Un giudice olandese ha dichiarato invalida, e sospesa l’applicazione, della normativa olandese sulla data retention. Si tratta della normativa in base alla quale operatori di telecomunicazioni sono obbligati a conservare dati sul traffico telefonico ed Internet per scopi di giustizia e, quando richiesto, a fornirli all’autorità giudiziaria. Questa materia era regolata a livello europeo dalla direttiva 2006/24/CE che, tuttavia, è stata annullata dalla Corte Europea di Giustizia con sentenza del’8 aprile 2014.
L’annullamento della direttiva europea ha indotto molti Stati membri a verificare se le relative normative nazionali (solo in alcuni casi emanate come implementazione della direttiva annullata) fossero in linea con i principi statuiti dalla Corte. Infatti, secondo la massima giurisdizione europea gli obblighi di data retention sono suscettibili di pregiudicare i diritti fondamentali della persona e, in particolare, la protezione dei dati personali: pertanto, per essere validi tali obblighi devono essere proporzionati e disegnati in maniera specifica per le tipologie di crimini che si intendono reprimere (mentre invece la direttiva annullata imponeva obblighi assolutamente generici). Devono inoltre essere previste specifiche garanzie per la corretta e sicura conservazione di tali dati.
Nel caso olandese, il governo de l’Aia aveva in effetti iniziato un percorso di verifica della normativa nazionale sulla data retention ed aveva così proposto, nel novembre 2014, delle minime modifiche. Tale soluzione era stata però fortemente contestata, in quanto ritenuta insufficiente, dalle associazioni libertarie olandesi, che si erano quindi rivolte alla magistratura. Tuttavia, poiché la novella in questione non era ancora entrata in vigore, il giudice olandese si è pronunciato solo sulla legislazione originaria: pertanto non è chiaro se le modifiche fossero sufficienti a sanarne l’invalidità.
Di rilievo è che l’invalidità pronunciata dal giudice olandese è focalizzata soprattutto sulle misure di salvaguardia dei dati (dove e come sono conservati i dati? Chi e come può averne accesso?) piuttosto che sul problema della raccolta di massa di dati personali, che invece era stato particolarmente stigmatizzato dalla Corte europea.
Oltre all’Olanda, anche altri Stati europei sono corsi ai ripari in seguito alla sentenza di annullamento della direttiva 2006/24. Tra gli altri, Regno Unito, Svezia e Danimarca hanno condotto delle analisi per mettere in sicurezza le relative normative nazionali. Al contrario, in Germania, Austria, Slovacchia, Slovenia e Romania la magistratura è intervenuta prima e le normative nazionali sono state dichiarate incompatibili con le costituzioni nazionali o con il diritto europeo,
In Italia la direttiva europea annullata è stata implementata con il Decreto Legislativo 30 maggio 2008, n. 109 ed il conseguente adattamento dell’art. 132 del Codice della Privacy. La normativa risultante prevede, inter alia, l’obbligo di conservazione dei dati del traffico telefonico per 24 mesi, e 12 per quello Internet. Si tratta di obblighi molto pesanti per telco ed Isp, anche perché nessun meccanismo di rimborso dei costi è stato mai previsto.
Trattandosi peraltro di una trasposizione letterale delle disposizioni europee dichiarate invalide dalla Corte europea, è plausibile che un’azione legale volta, in maniera diretta o indiretta, a dichiarare l’incompatibilità del decreto legislativo 109/2008 con il diritto europeo avrebbe probabilmente successo. Nonostante questo rischio, non vi è traccia di iniziative governative o ministeriali miranti a mettere in sicurezza la normativa italiana sulla data retention. Pedura pertanto una forte incertezza nell’industria delle telecomunicazioni la quale, oltre che sottostare ad obblighi, pesanti e costosi, subisce il rischio di rivendicazioni da parte dei privati i cui dati telefonici verrebbero conservati in maniera potenzialmente illegittima. Una forte incertezza pesa anche sulle attività della magistratura, le cui attività di investigazione potrebbero essere messe in pericolo da una declaratoria di invalidità della data retention, anche per inchieste passate o in corso.
