Diritto alla privacy in materia di conservazione dei dati telematici a fini di lotta alla criminalità

La Corte di giustizia interviene nuovamente nella delicata materia della conservazione dei dati delle telecomunicazioni all'interno del sostanziale vuoto normativo venutosi a creare a livello di legislazione europea a seguito dell'annullamento da parte della stessa Corte di Lussemburgo nel 2014 della direttiva 2006/24/CE (Sentenza dell'8 aprile 2014, Digital Rights Ireland, C-293/12) che ha sostanzialmente rimesso alle legislazioni nazionali la disciplina della complessa materia pur all'interno del vigente quadro unionale di riferimento.

Nel quadro di un procedimento per omicidio, la Corte suprema d'Irlanda (la Supreme Court) aveva sollevato dinanzi alla Corte di giustizia diverse questioni pregiudiziali relative ai requisiti che il diritto dell'Unione impone in materia di conservazione dei dati relativi al traffico e all'ubicazione delle chiamate telefoniche per finalità di lotta ai reati gravi e sulle garanzie necessarie in materia di accesso a questi stessi dati.

Chiedeva, inoltre, chiarimenti in merito alla portata e all'effetto nel tempo di un'eventuale declaratoria d'incompatibilità tra diritto irlandese e diritto dell'Unione.

Nella sentenza in annotazione, la Corte, riunita in grande sezione, ha ribadito la propria costante giurisprudenza a mente della quale “il diritto dell'Unione osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

Il riferimento è alla direttiva relativa alla vita privata e alle comunicazioni elettroniche (Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002) che si occupa di disciplinare l'accesso ai suddetti dati, prevedendo garanzie dirette a prevenire abusi.

La direttiva sancisce in via generale il principio del divieto di memorizzazione dei dati relativi al traffico e alla ubicazione; rispetto ad esso la conservazione di tali dati rappresenta una deroga nonché una ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali.

La stessa direttiva consente, tuttavia, agli Stati membri di limitare tali diritti e obblighi per finalità, segnatamente, di lotta ai reati, a condizione che tali misure siano proporzionate all'obiettivo perseguito.

Sul punto, la Corte esclude però che l'obiettivo della lotta alla criminalità grave, per quanto fondamentale, possa di per sé giustificare una misura di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione in quanto non sarebbe assimilabile a una minaccia per la sicurezza nazionale che si riveli reale e attuale o prevedibile.

La Corte precisa che una minaccia del genere si distingue per natura, gravità e specificità delle circostanze che la costituiscono, dal rischio generale e permanente rappresentato dal verificarsi di tensioni o di perturbazioni, anche gravi, della pubblica sicurezza o da quello di reati gravi.

Di seguito, i tre principi di diritto che la Corte ha esplicitato sul tema della conservazione generalizzata dei dati di traffico telefonico e di ubicazione con fine di lotta alla criminalità organizzata, intervenendo anche, al punto 3, sulla questione della possibilità per il giudice nazionale di limitare nel tempo gli effetti di una eventuale pronuncia di invalidità:

1) L'articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 e dell'articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che esso osta a misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione.

Il predetto articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 e dell'articolo 52, paragrafo 1, della Carta dei diritti fondamentali, non osta, invece, a misure legislative che prevedano, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica:

– la conservazione mirata dei dati relativi al traffico e dei dati relativi all'ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;

– la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all'origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;

– la conservazione generalizzata e indifferenziata dei dati relativi all'identità civile degli utenti di mezzi di comunicazione elettronica, e

– il ricorso a un'ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell'autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all'ubicazione di cui dispongono tali fornitori di servizi, se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

2) L'articolo 15, paragrafo 1, della direttiva 2002/58, come modificato dalla direttiva 2009/136, letto alla luce degli articoli 7, 8, 11 e dell'articolo 52, paragrafo l, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell'ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, assistito da un'unità istituita all'interno della polizia che gode di una certa autonomia nell'esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale.

3) Il diritto dell'Unione deve essere interpretato nel senso che esso osta a che un giudice nazionale limiti nel tempo gli effetti di una declaratoria di invalidità ad esso spettante, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione, a causa dell'incompatibilità di tale normativa con l'articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce della Carta dei diritti fondamentali. L'ammissibilità degli elementi di prova ottenuti mediante una siffatta conservazione rientra, conformemente al principio di autonomia procedurale degli Stati membri, nell'ambito del diritto nazionale, sempreché nel rispetto, in particolare, dei principi di equivalenza e di effettività.