la sentenza

Data retention, i paletti della Corte Ue: gli aspetti chiave per i nostri diritti fondamentali

Negli ultimi anni a Corte di Giustizia Ue è intervenuta varie volte in tema di conservazione dei dati per finalità di prevenzione e repressione dei reati dando vita ad una giurisprudenza costante con decisioni che rappresentano “pietre miliari”. Ecco i punti salienti dell’ultima sentenza

27 Apr 2022
Luigi Montuori

Garante Privacy, Dirigente Servizio relazioni internazionali e con l'Unione europea

La Corte di Giustizia Ue è intervenuta nuovamente in tema di conservazione dei dati per finalità di prevenzione e repressione dei reati nella causa C-140/20 (Commissioner of the Garda Síochána e a.) [1] che risolve il rinvio pregiudiziale operato dal giudice irlandese.

Data retention, c’è un limite anche per i reati gravi: bene la Corte di Giustizia UE

Data retention, il caso alla Corte di Giustizia ue

Il caso ha inizio con il ricorso proposto in sede civile da un individuo condannato nel marzo 2015 alla pena dell’ergastolo per omicidio di una donna. Nel processo penale il ricorrente, che si è sempre proclamato innocente, ha contestato, senza successo, l’inammissibilità di taluni elementi di prova introdotti dall’accusa e basati sui dati tratti da mezzi di telecomunicazione.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Il ricorrente si è così rivolto in sede civile -davanti all’Alta Corte irlandese – per censurare alcune disposizioni del Communications (Retention of Data) Act 2011, che disciplina la conservazione e l’accesso ai dati relativi alle telecomunicazioni da parte delle autorità nazionali irlandesi (in particolare, le forze di polizia), con cui l’Irlanda ha dato attuazione alla direttiva 2006/24/CE, invalidata dalla Corte di giustizia con la sentenza Digital rights, che prevedeva l’obbligo dei fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione elettronica di conservare per un certo periodo di tempo, non inferiore a sei mesi e non superiore a due anni, i dati in discorso, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi [2].

L’intento del ricorrente era infatti di ottenere nel giudizio civile la dichiarazione di incompatibilità delle disposizioni della legge del 2011 (segnatamente l’art. 6, par. 1, lett. a)) con l’art. 15, par. 1, della direttiva 2002/58/UE[3], letto alla luce degli articoli 7, 8 e 52, par. 1, della Carta dei diritti fondamentali dell’Unione europea, allo scopo di determinare, nel processo penale pendente in appello contro la sua condanna, l’inammissibilità della prova a suo carico. Nel giudizio civile l’Alta Corte irlandese ha accolto il ricorso con una dichiarazione di incompatibilità, decisione impugnata dall’Irlanda dinanzi alla Corte suprema, che ha formulato la domanda di pronuncia pregiudiziale.

Gli interventi della Corte Ue in tema di conservazione e accesso ai dati di traffico

Il tema della conservazione e dell’accesso ai dati di traffico è noto e la Corte di giustizia negli ultimi anni è intervenuta varie volte dando vita ad una giurisprudenza costante della Corte con decisioni che rappresentano “pietre miliari” (l’espressione si legge nelle conclusioni rese nella causa C-623/17, punto 1): la sentenza Digital Rights dell’8 aprile 2014 (C-293/12 e C-594/12), la sentenza Tele2 Sverige e Watson e a. del 21 dicembre 2016 (C-203/15 e C-698/15) e, più di recente, la sentenza Ministerio Fiscal del 2 ottobre 2018 (C-207/16). La materia è stata oggetto anche di altri rinvii pregiudiziali le cui cause pendono attualmente dinanzi alla Corte di giustizia (le domande di pronuncia pregiudiziale proposte dal Conseil d’État, cause riunite C-511/18 e C-512/18, riguardanti la legislazione francese; dalla Cour constitutionnelle belga, causa C-520/18, riguardante il Belgio; dal Riigikohus, causa C-746/18, concernente l’Estonia; dal Bundesverwaltungsgericht, causa C-793/19, relativa alla Germania).

In tale contesto è stato evidenziato come la direttiva 2002/58/ce disciplina le attività dei fornitori di servizi di comunicazione elettronica, che non possono essere considerate come attività proprie degli Stati, ai sensi dell’art. 1, par. 3, e che il tema della conservazione e dell’accesso ai dati di traffico sollevi questioni riguardanti non solo il rispetto degli artt. 7 e 8 della Carta, esplicitamente menzionati nella domanda di pronuncia pregiudiziale in esame, ma anche la tutela della libertà di espressione, garantita dall’art. 11 della Carta, quale valore fondante dell’Unione e di ogni società democratica e pluralista (v. la sentenza Tele2, punti 92-93, e la sentenza Digital Rights, punto 25).

Lo stesso Regolamento generale (UE) 2016/679 (GDPR) all’art. 95, nel disciplinare il rapporto con la direttiva del 2002, chiarisce che lo stesso “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 58” (v. anche il considerando 173). Si consideri anche che il RGPD, nel all’art. 23 prevede la limitazione dei diritti e degli obblighi da esso previsti per la salvaguardia della sicurezza nazionale, della difesa e della sicurezza pubblica ed esplicita con maggiore completezza (rispetto all’art. 13, par. 1, della direttiva 95/46/CE, richiamato dall’art. 15 cit.) le garanzie da assicurare, quali il ricorso allo strumento legislativo, il rispetto dell’essenza dei diritti e delle libertà fondamentali e la necessità e proporzionalità delle misure da adottare nel contesto di una società democratica.

I paletti della Corte Ue per l’accesso da parte delle forze dell’ordine

La Corte di giustizia anche in questo caso ha confermato che solo in situazioni particolari (come i casi di minaccia da attività di terrorismo degli interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica) l’accesso ai dati di altre persone (rispetto ai sospettati di progettare, di commettere o di aver commesso una violazione grave o anche di essere implicate in una maniera o in un’altra in una violazione siffatta) può essere concesso, ove sussistano elementi oggettivi che consentono di ritenere che tali dati possano, in un caso concreto, fornire un contributo effettivo alla lotta contro simili attività (così il punto 119 della sentenza Tele2). In tal caso però le normative nazionali devono rispettare comunque le prescrizioni scaturenti dall’articolo 15, par. 1, della direttiva 58, sia per l’accesso delle autorità nazionali competenti ai dati conservati, sia per la protezione ed il livello di sicurezza di tali dati (cfr. il punto 124 della sentenza Tele2); aspetti devoluti alla verifica dei giudici del rinvio.

Importanti sono le condizioni indicate dal giudice europeo rispetto all’accesso da parte delle forze dell’ordine (cfr. i punti 120-123 della sentenza Tele2), quali:

  • limitazione dell’accesso delle autorità nazionali competenti ai dati conservati solo in caso di lotta contro la criminalità grave;
  • sottoposizione di tale accesso (eccettuati i casi di urgenza debitamente giustificati) ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente avviato su richiesta motivata delle autorità nazionali competenti, presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale;
  • controllo da parte di un’autorità indipendente del rispetto dell’elevato livello di protezione richiesto dall’art. 8, par. 3, della Carta;
  • notizia alle persone interessate, ove tale notizia non comprometta le indagini;
  • adozione di misure tecniche e organizzative appropriate, che consentano di garantire un livello elevato di protezione e di sicurezza dei dati;
  • previsione della conservazione nel territorio dell’Unione;
  • previsione della distruzione irreversibile dei dati al termine della durata di conservazione.

La questione pregiudiziale sollevata dal giudice irlandese

È questo il contesto in cui nasce la questione pregiudiziale sollevata dal giudice irlandese relativamente alla norma nazionale (art. 3 della legge del 2011), che impone a tutti i prestatori di servizi di conservare i dati relativi alla telefonia fissa e mobile, indipendentemente da una qualche connessione, nemmeno indiretta, con la finalità perseguita, e anche nei riguardi di normative, come quella italiana, che prevedono anche termini elevati di durata della conservazione dei dati (art. 24 della legge 20 novembre 2017, n. 167)[4], in deroga a quanto previsto dall’art. 132, co. 1 e 1-bis, del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, nella parte in cui tale norma fissa i tempi di conservazione dei dati in ventiquattro mesi, per i dati relativi al traffico telefonico, e in dodici mesi, per i dati concernenti il traffico telematico).

Ora con riferimento ai quesiti formulati dal giudice del rinvio irlandese ed in particolare riguardo alla compatibilità con l’art. 15, par. 1, della direttiva 2002/58/ce, per come interpretato alla luce della Carta, di un regime generale o universale di conservazione dei dati di traffico per motivi di sicurezza nazionale, si può evidenziare innanzitutto come la Corte ha precisato che la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione costituisce, di per sé, da un lato, “una deroga al divieto, previsto dall’articolo 5, paragrafo 1, della direttiva 2002/58” e, dall’altro, “un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta” richiamando, in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, punti 115 e 116.

Secondo la Corte, l’articolo 15, par 1, prima frase, della direttiva del 2002 prevede che gli Stati membri possono adottare una misura che deroga al principio di riservatezza qualora la misura sia «necessaria, opportuna e proporzionata all’interno di una società democratica», alla luce degli obiettivi enunciati da detta disposizione, laddove il considerando 11 della direttiva precisa che una misura siffatta deve essere «strettamente» proporzionata allo scopo perseguito (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 129).

Altro aspetto di primaria importanza evidenziato dalla Corte, peraltro già affermato in precedenti sentenze[5] è che la conservazione e l’accesso ai dati personali costituiscono ingerenze distinte nei diritti fondamentali garantiti agli articoli 7 e 11 della Carta, che richiedono una giustificazione distinta, ai sensi dell’articolo 52, paragrafo 1, della stessa. Pertanto, una normativa nazionale che garantisce il pieno rispetto delle condizioni risultanti dalla giurisprudenza che ha interpretato la direttiva del 2002 in materia di accesso ai dati conservati non può limitare né rimediare all’ingerenza grave che risulterebbe da una conservazione generalizzata prevista dalla normativa nazionale.

I paletti della corte Ue

Ora nella decisione in commento la Corte in merito al punto sui criteri che il giudice nazionale deve applicare per stabilire se la disciplina dell’accesso prevede il necessario controllo preventivo indipendente e se, nell’ambito di tale valutazione, questi possa tenere conto dell’esistenza di un controllo ex post di natura giurisdizionale o indipendente, la Corte osserva che il controllo preventivo (salvo in casi di urgenza) da parte di un giudice o di un’autorità indipendente rappresenta un aspetto essenziale e di notevole importanza in materia, (art. 8 della Carta di Nizza, art. 16, par. 2, del TFUE e dalla giurisprudenza della Corte di giustizia). Non è irrilevante, infatti, che tra i profili di invalidità che inficiavano la direttiva 2006/24/CE figurava anche la mancata previsione nella stessa dell’obbligo di conservazione dei dati sul territorio dell’Unione europea, proprio perché ritenuto essere un aspetto imprescindibile per assicurare il controllo indipendente e l’esercizio dei diritti da parte degli interessati[6]. Su questa base la Corte ha ritenuto che la normativa irlandese sia suscettibile di ingenerare dubbi negli interessati circa l’effettiva indipendenza funzionale della Unità di polizia abilitata a trattare quei dati di telefonia, quindi, sulla sua reale autonomia.

Importante rilevare come la Corte ha dichiarato che la direttiva del 2002, letta alla luce della Carta, non consente misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. Il giudice di Lussemburgo ha infatti evidenziato che solo la lotta alla criminalità grave e a maggior ragione la salvaguardia della sicurezza nazionale sono idonee a giustificare una tale conservazione, sempre che tale misura e l’accesso ai dati conservati rispettino i limiti dello stretto necessario. Tale posizione si basa sulla considerazione che non si può equiparare la criminalità, anche particolarmente grave, alla minaccia alla sicurezza nazionale, perché in tal modo secondo la Corte si introdurrebbe una ulteriore categoria, intermedia, avente però i medesimi requisiti.

Quello che può consentire la direttiva del 2002 è invece che per fini di “lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica” possono essere adottate misure legislative che prevedano la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione, limitata però da “elementi oggettivi e non discriminatori”, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile. Si può immaginare una conservazione limitata ad esempio a luoghi o infrastrutture particolari perché molto frequentati o a luoghi strategici, come ad esempio gli aeroporti o le stazioni. Certo è che operare questa ulteriore differenziazione significa inserire altre difficoltà operative non solo nell’individuare tali aree ma anche nel definire ipotesi e condizioni della conservazione mirata ma, nonostante ciò, la Corte insiste sul fatto che tale difficoltà non può giustificare una conservazione generalizzata e indifferenziata dei dati relativi di traffico e di ubicazione.

La misura di Quick freeze

Altro aspetto di rilievo della decisione in esame è la misura di Quick freeze (conservazione rapida) che secondo la Corte può essere estesa ai dati relativi al traffico e ai dati relativi all’ubicazione di persone diverse da quelle sospettate di aver progettato o commesso un reato grave o un attentato alla sicurezza nazionale, a patto che questi dati possano realmente contribuire, sempre sulla base di elementi oggettivi e non discriminatori, all’accertamento di una tale tipologia di reati, come per i dati della vittima o delle persone a lei vicine.

Tuttavia, la Corte precisa, poi, che tutte le summenzionate misure legislative devono garantire, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi. Le diverse misure di conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione possono, a scelta del legislatore nazionale e nel rispetto dei limiti dello stretto necessario, essere applicate congiuntamente.

La Corte ricorda in conclusione che l’ammissibilità degli elementi di prova ottenuti da una generalizzata e preventiva conservazione rientra nel principio di autonomia procedurale degli Stati membri, ma sempre nel rispetto dei principi di equivalenza e di effettività.

I tre aspetti importanti puntualizzati dalla Corte

In definitiva possiamo evidenziare che la Corte nella Causa in esame ha puntualizzato tre importanti aspetti.

Il primo riguarda l’interpretazione da dare all’articolo 15, par. 1, della direttiva 2002/58/CE, letto alla luce degli articoli 7, 8 e 52, par. 1, della Carta dei diritti fondamentali dell’UE, deve essere interpretato nel senso che gli stati membri non possono adottare misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione.

Lo stesso articolo 15, consente invece, l’adozione di misure legislative che prevedano, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica,

  • la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione purché delimitata per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico;
  • la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;
  • la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e
  • il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi, sempre che tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

Secondo aspetto puntualizzato dalla Corte riguarda sempre l’articolo 15, paragrafo 1, della direttiva 2002/58, che deve essere interpretato nel senso che questo non consente a uno stato membro di adottare una normativa nazionale che prevede un trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica affidato a un funzionario di polizia e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale.

Infine, punto sicuramente di rilievo, è che il giudice europeo ha rilevato che il diritto dell’Unione non consente che un giudice nazionale possa limitare nel tempo gli effetti di una declaratoria di invalidità neanche quando questa trae forza dal diritto nazionale, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, a causa dell’incompatibilità di tale normativa con la direttiva 2002/58. L’ammissibilità degli elementi di prova ottenuti mediante tale conservazione rientra, grazie al principio di autonomia procedurale degli Stati membri, nell’ambito del diritto nazionale, sempre nel rispetto dei principi di equivalenza e di effettività.

Note

  1. https://curia.europa.eu/juris/document/document.jsf;jsessionid=B0B2E6501341A26A08B7FABDBFC4F9AF?text=&docid=257242&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=2737167
  2. Sentenza della Corte (Grande Sezione) dell’8 aprile 2014 resa nella causa C-293/12, Digital rights Ireland Ltd contro Minister for Communications, Marine and Natural Resources e a. e Kärntner Landesregierung e a. – che ha dichiarato invalida la direttiva 2006/24/CE sulla conservazione dei dati di traffico – Domande di pronuncia pregiudiziale proposte dalla High Court (Irlanda) e dal Verfassungsgerichtshof.
  3. direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009,
  4. sulla durata, pari a sei anni, della conservazione dei dati di traffico telefonico e telematico e dei dati relativi a tutte le chiamate senza risposta, per finalità di accertamento e repressione dei delitti consumati o tentati con finalità di terrorismo, di cui agli artt. 51 co. 3-quater, e dei reati ricompresi nell’elenco recato dall’art. 407, co. 2, lett. a), c.p.p. (altri reati tra cui devastazione, saccheggio e strage, guerra civile, associazioni di tipo mafioso anche straniere).
  5. (in tal senso la già citata sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 129)
  6. sentenza Schrems, C‑362/14, punti 41 e 58
candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3