο διαδίκτυο, ξεκινώντας από τα στοιχεία που αφορούν την ταυτότητα του χρήστη και φτάνοντας μέχρι το διαμοιραζόμενο περιεχόμενο καθαυτό (content και non-content data).
Με άλλα λόγια, το πότε συνδεθήκατε τελευταία φορά σε κάποια μέσο κοινωνικής δικτύωσης, πόσες φορές μιλήσατε με κάποιον και για πόση ώρα, αλλά και το ακριβές περιεχόμενο των μηνυμάτων που ανταλλάξατε, όλα αυτά αποτελούν νόμιμα αποδεικτικά στοιχεία και μπορούν να χρησιμοποιηθούν για την ταυτοποίηση κάποιου προσώπου ή για την περαιτέρω διερεύνηση μιας ποινικής υπόθεσης.
Σύμφωνα με το προτεινόμενο νομοθετικό πλαίσιο, οι αρχές ενός κράτους (κράτος έκδοσης) μπορούν να διατάξουν απευθείας έναν πάροχο υπηρεσιών να υποβάλει ή να διατηρήσει τα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα στους servers του.
Μάλιστα, δεν απαιτείται οι servers να βρίσκονται εντός της Ε.Ε. ή να εχει ο πάροχος την έδρα του σε ευρωπαϊκό έδαφος, παρά αρκεί να προσφέρει τις υπηρεσίες του στην Ένωση. Για τον σκοπό αυτό, το κράτος έκδοσης δύναται να εκδίδει την Ευρωπαϊκή Εντολή Υποβολής Στοιχείων (ΕΕΥ), η οποία είναι δεσμευτική απόφαση και υποχρεώνει τον πάροχο να υποβάλει τα ηλεκτρονικά αποδεικτικά στοιχεία που έχει στη διάθεσή του, ή την Ευρωπαϊκή Εντολή Διατήρησης Στοιχείων (ΕΕΔ), η οποία είναι επίσης δεσμευτική απόφαση και υποχρεώνει τον πάροχο να διατηρήσει και μην διαγράψει τα αποθηκευμένα δεδομένα, ενόψει μελλοντικού αιτήματος υποβολής τους.
Οι αρχές του κράτους έκδοσης, του κράτους δηλαδή που εκδίδει τις εντολές υποβολής ή διατήρησης των δεδομένων, θα μπορούν πλέον να αποκτήσουν πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία που είναι αποθηκευμένα οπουδήποτε στην Ε.Ε, υποβάλλοντας το αίτημά τους απευθείας στον πάροχο και όχι στις αντίστοιχες αρχές του κράτους όπου είναι εγκατεστημένοι οι servers (κράτος εκτέλεσης).
Ως εκ τούτου, παρακάμπτεται η τοπική νομοθεσία που ισχύει στο κράτος εκτέλεσης και υπόλογος για την υποβολή ή διατήρηση των δεδομένων γίνεται πλέον ο εκάστοτε πάροχος.
Η τοποθεσία που βρίσκονται αποθηκευμένα τα ψηφιακά δεδομένα και το δίκαιο του κράτους που φιλοξενεί τους servers καθίστανται πλέον αδιάφορα και δεν μπορούν να αποτελέσουν ανάχωμα στην πρόσβαση των αρχών.
Πηγή: http://europa.eu/rapid/press-release_MEMO-18-3345_en.htm
Ο πάροχος ηλεκτρονικών υπηρεσιών οφείλει να εξασφαλίσει την προσβαση στα ψηφιακά δεδομένα εντός δέκα ημερών, ή ακόμα και έξι ωρών εφόσον πρόκειται για επείγον αίτημα. Το δικαίωμα του εκάστοτε παρόχου να αρνηθεί την υποβολή των δεδομένων είναι εξαιρετικά περιορισμένο και αφορά περιπτώσεις όπου η εντολή υποβολής είναι ελλιπής, έχει πρόδηλα σφάλματα ή συντρέχουν λόγοι ανωτέρας βίας.
Στην περίπτωση που ο εκάστοτε πάροχος κρίνει πως μια ΕΕΥ παραβιάζει προδήλως τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε. ή είναι καταχρηστική, τότε οφείλει να απευθυνθεί στις αρμοδιες αρχές του κράτους εκτέλεσης.
Υπό το νέο αυτό καθεστώς, η διαδικασία για την υποβολή και διατήρηση των ψηφιακών δεδομένων τυποποιείται και επιταχύνεται σημαντικά. Ο προστατευτικός ρόλος του κράτους όπου βρίσκονται αποθηκευμένα τα δεδομένα περιορίζεται και η εγχώρια νομοθεσία καθίσταται σε μεγάλο βαθμό αδιάφορη.
Ταυτόχρονα, οι κρίσιμες αποφάσεις για την υποβολή των δεδομένων και η υποχρέωση συμμόρφωσης μετακυλύονται από τις αρχές του κράτους εκτέλεσης προς τον εκάστοτε πάροχο. Μάλιστα, η δέσμη των προτεινόμενων μέτρων για την πρόσβαση στα ηλεκτρονικά αποδεικτικά στοιχεία συμπληρώνεται από την πρόταση σχετικής Οδηγίας που υποχρεώνει τους παρόχους να ορίσουν νόμιμους εκπροσώπους, οι οποίοι και θα είναι υπεύθυνοι για την παραλαβή, συμμόρφωση και εκτελεση των ΕΕΥ και ΕΕΔ.
Και η προστασία των προσωπικών δεδομένων;
Η πρόταση τη Ευρωπαϊκής Επιτροπής εγείρει πολλά ερωτήματα, ιδίως σε ό,τι αφορά την προστασία των προσωπικών δεδομένων. Πράγματι, σχετικοί προβληματισμοί έχουν επισημανθεί τόσο από το Ευρωπαϊκό Κοινοβούλιο κατά τη διάρκεια των διαπραγματεύσεων, όσο και από ακαδημαϊκούς και οργανώσεις της κοινωνίας των πολιτών που εγείρουν εύλογες ενστάσεις έναντι της υιοθέτησης του κανονισμού από την Ε.Ε..
Ένα από τα πλέον καίρια σημεία κριτικής εντοπίζεται στο γεγονός πως η υποχρέωση συμμόρφωσης και εκτέλεσης μιας ΕΕΥ ή ΕΕΔ είναι πλέον αρμοδιότητα του παρόχου των ηλεκτρονικών υπηρεσιών και όχι των κρατικών ή δικαστικών αρχών.
Μάλιστα, ο πάροχος γίνεται πλέον υπεύθυνος για τον έλεγχο της προστασίας των θεμελιωδών δικαιωμάτων και καλείται να κρίνει εάν και κατά πόσο μια ΕΕΥ ή ΕΕΔ παραβιάζει τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης.
Γεννάται συνεπώς το ερώτημα κατά πόσο ο ιδιώτης πάροχος είναι κατάλληλος να αποφασίζει για την προστασία των θεμελιωδών δικαιωμάτων. Σε συνδυασμό μάλιστα με το γεγονός πως ο πάροχος υπόκειται σε κυρώσεις σε περίπτωση μη συμμόρφωσης με μία ΕΕΥ ή ΕΕΔ, είναι άξιο απορίας το εάν πράγματι θα πραγματοποιεί τον απαιτούμενο έλεγχο και θα μεριμνά για την προστασία των δικαιωμάτων ή υπό των φοβο της μη συμμόρφωσης θα προχωρά εν τέλει στην εκτέλεση κάθε ΕΕΥ.
Συνεπώς, το σημαντικότερο πρόβλημα που δημιουργείται με το νέο θεσμικό πλαίσιο είναι η μετατόπιση της υποχρέωσης ελέγχου της προστασίας των προσωπικών δεδομένων από το κράτος στον ιδιώτη πάροχο, ο οποίος επιφορτίζεται με την κρίσιμη απόφαση υποβολής ή μη των αποθηκευμένων δεδομένων, περιορίζοντας έτσι σημαντικά τον προστατευτικό ρόλο του κράτους.
Ταυτόχρονα, η πράξη για την οποία ζητείται η υποβολή των προσωπικών δεδομένων δεν απαιτείται να ενέχει την ίδια απαξία στην έννομη τάξη του κράτους έκδοσης και του κράτους εκτέλεσης. Η κατάργηση του κριτηρίου αυτού (dual criminality) μειώνει το επίπεδο προστασίας των προσωπικών δεδομένων και διευκολύνει την πρόσβαση ακόμη και σε περιπτώσεις που αφορούν ήσσονος σημασίας αδικήματα.
Το μοναδικό όριο που θέτει ο Κανονισμός αφορά την πρόσβαση σε δεδομένα συναλλαγών και περιεχομένου, όπου μια ΕΕΥ μπορεί να εκδοθεί μόνο για αδικήματα που επισύρουν στερητική της ελευθερίας ποινή με ανώτατο όριο τουλάχιστον τριών ετών στο κράτος έκδοσης.
Σε κάθε άλλη περίπτωση, ακόμη και αν οι νόμοι του κράτους εκτέλεσης προβλέπουν ένα αυξημένο πλαίσιο προστασίας των προσωπικών δεδομένων, αυτό είναι πλέον αδιάφορο. Παράλληλα, η υποβολή των δεδομένων συνδρομητή και προσβασης μπορεί να διαταχθεί για οποιοδήποτε αδίκημα.
Η σημασία των ηλεκτρονικών αποδεικτικών στοιχείων για την αποτελεσματική καταπολέμηση του εγκλήματος είναι αδιαμφισβήτητη. Στην εποχή των μέσων κοινωνικής δικτύωσης, ο όγκος και η ιδιαίτερη φύση των ψηφιακών δεδομένων καθιστούν πράγματι αναγκαία την θέσπιση νέων εργαλείων για την έγκαιρη και αποτελεσματική πρόσβαση των αρχών στα ψηφιακά δεδομένα.
Για να επιστρέψουμε ωστόσο και στο αρχικό μας ερώτημα, η παραδοχή αυτή δεν αρκεί για να άρει τους όποιους ενδοιασμούς εγείρει η νομοθετική πρόταση της Ευρωπαϊκής Ένωσης. Η ανάγκη για αποτελεσματικότητα πρέπει να συμβαδίζει με το κρίσιμο αίτημα της αποτελεσματικής προστασίας των προσωπικών δεδομένων και είναι συνεπώς καθήκον του Ευρωπαίου νομοθέτη να κινηθεί προς τον σκοπό αυτό.
*Ο Κωνσταντίνος Ζουμπουλάκης είναι δικηγόρος και υποψήφιος διδάκτωρ Ευρωπαϊκού Ποινικού Δικαίου στο Πανεπιστήμιο του Leiden. Είναι απόφοιτος της Νομικής Σχολής Αθηνών, κάτοχος μεταπτυχιακού τίτλου σπουδών στη Φιλοσοφία Δικαίου από το Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών και στην Ποινική Δικαιοσύνη (Criminal Justice MSc) από το Πανεπιστήμιο του Leiden. Είναι τακτικό μέλος της Homo Digitalis.