La Corte di giustizia dell’Unione europea ha bocciato le norme di Regno Unito, Belgio e Francia che impongono la raccolta e la conservazione indiscriminata dei dati personali da parte delle società di telecomunicazioni e degli Internet service provider per motivi di “intelligence”. La Corte ha giudicato tali norme contrarie alla Direttiva europea ePrivacy e confermato che il diritto dell’Unione si oppone a questo tipo di disposizioni salvo quando siano giustificate da una “grave minaccia” alla sicurezza nazionale.
La sentenza nasce dopo che alcune associazioni per la tutela del diritto alla riservatezza dei dati si sono rivolte ai giudici europei in merito ad alcuni casi di applicazione della direttiva europea sulla ePrivacy, che riguarda specificamente le comunicazioni elettroniche.
“Con la sentenza di oggi la Corte chiarisce che le esigenze di sicurezza nazionale non legittimano, per sé sole, la conservazione indiscriminata, da parte dei fornitori dei servizi di comunicazione elettronica, dei dati di traffico, applicandosi anche in questo caso le garanzie e i principi in materia di protezione dei dati. Linea da tempo sostenuta dal Garante per la protezione dei dati personali”, ha commentato in una nota il Garante italiano.
Le deroghe possibili alla Direttiva ePrivacy
Nel suo comunicato per la stampa, la Corte di Giustizia europea ha affermato che la ePrivacy Directive dell’Ue del 2002 “proibisce alle leggi nazionali di imporre ai fornitori di servizi di comunicazioni elettroniche di effettuare una trasmissione generale e indiscriminata dei dati del traffico e dei dati del posizionamento geografico verso le agenzie di sicurezza e di investigazione allo scopo di difendere la sicurezza nazionale”.
Limitazioni al diritto alla privacy degli utenti possono essere introdotte in deroga alla direttiva, ma solo in presenza di “gravi minacce alla sicurezza nazionale che si dimostrano fondate e presenti o prevedibili”. Possono esistere leggi nazionali che chiedono di conservare specifici dati, ma solo “sulla base di fattori obiettivi e non-discriminatori, a seconda delle categorie di persone coinvolte o usando un criterio geografico”.
I dati andranno comunque conservati per un periodo di tempo limitato “allo stretto necessario” ed estendibile solo se la minaccia alla sicurezza nazionale o pubblica persiste o in presenza di gravi reati. I Paesi membro possono anche costringere i fornitori di comunicazioni elettroniche a raccogliere in tempo reale dati su traffico e location ma solo limitatamente a sospetti terroristi e se un giudice o un’autorità indipendente hanno autorizzato questa misura.
La data retention deve essere “proporzionata”
Già alla fine del 2016, la Corte aveva emesso una sentenza in materia di conservazione indiscriminata dei dati, affermando che le leggi nazionali in questa materia non erano accettabili se non prevedevano solide tutele per gli utenti. Alcuni paesi Ue si sono opposti al parere della Corte sostenendo che la sicurezza nazionale è di competenza dei singoli Stati e non rientra nella direttiva ePrivacy.
Oggi la Corte europea ha chiarito che la direttiva Ue sulla privacy nelle comunicazioni elettroniche si applica anche nei casi riguardanti le misure di sicurezza nazionale e che tali misure che implicano la data retention devono essere proporzionate e con forti garanzie per la privacy. Inoltre, i giudici hanno decretato che i tribunali nazionali non devono tenere conto delle prove raccolte tramite la conservazione “generalizzata e indiscriminata” dei dati sul traffico e la location.
Il Garante privacy italiano: “Vince il principio di proporzionalità”
Portando a coerente conclusione il percorso iniziato con le sentenze Digital Rights e Tele2 Sverige e in analogia con le posizioni più garantiste della Corte europea dei diritti dell’uomo, si legge nella nota del Garante italiano per la protezione dei dati personali, la Corte europea esclude che il trattamento dei dati per finalità di sicurezza nazionale “possa essere una ‘zona franca’ impermeabile alle esigenze di tutela della persona. Si tratta di un principio di assoluta rilevanza, sotto il profilo democratico, nel rapporto tra libertà e sicurezza già delineato nella sentenza Schrems del luglio scorso, per evitare che una dilatazione (nell’ordinamento statunitense particolarmente marcata) della nozione di sicurezza nazionale finisca di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati. Diritto che vive comunque in costante equilibrio con altri diritti, quale appunto quello alla sicurezza che, se oggetto di minaccia grave, può legittimare – afferma la Corte – anche misure invasive quali la conservazione generalizzata dei dati, purché per il solo tempo strettamente necessario e con alcune garanzie essenziali. La proporzionalità resta, dunque, la chiave per affrontare l’emergenza, in ogni campo, secondo lo Stato di diritto”.
Una sentenza che pesa sul Regno Unito
I giudici hanno emesso due sentenze separate che gli osservatori giudicano, da un lato, una vittoria per le associazioni pro-privacy, dall’altro, un colpo inferto al Regno Unito alla vigilia dell’uscita dall’Unione europea, prevista entro fine anno. La Gran Bretagna non potrà infatti mantenere come è oggi il flusso di dati da e per l’Ue dopo il completamento della Brexit, ma avrà bisogno di una decisione di “data-protection adequacy” da parte della Commissione europea affinché le sue aziende possano continuare a servizi clienti sul continente.
Il riconoscimento di adeguatezza alle norme sulla protezione dei dati implica che le leggi sulla privacy del Paese in questione siano in linea con quelle dell’Ue. Ma per la Corte di giustizia europea le leggi della Gran Bretagna, così come quelle di Francia e Belgio, non lo sono.
La Gran Bretagna, in particolare, dovrà mettere uno stop al flusso di dati che si indirizza verso l’agenzia nazionale di intelligencde, GCHQ, grazie a quanto previsto dalla sua legge Investigatory Powers Act (ribattezzata dai media come la “Snooper’s Charter”, la legge-spia), che chiede agli operatori mobili e agli Internet service provider di conservare per un anno tutti i dati dei loro clienti, anche se non sospettati di reati. La legge autorizza la Polizia a esaminare, senza mandato, a quali server e quando una persona si è connessa.
