CONSERVAZIONE E ACCESSO AI DATI PERSONALI NELL’AZIONE DI CONTRASTO 

Autore: Dott.ssa Laura De Rose, Vice direttore Foroeuropa

 

Le inchieste sui reati online presentano difficoltà enormi per le autorità giudiziarie e di polizia dell’Unione Europea (UE), anche a causa dell’assenza di uno strumento giuridico comune a seguito dell’annullamento della Direttiva sulla conservazione dei dati[1]da parte della Corte di Giustizia dell’UE (CGUE), con la sentenza The Digital Rights vs. Ireland dell’aprile 2014.

Le conseguenze operative della mancanza di un quadro giuridico comune sono significative, e si rivelano in particolare nei casi transnazionali, allorquando regole nazionali diverse relativamente alla conservazione dei dati personali ostacolano di fatto lo scambio di informazioni tra le autorità di contrasto degli Stati in questione.

Il dibattito su questo tema è molto intenso, tanto negli Stati membri che a livello europeo, ove si sono recentemente verificati due importanti sviluppi.

Innanzitutto, le Conclusioni adottate il 27 maggio 2019 dal Consiglio dell’UE, dove si afferma che, vista la necessità di combattere la criminalità nell’interesse generale, è opportuno stabilire obblighi di conservazione dei dati per gli operatori di telecomunicazioni e i fornitori di servizi al fine di soddisfare le esigenze operative delle forze dell'ordine, ferma restando la necessità di prevedere garanzie sufficienti per i diritti fondamentali, in particolare i diritti alla privacy, alla protezione dei dati personali, alla non discriminazione e alla presunzione di innocenza. Sulla base di queste posizioni di principio, il Consiglio ha incaricato la Commissione Europea di condurre uno studio sulle possibili soluzioni per la conservazione dei dati, compresa un'iniziativa legislativa, tenendo conto dell'elaborazione della giurisprudenza nazionale e dell'UE. Questo studio è attualmente in corso di preparazione, a partire da un questionario che è stato inviato alle autorità competenti di tutti gli Stati membri.

Quindi, poche settimane fa, davanti alla CGUE, si è tenuta un’audizione congiunta in quattro casi nei quali sono state rivolte alla Corte delle questioni pregiudiziali tendenti a stabilire se misure di diritto nazionale miranti a imporre restrizioni al principio della riservatezza delle comunicazioni elettroniche (e-privacy) rientrino nell’ambito di applicazione del diritto dell’Unione, e specificamente della direttiva relativa alla vita privata e alle comunicazioni elettroniche[2]. Numerosi Stati membri hanno partecipato a questa audizione, onde esprimere le esigenze delle autorità di contrasto e esplorare con la CGUE soluzioni possibili, quali un nuovo strumento legislativo europeo che soddisfi nello stesso tempo i diritti umani e i bisogni delle autorità di contrasto.

Anche se è arduo attendere dalla CGUE un cambiamento radicale di posizioni, è tuttavia significativo, che, nella suddetta sentenza The Digital Rights vs. Ireland, la Corte abbia invalidato la Direttiva 2006/24/CE in quanto ritenuta eccessivamente invasiva, ovvero non in linea con il principio di proporzionalità, senza tuttavia opporsi al principio stesso della necessità della conservazione dei dati, che essa ha, invece, esplicitamente ribadito, affermando che la conservazione dei dati al fine di renderli accessibili alle autorità di contrasto “soddisfa in modo autentico un obiettivo di interesse generale”.

Tali premesse autorizzano esperti europei e nazionali a un ‘cauto ottimismo’ relativamente a una possibile evoluzione della giurisprudenza, e si delineano nuove soluzioni giuridiche, quali la possibilità di regolamentare tipo e livello di accesso ai dati stoccati dagli operatori, invece di cimentarsi nella difficile impresa di definire criteri per categorizzare i dati che possono o non possono essere stoccati.

In effetti, i problemi da risolvere in questo campo sono sempre più complessi a causa dei continui sviluppi tecnologici nell’area delle comunicazioni elettroniche, i quali espongono tanto le autorità di contrasto che il legislatore alle nuove sfide dei ‘big data’, ovvero masse di dati così ingenti da renderne estremamente complesse tanto la categorizzazione che l’analisi.

La CGUE stessa deve confrontarsi con una realtà già molto diversa da quella rispecchiata nella giurisprudenza di soli 5 anni fa. La memoria presentata dal Garante europeo della protezione dei dati (GEPD)[3] in risposta alle domande rivoltegli dalla Corte in vista della suddetta audizione congiunta, ne dà un chiaro riscontro: l’entità e il tipo di dati relativi alle comunicazioni elettroniche – i cosiddetti  ‘meta-data’ - sono in continua evoluzione, in quanto essi permettono, ad un grado sempre maggiore, di trarre informazioni sul contenuto stesso delle comunicazioni.

Per esempio, osserva il GEPD, “gli indirizzi IP e altri dati di comunicazioni elettroniche sono effettivamente in grado di fornire informazioni sul contenuto delle comunicazioni e, in molti casi, sui siti Web consultati”. Inoltre, l’accessibilità stessa delle informazioni è al giorno d’oggi molto più complessa, visto l’uso di “indirizzi IP condivisi, reti private virtuali, crittografia tramite protocollo HTTPS” o l’uso di “reti di distribuzione di contenuti per distribuire dati” dai siti Internet.

Il GEPD osserva altresì che l’espressione “comunicazione elettronica” non si riferisce più solo a conversazioni telefoniche o video conferenze o siti Internet visitati dall’utente, ma include molti altri tipi di informazioni, ovvero l’insieme dei dati scambiati elettronicamente, che possono riguardare ogni aspetto della vita delle persone.

Come sappiamo,una persona può essere identificata da una serie anche limitata di dati sulla posizione del telefono cellulare. Non solo: i dati sul traffico dei telefoni cellulari possono ormai rivelare anche dettagli intimi sullo stile di vita, le convinzioni, insomma ogni aspetto della vita privata.

Vista l’entità e le conseguenze degli sviluppi tecnologici in questo campo, non stupisce il fatto che il GEPD insista sulla necessità di stabilire un elenco esaustivo di categorie chiaramente definite di dati relativi alle comunicazioni elettroniche, di collegare ciascuna categoria agli scopi previsti dalla direttiva 2002/58/CE per legittimare restrizioni alla e-privacy, e di specificare periodi di conservazione limitati per ciascuna delle diverse categorie di dati.

Il dibattito su questi temi è ancora in corso ed è arduo prevedere quali potranno esserne le conclusioni.

Di certo, però, sembra potersi affermare che anche un regime che dovesse in primo luogo concentrarsi sui criteri per accedere ai dati, non potrà non affrontare il problema di come compartimentare tale accesso, e quindi, indirettamente, di come categorizzare i dati stessi.

_____

 

[1] Direttiva 2006/24/CE del 156 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.

[2] Direttiva 2002/58/CE del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche [attualmente in vigore in seguito all’annullamento della direttiva 2006/24/CE]. 

[3] Questo documento è accessibile in inglese sul sito Internet del Garante europeo, presso https://edps.europa.eu/search/site/pleading_en

 

 

 ISSN 2038-5161

Premio del Libro Europeo "Aldo Manuzio"