Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Lotta alla criminalità e privacy: la Corte di Giustizia UE ribadisce il divieto di conservazione generalizzata dei dati relativi alle comunicazioni ed all’ubicazione degli utenti

Scritto da Nicolò Maria Salvi

Sono trascorsi ormai alcuni anni da quando Stefano Rodotà, interrogato in merito all’adozione del Patrioct Act a seguito dell’11 settembre, affermava con decisione che l’invocazione di norme repressive rivela di frequente non un bisogno effettivo, quanto piuttosto un modo facile per rispondere alle emozioni di un’opinione pubblica turbata, al solo fine di mettersi al riparo dalle responsabilità proprie della politica o delle strutture amministrative.

Da allora il dibattito relativo al delicato bilanciamento fra tutela della riservatezza, sicurezza e libertà non solo non si è arrestato, ma, al contrario, viene costantemente alimentato dagli spiacevoli eventi che caratterizzano questo avvio del nuovo millennio.

Ed è proprio nel solco scavato negli ultimi anni dalla politica, dalla giurisprudenza e dalla stessa opinione pubblica che si inserisce la sentenza del 21 dicembre 2016 della Corte di Giustizia UE, Cause riunite C-203/15 (Tele2 Sverige AB c. Post-och telestyrelsen) e C-698/15 (Secretary of State for the Home Department c. Tom Watson e altri).

I giudici comunitari sono infatti stati chiamati ad affrontare nuovamente tale tema, a distanza di oltre due anni dalla nota sentenza Digital Rights – Corte di Giustizia UE, 8 aprile 2014, Digital Rights Ireland e Seitlinger e.a. (Cause riunite C-293/12 e C-594/12) – con cui avevano dichiarato invalida la Direttiva 2006/24/CE relativa alla conservazione dei dati sulla base della mancata limitazione allo stretto necessario dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, determinata dall’obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione.

Proprio da tale sentenza prendono origine le due controversie sottoposte al vaglio della Corte: queste vertono infatti sull’obbligo imposto, in Svezia e nel Regno Unito, ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi a tali comunicazioni, sulla base della Direttiva invalidata.

La questione ruota pertanto intorno all’interpretazione dell’articolo 15, paragrafo 1, della Direttiva 2002/58/CE ai sensi del quale gli Stati membri possono adottare disposizioni legislative volte a limitare diritti ed obblighi relativi alla riservatezza delle comunicazioni e dell’ubicazione ogniqualvolta siffatta restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica, nonché per la prevenzione, la ricerca, l’accertamento ed il perseguimento dei reati o dell’uso non autorizzato dei sistemi di comunicazione elettronica. A tal fine, e solo per tali motivi, è data facoltà ai singoli Stati membri di adottare misure legislative che prevedano la conservazione dei dati per un periodo di tempo limitato.

È opinione della Corte che tale articolo debba essere interpretato nel senso che esso osta ad una normativa nazionale che preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata ed indifferenziata dell’insieme dei dati relativi al traffico ed all’ubicazione degli utenti: i giudici confermano infatti che le misure interne esaminate – quali quella svedese e quella britannica – rientrano nell’ambito di applicazione della Direttiva precedentemente invalidata, ribadendo come la tutela del diritto fondamentale al rispetto della vita privata esiga che le deroghe alla protezione dei dati personali intervengano unicamente entro i limiti dello stretto necessario.

Si evidenzia inoltre come l’ingerenza risultante da una siffatta normativa nazionale debba essere considerata particolarmente pericolosa e tale da ingenerare nello spirito delle persone una sensazione di sorveglianza continua astrattamente – e concretamente – giustificabile nella sola ipotesi di lotta contro la criminalità grave.

Parimenti costituiscono una violazione di non lieve entità del diritto comunitario quelle normative che prevedano una conservazione generalizzata e indifferenziata dei dati in assenza di qualsivoglia correlazione tra questi ed una minaccia per la sicurezza pubblica, non limitandone l’applicazione ai dati relativi ad un particolare periodo temporale, ad una determinata zona geografica, o ad una ristretta cerchia di persone potenzialmente implicate nel crimine organizzato: una normativa di questa portata eccede infatti i limiti del c.d. stretto necessario e risulta del tutto ingiustificata in una società democratica.

Al contrario, si sostiene l’ammissibilità di una normativa che imponga la conservazione mirata dei dati per finalità di tutela della sicurezza pubblica nell’ipotesi in cui questa sia limitata al minimo indispensabile, con particolare riferimento alle categorie di dati, ai mezzi di comunicazione interessati, alle persone implicate ed alla durata della stessa. In questa prospettiva il diritto comunitario certamente non osta all’attività legislativa dei singoli Stati membri ma richiede una chiarezza, una precisione e delle garanzie tali da scongiurare il rischio di abusi; dovranno allora essere indicate tutte le circostanze e le condizioni in presenza delle quali una misura del genere possa essere adottata anche a titolo preventivo, garantendo che la sua portata sia effettivamente limitata a quanto strettamente necessario.

Alla luce di ciò, la prevenzione dei rischi gravi per la sicurezza pubblica e la repressione dei reati passeranno per dei testi normativi che devono necessariamente fondarsi su elementi oggettivi e contestualmente assicurare che ad essere colpiti saranno unicamente i soggetti i cui dati siano idonei a presentare un effettivo collegamento con atti di criminalità grave.

In secondo luogo la Corte europea evidenzia come gli stessi limiti rilevino anche in materia di accesso ai dati conservati da parte delle autorità nazionali competenti: anche con riferimento a questo diverso profilo appare infatti necessaria la previsione di criteri oggettivi che siano idonei a definire le circostanze e le condizioni in presenza delle quali questo possa essere concesso a tali organi competenti. In tal senso, risultano però essenziali, da una parte, la perenne subordinazione – con la sola eccezione dei casi di urgenza – ad un controllo preventivo operato da un giudice o da un’autorità amministrativa indipendente, e, dall’altra, l’obbligo di comunicazione alle persone interessate.

In terzo luogo si sostiene che, in considerazione della quantità di dati trattati, del loro carattere e del rischio di accesso illecito agli stessi, la normativa interna debba necessariamente prevedere la loro conservazione all’interno del territorio dell’Unione Europea, nonché la loro irreversibile distruzione al termine della durata prevista per la stessa.

A riguardo appare infine utile una breve analisi della situazione italiana, in cui, in attesa dell’entrata in vigore del nuovo Regolamento europeo in materia di protezione dei dati personali n. 679 del 2016, rileva l’art. 132 del Codice della Privacy.

Ai sensi di tale norma i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati; per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono invece soggetti al medesimo destino per un periodo più breve, ovvero per dodici mesi dalla data della comunicazione.

Tali dati possono inoltre essere acquisiti presso il fornitore solo con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

La validità della disposizione, figlia dell’invalidata Direttiva 2006/24/CE, non è infatti stata scalfita dalle sentenze della Corte di giustizia dell’Unione Europea in virtù della previsione di un periodo di conservazione dei dati certo e rispondente alla limitazione relativa allo stretto necessario, nonostante recentemente l’art. 4-quater del D.L. n. 210 del 2015 (convertito, con modifiche, nella Legge n. 21 del 2016) abbia prorogato fino al 30 giugno 2017 il termine di conservazione.