Archivio rubriche 2017

Sulla (in)compatibilità con il diritto UE di una normativa nazionale che impone un obbligo generalizzato e indifferenziato di conservazione dei dati di traffico (1/2017)

Sentenza della Corte di giustizia (Grande sezione) del 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige e Watson, ECLI:EU:C:2016:970

Nella sentenza che si segnala, la Corte di giustizia si è pronunciata sull’impatto della propria sentenza Digital Rights Ireland sulle normative nazionali che prevedono obblighi di conservazione dei dati a carico dei fornitori di comunicazioni elettroniche. Secondo la Corte, tali obblighi non sono di per sé incompatibili con il diritto dell’Unione - in particolare con la direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche, letta alla luce degli artt. 7, 8, 11 e 52(1) della Carta dei diritti fondamentali, a condizione che si tratti di una conservazione “mirata” dei dati, ossia rispondente a requisiti e garanzie rigorosi individuati dalla Corte; garanzie e requisiti che, nel caso di specie, non erano soddisfatti dalle normative nazionali in causa.

 

All’indomani della sentenza Digital Rights Ireland (in prosieguo, “DRI”), la Corte di giustizia è stata chiamata nuovamente a pronunciarsi nel tentativo di definire il delicato equilibrio tra l’esigenza di garantire la sicurezza delle persone presenti sul territorio dell’Unione e il rispetto dei diritti delle stesse alla vita privata, alla protezione dei dati personali nonché alla libertà di espressione e di informazione, sanciti dalla Carta dei diritti fondamentali dell’Unione europea (di seguito, la “Carta”). Nella sentenza DRI, infatti, decidendo in merito alla validità della direttiva 2006/24/CE sulla conservazione dei dati relativi al traffico e all’ubicazione delle comunicazioni elettroniche da parte di fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, la Corte aveva ritenuto che l’obbligo generale di conservazione dei dati previsto da tale direttiva a scopo di lotta contro la criminalità grave comportava un’ingerenza nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta “di vasta portata e di particolare gravità nell’ordinamento giuridico dell’Unione, senza che siffatta ingerenza sia regolamentata con precisione da disposizioni che permettono di garantire che essa sia effettivamente limitata a quanto strettamente necessario” (ibid., par. 65). Ritenendo che il legislatore europeo avesse “ecceduto i limiti imposti dal rispetto del principio di proporzionalità alla luce degli articoli 7, 8 e 52 (1) della Carta”, la Corte aveva dichiarato l’invalidità della direttiva nella sua interezza e senza alcuna limitazione temporale (ibid., par. 69).

Con la sentenza Tele2 Sverige e Watson, la Corte ha precisato la portata della sentenza DRI in un “contesto nazionale”, valutando la compatibilità con il diritto dell’Unione di normative di Stati membri che prevedono un obbligo generale e indifferenziato di conservazione dei dati relativi al traffico e all’ubicazione di comunicazioni elettroniche, e che consentano l’accesso a tali dati da parte di talune autorità nazionali. La pronuncia trae origine da due questioni pregiudiziali sollevate l’una dal Kammarrätten i Stockholm (Corte d’appello amministrativa di Stoccolma) e l’altra dalla Court of Appeal (England & Wales) (Civil Division). Entrambi i rinvii vertevano sull’interpretazione da fornire all’art. 15 par. 1 della direttiva 2002/58/CE, che permette agli Stati membri di adottare disposizioni legislative in deroga all’obbligo di riservatezza delle comunicazioni imposto ai fornitori di servizi di comunicazione elettronica, a condizione che tale deroga “costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica” (art.15 par.1).

La Corte è stata quindi chiamata a valutare se l’art. 15 par. 1 della direttiva 2002/58/CE, letto alla luce degli artt. 7, 8, e 52 par.1 della Carta, osta a normative nazionali che, da un lato, impongono ai fornitori di servizi di comunicazione elettronica un obbligo generale e indifferenziato di conservazione dei dati relativi alle comunicazioni elettroniche e, dall’altro lato, prevedono l’accesso delle autorità nazionali competenti ai dati riservati, senza limitazioni, né controlli preventivi1.

In via preliminare, la Corte ha ritenuto necessario verificare se le normative nazionali in questione rientrassero nell’ambito di applicazione del diritto dell’Unione. Infatti, secondo l’interpretazione che la Corte ha fornito dell’art. 51(1) della Carta, quest’ultima si applica agli Stati membri esclusivamente quando agiscono nell’ambito di applicazione del diritto dell’Unione (v. sent. 26 febbraio 2013, Åkerberg Fransson, cause riunite C-617/10, EU:C:2013:105, paragrafi 19-22). Il dubbio sull’applicabilità della direttiva 2002/58/CE nasceva dal fatto che quest’ultima esclude espressamente dal proprio ambito le “attività di Stato”, ovvero tutte quelle attività legate alla sicurezza pubblica, alla difesa e sicurezza dello Stato (par. 70). Ciò poteva quindi comportare che le misure di diritto nazionale adottate sulla base della deroga prevista dall’art. 15 par. 1, accordata agli Stati membri proprio in ragione delle “attività di Stato”, si situassero al di fuori dell’ambito di applicazione della direttiva.
La Corte ha rifiutato tale soluzione, in quanto “alla luce dell’economia generale della direttiva 2002/58”, escludere le misure derogatorie adottate dagli Stati membri dal suo ambito di applicazione, priverebbe la stessa di “qualsiasi effetto utile”. Pertanto, le misure nazionali relative alla conservazione dei dati per finalità di lotta contro la criminalità “rientrano nell’ambito di applicazione di questa medesima direttiva, dato che quest’ultima autorizza espressamente gli Stati membri ad adottare le misure in questione unicamente a condizione di rispettare le condizioni da essa previste” (par. 73). Inoltre, la Corte ha precisato che la tutela della riservatezza delle comunicazioni elettroniche e dei dati relativi al traffico “si applica alle misure adottate da tutti i soggetti diversi dagli utenti, indipendentemente dal fatto che si tratti di persone o di entità private oppure di entità statali” (par. 77). Per quanto riguarda l’accesso ai dati, la Corte ha ritenuto che rientrasse anch’esso nell’ambito applicativo della direttiva, in quanto “poiché la conservazione di dati viene effettuata al solo scopo di rendere, eventualmente, i dati accessibili alle autorità nazionali competenti, una normativa nazionale che preveda la conservazione di dati implica necessariamente, in linea di principio, l’esistenza di disposizioni in materia di accesso delle autorità nazionali competenti ai dati conservati dai fornitori di servizi di comunicazione elettronica” (par. 79).

Una volta stabilito che le normative nazionali in questione rientrano nell’ambito di applicazione della direttiva 2002/58/CE, e che la Carta è dunque applicabile, la Corte ha svolto un ragionamento articolato in due parti, relative l’una al profilo della conservazione dei dati e l’altra a quello dell’accesso ai dati conservati. Un ulteriore profilo, che nella sentenza risulta solamente accennato, riguarda il rapporto tra Carta e Convenzione EDU.

In primo luogo, la Corte si è soffermata sulle modalità di interpretazione della disposizione che autorizza gli Stati membri ad adottare misure di conservazione dei dati relativi al traffico e all’ubicazione delle comunicazioni. Essa ha infatti ritenuto che si trattasse di una deroga rispetto all’obbligo di garantire la riservatezza dei dati e che, pertanto, dovesse essere interpretata, “conformemente alla consolidata giurisprudenza della Corte, in maniera restrittiva” (par. 89). Secondo la Corte, infatti, la deroga prevista dall’art. 15 par. 1 della direttiva 2002/58/CE non può divenire la regola, a pena di svuotare il divieto di memorizzazione dei dati di gran parte della sua portata. Pertanto, sebbene la direttiva permetta agli Stati membri di derogare alla disciplina della riservatezza, ciò può verificarsi solo per le finalità elencate dall’art. 15 par. 1 e solo attraverso disposizioni legislative che siano conformi “ai principi generali e i diritti fondamentali ormai garantiti dalla Carta” (par. 91).
A tale ultimo proposito, la Corte ha ricordato che eventuali limitazioni a diritti fondamentali possono avvenire solo nel rispetto dei requisiti previsti dall’art. 52 par.1 della Carta, ovvero devono essere previste dalla legge e rispettare il loro contenuto essenziale. Inoltre, nel rispetto del principio di proporzionalità, tali limitazioni sono possibili “qualora esse siano necessarie e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui” (par. 94). Come nella sentenza DRI, la Corte, sebbene in maniera meno analitica, ha verificato se tali condizioni erano soddisfatte, soffermandosi soprattutto sul principio di proporzionalità, che impone di valutare se le “deroghe e le restrizioni alla tutela dei dati personali intervengano entro i limiti dello stretto necessario” (par. 96).
La Corte, quindi, dopo aver esaminato le tipologie di dati per i quali era prevista la conservazione, ha ritenuto che “presi nel loro insieme, tali dati sono idonei a consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati” e “forniscono gli strumenti per stabilire il profilo delle persone interessate, informazione tanto sensibile, in rapporto alla vita privata, quanto il contenuto stesso delle comunicazioni” (par. 99). Pertanto, l’ingerenza di tale normativa negli articoli 7 e 8 della Carta “risulta essere di vasta portata e deve essere considerata particolarmente grave” (par. 100), così come la conservazione dei dati relativi al traffico e all’ubicazione “potrebbe avere nondimeno un’incidenza sull’utilizzazione dei mezzi di comunicazione elettronica e, dunque, sull’esercizio da parte degli utenti di tali mezzi, della loro libertà di espressione, garantita dall’articolo 11 della Carta” (par. 101).
Secondo la Corte, solo la lotta contro la criminalità grave sarebbe idonea a giustificare disposizioni nazionali come quelle in questione e, anche in tal caso, un siffatto obiettivo “non vale di per sé solo a giustificare che una normativa nazionale che prevede la conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione venga considerata necessaria ai fini della lotta suddetta” (par. 103). Infatti, la Corte ha rilevato che tali normative non prevedono alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito, tanto da riguardare i dati relativi ad utenti che neanche solo indirettamente si trovino in una situazione “suscettibile di dar luogo ad azioni penali” (par. 105).

Quindi se, da un lato, la Corte rileva che una normativa nazionale come quella in questione non rispetta il principio di proporzionalità e “travalica dunque i limiti dello stretto necessario e non può essere considerata giustificata, in una società democratica” (par. 107), dall’altro lato conclude che l’art. 15(1) della direttiva, letto alla luce della Carta – come già ricordato - “non osta a che uno Stato membro adotti una normativa la quale consenta, a titolo preventivo, la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione, per finalità di lotta contro la criminalità grave” a condizione che siano rispettati determinati requisiti. A tale proposito, la Corte ha, in primo luogo, ritenuto che la normativa nazionale debba “prevedere norme chiare e precise che disciplinino la portata e l’applicazione di una siffatta misura di conservazione dei dati”, in modo da permettere alle persone i cui dati sono stati conservati di disporre di adeguate garanzie contro i rischi di abuso. In secondo luogo, “la conservazione dei dati deve comunque rispondere sempre a criteri oggettivi, istituendo un rapporto tra i dati da conservare e l’obiettivo perseguito”. Tali criteri devono infatti permettere di prendere in considerazione “un pubblico i cui dati sono idonei a rivelare una connessione, almeno indiretta, con atti di criminalità grave, a contribuire in un modo o in un altro alla lotta contro la criminalità grave, o a prevenire un grave rischio per la sicurezza pubblica” (par. 108- 111).
Rispondendo alla prima questione, la Corte ha quindi affermato che la direttiva 2002/58/CE, letta alla luce della disposizioni citate della Carta, deve essere interpretata “nel senso che osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica” (par. 112).

La seconda questione posta alla Corte riguardava invece l’interpretazione dell’art.15(1) della direttiva, in relazione all’accesso da parte delle autorità nazionali ai dati relativi al traffico e all’ubicazione delle comunicazioni elettroniche. Anche in tal caso, la Corte ha ritenuto che il diritto dell’Unione non osta alla previsione, a livello nazionale, di un siffatto accesso; tuttavia, esso deve essere subordinato a determinate condizioni. Innanzitutto, riprendendo il ragionamento svolto poco prima, la Corte ha ritenuto che il solo obiettivo che possa giustificare l’accesso ai dati conservati è “la lotta contro la criminalità grave” (par. 115). Inoltre, nel rispetto del principio di proporzionalità, tale accesso deve essere contenuto “entro i limiti dello stretto necessario” (par. 116). Tale limite è perciò rispettato solo qualora le misure nazionali prevedano “norme chiare e precise che indichino in quali circostanze e a quali condizioni i fornitori di servizi di comunicazione elettronica devono concedere alle autorità nazionali competenti l’accesso ai dati”; si deve anche trattare di misure giuridicamente vincolanti nell’ordinamento nazionale (par. 117).
Secondo la Corte, quindi, “un accesso generale a tutti i dati conservati, indipendentemente da una qualche connessione, almeno indiretta, con la finalità perseguita, non può essere considerato limitato allo stretto necessario”. Riprendendo la sentenza della Corte EDU Zakharov c. Russia (sentenza 4 dicembre 2015, CE:ECHR:2015:1204JUD004714306, par. 260), la Corte ha invece ritenuto che l’accesso possa essere consentito “soltanto per i dati di persone sospettate di progettare, commettere o di aver commesso una violazione grave, o anche di essere implicate in una maniera o in un’altra in una violazione siffatta”, ovvero qualora sussistano elementi oggettivi che consentano di ritenere che tali dati potrebbero dare un contributo effettivo alla lotta al terrorismo (par. 119).
Per garantire il pieno rispetto di tali condizioni, la Corte ha inoltre ritenuto essenziale che l’accesso delle autorità nazionali ai dati conservati “sia subordinato, in linea di principio, e salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente” e che la decisione relativa all’accesso “[debba intervenire] a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale” (par. 120). Inoltre, le autorità nazionali cui sia consentito l’accesso ne devono dare notizia, salvo il caso in cui tale notizia possa compromettere le indagini, ai soggetti interessati, in modo da consentire loro di esercitare, in particolare, il diritto di ricorso. Infine, i fornitori di servizi di comunicazione elettronica devono prendere “le misure tecniche e organizzative appropriate che consentano di garantire un’efficace protezione dei dati conservati contro il rischio di abusi, nonché contro qualsiasi accesso illecito a tali dati”. In particolare, “la normativa nazionale deve prevedere la conservazione nel territorio dell’Unione nonché la distruzione irreversibile dei dati al termine della durata della conservazione degli stessi” (par. 122).
In ogni caso, secondo la Corte, spetta agli Stati membri “garantire il controllo, da parte di un’autorità indipendente, del rispetto del livello di protezione garantito dal diritto dell’Unione in materia di tutela delle persone fisiche riguardo al trattamento dei dati personali”, in quanto tale controllo è espressamente richiesto dall’art. 8(3) della Carta e costituisce un elemento essenziale della tutela delle persone con riguardo al trattamento dei dati personali (par. 123).
La Corte ha quindi ritenuto che l’art.15(1) della direttiva, letto alla luce della Carta, osta ad una normativa nazionale “la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso alle autorità nazionali competenti ai dati riservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre tale accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione” (par. 125).

L’ultimo aspetto affrontato dalla Corte nella sentenza, riguardava invece l’impatto della Convenzione europea dei diritti umani (di seguito, “CEDU”), come interpretata dalla Corte europea dei diritti umani (“Corte EDU”), rispetto alla Carta. Infatti, secondo il giudice inglese del rinvio, nella sentenza DRI la Corte aveva fatto discendere dagli artt. 7 e 8 della Carta una protezione maggiore di quella derivante dall’art. 8 CEDU. La Corte, pur ritenendo la questione irricevibile, in quanto la risposta non aggiungeva elementi ulteriori di interpretazione del diritto dell’Unione necessari per la soluzione, ha comunque ribadito che sebbene “i diritti fondamentali riconosciuti dalla CEDU fanno parte del diritto dell’Unione in quanto principi generali, tale convenzione non costituisce però, fintantoché l’Unione non vi avrà aderito, uno strumento giuridico formalmente integrato nell’ordinamento giuridico dell’Unione” (par. 127). Secondo la Corte, quindi, l’interpretazione della direttiva in questione deve essere effettuata unicamente alla luce dei diritti fondamentali garantiti dalla Carta. Inoltre, lo stesso art. 52 della Carta prevede che il diritto dell’Unione può concedere una protezione più estesa di quella offerta dalla CEDU. A ciò la Corte ha aggiunto, infine, che l’art. 8 della Carta è un diritto fondamentale distinto rispetto a quello sancito dall’art. 7 della Carta e non trova alcun equivalente nella CEDU.

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633