La Corte di Giustizia Europea fissa i limiti della data retention a salvaguardia del diritto alla privacy. Quale futuro per il Codice Privacy?
La recente sentenza della Corte di giustizia europea del 2 marzo, resa nella causa C-746/18, si impone all'attenzione del lettore non tanto per lo specifico e peculiare problema affrontato e risolto ma soprattutto perché solleva una questione di portata generale assai più rilevante, relativa alla legittimità della regolazione (anche italiana) in materia di data retention
La recente sentenza della Corte di giustizia europea del 2 marzo, resa nella causa C-746/18, si impone all'attenzione del lettore non tanto per lo specifico e peculiare problema affrontato e risolto ma soprattutto perché solleva una questione di portata generale assai più rilevante, relativa alla legittimità della regolazione (anche italiana) in materia di data retention.
Gli aspetti principali che esprimono la forza innovativa della sentenza in epigrafe riguardano, da un lato, la limitazione dell'acquisibilità dei dati di traffico ai soli procedimenti per gravi reati o per gravi minacce per la sicurezza pubblica e, dall'altro, la necessaria subordinazione dell'acquisizione dei dati all'autorizzazione di un'autorità terza rispetto all'autorità pubblica richiedente.
Si tratta ovviamente di aspetti che sono tra loro connessi e che possiamo considerare come duplice espressione dell'unico denominatore comune: il principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza.
Giova premettere, a questo punto, che il campo in cui agisce la data retention, intesa come politica di gestione del periodo di conservazione e dell'accesso ai dati relativi al traffico, non al contenuto, delle comunicazioni tra utenti, ai fini del contrasto alla criminalità, è rappresentato appunto dai diritti e dalle libertà fondamentali.
Ebbene, come è stato chiarito anche dalla Grande Sezione della Corte di Giustizia con la decisione Digital Rights Ireland dell'8 aprile 2014 (cause riunite C-293/12 e C-594/12), con cui si è dichiarata l'invalidità della Direttiva 2006/24/CE, i dati relativi al traffico, in quanto idonei a fornire precise indicazioni sulla vita privata e sulle abitudini degli individui, costituiscono una espressione della «privacy» dei soggetti e, in quanto tali, richiedono il rispetto di quanto previsto agli articoli 7 (diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle comunicazioni) e 8 (diritto alla protezione dei dati di carattere personale) della Carta dei diritti fondamentali dell'Unione Europea.
D'altro canto, non v'è dubbio che la conservazione dei dati di traffico può effettivamente costituire un utile strumento ai fini del contrasto alla criminalità. Pur tuttavia il suo utilizzo, e quindi la sua regolamentazione, debbono armonizzarsi col principio di proporzionalità cui all'art. 52 par. 1 della Carta dei diritti Fondamentali dell'Unione, sulla base del quale «Eventuali limitazioni dei diritti e delle libertà […] possono essere apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui».
Ed è proprio partendo dall'affermazione di questo principio che la Corte ha condotto la sua analisi, giungendo ad enunciare i criteri inerenti all'accessibilità dei tabulati solo per gravi reati e al coinvolgimento del giudice o autorità amministrativa indipendente, di guisa da render concreto e sostanziale il principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza.
In particolare, quanto al primo punto, la Corte ha statuito che "l'accesso, per fini penali, ad un insieme di dati di comunicazioni elettroniche relativi al traffico o all'ubicazione, che permettano di trarre precise conclusioni sulla vita privata, è autorizzato soltanto allo scopo di lottare contro gravi forme di criminalità o di prevenire gravi minacce alla sicurezza pubblica". In siffatto contesto finalistico, non avrebbe nemmeno rilievo la distinzione tra conservazione dei dati generalizzata e indifferenziata oppure mirata. Inoltre, l'acquisizione sarebbe legittima a prescindere da altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l'accesso a tali dati.
Quanto al secondo aspetto, la Corte ha statuito che «l'accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un'entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell'ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate».
La previsione dell'intervento in sede di controllo preventivo da parte di un soggetto terzo, giudice o entità amministrativa indipendente, si giustifica ancora una volta con la necessità che del principio di stretta proporzionalità sia data concreta attuazione. E, a tal fine, non è ritenuto sufficiente invocare il rispetto formale delle prescrizioni normative ma è richiesto un controllo caso per caso.
Non v'è dubbio che spetti al diritto nazionale stabilire le condizioni e i criteri oggettivi in presenza dei quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l'accesso ai dati di cui essi dispongono, in modo da garantire che l'ingerenza sia limitata allo stretto necessario. Ma, allo stesso tempo, la garanzia del rispetto del principio di stretta proporzionalità, in un ambito così delicato come quello dei diritti fondamentali, non può esser riposta nella valutazione astratta codificata dalla norma ma richiede, invece, una valutazione specifica del caso concreto.
Dunque, al fine di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell'indagine nell'ambito della lotta contro la criminalità e, dall'altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall'accesso, è necessario l'intervento di un soggetto terzo e, segnatamente, di un'entità che «disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in gioco».
Le argomentazioni della Corte non lasciano spazio a dubbi in merito alla terzietà del soggetto incaricato di esercitare il controllo preventivo rispetto a quella che chiede l'accesso ai dati, di modo che il primo «sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna». E in ambito penale il requisito di indipendenza implica che «l'autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell'indagine penale di cui trattasi e, dall'altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale».
Siffatto parametro interpretativo non potrà che riaccendere il dibattito, in verità mai sopito, con riferimento alle normative nazionali in tema di data retention. In particolare, quanto alla disciplina interna, sarà inevitabile una più estesa riflessione in merito a quanto disposto dal Codice Privacy (art. 132 - "Conservazione di dati di traffico per altre finalità"), il quale, per quel che rileva nella presente indagine, legittima all'acquisizione il pubblico ministero mediante decreto motivato, non esigendo il vaglio da parte della funzione giudicante.
Sino ad oggi la giurisprudenza interna si è pronunciata per la compatibilità di siffatta normativa rispetto al sistema di tipo accusatorio, nel quale, nel corso delle indagini preliminari, è il pubblico ministero l'autorità giudiziaria che procede ma non in posizione di terzietà.
Sarà inevitabile un cambio di passo, posto che la decisione della Corte di Giustizia pone con chiarezza un punto fermo in tema di terzietà del soggetto che esercita il controllo preventivo sull'accesso ai dati, imprimendo alla data retention caratteri ormai distanti da quelli presenti nella legislazione interna.
La proporzionalità resta un principio di assoluta rilevanza per garantire il corretto equilibrio tra libertà e sicurezza, e in tale prospettiva la terzietà dell'organo di controllo rappresenta la direzione segnata dalla Corte Europea.
Ancora una volta, l'evoluzione tecnologica che investe e coinvolge la nostra quotidianità, le nostre abitudini e le nostre relazioni sociali, che fornisce strumenti di ausilio e promette di generare valore nell'interesse della collettività, richiede una costante opera di normazione, fatta di modifiche continue e di assestamenti giuridici, nella consapevolezza che in uno stato di diritto libertà e sicurezza debbono coesistere in un costante equilibrio tra di loro. Opera di regolazione che presenta una maggiore complessità per via del cd «determinismo tecnologico», ovvero quel connotato insito nella tecnologia che non si limita ad accompagnare il cambiamento ma che, il più delle volte, lo determina.
*Avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR
Controlled Foreign Companies (CFC), semplificazioni e coordinamento con il “Pillar 2”
di Claudio Finanze, Stefania Gestra*
