L’Unione Europea nel 2014 ha giudicato non valida la direttiva sulla data retention, priva delle garanzie necessarie ad assicurare che il cittadino non venga soffocato in un costante regime di sorveglianza: se è vero che la sentenza della Corte di Giustizia non determina l’annullamento a cascata delle implementazioni della direttiva nei quadri normativi nazionali, è altresì vero che diversi paesi europei hanno provveduto all’espunzione dei principi non più vigenti, quelli che determinano la stretta sulla società civile. Gli attivisti di EDRi, capofila della protesta contro la direttiva fin da quando era solo una proposta, si sono ora rivolti alle istituzioni europee: “Agli stati membri dell’UE – denuncia l’ executive director Joe McNamee – non può essere concesso di violare impunemente la legge”.
Nella lettera fatta pervenire al vicepresidente della Commissione Europea Frans Timmermans si invitano le istituzioni a considerare il fatto che “i dati personali di milioni di Europei sono conservati illegalmente, in violazione della Carta dei diritti fondamentali dell’Unione europea”, sulle cui basi la Corte di Giustizia aveva decretato la non validità della direttiva 2006/24/CE. Solo alcuni paesi europei, fra cui Belgio , Bulgaria , Paesi Bassi , Austria , Romania e Slovenia , si sono adoperati per adeguarsi: il resto dell’Unione è rimasto indifferente o, con la Francia in prima linea , sta provvedendo anzi a rafforzare il tecnocontrollo, sull’onda della repressione di un terrorismo che la conservazione dei dati difficilmente è utile a contrastare.
L’Italia, su cui l’ombra della data retention continua ad incombere almeno fino alla fine del 2016, è fra i paesi che EDRi ha scelto come oggetto della propria analisi, insieme a Regno Unito , Danimarca , Finlandia, Polonia e Croazia. Prendendo in esame il testo del Codice Privacy (Decreto legislativo 30 giugno 2003, n. 196), in cui l’Italia ha incuneato le previsioni della Direttiva Europea con l’articolo 132, EDRi rileva la stessa vaghezza che ha spinto la Corte di Giustizia dell’Unione Europea a bocciare la Direttiva.
La normativa italiana manca di riferimenti specifici ai reati da perseguire con l’ausilio dei dati conservati dai fornitori di servizi, non prevede opportune eccezioni alla raccolta e alla conservazione, necessarie per proteggere dalla tracciabilità certe categorie di dati o certe categorie di professionisti. Si chiama poi in causa la mancanza della revisione da parte dell’autorità giudiziaria o di un’autorità indipendente in relazione alla proporzionalità della conservazione dei dati, rispetto alla loro funzione e al tipo di dati. Unico aspetto che EDRi valuta positivo, l’obbligo previsto dalla legge italiana di istituire “idonee e preventive misure di sicurezza” volte a scongiurare “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Ciò non è però sufficiente a far ritenere l’Italia, insieme ad altri paesi europei, compatibile con il quadro normativo riformato dalla decisione della Corte di Giustizia.
EDRi invita la Commissione ad indagare.
Gaia Bottà