Comunitario e Internazionale

Privacy: illegale un obbligo generale di conservazione dati ai fornitori E-Service

Gli Stati membri della Ue non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica. Lo ha stabilito la Corte di Giustizia europea con la sentenza 21 dicembre 2016 causa C 203/15 rilevando che «il diritto dell'Unione impedisce una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione, ma è consentito agli Stati membri prevedere, a titolo preventivo, la conservazione mirata di tali dati al solo scopo di lottare contro gravi fenomeni di criminalità, a condizione che tale conservazione di dati sia limitata allo stretto necessario per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone implicate, oltreché la durata di conservazione prevista». L'accesso delle autorità nazionali ai dati conservati deve essere soggetto a condizioni, tra cui in particolare «un controllo preventivo da parte di un'autorità indipendente e la conservazione dei dati nel territorio dell'Unione».

I precedenti - Va ricordato che nella sentenza Digital Rights Ireland del 2014, la Corte di giustizia aveva dichiarato invalida la direttiva sulla conservazione dei dati perché l'ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, determinata dall'obbligo generale di conservazione dei dati relativi al traffico e all'ubicazione, non era limitata allo stretto necessario. In base a quella sentenza la Corte è stata investita di due controversie sull'obbligo generale imposto in Svezia e nel Regno Unito ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi a tali comunicazioni, sulla base della direttiva dichiarata invalida.
Dopo la sentenza Digital Rights Ireland, l'impresa di telecomunicazioni Tele2 Sverige ha notificato all'autorità svedese di vigilanza sulle poste e telecomunicazioni la decisione di cessare di effettuare la conservazione dei dati, nonché l' intenzione di cancellare i dati già registrati. Il diritto svedese obbliga, infatti, i fornitori di servizi di comunicazione elettronica a conservare in maniera sistematica e continua, senza alcuna eccezione, l'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione di tutti i loro abbonati ed utenti iscritti, con riferimento a tutti i mezzi di comunicazione elettronica.
In un'altra causa due cittadini britannici hanno proposto dei ricorsi contro la normativa britannica di conservazione dei dati, che consente al ministro dell'Interno di obbligare gli operatori di telecomunicazioni pubbliche a conservare tutti i dati relativi a comunicazioni per una durata massima di dodici mesi, fermo restando che è esclusa la conservazione del contenuto di tali comunicazioni.
La Corte Ue è stata sollecitata da rinvii pregiudiziali a precisare se siano compatibili con il diritto dell'Unione (nella fattispecie la direttiva relativa alla vita privata e alle comunicazioni elettroniche , letta alla luce della Carta dei diritti fondamentali della Ue) i regimi nazionali che impongono ai fornitori di servizi di comunicazione elettronica un obbligo generale di conservazione dei dati e che prevedono l'accesso delle autorità nazionali competenti ai dati conservati, senza limitare tale accesso alle sole finalità di lotta contro la criminalità grave e senza subordinare l'accesso ad un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente.

La posizione della Cgue - Nella sentenza , la Corte indica che il diritto dell'Unione non consente una normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati. Le misure nazionali in questione rientrano nell'ambito di applicazione della direttiva poichè la tutela della riservatezza delle comunicazioni elettroniche e dei dati relativi al traffico, garantita dalla direttiva, si applica alle misure adottate da qualsiasi soggetto diverso dagli utenti, indipendentemente dal fatto che si tratti di persone fisiche o di enti privati o pubblici.
Ma se la direttiva consente agli Stati membri di limitare la portata dell'obbligo di principio di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ad esse correlati, non può però giustificare che la deroga a tale obbligo di principio e, in particolare, al divieto di memorizzare tali dati, prevista dalla direttiva stessa, diventi la regola.

La Corte ricorda in ogni caso che secondo la propria giurisprudenza costante «la tutela del diritto fondamentale al rispetto della vita privata esige che le deroghe alla protezione dei dati personali intervengano entro i limiti dello stretto necessario». Si tratta di un principio che la Corte applica anche alle norme disciplinanti la conservazione dei dati e a quelle disciplinanti l'accesso ai dati conservati, che sono tali da consentire di ricavare conclusioni assai precise sulla vita privata delle persone
Di conseguenza, «l'ingerenza risultante da una normativa nazionale che preveda la conservazione dei dati relativi al traffico e dei dati relativi all'ubicazione deve essere considerata particolarmente grave». Il fatto che la conservazione dei dati venga effettuata senza che gli utenti dei servizi di comunicazione elettronica ne siano informati «è idoneo a ingenerare, nello spirito delle persone riguardate, la sensazione che la loro vita privata costituisca l'oggetto di una sorveglianza continua». Ecco perchè «soltanto la lotta contro la criminalità grave è idonea a giustificare una tale ingerenza».
Inoltre, se la normativa sulla conservazione generalizzata e indifferenziata dei dati non richiede alcuna correlazione tra i dati di cui si prevede la conservazione ed una minaccia per la sicurezza pubblica e non si limita a prevedere una conservazione dei dati afferenti un periodo temporale e/o una zona geografica e/o una cerchia di persone suscettibili di essere implicate in una violazione grave, «eccede i limiti dello stretto necessario e non può essere considerata giustificata in una società democratica, così come richiesto dalla direttiva letta alla luce della Carta».

Le eccezioni consentite - Per contro, la direttiva «non impedisce una normativa nazionale che imponga una conservazione mirata dei dati per finalità di lotta contro gravi fenomeni di criminalità, a condizione che tale conservazione dei dati sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone implicate, nonchè la durata di conservazione prevista, limitata allo stretto necessario». Qualsiasi normativa nazionale in tal senso «deve essere chiara e precisa, deve prevedere garanzie sufficienti al fine di proteggere i dati contro i rischi di abuso, deve indicare le circostanze e le condizioni in presenza delle quali una misura che disponga la conservazione di dati possa, a titolo preventivo, essere adottata, in modo da garantire che l'ampiezza di tale misura sia, in pratica, effettivamente limitata allo stretto necessario, deve essere fondata su elementi oggettivi, che consentano di prendere in considerazione le persone i cui dati siano idonei a presentare un collegamento con atti di criminalità grave, a contribuire alla lotta contro la criminalità grave o a prevenire un rischio grave per la sicurezza pubblica».
Infine, «è essenziale che l'accesso ai dati conservati sia subordinato, salvo in casi di urgenza, ad un controllo preventivo effettuato da un giudice o da un'entità amministrativa indipendente e le autorità nazionali competenti cui sia stato consentito l'accesso ai dati conservati devono darne comunicazione alle persone interessate».

Cgue – Grande sezione – Sentenza 21 dicembre 2016 causa C-203/15

Per saperne di piùRiproduzione riservata ©