Obowiązujące przepisy krajowe nie są w stanie skutecznie zabezpieczyć elektronicznej komunikacji prawników z klientami przed zakusami rządów – wynika z raportu CCBE na temat ochrony danych adwokackich w państwach UE.

W większości krajów europejskich warunkiem przeszukania kancelarii prawnej jest wcześniejsze uzyskanie pozwolenia ze strony sądu lub prokuratora. Niektóre państwa wymagają nawet ich obecności w trakcie wykonywania czynności (jak np. Włochy i Węgry) bądź przewidują powiadomienie samorządu zawodowego o zamiarze przeprowadzenia przeszukiwania. Teoretycznie, zasady, które mają zastosowanie do rewizji i zajęcia dowodów w siedzibie kancelarii powinny też odnosić się do przechwytywania danych transmisyjnych przez służby specjalne. Analiza porównawcza ekspertów CCBE (Rady Adwokatur i Stowarzyszeń Prawniczych Europy, do której należą także polskie korporacje zawodowe) pokazuje jednak, że w większości europejskich jurysdykcji informacje przechowywane przez adwokatów i radców w wirtualnych chmurach oraz przesyłane drogą elektroniczną nie są odpowiednio zabezpieczone przed zakusami wywiadów, co w konsekwencji wiąże się z poważnym ryzykiem ujawnienia tajemnicy zawodowej oraz naruszenia poufności wymiany informacji między prawnikiem a klientem.

Zdaniem CCBE w wielu krajach UE występują poważne luki w przepisach, które mają określać warunki, na jakich służby mogą uzyskać dostęp do wirtualnych danych, zaś w innych państwach kompetencje przyznane tym instytucjom są tak szerokie i ogólnikowe, że w zasadzie nie dają żadnej gwarancji ochrony poufnych materiałów. Jeśli już ustawodawstwo krajowe wymusza uprzednie uzyskanie nakazu sądowego, to zwykle ma on marginalne znaczenie, tak jak w Wielkiej Brytanii, gdzie trybunały rozpatrują znikomą liczbę skarg od inwigilowanych prawników, gdyż najczęściej nie są oni przecież świadomi założonych podsłuchów.

Co więcej, jak pokazuje analiza CCBE w niektórych państwach członkowskich (np. w Słowacji i na Węgrzech) zasady ochrony tajemnicy adwokackiej są sformułowane w bardzo niejasny sposób, przez co w zasadzie nie wiadomo, czy odnoszą się one także do danych przechowywanych na serwerach dostawców internetowych lub w chmurach. Taka niejednoznaczność stanowi jedynie zachętę dla organów rządowych, aby z pominięciem procedury uzyskiwania nakazu sądowego zwrócić się bezpośrednio do firm świadczących usługi w chmurze o przekazanie wszelkich potrzebnych informacji. Jest to problem niepokojący o tyle, że nie ma żadnej technicznej możliwości, aby dowiedzieć się, czy przechwytywane dane są objęte tajemnicą zawodową. Dla przykładu, w Danii dostawca chmury w odpowiedzi na nieformalne zapytanie może dobrowolnie udostępnić władzom dane elektroniczne gromadzone przez adwokatów i radców.

Zdaniem CCBE nie ma żadnego uzasadnienia dla słabszej niż w przypadku tradycyjnej korespondencji ochrony komunikacji elektronicznej prawników z klientami. Tym niemniej nie można dziś realistycznie oczekiwać, że rewizje i konfiskaty będą nadzorowane według tych samych standardów co elektroniczne podsłuchy. Nawet gdyby rządy miały do dyspozycji odpowiednie zasoby, aby znacząco ograniczyć inwigilację, to według CCBE, z całą pewnością nie mają takich zamiarów.