Il 21 dicembre la Corte di Giustizia europea (CGUE) ha pronunciato una sentenza di notevole importanza per gli Stati europei (qui il comunicato stampa). All'attenzione della Corte è stata portata la legislazione del Regno Unito (caso C-698/15) e quella della Svezia (Tele 2 Sverige, caso C-203/15), e in entrambi i casi la Corte si è occupata di valutare la compatibilità delle normative nazionali in materia di data retention, cioè la raccolta e conservazione dei dati del traffico telefonico e il successivo accesso da parte delle autorità nazionali, con la normativa europea.

In particolare, il politico britannico David Davis ha sottoposto al giudizio della Corte europea la questione della legittimità delle intercettazioni di massa del GCHQ (agenzia di sicurezza che si occupa di intercettazioni e spionaggio) del Regno Unito. La nuova normativa britannica (snooper charter) entrerà in vigore col nuovo anno (in sostituzione della precedente ritenuta in contrasto con la normativa europea dall’Alta Corte inglese) e si presenta come una tra le più invasive, imponendo ai provider di raccogliere e conservare anche i dati di navigazione degli utenti (la cronologia del browser) per 12 mesi, ovviamente consentendo alle autorità vastissimi poteri di accesso a tali dati.

La Corte di Giustizia europea è stata chiamata a valutare se esistono norme comunitarie in materia di conservazione dei dati che devono essere rispettate dagli Stati membri nelle legislazioni nazionali, con riferimento alla tutela dei diritti umani. A questo proposito occorre ricordare che la Corte di Lussemburgo si era già pronunciata in materia di data retention con la fondamentale sentenza dell’8 aprile 2014, la quale invalidava la direttiva europea 2006/24 in materia di conservazione dei dati delle conversazioni telefoniche e del traffico telematico (escluso ovviamente il contenuto delle comunicazioni la cui intercettazione è ammessa solo in presenza di specifico mandati dell’autorità giudiziaria), trattati dai fornitori di comunicazione elettronica, allo scopo di garantirne la disponibilità a fini di indagine e di perseguimento di reati gravi.

A seguito di tale pronunciamento si è verificato una sorta di vuoto normativo con la necessità di agganciare le attività di data retention a differenti norme comunitarie. Ben pochi Stati si sono occupati di ridefinire le norme interne sulla base delle valutazione della Corte, anche se non sono mancate le iniziative di contrasto, ad esempio un gestore di telefonia (Banhof in Svezia) si è rifiutato di raccogliere e conservare i dati del traffico dei suoi utenti.
La stessa normativa italiana, che prevede l’obbligo di conservazione dei dati per finalità di accertamento e repressione dei reati a prescindere dalla gravità dei reati, e senza alcun riferimento al criterio della proporzionalità, appare in contrasto con la legislazione comunitaria.

Nella sua requisitoria, l’avvocato generale ha sostenuto che si dovrebbe differenziare tra la conservazione dei dati e l’accesso agli stessi da parte delle autorità, sostenendo che quest’ultimo ricade al di fuori dell’ambito di applicazione del diritto dell’Unione, la quale non può regolarlo, trattandosi di questioni di sicurezza interna. Invece, la Corte ha respinto tale approccio, precisando che anche l’accesso ai dati è soggetto alla normativa europea, in quanto i dati vengono conservati proprio per consentire tale accesso da parte delle autorità nazionali competenti.

Ovviamente, gli avvocati del Regno Unito hanno difeso strenuamente la loro legislazione, ricordando che le comunicazioni intercettate sono al centro dei principali casi di terrorismo degli ultimi anni. Ma anche i rappresentanti degli altri governi intervenuti hanno difeso le norme di conservazione sostenendo che è impossibile sapere in anticipo quali dati potrebbero essere rilevanti, in futuro, per risolvere casi criminali.
Di contro, le associazioni per i diritti civili, e il politico Watson, che insieme a Davis ha sollevato il caso, hanno sostenuto che una tale normativa tratta tutti i cittadini come potenziali sospetti: in presenza di minacce terroristiche le autorità possono accedere alle informazioni personali di tutti, ma non è legittimo che questo possa accadere in maniera generalizzata e senza adeguate garanzie.

La decisione della Corte parte, come per la sentenza del 2014, dall'ovvia considerazione che l’accesso ai dati delle comunicazioni elettroniche permette di inferire conclusioni molto precise riguardo la vita privata delle persone, l’interferenza con i diritti dei cittadini, dovuta a tale accesso deve ritenersi, quindi, estremamente grave e tale da incidere sulle vita delle persone, finendo anche col limitare gravemente l’esercizio di diritti fondamentali. Il fatto che i dati vengono raccolti e conservati senza nemmeno che il cittadino ne sia informato può portarlo a credere di essere sotto costante sorveglianza, con tutte le implicazioni ovvie sulla vita privata, implicazioni analizzate in uno studio tedesco di qualche anno fa, e uno del Washington Post più recente, tra le quali la tendenza ad autocensurare le proprie comunicazioni.

La Corte europea, quindi, ha sentenziato che comunque (anche con l’invalidazione della direttiva data retention, considerato che, tra l’altro, esiste sempre la direttiva eprivacy che all’art. 15 stabilisce specifici requisiti, articolo palesemente applicabile anche al diritto criminale) la normativa europea preclude una raccolta generale e indiscriminata del traffico e dei dati di localizzazione, in quanto non è proporzionata e quindi non può essere giustificata in una società democratica.
La Corte, però, ammette la possibilità per i singoli Stati di imporre obblighi di raccolta di dati per obiettivi specifici al solo fine di repressione o contrasto di reati gravi, purché limitati temporalmente e ai dati strettamente necessari. Inoltre, l’accesso ai dati da parte delle autorità deve essere soggetto a specifiche condizioni, incluso il controllo da parte di un’autorità indipendente (giudice o ente pubblico) e i dati devono essere conservati all'interno del territorio dell’Unione.

La decisione appare puramente accademica per il Regno Unito, poiché con la Brexit non sarà più soggetto alla giurisdizione delle istituzioni europee. Ma in realtà anche gli inglesi dovranno fare i conti con tale sentenza, che inciderà sui flussi transfrontalieri dei dati. I paletti posti dalla Corte europea, infatti, dovranno essere valutati nel momento in cui si verifica l’“adeguatezza” della legislazione di un paese al fine di autorizzare il trasferimento dei dati dei cittadini europei da parte di aziende stanzianti in quel paese, col rischio che numerose aziende potrebbero decidere di abbandonarlo a favore di Stati con legislazioni conformi alle norme comunitarie.
Di contro, gli altri paesi europei non potranno non tenerne conto, in special modo in un periodo storico nel quale numerosi Stati stanno introducendo modifiche legislative tese a una sempre più estesa raccolta di dati dei cittadini a fini di contrasto del terrorismo.

In conclusione, l’articolo 15 (1) della direttiva 200/58 (trasposto nell'art. 11 del nuovo Regolamento Generale), letto in collegamento con gli articoli 7 e 8 della Carta dell'Unione, deve essere interpretato nel senso che una normativa nazionale la quale, ai fini della lotta alla criminalità, consente una raccolta indiscriminata dei dati dei cittadini non è compatibile con la normativa comunitaria.

La conservazione dei dati risulta legittima solo in presenza di specifiche condizioni. Come avevamo già evidenziato in passato, sulla scorta di sentenza della Corte di Giustizia, della Corte dei diritti dell’Uomo (anche se la CEDU non è parte dell’ordinamento comunitario), risoluzioni ONU e del Consiglio d’Europa, la raccolta dei dati deve essere:

 
L’elemento essenziale è l’individualizzazione della raccolta dei dati. La sorveglianza non può mai essere generalizzata, ma l’ordine deve necessariamente identificare uno o più sospetti, oppure una serie di locali nei quali si presume siano in atti reati. Inoltre, la Corte fa riferimento a criteri oggettivi da soddisfare, i quali devono stabilire una connessione tra l’obiettivo perseguito e i dati da conservare.

La tendenza attuale degli Stati, sulla falsariga dell’agenzia americana NSA, è di raccogliere e conservare quanti più dati possibili, in attesa di accedervi qualora dovesse nascerne l’esigenza per la repressione di reati. Ma la conservazione dei dati può essere pericolosa, grandi quantità di dati attirano criminali e truffatori, oltre a favorire possibili abusi, anche da parte delle autorità.
A questo punto appare sempre più necessario l’intervento della Commissione europea per una nuova normativa in materia, che sia però rispettosa delle indicazioni tratteggiate dalla Corte europea.