La Corte di giustizia dell'Unione europea, con le decisioni riunite C-293/12 e C-594/12 dell’8 aprile 2014575, ha dichiarato invalida la direttiva 2006/24/CE sul data retention. Il percorso motivazionale della sentenza della Corte si snoda attraverso i seguenti fondamentali passaggi logici.
Innanzitutto, la Corte segnala che, sebbene dall’art. 1 e dall’art. 5 della direttiva si evinca chiaramente il divieto di custodire il contenuto delle conversazioni avvenute attraverso i canali elettronici, i dati sottoposti all’obbligo di conservazione (mittente e destinatario della comunicazione, durata e tipo di comunicazione, nome e indirizzo dell’utilizzatore, numero chiamante e numero chiamato, indirizzo IP, localizzazione del chiamante e apparecchiature utilizzate) permettono di tracciare profili piuttosto definiti riguardo alle persone che utilizzano i mezzi di comunicazione. Pertanto, a giudizio della Corte, la verifica della legittimità di una simile operazione chiama direttamente in causa l’art. 7, l’art. 8 e l’art. 11 della Carta dei diritti fondamentali dell’Unione europea perché la pratica della conservazione dei dati può, con tutta
575 C. Giust. UE, 8 aprile 2014, cause riunite C-293/12, C-594/12. Per un primo commento della sentenza, v.
COLOMBO, “Data retention” e Corte di Giustizia: riflessioni a prima lettura sulla declaratoria di invalidità della direttiva 2006/24/CE, in Cass. pen., 2014, 7/8, p. 2705, nonché R. FLOR, La Corte di Giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, www.penalecontemporaneo.it, 30 novembre 2015. La vicenda giudiziaria in questione trae origine da due distinte controversie giudiziarie nazionali che in ragione del loro comune oggetto sono state processualmente riunificate e hanno portato ad un’unica risposta della Corte europea. In primo luogo, è stata la Corte suprema irlandese che, per risolvere un caso in cui una ONG contestava la direttiva e l’atto nazionale di recepimento, ha sollevato una serie di questioni pregiudiziali e ha chiesto al giudice del Lussemburgo di verificare se la disciplina europea abbia compiuto un bilanciamento adeguato tra la necessità di garantire la sicurezza e il corretto funzionamento del mercato interno e la necessità di garantire la libertà di circolazione (come tutelata dall’art. 21 del Trattato sul funzionamento dell’Unione europea), il rispetto della vita privata (come tutelato dall’art. 7 della Carta europea dei diritti fondamentali e dall’art. 8 della Convenzione europea), la protezione dei dati personali (come tutelata dall’art. 8 della Carta europea dei diritti fondamentali), la libertà di espressione (come tutelata dall’art. 11 della Carta europea dei diritti fondamentali e dall’art. 10 della Convenzione europea) e il diritto ad una buona amministrazione (come tutelato dall’art. 41 della Carta europea dei diritti fondamentali). La stessa Corte irlandese ha poi richiesto in che misura il principio di leale collaborazione imponga al giudice nazionale di valutare in autonomia la compatibilità tra i diritti e le libertà affermati dalla Carta europea dei diritti fondamentali (interpretate alla luce della Convenzione) e le norme nazionali di attuazione dei provvedimenti di origine sovranazionale. In secondo luogo, è stata la Corte costituzionale austriaca che, per rispondere ai ricorsi con cui il governo della Carinzia e 11.130 privati cittadini hanno richiesto l’annullamento della legge interna di recepimento della direttiva, ha a sua volta chiesto se il sistema di raccolta dei dati sia compatibile con il diritto al rispetto della vita privata, con il diritto alla protezione dei dati personali e con il diritto alla libertà di espressione tutelati dalla Carta dei diritti fondamentali. Inoltre, la stessa istituzione giudiziaria austriaca ha domandato alcuni chiarimenti in merito al significato delle clausole orizzontali e, in particolare, ha chiesto alla Corte del Lussemburgo di verificare se il quadro normativo europeo rispetti il contenuto essenziale del diritto alla protezione dei dati personali, se le limitazioni imposte siano conformi al principio della protezione dei dati personali e se la conservazione dei dati sia compatibile con le tradizioni costituzionali comuni e con l’art. 8 della Convenzione europea.
172
evidenza, interferire con la libertà di espressione, con la riservatezza della vita privata e con la protezione dei dati personali576.
Una volta accertata la portata dell’ingerenza, la Corte ne vaglia la legittimità ai sensi delle regole generali dell’ordinamento europeo. A questo proposito, i giudici si richiamano alle prescrizioni contenute nel già citato art. 52 della Carta: 1) tutela del nucleo essenziale dei diritti coinvolti; 2) finalità legittima dell’ingerenza; 3) proporzionalità e stretta necessità della misura.
Quanto al primo requisito, la Corte esclude che la normativa europea sul data retention sia in qualche modo in grado di intaccare il nucleo essenziale dei diritti coinvolti: quanto all’art. 7, «poiché, come deriva dall’articolo 1, paragrafo 2, della stessa direttiva, quest’ultima non permette di venire a conoscenza del contenuto delle comunicazioni elettroniche in quanto tale»577; quanto all’art. 8, poiché «i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione sono tenuti a rispettare taluni principi di protezione e di sicurezza dei dati, principi in base ai quali gli Stati membri assicurano l’adozione di adeguate misure tecniche e organizzative contro la distruzione accidentale o illecita, la perdita o l’alterazione accidentale dei dati»578.
Inoltre, secondo la Corte è fuori discussione che «la conservazione dei dati per permettere alle autorità nazionali competenti di disporre di un accesso eventuale agli stessi, come imposto dalla direttiva 2006/24, risponde effettivamente a un obiettivo di interesse generale»579: i dati digitali «costituiscono uno strumento particolarmente importante e valido nella prevenzione dei reati e nella lotta contro la criminalità, in particolare della criminalità organizzata»580.
Il punctum dolens è rappresentato dalla proporzionalità e dalla stretta necessità dell’ingerenza. In base all’interpretazione offerta dalla Corte europea, una normativa in tema di data retention può dirsi rispettosa del principio di proporzionalità se: 1) individua dei limiti di natura temporale, spaziale, soggettiva o oggettiva alla conservazione; 2) stabilisce criteri oggettivi finalizzati a disciplinare l'accesso e l’utilizzo da parte delle competenti autorità
576 La Corte constata che «l’ingerenza che la direttiva 2006/24 comporta nei diritti fondamentali sanciti dagli
articoli 7 e 8 della Carta si rivela essere […] di vasta portata e va considerata particolarmente grave» e aggiunge che «la conservazione dei dati e l’utilizzo ulteriore degli stessi […] effettuati senza che l’abbonato o l’utente registrato ne siano informati può ingenerare nelle persone interessate […] la sensazione che la loro vita privata sia oggetto di costante sorveglianza». Cfr. C. Giust. UE, 8 aprile 2014, cit., par. 37.
577 Ivi, par. 39. 578 Ivi, par. 40. 579 Ivi, par. 44. 580 Ivi, par. 43.
173
nazionali (per fini di prevenzione o repressione di reati considerati sufficientemente grafi da giustificare siffatta ingerenza) dei dati raccolti; 3) prevede modalità sostanziali e procedurali per l'accesso ai dati da parte delle autorità competenti che, comunque, non possono prescindere da un vaglio preventivo ad opera di un giudice o di un'entità amministrativa indipendente che limiti l'accesso e l'acquisizione a quanto strettamente necessario a raggiungere l'obiettivo perseguito; 4) distingue la durata della conservazione a seconda dell'obiettivo perseguito o della persona interessata; 5) fissa criteri obiettivi che garantiscano che la conservazione sia limitata a quanto strettamente necessario; 6) predispone sufficienti misure per garantire la sicurezza e la protezione dei dati, in modo tale da prevenire eventuali accessi abusivi e usi illeciti delle informazioni581. Ebbene, secondo la Corte la vaghezza dei criteri utilizzati per definire in maniera oggettiva quali crimini perseguire attraverso i dati conservati, così come l’insufficienza delle condizioni e delle procedure previste per evitare che attraverso la raccolta si possano perpetrare abusi (in particolare, il non aver previsto che l’accesso ai dati possa avvenire in seguito ad un apposito provvedimento dell’autorità giudiziaria), l’assenza di un catalogo di situazioni eccezionali escluse dall’obbligo di conservazione, la mancanza di norme che specificamente garantiscano modalità sicure di trattamento di ingenti quantità di dati (in particolare, la distruzione irreversibile dei dati raccolti) e soprattutto la scelta di un monitoraggio che coinvolge indiscriminatamente tutti i soggetti, tutti i mezzi di comunicazione elettronica e tutti i tipi di dati determinano un quadro normativo che si colloca al di là di quanto strettamente indispensabile per conseguire l’obiettivo della lotta al crimine e al terrorismo582. In altre parole, prevedere, da parte del legislatore europeo, obblighi di conservazione indiscriminati dei dati di traffico dell'intera popolazione significa eccedere i limiti imposti dal necessario rispetto del principio di proporzionalità e di stretta necessità della misura invasiva.
581 Ed infatti, i fornitori di servizi di telecomunicazione sono imprenditori e seguiranno verosimilmente criteri di
economia, non necessariamente sintomo di alti standards di sicurezza. Così, F. IOVENE, Data retention tra passato e futuro. Ma quale presente?, cit., la quale sottolinea come proprio il fatto che i costi della conservazione siano a carico dei fornitori di servizi ha determinato il successo di tale strumento di indagine che per gli investigatori, e quindi per lo Stato, è molto più economico delle intercettazioni. V. ZÖLLER, Die Vorratsspeicherung von Telekommunikationsdaten – (Deutschen) Wege und Irrwege, Congress on the Criminal Law Reforms in The World and in Turkey, Atti del convegno internazionale svoltosi a Istanbul-Ankara dal 26 maggio al 4 giugno 2010, Istanbul, 2010, p. 33.
582 «La normativa dell’Unione […] deve prevedere regole chiare e precise che disciplinino la portata e
l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati. La necessità di disporre di siffatte garanzie è tanto più importante allorché, come prevede la direttiva 2006/24, i dati personali sono soggetti a trattamento automatico ed esiste un rischio considerevole di accesso illecito ai dati stessi». Ivi, par. 54.
174
Quindi, «adottando la direttiva 2006/24, il legislatore dell’Unione ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta»583. Per questo motivo, la Corte (Grande Sezione) ha dichiarato che tale direttiva è invalida.