Europea
La ricostruzione dei giudici tedeschi ha trovato un importante avallo da parte della Corte Europea di Giustizia, con la sentenza 8 aprile 2014 nelle cause riunite C- 293/12 e C-594/12337.
La questione sottoposta all’attenzione dei giudici europei risiedeva nella verifica circa la compatibilità fra la disciplina della Direttiva 2006/24/CE sulla conservazione dei dati di navigazione, atto prodromico allo svolgimento di indagini
336 Interessanti spunti, a questo proposito, si rinvengono in J. PALFREY, The Public and the Private at the United States Border with Cyberspace, in Miss. L. J., 2008, p. 241 ss.
337 Per un commento, v. E.COLOMBO, “Data retention” e Corte di Giustizia: riflessioni a prima lettura sulla declaratoria di invalidità della direttiva 2006/24/CE, in Cass. pen., 2014, p. 2705 ss., nonché R.FLOR, La
Corte di Giustizia considera la Direttiva europea 2006/24 sulla c.d. “Data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in www.penalecontemporaneo.it.
106
informatiche sulla commissione di un fatto di reato, ed i diritti fondamentali dell’individuo stabiliti dalla Carta di Nizza.
Si tratta, com’è agevole avvertire, di una tematica che rileva ben oltre i confini della data retention. Ed invero, l’interrogativo cui i giudici europei erano chiamati a rispondere affonda le radici nella vexata quaestio del conflitto tra garanzie individuali e strumenti di indagine aventi ad oggetto digital evidence. Per tale ragione, appare utile ripercorrere i passaggi centrali del discorso sviluppato con impeccabile coerenza nella pronuncia in questione.
I parametri rispetto ai quali verificare la tenuta delle previsioni della Direttiva 2006/24/CE erano individuati dai giudici rimettenti338 negli artt. 7, 8 e 11 della Carta fondamentale dei Diritti Europei. Più in dettaglio, l’immagazzinamento dei dati di carattere personale affinché le autorità nazionali competenti possano eventualmente accedervi potrebbe, in astratto, comprimere i diritti garantiti dagli articoli 7 e 8 della Carta; inoltre, la conservazione di dati inciderebbe sull’utilizzo, da parte degli abbonati o degli utenti registrati, dei mezzi di comunicazione e, di conseguenza, sull’esercizio della loro libertà di espressione, garantita dall’art. 11 Carta fondamentale. Di qui, la necessità di verificare se la normativa rispetti i doverosi requisiti di protezione dei dati appresi.
Preliminarmente, la Corte afferma che l’obbligo di conservazione di dati relativi alla vita privata di una persona e alle sue comunicazioni costituisce di per sé un’ingerenza nel diritto al rispetto della vita privata e della vita familiare di cui all’art. 7 della Carta di Nizza. Questo – si badi bene – a prescindere che le informazioni memorizzate abbiano carattere sensibile o meno e a prescindere dagli effetti di tale conservazione. Si tratta, allora, di verificare se le deroghe in parola siano necessarie e rispettino il contenuto essenziale dei diritti in questione; nonché, se siano rispondenti a finalità di interesse generale riconosciute dall’Unione, ovvero derivino dalla necessità di proteggere diritti e libertà altrui, conformemente all’art. 52 della Carta.
Ebbene, a parere dei giudici europei, quanto al primo aspetto, la data retention non pregiudica il contenuto essenziale dell’art. 7 della Carta di Nizza,
107
giacché è escluso che i provider e l’autorità giudiziaria vengano a conoscenza del contenuto delle conversazioni. Non è, parimenti, leso il nucleo fondamentale del diritto al trattamento dei dati personali (art. 8 Carta di Nizza), poiché l’art. 7 della Direttiva 2004/26/CE prevede regole specifiche in tema di protezione e sicurezza dei dati.
Quanto alla seconda problematica, l’obiettivo della disciplina oggetto dello scrutinio di compatibilità con la Carta di Nizza è individuato nella necessità di garantire la disponibilità dei dati a fini di indagine, accertamento e perseguimento di reati gravi; il che si inserisce nel più generale obiettivo di interesse generale di mantenimento della sicurezza e della pace.
Nonostante ciò, la normativa europea sulla conservazione dei dati di navigazione incontra, secondo la Corte, un insormontabile ostacolo nel principio di proporzionalità, inteso, sulla scia della costante giurisprudenza della Corte medesima339, quale capacità di realizzare gli obiettivi perseguiti dalla normativa e senza superare i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi, secondo un giudizio di adeguatezza del mezzo adoperato rispetto al fine.
Ed invero, il diritto al rispetto della vita privata rappresenta un diritto fondamentale le cui restrizioni devono palesarsi come strettamente necessarie. E ciò, soprattutto, in tutti quei casi in cui la conservazione di dati sensibili avviene automaticamente e laddove vi sia un concreto rischio di «unlawful access and use» di tali dati.
Questi i rilievi critici dei giudici comunitari. In primo luogo, la Direttiva 2006/24/CE concerne ogni comunicazione elettronica o traffico di dati senza alcuna differenziazione a seconda della gravità del reato che si intende accertare; la conservazione riguarda tutti i cittadini dell’Unione, a prescindere da qualsiasi elemento che indichi la commissione di un crimine e da eventuali obblighi di segretezza; inoltre, non vi è alcun rapporto tra il dato immagazzinato e la potenziale minaccia alla pubblica sicurezza340.
339 V., per tutti, Case C-343/09, Afton Chemical, EU:C:2010:419.
340 In particolare, la conservazione dei dati «is not restricted to a retention in relation (i) to data pertaining to a particular time period and/or a particular geographical zone and/or to a circle of particular persons likely
108
In secondo luogo, la Direttiva non prevede alcun objective criterion cui ancorare i limiti dell’accesso e conseguente uso dei dati conservati. Né si prevede alcuna specifica procedura per l’accesso al dato, così come non si specifica a quali fini il dato deve essere utilizzato.
In terzo luogo, si sottolinea la mancanza di una distinzione a seconda della gravità del crimine nella determinazione della forbice edittale, unitamente all’assenza di un criterio oggettivo in base al quale limitare la conservazione al periodo strettamente necessario.
Logico corollario è che, «by adopting Directive 2006/24, the EU legislature has exceeded the limits imposed by compliance with the principle of proportionality in the light of Articles 7, 8 and 52(1) of the Charter»341; di qui, l’invalidità della Direttiva.
Ora, la declaratoria di illegittimità in parola è destinata a ripercuotersi, sia pure in via soltanto indiretta342, sulle normative di attuazione degli Stati membri dell’Unione e, dunque, anche della disciplina dettata nell’ordinamento italiano dal Codice privacy; anche se dovranno essere le Corti interne a stabilire la compatibilità delle singole norme di recepimento – tra loro assai diverse – della Direttiva 2006/24/CE.
Più in generale, i principi dettati dalla Corte Europea appaiono di grande rilevanza se mutuati sul terreno delle investigazioni informatiche. Quanto rilevato dai giudici europei, infatti, smentisce seccamente quella tesi, già propugnata nei considerando della Direttiva 2006/24/CE, secondo cui, nelle investigazioni in ambito digitale, il fine (l’indagine su fatti criminosi, anche gravissimi) giustifica i mezzi (la reiterata violazione o compressione di diritti e garanzie individuali).
to be involved, in one way or another, in a serious crime, or (ii) to persons who could, for other reasons, contribute, by the retention of their data, to the prevention, detection or prosecution of serious offences».
Sono considerazioni che, all’evidenza, ben si adattano anche alla normativa dettata in Italia dal D.lgs 196/2003.
341 La Corte, invece, non prende posizione circa la compatibilità della Direttiva 2006/24/CE con l’art. 11
della Carta di Nizza, ritenendo assorbenti le censure svolte rispetto agli artt. 7 ed 8 del testo convenzionale.
342 E.COLOMBO, “Data retention” e Corte di Giustizia, cit., p. 2713, auspica che «gli Stati membri, di propria
iniziativa, si adoperino per adeguare la disciplina della data retention ai diritti della persona […] così da individuare chiaramente quelle norme che oggi sono divenute contrarie al diritto comunitario (come interpretato dalla sentenza della Corte) e che, di conseguenza, devono essere disapplicate».
109
Quanto rilevato dalla Corte rappresenterà, dunque, punto di partenza necessario per il doveroso ripensamento, in ambito europeo, della normativa in tema di conservazione di dati, nonché per l’interpretazione delle norme vigenti nei singoli ordinamenti in tema di indagini informatiche.