Il Garante per la protezione dei dati personali, meglio noto come Garante privacy, ha dato notizia nella sua newsletter del 3 marzo di una sentenza della Corte di Giustizia, che ha statuito sul ricorso presentato nel 2006 dall’Irlanda contro Parlamento e Consiglio UE rispetto alla direttiva 2006/24 (altrimenti conosciuta anche come Direttiva Frattini), che disciplina la conservazione dei dati di traffico telefonico e telematico.
Il ricorso era stato presentato dall’Irlanda (e dalla Slovacchia) sul presupposto che la direttiva 24/2006 fosse stata emanata non per armonizzare le legislazioni al fine di favorire il mercato interno nel settore delle comunicazioni elettroniche, come annunciato dal Consiglio, bensì per favorire la raccolta di questi dati per scopi di sicurezza pubblica e lotta al terrorismo. Scopi che fanno parte, invece, della cosiddetta “cooperazione giudiziaria e di polizia in materia penale”, disciplinata da un altro Trattato, quello sull’Unione Europea.
La Corte di giustizia ha respinto il ricorso facendo rilevare che la direttiva è stata adottata nel 2006 proprio per evitare incongruenze tra le norme che vari Paesi UE, fra cui l’Italia, avevano già promulgato rispetto alla conservazione dei dati di traffico telefonico e telematico. Queste incongruenze avrebbero influito negativamente sul mercato interno: era quindi corretto il ricorso all’articolo 95 del Trattato CE per porre rimedio a tale “distorsione”.
A prima vista la sentenza potrebbe rappresentare una semplice presa di posizione della Corte Comunitaria su aspetti procedurali di scarso interesse per il navigatore telematico, ma se si analizza a fondo il provvedimento ci si rende conto che lo stesso è destinato ad avere un impatto rilevante nel mondo della tutela dei dati personali e del mercato delle comunicazioni elettroniche.
La Corte, per rassicurare i lettori della sentenza (ed insieme ad essi probabilmente le Associazioni a tutela dei diritti dei navigatori) ci informa che il tema della data retention è stato trattato dalla legislazione comunitaria (e segnatamente dalla direttiva impugnata) solo per scopo di riavvicinamento delle legislazioni e per finalità semplificative. In pratica la direttiva, secondo la ricostruzione della Corte, è stata emanata per favorire le imprese e i consumatori dell’Unione e non per introdurre norme in tema di “sicurezza pubblica”. Ci dice infatti la Corte: ” Più precisamente le disposizioni della direttiva 2006/24 sono dirette al ravvicinamento delle legislazioni nazionali concernenti l’obbligo di conservazione dei dati (art. 3), le categorie di dati da conservare (art. 5), i periodi di conservazione dei dati (art. 6), la protezione e la sicurezza dei dati (art. 7) nonché le condizioni di immagazzinamento di questi ultimi (art. 8) “.
1 – L’assunto della Corte però (che cita l’Italia come esempio dei paesi che hanno legiferato in materia) è, sicuramente per il nostro paese, smentito dai fatti. L’Italia ha infatti emanato la legge 31 luglio 2005, n. 155 , meglio conosciuta come Legge Pisanu (o decreto Pisanu), seguita a distanza di alcuni anni da norme più stringenti (e, soprattutto non limitate nel tempo) tra le quali il decreto legislativo 30 maggio 2008, n. 109 che ha recepito la direttiva Frattini, “riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE”, la stessa norma impugnata in sede Comunitaria dall’Irlanda. Il decreto di recepimento 109/08 si aggiunge peraltro a quelle introdotte con la legge 48/08 di recepimento della convenzione sul crimine informatico.
Con le norme sopracitate l’Italia, nonostante i nobili intenti, non sembra proprio aver legiferato in tema di ausilio allo sviluppo del mercato interno nel settore delle comunicazioni elettroniche (la finalità della direttiva contestata) ma in tema di conservazione dei dati per finalità di sicurezza pubblica e di repressione dei reati, basta leggere l’art 132 del cd. codice della privacy (come modificato dal recepimento della direttiva citata) che disciplina la conservazione dei dati e che è intitolato “Conservazione di dati di traffico per altre finalità”, laddove le altre finalità sono espresse nel testo dell’articolo e sono quelle di “di accertamento e repressione dei reati”, per capire quali siano le vere intenzioni del legislatore nella raccolta e conservazione dei dati telefonici e telematici.
È probabile dunque che l’Italia, recependo le norme sulla conservazione dei dati e collocandole insieme alle norme sulla repressione dei reati, abbia palesemente violato (in omaggio alle esigenze investigative) la stessa disciplina comunitaria che evidentemente tiene distinti i due ambiti in modo molto chiaro: l’uno diretto alla eliminazione degli ostacoli nel mercato interno, l’altro diretto alla finalità di repressione dei reati. In pratica sembrerebbe che il legislatore italiano, “facendo finta” che le norme sulla conservazione dei dati potessero essere emanate per finalità di promozione degli scambi comunitari, abbia invece dettato disposizioni procedurali penali a tutela della sicurezza pubblica.
2 – L’Italia ha anticipato la legislazione comunitaria in modo restrittivo, forzando la mano alla Commissione ed al Parlamento: ciò ha costituito uno dei motivi principali per il quale la Corte di Giustizia ha sentito l’esigenza di ribadire il riavvicinamento delle legislazioni esistenti. Si legge infatti nel provvedimento: ” Dati tali elementi, risulta che le divergenze tra le varie normative nazionali, adottate in materia di conservazione dei dati relativi alle comunicazioni elettroniche, potevano avere un’incidenza diretta sul funzionamento del mercato interno e che era prevedibile che tale incidenza tendesse ad aggravarsi. Una situazione siffatta giustificava che il legislatore comunitario perseguisse l’obiettivo di tutelare il buon funzionamento del mercato interno adottando norme armonizzate “.
Questo attività di “anticipazione” normativa sull’onda dell’emozione pubblica (si ricordi che il decreto Pisanu era stato emanato all’indomani degli attentati terroristici di Londra) che sta divenendo prassi, ovvero quella di legiferare autonomamente a colpi di decreto, può divenire un motivo di frizione con le istituzioni comunitarie oltreché creare precedenti pericolosi da cui sarà poi difficile liberarsi.
La collocazione della data retention nell’alveo della sicurezza pubblica e della lotta al terrorismo consentirà infatti una amplissima discrezionalità nell’applicazione di misure a tutela della “salute pubblica” nel settore della conservazione dei dati, sino al punto di giustificare la “permanenza” in vita di norme che avrebbero dovuto nelle intenzioni di tutti sparire, come quelle contenute nel cd. decreto Pisanu, prorogato fino al 31 dicembre 2009, dal decreto legge 207/2008 ]] del 31 dicembre scorso.
Un’ ultima curiosità sul difficile rapporto tra realtà dei fatti e legislazione e/o giurisprudenza: la Corte di Giustizia, che con la sentenza citata ha di fatto giustificato la disciplina restrittiva in tema di data retention con l’esigenza di armonizzare le normative nazionali, ha sede in Lussemburgo, proprio in quel il paese cioè dove ha sede Skype Europa, il leader mondiale delle comunicazioni VOIP, che, sull’onda delle polemiche mediatiche (innescate sempre dall’Italia) dei giorni scorsi, sembrerebbe aver prima negato agli investigatori l’accesso al codice crittografico in grado di intercettare le comunicazioni telematiche “barricandosi” dietro la legislazione del Lussemburgo che proteggerebbe questo diritto, per poi garantire in ogni caso massima collaborazione.
Chissà cosa avranno pensato in proposito i Giudici della Corte di Giustizia, nel frattempo impegnati a decidere sulla conservazione dei dati di traffico?
Fulvio Sarzana di S.Ippolito
www.lidis.it