l'approfondimento

Data retention e reati gravi: perché è importante la sentenza della Corte Ue

La Corte di giustizia dell’Unione europea dice no alla conservazione generalizzata e indifferenziata dei dati telefonici e telematici, anche se l’obiettivo è la lotta alla criminalità grave. Una pronuncia significativa che apre a numerosi scenari per quel che concerne le finalità di conservazione dei dati personali

28 Apr 2022
Rossella Bucca

Studio Previti Associazione professionale

Micol Sabatini

praticante avvocato, Studio Previti

Con la pronuncia del 5 aprile scorso, i giudici di Lussemburgo – chiamati a pronunciarsi su un caso di omicidio conclusosi in Irlanda nel 2015 – delineano il contesto di riferimento della “data retention”, elaborando principi già consolidati nella giurisprudenza comunitaria.

Chiarire come la conservazione dei tabulati a fini di accertamento e perseguimento dei reati non possa essere generalizzata ed indiscriminata ma unicamente “mirata”, nel rispetto dei principi di proporzionalità, necessità ed idoneità. Proviamo ad illustrare, brevemente, quali sono i “paletti” indicati dalla Corte.

Data retention, Scorza: “Ora cambiamo la legge italiana, viola la privacy dei cittadini”

Data retention, un tema complesso

Con la sentenza del 5 aprile 2022 (causa C-140/20), la Corte di giustizia coglie l’occasione della pronuncia sul caso concreto per ripercorrere il quadro normativo e giurisprudenziale afferente alla data retention e, al tempo stesso, per ribadire alcuni concetti fondamentali.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Il nocciolo della questione, difatti, è il periodo di tempo secondo il quale i dati relativi al traffico e all’ubicazione riguardanti le comunicazioni elettroniche possono essere conservati, acquisiti e/o trattati per la finalità di lotta ai reati gravi. L’annoso tema concerne l’individuazione del bilanciamento tra interessi che soltanto apparentemente sono contrastanti tra loro: da una parte, l’attività di indagine finalizzata alla prevenzione e all’accertamento dei reati, dall’altra il diritto alla riservatezza.

Proprio per la delicatezza e la complessità dell’argomento, esso non risulta nuovo per i giudici europei. La pronuncia in oggetto sussegue, difatti, ad un’altra sentenza della Corte di giustizia del 2021 (Grande Sezione del 2 marzo 2021, causa C-746/18, caso H.K.), secondo cui “soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l’accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali utilizzate da quest’ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate”.

Se questo è vero, com’è vero, e può considerarsi causa di giustificazione dell’ingerenza delle autorità competenti nei diritti fondamentali di cui agli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea, è altrettanto assodato che le regole degli ordinamenti nazionali debbano conformarsi ai principi di proporzionalità e, come precisato dalla sentenza appena menzionata, devono essere “chiare e precise […] disciplinino la portata e l’applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi. Tale normativa deve essere legalmente vincolante nell’ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l’ingerenza sia limitata allo stretto necessario”.

La sentenza

Sulla scorta di quanto già asserito dalla pronuncia “H.K. c. Prokuratuur” (C-746-18) poc’anzi ricordata, i giudici europei riprendono un elemento chiave nella disciplina della “data retention”, vale a dire i presupposti per la legittima conservazione dei dati di traffico a fini di giustizia.

La sentenza del 5 aprile causa C-140/20, come vedremo tra poco, elimina dagli ordinamenti degli Stati membri dell’Unione europea la possibilità di dar corso a una conservazione indiscriminata e generalizzata dei dati di traffico per finalità di sicurezza e di giustizia.  Come noto, la data retention trae la propria origine dalla prioritaria necessità per le aziende telefoniche di fatturazione del traffico di documentare i rapporti con la clientela e, solo dopo, si orienta verso lo storage di informazioni per fini processuali, investigativi e di sicurezza pubblica.

Cerchiamo, quindi, di ripercorrere i punti salienti della sentenza.

Il caso che ha dato origine al pronunciamento

Il pronunciato dei giudici di Lussemburgo trae origine da un caso di omicidio verificatosi in Irlanda, conclusosi con la condanna all’ergastolo per il ricorrente nell’anno 2015. Dinanzi alla Corte d’appello d’Irlanda, la difesa aveva contestato al giudice di primo grado l’erronea ammissione dei dati relativi al traffico e all’ubicazione afferenti a chiamate telefoniche come elementi di prova. Al contempo, il condannato aveva intentato un’azione civile presso l’Alta Corte d’Irlanda per far dichiarare l’invalidità di talune disposizioni della legge irlandese del 2011 che disciplinano la conservazione di tali dati e l’accesso agli stessi, sostenendo la violazione del diritto dell’Unione e, in particolare, dei diritti della Carta. L’Alta Corte Irlandese accoglieva il ricorso, mentre lo Stato proponeva, a sua volta, ricorso innanzi alla Corte suprema d’Irlanda, la quale sollevava rinvio pregiudiziale.

Oggetto della richiesta della Corte suprema irlandese alla Corte di Giustizia erano, principalmente, i requisiti che il diritto dell’Unione impone in materia di conservazione di detti dati per finalità di lotta ai reati gravi e per quel che concerne le garanzie necessarie per l’accesso agli stessi dati.

Venivano, inoltre, richieste delucidazioni su quali fossero la portata e l’effetto nel tempo di un’eventuale declaratoria d’incompatibilità tra diritto irlandese e diritto dell’Unione.

La Corte di Giustizia, riunita in Grande sezione, ha, preliminarmente, ribadito la propria costante giurisprudenza, a mente della quale “il diritto dell’Unione osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

Il contesto normativo di riferimento

Il contesto normativo di riferimento dell’assunto poc’anzi indicato si basa sulla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, letta alla luce degli articoli 7, 8 e 11 e 52, par. 1 della Carta dei diritti fondamentali dell’Unione Europea, concernenti, come noto, i diritti al rispetto della vita privata e familiare, alla protezione dei dati personali, alla libertà di espressione e di informazione oltre che all’osservanza del principio di proporzionalità.

Orbene, punto cruciale della direttiva 2002/58 è il divieto di memorizzazione di dati relativi al traffico e all’ubicazione. Di talché, la conservazione di tali informazioni integra tanto una deroga al predetto divieto quanto un’ingerenza nei diritti fondamentali specificati poco sopra. Per questo, è imprescindibile che il divieto di memorizzazione e conservazione vada a braccetto con il principio di proporzionalità, per la finalità di repressione e prevenzione dei reati contro la libertà delle persone.  Basti pensare a tutte le informazioni sensibili che è possibile desumere da tali dati, ad esempio le opinioni politiche lo stato di salute, le convinzioni sociali o religiose, oltre alle abitudini della vita quotidiana.

La lotta alla criminalità grave non è il “passe partout” per una data retention generalizzata ed indiscriminata

Nondimeno, i giudici della Corte hanno chiarito che persino l’obiettivo della lotta alla criminalità grave, per quanto “nobile” e fondamentale, non possa rappresentare il “passe partout” per una data retention generalizzata ed indiscriminata, al punto da rendere lecito qualsiasi tipo di ingerenza nei diritti fondamentali degli individui senza tenere in considerazione il dovuto bilanciamento di interessi in gioco. Tali considerazioni hanno condotto la Corte a respingere l’argomento per il quale “la criminalità particolarmente grave potrebbe essere assimilata a una minaccia per la sicurezza nazionale che si riveli reale e attuale o prevedibile e che sia in grado di giustificare, per un periodo limitato, una misura di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione”.

Di contro, i giudici hanno espressamente delineato le modalità con cui gli ordinamenti statali possono agire in contrasto con i crimini pur mantenendo la necessaria conformità ai principi cardine del diritto dell’Unione europea.

Le deroghe previste dal diritto dell’Unione

Da questo punto di vista, può soccorrere anche quanto schematicamente riportato nel Comunicato stampa n.58/22 della Corte di giustizia dell’Unione Europea emesso a seguito della pronuncia. All’interno del breve documento, è possibile leggere che il diritto dell’Unione non osta a misure legislative che prevedano ai fini della lotta alle forme gravi di criminalità e della prevenzione delle minacce gravi alla sicurezza pubblica:

  • “la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione in funzione delle categorie di persone interessate o mediante un criterio geografico;”
  • “la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione”;
  • “la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica”
  • la conservazione rapida (quick freeze) dei dati relativi al traffico e dei dati relativi all’ubicazione di cui tali fornitori di servizi dispongono”.

Ciò a patto che vengano rispettate precise condizioni e ricorrano “situazioni nelle quali lo Stato membro interessato affronti una minaccia grave per la sicurezza nazionale che risulti reale e attuale o prevedibile, ove il provvedimento che prevede tale ingiunzione possa essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto ad accertare l’esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie che devono essere previste, e detta ingiunzione possa essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma sia rinnovabile in caso di persistenza di tale minaccia”.

Di più: l’ammissibilità di elementi di prova ottenuti mediante la conservazione rientra, “conformemente al principio di autonomia procedurale degli Stati membri, nell’ambito del diritto nazionale, sempreché nel rispetto, in particolare, dei principi di equivalenza e di effettività”.

Pertanto, al fine di assicurare il pieno rispetto delle rigide condizioni di accesso a dati personali quali i dati relativi al traffico e i dati relativi all’ubicazione, “l’accesso da parte delle autorità nazionali competenti ai dati conservati deve essere subordinato ad un controllo preventivo effettuato o da un giudice o da un organo amministrativo indipendente, e la decisione di tale giudice o di tale organo deve intervenire a seguito di una richiesta motivata di tali autorità presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di azione penale.”.

La Corte, dunque, torna a descrivere in maniera puntuale ed analitica i presupposti della “data retention” in ambito penale nell’imprescindibile rispetto dei principi di equivalenza e di effettività, collocando sui due piatti della bilancia – la quale, non a caso, costituisce da tempo immemore il simbolo della giustizia e dell’equità – la finalità di repressione del reato e quella della tutela dei diritti fondamentali della persona.

Conclusioni

Avendo riguardo a quanto ripercorso dalla Corte, sono molteplici gli spunti di riflessione. Si tratta, difatti, di una pronuncia particolarmente significativa che apre a numerosi scenari non soltanto sul piano della disciplina della procedura penale ma anche per quel che concerne le finalità di conservazione dei dati personali.

Sarebbe opportuno operare un discrimen fondato sulla tipologia dei dati oggetto di trattamento, prevedendo, probabilmente, un regime più elastico per le informazioni che riguardino, ad esempio, gli indirizzi IP attribuiti alla fonte di una connessione. Per altro verso, si potrebbe pensare a una regolamentazione specifica per procedere alla conservazione mirata dei dati di traffico e relativi all’ubicazione da utilizzare a fini di contrasto di gravi reati, definendo, eventualmente, presupposti e modalità per l’attuazione tempestiva dell’ordine di quick freeze di acquisizione dei dati.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4