L’accesso in massa ai dati delle comunicazioni elettroniche conservati dagli operatori delle telecomunicazioni da parte delle autorità pubbliche degli Stati membri per perseguire reati o prevenire minacce alla sicurezza pubblica o alla sicurezza nazionale dev’essere conforme al diritto dell’Unione e, quindi, non deve costituire un’ingerenza sproporzionata nei diritti al rispetto della vita privata e alla tutela dei dati personali e nella libertà di espressione, garantiti dalla Carta dei diritti fondamentali dell’UE.
Lo dice la Corte di giustizia dell’Unione europea.
Esaminiamo quindi di seguito le ultime sentenze in materia e i loro risvolti pratici.
Le ultime sentenze della Corte Ue sui regimi di sorveglianza di massa di tre Stati europei
Il 6 ottobre 2020 la Corte di giustizia dell’Unione europea si è pronunciata su quattro cause pregiudiziali aventi ad oggetto la compatibilità con i diritti fondamentali al rispetto della vita privata (“personal privacy”) e alla tutela dei dati personali (“data privacy”) garantiti dalla Carta dei diritti fondamentali dell’UE delle normative nazionali del Regno Unito (Privacy International, C‑623/17), del Belgio (Ordre des barreaux francophones et germanophone, C‑520/18) e della Francia (La Quadrature du Net, C‑511/18 e French Data Network, C‑512/18)[1].
La Corte di giustizia ha affermato che i regimi di sorveglianza di massa, pur se finalizzati a salvaguardare la sicurezza nazionale, devono rispettare le condizioni alle quali, ai sensi dell’art. 52, par. 1 della Carta, è possibile limitare l’esercizio dei diritti fondamentali ivi riconosciuti. Tale disposizione prevede, infatti, che eventuali limitazioni all’esercizio dei diritti fondamentali devono essere previste dalla legge, rispettare il contenuto essenziale di tali diritti, essere proporzionate e necessarie a soddisfare finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
Le tre cause su cui si è pronunciata la Corte di giustizia riguardano, in particolare, normative nazionali che impongono ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione generalizzata e indifferenziata dei dati dei loro abbonati e di consentire alle autorità di pubblica sicurezza e di intelligence di accedervi.
I dati raccolti dagli operatori delle telecomunicazioni includono i dati sul traffico e sulla localizzazione degli utenti, così come qualsiasi dato relativo alle comunicazioni elettroniche, fatta eccezione per il contenuto di queste ultime.
Questi dati possono fornire informazioni su chi utilizza il telefono e Internet, nonché su quando, dove, come e con chi vengono effettuate comunicazioni[2]. Ad esempio, i dati delle comunicazioni elettroniche possono rivelare ricerche su siti Internet visitati e i contatti degli utenti, nonché informazioni sull’ubicazione dei telefoni cellulari e di rete fissa dai quali sono effettuate o ricevute le chiamate, nonché l’ubicazione dei computer utilizzati per accedere a Internet.
Se raccolti in massa, i dati delle comunicazioni non sono meno “sensibili” per l’utente di quanto lo sia il loro contenuto[3]. Essi, infatti, consentono di rintracciare le persone con cui un utente ha comunicato e la frequenza dei contatti tra costui e determinate persone in un certo periodo.
Le normative nazionali di Francia, Belgio e Regno Unito si applicano a tutti i sistemi di comunicazione elettronica e a tutti gli utenti, senza distinzioni o eccezioni di sorta[4].
Pertanto, le autorità pubbliche possono accedere a tutti i dati delle comunicazioni elettroniche detenuti dai fornitori dei servizi di comunicazione elettronica, potendo esercitare una sorveglianza di massa sugli utenti di questi servizi.
L’acquisizione e l’utilizzo di dati di comunicazione in massa da parte delle autorità francesi, belghe e britanniche sono motivati dall’esigenza di perseguire gravi forme di criminalità (come la pedopornografia in rete e il terrorismo), di prevenire gravi minacce per la sicurezza pubblica e di salvaguardare la sicurezza nazionale.
La Corte ha constatato che le normative nazionali in questione, ancorché motivate da finalità di interesse generale riconosciute anche dal diritto dell’Unione, determinano una grave ingerenza dello Stato nei diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali, ma anche alla libertà di espressione, che, ai sensi dell’art. 11 della Carta dei diritti fondamentali, include “la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche”.
Infatti, la consapevolezza che i dati relativi alle proprie comunicazioni elettroniche siano accessibili in massa alle autorità pubbliche può indurre le persone a non esprimersi liberamente. Questo effetto deterrente può incidere su persone che, in base al diritto nazionale, sono soggette al segreto professionale o ad obblighi di confidenzialità o i whistleblowers[5].
Il punto è, dunque, stabilire se e in che misura questa grave ingerenza sia legittima ai sensi del diritto dell’Unione, in quanto idonea e strettamente necessaria a realizzare le finalità di interesse generale sottese alle normative nazionali in esame.
Prima di entrare nel merito di tale questione, la Corte ha dovuto risolvere una questione concernente l’applicabilità della Direttiva 2002/58/CE (cosiddetta “e-Privacy”) nei casi a quo.
L’applicabilità della Direttiva ePrivacy nonostante la finalità di sicurezza nazionale
La Corte di giustizia ha dovuto stabilire se la Direttiva e-Privacy fosse applicabile ove l’obbligo di conservazione generalizzato dei dati delle comunicazioni elettroniche imposto agli operatori del settore è finalizzato a consentire alle autorità pubbliche di poter acquisire e trattare tali dati per fini di sicurezza nazionale. In caso affermativo, le normative nazionali avrebbero dovuto sottostare ai limiti entro cui, ai sensi dell’art. 15, par. 1, della Direttiva, si possono introdurre delle restrizioni ai diritti alla riservatezza e alla sicurezza delle comunicazioni elettroniche e alla tutela dei dati personali.
In particolare, tale disposizione precisa che gli Stati membri possono adottare misure legislative che prevedono la conservazione dei dati da parte dagli operatori delle telecomunicazioni per un periodo di tempo limitato per ragioni di sicurezza nazionale[6].
Al riguardo, i Governi nazionali intervenuti nei giudizi dinanzi alla Corte hanno sostenuto che l’accesso generalizzato ai dati delle comunicazioni elettroniche da parte delle autorità preposte alla salvaguardia della sicurezza nazionale esulasse dall’ambito di applicazione della Direttiva e-Privacy. Essi facevano principalmente leva sull’art. 1, par. 3 della Direttiva e-Privacy, secondo cui quest’ultima non si applica alle attività riguardanti, inter alia, “la sicurezza dello Stato”[7].
A loro avviso, l’inapplicabilità della Direttiva e-Privacy a normative nazionali volte a tutelare la sicurezza nazionale trovava conferma nell’art. 4, par. 2, del Trattato sull’UE, secondo cui “la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro”, nonché nell’art. 2, par. 2, lett. d) del Regolamento generale sulla protezione dei dati (UE) 2016/679 (RGPD), che – al pari dell’art. 3, par. 2, della Direttiva 95/46/CE[8] – esclude dal proprio ambito di applicazione le questioni di tutela dei dati personali riferite ad attività riguardanti la sicurezza nazionale[9].
La Corte di giustizia ha affermato che la Direttiva e-Privacy si applica non solo alla conservazione dei dati sulle comunicazioni elettroniche da parte degli operatori del settore, ma anche alla messa a disposizione di tali dati alle autorità di sicurezza nazionale[10]. Né l’art. 4, par. 2, del Trattato sull’UE può essere interpretato nel senso che qualsiasi misura statale solo perché adottata a fini di sicurezza nazionale non sia soggetta al diritto dell’Unione. Infine, il RGPD non si applica ai trattamenti di dati personali posti in essere dalle autorità pubbliche per fini di sicurezza nazionale, ma non a quelli posti in essere da soggetti privati per i medesimi fini[11].
Pertanto, tutti i trattamenti di dati personali da parte degli operatori delle telecomunicazioni, inclusi quelli derivanti da obblighi ad essi imposti dalle autorità pubbliche a fini di sicurezza nazionale, devono rispettare le norme dell’UE sulla tutela dei dati personali[12].
Le regole europee a cui devono attenersi i Governi nazionali
La Corte di giustizia ha, dunque, chiarito che una legislazione nazionale che consente a un’autorità statale di chiedere ai fornitori di servizi di comunicazione elettronica di trasmettere in massa i dati sul traffico e sull’ubicazione degli utenti alle autorità di pubblica sicurezza e di intelligence allo scopo di salvaguardare la sicurezza nazionale è soggetta alla Direttiva e-Privacy.
Quest’ultima mira a tutelare la confidenzialità delle comunicazioni elettroniche, ma anche dei dati relativi ad esse, come i dati sul traffico e sull’ubicazione degli utenti. A tal fine, essa stabilisce che i fornitori dei servizi di comunicazione elettronica possono conservare tali dati solo per il tempo necessario a compiere specifiche attività strettamente correlate alla fornitura del servizio (come la fatturazione) e ad eliminare o anonimizzare tutti i dati appena possibile (salvo che non abbiano ottenuto il consenso dell’utente a conservare i suoi dati per un tempo maggiore).
In tal modo, la Direttiva e-Privacy assicura la tutela della privacy e dei dati personali dei soggetti interessati, evitando che, grazie alle nuove tecnologie, abbiano luogo la conservazione di enormi quantità di dati e il loro trattamento automatizzato ad insaputa o contro la volontà degli utenti.
Gli Stati membri possono introdurre norme interne che derogano alle regole della Direttiva e-Privacy per i fini e entro i limiti previsti dall’art. 15, par. 1 della Direttiva e-Privacy[13]. La Corte di giustizia ha, tuttavia, puntualizzato che le deroghe ai diritti tutelati dalla Direttiva e-Privacy non possono avere un ambito di applicazione così esteso da diventare la regola[14].
Così, la trasmissione da parte dei fornitori dei servizi di comunicazione elettronica dei dati sul traffico e sull’ubicazione dei loro utenti alle autorità statali deroga al principio di confidenzialità delle comunicazioni sancito dalla Carta dei diritti fondamentali e tutelato dalla Direttiva e-Privacy. Se tale trasmissione di dati avviene in modo generalizzato e indifferenziato, essa cessa di essere un’eccezione al principio generale di confidenzialità delle comunicazioni, diventando la regola[15], cioè, in pratica, una sistematica e continua violazione di quel principio[16], nonché dei diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali[17]. Tale grave violazione si estende alla libertà di espressione, a causa dell’effetto deterrente sull’esercizio di tale libertà derivante dalla sorveglianza di massa[18].
Ciò non è compatibile con il diritto dell’UE, che proibisce ogni restrizione all’esercizio dei diritti fondamentali che sia tale da compromettere l’essenza stessa di tali diritti.
Al fine di soddisfare il requisito della proporzionalità, la legislazione nazionale deve stabilire regole chiare e precise che disciplinano la portata e l’applicazione delle restrizioni dei diritti fondamentali in questione e impongono garanzie minime, in modo che le persone i cui dati sono trattati siano adeguatamente tutelate dal rischio di eventuali abusi. Tale legislazione deve determinare in quali circostanze e a quali condizioni le autorità pubbliche possono acquisire e trattare tali dati, in modo da garantire che l’ingerenza nella privacy degli individui sia limitata a quanto strettamente necessario. L’esistenza di siffatte garanzie è ancor più importante quando i dati personali sono sottoposti ad un trattamento automatizzato ed esiste un rischio considerevole di accesso illecito ai dati stessi[19].
Queste statuizioni non sono una novità, ma la conferma di una consolidata giurisprudenza della Corte di giustizia, volta a tutelare i dati relativi alle comunicazioni elettroniche contro rischi di abusi non solo da parte degli operatori del settore, ma anche delle autorità pubbliche sia degli Stati europei (sentenze Digital Rights Ireland, Tele2 Sverige e Watson e Ministerio Fiscal[20]) che di Stati terzi (sentenze Schrems I e Schrems II[21]).
Tuttavia, le sentenze Privacy International e La Quadrature du Net si caratterizzano per la dettagliata spiegazione delle condizioni alle quali le restrizioni dei diritti fondamentali poc’anzi richiamati, imposte dalle legislazioni nazionali possono considerarsi proporzionate, ossia effettivamente idonee e strettamente necessarie a soddisfare determinate finalità di interesse generale.
In sostanza, il principio di proporzionalità implica che più grave è il rischio posto ad un interesse generale rilevante e più grave può essere l’ingerenza nei diritti fondamentali. In ogni caso, tale ingerenza dev’essere limitata temporalmente e sottoposta a rigorose condizioni sostanziali e procedurali.
Conservazione generalizzata dei dati giustificata da gravi minacce alla sicurezza nazionale
La Corte di giustizia ha indicato condizioni e garanzie specifiche cui devono attenersi le norme nazionali adottate ai sensi dell’art. 15, par. 1 della Direttiva e-Privacy, a seconda delle specifiche finalità degli usi da parte delle autorità pubbliche dei dati generati o trattati nell’ambito della fornitura dei servizi di comunicazione elettronica.
Per quanto riguarda la trasmissione in massa alle autorità ai dati delle comunicazioni a fini di sicurezza nazionale – definita dalla Corte come l’interesse primario a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società, che comprende la prevenzione e la punizione di attività capaci di destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un Paese e, in particolare, di minacciare direttamente la società, la popolazione o lo Stato stesso, quali, ad esempio, le azioni terroristiche – la Corte ha riconosciuto che tale finalità possa in linea di principio giustificare una maggiore ingerenza nella privacy dei singoli rispetto ad altre finalità di interesse generale menzionate nell’art. 15, par. 1 della Direttiva[22].
La Corte ammette che si possa persino imporre ai fornitori dei servizi di comunicazione elettronica l’obbligo di conservare i dati sul traffico e sull’ubicazione degli utenti, al fine di consentirne l’accesso da parte delle autorità preposte alla salvaguardia della sicurezza nazionale.
Tuttavia, la trasmissione di tali dati alle autorità, se effettuata in modo generalizzato e indiscriminato, cioè con riferimento tutte le persone che utilizzano servizi di comunicazione elettronica – incluse quelle rispetto a cui non sussistono elementi che inducano a ritenere che il loro comportamento possa avere un collegamento, anche solo indiretto o remoto, con l’obiettivo di salvaguardare la sicurezza nazionale e, in particolare, senza che sia stabilita alcuna relazione tra i dati che devono essere trasmessi e una minaccia per la sicurezza nazionale –, non rispetta il principio di proporzionalità[23].
In altri termini, una legislazione che imponga agli operatori delle telecomunicazioni l’obbligo di trasmettere in massa dati relativi agli utenti alle autorità, consentendo a queste ultime un accesso generalizzato e indiscriminato a quei dati, pur se finalizzata dalla salvaguardia della sicurezza nazionale, eccede i limiti di quanto sarebbe strettamente necessario a soddisfare tale finalità[24].
Può, invece, considerarsi “proporzionata” una misura legislativa che consente alle autorità competenti di ordinare ai fornitori di servizi di comunicazione elettronica di conservare i dati sul traffico e sull’ubicazione di tutti gli utenti dei sistemi di comunicazione elettronica per un periodo di tempo limitato, purché vi siano fondati motivi per ritenere che lo Stato membro debba far fronte ad una grave minaccia per la sicurezza nazionale, che risulta effettiva e attuale o prevedibile[25]. Anche se tale misura è applicata indistintamente a tutti gli utenti dei sistemi di comunicazione elettronica, senza che, a prima vista, vi sia alcun collegamento con tale minaccia alla sicurezza nazionale di tale Stato, l’esistenza di tale minaccia è, di per sé, idonea a stabilire tale collegamento. Perciò, il ricorso a tale misura è consentito solo in situazioni in cui sussiste una grave minaccia per la sicurezza nazionale.
Affinché una misura legislativa che impone l’obbligo di conservazione dei dati degli utenti e la loro messa a disposizione delle autorità sia limitata a quanto strettamente necessario a salvaguardare la sicurezza nazionale, tale misura deve avere una durata predeterminata, che può essere prorogata ove persista una grave minaccia alla sicurezza nazionale.
Inoltre, la conservazione in massa dei dati relativi alle comunicazioni elettroniche può essere imposta solo in situazioni particolari (e non sistematicamente) e dev’essere corredata da rigorose garanzie che consentano di proteggere efficacemente i dati personali delle persone interessate dal rischio di abuso.
A tal fine, è essenziale che le decisioni che ordinano ai fornitori di servizi di comunicazione elettronica di effettuare la conservazione di tali dati siano soggette ad un controllo effettivo, da parte di un tribunale o di un organo amministrativo indipendente, le cui decisioni hanno efficacia giuridicamente vincolante, diretto a verificare la sussistenza di una delle situazioni rilevanti e il rispetto delle condizioni e delle garanzie necessarie.
Conservazione generalizzata dei dati giustificata dalla lotta a gravi forme di criminalità
Una delle finalità generali che, in linea di principio, può giustificare delle limitazioni ai diritti fondamentali al rispetto della vita privata e alla tutela dei dati personali è quella di prevenire, indagare, accertare e perseguire reati. Al riguardo, la Corte di giustizia ha affermato che – per il principio di proporzionalità – solo la lotta a gravi forme di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica possono giustificare una grave ingerenza in tali diritti fondamentali, qual è quella derivante dalla conservazione in massa dei dati sul traffico e sull’ubicazione[26].
Al contrario, siffatta ingerenza non può essere giustificata dall’obiettivo di prevenire, indagare, accertare e perseguire i reati in generale, a prescindere dalla loro gravità.
La Corte conferma il suo consolidato orientamento secondo cui un obbligo di conservazione generalizzato e indifferenziato dei dati sul traffico e sull’ubicazione degli utenti non soddisfa il requisito della proporzionalità, anche ove sia finalizzato a contrastare gravi forme di criminalità o a prevenire gravi minacce per la sicurezza pubblica[27].
In base al principio di proporzionalità, tale obbligo di conservazione dev’essere circoscritto: i) ai dati relativi ad un determinato periodo di tempo e/o concernenti una specifica area geografica e/o un gruppo definito di persone, che possono essere coinvolte, in qualche modo, in un reato grave, oppure ii) a persone che potrebbero, per altri motivi, contribuire, mediante la conservazione dei loro dati, alla lotta contro i reati gravi[28].
Pertanto, il diritto dell’UE non preclude ad uno Stato membro di adottare una legislazione che preveda, in via preventiva, la conservazione “mirata” dei dati sul traffico e sull’ubicazione ai fini della lotta contro gravi reati e della prevenzione di gravi minacce alla sicurezza pubblica, purché tale conservazione sia limitata, con riguardo alle categorie di dati da conservare, ai mezzi di comunicazione interessati, ai soggetti coinvolti e al periodo di conservazione, a quanto strettamente necessario[29]. Ciò vale anche laddove tale misura legislativa sia finalizzata alla salvaguardia della sicurezza nazionale (senza che, però, si profili una grave minaccia a quest’ultima, che giustificherebbe la conservazione generalizzata dei dati, pur se limitata nel tempo e corredata da adeguate garanzie a tutela dei soggetti interessati).
La conservazione dei dati può dirsi “mirata” laddove, ad esempio, riguardi solo persone sospettate – all’esito di procedimenti previsti dal diritto nazionale e sulla base di prove oggettive – di porre una minaccia per la sicurezza pubblica o nazionale dello Stato membro[30].
I limiti di una misura che prevede la conservazione dei dati sul traffico e sull’ubicazione possono essere fissati anche utilizzando un criterio geografico, laddove le autorità nazionali competenti ritengano, sulla base di fattori oggettivi e non discriminatori, che esista, in una o più aree geografiche, un alto rischio di preparare o commettere gravi reati. Tali aree possono consistere, ad esempio, luoghi particolarmente vulnerabili alla commissione di reati gravi, come luoghi o infrastrutture che attraggono regolarmente un elevato numero di visitatori o luoghi strategici, come gli aeroporti, le stazioni o i caselli stradali[31].
La conservazione dei dati dev’essere limitata nel tempo, ma la durata iniziale può essere estesa ove tale misura continui ad essere necessaria a soddisfare la finalità di interesse generale ad essa sottesa.
Conservazione generalizzata degli indirizzi IP e dei numeri d’identità degli utenti dei servizi di comunicazione elettronica
La Corte di giustizia ha valutato la proporzionalità di una misura legislativa nazionale che impone ai fornitori dei servizi di comunicazione elettronica la conservazione degli indirizzi IP di tutti gli utenti.
La Corte ha osservato che gli indirizzi IP fanno parte dei dati sul traffico riportati in una comunicazione elettronica. Tuttavia, un indirizzo IP, di per sé, consente di rintracciare la persona dal cui apparecchio terminale è stata trasmessa la comunicazione, ma non anche il destinatario di tale comunicazione. Quest’ultimo sarebbe, infatti, rintracciabile solo se venisse conservato anche il suo indirizzo IP[32].
Per tale ragione, gli indirizzi IP della fonte di una comunicazione costituiscono una categoria di dati meno sensibile rispetto agli altri dati sul traffico, perché non consentono di risalire alle persone contattate.
Tuttavia, poiché gli indirizzi IP possono essere utilizzati, tra l’altro, per tracciare il flusso dei click di un utente Internet e, quindi, tutta la sua attività online, tali dati consentono di elaborare un profilo dettagliato dell’utente. Pertanto, la conservazione e l’analisi degli indirizzi IP necessari per tale tracciamento costituiscono una grave interferenza con i diritti fondamentali dell’utente[33].
Tale ingerenza può essere, però, giustificata dalla lotta contro gravi reati, dalla prevenzione di gravi minacce alla sicurezza pubblica e dalla salvaguardia della sicurezza nazionale.
In effetti, quando un reato viene commesso online, l’indirizzo IP potrebbe essere l’unico mezzo di indagine che consente di identificare la persona a cui era stato assegnato tale indirizzo al momento della commissione del reato. Inoltre, poiché la conservazione degli indirizzi IP da parte dei fornitori di servizi di comunicazione elettronica non è necessaria ai fini della fatturazione dei servizi in questione, l’individuazione di reati commessi online può rivelarsi impossibile senza il ricorso ad una misura legislativa che imponga la conservazione di tali dati. Perciò, la conservazione generalizzata degli indirizzi IP può essere necessaria per perseguire reati di pornografia infantile particolarmente gravi, come l’acquisizione, la diffusione, la trasmissione o la pubblicazione online di pornografia infantile[34].
Per quanto riguarda, invece, i dati relativi all’identità degli utenti dei sistemi di comunicazione elettronica, la Corte ha osservato che tali dati non consentono, di per sé, di accertare la data, l’ora, la durata e i destinatari delle comunicazioni effettuate, né dove tali comunicazioni hanno avuto luogo o la loro frequenza con determinate persone durante un determinato periodo, con la conseguenza che non fornisce, oltre ai dati di contatto di tali utenti, quali i loro indirizzi, alcuna informazione sulle comunicazioni inviate e, di conseguenza, sulla vita privata degli utenti. Pertanto, l’ingerenza derivante dalla conservazione di tali dati non è grave e può essere giustificata dall’obiettivo di prevenire, indagare, accertare e perseguire i reati in generale (non solo quelli particolarmente gravi)[35].
Pertanto, può essere considerata compatibile col diritto dell’UE una misura statale che imponga ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi all’identità di tutti gli utenti dei sistemi di comunicazione elettronica, anche in assenza di connessione tra tutti gli utenti dei sistemi di comunicazione elettronica e gli obiettivi perseguiti e senza imporre un termine specifico, al fine di perseguire reati o atti che costituiscono una minaccia per la sicurezza pubblica (anche non gravi).
Conservazione accelerata dei dati sul traffico e sull’ubicazione
I dati sul traffico e sull’ubicazione degli utenti devono essere cancellati o resi anonimi alla scadere dei termini previsti dalle normative nazionali di attuazione della Direttiva e-Privacy.
Tuttavia, si possono verificare situazioni che rendono necessaria la rapida conservazione dei dati memorizzati su un sistema informatico oltre i termini previsti dalle normative nazionali, al fine di accertare reati gravi o atti che minacciano la sicurezza nazionale. Ciò può accadere sia quando tali reati o atti sono già stati accertati sia quando, dopo un esame obiettivo di tutte le circostanze rilevanti, essi possono essere ragionevolmente sospettati.
La Corte di giustizia ha ritenuto che, a fini di lotta alla criminalità grave e, a fortiori, di salvaguardia della sicurezza nazionale, una normativa nazionale può prevedere che sia imposto ai fornitori di servizi di comunicazione elettronica, mediante decisione dell’autorità competente soggetta ad un effettivo controllo giurisdizionale, la rapida conservazione, per il periodo strettamente necessario, dei dati sul traffico e sull’ubicazione degli utenti[36]. Tale periodo può essere prolungato se le circostanze lo giustificano.
Un provvedimento può, a scelta del legislatore e nei limiti di quanto strettamente necessario, essere esteso ai dati relativi al traffico e all’ubicazione relativi a persone diverse da quelle sospettate di aver pianificato o commesso un reato grave o atti che arrechino pregiudizio sicurezza nazionale, a condizione che i dati possano, sulla base di fattori oggettivi e non discriminatori, far luce sul reato o sugli atti in questione, come, ad esempio, i dati riguardanti la vittima, la sua cerchia sociale o professionale, o anche aree geografiche specifiche, come il luogo in cui è stato commesso o preparato il reato o l’atto che pregiudica la sicurezza nazionale in questione[37].
I risvolti pratici delle sentenze della Corte di giustizia
Grazie ai chiarimenti sull’interpretazione delle norme europee forniti dalla Corte di giustizia, i giudici nazionali che hanno operato i rinvii pregiudiziali dovranno decidere se i regimi di sorveglianza di Francia, Belgio e Regno Unito prevedono restrizioni dei diritti riconosciuti dalla Direttiva e-Privacy giustificate e proporzionate.
Quel che è certo è che la privacy non può essere sacrificata all’altare della sicurezza pubblica e nazionale. Perciò gli Stati membri (non solo quelli direttamente riguardati dalle pronunce della Corte di giustizia), ove decidano di adottare norme ai sensi dell’art. 15, par. 1, della Direttiva e-Privacy, devono trovare un punto di equilibrio tra i diritti fondamentali e gli interessi generali in gioco, applicando il principio di proporzionalità nei termini indicati dalla Corte di giustizia.
_____________________________________________________________________________________
NOTE
- Sentenze del 6 ottobre 2020, ECLI:EU:C:2020:790, Privacy International, e ECLI:EU:C:2020:791, La Quadrature du Net e a. Al momento della stesura del presente articolo non è disponibile sul sito della Corte di giustizia la traduzione in italiano di tali sentenze. ↑
- Più precisamente, nella sentenza Privacy International, punto 51, si precisa che si tratta dei: “… dati necessari per (i) identificare l’origine e la destinazione di una comunicazione, (ii) determinare la data, l’ora, la durata e il tipo di comunicazione, (iii) identificare l’hardware utilizzato e (iv) individuare l’apparecchiatura terminale e le comunicazioni. Tali dati includono, tra l’altro, il nome e l’indirizzo dell’utente, il numero di telefono della persona che effettua la chiamata e il numero chiamato da quella persona, gli indirizzi IP della fonte e del destinatario della comunicazione e gli indirizzi dei siti Internet visitati…” (traduzione nostra). Del pari, nella sentenza La Quadrature du Net e a., punto 82, si legge che si tratta dei: “… dati necessari per individuare la fonte di una comunicazione e la sua destinazione, per determinare la data, l’ora, la durata e il tipo di comunicazione, per identificare l’apparecchio di comunicazione utilizzato e per localizzare l’apparecchiatura terminale e le comunicazioni, dati che comprendono, tra l’altro, il nome e l’indirizzo dell’utente, i numeri di telefono della persona che effettua la chiamata e della persona che la riceve e l’indirizzo IP per i servizi Internet…”; al punto 83 viene chiarito che tali dati “consentono, tra l’altro, di identificare la persona con cui l’utente di un sistema di comunicazione elettronica ha comunicato e con quali mezzi, per determinare la data, l’ora e la durata delle comunicazioni e delle connessioni ad Internet e il luogo da cui sono avvenute tali comunicazioni e connessioni, nonché per accertare l’ubicazione dell’apparecchiatura terminale senza che sia stata necessariamente trasmessa alcuna comunicazione. Inoltre, tali dati consentono di stabilire la frequenza delle comunicazioni di un utente con determinate persone in un determinato periodo di tempo…”; oltretutto “i dati relativi alla trasmissione delle comunicazioni elettroniche sulle reti, consentono … di identificare la natura delle informazioni consultate online” (traduzione nostra). ↑
- In tal senso, si veda Privacy International, Q&A: EU’s top court rules that UK, French and Belgian mass surveillance regimes must respect privacy. ↑
- Si veda, in particolare, la sentenza Privacy International, punti 51 e 52, e sentenza La Quadrature du Net e a., punto 82. ↑
- Si veda la sentenza Privacy International, punto 72, e la sentenza La Quadrature du Net e a.,punto 118. ↑
- L’art. 15, par. 1, recita: “Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea”. ↑
- L’art. 1, par. 3, della Direttiva e-Privacy afferma che quest’ultima “… non si applica … alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale”. ↑
- L’art. 3, par. 2, della Direttiva 95/46/CE escludeva dall’ambito di applicazione di tale Direttiva, i trattamenti di dati personali aventi ad oggetto la sicurezza dello Stato. ↑
- L’art. 2, par. 2, lett. d) del RGPD stabilisce che quest’ultimo “non si applica ai trattamenti di dati personali… effettuati dalle autorità competenti a fini di… salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse”. Peraltro, l’art. 25, par. 1, prevede che il diritto di uno Stato membro può imporre una limitazione dei diritti garantiti dal RGPD ai soggetti i cui dati sono trattati purché “rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare… la sicurezza nazionale…”. ↑
- Si vedano, in particolare, la sentenza Privacy International, punti 39, 44 e 46, e la sentenza La Quadrature du Net e a., punti 96, 99 e 102. ↑
- Si veda la sentenza Privacy International, punti 47 e 48, e la sentenza La Quadrature du Net e a., punti 102 e 103. ↑
- Più precisamente, i trattamenti dei dati raccolti dai fornitori dei servizi di comunicazione elettronica sono soggetti alle norme nazionali adottate da ciascuno Stato membro in attuazione della Direttiva e-Privacy (norme che, quindi, devono realizzare gli obiettivi di tale Direttiva) e all’RGPD, posto che le disposizioni della Direttiva e-Privacy integrano e specificano la normativa generale dettata dall’RGPD. Si veda l’Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities del Comitato Europeo per la Protezione dei Dati (EDPB). ↑
- Si veda il paragrafo precedente di questo articolo. ↑
- Si vedano la sentenza Privacy International, punto 59, e la sentenza La Quadrature du Net e a., punto 111. ↑
- Si veda la sentenza Privacy International, punto 69 ↑
- Si veda la sentenza La Quadrature du Net e a., punto 142. ↑
- Si veda la sentenza Privacy International, punto 70. ↑
- Si veda il primo paragrafo di questo articolo. ↑
- Si veda la sentenza Privacy International, punto 68. ↑
- Sentenze dell’8 aprile 2014, Digital Rights Ireland, ECLI:EU:C:2014:238; sentenza del 21 dicembre 2016, Tele2 Sverige e Watson, EU:C:2016:970; sentenza del 2 ottobre 2018, Ministerio Fiscal, EU:C:2018:788. ↑
- Sentenze del 6 ottobre 2015, Maximillian Schrems/Data Protection Commissioner, ECLI:EU:C:2015:650, e del 16 luglio 2020, Data Protection Commissioner/Facebook Ireland, ECLI:EU:C:2020:559. ↑
- Si vedano le sentenze Privacy International, punti 74 e 75, e La Quadrature du Net et a., punti 135 e 136. ↑
- Si veda la sentenza Privacy International, punto 80. ↑
- Si veda la sentenza Privacy International, punto 81. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 137. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 140. ↑
- Si veda la sentenza La Quadrature du Net et a., punti 142 e 143. Si tratta di un principio già affermato nei precedenti casi Digital Rights e Tele2 Sverige e Watson. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 145. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 147. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 149. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 150. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 152. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 153. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 156. ↑
- Si veda la sentenza La Quadrature du Net et a., punti 157 e 158. ↑
- Si veda la sentenza La Quadrature du Net et a., punto 163. ↑
- Si veda la sentenza La Quadrature du Net et a., punti 164 e 165. ↑