CGE invalida la direttiva 2006/24 sulla Data Retention

Con la direttiva 2006/24/CE il Parlamento Europeo ha regolamentato la materia della data retention specificando le modalità di conservazione dei dati di traffico da parte dei provider, ossia dei fornitori di un servizio pubblico di comunicazione, e i presupposti di accesso da parte dell’Autorità Giudiziaria a tali dati.

A distanza di circa otto anni, tale normativa è stata dichiarata invalida dalla Corte di Giustizia dell’Unione Europea: la materia del contendere è la violazione del diritto al rispetto della vita privata e familiare e alla protezione dei dati personali riconosciuti sia dalla Convenzione Europea dei diritti dell’uomo che dalla Carta dei diritti fondamentali dell’Unione Europea.

Già prima della decisione della Corte di Giustizia dell’Unione Europa, le Corti Costituzionali di alcuni Stati Membri avevano progressivamente dichiarato l’incostituzionalità delle rispettive leggi di recepimento della direttiva e alcuni di essi si erano addirittura rifiutati di trasporre la direttiva nel proprio contesto normativo nazionale. 

Dalla lettura delle motivazioni delle corti costituzionali dei vari Stati Membri erano emerse delle critiche quasi integralmente riprese dalla decisione della Corte di Giustizia: la prima consisteva nella mancanza di proporzionalità nella conservazione dei metadati ritenuti erroneamenti meno rilevanti dei contenuti delle comunicazioni, la seconda riguardava l’assenza di una precisa elencazione dei soggetti  legittimati a richiedere tali dati e la terza riguardava la genericità dell’espressione “reato grave” (“serious crime”).

La decisione della Corte di Giustizia, nell’evidenziare i profili di invalidità della direttiva, lascia aperti molti interrogativi: quale sarà il futuro delle varie discipline nazionali? quale sarà il regime transitorio? quale sarà l’atteggiamento dei Provider statunitensi dopo tale decisione? quali saranno le scelte che verranno adottate a livello Europeo su tale complesso tema?

Proviamo a dare qualche prima risposta.

Quale sarà il futuro delle normative nazionali che hanno attuato la Direttiva nel loro Stato membro?

La decisione della Corte di Giustizia non determina l’invalidità delle normative nazionali in tema di conservazione dei dati da parte degli Stati Membri, in quanto ai sensi dell’art. 267 del Trattato sul funzionamento dell’Unione Europea la competenza della Corte può avere efficacia diretta solo sugli atti comunitari, ma non su quelli nazionali. Inoltre, non va dimenticato che l’art. 15 della Direttiva 2002/58/EU (“E-Privacy Directive”) prevedeva la facoltà per gli Stati Membri di adottare una normativa nazionale per la conservazione dei dati di traffico per finalità di giustizia. Ne consegue quindi che le normative nazionali degli Stati Membri che non ne hanno in precedenza dichiarato l’incostituzionalità sono a tutti gli effetti ancora in vigore.

Quale sarà il regime transitorio?

Non è possibile prevedere i tempi per l’emanazione di una nuova Direttiva, sia per il grado di complessità che una tale normativa comporta, sia perché la priorità del Parlamento è l’approvazione del regolamento Europeo sulla protezione dei dati personali.

Quale sarà l’atteggiamento dei Provider statunitensi dopo tale decisione? 

Va ricordato che tali provider non hanno nessun obbligo di rispettare la normativa sulla data retention, in quanto forniscono i dati alle autorità giudiziarie e governative europee su base volontaria, in forza della section 2702 (b) (7) dell’Electronic Communication Privacy Act. Tale normativa prevede la facoltà ai provider di rivelare all’autorità giudiziaria anche di un Paese terzo i dati di traffico dei propri utenti nel momento stesso in cui vi è la prova che tale dato possa essere collegato alla commissione di un reato.

È prevedibile quindi che i provider americani non cambino le loro policy già in essere prima dell’arrivo della Direttiva sulla data retention.

Quali saranno le scelte che verranno adottate a livello Europeo nella riforma della Data Retention Directive?

La Corte di Giustizia ha sicuramente dettato alcune linee guida che verranno certamente prese in considerazione alla predisposizione della futura riforma della Direttiva sulla data retention. Tra queste meritano di essere ricordate la necessità di un contenimento del periodo di conservazione (massimo sei mesi) e una chiara modalità di accesso ai dati di traffico da parte delle Autorità nazionali che deve avvenire ottemperando a caratteristiche di tracciabilità e di sicurezza. La dichiarazione di invalidità della direttiva 2006/24/CE ha generato un vuoto normativo a livello comunitario che potrebbe essere colmato partendo dalle considerazioni fatte dalla Commissione Europea nel 2010 e da alcuni commentatori.

Per garantire il rispetto di tali diritti fondamentali, la Commissione ritiene che sia necessario un intervento significativo sugli aspetti critici e propone di:

-restringere e armonizzare le finalità della data retention e le tipologie di reati in forza dei quali si può accedere e utilizzare i dati di traffico;

-assicurare una maggiore uniformità a livello europeo dei periodi di conservazione dei dati;

-limitare il numero dei soggetti autorizzati ad accedere a tali dati e ridurre le categorie di dati da conservare;

-supervisionare, attraverso un’autorità indipendente, le modalità di accesso ai dati applicate nei vari Stati membri;

-prevedere delle linee guida sulle misure tecniche e organizzative per l’accesso ai dati e l’utilizzo di tali dati, con particolare attenzione al rischio di data mining.

La disamina offerta dalla Commissione diventerà sicuramente un ottimo punto di partenza per raggiungere un compromesso tra l’esigenza di salvaguardare la sicurezza dello Stato e quella di tutelare la protezione dei dati personali dei cittadini europei.