Il presente contributo ha ad oggetto l’analisi dello stato attuale della disciplina internazionale ed europea della data retention, a seguito delle pronunce adottate dalla Corte di giustizia UE nei casi Privacy International e La Quadrature du Net. La prima parte del saggio è incentrata sull’analisi della prassi giurisprudenziale della Corte di Lussemburgo precedente a tali pronunce, volta all’affermazione della incompatibilità assoluta della raccolta generalizzata dei dati delle telecomunicazioni in base alla pertinente normativa europea posta a tutela della vita privata e dei dati personali. La seconda parte è dedicata all’esame critico delle sentenze in discussione, sottolineandone tanto le luci quanto le ombre. Difatti, soprattutto nel caso La Quadrature du Net, i giudici di Lussemburgo, in controtendenza rispetto al passato, hanno sancito la legittimità della conservazione indifferenziata e generalizzata dei dati personali. Questo approccio pone numerose problematiche con riguardo al rispetto delle garanzie sottese agli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Nella terza parte sono svolte le conclusioni ed identificate le prospettive conseguenti al nuovo orientamento espresso dalla Corte di giustizia, relative sia alla futura regolamentazione europea della data retention sia al trasferimento dei dati dall’Unione europea al Regno Unito nel post Brexit.
This contribution deals with the analysis of the current state of the international and European data retention regime, following the judgments adopted by the EU Court of Justice in the Privacy International and La Quadrature du Net cases. The first part of the essay focuses on the analysis of the Luxembourg Court case-law prior to such judgments, that has been aimed at stressing the absolute incompatibility of the generalized collection of telecommunications data under the relevant EU law protecting privacy and personal data. The second part is dedicated to the critical examination of the judgments at issue, emphasizing their lights and shadows. Indeed, especially in the La Quadrature du Net case, the EU Court, differently from the past, has affirmed the legality of the general and indiscriminate data retention. This approach raises several problems in terms of compliance with Articles 7 and 8 of the Charter of Fundamental Rights of the European Union. The third part contains the conclusions and identifies the perspectives resulting from the new orientation expressed by the Court of Justice, regarding both the future European regulation of data retention and the data transfers from the European Union to the United Kingdom in the post-Brexit era.
Keywords
Generalized and Indiscriminate Data Retention – Right to Private Life – Right to Data Protection – EU Charter of Fundamental Rights – EU Court of Justice.
Articoli Correlati: data retention - diritto alla tutela della vita privata
I. Introduzione e piano dell’indagine - II. La giurisprudenza della Corte di giustizia dell’Unione europea sul tema della sorveglianza delle comunicazioni precedente ai casi Privacy International e La Quadrature du Net - III. (Segue): La decisione Digital Rights Ireland: l’annullamento della direttiva sulla data retention e la mancata espressa condanna della conservazione generalizzata dei dati personali - IV. (Segue): La sentenza Tele2 Sverige: il divieto assoluto della conservazione massiva dei dati personali e l’identificazione precisa degli elementi caratterizzanti la raccolta mirata. Le pronunce Schrems I e II - V. Le decisioni adottate nei casi Privacy International e La Quadrature du Net - VI. (Segue): I fatti all’origine della controversia e le questioni pregiudiziali sollevate innanzi alla Corte di giustizia dell’Unione europea - VII. (Segue): La portata applicativa della Direttiva n. 2002/58: la riconduzione nell’ambito della stessa delle attività di trattamento dei dati realizzato sia dai fornitori di servizi di comunicazione sia dalle agenzie di sicurezza nazionale - VIII. (Segue): I criteri informatori alla base dell’interpretazione dell’articolo 15 della Direttiva n. 2002/58: l’approccio ermeneutico fondato sulla protezione dei diritti umani, sul contemperamento tra interessi contrapposti e sul principio di proporzionalità - IX. (Segue): Il divieto della conservazione generalizzata ed indifferenziata dei dati (di traffico e relativi all’ubicazione) quale regola generale sottoposta ad eccezioni. La legittimazione della sorveglianza di massa - X. (Segue): La legittimazione della conservazione generalizzata e indifferenziata degli indirizzi IP e dei dati relativi all’identità civile - XI. (Segue): L’ammissibilità della conservazione rapida ed in tempo reale dei dati di traffico e di quelli relativi all’ubicazione - XII. (Segue): L’ammissibilità delle prove acquisite in base ad una misura di conservazione generalizzata di dati contraria al diritto dell’Unione europea - XIII. (Segue): Le poche luci e le tante ombre delle sentenze Privacy International e La Quadrature du Net. Le prospettive di un cambio di paradigma a livello UE con riguardo al rapporto tra privacy e sicurezza e di un livellamento tra Corte UE e Corte di Strasburgo in materia di protezione dei dati personali. Le pronunce Centrum för Rättvisa e Big Brother Watch della CEDU - XIV. Conclusioni e prospettive: l’auspicio di una riaffermazione dei principi espressi nella precedente giurisprudenza ed i possibili effetti delle decisioni esaminate sulla futura disciplina europea della data retention e sulla trasmissione dei dati dall’UE al Regno Unito nel post Brexit - NOTE
Oggetto del presente lavoro è l’analisi dello stato attuale della disciplina internazionale ed europea della data retention, a seguito delle due sentenze adottate dalla Corte di giustizia UE nei casi Privacy International e La Quadrature du Net. La prima parte del contributo è dedicata all’esame dell’orientamento giurisprudenziale antecedente a dette sentenze, teso in particolare all’affermazione della incompatibilità assoluta della conservazione generalizzata dei dati delle telecomunicazioni in base alla pertinente normativa europea in materia di tutela delle informazioni personali [1]. La seconda parte è rivolta all’approfondimento critico delle decisioni in questione, attraverso l’analisi dei principi di diritto in esse sanciti, mettendone in evidenza non solo gli aspetti positivi, ma anche e soprattutto i profili di criticità. Infatti, in particolar modo nel caso La Quadrature du Net, i giudici di Lussemburgo, se da un canto, tendono a confermare l’approccio precedentemente espresso in passato, dall’altro, se ne discostano in maniera significativa, in quanto affermano la legittimità della conservazione indifferenziata di ampie categorie di dati delle telecomunicazioni; circostanza, questa, che pone non pochi problemi con riguardo alla salvaguardia delle situazioni giuridiche individuali contemplate dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, messe a repentaglio dalle misure notevolmente invasive della privacy individuale adottate dalle autorità pubbliche per finalità di contrasto a forme gravi di criminalità ed al terrorismo [2]. Nella terza parte sono svolte le conclusioni ed individuate le prospettive conseguenti al nuovo approccio espresso dalla Corte di giustizia – maggiormente attento al soddisfacimento delle esigenze di sicurezza nazionale – con riferimento sia alla futura disciplina europea della data retention sia alla trasmissione dei dati dall’Unione europea al Regno Unito nel post Brexit [3].
La prima sentenza della Corte di Lussemburgo in tema di raccolta dei dati di traffico è costituita dalla nota decisione resa nel 2014 nel caso Digital Rights Ireland, in cui il regime di conservazione istituito dalla Direttiva n. 2006/24 [4] (cd. direttiva sulla data retention) fu ritenuto incompatibile con la pertinente normativa UE sulla salvaguardia delle informazioni personali e della vita privata. La Corte, pur considerando la direttiva in esame inidonea a pregiudicare il contenuto essenziale sia del diritto alla vita privata – in quanto essa, pur prevedendo un’ingerenza grave in tale diritto, escludeva dall’oggetto della sorveglianza il contenuto delle comunicazioni elettroniche – sia del diritto alla protezione dei dati personali – in ragione del fatto che la direttiva medesima imponeva agli Stati membri l’adozione di adeguate misure tecniche e organizzative, con l’obiettivo di evitare “la distruzione accidentale o illecita, la perdita o l’alterazione accidentale dei dati” [5] – si pronunciò per il suo annullamento [6]. Ciò, alla luce della circostanza che l’atto normativo in discussione, ammettendo una raccolta indiscriminata e diffusa delle telecomunicazioni, si poneva in contrasto con i principi europei di proporzionalità, necessità e finalità limitata dei dati ed andava a compromettere gravemente le garanzie sottese ai diritti alla privacy ed alla tutela dei dati personali, previsti rispettivamente dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea [7].
Nonostante debba riconoscersi notevole importanza alla sentenza Digital Rights Ireland – in quanto ha rafforzato la salvaguardia delle situazioni giuridiche in questione nell’ordinamento giuridico europeo successivamente all’entrata in vigore del Trattato di Lisbona –, va nondimeno evidenziato che la stessa soffriva di alcune criticità, essendo caratterizzata da profili di particolare incertezza giuridica. In questa decisione, infatti, la Corte UE non condannò espressamente la conservazione generalizzata dei dati personali per finalità di contrasto alla criminalità né identificò le garanzie, procedurali e sostanziali, tese a sovraintendere alla realizzazione di siffatta conservazione [8]. Detta incertezza risultò evidente anche dall’atteggiamento di inerzia e riluttanza di molte autorità statali con riguardo alla esecuzione della pronuncia all’interno dei propri sistemi giuridici [9]. Da un lato, infatti, in alcuni Stati la modifica o l’annullamento delle normative nazionali attuative della Direttiva n. 2006/24 non furono spesso l’effetto diretto dell’attività statale, ma furono piuttosto indotte dalla proposizione di ricorsi da parte di organizzazioni non governative innanzi alle corti interne, volti a chiedere ai rispettivi governi di conformarsi ai parametri sanciti nella decisione Digital Rights Ireland [10]. Dall’altro, un elevato numero di Stati decise di mantenere in vigore il regime sulla data retention preesistente alla sentenza in esame, non attenendosi, in tal modo, alla stessa e violando in definitiva gli obblighi ad essi imposti in base al diritto dell’Unione europea [11].
Nel 2016 la Corte UE ha reso la storica decisione nel caso Tele2 Sverige, che rappresenta non solo il leading case in materia [12], ma anche un’evoluzione della pronuncia Digital Rights Irleand [13], in quanto ha chiarito alcuni principi di diritto non adeguatamente definiti nella medesima. Se la sentenza del 2014 concerneva la direttiva sulla data retention, quella del 2016 riguardava invece la Direttiva n. 2002/58 relativa al trattamento delle informazioni personali e della tutela della vita privata nel settore delle comunicazioni elettroniche, segnatamente l’articolo 15 della stessa, che consente agli Stati membri di adottare misure legislative in deroga ai principi sottesi alla protezione della privacy individuale con l’obiettivo di salvaguardare la sicurezza nazionale e pubblica e di contrastare e prevenire reati [14]. Nel caso Tele2 Sverige la Corte di giustizia si è espressa con chiarezza meridiana per l’illegittimità – assoluta e senza eccezioni – della conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e di quelli relativi all’ubicazione della totalità degli abbonati e degli utenti iscritti concernente tutti i mezzi di comunicazione elettronica per finalità di contrasto alle forme di criminalità grave [15]. Ciò, alla luce di una serie di ragioni precise e dettagliate, poiché, secondo i giudici di Lussemburgo, tale conservazione: comporta un’ingerenza di vasta portata e particolarmente grave nei diritti alla vita privata e delle informazioni personali delle persone che vi siano soggette [16]; non prevede nessuna differenziazione, limitazione o eccezione in considerazione dell’obiettivo perseguito; non richiede alcun collegamento tra i dati oggetto di trattamento e conservazione e una minaccia per la sicurezza pubblica [17]; non è circoscritta a dati relativi ad un periodo di tempo, ad una zona geografica, o ad un gruppo di persone suscettibili di essere coinvolte nella commissione di un reato grave [18]. Pertanto, in base alla ricostruzione offerta dai giudici europei, la raccolta in esame, eccedendo i limiti dello stretto necessario, non può considerarsi giustificata in una società democratica, così come prescritto sia dall’art. 15, par. 1, della Direttiva n. 2002/58, letto alla luce degli artt. 7, 8 e 11 della Carta [continua ..]
I fatti e le problematiche giuridiche all’origine delle controversie che hanno dato luogo all’adozione delle due citate sentenze della Corte di Lussemburgo si snodano intorno alla sottoposizione innanzi alla stessa di una serie di questioni pregiudiziali da parte di varie autorità giurisdizionali interne, attinenti all’interpretazione dell’articolo 15 della Direttiva n. 2002/58. Siffatte questioni ineriscono in buona sostanza alla conformità alla rilevante normativa europea in materia di privacy dell’uso e dell’accesso, da parte delle autorità di intelligence e di sicurezza nazionali, ai dati inizialmente immagazzinati dalle società di comunicazioni per finalità commerciali [29]. Più precisamente, il caso Privacy International deriva da un ricorso presentato nel 2015 davanti all’Investigatory Powers Tribunal dalla Privacy International (un’organizzazione non governativa), contro il governo britannico (segnatamente, il Ministro degli Affari Esteri e del Commonwealth ed il Ministro dell’Interno) ed i servizi di sicurezza e di intelligence del Regno Unito (vale a dire, il GCHQ, il MI5 ed il MI6), in merito alla compatibilità con il diritto dell’Unione europea della realizzazione da parte di detti servizi di attività di conservazione e utilizzo di dati concernenti comunicazioni di massa. Peraltro, i casi riuniti La Quadrature du Net e altri, French Data Network e altri e Ordre des Baareaux francophones e altri (in seguito La Quadrature du Net) riguardano numerose e complesse questioni pregiudiziali sollevate vuoi dal Conseil d’Etat francese vuoi dalla Cour Costitutionnelle belga nell’ambito di diversi ricorsi promossi da alcune organizzazioni di categoria, francesi e belghe, contro i rispettivi governi. In particolare, tali organizzazioni contestavano dinanzi alle indicate corti supreme nazionali l’illegittimità delle normative francesi e belghe tese a regolamentare la raccolta, il trattamento e l’uso delle comunicazioni elettroniche, che si concretavano in definitiva in una conservazione generalizzata e diffusa delle informazioni personali in difformità ai parametri contemplati dal diritto UE. Ciò, alla luce della previsione all’interno delle normative medesime dell’obbligo a carico dei fornitori dei servizi di comunicazione tanto di comunicare i dati di traffico e quelli [continua ..]
In tale contesto è possibile, mediante un’opera di sintesi e schematizzazione, riassumere le variegate questioni pregiudiziali sollevate davanti ai giudici di Lussemburgo dalle varie autorità giurisdizionali menzionate. Più esattamente, nei casi Privacy International e La Quadrature du Net è stato richiesto a detti giudici se: 1) la raccolta e l’utilizzo dei dati delle comunicazioni da parte delle autorità nazionali di sicurezza e di intelligence rientrino nel campo di applicazione della Direttiva n. 2002/58; 2) la conservazione generalizzata ed indifferenziata dei dati di traffico e di quelli relativi all’ubicazione rappresenti una misura rispettosa dell’articolo 15 della direttiva indicata. Nel solo caso La Quadrature du Net sono state, inoltre, sollevate ulteriori questioni pregiudiziali alla Corte di giustizia, in particolare se: 1) la conservazione preventiva di alcuni dati di identificazione – tra cui, gli indirizzi IP ed i dati relativi all’identità civile –, così come la raccolta in tempo reale dei dati relativi al traffico e di quelli relativi all’ubicazione di soggetti determinati, costituiscano misure giustificate ai sensi della disposizione citata; 2) le prove acquisite attraverso una conservazione generalizzata dei dati di traffico e dei dati relativi all’ubicazione, incompatibile con il diritto dell’Unione europea, possano essere oggetto di valutazione da parte del giudice interno nell’ambito di un procedimento penale.
Preliminarmente, la Corte di giustizia si interroga sulla portata della Direttiva n. 2002/58, chiedendosi se essa trovi applicazione nei confronti delle attività poste in essere dalle agenzie di sicurezza nazionale. Tale profilo è particolarmente interessante, in quanto attiene alla tematica della conservazione e del trattamento delle informazioni personali in rapporto al tema della distribuzione delle competenze tra Stati Membri e Unione europea nel settore della sicurezza nazionale. A questo riguardo, va sottolineato che la direttiva, da un canto, esclude dal suo ambito applicativo le attività dello Stato realizzate nel settore del diritto penale e quelle concernenti la sicurezza pubblica, la difesa e la sicurezza dello Stato medesimo [30]; dall’altro, afferma che nella sua portata vada ricondotto il “trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica” [31]. In siffatto contesto pare opportuno fare riferimento all’art. 4, par. 2, TUE che conferisce a ciascuno Stato membro l’esclusiva competenza in materia di sicurezza nazionale [32]. Alla luce di ciò, durante i procedimenti in questione tanto gli Stati convenuti quanto quelli intervenienti hanno rivendicato la propria autonomia in detto settore, invocando l’inapplicabilità della direttiva in esame alle normative controverse, avendo le stesse ad oggetto la tutela della sicurezza pubblica [33]. Viceversa, secondo la Corte di Lussemburgo, tali normative, laddove disciplinano le attività dei fornitori dei servizi di comunicazione elettronica – imponendo agli stessi sia di conservare i dati personali sia di consentire l’accesso a questi ultimi da parte delle autorità pubbliche – non sono configurabili alla stregua di attività proprie degli Stati ex articolo 1 della Direttiva n. 2002/58, ma piuttosto, concretizzandosi in un trattamento di informazioni personali ai sensi dell’art. 3 della direttiva medesima, rientrano nel suo ambito di applicazione [34]. Siffatta conclusione non risulta essere disattesa dalla formulazione dell’art. 4, par. 2, TUE, in quanto la mera circostanza che una legge interna sia stata emanata con l’obiettivo di salvaguardare la sicurezza nazionale non è idonea a giustificare l’inapplicabilità del diritto UE in tale determinato settore. [35] Le [continua ..]
Avendo, dunque, definito l’ambito applicativo della Direttiva n. 2002/58 nel senso anzidetto, i giudici di Lussemburgo passano ad analizzare le molteplici questioni pregiudiziali sottoposte al loro vaglio, riguardanti prevalentemente la conformità della conservazione di una serie variegata di dati personali concernenti le comunicazioni elettroniche – e, cioè, i dati di traffico, quelli relativi all’ubicazione, gli indirizzi IP ed i dati relativi all’identità civile – con il diritto dell’Unione europea, segnatamente con l’articolo 15 della direttiva in esame. Di conseguenza, viene preliminarmente proposta un’interpretazione di siffatta disposizione basata su taluni parametri chiave: le finalità ed i principi ad essa sottesi; l’adeguato contemperamento tra le situazioni giuridiche interessate dalla raccolta dei dati ispirato alla tutela dei diritti umani previsti dalla Carta di Nizza; il rispetto del requisito di proporzionalità; il bilanciamento tra l’importanza dell’obiettivo di interesse generale perseguito dalla ingerenza nel diritto alla vita privata e la gravità di quest’ultima. Più precisamente, viene statuito che se è vero che la finalità sottesa alla direttiva in oggetto consiste nella protezione degli utenti dei servizi di comunicazione elettronica dai rischi connessi all’avvento delle nuove tecnologie [39] e che la stessa è fondata su alcuni principi cardine – ovvero, il principio di riservatezza delle comunicazioni e quello di cancellazione ed anonimizzazione delle informazioni personali successivamente al loro trattamento e memorizzazione [40] –, è peraltro vero che l’articolo 15 consente agli Stati di adottare normative che deroghino a siffatti principi, sempre che tale deroga rappresenti una “misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica e per la prevenzione, ricerca, accertamento e perseguimento dei reati” [41]. La Corte subordina la legittimità di detta misura all’osservanza da parte della stessa di due requisiti fondamentali, espressione dei principi generali del diritto UE: i diritti umani fondamentali disciplinati dalla Carta UE ed il principio di proporzionalità [42]. [continua ..]
Per quanto attiene alla legittimità della raccolta dei dati di traffico e di quelli relativi all’ubicazione [49], la Corte opera una distinzione a seconda delle finalità perseguite dalla stessa, che non aveva mai proposto prima nella sua precedente giurisprudenza. Con riguardo all’obiettivo della sicurezza pubblica, la Corte si esprime chiaramente nel senso della illegittimità in base al diritto dell’UE della conservazione generalizzata ed indifferenziata dei dati realizzata per conseguire siffatto obiettivo. Ciò, per il fatto che, contrariamente a quanto richiesto dall’articolo 15 della Direttiva n. 2002/58 e dagli articoli 7, 8 e 11 della Carta, la raccolta in esame comporta un’ingerenza grave nei diritti fondamentali protetti da codeste disposizioni, non limitata allo stretto necessario ed ingiustificata in una società democratica, essendo duratura nel tempo e nello spazio e concernendo indiscriminatamente la quasi totalità della popolazione, senza che sia riscontrabile alcun collegamento tra i dati raccolti e l’obiettivo perseguito [50]. Viceversa, viene affermato che la conservazione preventiva e mirata dei dati di traffico e relativi all’ubicazione, che riguardi specifiche persone, sia circoscritta a determinate categorie di informazioni personali e sia disposta per un delimitato periodo di tempo, risulta essere in conformità alla normativa citata [51]. In questo senso, sembrerebbe che la Corte abbia confermato appieno il suo percorso giurisprudenziale espresso nelle decisioni Digital Rights Ireland, Tele2 Sverige, Schrems I e II, volto alla valorizzazione della salvaguardia della vita privata e dei dati personali, allontanando ancor di più lo spettro della sorveglianza di massa ad opera dei servizi di intelligence e delle autorità di contrasto alla criminalità [52]. Tuttavia, dopo aver sancito espressamente il divieto della conservazione indifferenziata dei dati personali, i giudici europei cambiano passo e cominciano a disegnare un percorso, fondato sulle eccezioni a detto divieto [53], che si pone in controtendenza rispetto al passato e che tende a far rivivere istanze statali, per molti versi inclini alla raccolta, anche diffusa, delle informazioni personali per soddisfare esigenze di sicurezza nazionale. Infatti, nel caso La Quadrature du Net, con riguardo all’obiettivo della sicurezza nazionale, [continua ..]
Nel caso La Quadrature du Net, la Corte va oltre la sua precedente giurisprudenza in materia di raccolta e trattamento delle informazioni personali, nella misura in cui estende il novero delle categorie dei dati oggetto della sua valutazione agli indirizzi IP e ai dati relativi all’identità civile, chiedendosi, specificamente, se ed a quali condizioni la conservazione degli stessi sia compatibile con i rilevanti parametri consacrati dal diritto dell’Unione europea. Gli indirizzi IP, sebbene siano tecnicamente configurabili alla stregua di dati relativi al traffico, sono generati senza essere connessi ad una comunicazione definita e sono, altresì, strumentali ad individuare la persona fisica proprietaria di un’apparecchiatura da cui viene realizzata una comunicazione via Internet [59]. Laddove vengano raccolti unicamente gli indirizzi IP dell’origine della comunicazione e non quelli del destinatario della medesima, i medesimi non rivelano alcuna informazione sui terzi che entrano in contatto con la persona all’origine della comunicazione [60]. Cosicché, gli indirizzi in questione, differentemente dagli altri dati di traffico, sono caratterizzati da un grado di sensibilità minore. Peraltro, in ragione del fatto che siffatti indirizzi si presentano particolarmente utili a tracciare in maniera completa il percorso di navigazione di un utente – e, quindi, la sua intera attività online – permettendo di definirne il profilo dettagliato, la loro raccolta ed analisi sono tali da implicare ingerenze gravi nei diritti alla vita privata ed alla protezione dei dati degli interessati da codeste attività [61]. Ciononostante, secondo la Corte di giustizia, alla luce della idoneità degli indirizzi IP di contrastare forme gravi di criminalità e prevenire minacce gravi alla sicurezza pubblica e nazionale, la loro conservazione generalizzata e indifferenziata risulta essere giustificata ex art. 15 della Direttiva n. 2002/58 ed agli articoli 7, 8 e 52 della Carta UE, sempre che la stessa sia accompagnata da (non meglio precisate) “condizioni sostanziali e procedurali” volte a regolamentare l’uso dei dati in esame [62]. Simile conclusione viene raggiunta dai giudici di Lussemburgo anche con riguardo ai dati relativi all’identità civile, che forniscono informazioni personali minime degli utenti dei mezzi di [continua ..]
In questo contesto, va rilevato che la decisione Quadrature du Net rappresenta un ulteriore sviluppo rispetto alla rilevante giurisprudenza adottata in precedenza dalla Corte di Lussemburgo, in quanto si interroga per la prima volta sulla legittimità, in virtù della pertinente normativa europea, della conservazione sia rapida sia in tempo reale dei dati di traffico e dei dati relativi all’ubicazione. Quanto alla prima forma di raccolta, va evidenziato che in base alla Direttiva n. 2002/58 i dati in questione devono essere generalmente cancellati o distrutti nel momento in cui venga a scadenza il termine entro cui deve avvenire il loro trattamento e memorizzazione [66]. Tuttavia, secondo la Corte, detta direttiva non preclude che uno Stato membro possa adottare una normativa che disponga la conservazione rapida dei dati di traffico e di quelli relativi all’ubicazione, laddove si verifichino situazioni che rendano necessario raccogliere tali dati oltre il termine suddetto, al fine di indagare su reati gravi o attentati alla sicurezza nazionale; ovvero, non solo quando siffatti reati o attentati siano già stati accertati dalle autorità competenti, ma anche nel caso in cui la loro esistenza possa essere ragionevolmente sospettata [67]. A conferma di ciò, viene sottolineato che la conservazione rapida dei dati in discussione costituisce una pratica già prevista dalla Convenzione sulla criminalità informatica del Consiglio d’Europa del 2001, strumento pattizio ratificato dalla quasi totalità degli Stati membri UE (precisamente 25) [68]. In codesto ambito, i giudici di Lussemburgo stabiliscono che la raccolta in esame, implicando un’ingerenza grave nei diritti contemplati dagli articoli 7 e 8 della Carta di Nizza, deve essere soggetta ad un controllo giurisdizionale effettivo, limitata allo stretto necessario e durare per un periodo di tempo determinato [69]. Il ragionamento della Corte, tuttavia, non convince con riguardo a due profili, laddove, da una parte, ammette che il periodo di conservazione dei dati possa comunque essere prorogato “quando le circostanze e l’obiettivo perseguito (dalla stessa) lo giustifichino” [70], utilizzando una formula alquanto vaga che non vale a circoscrivere la durata (come anche il numero) delle possibili proroghe; dall’altra, non tiene conto dell’osservanza del criterio del [continua ..]
Infine, è opportuno analizzare il percorso delineato dalla Corte con riferimento ad un’importante questione procedurale, ossia quello dell’ammissibilità degli elementi di prova ottenuti mediante la conservazione dei dati generalizzata incompatibile con la pertinente normativa europea. A codesto riguardo, viene invocata la rilevanza del principio dell’autonomia procedurale, secondo cui l’ordinamento giuridico interno di ciascuno Stato definisce le modalità processuali dei ricorsi volti ad assicurare agli individui i diritti ad essi spettanti in virtù del diritto UE [74]. In considerazione di ciò, i giudici di Lussemburgo affermano che, anche in virtù del principio di effettività, la Direttiva n. 2002/58, letta alla luce della Carta di Nizza, impone al giudice penale nazionale di non tenere conto degli elementi di prova in esame, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate della commissione di reati, sempre che dette persone non siano in grado di prendere efficacemente posizione su tali elementi di prova [75]. Ciò significa, ragionando a contrario, che le prove ricavate da un’attività di raccolta indiscriminata posta in essere in violazione della Direttiva n. 2002/58 e degli artt. 7 e 8 della Carta sono valutabili da parte dall’organo giurisdizionale interno e, quindi, ammissibili in un procedimento penale, nel caso in cui la persona interessata dalla sorveglianza sia nelle condizioni di contestare la legittimità delle prove medesime. Secondo questo approccio, tra l’altro, la violazione del diritto alla vita privata e dei dati personali risultante dalla conservazione massiva non determinerebbe la lesione del diritto al giusto processo nei procedimenti penali, in quanto prove assunte illegittimamente potrebbero essere considerate ammissibili da parte dai tribunali penali nazionali, laddove sussistessero le condizioni testé indicate [76].
Le decisioni rese dalla Corte di giustizia nei casi Privacy International e La Quadrature du Net rappresentano pronunce di significativo rilievo, in quanto se, da un lato, sembrano inizialmente confermare quanto sancito nella pertinente giurisprudenza pregressa, dall’altro, se ne discostano fortemente, manifestando un cambio di approccio con riguardo alla tutela della privacy e delle informazioni personali [77]. Per un verso è bene evidenziare le (poche) luci che si intravvedono nelle sentenze in discussione. Innanzitutto, è da salutarsi positivamente la conferma della riconduzione nell’ambito della Direttiva n. 2002/58 delle attività realizzate dalle agenzie di sicurezza interna. In tal modo, la Corte ribadisce l’importante funzione svolta dall’UE, conferendo alla stessa una significativa responsabilità nella gestione del trattamento dei dati originariamente conservati dalle società di comunicazioni e successivamente utilizzati dalle autorità pubbliche e di intelligence per finalità legate alla sicurezza nazionale e/o pubblica, così da consentire alla stessa di porsi da argine agli abusi del potere statale, tendenzialmente incline ad approntare rigorose misure di contrasto alla criminalità, fortemente limitative della privacy individuale. È apprezzabile, inoltre, l’interpretazione proposta dai giudici europei dell’art. 15 della Direttiva n. 2002/58, ispirata alla salvaguardia dei diritti umani consacrati dagli artt. 7, 8 e 11 della Carta di Nizza ed al loro adeguato bilanciamento; interpretazione, questa, che si inquadra perfettamente nel contesto del consolidato orientamento espresso dall’Unione europea – specificamente dai giudici di Lussemburgo e dal Parlamento europeo –, volto ad attribuire una protezione rafforzata a siffatti diritti a fronte delle istanze statali tese alla tutela della sicurezza nazionale [78]. Tra l’altro, l’affermazione secondo cui nelle attività di valutazione della legittimità delle attività di trattamento dei dati personali in base al diritto UE, occorre riconoscere particolare salvaguardia ai diritti alla vita privata ed alla protezione dei dati, senza che sia necessario operare un contemperamento tra gli stessi e il diritto alla sicurezza individuale, costituisce un’evoluzione giurisprudenziale di non poco momento, che tende a chiarire un profilo in [continua ..]
Per quanto riguarda le prospettive relative al trattamento ed alla raccolta dei dati nel settore delle comunicazioni successive all’adozione delle pronunce Privacy International e La Quadrature du Net, è auspicabile che nell’immediato futuro la Corte di Lussemburgo torni sui suoi passi, ripercorrendo i sentieri tracciati con le sentenze Digital Rights Ireland, Tele 2 Sverige, Schrems I e II, negando legittimazione alla conservazione generalizzata ed indiscriminata delle informazioni personali, in precedenza considerata inequivocabilmente incompatibile con i principi europei sulla protezione dei dati – segnatamente quelli di proporzionalità, necessità e finalità limitata – e gli artt. 7 e 8 della Carta di Nizza. Laddove la situazione permanesse quella attuale e non si verificasse un cambio di rotta nel senso indicato – e fosse dunque ulteriormente confermato il cambio di paradigma della salvaguardia della privacy e dei dati personali evidenziato poc’anzi [87] –, appare opportuno valutare gli effetti della decisione in questione con riguardo sia alla futura regolamentazione della data retention in Europa sia alla trasmissione dei dati dall’UE verso Paesi terzi, in particolar modo verso il Regno Unito. Per quanto attiene al primo aspetto, va osservato che la pronuncia resa nel caso La Quadrature du Net è stata adottata in un periodo in cui si prospetta un significativo cambio di regolamentazione del regime della raccolta delle informazioni personali a livello interno ed europeo [88]. Nel maggio 2019, difatti, il Consiglio dell’Unione europea ha portato a conclusione il processo di riflessione sulla conservazione dei dati per finalità di lotta contro la criminalità avviato nel 2017, chiedendo alla Commissione di rielaborare la normativa europea sulla data retention in senso unitario ed omogeneo [89]. Ciò, alla luce tanto della necessità che le autorità nazionali di polizia e giudiziarie ottengano la disponibilità di molte categorie di dati per contrastare efficacemente le gravi forme di criminalità ed il terrorismo quanto del rilievo che l’esistenza di norme giuridiche differenti tra gli Stati membri in siffatto settore è idonea ad incidere negativamente sulla cooperazione e sullo scambio di informazioni tra le autorità competenti nei casi transfrontalieri [90]. Secondo il Consiglio [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
EISSN 2465-2474 / ISSN 1125-8551 - Il Diritto dell'Unione Europea (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
