I reati online e l’identificazione degli autori, il caso francese
I reati online si moltiplicano e le Istituzioni corrono ai ripari. Si pone quindi il problema di come raccogliere, elaborare, gestire e conservare i dati relativi ai singoli utenti che hanno violato la legge. Sull’argomento c’è una nuova sentenza della Corte di Giustizia dell’Unione europea, nella causa “C-470/21 – La Quadrature du Net e a. (Dati personali e lotta contro la contraffazione)”, in cui si precisano i requisiti relativi alle modalità di conservazione di tali dati e di accesso agli stessi.
Si tratta di una sentenza in risposta ad un ricorso di diverse associazioni per la tutela dei diritti e delle libertà su internet, diretto all’annullamento di un decreto del Governo francese che ha introdotto due diversi trattamenti dei dati personali.
Il primo consiste nella raccolta, da parte di organismi che rappresentano gli autori, di indirizzi IP che appaiono essere stati utilizzati su siti tra pari (peer-to-peer) per la commissione di tali reati, nonché nella loro messa a disposizione dell’Alta autorità francese per la diffusione delle opere e la tutela dei diritti su Internet (la legge Hadopi). Il secondo comprende, in particolare, la messa in relazione, da parte dei fornitori di accesso a internet, che agiscono su richiesta della Hadopi, dell’indirizzo IP e dei dati relativi all’identità civile del suo titolare.
In entrambi i casi, l’Autorità può avviare procedimenti anche repressivi nei confronti dei soggetti identificati dalle forze dell’ordine.
La sentenza della Corte di Giustizia UE
Su questo, la Corte si è pronunciata in questo modo: “Gli Stati membri possono imporre ai fornitori di accesso a Internet un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP per lottare contro i reati in generale, purché tale conservazione non consenta di trarre conclusioni precise sulla vita privata dell’interessato”.
A determinate condizioni, è specificato nella sentenza, “gli Stati membri possono inoltre, autorizzare l’autorità nazionale competente ad accedere ai dati relativi all’identità civile riferentisi a indirizzi IP, purché sia assicurata una conservazione tale che garantisca una separazione stagna delle diverse categorie di dati”.
Onde evitare una raccolta scriteriata di informazioni sensibili sulla vita privata dell’interessato, “l’accesso deve essere assoggettato a un previo controllo da parte di un giudice o di un ente amministrativo indipendente”.
Tale trattamento dei dati consente all’Autorità di “avviare, nei confronti delle persone identificate, un procedimento che combina misure pedagogiche e repressive, che può dar luogo a un deferimento alla procura nei casi più gravi”.
La separazione stagna delle diverse categorie di dati personali
La Corte, pronunciandosi in seduta plenaria, ha inoltre sottolineato che “la conservazione generalizzata e indifferenziata di indirizzi IP non costituisce necessariamente una grave ingerenza nei diritti fondamentali”, basta che la normativa nazionale imponga modalità di conservazione “che garantiscano una separazione effettivamente stagna delle diverse categorie di dati personali, escludendo così che possano essere tratte conclusioni precise sulla vita privata dell’interessato”.
Inoltre, la sentenza della Corte specifica che “il diritto dell’Unione non osta a una normativa nazionale che autorizza l’autorità pubblica competente, al solo scopo di identificare la persona sospettata di aver commesso un reato, ad accedere ai dati relativi all’identità civile corrispondenti a un indirizzo IP, conservati separatamente e in maniera effettivamente stagna dai fornitori di accesso a Internet”.
Fondamentale è “garantire che tale accesso non consenta di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP di cui trattasi” e che si eviti di effettuare un tracciamento del percorso di navigazione a partire dagli indirizzi IP.
Una sentenza che potrebbe risultare di grande aiuto nella lotta alla criminalità online, soprattutto in casi di contraffazione e quindi di violazione della proprietà intellettuale, nonché nella più generale violazione del diritto d’autore, che affligge l’industria audiovisiva e dei contenuti online.
Ciò che deve essere salvaguardata è la vita privata dell’individuo e i dati relativi a questa sfera individuale sono tutelati dalla legge (che ne definisce anche le eventuali deroghe). Le informazioni in possesso degli inquirenti dovranno quindi servire ‘esclusivamente’ all’individuazione del soggetto che ha commesso reato. Qui risiede l’indicazione chiave di mantenere sempre una “separazione effettivamente stagna delle diverse categorie di dati personali, escludendo così che possano essere tratte conclusioni precise sulla vita privata dell’interessato”.
