A CURA DI

AVV. ANTONELLA ROBERTI

CGUE: LA CORTE DI GIUSTIZIA EUROPEA CONSENTE LA CONSERVAZIONE GENERALIZZATA ED INDISCRIMINATA DEI DATI DI TELECOMUNICAZIONE RELATIVI AL TRAFFICO E DEI DATI RELATIVI ALL’UBICAZIONE SOLO IN CASO DI MINACCIA GRAVE PER LA SICUREZZA NAZIONALE E CON PRECISE GARANZIE PER GLI UTENTI (CGUE 20 SETTEMBRE 2022, C-793/19 E C-794/19).

 Autore: Avv. Teresa Aloi

 

Il 20 settembre 2022 la Corte di Giustizia dell’Unione europea, sul filone di altre sue precedenti pronunce[1], emette una sentenza in materia di date retention, ovvero in materia di conservazione indiscriminata dei dati di telecomunicazione relativi al traffico ed all’ubicazione dei soggetti interessati. Protagoniste della vicenda sottesa alla pronuncia in commento sono la SpaceNet AG e la Telekom DeutschlandGmbH, aziende che in Germania forniscono servizi d’accesso a Internet, in particolare, la Telekom fornisce anche servizi di telefonia.

E’ notorio che Internet ha sconvolto le tradizionali strutture del mercato fornendo un’infrastruttura mondiale comune per la fornitura di un’ampia serie di servizi di comunicazione elettronica. Tali servizi, accessibili al pubblico, aprono nuove possibilità agli utenti ma rappresentano, nello stesso tempo, nuovi pericoli per i loro dati personali e la loro vita privata. Nel settore delle reti pubbliche di comunicazione occorre adottare disposizioni legislative, regolamentari e tecniche specificamente finalizzate a tutelare i diritti e le libertà fondamentali delle persone fisiche ed i legittimi interessi delle persone giuridiche, con particolare riferimento all’accresciuta capacità di memorizzazione e trattamento dei dati relativi agli abbonati ed agli utenti in genere.

La SpaceNet AG e la Telekom DeutschlandGmbH hanno contestato davanti ai giudici tedeschi (Corte amministrativa federale) l’obbligo loro prescritto dalla legge tedesca in materia di telecomunicazioni (TKG) di conservare, a decorrere dal 1° luglio 2017, dati relativi al traffico e dati relativi all’ubicazione attinenti alle telecomunicazioni dei loro clienti.

Fatte salve alcune eccezioni, la legge tedesca TKG, impone ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, in particolare ai fini del perseguimento dei reati gravi o della prevenzione di un rischio concreto per la sicurezza nazionale, la conservazione generalizzata ed indiscriminata, per diverse settimane, di gran parte dei dati relativi al traffico ed all’ubicazione degli utenti finali.

La Corte amministrativa federale tedesca nell’esaminare il caso si chiede se la normativa nazionale tedesca sia in contrasto con il diritto dell’Unione europea, precisamente, con l’art. 15 della Direttiva 2002/58/CE sul trattamento dei dati personali e sulla tutela della vita privata nelle comunicazioni elettroniche[2] e di conseguenza solleva tale questione pregiudiziale davanti alla Corte di Giustizia dell’Unione europea. La Direttiva 2002/58/CE non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non siano disciplinate dal diritto europeo. Essa lascia, pertanto, inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di adottare i provvedimenti di cui all’art. 15, paragrafo 1, della presente Direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato e l’applicazione della legge penale. Di conseguenza, la Direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di adottare altre misure, se necessario, per ciascuno di tali scopi e nel rispetto della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU).

I dubbi sorti alla Corte amministrativa federale tedesca nell’esaminare il caso sottoposto alla sua attenzione dalle due aziende, derivano dal fatto che l’obbligo di conservazione previsto dalla legge tedesca riguarderebbe un numero di dati inferiore ed un periodo di conservazione meno lungo (4 o 10 settimane invece di un periodo di conservazione compreso tra i 6 mesi ed i due anni previsti dalla Direttiva 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico che modifica la Direttiva 2002/58/CE) rispetto a quanto prevedevano le normative nazionali che sono stati oggetto delle cause che hanno dato origine alle sentenze precedenti (CGUE 21 dicembre 2016, C-203/15 e C-698/15). Tali particolari circostanze ridurrebbero la probabilità che i dati conservati possano consentire di trarre conclusioni molto precise riguardo la vita privata delle persone i cui dati siano stati conservati. La TKG, inoltre, garantirebbe una protezione efficace dei dati conservati dai rischi di abuso e di accesso illecito.

La Corte di Giustizia UE, investita della questione, ritiene che il diritto dell’Unione sia di ostacolo ad una normativa nazionale che preveda a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione di minacce gravi alla pubblica sicurezza, la conservazione generalizzata ed indiscriminata dei dati relativi al traffico ed all’ubicazione degli utenti finali.

Tale diritto non osta, viceversa, ad una normativa nazionale che, ai fini della salvaguardia della sicurezza nazionale, consenta di ingiungere ai fornitori di servizi di comunicazione elettronica di procedere ad una conservazione generalizzata ed indiscriminata dei dati relativi al traffico ed all’ubicazione, in situazioni nelle quali lo Stato membro interessato affronti una minaccia grave per la sicurezza nazionale che risulti reale ed attuale o prevedibile. Una simile ingiunzione deve essere oggetto di sindacato da parte di un giudice o di un organo amministrativo indipendente. L’esito di tale controllo deve avere efficacia vincolante e deve essere diretto ad accertare l’esistenza dei presupposti legittimanti e delle condizioni e garanzie necessarie. L’ingiunzione, peraltro, può essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile in caso di persistenza dei requisiti.

Una tale normativa nazionale deve essere, per un verso, giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, per altro verso, deve garantire, mediante norme chiare e precise, che la conservazione dei dati in questione sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che gli interessati dispongano di garanzie effettive contro il rischio di abusi garantendo così che l’ingerenza sia limitata allo stretto necessario (principio di proporzionalità).

Per quanto riguarda la legge tedesca in materia di telecomunicazioni, la Corte europea constata che, dalla decisione di rinvio risulta che l’obbligo di conservazione prescritto da tale legge riguarda, in particolare, i dati necessari per individuare l’origine e la destinazione di una comunicazione, la data e l’ora di inizio e fine della comunicazione o, in caso di comunicazione per SMS, messaggio multimediale o simile, il momento dell’invio e della ricezione  nonché, in caso di utilizzo di servizi di telefonia mobile, l’indicazione delle celle telefoniche utilizzate all’inizio della comunicazione da chi effettua la chiamata e da chi la riceve. Nell’ambito della fornitura di servizi di accesso a Internet, l’obbligo di conservazione riguarda, tra l’altro, l’indirizzo IP assegnato all’abbonato oltre ai dati che consentono di conoscere la posizione geografica e le direzioni di radiazione massima delle antenne che servono la cella telefonica in questione.

Sono conservati, inoltre, i dati di utenti soggetti al segreto professionale, quali avvocati, medici e giornalisti.

L’obbligo di conservazione, previsto dalla TKG, pertanto, si estende ad un insieme molto ampio di dati relativi al traffico ed all’ubicazione, che corrispondono, in sostanza a quelli che hanno portato la Corte di Giustizia dell’Unione europea a pronunciarsi con le precedenti sentenze. Questo insieme di dati conservati, rispettivamente, per dieci o per quattro settimane, può consentire, secondo la CGUE, di trarre conclusioni molto precise in ordine alla vita privata delle persone i cui dati siano stati conservati, quali le abitudini di vita quotidiana, i luoghi di soggiorno, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali e gli ambienti sociali frequentati, definendo così un profilo preciso di tali soggetti.

La Corte contesta che gli indirizzi IP possano essere utilizzati per effettuare il tracciamento completo del percorso di navigazione di un utente Internet costruendo un profilo dettagliato di quest’ultimo così violando i diritti fondamentali dell’utente di Internet sanciti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Per quanto riguarda, infatti, le garanzie previste dalla legge tedesca in materia di telecomunicazioni, dirette a proteggere i dati conservati dai rischi di abuso e da qualsiasi accesso illecito, la Corte UE rileva che la conservazione di tali dati e l’accesso ad essi costituiscono ingerenze distinte nei diritti fondamentali degli interessati che richiedono una giustificazione distinta. Ne consegue che una normativa nazionale che garantisca il pieno rispetto delle condizioni risultanti dalla giurisprudenza in materia di accesso ai dati conservati non può, per sua natura, essere idonea a limitare e neppure a rimediare all’ingerenza grave nei diritti degli interessati che risulterebbe dalla conservazione generalizzata di tali dati.

Dalla decisione di rinvio risulta, inoltre, che la conservazione dei dati relativi al traffico ed all’ubicazione prevista dalla normativa nazionale tedesca riguarda la quasi totalità delle persone che compongono la popolazione senza che le stesse si trovino in una circostanza tale da dare avvio a procedimenti penali.

La Corte di Giustizia europea ribadisce che per quanto riguarda il periodo di conservazione dei dati di cui all’art. 15, paragrafo 1, della Direttiva 2002/58/CE tale periodo debba comunque ritenersi “limitato” e conferma l’incompatibilità con il diritto dell’Unione, di una normativa interna che preveda, per fini di “contrasto della criminalità grave e di prevenzione delle minacce gravi alla pubblica sicurezza”, la conservazione generalizzata ed indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione, a titolo preventivo.

Anche questa sentenza, dunque, ribadisce e sistematizza le precedenti pronunce della Corte di Giustizia sul tema della data retention, inclusa la distinzione tra “criminalità particolarmente grave” e “minacce per la sicurezza nazionale”. In replica ad un’eccezione della Commissione europea tesa ad equiparare i due presupposti, la Corte UE ha ribadito che, la salvaguardia della sicurezza nazionale corrisponde “all’interesse primario di tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società mediante la prevenzione e la repressione delle attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un Paese e, in particolare, da minacciare direttamente la società, la popolazione o lo Stato in quanto tale, quali le attività di terrorismo” (sentenza 5 aprile 2022, Commissionner of An Sìochàna e a., C-140/20).

La Corte, inoltre, sottolinea come, diversamente dalla criminalità, anche particolarmente grave, una minaccia per la sicurezza nazionale debba caratterizzarsi per requisiti di concretezza ed attualità o, quantomeno, prevedibilità, desumibili dalla ricorrenza di “circostanze sufficientemente concrete da poter giustificare una misura di conservazione generalizzata ed indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione, per un periodo limitato. Tali diversità inducono la Corte a rigettare la tesi della Commissione diretta ad equiparare la criminalità particolarmente grave alle minacce per la sicurezza nazionale, così introducendo, ad avviso dei giudici, una categoria intermedia tra la sicurezza nazionale e la pubblica sicurezza, applicando alla seconda i requisiti inerenti alla prima.

Confermato, rispetto alla giurisprudenza precedente, risulta anche l’ambito di ammissibilità della conservazione dei dati di traffico a fini di “giustizia”, nel senso che essa è possibile: a) in misura generalizzata e preventiva per gli indirizzi IP attribuiti all’origine di una connessione (per un periodo temporalmente limitato allo stretto necessario) e per i dati relativi all’identità anagrafica degli utenti di mezzi di comunicazione elettronica; b) in forma “mirata” rispetto ai dati di traffico ed ubicazione, nel rispetto di criteri selettivi obiettivi e non discriminatori, di ordine soggettivo o geografico (tali, cioè, da evidenziare un nesso funzionale tra i dati ed il reato da accertare), per un periodo temporalmente commisurato secondo stretta necessità; c) nella forma del “quickfreeze” dei dati di traffico e di ubicazione.

Le diverse pronunce della Corte di Giustizia europea, da ultimo quelle del 20 settembre 2022, hanno implicazioni rilevanti anche sulla disciplina interna italiana sul tema della data retention, che considera i gravi reati come criterio idoneo a modulare diversamente la profondità cronologica dell’acquisizione, senza tuttavia limitarne, in via generale, l’ammissibilità. La maggiore differenza tra la disciplina interna ed i principi affermati con la giurisprudenza ormai consolidata della Corte di Giustizia, riguarda proprio il criterio di selettività.

La disciplina nazionale, infatti, applica il criterio selettivo al solo momento acquisitivo senza fare riferimento ex ante al momento della conservazione dei dati. Si tratta di una soluzione certamente coerente con la natura “retrospettiva” di questo mezzo di ricerca della prova che presuppone una conservazione indistinta in vista di un’acquisizione solo eventuale. Essa rispecchia, inoltre, la posizione tenuta dalla Corte Costituzionale e dalla Corte di Cassazione in relazione alla diversa ingerenza sulla privacy della data retention, rispetto a quella propria delle intercettazioni, tale da giustificarne in quella prospettiva la differente disciplina (in particolare, Corte Cost. sentenza 81/1993 che ravvisava nell’acquisizione dei tabulati un’incidenza solo marginale sul diritto alla libertà e segretezza delle comunicazioni di cui all’art. 15 Cost.; posizione che però si inseriva in un contesto sociale molto diverso da quello attuale e faceva riferimento a ben altre tecnologie).

La posizione della Corte europea, pertanto, è profondamente diversa e sottolinea l’impatto significativo della data retention sulla riservatezza di tutti i cittadini, nell’ipotesi, appunto, di una conservazione generalizzata, preventiva ed indifferenziata, a prescindere da alcuna connessione con possibili reati.

La disciplina interna, pertanto, sembra vada rivista nella parte in cui, pur a fronte di una differenziazione per titolo di reato in fase acquisitiva, presuppone, comunque, la conservazione preventiva e generalizzata dei dati di traffico relativi alla generalità indistinta dei cittadini, a fini di giustizia. Si dovrebbe ipotizzare una distinzione fondata sulla categoria dei dati, con un regime differenziato e meno rigido per quelli relativi all’identità anagrafica degli utenti ed agli indirizzi IP. Si dovrebbero introdurre parametri di ordine soggettivo spaziale o di altra natura purchè non discriminatoria tali da far presumere l’esistenza di un nesso funzionale del dato con le esigenze investigative, sulla base dei quali procedere alla conservazione mirata dei dati di traffico e di ubicazione, da utilizzare a fini di contrasto di reati gravi. Si dovrebbe, inoltre, disciplinare la conservazione rapida ed il relativo accesso con la previsione dei presupposti legittimanti e delle relative garanzie.

La revisione della disciplina interna italiana sulla data retention, in senso conforme alle indicazioni ormai consolidate ed univoche della CGUE, rappresenta, dunque, un obiettivo importante da perseguire, in una prospettiva di riforma che ricordi come nell’art. 6 della Carta dei diritti fondamentali dell’Unione europea il diritto alla libertà e quello alla sicurezza sono complementari. Occorre ricordare, infatti, che la tutela del diritto fondamentale al rispetto della vita privata esige, sempre in conformità alla giurisprudenza della Corte di Giustizia europea, che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario. Un obiettivo di interesse  generale, inoltre, non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, effettuando un contemperamento equilibrato tra l’obiettivo di interesse generale ed i diritti di cui trattasi.

 

Avv. Teresa Aloi,  Foro di Catanzaro

 

[1] CGUE 20 settembre 20022, C-339/20 e C-397/20; CGUE 5 aprile 2022, C-140/20; CGUE 2 marzo 2021, C-746/18; CGUE 6 ottobre 2020, C-511/18, C-512/18 e C-520/18.

[2] La Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, è una delle cinque direttive che insieme formano il pacchetto Telecom, un quadro normativo che disciplina il settore delle comunicazioni elettroniche. Le altre disciplinano il quadro generale direttive, l’accesso e l’interconnessione, l’autorizzazione e le licenze ed il servizio universale. Il pacchetto è stato modificato nel 2009 dalle due direttive “Legiferare meglio” e “Diritto dei cittadini” (Direttiva 2009/136/CE), nonché da un Regolamento che istituisce l’Organismo regolatori delle comunicazioni europee elettroniche.

 

 

 

 ISSN 2038-5161

Premio del Libro Europeo "Aldo Manuzio"