Data retention, la Corte di giustizia demolisce la Direttiva Ue: ‘Viola gravemente la privacy’

di Alessandra Talarico |

Per il Garante Privacy italiano, Antonello Soro, la sentenza 'opera un riequilibrio tra due valori, sicurezza e privacy, che in questi anni si erano decisamente disallineati'.

Europa


Privacy

La direttiva Ue del 2006 riguardante la conservazione dei dati del traffico telefonico dei cittadini europei “comporta un’ingerenza di vasta portata e di particolare gravità nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, non limitata allo stretto necessario”.


Lo ha stabilito la Corte di giustizia europea che, meglio tardi che mai, l’ha dichiarata invalida, operando “…un riequilibrio tra due valori, sicurezza e privacy, che in questi anni si erano decisamente disallineati”,  come ha osservato il Presidente dell’Autorità Garante per la privacy, Antonello Soro, sottolineando che ora occorrerà “una revisione dell’attuale sistema nel segno del principio di proporzionalità e delle garanzie per i cittadini”.

 

La direttiva, concepita all’indomani degli attentati terroristici di Madrid e richiesta con forza dalla Gran Bretagna dopo quelli di Londra è applicata anche in Italia dal 2008.

Il suo obiettivo è quello di uniformare le  disposizioni degli Stati membri sulla conservazione di determinati dati telefonici (relativi al traffico, all’ubicazione nonché quelli necessari per identificare l’abbonato o l’utente) così da garantirne la disponibilità a fini di indagine, per accertare e perseguire, cioè, reati gravi, come quelli legati alla criminalità organizzata e al terrorismo.

Dati che non sono informazioni neutre, ha osservato Soro, “ma rivelano molto di tutti noi, della nostra vita privata” e la cui conservazione indifferenziata per periodi molto lunghi – dai 6 ai 24 mesi, prevede la direttiva Ue – “espone quindi a grandi rischi”. 

Come ha osservato anche la Corte Ue, questi dati consentono infatti di sapere con quale persona e con quale mezzo un abbonato o un utente registrato ha comunicato; di determinare il momento della comunicazione nonché il luogo da cui ha avuto origine e di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente registrato con determinate persone in uno specifico periodo. Messe insieme, quindi, tali informazioni, nota la Corte, “possono fornire indicazioni assai precise sulla vita privata dei soggetti i cui dati sono conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri o di diversa frequenza, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati”.


Il fatto, poi, che la direttiva, consenta l’accesso alle autorità nazionali competenti senza il previo controllo di un giudice o di un ente amministrativo indipendente, “ingerisce in modo particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale”.

Anche se la direttiva risponde effettivamente a un obiettivo di interesse generale, la Corte ritiene insomma che il legislatore dell’Unione “…abbia ecceduto i limiti imposti dal rispetto del principio di proporzionalità”.


La Corte constata poi che la direttiva non prevede garanzie sufficienti ad assicurare una protezione efficace dei dati contro i rischi di abusi e contro qualsiasi accesso e utilizzo illeciti dei dati e non prevede alcun criterio oggettivo che consenta di garantire che le autorità nazionali competenti abbiano accesso ai dati e possano utilizzarli solamente per prevenire, accertare e perseguire penalmente reati che possano essere considerati ‘gravi’, limitandosi a fare generico rinvio ai ‘reati gravi’ definiti da ciascuno Stato membro nella propria legislazione nazionale.


Per quanto riguarda la durata della conservazione dei dati, da 6 a 24 mesi, infine, la direttiva non opera distinzioni tra le categorie di dati a seconda delle persone interessate o dell’eventuale utilità dei dati rispetto all’obiettivo perseguito, non garantisce la distruzione irreversibile dei dati al termine della loro durata di conservazione né impone che i dati siano conservati sul territorio dell’Unione, non garantendo, quindi, conclude la Corte, “il pieno controllo da parte di un’autorità indipendente del rispetto delle esigenze di protezione e di sicurezza, come è invece espressamente richiesto dalla Carta”.


“Con la sua decisione la Corte sottolinea, inoltre, l’esigenza che i dati oggetto di conservazione per ragioni di giustizia restino nel territorio dell’ Ue con evidente riferimento alle recenti vicende del Datagate”, ha sottolineato infine Antonello Soro.

 

La reazione della Commissione europea

“La sentenza della Corte porta chiarezza e conferma le conclusioni critiche in termini di proporzionalità contenute nella relazione sull’attuazione della direttiva sulla conservazione dei dati della Commissione del 2011”, ha dichiarato Cecilia Malmström, commissario per gli Affari interni.

La Commissione europea intende ora valutare con attenzione la sentenza e le sue conseguenze. Dopo di che, aggiunge Malmström, “proseguirà il suo lavoro alla luce dei progressi compiuti in relazione alla revisione della direttiva ePrivacy e tenendo conto dei negoziati sul quadro di protezione dei dati”.

Su Twitter,  il Commissario responsabile per la Giustizia, Viviane Reding, ha scritto: “La Corte di Giustizia ha confermato che la sicurezza non è un ‘super-diritto’ che prevale sulla protezione dei dati”.


E ora?

“Le motivazioni della sentenza non sono ancora disponibili ma è chiaro che è stata invalidata la direttiva del 2006 sin dalla sua entrata in vigore perché ritenuta vaga, non sufficientemente chiara e sproporzionata in quanto creerebbe un’ingerenza eccessiva”, ha spiegato a Key4biz Luigi Montuori, Capo Dipartimento comunicazioni e reti telematiche del Garante Privacy, secondo cui la sentenza della Corte Ue implicherà un intervento rapido in sede Ue “per colmare un vuoto normativo che di fatto questa sentenza ha creato”, pur senza metterne in discussione il principio sottostante.