La sicurezza nazionale non giustifica il trattenimento generalizzato dei dati nell’Unione europea

La Corte di Giustizia torna sul tema della data retention, la detenzione di dati generalizzata e indifferenziata da parte di un operatore di servizi di comunicazione elettronica, relativi al traffico e sulla localizzazione degli utenti. Ciò neanche affinché questi dati siano utilizzati dalle autorità pubbliche di uno Stato membro per ragioni di sicurezza nazionale.

 

 

Con la sentenza che dirime la causa n. C-623/17, la Corte di Giustizia dell’Unione europea afferma che, alla luce del diritto euro-unitario (e in particolare della Carta dei diritti fondamentali dell’UE e della direttiva 2002/58/CE), le legislazioni degli Stati non possono stabilire che un operatore di servizi di comunicazione elettronica trasmetta o conservi in modo generalizzato e indifferenziato i dati sul traffico e sulla localizzazione degli utenti, neanche nei casi in cui sia necessario per garantire la sicurezza nazionale.

Come noto, gli Stati devono garantire la riservatezza dei dati relativi alle comunicazioni elettroniche. Tuttavia, quando emerge una grave minaccia per la sicurezza nazionale, in termini di attualità o prevedibilità, lo Stato membro può derogare al principio generale e stabilire, attraverso adeguati procedimenti legislativi, di trattenere, per un periodo di tempo comunque limitato e determinato in riferimento all’emergenza, i dati degli utenti.

La decisione attiene anche al contrasto a forme gravi di criminalità e ai casi di minaccia per la sicurezza pubblica. Lo Stato membro, in questi casi, può prevedere la conservazione mirata e rapida dei dati. Allo stesso tempo, la Corte sottolinea la necessità che in tali ipotesi si dispieghi il potere di controllo di un’autorità amministrativa indipendente o di un organismo giurisdizionale al fine di limitare la compressione dei diritti fondamentali in questa fase.

Inoltre ‘autorizza’ gli Stati membri a conservare in modo generalizzato e indifferenziato gli indirizzi IP laddove sia necessario risalire all’identità degli utenti dei mezzi di comunicazione elettronica; altrimenti è comunque necessario individuare uno specifico limite temporale.

La Corte di Giustizia, con questa sentenza, ribadisce alcuni principi che, nello sviluppo della società digitale e dei nuovi rapporti giuridici tra cittadini ed istituzioni, rischiano di confondersi o di sfumare, laddove sono centrali per lo sviluppo di una «sovranità digitale europea». Alcune clausole generali previste dalle costituzioni, e in generale dagli ordinamenti, infatti, come il concetto di sicurezza nazionale, simile a quello di emergenza (magari sanitaria), non possono mettere in crisi i diritti che discendono dalla Carta dei diritti fondamentali dell’UE. Come ha notato lo stesso Garante della privacy italiano, «la dilatazione» di tali concetti non può finire «di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati». Il tema della sicurezza nazionale, infatti, si intreccia con rilevanti ambiti tecnologici ed economici, a volte contemplati in recenti strategie nazionali, come il c.d. “5G” e alle sue ripercussioni economiche e geopolitiche.

Tale decisione conferma (cfr. sentenza sul caso C‑203/15 e C‑698/15) la tendenza della Corte di Giustizia a difendere l’effettività del diritto di riservatezza e la sua prevalenza rispetto alla c.d. data retention, anche rispetto alle esigenze di istituzioni pubbliche preposte alla tutela della sicurezza, non tanto in via discriminata, ma secondo il canone della proporzionalità della limitazione, chiarendo la portata dei poteri degli Stati rispetto all’attuazione della direttiva 2002/58/CE. Molti Stati membri sono intervenuti per sostenere la non applicazione della direttiva rispetto alla normativa nazionale in tema di sicurezza nazionale, competenza esclusiva degli Stati membri (ai sensi dell’art. 4, par. 2, TUE). Tuttavia la Corte puntualizza come non esistano eccezioni rispetto all’obbligo che discende dal principio di tutela rispetto alla conservazione dei dati. Le limitazioni a tale principio possono dunque ammettersi solo se le misure limitative non siano in contrasto con i principi generali del diritto euro-unitario. Non è pertanto ammissibile alcuna misura legislativa che consenta ai fornitori di servizi di comunicazione elettronica di effettuare la conservazione generale e indiscriminata dei dati sul traffico e dei dati sull’ubicazione degli utenti, neanche in nome di una clausola generale come la sicurezza nazionale. Ciò soprattutto in quanto la direttiva è letta alla luce della Carta dei diritti fondamentali, che pone al riparo i dati delle persone non collegate in alcun modo alla situazione di fatto per ci le istituzioni preposte alla sicurezza agiscono ovvero le finalità previste dalla legge nazionale che le autorizza nel caso di difesa della sicurezza pubblica. Il medesimo schermo, secondo la Corte, sussiste innanzi alle normative che impongano obblighi di conservazione generalizzata e in differenziata dei dati personali ai fornitori di accesso a servizi di comunicazione online al pubblico e ai fornitori di servizi di hosting.