CGUE: no alla raccolta indifferenziata dei dati delle comunicazioni elettroniche da parte dello Stato. La Corte di Giustizia dell’Unione Europea (“CGUE”), con una recente pronuncia, ha confermato che il diritto dell’UE (nello specifico, la Direttiva UE 2002/58, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) osta a una normativa nazionale che, in un contesto caratterizzato da minacce gravi e persistenti alla sicurezza nazionale, e in particolare dal rischio terroristico, impone agli operatori e ai fornitori di servizi di comunicazione elettronica di conservare, in maniera generale e indifferenziata, i dati relativi al traffico e all’ubicazione di tutti gli abbonati, nonché i dati che consentano di identificare gli autori dei contenuti offerti dai fornitori di detti servizi.
La pronuncia arriva nell’ennesimo scontro tra interessi nazionali contrapposti: la riservatezza e tutela del contenuto delle comunicazioni elettroniche e la sicurezza nazionale (con particolare riferimento alla difesa, alla sicurezza pubblica, prevenzione, ricerca, accertamento e perseguimento dei reati).
La normativa comunitaria coinvolta comprende la Direttiva e il Regolamento UE 2016/679 (sulla Protezione dei dati personali, “GDPR”) il quale, all’articolo 23, paragrafo 1, prevede una deroga, al ricorrere di talune condizioni, ai diritti che vengono garantiti ai singoli dallo stesso GDPR, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare una serie di interessi nazionali, che spaziano dalla sicurezza nazionale alla prevenzione dei reati.
In un tale contesto, la Corte ha avuto modo di affermare che è precluso, anche per le finalità di prevenzione del crimine o di salvaguardia della sicurezza nazionale, al diritto interno di richiedere ad un fornitore di servizi di comunicazione elettronica di trasmettere o conservare, in maniera indifferenziata, i dati di traffico e di ubicazione delle persone fisiche sue abbonate.
La decisione della CGUE
Più nello specifico,la Corte ha sancito, in primo luogo, l’applicabilità della Direttiva a casi simili (messa in discussione in precedenti giudizi).
In secondo luogo, ha chiarito che la Direttiva non consente che l’eccezione all’obbligo di garantire la riservatezza delle comunicazioni elettroniche e dei dati in esse contenuti diventi una consuetudine.
Conseguentemente, gli Stati Membri non sono autorizzati ad adottare, per finalità di sicurezza nazionale, misure legislative finalizzate a restringere la portata dei diritti e degli obblighi derivanti dalla Direttiva, in particolare dell’obbligo di riservatezza, a meno che tali misure non siano conformi ai principi generali del diritto UE, ivi incluso quello di proporzionalità.
In relazione al caso specifico (cause riunite “La Quadrature di Net and Others” e “Ordre des barreaux francophones et germanophone and others”), la CGUE – come in passato – riafferma che la Direttiva preclude misure legislative che impongono ai fornitori di servizi di comunicazioni elettroniche di porre in essere la raccolta generale e indifferenziata dei dati di traffico e di ubicazione come misura preventiva. Anzi, tali misure costituiscono una seria interferenza ai diritti fondamentali garantiti dalla Carta dei diritti fondamentali dell’Unione Europea.
La CGUE si anche espressa sull’articolo 23, paragrafo 1 del GDPR, interpretandolo nel senso che preclude alla normativa di uno stato membro che richiede ai fornitori di accedere alle comunicazioni elettroniche pubbliche di conservare, in maniera generale e indifferenziata, i dati personali in relazione ai servizi offerti.
La Corte ha comunque precisato che, in situazioni in cui lo Stato Membro interessato stia fronteggiando una seria minaccia alla sicurezza nazionale che sia effettiva, attuale e concreta, la Direttiva, alla luce della Carta dei diritti fondamentali, non preclude il ricorso ad un imposizione che obbliga i fornitori di servizi a conservare, in maniera generale e indifferenziata, dati di traffico e di ubicazione. In tale contesto, la Corte ha specificato che la decisione che impone un tale obbligo, per un periodo limitato nel tempo e strettamente necessario, deve essere giudicata da un tribunale o da un ente indipendente in grado di emettere decisioni vincolanti, al fine di verificare che una delle fattispecie che consentono la deroga ai diritti garantiti sussista e che le condizioni di salvaguardia dei diritti dei singoli interessati siano soddisfatte.
Bisogna rilevare che sulla falsariga di queste considerazioni, si era espresso l’Avvocato Generale mediante le sue conclusioni, nelle quali suggeriva alla CGUE di rispondere al Consiglio di Stato francese (autorità nazionale che aveva effettuato il rinvio pregiudiziale alla CGUE stessa) che la Direttiva:
1. Osta a una normativa nazionale che, in un contesto caratterizzato da minacce gravi e persistenti alla sicurezza nazionale, e in particolare dal rischio terroristico, impone agli operatori e ai fornitori di servizi di comunicazione elettronica di conservare, in maniera generale e indifferenziata, i dati relativi al traffico e all’ubicazione di tutti gli abbonati, nonché i dati che consentano di identificare gli autori dei contenuti offerti dai fornitori di detti servizi.
2. Osta a una normativa nazionale che non prevede l’obbligo di informare gli interessati del trattamento dei loro dati personali effettuato dalle autorità competenti, sempre che tale comunicazione non comprometta l’azione di dette autorità.
3. Non osta a una normativa nazionale che autorizza la raccolta in tempo reale dei dati relativi al traffico e all’ubicazione di singole persone, purché tale operazione si svolga secondo le procedure previste per l’accesso ai dati personali legittimamente conservati e con le medesime garanzie.
