La sentenza del Bundesverfassungsgericht sul c.d. data retention

La recente decisione della Corte costituzionale tedesca²⁰ in materia di conservazione dei dati di traffico telematico ha avuto ad oggetto la questione di costituzionalità dei §§ 113a e 113b del Telekommunikationsgesetzes (TKG) e sul § 100g StPO, comma 1, prima parte.

In sintesi, la Corte ha ritenuto i §§ 113a e 113b TKG – come modificati dall’art. 2 n. 6 della legge di riforma del settore delle telecomunicazioni e delle altre misure d’indagine sotto copertura (Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verde-ckter Ermittlungsmaßnahmen) e di attuazione della direttiva 2006/24/CE del 21 dicembre 2007 – incostituzionali in quanto in contrasto con l’art. 10, comma 1, GG.

Inoltre, il § 100g, comma 1, prima parte StPO – come modificato dall’art. 1, n. 11 della citata legge di riforma è stato ritenuto, in relazione all’acquisizione dei dati di traffico telema-tico ex art. 113a TKG, in contrasto con gli artt. 1 e 2 GG, nonché 10, comma 1, GG.

Pertanto, i dati archiviati sulla base di queste disposizioni devono essere cancellati e non possono essere trasmessi alle autorità richiedenti²¹.

19 Vedi: BVerfGE 110, pp. 33-67; nonché SächsVerfGH, 14 maggio 1996 – Vf.44-II-94 –, in JZ, 1996, p. 957 ss.

20 Vedi 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08, in http://www.bverfg.de/entscheidungen/rs20100302_

1bvr025608.html. Cfr. R. FLOR, Indagini ad alto contenuto tecnologico, cit., p. 359 ss., nonché M.FOGLIA,

Valori comuni in materia di privacy e trattamento dei dati personali, in Dir. inf., 2010, p. 514 ss. Per ulteriori

riferimenti vedi R. FLOR, Data retention, cit., p. 1954 ss.

21 Precedentemente, infatti, sono state emesse l’ordinanza sospensiva dell’11 marzo 2008 nel procedimento 1 BvR 256/08 (Bundesgesetzblatt Teil I Seite 659), ripetuta ed estesa in data 28 ottobre 2008 (Bundesgesetzblatt

Roberto Flor 38

La complessità della sentenza e le molteplici questioni puntualmente affrontate dalla Cor-te non permettono in questa sede, per ovvi motivi, un’ampia e completa disanima critica²². Ai fini del presente lavoro è sufficiente riportare i soli passaggi relativi alla questione di costitu-zionalità sul c.d. data retention, pur facendo un breve cenno al rapporto fra ordinamento in-terno e diritto europeo.

Sotto questo ultimo aspetto, infatti, i Giudici costituzionali hanno evidenziato che la veri-fica di legittimità costituzionale riguarda non le disposizioni della direttiva europea, ma le so-luzioni legislative adottate dal legislatore tedesco per raggiungere gli scopi prefissati dal-l’Unione.

La questione sul principio di prevalenza del diritto comunitario e la sua incidenza sui di-ritti fondamentali non è stata, dunque, in discussione o, almeno, non direttamente. La diretti-va, infatti, conferisce agli Stati un’ampia discrezionalità e le sue previsioni sono limitate es-senzialmente all’obbligo di conservazione dei dati, non prevedendo la disciplina sull’accesso e l’utilizzo degli stessi da parte delle autorità statali.

In questo contesto la direttiva può essere attuata dal legislatore tedesco senza comportare una forte compressione o limitazione dei diritti fondamentali.

Con riferimento all’oggetto della decisione, è utile premettere che il § 113a TKG prevede l’obbligo, per il fornitore di servizi pubblici di comunicazioni elettroniche, di conservazione dei dati di traffico telefonico (da rete fissa, mobile, fax, sms e mms), e-mail e servizi Internet, che è esteso a tutte le informazioni necessarie per ricostruire chi ha effettuato la comunicazio-ne o ha tentato di effettuarla (fra cui quelle relative a quando, per quanto tempo, a chi e da do-ve, nonché identificativo telefonico ed Ip address). Il contenuto della comunicazione e di con-seguenza i dettagli su quali pagine Internet sono state visitate dagli utenti non devono essere archiviati. Al termine di 6 mesi i dati devono essere cancellati entro un mese.

Lo scopo perseguito dal legislatore era quello di adeguare la norma, nella lotta al terrori-smo ed alla criminalità organizzata, alle condizioni poste dalle moderne tecniche di comuni-cazione.

Il successivo § 113b ha previsto che l’obbligo di archiviazione avesse ad oggetto, ai sensi del § 113a, i dati necessari per perseguire i reati, per evitare gravi minacce alla sicurezza pub-blica o per adempiere ai compiti istituzionali delle autorità a protezione della Costituzione della federazione o di un Land, dei servizi segreti federali e di intelligence. Oltre a disciplina-re i pdisciplina-resupposti per la conservazione dei dati, la seconda parte del medesimo comma 1 contie-ne l’autorizzaziocontie-ne all’utilizzaziocontie-ne indiretta dei dati contie-nella forma di richiesta di informazioni al service provider per identificare l’Ip address. In altri termini, se l’autorità è a conoscenza di tale informazione può richiedere ulteriori dati relativi all’utente “titolare” dell’indirizzo Ip. Questo ultimo, dunque, non rientrerebbe nell’area di tutela del nucleo essenziale del diritto fondamentale alla riservatezza da preservare tramite la previsione di stringenti limiti al potere coercitivo dello Stato.

Il § 100g StPO, invece, contiene le norme applicabili in relazione all’obbligo da parte dei providers di rendere accessibili i dati necessari alle investigazioni in materia penale disponen-do che, per la repressione di gravi reati (previsti dal precedente § 100a, comma 2, che defini-sce i “gravi reati” – “Schwere Straftaten im Sinne des Absatzes 1 n. 1 sind” […]) o per quelli commessi con mezzi di telecomunicazione, è consentita l’acquisizione dei dati di traffico,

nel-Teil I Seite 2239) e ripetuta in data 15 ottobre 2009 (Bundesgesetzblatt nel-Teil I Seite 3704), relative alle richieste di

accesso ai dati da parte delle autorità competenti ai service providers.

22 Per un approfondimento, anche in relazione al concetto di “Ip address” ed alle sue “forme”, si rinvia alle motivazioni della decisione, in http://www.bverfg.de/entscheidungen/rs20100302_1bvr025608.html.

La tutela dei diritti fondamentali della persona nell’epoca di Internet 39

la misura necessaria per l’indagine23. In realtà, la norma disciplina qualsiasi accesso ai dati di traffico telematico permettendo anche quello alle informazioni archiviate dai service provi-ders per altre ragioni (per ipotesi relative, fra le altre, all’effettuazione di transazioni economi-che).

Inoltre, il legislatore non ha distinto fra l’uso di dati archiviati ai fini del § 113a TKG ed altri dati di traffico, ma ha ritenuto opportuno permettere l’utilizzazione indipendentemente da una lista di reati significativi o per perseguire quelli commessi tramite sistemi di telecomuni-cazione.

Le citate norme, secondo i giudici costituzionali, incidono sull’area di tutela dell’art. 10, comma 1, GG, ossia sul diritto fondamentale alla riservatezza ed alla confidenzialità dei si-stemi informativi, quali espressioni del generale diritto alla personalità (che include anche il c.d. diritto all’autodeterminazione informativa).

I fornitori di servizi pubblici di comunicazioni elettroniche pur essendo, nella maggior parte dei casi, soggetti privati, svolgono attività di rilevanza pubblica di collaborazione con le autorità statali e, attraverso gli atti legittimi di queste ultime, rappresentano una manifestazio-ne del potere coercitivo dello Stato in subiecta materia.

Le disposizioni sulla memorizzazione delle informazioni per un periodo di 6 mesi non so-no incompatibili con l’art. 10 GG in termini assoluti e so-non è preclusa ab origine l’archivia-zione di tali dati da parte di service providers, se tali previsioni sono integrate in una struttura legislativa “appropriata”, ossia capace di soddisfare il principio di proporzionalità. I rilievi di incostituzionalità hanno dunque riguardato anzitutto l’obbligo di memorizzazione, che pre-scinde da specifici presupposti (anlasslos gespeicherten Daten), riguarda tutti gli utenti ed è previsto per qualsiasi dato in modo indiscriminato.

Simili operazioni, anche se non coinvolgono il contenuto delle comunicazioni, afferisco-no alla sfera intima dei soggetti, potendo attrarre, seppur potenzialmente, informazioni di na-tura sensibile (ad esempio di carattere politico o sulle inclinazioni e preferenze personali), e comportare il “tracciamento” e la “profilazione” degli utenti.

In altri termini, tale attività comporta il rischio, da un lato, di sottoporre uno o più soggetti ad indagini o ad ulteriori indagini senza che essi vi abbiano dato in alcun modo occasione, dall’altro lato di abusi da parte delle medesime autorità.

Di conseguenza, considerate le potenzialità dei sistemi di archiviazione e la natura dei da-ti ivi memorizzada-ti, è indispensabile, a parere dei Giudici, non solo la previsione dei presuppo-sti, ma anche l’adozione di misure di sicurezza proporzionate che assicurino uno standard ele-vato, la cui valutazione ed implementazione non può essere lasciata all’apprezzamento sog-gettivo del provider o a mere valutazioni economiche e prevedendo, eventualmente, un orga-nismo ad hoc per la regolamentazione degli standard tecnici.

Deve essere il legislatore a determinare in modo trasparente i presupposti, il tipo, la natu-ra ed il livello delle misure di sicurezza, nonché i limiti di utilizzazione dei dati²⁴.

23 A titolo di esempio, sono considerati “gravi reati” quelli contro la pace, la difesa nazionale, la libertà per-sonale, di banda armata, contro l’identità sessuale.

24 De jure condito è assente, secondo i giudici, una garanzia di uno standard elevato di sicurezza. La norma

fa solo riferimento, infatti, al generale bisogno di sicurezza (§ 113a.10 TKG) non definendo quali debbano essere tali misure introducendo solo considerazioni generali sull’adeguatezza economica nei singoli casi (§ 109.2, 4 TKG). In altri termini viene lasciato al singolo ISP ogni apprezzamento, che deve offrire servizi in condizioni competitive ed è soggetto alle regole di mercato nonché alla pressione dei costi.

In questo contesto l’ISP non è né obbligato a seguire le indicazioni degli esperti in un dato momento storico in ordine alle misure idonee a garantire la sicurezza dei dati (archiviazione separata per tipologie di dati, cripta-zione asimmetrica, principio dei “quattro occhi” in congiuncripta-zione con procedure di autenticacripta-zione avanzate per l’accesso alle chiavi, audit-proof recording dell’accesso e cancellazione dei dati), né un livello comparabile di

Roberto Flor 40

La Corte, riprendendo la sentenza sulla c.d. Online Durchsuchung, ha affermato, inoltre, la necessaria presenza di un pericolo concreto per la vita o la libertà delle persone, oppure per la sicurezza della Federazione o di un Land, quali presupposti affinché la compromissione dei diritti fondamentali possa essere ritenuta legittima.

Con l’obbligo di conservazione dei dati il legislatore deve prevedere, dunque, nel rispetto del principio di tassatività, una lista esaustiva dei reati in relazione a determinati ed importanti beni da proteggere.

L’utilizzo e la trasmissione dei dati archiviati deve comunque essere soggetta al controllo dell’autorità giudiziaria anche se, nell’ambito della discrezionalità legislativa, l’atto normativo potrebbe richiedere che alcune informazioni possano essere fornite anche indipendentemente dai limiti previsti o imposti per specifici reati o da una lista di illeciti o beni giuridici, sulla base di autorizzazioni generali previste da specifiche disposizioni di legge.

Per quanto riguarda la soglia di interferenza, però, secondo i giudici si dovrebbe garantire che le informazioni non possano essere raccolte a “random”, ma solo sulla base di un obietti-vo sospetto o di un pericolo concreto sulla base dei fatti relativi al caso concreto.

Nelle indagini penali, inoltre, è possibile la previsione dell’uso dei dati in modo segreto solo se tale utilizzo risultasse indispensabile, previa comunque l’autorizzazione da parte dell’autorità giudiziaria. In simili situazioni il legislatore dovrebbe prevedere un obbligo di informazione susseguente.

De jure condito, il § 100g, comma 1, n. 1, StPO non assicura che l’archiviazione dei dati avvenga solo per perseguire gravi reati ed il n. 2 della stessa disposizione include ogni reato commesso mediante mezzi di comunicazione, indipendentemente dalla sua gravità, quale pre-supposto per il recupero dei dati, sulla base di una valutazione generale nel corso di un con-trollo di proporzionalità.

In sintesi, queste disposizioni rendono i dati memorizzati ex § 113 bis TKG utilizzabili praticamente per tutti i reati.

In tale contesto, considerando l’incremento di importanza dei mezzi di comunicazione nell’attuale società dell’informazione, l’utilizzo di tali dati perderebbe il carattere eccezionale che lo dovrebbe connotare²⁵.

Inoltre, la norma permette il recupero di dati non per casi individuali supportati da una decisione giudiziaria, ma quale regola generale anche senza la conoscenza da parte del sog-getto interessato (§ 100g.1, StPO).

Sull’uso indiretto degli Ip address, invece, i giudici hanno specificato che per tali infor-mazioni non è necessario prevedere standard stringenti e nemmeno il rigido requisito della ri-chiesta all’autorità giudiziaria. In ogni caso, però, le persone interessate devono essere infor-mate quando questi dati sono trattati/raccolti.

Nella dissenting opinion il giudice Schluckebier ha ritenuto che l’obbligo di conservazio-ne dei dati per un periodo di 6 mesi non contrasti con il diritto fondamentale protetto dall’art. 10, comma 1, GG. I dati di traffico rimangono, infatti, nella sfera riservata dell’ISP sui suoi servers, per ragioni tecniche, e gli utenti possono fare affidamento, sulla base del rapporto contrattuale, che i dati siano trattati in stretta confidenza e protetti. Se è garantita l’adozione di misure di sicurezza corrispondenti allo stato dell’arte non ci sono obiettivamente le basi per sostenere che l’utente potrebbe subire delle limitazioni rilevanti al diritto fondamentale. Con-siderando peraltro che l’archiviazione non si estende al contenuto delle comunicazioni.

sicurezza è altrimenti garantita. Nemmeno vi è un sistema equilibrato di sanzioni che attribuisca rilevanza alle violazioni della sicurezza dei dati rispetto alle violazioni dei doveri di immagazzinamento.

25 Questo passaggio della motivazione si rinviene anche nella sentenza della Corte cost. della Romania (vedi

La tutela dei diritti fondamentali della persona nell’epoca di Internet 41

In sostanza, le disposizioni impugnate non sarebbero inappropriate essendo ragionevoli e proporzionate, soprattutto considerando la materia delle intercettazioni, in cui vi è l’effettivo rischio di invasione nella sfera privata, che non sarebbe lesa in sé dalla mera archiviazione, ma eventualmente dal recupero dei dati e dal loro utilizzo nei singoli casi.

Dalla dissenting opinion si desume che spetta comunque al legislatore garantire un bilan-ciamento fra contrapposti interessi, considerando anche l’effettiva e costituzionale ammini-strazione della giustizia in vista dei cambiamenti portati dalle nuove tecnologie e dalle nuove forme di comunicazione.

4. La sentenza della Curtea Constituţională dellaRomania sul c.d. data retention

La decisione della Corte costituzionale della Romania, che precede quella del Bundesver-fassungsgericht del 2 marzo 201026 ed è successiva a quella della Corte Suprema bulgara27, ha riguardato la questione di incostituzionalità relativa alle disposizioni della legge n. 298 del 2008 e della legge n. 506 del 2004, che prevedono l’obbligo per i fornitori di servizi pubblici di comunicazioni elettroniche o i fornitori di reti pubbliche di comunicazione di archiviare i dati generati o trattati durante la loro attività per renderli disponibili alle autorità competenti nell’ambito di attività di indagine e nei procedimenti contro gravi reati. La Corte, in particola-re, ha ritenuto convincenti le obiezioni relative alla compromissione dei diritti di libertà di movimento, di intimità e del rispetto della vita privata, nonché gli effetti sul diritto alla segre-tezza della corrispondenza ed alla libertà di espressione protetti dalla Costituzione romena.

I Giudici hanno richiamato il riconoscimento internazionale del diritto alla privacy ed alla vita famigliare, protetto dall’art. 26 della Costituzione romena, come risulta dall’art. 12 della Dichiarazione universale sui diritti dell’uomo, dall’art. 17 del Patto internazionale relativo ai diritti civili e politici, dall’art. 8 della Convenzione per la tutela dei diritti umani e delle libertà fondamentali.

Tali diritti, incluso quello alla libertà di espressione previsto dall’art. 30 della Costituzio-ne e dall’art. 10 della citata ConvenzioCostituzio-ne, non sono però assoluti.

In questo contesto, né la Convenzione per la tutela dei diritti umani e delle libertà mentali né la Costituzione nazionale vietano soluzioni legislative limitative dei diritti fonda-mentali. Tali limiti, però, sono legittimi se rispettano specifici requisiti, espressamente richie-sti dall’art. 8 della Convenzione e dall’art. 53 Cost., e l’intervento legislativo è diretto alla tu-tela di importanti interessi, quali possono essere la sicurezza nazionale, la salute pubblica, la difesa dell’ordine pubblico, oppure la prevenzione dei reati. Esso, però, deve essere necessa-rio, proporzionato rispetto alla situazione che lo ha determinato, applicabile in modo non di-scriminatorio e non deve minare l’esistenza del diritto o della libertà fondamentale²⁸.

26 Per una sintesi della decisione in lingua inglese e per un breve commento vedi B. MANOLEA, Romania:

Im-plementation of EU Data Retention Directive Uncostitutional, in Cri, 2010, 2, p. 49 ss. Più dettagliatamente cfr. J.

RINCEANU, Das Urteil des rumänischen Verfassungsgerichtshofs, cit. Si consenta di rinviare a R. FLOR, Data

reten-tion, cit., che richiama altresì la sentenza della Corte costituzionale della Repubblica ceca, del 31 marzo 2011, che

ha dichiarato incostituzionali le norme interne sul data retention. Su quest’ultima decisione vedi ampiamente R. FLOR, Perspectives of new types of “technological investigations” and protection of fundamental rights in the Era

of Internet. The cyberterrorism as a prime example, between problems of definition and the fight against terrorism ad cyber-crime, in II International Conference of young penalist/II Congreso International de Jóvenes

Investi-gadores en ciencias Penales, Salamanca, 2011 (in corso di pubblicazione).

27 Si veda la sentenza della Corte Suprema Amministrativa della Bulgaria (SAC) dell’11 dicembre 2008.

28 La Corte costituzionale richiama la propria giurisprudenza in materia di intercettazioni di comunicazioni telefoniche e elettroniche, che ha confermato la costituzionalità dell’art. 911 c.p.p. (vedi in particolare Decizia

Roberto Flor 42

La Corte ha evidenziato, inoltre, che l’attuazione delle direttive europee comporta degli obblighi per quanto concerne gli scopi, ma non le modalità per raggiungerli, lasciando dunque agli Stati membri un certo margine di discrezionalità.

La legge n. 298 del 2008, regolando l’obbligo imposto ai fornitori di servizi di comunica-zione elettronica accessibili al pubblico o di reti pubbliche di comunicacomunica-zione di conservare i dati per un periodo di 6 mesi esprime l’intenzione del legislatore di limitare l’esercizio di que-sti diritti fondamentali.

La norma, però, deve ritenersi incostituzionale.

In primis la Corte ha rilevato il mancato rispetto del principio di precisione nel determinare la sfera dei dati necessari per identificare gli utenti, che apre la possibilità ad abusi nell’attività di conservazione, trattamento ed utilizzo delle informazioni archiviate dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Le limitazioni ai diritti fondamentali della riservatezza, della segretezza della corrispon-denza e della libertà di espressione devono, infatti, essere previste in modo chiaro e non am-biguo, per evitare valutazioni arbitrarie da parte delle autorità. I soggetti su cui incide la nor-mativa sono membri della società civile e devono essere messi nella condizione di compren-dere le leggi applicabili, in modo da adattare le loro condotte e rappresentarsi le conseguenze di queste ultime.

In secondo luogo, secondo i Giudici il legislatore non ha individuato il significato della locuzione “per la prevenzione ed il contrasto di minacce alla sicurezza nazionalele istituzioni statali […] possono avere accesso, secondo le condizioni stabilite dagli atti normativi che re-golano l’attività di sicurezza nazionale, ai dati conservati presso i fornitori di servizi di comu-nicazione elettronica accessibili al pubblico o di reti pubbliche di comucomu-nicazione” 29.

In terzo luogo, la Corte ha rilevato che la legge n. 298 del 2008 stabilisce, in generale, la regola della conservazione dei dati per un periodo di 6 mesi e l’obbligo del provider è di ca-rattere intrinsicamente continuo.

La direttiva 2002/58/CE, la legge n. 677 del 2001 sulla protezione dei dati personali e, successivamente, la legge n. 506 del 2004 consentono dei limiti eccezionali al diritto alla ri-servatezza sulla base delle condizioni espressamente previste dalla Costituzioni e dalla norma-tiva internazionale applicabile in subiecta materia.

Ma, mentre nel caso, ad esempio, delle intercettazioni e delle registrazioni audio-video l’art. 91 c.p.p. rispetta il carattere eccezionale della limitazione, ammettendola sulla base di stringenti circostanze dal momento dell’autorizzazione motivata dell’autorità giudiziaria e per un periodo limitato di tempo non superiore a 120 giorni in totale, per la stessa persona e per lo stesso fatto, la legge n. 298 ha “trasformato” l’eccezione in “regola” obbligando l’archivia-zione dei dati per un periodo di 6 mesi, i quali possono essere utilizzati con l’autorizzal’archivia-zione motivata del giudice “per il passato e non per il futuro”³⁰. Perciò la previsione di un obbligo

962 del 25 giugno 2009, in Monitorul Oficial n. 563 del 13 agosto 2009), nonché le decisioni della Corte europea dei diritti dell’uomo sui casi Klass e altri vs. Germania, del 1978 e Dumitru Popescu vs. Romania, del 2009, ca-ratterizzate dall’affermazione dei limiti dell’intervento dello Stato nell’esercizio dei diritti, da parte dei cittadini, della libertà di espressione ed alla vita privata e familiare.

29 La norma non definendo, in particolare, le “minacce alla sicurezza nazionale” difetta di precisione e