Privacy, CGUE: direttiva UE su conservazione dati è invalida
La direttiva europea sulla conservazione dei dati è invalida perché comporta un’ingerenza di vasta portata e particolare gravità (non limitata allo stretto necessario) in due diritti fondamentali: il rispetto della vita privata e la protezione dei dati di carattere personale. Lo afferma la Corte di Giustizia dell’Unione Europea nella sentenza odierna che interviene nella causa tra le autorità irlandesi e austriache da una parte e alcune società di comunicazioni elettroniche dall’altra.
La direttiva sulla conservazione dei dati ha per obiettivo l’armonizzazione delle disposizioni degli Stati membri sulla conservazione di determinati dati generati o trattati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione. Essa è quindi volta a garantire la disponibilità di tali dati a fini di indagine, accertamento e perseguimento di reati gravi, come quelli legati alla criminalità organizzata e al terrorismo. La direttiva dispone che i fornitori debbano conservare i dati relativi al traffico e all’ubicazione, nonché i dati connessi necessari per identificare l’abbonato o l’utente. La direttiva non autorizza, invece, la conservazione del contenuto della comunicazione e delle informazioni consultate.
Le Corti di Irlanda e Austria hanno chiesto alla Corte di giustizia di esaminare la validità della direttiva, alla luce di due diritti fondamentali garantiti dalla Carta dei diritti fondamentali dell’Unione europea, ossia il diritto al rispetto della vita privata e il diritto alla protezione dei dati di carattere personale. In particolare la Corte austriaca è investita di vari ricorsi presentati da Governo del Land di Carinzia e da altri 11.128 ricorrenti che mirano ad ottenere l’annullamento della disposizione nazionale che attua la direttiva nel diritto austriaco.
Nella sua odierna sentenza, la Corte dichiara la direttiva invalida perché i dati da conservare consentono di sapere con quale persona e con quale mezzo un abbonato o un utente registrato ha comunicato, di determinare il momento della comunicazione nonché il luogo da cui ha avuto origine e di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente registrato con determinate persone in uno specifico periodo. Tali dati, considerati congiuntamente, possono fornire indicazioni assai precise sulla vita privata dei soggetti i cui dati sono conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri o di diversa frequenza, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati.
La Corte ritiene che la direttiva, imponendo la conservazione di tali dati e consentendovi l’accesso alle autorità nazionali competenti, si ingerisca in modo particolarmente grave nei i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale. Inoltre, il fatto che la conservazione ed il successivo utilizzo dei dati avvengano senza che l’abbonato o l’utente registrato ne siano informati può ingenerare negli interessati la sensazione che la loro vita privata sia oggetto di costante sorveglianza.
Questa ingerenza nei diritti fondamentali è giustificata? In parte sì perché non consente di prendere conoscenza del contenuto delle comunicazioni elettroniche in quanto tale e prevede che i fornitori di servizi o di reti rispettino determinati principi di protezione e di sicurezza dei dati. Inoltre, la conservazione dei dati ai fini della loro eventuale trasmissione alle autorità nazionali competenti risponde a un obiettivo di interesse generale, vale a dire la lotta alla criminalità grave nonché, in definitiva, la pubblica sicurezza.
Ma, secondo la Corte, il legislatore dell’UE, con l’adozione della direttiva sulla conservazione dei dati, ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità: l’ingerenza vasta e particolarmente grave della direttiva nei diritti fondamentali in parola non è sufficientemente regolamentata in modo da essere effettivamente limitata allo stretto necessario.
La direttiva, infatti, si applica all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venga operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi. In secondo luogo, la direttiva non prevede alcun criterio oggettivo che consenta di garantire che le autorità nazionali competenti abbiano accesso ai dati e possano utilizzarli solamente per prevenire, accertare e perseguire penalmente reati che possano essere considerati, tenuto conto della portata e della gravità dell’ingerenza nei diritti fondamentali summenzionati, sufficientemente gravi da giustificare una simile ingerenza. Al contrario, la direttiva si limita a fare generico rinvio ai «reati gravi» definiti da ciascuno Stato membro nella propria legislazione nazionale. Inoltre, la direttiva non stabilisce i presupposti materiali e procedurali che consentono alle autorità nazionali competenti di avere accesso ai dati e di farne successivo uso. L’accesso ai dati, in particolare, non è subordinato al previo controllo di un giudice o di un ente amministrativo indipendente.
In terzo luogo, quanto alla durata della conservazione dei dati, la direttiva impone che essa non sia inferiore a 6 mesi, senza operare distinzioni tra le categorie di dati a seconda delle persone interessate o dell’eventuale utilità dei dati rispetto all’obiettivo perseguito. Inoltre, tale durata è compresa tra un minimo di sei ed un massimo di ventiquattro mesi, senza che la direttiva precisi i criteri oggettivi in base ai quali la durata della conservazione deve essere determinata, in modo da garantire la sua limitazione allo stretto necessario.
La Corte constata peraltro che la direttiva non prevede garanzie sufficienti ad assicurare una protezione efficace dei dati contro i rischi di abusi e contro qualsiasi accesso e utilizzo illeciti dei dati. Essa rileva, tra l’altro, che la direttiva autorizza i fornitori di servizi a tenere conto di considerazioni economiche in sede di determinazione del livello di sicurezza da applicare (in particolare per quanto riguarda i costi di attuazione delle misure di sicurezza) e non garantisce la distruzione irreversibile dei dati al termine della loro durata di conservazione.
La Corte censura, infine, il fatto che la direttiva non impone che i dati siano conservati sul territorio dell’Unione. La direttiva non garantisce, quindi, il pieno controllo da parte di un’autorità indipendente del rispetto delle esigenze di protezione e di sicurezza, come è invece espressamente richiesto dalla Carta. Orbene, un controllo siffatto, compiuto sulla base del diritto dell’Unione, costituisce un elemento essenziale del rispetto della protezione delle persone con riferimento al trattamento dei dati personali.
