C’è anche l’Italia nella lista di Paesi sui quali si chiede un’indagine della Commissione europea per le regole vigenti sulla data retention. L’associazione European Digital Rights (EDRi) ha mandato infatti oggi una lettera al primo vice-presidente della Commissione europea Frans Timmermans chiedendo all’esecutivo Ue di investigare le regole sulla conservazione dei dati digitali nei Paesi membro dell’Unione che appaiono “illegali” alla luce della sentenza in materia della Corte di giustizia europea (Court of Justice of the European Union, CJEU) dell’8 aprile del 2014.
Guardando superficialmente a una serie di approcci di 14 Stati Ue alla conservazione dei dati, l’EDRi ha individuato forti somiglianze tra le disposizioni messe in atto e quelle definite illegali dalla Corte europea.
“Abbiamo di conseguenza condotto delle case study relativamente a sei Paesi (Croazia, Danimarca, Finlandia, Italia, Polonia e Regno Unito) e le abbiamo mandate alla Commissione come prova evidente che occorre prendere delle misure”, fa sapere l’EDRi in una nota.
“A oltre un anno dalla sentenza della Corte di giustizia europea, è ora che la Commissione intervenga”, dichiara Joe McNamee, Executive Director dell’EDRi. “Non si può permettere agli Stati membro dell’Ue di infrangere impunemente la legge europea”.
L’analisi condotta dall’EDRi si è concentrata su alcuni punti salienti. Innanizitutto, l’associazione ha valutato se gli Stati Ue hanno messo in atto disposizioni che collegano i dati che sono conservati con uno specifico periodo di tempo, un luogo, un gruppo di persone o un grave crimine. L’EDRi ha anche esaminato le procedure create per accedere ai dati conservati, chi è autorizzato all’accesso, le condizioni alle quali i dati sono conservati e per quanto tempo.
Anche se ci sono differenze tra gli Stati membro, l’analisi dell’EDRi è giunta alla conclusione che le leggi esistenti nei sei Paesi oggetto delle case study, tra cui l’Italia, “sembrano contravvenire” alla Carta dei diritti fondamentali.
Per l’Italia si fa riferimento al Decreto Legislativo 30 giugno 2003, n. 196, “Codice in materia di protezione dei dati personali”. Tra i vari elementi contestati, c’è il fatto che la legge italiana non differenzia sulla base del soggetto o del suo coinvolgimento in un crimine grave, né fornisce eccezioni per chi è legato a segreto professionale. La legge italiana inoltre “non esige una preventiva valutazione proporzionale dei dati o revisione da parte di un tribunale o autorità indipendente”. La legge italiana, riconosce l’EDRi, riconosce gli alti livelli di sicurezza necessari per la protezione dei dati personali, ma non presenta disposizioni che obblighino i service provider a distruggere i dati.
L’EDRi chiede alla Commissione europea di avviare un’indagine più approfondita sulle leggi nazionali dell’Italia, degli altri Paesi oggetto delle case study e dei vari membri dell’Ue per verificare i sospetti di violazione delle leggi Ue presentati nella lettera.
