La Corte di Giustizia dell'Unione Europea (CGUE), con la sentenza dell'8 aprile 2014 (cause riunite C-293/12 e C-593/12) ha dichiarato l'invalidità della direttiva europea n. 2006/24/CE, e quindi l'inefficacia fin dalla sua entrata in vigore.
La direttiva, adottata in seguito agli attentati di Londra e Madrid del 2004 e 2005, si occupava di armonizzare le disposizioni degli Stati membri sulla conservazione dei dati delle conversazioni telefoniche e del traffico telematico, trattati dai fornitori di comunicazione elettronica. Il suo scopo era garantirne la disponibilità a fini di indagine e di perseguimento di reati gravi.
Ovviamente la direttiva non autorizzava la conservazione del contenuto delle comunicazioni né delle informazioni consultate, consentita solo in presenza di uno specifico mandato dell'autorità giudiziaria.
Il giudizio è stato sollecitato dall'Alta Corte Irlandese e dalla Corte Costituzionale austriaca.
Proporzionalità e privacy
La decisione della Corte di Lussemburgo è dovuta alla violazione del principio di proporzionalità. Secondo la CGUE i dati raccolti sulla base della direttiva consentono di ottenere indicazioni molto precise sulla vita privata degli utenti, come: le abitudini quotidiane, i luoghi di soggiorno anche temporanei, gli spostamenti, le attività svolte, le relazioni sociali. Tale tipo di raccolta permette, quindi, di ingerirsi in modo particolarmente grave nei diritti sanciti dalla Carta dei diritti fondamentali, in particolare dall'art. 7 (rispetto della vita privata) e 8 (protezione dei dati di carattere personale).
La Corte chiarisce che la direttiva in sé non è idonea ad arrecare pregiudizio al contenuto essenziale dei diritti citati, poiché non permette di conservare il contenuto delle comunicazioni. Tuttavia la direttiva sulla Data Retention risulta comunque sproporzionata rispetto all'obiettivo, che è quello della lotta alla criminalità e quindi la tutela della pubblica sicurezza.
La decisione di invalidità si basa sui seguenti punti:
- la direttiva trova applicazione generalizzata all'insieme degli utenti e dei mezzi di comunicazione elettronica senza alcuna limitazione in ragione dell'obiettivo, lo scopo perseguito, quindi anche alle persone per le quali non vi sono prove che suggeriscono che possano avere un collegamento con la commissione di reati;
- il trattamento in assenza di informazione agli utenti può ingenerare la sensazione che la loro vita privata sia oggetto di costante sorveglianza;
- manca un criterio oggettivo sullo scopo da perseguire conservando i dati, la direttiva si limita a fare generico rinvio ai "reati gravi" definiti da ciascuno Stato membro nella propria legislazione nazionale;
- la direttiva non stabilisce i presupposti che consentono alle autorità nazionali di avere accesso ai dati e farne successivo uso;
- tale accesso non è subordinato al previo controllo di un giudice o di un ente amministrativo indipendente;
- la direttiva impone che la durata della conservazione di dati non sia inferiore a sei mesi, senza alcuna distinzione tra le categorie di dati a seconda delle persone interessate;
- non sono previste misure contro il rischio di abusi e contro accessi ed utilizzi illeciti;
- non è garantita la cancellazione irreversibile dei dati al termine del periodo di conservazione, infatti in alcuni casi i dati venivano conservati per anni;
- non è garantita la conservazione dei dati all'interno del territorio dell'Unione, e quindi gli stessi potevano essere trasferiti al di fuori sfuggendo al controllo dei titolari e delle autorità di controllo.
La sentenza si può considerare un nuovo mattone nel muro che il Parlamento europeo e la Corte di Giustizia, talvolta in contrasto con la Commissione europea, stanno erigendo al fine di proteggere i diritti dei cittadini. Ancora una volta l'Europa mostra di essere costruita sul rispetto e il riconoscimento delle libertà dei cittadini e dei diritti umani. E quindi la Corte abbatte quella parte di legislazione che risulta incompatibile con la Carta dei diritti fondamentali.
Così come già precisato in relazione alla proprietà intellettuale, l'Europa chiarisce che non esistono diritti assoluti, e quindi la pubblica sicurezza non prevale sulla protezione dei dati a prescindere, ma va correttamente bilanciata con gli altri diritti in gioco. Da oggi in poi un governo non si potrà più trincerare dietro generiche esigenze di sicurezza nazionale e prevenzione del terrorismo.
La Corte censura la natura non "mirata" della misura di sorveglianza e la possibilità di acceso indiscriminato da parte delle autorità ai dati conservati. In effetti la sentenza della Corte è contro la sorveglianza digitale di massa.
Già prima di tale decisione in alcuni Stati (Germania, Repubblica Ceca, Romania, Bulgaria e Cipro) le rispettive Corti Costituzionali avevano dichiarato incostituzionali le leggi nazionali sulla conservazione dei dati personali. La Germania nel 2010 aveva dichiarato l'incompatibilità della legislazione nazionale di recepimento della direttiva con il diritto europeo, finendo per rimanere senza disposizioni di conservazione dei dati per i fornitori di servizi di comunicazione. In seguito alla sentenza della CGUE, si è ritrovata all'improvviso conforme alle norme europee non consentendo la conservazione dei dati.
Bisogna però chiarire che la sentenza non esclude affatto che la raccolta e la conservazione dei dati a fini di sicurezza sia incompatibile con le norme europee in maniera assoluta, e quindi mai giustificata. Precisa infatti che la direttiva dichiarata invalida risponde comunque a un obiettivo di interesse generale, cioè la lotta alla criminalità, e quindi, in definitiva la pubblica sicurezza. Ritiene invece che il legislatore dell'Unione abbia ecceduto i limiti imposti dal fondamentale principio di proporzionalità.
La Corte europea suggerisce, quindi, che la direttiva potrebbe (dovrebbe?) essere riformulata includendo regole specifiche e più stringenti prima di imporre alle imprese di conservare i dati delle comunicazioni.
Inoltre la sentenza non riguarda, ovviamente, i servizi di dati transfrontalieri, quindi non incide (direttamente) sulla raccolta dei dati che finiscono nelle mani dell'NSA. Anche se, bisogna ribadirlo, di fatto la raccolta indiscriminata dell'NSA è proprio il tipo di raccolta che tale sentenza sanziona come illegittima.
Nuova direttiva?
Fin dalla sua emanazione, la direttiva raccolse numerose critiche, che portarono ad una consultazione avviata dal Commissario Cecilia Malmstrom. Nel 2011 venne pubblicato un rapporto sull'applicazione della direttiva, la cui conclusione era nel senso dell'utilità della normativa nelle indagini penali contro la criminalità e il terrorismo, ma evidenziava carenze e critiche sulla progettazione della direttiva, in particolare in relazione al bilanciamento tra sicurezza e rispetto della privacy.
Sulla scorta del pronunciamento della Corte di Giustizia, la Commissione europea dovrebbe, quindi, presentare una proposta di direttiva. Il presidente del Parlamento europeo Schulz ha chiarito che la nuova direttiva dovrà stabilire un "giusto equilibrio tra gli interessi legittimi in gioco". E la European Data Protection Authority ha accolto la sentenza come un punto di riferimento per le limitazioni alla sorveglianza digitale dei governi, invocando una nuova direttiva per evitare che gli Stati introducano nelle legislazioni nazionali norme con le medesime problematicità della direttiva invalida.
La nuova direttiva dovrebbe rispettare, quindi, i seguenti requisiti:
1) differenziare le misure di conservazione dei dati a seconda dei reati;
2) prevedere criteri oggettivi che limitino l'accesso a tali dati per la sola esigenza di accertamento di reati sufficientemente gravi da giustificare una simile ingerenza;
3) stabilire i presupposti in base ai quali le competenti autorità nazionali possono accedere ai dati conservati;
4) imporre un previo controllo da parte dell'autorità giudiziaria nazionale o di un'autorità amministrativa indipendente per l'accesso ai dati;
5) prevedere durate di conservazione dei dati differenziate a seconda della gravità dei reati;
6) imporre la conservazione dei dati nel territorio dell'Unione.
Qualsiasi trattamento generalizzato o indifferenziato, cioè non mirato, è da ritenersi illegittimo. La conservazione dei dati necessità di una differenziazione modulata rispetto al tipo di reato, al tipo di dato e di mezzo di comunicazione. Occorre una relazione tra i dati da conservare e la minaccia alla sicurezza pubblica, ed in particolare la conservazione va ristretta sia temporalmente, sia in relazione agli individui coinvolti.
Occorre inoltre il rispetto di garanzie essenziali quali l'autorizzazione di un'autorità giudiziaria o di un ente amministrativo indipendente. Ed è interessante notare che questo obbligo viene imposto in un momento storico nel quale i governi nazionali ritengono sempre più il ricorso ad un giudice una formalità della quale si può fare a meno (ad esempio in materia di tutela del copyright, di perseguimento della pedopornografia...).
Incidentalmente occorre far notare che questa sentenza incide anche su un altro piano, quella della tutela del copyright, nel quale l'industria brama di poter controllare i metadati degli utenti al fine di applicare sanzioni extragiudiziali.
Conseguenze per i singoli Stati
Per quanto riguarda le conseguenze della sentenza sulle legislazioni nazionali, l'inefficacia della direttiva non comporta automaticamente la caducazione delle norme in contrasto, anche se potrebbero essere disapplicate da subito dai giudici. Le Alte Corti degli Stati membri possono sospendere le normativa nazionali, qualora non superino il test di proporzionalità come individuato dalla Corte.
Ovviamente le legislazioni nazionali vanno modificate solo per quanto riguarda gli aspetti in contrasto col diritto europeo.
La situazione è confusa, invece, per i singoli operatori. Le normative nazionali sono ancora in vigore, quindi gli operatori dovrebbero conservare i dati per non trovarsi in violazione di legge, ma nel contempo tale conservazione attualmente deve considerarsi illegale, e quindi potrebbe sorgere una responsabilità per violazione della privacy (che in alcuni Stati è un reato). In tal senso i fornitori potrebbero anche decidere di cancellare i dati fin da subito. Infatti l'Isp svedese Banhof ha ritenuto di adeguarsi provvedendo alla cancellazione di tutti i dati degli utenti e sospendendo qualsiasi conservazione di dati.
Per quanto riguarda l'Italia, il recepimento della direttiva lo si trova nell'art. 132 del codice della privacy (decreto legislativo 196 del 2003), che prevede, appunto, che, a prescindere dalla gravità del reato, per finalità di accertamento e repressione dei reati i dati relativi al traffico telefonico devono essere conservati dal gestore per 24 mesi dalla data della comunicazione, mentre quelli relativi al traffico telematico per 12 mesi. Ovviamente sono esclusi i contenuti delle comunicazioni.
La norma in questione recepiva la direttiva europea senza alcun riferimento al criterio della proporzionalità e gravità del reato come requisito per la conservazione dei dati.
Inoltre è consentito l'accesso ai detti dati, da parte delle istituzioni, senza particolari requisiti.
È evidente che la normativa italiana è in contrasto con quanto stabilito dalla Corte di Giustizia, con palese rischio di vuoto normativo.
La norma ha subito diversi rimaneggiamenti, ma non è mai piaciuta molto al Garante per la protezione dei dati personali, contrario alla raccolta di una così grande quantità di dati da conservare per un periodo così lungo. Il presidente dell'autorità, Antonello Soro, commenta che la sentenza della Corte di Lussemburgo va nella direzione auspicata di una più marcata tutela dei diritti, operando un riequilibro tra sicurezza e privacy. Conclude sostenendo che "Occorrerà una revisione dell'attuale sistema nel segno del principio di proporzionalità e delle garanzie per i cittadini".