La pronuncia appena citata solleva inevitabilmente questioni applicative di non poco conto con riferimento alla tenuta ed alla sorte della normativa nazionale di attuazione del c.d. data
retention.
Un dato è certo: l’art. 132 del nostro Codice della privacy non può certo definirsi rispettoso del principio di proporzionalità, così come interpretato dalla Corte europea. Tale norma, infatti: 1) eccezion fatta per il fattore tempo, non pone alcun limite alla conservazione dei dati di traffico telefonico e telematico, che risulta quindi indiscriminata584; 2) non prevede un elenco di reati particolarmente gravi e tali da giustificare l’ingerenza nella vita privata e nella riservatezza delle persona che è inevitabilmente provocata dal data retention585; 3) non prevede specifiche modalità procedurali che devono essere osservate per l'accesso ai dati, né richiede il vaglio di un giudice o di altra autorità indipendente586; 4) non distingue la durata
583 Ivi, par. 69. Tale conclusione viene raggiunta senza neanche il bisogno di prendere in considerazione gli altri
problemi sollevati dai rinvii pregiudiziali dei giudici nazionali (in particolare quelli relativi alle possibili lesioni della libertà di espressione).
584 Le categorie di dati da conservare sono elencate dall'art. 3 d.lg. n. 109/2008, di attuazione della direttiva
2006/24/CE.
585 È infatti semplicemente prescritto che i dati vengano conservati «per finalità di accertamento e repressione di
reati».
586 Come già chiarito, i dati possono essere acquisiti presso il fornitore «con decreto del pubblico ministero anche
su istanza o del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private». Con riferimento a questo aspetto, si condividono pienamente le osservazioni fatte da F. IOVENE, Data retention, cit., secondo la quale «nonostante la particolare posizione ricoperta dal pubblico ministero nel nostro ordinamento, non pare che il suo intervento nella procedura acquisitiva soddisfi i requisiti pretesi dalla Corte di giustizia. Questa, infatti, nel fare riferimento ad un giudice o altra entità indipendente esige che sull'accesso da parte delle autorità a ciò autorizzate vigili un soggetto in posizione di terzietà, quale non è il pubblico ministero, pur sempre parte, ancorché pubblica. Occorrerebbe quindi ricorrere al classico schema che il codice di rito richiede per misure fortemente limitative dei diritti fondamentali: richiesta del pubblico ministero – autorizzazione del giudice, salvo nei casi di urgenza la possibilità per il primo di intervenire autonomamente, con successiva convalida». Di questo avviso anche R. FLOR, La Corte di Giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, www.penalecontemporaneo.it, 30 novembre 2015, il quale osserva acutamente che, nella sua versione originaria, l'art. 132 codice privacy prevedeva che l'acquisizione dei dati fosse di competenza del giudice.
175
della conservazione in base al fine perseguito o al soggetto attenzionato587; 5) non prevede misure per la sicurezza dei dati588.
Quale, dunque, la sorte della normativa nazionale alla luce del decisum della Corte europea? Il quesito proposto è tutt’altro che semplice da evadere: ed infatti, se da un lato non ci sono dubbi sul fatto che la dichiarazione di invalidità pronunciata dalla Corte valga a sanare la posizione di quelle Nazioni che non hanno ancora provveduto a recepire la direttiva, semplificandone la posizione, dall’altro lato le cose si complicano in quei Paesi, come l’Italia, che hanno dato attuazione all’atto normativo europeo. Ciò in quanto, almeno formalmente, in tali paesi restano in vigore i provvedimenti nazionali di recepimento e in ossequio alle regole sulla competenza previste nei trattati istitutivi, l’intervento normativo europeo preclude la possibilità di un ulteriore intervento legislativo nazionale diverso da quello di attuazione. A ciò si aggiunga che, in ragione dei tempi decisionali piuttosto lunghi, difficilmente si potrà sperare in una soluzione legislativa di fonte sovranazionale che adegui il quadro europeo ai dettami della sentenza. Così, se vi possono essere ben pochi dubbi sul fatto che i giudici irlandesi e austriaci provvederanno presto a bloccare l’efficacia delle rispettive normative interne e a riordinare il quadro normativo e che anche la Corte costituzionale slovena (che, in attesa della pronuncia del giudice europeo sulla validità della direttiva, aveva sospeso il procedimento di controllo di costituzionalità dell’atto interno) arriverà ad una celere definizione della questione, probabilmente in tutti gli altri paesi membri ci si troverà di fronte ad una grave situazione di incertezza giuridica.
Diverse ed alternative le possibili soluzioni. Di primo acchito, in virtù della primazia e dell’effetto diretto del diritto primario europeo, si potrebbe essere indotti a sostenere l’obbligo per il giudice nazionale di disapplicare l’art. 132 del Codice della privacy, in quanto limitativo del diritto al rispetto della vita privata e del diritto alla tutela dei propri dati personali (artt. 7 e 8 CDFUE) oltre quanto strettamente necessario alla luce del principio di proporzionalità (art. 52 CDFUE). Dal punto di vista processuale, da tale disapplicazione dovrebbe conseguire una
587 Semplicemente, distingue tra dati relativi al traffico telefonico, a quello telematico e alle chiamate senza
risposta che devono essere conservati rispettivamente per ventiquattro mesi, dodici mesi e trenta giorni.
588 Ed infatti, il co. 5 dell’art. 132 prescrive che i dati vengano «conservati con accorgimenti [“tecnologici”] volti
a garantire i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché a: a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati del trattamento [...] d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1». La concreta individuazione di tali standards, tuttavia, è lasciata ai singoli fornitori di servizi, che verosimilmente prediligeranno criteri di economicità ad elevate garanzie per la sicurezza.
176
inutilizzabilità ex art. 191 c.p.p. dei dati eventualmente acquisiti589. Ciò in quanto il rilevato contrasto tra la pratica della conservazione dei dati e i diritti tutelati dall’ordine giuridico europeo si dovrebbe riflettere anche sulle norme nazionali di attuazione, opportunamente conducendo alla non applicazione del diritto interno contrastante con la Carta590.
In base ad altra ricostruzione, stante la problematicità di sanzionare con la non applicazione il contrasto tra la Carta e le norme interne esplicitamente finalizzate a darle attuazione, gli unici rimedi che residuano per risolvere tale contrasto sono quelli predisposti dal diritto nazionale. Con specifico riferimento all’ordinamento italiano (come per tutti gli altri sistemi europei che non hanno un controllo diffuso di costituzionalità) ciò significa che il giudice dovrebbe investire la Corte costituzionale per la declaratoria di incostituzionalità dell’art. 132 del Codice della privacy per contrasto con l’art. 117 della Costituzione, così come integrato dall’art. 7 e dall’art. 8 della Carta europea. Sebbene una simile soluzione sia certamente conforme alle logiche che secondo la giurisprudenza costituzionale italiana presidiano il tema della relazione tra gli ordinamenti, essa ha però il limite della problematica situazione di incertezza giuridica perdurante per tutta la durata della procedura di annullamento.
Ed allora, occorre ragionare diversamente. A ben guardare, la direttiva sulla conservazione dei dati è stata espressamente concepita come una deroga alle norme che in ambito europeo regolano il trattamento dei dati personali e la tutela della privacy e che in generale prevedono per gli operatori economici l’espresso obbligo di distruggere i dati raccolti nell’esercizio delle loro attività. Se si adotta questa prospettiva, una volta che la pratica del data retention non può più godere della copertura offerta in via derogatoria dalle norme della direttiva 2006/24/CE, sarebbe necessario ridare piena applicazione alla disciplina generale, concludendo per la disapplicazione delle norme interne (e dell’art. 132 del Codice della privacy in particolare) che prevedono l’obbligo di conservazione dei dati poiché in contrasto con le regole europee che disciplinano questo ambito. Una simile soluzione avrebbe innanzitutto il vantaggio della tempistica: essendo già stata acclarata dalla Corte di giustizia l’illegittimità della pratica della conservazione, il giudice ordinario potrebbe procedere
589 Di questa opinione, tra gli altri, F IOVENE, Data retention, cit., nonché S. MARCOLINI, Le cosiddette perquisizioni on line (o perquisizioni elettroniche), cit., p. 2855
590 Il ricorso ad una simile soluzione sembrerebbe addirittura incoraggiato dalla giurisprudenza (si vedano le
decisioni Åkerberg, Siragusa e Pelckmans) con cui la Corte di giustizia ha interpretato estensivamente la clausola in questione fino ad escludere la possibilità che la norma si riferisca esclusivamente agli atti interni formalmente vincolati all’ordine giuridico europeo e fino a far coincidere il concetto di attuazione con l’adozione di un qualunque provvedimento adottato in ambiti materiali di competenza dell’Unione.
177
all’immediata disapplicazione dell’art. 132 senza doversi preoccupare di rinviare la questione ad altra istanza giudiziaria. Per di più, essendo già stato definito il regime alternativo a quello disposto dalle norme interne, verrebbero meno i rischi di un intervento creativo delle istituzioni giudiziarie ordinarie, perché, in ultima analisi, si tratterebbe di dare applicazione alle regole generali sul trattamento dei dati.
Sullo sfondo rimangono problematiche tutt’altro che irrilevanti. Innanzitutto, la disapplicazione dell'art. 132 del Codice della privacy rappresenta un rimedio legato al caso concreto, destinato ad operare ex post, che non risolve la violazione dei diritti fondamentali connessa alla mera conservazione dei dati, a prescindere dalla loro successiva ed eventuale acquisizione per fini di giustizia591. Forti della declaratoria di invalidità della direttiva, potrebbe essere persino ipotizzato l’obbligo, per i service providers, di astenersi dal conservare i dati di traffico, oppure la possibilità per i privati di chiedere, ai sensi dell'art. 7, comma 3, lett. b) codice privacy, la cancellazione dei dati che li riguardano in quanto illecitamente trattati.
Inoltre, rimane aperto lo spinoso tema della prevenzione: la conservazione e l’acquisizione dei dati per finalità di intelligence592 sfuggono alla soluzione della disapplicazione, non
potendo fisiologicamente tali dati essere utilizzati in un eventuale instaurando processo penale593.