Data retentionIl 18 febbraio 2015 la corte distrettuale dell'Aja dovrà stabilire se la normativa olandese sulla conservazione dei dati personali (data retention) è ancora valida oppure no. La questione è di stretta attualità, visto che a seguito della strage nella redazione del giornale Charlie Hebdo alcuni governi (compreso quello italiano) hanno annunciato un inasprimento normativo in materia di controllo elettronico, per contrastare meglio la minaccia del terrorismo. 

La questione nasce l'8 aprile 2014 quando la Corte di Giustizia europea ha invalidato la direttiva 2006/24/CE che, quindi, è divenuta inefficace fin dalla sua promulgazione. La direttiva, adottata in seguito agli attentati del 2004 e 2005, si occupava di garantire la disponibilità dei dati (non i contenuti) delle conversazioni telefoniche e del traffico telematico, a fini di indagine e per il perseguimento dei reati, prevedendo specifici obblighi per i provider. 

La CGUE ha stabilito che le norme della direttiva erano sproporzionate rispetto all'obiettivo, cioè la lotta alla criminalità e la tutela della sicurezza, perché si applicavano in maniera generalizzata a tutti gli utenti senza alcun limite rispetto, appunto, allo scopo della norma, e quindi anche alle persone che non avevano alcun collegamento con reati oggetto di indagine. Inoltre la direttiva non fissava i presupposti per l'accesso ai dati da parte delle autorità nazionali, e non subordinava tale accesso al controllo di un giudice.

Il punto focale è il paragrafo 59:
"pur mirando a contribuire alla lotta contro la criminalità grave, la suddetta direttiva non impone alcuna relazione tra i dati di cui prevede la conservazione e una minaccia per la sicurezza pubblica e, in particolare, non limita la conservazione dei dati a quelli relativi a un determinato periodo di tempo e/o a un'area geografica determinata e/o a una cerchia di persone determinate che possano essere coinvolte, in un modo o nell'altro, in un reato grave, né alle persone la conservazione dei cui dati, per altri motivi, potrebbe contribuire alla prevenzione, all'accertamento o al perseguimento di reati gravi".
Insomma, occorrono regole più stringenti e un controllo per eventuali abusi, prima di imporre ai provider la conservazione dei dati di traffico telematico.

In alcuni Stati europei, come ad esempio in Germania, nel 2010, e in Bulgaria, già prima della sentenza della CGUE le rispettive Corti Costituzionali avevano annullato le norme nazionali in materia di conservazione di dati personali, ritenendole in violazione delle norme sulla privacy.
Altri Stati hanno annullato le norme sulla data retention, recependo la sentenza CGUE, come l'Austria, la Slovacchia, la Slovenia e la Romania.
Il governo olandese, invece, pur avendo modificato in parte la normativa, ha preferito mantenerla ritenendola necessaria ai fini del perseguimento di reati, e alcune organizzazioni per la difesa dei diritti civili hanno portato tale normativa dinanzi ad un giudice per ottenerne l'annullamento.
Anche la Svezia ha mantenuto le norme in materia di data retention, ed è uno dei paesi più attivi sul fronte della sorveglianza digitale, ma il principale Isp svedese ha espresso l'intenzione di chiedere alla Commissione europea di aprire una procedura di infrazione contro la Svezia per violazione della normativa sulla privacy.
L'Italia ha mantenuto la normativa in materia di data retention, che è un sostanziale recepimento della direttiva europea. La Danimarca ha ritenuto la normativa nazionale sulla data retention (che comunque non deriva dalla direttiva europea) conforme all'attuale normativa comunitaria. 

Il semplice fatto che la Corte europea ha invalidato la direttiva sulla conservazione dei dati non vuol dire che la normativa nazionale di recepimento diventa automaticamente invalida. Il Trattato sul funzionamento dell'Unione europea (TFUE) non definisce le conseguenze dell'invalidità, ma solo dell'annullamento (artt. 264 e 266), e applicando tali regole per analogia si è ritenuto che l'invalidazione sia erga omnes, ciò vuol dire che qualsiasi giudice nazionale può dichiarare l'invalidità, inoltre la pronuncia di invalidità è retroattiva, alla data di promulgazione della direttiva.

Ma la Corte europea non ha alcun potere in materia di legislazione nazionale, spetta al legislatore dello Stato membro stabilire le conseguenze dell'invalidazione della direttiva. Le normative nazionali, però, devono conformarsi alle norme europee, come sancito dall'art. 51 della Carta dei diritti fondamentali dell'Unione europea. E in tale prospettiva si devono considerare due elementi: da un lato la direttiva e-privacy, dall'altra le norme sulla libera circolazione dei servizi.
Questo perché l'obbligo di conservazione dei dati delle telecomunicazioni è una conseguenza della direttiva e-privacy (2002/58/CE) e costituisce un ostacolo agli scambi di servizi all'interno dell'Unione, che produce una distorsione del mercato interno (in quanto impone obblighi specifici di organizzazione e di realizzazione di strutture al fine di adempiere quanto richiesto dalla legge). Le normative nazionali di recepimento sono, in sostanza, delle gravi interferenze con i diritti fondamentali.

Le norme europee residuate dopo la sentenza della CGUE, impongono ai fornitori di servizi di telecomunicazione di cancellare o anonimizzare i dati di traffico e di localizzazione, nel momento in cui non sono più necessaria a fini di fatturazione. Ai sensi dell'articolo 15 della direttiva e-privacy, però, gli Stati membri, però, possono adottare misure legislative restrittive, che impongono la conservazione dei dati per un periodo limitato, purché tali obblighi costituiscano "una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica".
Occorre quindi che le rispettive normative nazionali siano conformi alle disposizioni di cui all'art. 15 citato, e quindi dei principi generali del diritto comunitario e principalmente dei diritti di cui agli articoli 7 (rispetto della vita) e 8 (protezione dei dati di carattere personale) della Carta europea, tenendo presente altresì l'articolo 11 (libertà di espressione). La memorizzazione dei dati dovrà essere coerente con i diritti fondamentali citati.

La stessa CEDU ha più volte ribadito (caso Marper, nel quale la Corte di Strasburgo ha dichiarato il Criminal Justice and Police Act del Regno Unito illegittimo e sproporzionato, oltre che lesivo della riservatezza delle persone, nella parte in cui ammetteva che nel database fosse prevista la conservazione illimitata dei profili genetici appartenenti a persone innocenti o prosciolte) che la semplice memorizzazione di dati relativi alla vita privata di un individuo costituisce un'interferenza con l'art. 8 della Convenzione, a prescindere dall'uso dei dati stessi.

E in tal senso soccorre il recente parere dell'ufficio legale del Parlamento europeo, espresso su richiesta della Commissione libertà civili (LIBE).

In conclusione la normativa nazionale in materia di conservazione dei dati deve essere riscritta rispettando i seguenti principi:

- differenziare le categorie di dati;
- differenziare le misure (e durata) di conservazione dei dati a seconda della gravità dei reati;
- ammettere la conservazione solo in caso di collegamento tra il soggetto i cui dati vengono memorizzati e una minaccia per la sicurezza pubblica;
- prevedere criteri oggettivi che limitino l'accesso a tali dati per la sola esigenza di accertamento di reati sufficientemente gravi da giustificare una simile ingerenza;
- stabilire i presupposti in base ai quali le competenti autorità nazionali possono accedere ai dati conservati, prevedendo specifiche misure contro le consultazioni non autorizzate e gli abusi;
- imporre un previo controllo da parte dell'autorità giudiziaria nazionale o di un'autorità amministrativa indipendente per l'accesso ai dati;
- imporre la conservazione dei dati esclusivamente nel territorio dell'Unione;
- prevedere la distruzione dei dati al termine del periodo di conservazione.

Qualsiasi tipo di trattamento (quindi conservazione) generalizzato e indifferenziato, cioè non mirato e collegato a specifiche e circostanziate esigenze di sicurezza pubblica o prevenzione dei reati, deve ritenersi illegittimo e in contrasto con l'attuale normativa comunitaria. La sorveglianza massiccia e indiscriminata non può essere giustificata dalla lotta contro il terrorismo. 

È da notare che questi principi sono contenuti anche nella riforma europea in materia di protezione dei dati personali, che è fortemente contrastata dalle aziende tecnologiche, specialmente quelle americane che trasferiscono i dati dei cittadini europei negli Usa (dove poi l'NSA vi ha accesso quasi indiscriminato). Riforma, tra l'altro, non proprio ben vista anche da alcuni governi nazionali: Francia, Regno Unito (dove la Corte Suprema ha stabilito che la sorveglianza universale non viola i diritti umani) e ultimamente anche Germania. 

Per quanto riguarda l'Italia, il recepimento della direttiva lo si trova nell'art. 132 del codice della privacy (decreto legislativo 196 del 2003), che prevede, appunto, che, a prescindere dalla gravità del reato, per finalità di accertamento e repressione dei reati i dati relativi al traffico telefonico devono essere conservati dal gestore per 24 mesi dalla data della comunicazione, mentre quelli relativi al traffico telematico per 12 mesi. Ovviamente sono esclusi i contenuti delle comunicazioni.
La norma in questione recepisce la direttiva europea ormai invalidata senza alcun riferimento al criterio della proporzionalità e gravità del reato come requisito per la conservazione dei dati.
Inoltre è consentito l'accesso ai detti dati, da parte delle istituzioni, senza particolari requisiti.
È evidente che la normativa italiana appare in contrasto con quanto stabilito dalla Corte di Giustizia, e quindi va modificata, come allo stesso modo le recenti modifiche normative attuate in Francia e Regno Unito (DRIPA) sembrano in contrasto con la normativa comunitaria.

Come aveva sottolineato il Garante per la tutela dei dati personali, Antonello Soro, a commento della sentenza della CGUE, occorre una revisione dell'attuale sistema nel segno del principio di proporzionalità e delle garanzie per i cittadini. Purtroppo alcuni governi europei sembrano andare nella direzione opposta.