di Giovanni Nazzaro
In una società così tecnologicamente avanzata e interconnessa come quella moderna, ogni nostra azione produce un dato e l’insieme dei dati costituisce un’informazione su di noi. Senza scomodare il nostro prezioso Codice della privacy, possiamo generalizzare affermando che esistono diversi tipi di dati e, quindi, diversi livelli di qualità di informazioni ottenibili, e non si può negare che tra queste, quelle sicuramente a cui teniamo di più, sono quelle afferenti alla nostra vita privata. La sensibilità su tale aspetto è molto alta qualunque sia la nazione in cui siamo nati. In tal senso uno strumento legislativo che consenta la memorizzazione dei nostri dati a livello centralizzato, da cui ottenere appunto informazioni, è visto con preoccupazione.
La direttiva europea 2006/24/CE, che imponeva agli stati membri di recepire alcune indicazioni relative alla conservazione di dati generali o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, è stata una direttiva molto discussa e contestata. Utilizziamo il verbo al passato, perché la Corte di giustizia europea, pronunciandosi l’8 aprile 2014 su due cause, in cui la stessa era adita in via pregiudiziale di una questione vertente sulla validità della direttiva, ha invalidato di fatto la stessa.
Grande soddisfazione è stata manifestata immediatamente dalla Corte europea dei diritti dell’uomo che, ripetutamente in precedenza, aveva dichiarato che la memorizzazione da parte di un’autorità pubblica di dati attinenti alla vita privata di un individuo rappresenta, con le parole dell’avvocato generale, “un’ingerenza di vasta portata e di particolare gravità nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale”. In realtà, non è solo questo il motivo per cui la direttiva è stata dichiarata invalida.
La Corte ha valutato se il legislatore dell’Unione ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità sotto i seguenti profili: idoneità della conservazione dati, necessità della conservazione, livello di ingerenza, controllo dell’accesso ai dati, periodo di conservazione.
In merito all’idoneità della conservazione dei dati, la Corte rileva che ”[…] tenuto conto della crescente importanza dei mezzi di comunicazione elettronica, i dati che debbono essere conservati in attuazione della detta direttiva permettono alle autorità nazionali competenti in materia di perseguimento di reati di disporre di possibilità supplementari di accertamento dei reati gravi e, al riguardo, costituiscono quindi uno strumento utile per le indagini penali. Pertanto, la conservazione dei suddetti dati può essere considerata come idonea a realizzare l’obiettivo perseguito dalla suddetta direttiva.” Mentre in merito alla necessità della conservazione dei dati, la Corte deve constatare che “[…] la lotta contro la criminalità grave, in particolare contro la criminalità organizzata e il terrorismo, è di capitale importanza per garantire la sicurezza pubblica e la sua efficacia può dipendere in larga misura dall’uso delle moderne tecniche di indagine. Tuttavia, simile obiettivo di interesse generale, per quanto fondamentale, non può di per sé giustificare il fatto che una misura di conservazione, come quella istituita dalla direttiva 2006/24, sia considerata necessaria ai fini della suddetta lotta.”
Se la Corte ha ritenuto la conservazione dei dati imposta dalla Direttiva come idonea e necessaria, dall’altra parte ha rilevato alcuni importanti limiti. L’ingerenza è estesa alla quasi totalità della popolazione europea, poiché la direttiva comprende tutti i dati relativi al traffico riguardante tutti i mezzi di comunicazione elettronica, senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi.
Inoltre, la direttiva non prevede alcun criterio oggettivo che permetta di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, non contiene cioè le condizioni sostanziali e procedurali ad esso relative. “In particolare, la direttiva 2006/24 non prevede alcun criterio oggettivo che permetta di limitare il numero di persone che dispongono dell’autorizzazione di accesso e di uso ulteriore dei dati conservati a quanto strettamente necessario alla luce dell’obiettivo perseguito. Soprattutto, l’accesso ai dati conservati da parte delle autorità nazionali competenti non è subordinato ad un previo controllo effettuato da un giudice o da un’entità amministrativa indipendente la cui decisione sia diretta a limitare l’accesso ai dati e il loro uso a quanto strettamente necessario per raggiungere l’obiettivo perseguito e intervenga a seguito di una richiesta motivata delle suddette autorità presentata nell’ambito di procedure di prevenzione, di accertamento o di indagini penali. Non è neppure stato previsto un obbligo preciso degli Stati membri volto a stabilire simili limitazioni.”
Per di più, per quanto riguarda le norme sulla sicurezza e sulla protezione dei dati conservati dai fornitori di servizi di comunicazione elettronica “[…] L’articolo 7 della direttiva 2006/24, in combinato disposto con gli articoli 4, paragrafo 1, della direttiva 2002/58 e 17, paragrafo 1, secondo comma, della direttiva 95/46, non garantisce che sia applicato dai detti fornitori un livello particolarmente elevato di protezione e di sicurezza attraverso misure tecniche e organizzative, ma autorizza in particolare i suddetti fornitori a tener conto di considerazioni economiche nel determinare il livello di sicurezza da essi applicato, per quanto riguarda i costi di attuazione delle misure di sicurezza.” Ed ancora più grave, “tale direttiva non impone che i dati di cui trattasi siano conservati sul territorio dell’Unione, e di conseguenza non si può ritenere pienamente garantito il controllo da parte di un’autorità indipendente, esplicitamente richiesto dall’articolo 8, paragrafo 3, della Carta”. Ed è questo il punto che, a mio parere, conta di più ai fini della disamina della sentenza; non a caso così continua il Garante nel suo commento: “Con la sua decisione la Corte sottolinea, inoltre, l’esigenza che i dati oggetto di conservazione per ragioni di giustizia restino nel territorio dell’ Ue con evidente riferimento alle recenti vicende del Datagate” (1).
Infine, l’art. 6 della direttiva 2006/24 imponeva la conservazione dei dati non per un periodo preciso e comune a tutti gli Stati, ma valutabile tra un minimo di 6 mesi ed un massimo di 24 mesi, senza distinzione tra le categorie di dati a seconda della loro eventuale utilità ai fini dell’obiettivo perseguito o a seconda delle persone interessate. Sotto questo profilo la direttiva è stata così recepita in modo non uniforme dagli Stati, evidenziando quindi il fallimento dell’obiettivo di armonizzazione della stessa. Si è realizzata una diversità di fatto tra gli utenti dei servizi degli operatori che svolgono la loro attività nei diversi stati membri: ci sono cittadini europei che hanno i propri dati di traffico telefonico conservati per 24 mesi, ed altri, residenti in altri stati, che hanno i medesimi dati conservati per 6 mesi, il tutto per gli stessi obiettivi comuni dichiarati dalla Direttiva.
E adesso cosa succederà per gli Stati che avevano recepito la direttiva? Noi tutti potremo telefonare, scrivere email, inviare sms, navigare su internet, sapendo che – dal giorno dopo la sentenza – nessun operatore conserverà più i nostri dati? No, assolutamente non è cambiato nulla, i dati continueranno ad essere raccolti, conservati ed utilizzati per combattere la criminalità, a meno che lo stesso legislatore nazionale non cambi la legge. In Inghilterra, ad esempio, il governo si è affrettato a confermare verso gli operatori di telecomunicazioni che la legge non è abrogata e che il vincolo della conservazione rimane(2).
D’altra parte, se la direttiva è stata recepita in forma di legge, serve un’azione di analogo rango per il cambiamento, che potrà essere verosimilmente nel verso dell’abrogazione o nel verso del recepimento di una nuova direttiva, creata sulla precedente e compatibile con la Carta dei diritti fondamentali dell’Unione europea. Se vogliamo, questo è il vero punto critico, perché il legislatore dell’Unione dovrebbe affrettarsi nel formulare una nuova direttiva prima che tutti i giudici nazionali risolvano la causa conformemente alla decisione della Corte, così come è già avvenuto in Austria(3). La stessa Corte rende noto che il rinvio pregiudiziale non consente alla Corte stessa di risolvere la controversia nazionale. In questo caso, quindi, la decisione del giudice nazionale vincolerà egualmente gli altri giudici nazionali, ai quali venga sottoposto un problema simile.
In tal senso vale formulare un appello al legislatore italiano ad intervenire il più presto possibile poiché, pur comprendendo l’opportunità di attendere una nuova direttiva, la norma in vigore con la quale la direttiva è stata recepita e che adesso, per effetto della sentenza, non rispetta il diritto comunitario è – di fatto – incostituzionale per violazione dell’art. 117 della nostra Costituzione. ©
NOTE
- Cfr. http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3041401.
- Cfr. http://www.theguardian.com/technology/2014/jun/24/british-government-breaking-law-in-forcing-data-retention-by-companies.
- Cfr. http://www.networkworld.com/article/2401522/austrian-court-axes-data-retention-law-following-eu-high-court-ruling.html. ◊
