La disciplina della data retention e del successivo accesso ai dati di traffico da parte delle autorità nazionali rende evidente la difficoltà di comporre il conflitto tra due opposte esigenze: la tutela dei dati personali dell’utente e l’esigenza di assicurare la sicurezza della collettività. La complessità del tema e degli interessi ad esso sottesi hanno spinto gli Stati membri ad adire la CGUE al fine di individuare le condizioni e i presupposti che consentano di adottare misure nazionali conservative dei dati nonché di garantirne il successivo accesso. Il presente contributo ha lo scopo di analizzare la giurisprudenza UE e di evidenziare da un lato, come la Corte abbia tutelato i diritti degli utenti anche di fronte ad esigenze di sicurezza collettiva; dall’altro che, nonostante la copiosa giurisprudenza, permangono interrogativi in merito ai quali essa ancora non si è pronunciata.
Data retention regime and any subsequent access to traffic data by national authorities make clear the difficulty of balancing the conflict between two opposite interests: the user’s personal data protection and the need to ensure society security as a whole. The complexity of the issue and the related interests have led Member States to refer the question to the CJEU to identify the conditions and prerequisites under which national retention measures can be taken and following access guaranteed. This contribution deals with the analysis of EU case law and demonstrate, on the one hand, how the Court has protected the rights of users despite the collective security necessities; on the other hand, regardless of a significant case law, there are still questions on which the Court has not yet stated.
I. Cenni introduttivi - II. I dati di traffico: la possibilità di una conservazione generalizzata - III. Segue. La conservazione come strumento di lotta alla criminalità grave e di salvaguardia della sicurezza pubblica - IV. L’accesso ai dati da parte delle autorità nazionali: i requisiti sostanziali - V. L’accesso generalizzato ai dati - VI. L’accesso ai dati: i requisiti procedurali - VII. Gli effetti delle sentenze della Corte di giustizia. Quale impatto sulle norme nazionali? - VIII. Riflessioni conclusive - NOTE
Nell’ultimo decennio, la Corte di giustizia dell’Unione europea si è più volte pronunciata in relazione alla disciplina della conservazione dei dati di traffico telefonico (c.d. data retention) e del successivo accesso a questi ultimi da parte delle autorità statali per finalità di prevenzione, accertamento e contrasto della criminalità. Le questioni sottoposte al vaglio della Corte ineriscono principalmente all’interpretazione dell’art. 15 della direttiva 2002/58 (nel prosieguo direttiva e-Privacy) [1] il quale, fermo il generale divieto di conservazione dei dati provenienti da comunicazioni telefoniche, consente agli Stati membri la possibilità di adottare disposizioni volte a limitare siffatto divieto «qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica». La disposizione, invero generica, pur prevedendo la possibilità di deroga all’obbligo di cancellazione dei dati da parte dei fornitori di servizi di telefonia, non correda questa facoltà da alcuna specifica limitazione richiamando soltanto in via generale i principi di necessità, opportunità e proporzionalità. La vaghezza nella formulazione dell’art. 15 della direttiva e-Privacy ha determinato notevoli difficoltà interpretative, nonché l’adozione di discipline statali traspositive tutt’altro che omogenee [2]. Il frammentato panorama normativo nazionale così venutosi a creare, e con esso la moltitudine di obblighi differenziati a carico degli operatori di servizi di telefonia appartenenti ai diversi Stati membri, ha provocato un notevole attivismo della Corte di giustizia, adita al fine di individuare condizioni uniformi che consentano la conservazione e l’accesso ai dati. La rilevanza e la delicatezza del ruolo di cui è stata investita la Corte di giustizia è evidente considerando, da un lato, le potenzialità che derivano dall’impiego dei dati di traffico nelle operazioni di tutela della sicurezza collettiva; dall’altro, le possibili ingerenze nel diritto alla tutela della vita privata degli utenti. La conservazione dei dati di traffico, unitamente alla disponibilità di sistemi automatizzati di analisi degli [continua ..]
La nota sentenza Digital Rights Ireland [9] ha inaugurato il lungo percorso giurisprudenziale in materia di data retention. Con tale pronuncia la Corte ha dichiarato invalida l’allora direttiva 2006/24/CE (c.d. direttiva “Frattini” o “data retention”) [10] per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza. La normativa in questione prevedeva l’obbligo, per chiunque gestisse servizi di comunicazione, di conservare tutti i dati relativi alle comunicazioni, senza alcun tipo di limitazione, per un periodo di durata pari ad un minimo di sei mesi e ad un massimo di due anni [11]. Consentendo una conservazione generalizzata – vale a dire riguardante tutti i mezzi di comunicazione elettronica, i dati da essi prodotti e i relativi utenti coinvolti (c.d. bulk data retention) [12] – la direttiva comportava una ingerenza nei diritti alla riservatezza e alla protezione dei dati (artt. 7 e 8 Carta di Nizza) non limitata a quanto strettamente necessario per fronteggiare esigenze di pubblica sicurezza. Tale direttiva, secondo la Corte, avrebbe dovuto prevedere, in luogo di una conservazione generalizzata, «regole chiare e precise disciplinanti la portata e l’applicazione della misura restrittiva e imporre requisiti minimi in modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati» [13]. Annullando la direttiva 2006/24/CE, la Corte ha affermato dunque la contrarietà alla Carta di forme di retention generalizzata ritenendo, invece, compatibile con gli arrtt. 7 e 8 CDFUE «una conservazione limitata ad un determinato periodo di tempo e/o ad un’area geografica determinata e/o ad una cerchia di persone determinate che possano essere coinvolte, in un modo o nell’altro, in un reato grave, o alle persone la conservazione dei cui dati, per altri motivi, potrebbe contribuire alla prevenzione, accertamento o perseguimento di reati gravi (cd. target data retention)» [14]. A partire dalla sentenza Digital Rights Ireland, la Corte di giustizia ha seguito il medesimo orientamento giurisprudenziale escludendo, in via di principio, la possibilità per gli [continua ..]
Seppur con la difficoltà di circoscriverne la nozione, la possibilità di una conservazione generalizzata è ammessa dalla Corte soltanto in presenza di una minaccia grave alla sicurezza nazionale [27]. La ratio di questo approccio risiede nel fatto che, a differenza di fenomeni di criminalità – anche significativi – o di fatti che turbino la pubblica sicurezza, una minaccia per la sicurezza nazionale presuppone il verificarsi di circostanze particolarmente gravi, circostanziate e concrete [28]. Proprio questa ratio suggerisce alla Corte di mantenere un approccio più rigido in presenza di esigenze di lotta a forme, pur gravi, di criminalità. Se gli Stati membri, infatti, potessero utilizzare la conservazione generalizzata per la repressione di attività legate alla criminalità in senso lato o alla tutela della sicurezza pubblica, risulterebbe violato il principio di proporzionalità: tali obiettivi, sebbene rilevanti, non risulterebbero commisurati alla gravità dell’ingerenza che si produrrebbe nei diritti fondamentali degli utenti. Si tenga conto che la conservazione generalizzata dei dati concerne le comunicazioni elettroniche della quasi totalità della popolazione senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo perseguito. Verrebbe, in altri termini, consentita la conservazione dei dati di tutti gli individui che si avvalgono di servizi di comunicazione elettronica, senza che questi ultimi siano, neanche indirettamente, sospettati di alcunché [29]. Proprio per i rischi che ne derivano, una conservazione generalizzata costituisce l’eccezione ed è consentita dalla Corte solo in presenza di minacce alla sicurezza nazionale; risulta, invece, legittimamente consentita la target data retention laddove, invece, lo Stato membro abbia come obiettivo la salvaguardia della sicurezza pubblica o la lotta alla criminalità grave. In questa ipotesi, come già dichiarato dalla Corte nella previa giurisprudenza, al fine di autorizzare la target data retention occorre che «la normativa statale limiti la conservazione dei dati relativamente ad un determinato periodo di tempo e/o a un’area geografica determinata e/o a una cerchia di persone determinate che possano essere coinvolte, in un modo o nell’altro, in un reato grave o alle persone la cui conservazione dei dati, per altri [continua ..]
Per far fronte ad esigenze securitarie non occorre solo che gli Stati membri impongano misure di conservazione dei dati, ma deve essere assicurata alle autorità nazionali la successiva possibilità di farvi accesso al fine di poter svolgere attività di prevenzione, indagine e repressione. Anche in relazione all’accesso, la diversità di approcci normativi adottati dagli Stati membri ha dato origine a una molteplicità di rinvii pregiudiziali a seguito dei quali la Corte di giustizia ha indicato condizioni sostanziali e procedurali per garantirne la compatibilità con il diritto dell’Unione [44]. Quanto alle condizioni sostanziali che consentono l’accesso ai dati, specularmente a quanto è avvenuto per la conservazione, la Corte ha distinto due ipotesi: da una parte, quelle ordinarie – relative cioè ai dati dei soggetti sospettati di aver commesso o progettato crimini gravi – nelle quali l’accesso deve essere circoscritto; dall’altra, le ipotesi eccezionali – che possono riguardare anche i dati di soggetti rispetto ai quali non sussiste alcun sospetto di reato – in relazione alle quali l’accesso è consentito in via generalizzata (in riferimento, non solo a soggetti direttamente sospettati, ma anche in relazione a dati v. infra par. V). È bene precisare che non è possibile affermare in via generale che tipo di conservazione – generalizzata o targettizzata – preceda l’una o l’altra forma di accesso. La tipologia di conservazione è infatti stabilita dal legislatore nazionale e muta a seconda degli obiettivi che la norma intende soddisfare (v. supra II– III). La modalità di accesso – circoscritto o generalizzato – prescinde dalla tipologia di conservazione che ad esso precede, ma dipende, come si vedrà nel prosieguo, dalla presenza di altre condizioni [45]. Più nello specifico, quanto alle condizioni che consentono un accesso in via ordinaria, la Corte di giustizia ha stabilito, nella sentenza G.D., che esso possa avvenire laddove l’autorità nazionale abbia necessità di compiere indagini relative a soggetti implicati nella progettazione o commissione di un reato grave. Così, i principi di necessità e proporzionalità (di cui agli artt. 52 CDFUE e all’art. 15 della direttiva e-Privacy) [continua ..]
Se non poche sono le perplessità in relazione alle condizioni che autorizzano l’accesso ai dati in condizioni ordinarie, altrettanti dubbi emergono riguardo alle condizioni che consentono alle autorità un accesso generalizzato ai dati in condizioni di eccezionalità. Nello specifico, la Corte ha indicato che «in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l’accesso ai dati di altre persone può essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo» [54]. In via eccezionale, dunque, la Corte consente alle autorità un accesso generalizzato non limitato a categorie specifiche di utenti; tuttavia, non appaiono definite chiaramente le ipotesi in cui è possibile procedere in questo senso. Se è pacifico che l’accesso ai dati di altre persone possa essere concesso in presenza di attività di terrorismo che minacciano la sicurezza nazionale, dubbi permangono in relazione alla condizione secondo cui tale accesso sia idoneo a «fornire un contributo effettivo alla lotta contro attività di questo tipo» [55]. La valutazione circa la possibilità che un dato procuri un “contributo effettivo” alla lotta alla criminalità è assai complessa e sembra difficilmente praticabile. Si tenga conto, infatti, che tale valutazione dovrebbe essere effettuata contestualmente alla richiesta di accesso da parte delle autorità, quando, cioè, il dato e le informazioni utili che da esso derivano sono ancora ignoti alle stesse. In questa prospettiva, è ragionevole ritenere che la valutazione circa il carattere effettivo del contributo che il dato apporta alle indagini non possa che essere meramente ipotetica e, dunque, ben lontana dall’essere obiettiva.
Se le condizioni sostanziali lasciano ancora irrisolte alcune questioni, diversamente può affermarsi in merito ai requisiti procedurali che consentono l’accesso ai dati da parte delle autorità. Il rispetto dei diritti sanciti agli art. 7 e 8 della Carta ha imposto agli Stati membri l’osservanza di alcune condizioni in merito alle quali la Corte di giustizia si è più volte pronunciata con conclusioni pressoché univoche. Le questioni sottoposte al vaglio dei giudici dell’Unione hanno avuto ad oggetto essenzialmente due quesiti: la determinazione dell’organo deputato ad autorizzare l’accesso e la tipologia di controllo che esso è tenuto ad effettuare. In particolare, nel caso H.K. c. Prokuratuur veniva richiesto se l’art. 15, par. 1, della direttiva e-Privacy, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, par. 1, della Carta, potesse essere interpretato nel senso di ritenere il Pubblico Ministero competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e a quelli relativi all’ubicazione ai fini di un’istruttoria penale. In quella occasione, la Corte ha concluso in senso negativo rilevando che, se è pur vero che il Pubblico Ministero sia tenuto, conformemente al diritto nazionale, ad agire in modo indipendente, l’obiettivo della propria funzione è di promuovere l’esercizio dell’azione penale. Sarebbe questa stessa autorità a rappresentare la pubblica accusa nel processo ed essa, dunque, sarebbe altresì parte nel procedimento [56]. La Corte ha, dunque, indicato che l’accesso delle autorità nazionali ai dati debba essere subordinata ad un controllo di tipo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, soggetti non coinvolti a titolo diretto nell’esercizio dell’azione penale e, quindi, soggetti diversi dal Pubblico Ministero. La ratio di questa esclusione risiede nella necessità che il controllo che autorizza l’accesso debba essere effettuato da un’autorità che sia in grado di garantire un giusto equilibrio tra gli interessi connessi alle necessità dell’indagine e la tutela della vita privata e della protezione dei dati personali delle persone i cui dati sono interessati dall’accesso [57]. Dalle considerazioni che [continua ..]
Nei rinvii pregiudiziali in tema di data retention la Corte è stata contestualmente chiamata a chiarire la portata degli effetti delle sentenze negli ordinamenti interni. Nello specifico, è stato richiesto se il giudice nazionale possa limitare nel tempo gli effetti di una dichiarazione di invalidità della norma interna che violi il diritto dell’UE o di posticiparne la disapplicazione. Per risolvere questi interrogativi, nei casi G.D. e VD e RS [65], la Corte ha invocato il principio di primazia del diritto dell’Unione sugli ordinamenti nazionali ricordando che esso «impone a tutte le istituzioni degli Stati membri di dare pieno effetto alle varie disposizioni del diritto dell’Unione dato che il diritto nazionale non può sminuire l’efficacia riconosciuta a tali disposizioni nel territorio dei suddetti Stati» [66]. Pertanto, ove non sia possibile procedere ad un’interpretazione della normativa nazionale in conformità al diritto dell’Unione [67], il giudice nazionale ha l’obbligo di garantirne la piena efficacia dichiarando invalida la normativa nazionale – laddove sia investito della questione come nel caso G.D. [68] – ovvero disapplicando la disposizione contrastante, anche posteriore, senza doverne chiedere o attendere la previa rimozione in via legislativa o mediante qualsiasi altro procedimento costituzionale [69]. Se così non fosse, lo Stato membro potrebbe continuare ad applicare una normativa interna che impone agli operatori di servizi di comunicazione elettronica obblighi che comportano ingerenze gravi nei diritti fondamentali delle persone i cui dati sono stati conservati. Per questo motivo, solo la Corte di giustizia può, eccezionalmente e per considerazioni imperative di certezza del diritto, concedere una sospensione provvisoria dell’obbligo di disapplicazione delle norme di diritto interno contrastanti con le norme dell’UE. L’impossibilità di differire nel tempo gli effetti delle sentenze ha imposto alla Corte di affrontare il problema della sorte dei dati di traffico acquisiti come prova nei procedimenti penali, in forza di normative nazionali che consentivano la conservazione generalizzata dichiarata successivamente contraria al diritto dell’UE [70]. A partire dalla sentenza La Quadrature du Net, la Corte ha maturato e mantenuto costante l’orientamento sul [continua ..]
L’analisi della casistica giurisprudenziale consente di affermare come la Corte di giustizia abbia contribuito a circoscrivere in maniera significativa l’ambito di discrezionalità degli Stati membri nella loro attività di recepimento della normativa UE in tema di retention e accesso ai dati. Tuttavia, sebbene il trend giurisprudenziale sia oramai consolidato, la Corte lascia ancora insoluti alcuni interrogativi in merito alle condizioni per la conservazione e l’accesso ai dati. Unitamente ai precedenti Digital Rights Ireland e La Quadrature du Net, anche le sentenze più recenti G.D. e VR e SR abbracciano l’orientamento volto a tutelare i diritti fondamentali anche di fronte ad esigenze di sicurezza collettiva che rendono necessario l’utilizzo dei dati di traffico. In un’ottica di bilanciamento degli interessi, i giudici dell’Unione, nonostante escludano in via di principio una conservazione generalizzata dei dati di traffico e di ubicazione degli utenti, eccezionalmente consentono agli Stati membri una retention di questo genere per scopi di sicurezza nazionale. Se in relazione alla conservazione permangono alcuni interrogativi in merito a cosa debba intendersi per sicurezza nazionale, in relazione all’accesso, residuano rilevanti perplessità quanto al concetto di “criminalità grave” che ne costituisce il presupposto. La questione è attualmente oggetto di un rinvio pregiudiziale proposto dal Tribunale del Gelderland, Paesi Bassi [79], nel quale viene richiesto alla Corte di giustizia se le nozioni di “reati gravi” e “forma grave di criminalità” configurino nozioni autonome di diritto dell’Unione, o se spetti alle autorità competenti degli Stati membri definire dette nozioni e, laddove si tratti di nozioni autonome, di fornirne una definizione [80]. In attesa della pronuncia della Corte, possono essere avanzate alcune considerazioni. Innanzitutto, conviene osservare che la definizione delle nozioni di “criminalità grave” e di “reato grave”, al momento, sono sempre state rimesse alla discrezionalità degli Stati membri che, sul punto, sembrano aver adottato soluzioni normative differenti. Se la Corte decidesse di adottare una nozione autonoma, la futura pronuncia dei giudici di Lussemburgo dovrebbe valutare i criteri che consentano di stabilire la gravità, [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
EISSN 2465-2474 / ISSN 1125-8551 - Il Diritto dell'Unione Europea (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
