07/04/2022
La Corte di Giustizia UE conferma la prevalenza dei diritti fondamentali in tema di 'data retention'

Il diritto dell’Unione osta alla conservazione generalizzata e indifferenziata, per finalità di lotta ai reati gravi, dei dati relativi al traffico e dei dati relativi all’ubicazione riguardanti le comunicazioni elettroniche

Data retention, La Corte di giustizia conferma la prevalenza dei diritti fondamentali

Nuova fondamentale puntata nella saga europea relativa alla valutazione della compatibilità delle discipline nazionali in tema di data retention con il diritto europeo e soprattutto con i principi derivanti dalla Carta dei diritti fondamentali della UE.

Su un caso irlandese i giudici del Kirchberg forniscono una interpretazione del diritto UE che, richiamando le precedenti decisioni e riaffermando i principi di fondo della giurisprudenza UE sul punto, pongono numerosi interrogativi anche sulla stessa compatibilità europea della disciplina italiana di recente oggetto di modifica da parte del nostro Legislatore (DL 132/2021 `convertito con Legge n. 178 del 2021) proprio nel tentativo di venire incontro alle richieste dei giudici della Corte di giustizia.

La decisione resa dalla Grande sezione della Corte di giustizia nella causa C-140/20 (Commissioner of the Garda Síochána e a.) risolve il rinvio pregiudiziale operato dal giudice irlandese.

Nel caso in rassegna la Corte dell'Unione europea ha sanzionato l'illegittimità delle normative statali che, ai fini della lotta contro i reati gravi, consentono la conservazione generalizzata, indifferenziata e preventiva dei dati sul traffico e sulla localizzazione nelle comunicazioni elettroniche.

La vicenda irlandese alla base del rinvio pregiudiziale riguardava il ricorso di un imputato per omicidio che riteneva violati i propri diritti fondamentali in ragione di indagini fondate su dati ricavabili dalle comunicazioni elettroniche illegittimamente conservati in maniera indifferenziata e generalizzata.

I quesiti proposti dai giudici irlandesi chiedevano delucidazioni sul giusto equilibrio tra i requisiti di conservazione di dati ricavabili dalle comunicazioni elettroniche e le garanzie necessarie in caso di accesso a essi, a partire dalle ipotesi di lotta ai crimini gravi. Chiedevano, infine, se fosse possibile delimitare l'efficacia temporale della declaratoria di illegittimità di una normativa in materia.

Secondo i giudici di Lussemburgo la direttiva del 2006 relativa alla vita privata e alle comunicazioni elettroniche, letta in combinato disposto con i diritti derivanti dalla Carta dei diritti fondamentali, non si limita a disciplinare le garanzie dirette a prevenire gli abusi in caso di accesso bensì stabilisce un divieto della memorizzazione dei dati relativi al traffico e all'ubicazione. Oltre a vietare ogni ingerenza, intercettazione e sorveglianza nelle comunicazioni elettroniche.

Agli Stati membri è consentito derogare a tale regola generale in casi specifici da interpretare restrittivamente e con i limiti derivanti dal principio di proporzionalità che impone non solo dei requisiti di idoneità e di necessità ma anche la commisurazione all'obiettivo perseguito di lotta ai crimini, ma solo a quelli più gravi, non potendosi prevedere deroghe ampie per i delitti comuni.

Tale obiettivo non è di per sé sufficiente a giustificare come necessaria una misura di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione.

La CGUE ricorda inoltre come le norme sull'accesso ai dati delle comunicazioni elettroniche non possano in alcun modo avere come conseguenza quella di giustificare ingerenze tanto gravi come quelle derivanti dalla previsione di una conservazione "indiscriminata", ciò in quanto si verificherebbe la compromissione di diritti fondamentali di ampi strati della popolazione, senza che i dati degli interessati siano idonei a rivelare una connessione, almeno indiretta, con l'obiettivo perseguito.

Nell’individuare l'obiettivo che legittima l'accesso a tali dati generalizzati la Corte ricorda che la lotta ai crimini gravi non può essere equiparata a una minaccia per la sicurezza nazionale reale e attuale o prevedibile, in grado di giustificare una misura di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione degli utenti delle comunicazioni elettroniche.

Dunque la Corte introduce una importante distinzione tra motivazioni legate alla sicurezza nazionale, alla sicurezza pubblica e alla lotta alla criminalità ricordando che solo in caso di pericolo per la sicurezza nazionale sono legittimate le misure generalmente derogatorie dei diritti garantiti dalla Carta UE.

Una siffatta "minaccia", che giustifica una tale misura, deve distinguersi per i suoi caratteri di gravità e specificità delle circostanze di un rischio generale e permanente alla sicurezza pubblica.

Conseguentemente le autorità nazionali competenti possono adottare solo misure di “conservazione mirata” basate su un criterio geografico, come il tasso medio di criminalità in una data zona geografica, in questo caso anche senza necessariamente disporre di indizi concreti relativi alla preparazione o alla commissione, nelle zone interessate di atti di criminalità grave.

Le autorità nazionali competenti possono disporre una misura di conservazione "rapida" (quick freeze) fin dalla prima fase dell'indagine relativa a una minaccia grave per la sicurezza pubblica o a un eventuale atto di criminalità grave, ossia dal momento in cui tali autorità, secondo il diritto nazionale, possono avviare una siffatta indagine.

Solo in tali ipotesi una tale misura può essere estesa al traffico delle comunicazioni o all'ubicazione di persone diverse da quelle sospettate di avere progettato o commesso un reato grave o un attentato alla sicurezza nazionale, ma solo se tali dati possano realmente contribuire, in base a elementi oggettivi e non discriminatori, all'accertamento di un reato o a prevenire un attentato alla sicurezza nazionale, come quelli relativi alla vittima o al suo ambiente sociale o professionale.

Le diverse misure possono, a scelta del legislatore nazionale e nel rispetto dei limiti dello stretto necessario, essere applicate congiuntamente.

I giudici europei riaffermano poi che ai sensi del diritto dell’Unione non é legittima una decisione che limiti nel tempo gli effetti di una declaratoria di invalidità stabilita in ragione della violazione del diritto UE.

La Corte spiega, infine, che gli accessi della polizia a tali dati devono essere autorizzati da figura autonome e indipendenti quali quelle dei giudici cui è affidato un controllo preventivo a seguito della richiesta motivata presentata dagli inquirenti.

La Corte ricorda in conclusione che l'ammissibilità degli elementi di prova ottenuti da una generalizzata e preventiva conservazione rientra nel principio di autonomia procedurale degli Stati membri, ma sempre nel rispetto dei principi di equivalenza e di effettività.

In definitiva la Corte ha dichiarato:

1)  L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta a misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. Il predetto articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, non osta, invece, a misure legislative che prevedano, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica,

– la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;

–  la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;

–  la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e

–  il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi,

se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

2)  L’articolo 15, paragrafo 1, della direttiva 2002/58, come modificato dalla direttiva 2009/136, letto alla luce degli articoli 7, 8, 11 e dell’articolo 52, paragrafo l, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell’ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, assistito da un’unità istituita all’interno della polizia che gode di una certa autonomia nell’esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale.

3)  Il diritto dell’Unione deve essere interpretato nel senso che esso osta a che un giudice nazionale limiti nel tempo gli effetti di una declaratoria di invalidità ad esso spettante, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, a causa dell’incompatibilità di tale normativa con l’articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce della Carta dei diritti fondamentali. L’ammissibilità degli elementi di prova ottenuti mediante una siffatta conservazione rientra, conformemente al principio di autonomia procedurale degli Stati membri, nell’ambito del diritto nazionale, sempreché nel rispetto, in particolare, dei principi di equivalenza e di effettività.

Roma, 7 aprile 2022

 

*commento a cura di Amedeo Barletta Co-Responsabile Osservatorio Europa

 

 DOWNLOAD