x

x

Privacy - Corte di Giustizia dell’Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica

Privacy - Corte di Giustizia dell’Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica
Privacy - Corte di Giustizia dell’Unione Europea: gli Stati membri non possono imporre un obbligo generale di conservazione di dati ai fornitori di servizi di comunicazione elettronica

La Corte di Giustizia dell’Unione Europea ha affermato che è incompatibile con il diritto europeo la normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica, consentita al solo scopo di contrastare gravi forme di criminalità, a condizione che tale conservazione sia limitata allo stretto necessario e sia garantito il controllo preventivo da parte di un’autorità indipendente e la conservazione dei dati sul territorio dell’Unione.

Con la sentenza “Digital Rights Ireland” del 2014, la Corte di Giustizia dichiarava invalida la direttiva sulla conservazione dei dati (direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, che modifica la direttiva 2002/58/CE), per aver questa previsto un obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione, non limitata allo stretto necessario, valutando come illegittima l’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali.

Le controversie nazionali

Di qui, l’instaurazione di due controversie (la prima davanti alle autorità giudiziarie svedesi, avente come parti la Tele2 Sverige e l’autorità svedese di vigilanza sulle poste e telecomunicazioni, e la seconda davanti alle autorità britanniche, instauratasi a seguito dell’impugnazione della normativa nazionale da parte dei signori Tom Watson, Peter Brice e Geoffrey Lewis) e la proposizione di due ricorsi pregiudiziali da parte della Kammarrätten i Stockholm (Corte d’appello amministrativa di Stoccolma, Svezia) e della Court of Appeal (England & Wales) (Civil Division) [Corte d’appello (Inghilterra e Galles) (divisione per le cause in materia civile), Regno Unito], attraverso i quali la Corte era sollecitata a precisare se fossero compatibili con il diritto dell’Unione le rispettive normative nazionali, in base alle quali si imponeva ai fornitori di servizi di comunicazione elettronica un obbligo generale di conservazione dei dati e si prevedeva l’accesso delle autorità nazionali competenti ai dati conservati, senza segnatamente limitare tale accesso alle sole finalità di lotta contro la criminalità grave e senza subordinare l’accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente.

La decisione della Corte di Giustizia dell’Unione Europea

La Corte di Giustizia, dopo aver confermato che le misure nazionali rientrano nell’ambito di applicazione della direttiva, ha stabilito che “il diritto dell’Unione osta a una normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati”, precisando che se è vero che la direttiva sopra citata consente agli Stati membri di limitare la portata dell’obbligo di principio di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ad esse correlati, essa non può però giustificare che la deroga a tale obbligo di principio e, in particolare, al divieto di memorizzare tali dati, prevista dalla direttiva stessa, divenga la regola.

Infatti, per costante giurisprudenza di tale Corte, la tutela del diritto fondamentale al rispetto della vita privata esige che le deroghe alla protezione dei dati personali intervengano entro i limiti dello stretto necessario, principio che trova applicazione sia con riferimento alle norme disciplinanti la conservazione dei dati sia a quelle disciplinanti l’accesso ai dati conservati.

La conservazione dei dati concernenti le comunicazioni elettroniche

Per quanto concerne la conservazione, la Corte ha constatato che i dati conservati sono idonei a consentire di ricavare precise informazioni sulla vita privata delle persone i cui dati sono stati conservati. Conseguentemente, “l’ingerenza risultante da una normativa nazionale che preveda la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione deve essere considerata particolarmente grave”, in quanto idonea ad ingenerare nello spirito degli utenti la sensazione di un perenne controllo. Tale lesione dei diritti della persona può giustificarsi solo con esigenze di carattere generali particolarmente rilevanti, come la lotta alle forme più gravi di criminalità.

Secondo la Corte, una normativa che preveda una conservazione generalizzata e indifferenziata dei dati, senza necessità di alcuna correlazione tra i dati di cui si prevede la conservazione ed una minaccia per la sicurezza pubblica, che, dunque, non si limiti a prevedere una conservazione dei dati afferenti un periodo temporale e/o una zona geografica e/o una cerchia di persone suscettibili di essere implicate in una violazione grave, eccede i limiti dello stretto necessario e non può essere considerata giustificata in una società democratica.

Ciononostante, la direttiva, come ha chiarito la Corte di Giustizia, “non osta ad una normativa nazionale che imponga una conservazione mirata dei dati per finalità di lotta contro gravi fenomeni di criminalità, a condizione che tale conservazione dei dati sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone implicate, nonché la durata di conservazione prevista, limitata allo stretto necessario”, per cui la normativa nazionale deve essere chiara e precisa e prevedere garanzie al fine di evitare abusi, fondata, perciò, su elementi oggettivi che consentano di prendere in considerazione le persone i cui dati siano idonei a presentare un collegamento con atti di criminalità grave, a contribuire alla lotta contro la criminalità grave o a prevenire un rischio grave per la sicurezza pubblica.

L’accesso ai dati da parte delle autorità nazionali

Con riferimento al tema dell’accesso ai dati conservati, la Corte ha confermato che la normativa nazionale deve definire i criteri oggettivi per l’individuazione delle circostanze e delle condizioni in presenza delle quali deve essere concesso l’accesso ai dati da parte delle competenti autorità nazionali, accesso che, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo deve essere accordato non solo con riferimento ai soggetti sospettati di progettare, di commettere o di aver commesso una violazione grave o di essere implicate in una violazione di tal genere, ma anche con riferimento a persone diverse, qualora sussistano elementi oggettivi che consentano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro simili attività.

In ogni caso, è necessario che l’accesso ai dati conservati sia subordinato, salvo in casi di urgenza, ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, con obbligo di comunicazione alle persone interessate, e che i dati siano conservati nel territorio dell’Unione e che essi vengano irreversibilmente distrutti al termine della durata della loro conservazione, trattandosi di dati di carattere sensibile e per i quali sussiste il rischio di accesso illecito a questi ultimi.

La Corte di Giustizia ha, pertanto, affermato il seguente principio di diritto: “L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica. [La stessa disposizione] osta ad una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione.

(Corte di Giustizia dell’Unione Europea - Grande Sezione, Sentenza 21 dicembre 2016, Cause riunite C203/15 e C698/15)

La Corte di Giustizia dell’Unione Europea ha affermato che è incompatibile con il diritto europeo la normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica, consentita al solo scopo di contrastare gravi forme di criminalità, a condizione che tale conservazione sia limitata allo stretto necessario e sia garantito il controllo preventivo da parte di un’autorità indipendente e la conservazione dei dati sul territorio dell’Unione.

Con la sentenza “Digital Rights Ireland” del 2014, la Corte di Giustizia dichiarava invalida la direttiva sulla conservazione dei dati (direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, che modifica la direttiva 2002/58/CE), per aver questa previsto un obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione, non limitata allo stretto necessario, valutando come illegittima l’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali.

Le controversie nazionali

Di qui, l’instaurazione di due controversie (la prima davanti alle autorità giudiziarie svedesi, avente come parti la Tele2 Sverige e l’autorità svedese di vigilanza sulle poste e telecomunicazioni, e la seconda davanti alle autorità britanniche, instauratasi a seguito dell’impugnazione della normativa nazionale da parte dei signori Tom Watson, Peter Brice e Geoffrey Lewis) e la proposizione di due ricorsi pregiudiziali da parte della Kammarrätten i Stockholm (Corte d’appello amministrativa di Stoccolma, Svezia) e della Court of Appeal (England & Wales) (Civil Division) [Corte d’appello (Inghilterra e Galles) (divisione per le cause in materia civile), Regno Unito], attraverso i quali la Corte era sollecitata a precisare se fossero compatibili con il diritto dell’Unione le rispettive normative nazionali, in base alle quali si imponeva ai fornitori di servizi di comunicazione elettronica un obbligo generale di conservazione dei dati e si prevedeva l’accesso delle autorità nazionali competenti ai dati conservati, senza segnatamente limitare tale accesso alle sole finalità di lotta contro la criminalità grave e senza subordinare l’accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente.

La decisione della Corte di Giustizia dell’Unione Europea

La Corte di Giustizia, dopo aver confermato che le misure nazionali rientrano nell’ambito di applicazione della direttiva, ha stabilito che “il diritto dell’Unione osta a una normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati”, precisando che se è vero che la direttiva sopra citata consente agli Stati membri di limitare la portata dell’obbligo di principio di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ad esse correlati, essa non può però giustificare che la deroga a tale obbligo di principio e, in particolare, al divieto di memorizzare tali dati, prevista dalla direttiva stessa, divenga la regola.

Infatti, per costante giurisprudenza di tale Corte, la tutela del diritto fondamentale al rispetto della vita privata esige che le deroghe alla protezione dei dati personali intervengano entro i limiti dello stretto necessario, principio che trova applicazione sia con riferimento alle norme disciplinanti la conservazione dei dati sia a quelle disciplinanti l’accesso ai dati conservati.

La conservazione dei dati concernenti le comunicazioni elettroniche

Per quanto concerne la conservazione, la Corte ha constatato che i dati conservati sono idonei a consentire di ricavare precise informazioni sulla vita privata delle persone i cui dati sono stati conservati. Conseguentemente, “l’ingerenza risultante da una normativa nazionale che preveda la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione deve essere considerata particolarmente grave”, in quanto idonea ad ingenerare nello spirito degli utenti la sensazione di un perenne controllo. Tale lesione dei diritti della persona può giustificarsi solo con esigenze di carattere generali particolarmente rilevanti, come la lotta alle forme più gravi di criminalità.

Secondo la Corte, una normativa che preveda una conservazione generalizzata e indifferenziata dei dati, senza necessità di alcuna correlazione tra i dati di cui si prevede la conservazione ed una minaccia per la sicurezza pubblica, che, dunque, non si limiti a prevedere una conservazione dei dati afferenti un periodo temporale e/o una zona geografica e/o una cerchia di persone suscettibili di essere implicate in una violazione grave, eccede i limiti dello stretto necessario e non può essere considerata giustificata in una società democratica.

Ciononostante, la direttiva, come ha chiarito la Corte di Giustizia, “non osta ad una normativa nazionale che imponga una conservazione mirata dei dati per finalità di lotta contro gravi fenomeni di criminalità, a condizione che tale conservazione dei dati sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone implicate, nonché la durata di conservazione prevista, limitata allo stretto necessario”, per cui la normativa nazionale deve essere chiara e precisa e prevedere garanzie al fine di evitare abusi, fondata, perciò, su elementi oggettivi che consentano di prendere in considerazione le persone i cui dati siano idonei a presentare un collegamento con atti di criminalità grave, a contribuire alla lotta contro la criminalità grave o a prevenire un rischio grave per la sicurezza pubblica.

L’accesso ai dati da parte delle autorità nazionali

Con riferimento al tema dell’accesso ai dati conservati, la Corte ha confermato che la normativa nazionale deve definire i criteri oggettivi per l’individuazione delle circostanze e delle condizioni in presenza delle quali deve essere concesso l’accesso ai dati da parte delle competenti autorità nazionali, accesso che, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo deve essere accordato non solo con riferimento ai soggetti sospettati di progettare, di commettere o di aver commesso una violazione grave o di essere implicate in una violazione di tal genere, ma anche con riferimento a persone diverse, qualora sussistano elementi oggettivi che consentano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro simili attività.

In ogni caso, è necessario che l’accesso ai dati conservati sia subordinato, salvo in casi di urgenza, ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, con obbligo di comunicazione alle persone interessate, e che i dati siano conservati nel territorio dell’Unione e che essi vengano irreversibilmente distrutti al termine della durata della loro conservazione, trattandosi di dati di carattere sensibile e per i quali sussiste il rischio di accesso illecito a questi ultimi.

La Corte di Giustizia ha, pertanto, affermato il seguente principio di diritto: “L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica. [La stessa disposizione] osta ad una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione.

(Corte di Giustizia dell’Unione Europea - Grande Sezione, Sentenza 21 dicembre 2016, Cause riunite C203/15 e C698/15)