Vuoi presentare una denuncia contro un’istituzione o un organismo dell’UE?
- IT Italiano
Le traduzioni automatiche possono contenere errori che rischiano di compromettere la chiarezza e l’accuratezza del testo; la Mediatrice non accetta alcuna responsabilità per eventuali discrepanze. Per le informazioni più affidabili e la certezza del diritto, La preghiamo di fare riferimento alla versione in lingua originale in inglese il cui link si trova in alto.
Per ulteriori informazioni consulti la nostra politica linguistica e di traduzione.
Decisione sul rifiuto della Commissione europea di concedere l'accesso del pubblico ai processi verbali delle riunioni del gruppo di cooperazione per le reti e i sistemi informativi (caso 228/2024/NH)
Decisione
Caso 228/2024/NH - Aperto(a) il Lunedì | 05 febbraio 2024 - Decisione del Lunedì | 14 aprile 2025 - Istituzione coinvolta Commissione europea ( Soluzione parzialmente raggiunta ) - Paese Francia
Denuncia presentata
30/01/2024Analisi della denuncia
31/01/2024Indagine in corso
05/02/2024Valutazione preliminare
21/03/2024Esito dell’indagine
14/04/2025
Il caso riguardava una richiesta di accesso del pubblico ai documenti relativi alle riunioni tenute dal gruppo di cooperazione per le reti e i sistemi informativi, un gruppo ospitato dalla Commissione europea per discutere di questioni di cibersicurezza. Il denunciante ha chiesto alla Commissione di concedere l'accesso del pubblico agli ordini del giorno e ai verbali delle riunioni del gruppo.
La Commissione ha individuato 24 verbali delle riunioni e tutti gli ordini del giorno delle riunioni, che sono disponibili al pubblico. Essa ha rifiutato di concedere l’accesso del pubblico al processo verbale in quanto la divulgazione integrale arrecherebbe pregiudizio alla tutela dell’interesse pubblico in materia di pubblica sicurezza.
Il denunciante ha chiesto alla Commissione di rivedere la sua decisione (presentando una "domanda di conferma"). Poiché la Commissione non ha risposto entro i termini applicabili, il denunciante si è rivolto al Mediatore.
La squadra investigativa del Mediatore ha ispezionato i documenti in questione. Sulla base di ciò, il Mediatore ha ritenuto che la Commissione dovrebbe concedere un ampio accesso ai documenti, in quanto non sembrano contenere contenuti sensibili in tutto. Il Mediatore ha presentato una proposta di soluzione alla Commissione a tal fine.
In risposta, la Commissione ha accettato di concedere un ampio accesso ai documenti controversi, con l’esclusione di talune informazioni.
La Mediatrice ha accolto con favore la risposta positiva della Commissione alla proposta di soluzione. Pur ritenendo che la Commissione avrebbe potuto concedere un accesso più ampio ai documenti, occultando meno informazioni, ritiene che la soluzione sia stata parzialmente accettata e abbia chiuso il caso. Il Mediatore si è tuttavia rammaricato del notevole ritardo subito dalla Commissione in questo caso. Ricorda alla Commissione che dovrebbe affrontare con urgenza la grave questione dei ritardi nel trattamento delle richieste di accesso del pubblico ai documenti.
Fatti all’origine della denuncia
1. Il gruppo di cooperazione per le reti e i sistemi informativi («gruppo di cooperazione NIS») è stato istituito [1] per garantire la cooperazione e lo scambio di informazioni tra gli Stati membri in materia di cibersicurezza. Il gruppo di cooperazione NIS è composto da rappresentanti degli Stati membri dell'UE, della Commissione europea e dell'Agenzia dell'UE per la cibersicurezza (ENISA). Tra le altre attività, il gruppo di cooperazione NIS elabora orientamenti non vincolanti per gli Stati membri al fine di affrontare le questioni politiche in materia di cibersicurezza, quali le minacce ai processi elettorali, la sicurezza della rete 5G o i «registri dei nomi di dominio di primo livello»[2].
2. Nel luglio 2023 il denunciante ha chiesto alla Commissione di concedere l'accesso del pubblico ai documenti [3] riguardanti le riunioni del gruppo di cooperazione NIS, vale a dire tutti gli ordini del giorno e i verbali delle riunioni. Ha inoltre chiesto l'accesso del pubblico agli orientamenti e alle note orientative preparati dalla Commissione conformemente alle norme applicabili [4].
3. Nella sua risposta iniziale del 28 settembre 2023, la Commissione ha spiegato che tutti gli ordini del giorno delle riunioni del gruppo di cooperazione NIS sono pubblicati online [5]. Ha individuato 24 documenti relativi al verbale di ciascuna riunione del gruppo di cooperazione NIS dal 2017 e ha rifiutato l'accesso ai documenti nella loro interezza. In tal modo, ha invocato un'eccezione ai sensi della legislazione dell'UE sull'accesso del pubblico ai documenti, sostenendo che la loro divulgazione arrecherebbe pregiudizio alla tutela dell'interesse pubblico per quanto riguarda la pubblica sicurezza.[6] Ha inoltre informato il denunciante di non aver individuato alcun documento relativo a "orientamenti o note orientative".
4. Nell'ottobre 2023 il denunciante ha chiesto alla Commissione di rivedere la sua decisione (presentando una "domanda di conferma"), sostenendo che i documenti non potevano ragionevolmente essere coperti integralmente dall'eccezione relativa alla "pubblica sicurezza". A suo avviso, i verbali delle riunioni relative alle norme interne del gruppo di cooperazione NIS o al suo programma di lavoro avrebbero dovuto essere divulgati. Lo stesso vale per tutte le informazioni relative agli scambi di buone pratiche, in quanto descriverebbero probabilmente questioni di sicurezza digitale che sono di conoscenza comune. Inoltre, poiché alcuni minuti hanno più di cinque anni, ha sostenuto che il passare del tempo aveva probabilmente eliminato i rischi di divulgare il loro contenuto. Sostiene inoltre che la Commissione avrebbe dovuto individuare un maggior numero di verbali delle riunioni.
5. La Commissione ha accusato ricevuta della domanda di conferma e ha dichiarato che avrebbe risposto entro i termini applicabili, entro il 30 novembre 2023. Dopo aver inviato due solleciti, ai quali la Commissione non ha risposto, il denunciante si è rivolto alla Mediatrice nel gennaio 2024.
L'indagine
6. La Mediatrice ha avviato un'indagine sulla mancata risposta della Commissione alla domanda di conferma presentata dal denunciante.
7. In considerazione del persistente ritardo, il gruppo di indagine del Mediatore ha ispezionato i documenti in questione.[7] A seguito di un riesame dei documenti, il Mediatore ha presentato una proposta di soluzione in base alla quale la Commissione concede l'accesso più ampio possibile ai documenti.
8. Il 20 agosto 2024, ossia dopo un ritardo significativo di quasi un anno, la Commissione ha risposto alla domanda di conferma e, due mesi dopo, alla proposta di soluzione del Mediatore. La Mediatrice ha dato al denunciante la possibilità di formulare osservazioni sulla risposta della Commissione, ma non ne ha ricevute.
Proposta di soluzione del Mediatore
9. A seguito dell'ispezione dei documenti da parte della squadra d'inchiesta, la Mediatrice ha ritenuto che la Commissione avrebbe dovuto concedere un accesso parziale ai documenti e ha presentato una proposta di soluzione a tal fine nel marzo 2024.
10. Il Mediatore ha ritenuto che i documenti in questione, in larga misura, non contengano informazioni sensibili che, se divulgate, potrebbero costituire un rischio ragionevolmente prevedibile (e non puramente ipotetico) per la sicurezza pubblica.[8] La maggior parte dei verbali è redatta in termini generali e non fornisce dettagli sensibili sul concreto lavoro operativo delle autorità nazionali competenti specializzate in cibersicurezza. Inoltre, gran parte del verbale riguarda gli aggiornamenti degli Stati membri sul modo in cui hanno recepito le due direttive pertinenti dell'UE.[9] Queste parti non sembrano rientrare nell'eccezione relativa alla pubblica sicurezza, dato il passare del tempo. Infine, il Mediatore ha suggerito di individuare tre documenti aggiuntivi [10].
11. Il Mediatore ha osservato che, nella sua decisione iniziale di rifiuto dell'accesso, la Commissione si era basata su norme interne [11] che stabilivano esplicitamente che le discussioni del gruppo di cooperazione NIS non dovevano essere aperte al pubblico. Ha affermato che la Commissione dovrebbe basare la sua valutazione della richiesta di accesso del denunciante sulle disposizioni del regolamento (CE) n. 1049/2001.
12. Il Mediatore ha proposto la seguente soluzione:
La Commissione dovrebbe riconsiderare la sua posizione sulla richiesta del denunciante, al fine di concedere il più ampio accesso possibile ai documenti, compresi i tre documenti aggiuntivi che non sono stati identificati nella fase iniziale [12].
13. A seguito della proposta di soluzione della Mediatrice, nell'agosto 2024 la Commissione ha risposto alla domanda di conferma del denunciante. La Commissione ha concesso l'accesso a parti di 27 documenti: i 24 verbali delle riunioni individuati nella fase iniziale e i tre verbali supplementari menzionati nella proposta di soluzione del Mediatore.
14. La Commissione ha rifiutato di divulgare talune parti dei documenti in quanto la loro divulgazione arrecherebbe pregiudizio alla tutela dell’interesse pubblico in materia di pubblica sicurezza. Ha sostenuto che i documenti contengono informazioni dettagliate e sensibili sulla cibersicurezza, comprese le misure di sicurezza adottate in risposta a crisi specifiche e gli scambi tra le autorità preposte alla cibersicurezza in merito a potenziali rischi e minacce. Per la Commissione, la divulgazione di tali informazioni comprometterebbe la sicurezza pubblica dell'UE in quanto fornirebbe al pubblico, compresi i gruppi malevoli, informazioni utili sulla cibersicurezza e indebolirebbe quindi la preparazione degli Stati membri. La Commissione ha inoltre occultato alcune parti dei documenti perché, anche se le informazioni potrebbero sembrare innocue a prima vista, potrebbero fornire preziose informazioni ai potenziali criminali informatici.
15. La Commissione ha inoltre occultato alcuni dati personali dei membri del personale della Commissione e dei membri di altre autorità. La Commissione ha inoltre informato il denunciante che gli orientamenti della Commissione sulla direttiva NIS (richiesti dal denunciante nella sua richiesta iniziale) sono disponibili al pubblico sul suo sito web [13].
16. A seguito di un ritardo, nell'ottobre 2024 la Commissione ha adottato la sua risposta alla proposta di soluzione della Mediatrice.[14] La Commissione ha ritenuto di aver soddisfatto la proposta della Mediatrice concedendo il più ampio accesso possibile ai documenti in questione, tenendo conto dei rischi per la sicurezza pubblica che una divulgazione più ampia comporterebbe, come spiegato in dettaglio nella decisione di conferma.
17. La Commissione ha espresso disaccordo con il parere del Mediatore, espresso nella proposta di soluzione, secondo cui la maggior parte dei documenti non sembra contenere alcun contenuto sensibile. Come spiegato nella decisione di conferma, parti dei documenti contengono pareri e opinioni degli Stati membri sulle azioni e le discussioni attuali e future a livello nazionale e transfrontaliero. Essi contengono inoltre informazioni su incidenti e altre azioni che si svolgono negli Stati membri. Esse riflettono le discussioni sulla cibersicurezza su questioni specifiche correlate, quali le elezioni europee del 2019, l'attuazione delle raccomandazioni della Commissione, lo stato di avanzamento e gli aggiornamenti delle diverse azioni, compresa l'attuazione delle raccomandazioni del gruppo, i lavori riguardanti la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) e la strategia dell'UE per la cibersicurezza [15].
18. La Commissione ha ritenuto che la divulgazione al pubblico di tali parti dei documenti pregiudicherebbe la tutela della sicurezza pubblica in quanto fornirebbe al grande pubblico, compresi individui o gruppi malintenzionati, informazioni pertinenti sulla lotta contro gli attacchi informatici. La Commissione ha ritenuto che ciò renderebbe gli Stati membri e l'Europa vulnerabili agli incidenti e alle minacce alla sicurezza.
19. La Commissione ha insistito sul fatto che il suo regolamento interno [16] stabiliva che le discussioni del gruppo non dovessero essere aperte al pubblico. La Commissione ha ritenuto che, nella valutazione della domanda di accesso del pubblico ai sensi del regolamento n. 1049/2001, essa non potesse ignorare il carattere sensibile delle attività riflesse nei documenti e le finalità della cooperazione in materia.
20. La missione generale del gruppo di cooperazione NIS, come stabilito nella direttiva NIS, è sostenere la cooperazione strategica e lo scambio di informazioni e rafforzare la fiducia tra gli Stati membri. Poiché la cibersicurezza non può essere conseguita senza la cooperazione delle autorità degli Stati membri, la Commissione ha ritenuto che la divulgazione delle discussioni riprodotte nei documenti richiesti comprometterebbe la fiducia e la cooperazione nel settore della cibersicurezza. Il fatto che alcuni documenti risalgano al 2017 non modifica il livello di rischio se i documenti sono stati divulgati, in quanto sono strettamente legati alle discussioni in corso.
21. La Commissione ha inoltre espresso disaccordo con il parere del Mediatore secondo cui le parti dei documenti relative agli aggiornamenti riguardanti il recepimento delle direttive NIS e NIS2 non sono sensibili. La Commissione ha sostenuto che il recepimento della direttiva NIS2 è ancora in corso. Inoltre, sebbene il recepimento della direttiva NIS sia stato ultimato, le discussioni riassunte nel verbale riguardano le varie azioni intraprese dagli Stati membri al riguardo, comprese le opzioni che non sono state adottate. La divulgazione di queste parti dei documenti avrebbe un impatto negativo sulla sicurezza pubblica per quanto riguarda le azioni intraprese a livello nazionale. Il passare del tempo non modifica il livello del rischio in quanto le azioni descritte sono ancora rilevanti per la lotta alla criminalità informatica.
Valutazione del Mediatore dopo la proposta di soluzione
22. Le istituzioni dell’Unione godono di un ampio margine di discrezionalità nel determinare se la divulgazione di un documento arrechi pregiudizio alla tutela dell’interesse pubblico in materia di pubblica sicurezza. Tuttavia, essi sono ancora tenuti a dimostrare un «rischio specifico ed effettivo» ragionevolmente prevedibile e non puramente ipotetico [17].
23. La Commissione ha ora concesso un accesso parziale ai documenti in questione, che il Mediatore accoglie con favore. Il Mediatore accoglie inoltre con favore il ragionamento fornito dalla Commissione per quanto riguarda le restanti espunzioni.
24. Sulla base delle spiegazioni fornite, la Mediatrice ritiene che non sia stato manifestamente sbagliato per la Commissione sostenere che alcune discussioni su specifiche questioni relative alla cibersicurezza, come le elezioni europee del 2019 o le esercitazioni di preparazione informatica (CyCLONe e Blue OLEx), contengono elementi sensibili che potrebbero compromettere la sicurezza pubblica. Inoltre, le espunzioni di dati personali appaiono ragionevoli e il denunciante non le ha contestate.
25. Ciò premesso, il Mediatore osserva che la Commissione ha rifiutato l'accesso a intere sezioni riguardanti sintesi delle discussioni tra i membri del gruppo di cooperazione NIS sui lavori in corso.
26. L'ispezione effettuata ha dimostrato che le sintesi sono redatte in modo generale, descrivendo le principali sfide e opportunità di un argomento o possibili convergenze. È difficile per il Mediatore comprendere in che modo tali sintesi generali potrebbero compromettere la sicurezza pubblica se divulgate. È quindi difficile capire come e perché vi sarebbe un rischio specifico ed effettivo per la sicurezza pubblica se queste parti dei documenti fossero divulgate.
27. La Commissione ha sostenuto che queste parti dei documenti potrebbero fornire informazioni preziose ai potenziali criminali informatici se divulgate. Tuttavia, questa spiegazione è in contrasto con il fatto che alcune delle parti espunte contengono informazioni che sono già disponibili al pubblico.
28. Il Mediatore ritiene pertanto che la Commissione avrebbe potuto motivare meglio alcune delle espunzioni, in particolare quelle riguardanti le sintesi generali delle discussioni del gruppo di cooperazione NIS. Tuttavia, dato che la Commissione ha ora concesso un accesso parziale al verbale della riunione e che il denunciante non ha fornito ulteriori osservazioni sulla risposta della Commissione, la Mediatrice ritiene che ulteriori indagini in materia non siano giustificate.
29. Il Mediatore osserva che, nella decisione iniziale di rifiuto dell'accesso, la Commissione si è basata su norme interne [18] per rifiutare l'accesso ai documenti nella loro interezza. In risposta alla proposta di soluzione del Mediatore, la Commissione ha spiegato di aver basato la sua valutazione della richiesta di accesso del pubblico sul regolamento 1049/2001, ma di non poter ignorare il carattere sensibile delle discussioni del gruppo di cooperazione NIS, sostenendo che le norme interne stabiliscono che le discussioni non sono aperte al pubblico. Il Mediatore è convinto che, nel caso di specie, la valutazione della Commissione sia stata in linea con le disposizioni del regolamento (CE) n. 1049/2001 e che la Commissione accetti che le norme interne applicate nel caso di specie non possano in alcun modo essere interpretate come una presunzione indiretta di non divulgazione, né come un motivo per rifiutare l'accesso del pubblico. Pertanto, il Mediatore accoglie con favore il chiarimento della Commissione secondo cui le richieste di accesso del pubblico ai documenti relativi alle riunioni del gruppo di cooperazione NIS dovrebbero basarsi solo sulle disposizioni contenute nel regolamento (CE) n. 1049/2001 [19].
30. Il Mediatore è preoccupato per il grave ritardo nella risposta alla richiesta di accesso del denunciante in questo caso. Ai sensi del regolamento (CE) n. 1049/2001, un'istituzione dell'UE dovrebbe, entro 15 giorni lavorativi dalla registrazione della domanda di conferma, concedere l'accesso al documento richiesto o, in una risposta scritta, motivare il rifiuto totale o parziale. Il termine di 15 giorni lavorativi può essere prorogato di altri 15 giorni lavorativi in circostanze eccezionali [20].
31. In questo caso, la Commissione ha impiegato quasi undici mesi per adottare una decisione sulla domanda di conferma del denunciante.
32. Il Mediatore ha già esortato la Commissione ad affrontare i ritardi sistemici in questo settore e a rispettare i termini di cui al regolamento (CE) n. 1049/2001 [21].
33. La Mediatrice si rammarica del notevole ritardo subito dalla Commissione nel rispondere alla richiesta del denunciante ed esorta nuovamente la Commissione ad affrontare la questione dei ritardi in questo settore.
Conclusioni
Sulla base dell'indagine, il Mediatore archivia il caso con le seguenti conclusioni:
Poiché la Commissione ha ora concesso un accesso più ampio ai documenti in questione, il Mediatore ritiene che la proposta di soluzione sia stata parzialmente accettata e archivia il caso.
Il Mediatore si rammarica del notevole ritardo subito dalla Commissione nel rispondere alla richiesta del denunciante. Una palese inosservanza dei termini stabiliti dal legislatore nel regolamento n. 1049/2001 non può costituire una buona amministrazione.
Il denunciante e la Commissione saranno informati della presente decisione.
Teresa Anjinho Mediatore
europeo
Strasburgo, 14.4.2025
[1] Il gruppo è stato istituito sulla base della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (direttiva NIS), disponibile all'indirizzo: https://eur-lex.europa.eu/eli/dir/2016/1148/oj/eng .
[2] Maggiori informazioni sono disponibili all'indirizzo: https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group
[3] Conformemente alle disposizioni del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, disponibile all'indirizzo: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32001R1049
[4] I considerando 20 e 21 e l'articolo 4 della direttiva NIS2, disponibili all'indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555
[5] Cfr. https://digital-strategy.ec.europa.eu/it/library/nis-cooperation-group-meetings-agendas
[6] Articolo 4, paragrafo 1, lettera a), primo trattino, del regolamento 1049/2001.
[7] L'ambito dell'indagine del Mediatore riguardava solo il verbale della riunione, in quanto il denunciante non aveva contestato il trattamento da parte della Commissione degli altri aspetti della sua richiesta iniziale (che riguardava gli ordini del giorno delle riunioni e gli orientamenti e le note orientative).
[8] Cfr. sentenza della Corte di giustizia del 3 luglio 2014 nella causa C-350/12 P, Consiglio/in 't Veld, punti 52 e 64, disponibile all'indirizzo: https://curia.europa.eu/juris/liste.jsf?num=C-350/12
[9] Direttiva (UE) 2016/1148 e direttiva (UE) 2018/1972, rispettivamente direttive NIS e NIS2, cfr. note 1 e 4.
[10] I verbali della 16a, 17a e 27a riunione del gruppo di cooperazione NIS, in quanto tali riunioni figurano sul sito web della Commissione che elenca gli ordini del giorno di tutte le riunioni del gruppo di cooperazione NIS, ma non sono stati identificati dalla Commissione nella sua risposta iniziale al denunciante.
[11] Decisione di esecuzione (UE) 2017/179 della Commissione, del 1o febbraio 2017, che stabilisce le modalità procedurali necessarie per il funzionamento del gruppo di cooperazione a norma dell'articolo 11, paragrafo 5, della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, disponibile all'indirizzo https://eur-lex.europa.eu/eli/dec_impl/2017/179/oj/eng
[12] Il testo integrale della proposta di soluzione del Mediatore è disponibile al seguente indirizzo: https://www.ombudsman.europa.eu/solution/200856
[13] https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-34-directive-eu-20222555-nis-2-directive e https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive
[14] La risposta della Commissione è disponibile al seguente indirizzo: https://www.ombudsman.europa.eu/doc/correspondence/200857
[15] https://digital-strategy.ec.europa.eu/it/policies/cybersecurity
[16] Articolo 10 della decisione di esecuzione (UE) 2017/179 della Commissione (cfr. nota 11).
[17] Sentenza del Tribunale del 27 novembre 2019, Izuzquiza e Semsrott/Frontex, causa T-31/18, punti 65-66: https://curia.europa.eu/juris/liste.jsf?num=T-31/18.
[18] Decisione di esecuzione (UE) 2017/179 della Commissione (cfr. nota 11).
[19] Nella sua sentenza Pollinis, il Tribunale ha chiarito che il regolamento interno adottato dalla Commissione per comitati specifici non prevale sul regolamento (CE) n. 1049/2001 relativo all'accesso del pubblico ai documenti dell'UE, il che significa che tali norme interne non possono generalmente precludere la divulgazione delle singole posizioni degli Stati membri espresse durante le discussioni sulla comitatologia. Cfr. la sentenza del Tribunale del 14 settembre 2022, Pollinis France/Commissione europea, cause riunite T ‑371/20 e T ‑554/20, punto 96, disponibile all'indirizzo: https://curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=T-371/20
[20] Articolo 8 del regolamento (CE) n. 1049/2001.
[21] Raccomandazione sul tempo impiegato dalla Commissione europea per trattare le richieste di accesso del pubblico ai documenti (indagine strategica OI/2/2022/OAM), disponibile all'indirizzo: https://www.ombudsman.europa.eu/en/recommendation/en/167661.