la sentenza

Data retention, c’è un limite anche per i reati gravi: bene la Corte di Giustizia UE

Anche una lotta effettiva ai reati gravi non giustifica una data retention generalizzata ed indiscriminata. La sentenza della Corte di giustizia Ue che prende le mosse da un processo per omicidio avvenuto in Irlanda

08 Apr 2022
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

La lotta a reati gravi non giustifica la conservazione generalizzata e indifferenziata dei dati relativi al traffico (data retention) e dei dati relativi all’ubicazione riguardanti le comunicazioni elettroniche: lo ha stabilito la Corte di Giustizia dell’Unione Europea con la sentenza resa nella Cauda C-140/2020 il 5 aprile 2022.

Data retention a fini di giustizia: ecco perché serve un nuovo regolamento Ue

La sentenza della Corte di Giustizia UE su Data retention

La sentenza prende le mosse da un processo per omicidio avvenuto in Irlanda, per cui il ricorrente era stato condannato all’ergastolo nel 2015.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

La difesa aveva censurato, in sede di appello alla sentenza di primo grado, l’erronea ammissione dei dati relativi al traffico e i dati relativi all’ubicazione afferenti a chiamate telefoniche come elementi di prova.

Contemporaneamente il condannato aveva citato in giudizio lo Stato irlandese per far dichiarare l’invalidità di talune disposizioni della legge irlandese del 2011 che disciplina la conservazione di tali dati e l’accesso agli stessi, sostenendo la violazione del diritto dell’Unione.

L’Alta Corte Irlandese accoglieva il ricorso e lo Stato irlandese proponeva a sua volta ricorso innanzi alla Corte suprema d’Irlanda, che sollevava rinvio pregiudiziale.

La Corte suprema irlandese chiedeva, quindi, alla Corte di Giustizia dell’Unione Europea di pronunciarsi sui requisiti che il diritto dell’Unione impone in materia di conservazione di detti dati per finalità di lotta ai reati gravi e sulle garanzie necessarie in materia di accesso a questi stessi dati.

Veniva inoltre richiesto quali fossero la portata e l’effetto nel tempo di un’eventuale declaratoria d’incompatibilità tra diritto irlandese e diritto dell’Unione.

La Corte di Giustizia dell’Unione Europea, riunita in Grande sezione, ha stabilito che “la propria costante giurisprudenza secondo la quale il diritto dell’Unione 4 osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

Il principio generale è il divieto di memorizzazione di dati relativi al traffico e all’ubicazione e la relativa conservazione; divieto mitigato, secondo il principio di proporzionalità, dall’esigenza di lotta ai reati gravi.

Anche una lotta effettiva a questi ultimi non giustifica una data retention generalizzata ed indiscriminata, dato che la Carta di Nizza impone agli Stati membri dell’Unione “l’adozione di misure giuridiche dirette a tutelare la vita privata e familiare, la protezione del domicilio e delle comunicazioni, ma anche la tutela dell’integrità fisica e psichica delle persone, nonché il divieto di tortura e di trattamenti inumani e degradanti”.

Passaggio rilevantissimo è quello in cui la Corte afferma espressamente che “la criminalità particolarmente grave potrebbe essere assimilata a una minaccia per la sicurezza nazionale che si riveli reale e attuale o prevedibile” con riferimento alla data retention.

La Corte, quindi ha espressamente indicato le modalità con cui gli ordinamenti statali possono operare per contrastare il crimine secondo il diritto dell’Unione.

In particolare, sono consentite:

– “la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione in funzione delle categorie di persone interessate o mediante un criterio geografico;”

– “la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione”;

– “la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica”

– la conservazione rapida (quick freeze) dei dati relativi al traffico e dei dati relativi all’ubicazione di cui tali fornitori di servizi dispongono”.

La fonte di tutte le citazioni è il comunicato stampa emesso dalla stessa Corte di Giustizia dell’Unione Europea in seguito alla pronuncia della sentenza.

Conclusioni

La Corte di Giustizia dell’Unione Europea continua con il filone giurisprudenziale che impone agli Stati obblighi precisi in termini di data retention, come avvenuto con la sentenza del marzo 2021 in tema di acquisizione giudiziaria di tabulati telefonici.

Con quella sentenza, la Corte di Giustizia dell’Unione Europea ha sostanzialmente equiparato – almeno con riferimento all’Italia – l’acquisizione di tabulati alle intercettazioni idi comunicazioni in quanto a garanzie per il cittadino dell’Unione.

La sentenza del 5 aprile 2022 si spinge oltre e fa un riepilogo di tutta la giurisprudenza in materia, dettando criteri precisi sulle attività sempre lecite e quelle che non lo sono.

Sarà comunque necessario attendere la stesura delle motivazioni per valutare concretamente la portata e le implicazioni di una sentenza che si staglia, già da subito, nel contesto della giurisprudenza comunitaria.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4