La Direttiva che dal 2006 impone l’obbligo di conservazione dei dati relativi alle comunicazioni dei cittadini europei è risultato di un compromesso sbilanciato: privilegia la tutela della sicurezza nel contesto europeo ma finisce per calpestare il diritto dei cittadini a non vivere asfissiati da un controllo costante, che si estende dalle comunicazioni alle reti di relazioni e agli spostamenti fisici. La Corte di Giustizia dell’Unione Europea si è espressa : la direttiva 2006/24/CE è stata invalidata.
Fin da prima della sua approvazione , quando l’Italia per una volta si muoveva in anticipo sull’Europa, salvo poi riallinearsi , la Direttiva Europea ha suscitato accesi dibattiti e proteste: l’obbligo di conservare per un minimo di 6 mesi e un massimo di due anni i dati relativi alle comunicazioni e alle sessioni online dei cittadini è subito stato tacciato da istituzioni , da esperti e dalla società civile di essere un modo per istituire delle pratiche di intercettazione di massa. Anche l’associazione di attivisti Digital Rights Ireland (DRI) si era mobilitata : aveva denunciato presso la High Court irlandese l’incostituzionalità delle leggi che il paese stava recependo su ordine dell’Europa. La denuncia di Digital Rights Ireland , insieme ad altri casi sollevati in Austria presso la Corte Costituzionale locale, intendevano dimostrare come l’obbligo di conservazione dei dati imposto agli operatori delle comunicazioni esponesse la vita privata dell’individuo ad un costante controllo: una violazione dei diritti dei cittadino che non avrebbe saputo compensare i benefici tratti dalla lotta al terrorismo e alla criminalità organizzata, a cui la data retention offre strumenti di indagine e di accertamento.
Già il parere dell’Avvocato Generale della Corte di Giustizia dell’Unione Europea Cruz Villalón, emesso nel mese di dicembre scorso, condannava la Direttiva come uno strumento di controllo del cittadino : i lunghi tempi di conservazione, la natura dei dati raccolti, la mancata regolamentazione delle pratiche di archiviazione e stoccaggio dei dati, frammentate fra i paesi membri, avevano indotto l’Avvocato Generale a suggerire una riscrittura della normativa. La Corte di Giustizia si è trovata d’accordo, dichiarando non valida la Direttiva .
In primo luogo la Corte di Giustizia esamina le prescrizioni della Direttiva e i dati che impone agli operatori di conservare, dai metadati relativi ai mittenti e ai destinatari della comunicazioni e dei loro apparecchi, passando per la loro posizione, per arrivare fino ai dati relativi agli accessi a Internet, alle email e alle conversazioni intrattenute online: l’insieme di questi record, spiega, possono fornire indicazioni assai precise sulla vita privata dei soggetti i cui dati sono conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri o di diversa frequenza, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati”. Tutto il necessario, dunque, per consentire alle autorità di indagare sui più vari misfatti, ma anche per delineare la vita di un individuo nelle sue abitudini e nelle sue relazioni personali . Il necessario, si osservava già in uno studio condotto in Germania nel 2008, ad atterrire il cittadino più consapevole, comprimendo la sua spontaneità.
La Corte di Giustizia lo spiega a chiare lettere: la conservazione automatica dei dati perché possano essere consultati dalle autorità senza che il cittadino ne sia informato, rappresenta un’ingerenza “particolarmente grave nei i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale” e “può ingenerare negli interessati la sensazione che la loro vita privata sia oggetto di costante sorveglianza”.
Senza dubbio, riconosce la Corte, la Direttiva sulla data retention persegue degli obiettivi condivisibili: è vero che il contenuto delle comunicazioni non è conservato, come non sono conservati i tracciati di navigazione nel rispetto della privacy del cittadino, è vero che il quadro normativo opera per un obiettivo di interesse generale quale la pubblica sicurezza . Si tratterebbe però di una questione di proporzione, e di equilibrio: nel combattere crimini e terrorismi, nel tutelare la sicurezza dell’individuo, la Direttiva non sa operare il corretto bilanciamento con l’altrettanto fondamentale diritto ad una vita privata e alla protezione dei dati personali , garantiti dall’articolo 7 e dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, e finisce per incidere anche sulla libera manifestazione del pensiero tutelata dall’articolo 11. Per ottenere questo bilanciamento manca di fatto la regolamentazione necessaria a limitare la conservazione dei dati allo stretto necessario .
Nella Direttiva, e nei recepimenti degli stati membri, non compaiono eccezioni e differenziazioni nelle regole di conservazione, di accesso e nei tempi di conservazione dei dati, mancano i criteri che guidino le autorità nell’accesso ai dati e nel loro utilizzo , rispetto al fine perseguito e nel rispetto dei diritti del cittadino . È così che le autorità dei paesi europei possono procedere alla consultazione dei dati in caso di “reati gravi”, la cui definizione è demandata al quadro normativo del singolo stato; è così che possono agire senza il controllo di un giudice o di una autorità amministrativa indipendente , senza alcuna delimitazione di natura materiale e procedurale che sappia tutelare il cittadino.
Altro difetto della Direttiva, l’ incapacità di proteggere i database dagli abusi : agli operatori è concessa troppa discrezionalità, anche sulla base dei costi stimati per la messa in sicurezza dei dati. Si finisce così per esporre alle intrusioni dati che tanto sanno rivelare riguardo ai cittadini UE, senza garantirne la distruzione effettiva una volta terminato il periodo di conservazione e senza la possibilità di esercitare un efficace controllo sulle pratiche degli operatori, in quanto la Direttiva non prevede che i dati debbano essere conservati sul suolo dell’Unione Europea.
Sono queste le motivazioni che hanno spinto la Corte di Giustizia dell’Unione Europea a dichiarare l’invalidità della direttiva 2006/24/CE, che ha modificato la Direttiva 2002/58/CE per incardinarvi gli obblighi di “conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione”.
La soddisfazione dei cittadini europei è palpabile: dagli attivisti di Digital Rights Ireland , che festeggiano una sentenza tanto attesa, capace finalmente di “rilevare che il monitoraggio generalizzato dell’intera popolazione è inaccettabile in una società democratica”, passando per Privacy International , che sottolinea come le rivelazioni del Datagate, molte delle quali investono dati della stessa natura di quelli raccolti dall’entrata in vigore della Direttiva, abbiano finalmente smosso le coscienze. Anche la cittadina Vivian Reding, vicepresidente della Commissione Europea, manifesta il proprio assenso rimarcando la necessità di un equo bilanciamento del diritto alla sicurezza e del diritto alla protezione dei dati personali, così come il Garante privacy italiano, che in un comunicato ribadisce i rischi della conservazione dei dati di traffico senza regole adeguate.
#CJEU confirms: #security not a ‘super right’ overruling the protection of personal data. #EUDataP http://t.co/WOajE37PBd
– Viviane Reding (@VivianeRedingEU) 8 Aprile 2014
Ma questo indispensabile riequilibrio sarà un obiettivo da conquistare gradualmente. Se la stessa Commissione Europea già nel 2011 aveva gettato le basi per una revisione della Direttiva evidenziandone risultati e criticità , e se le autorità europee hanno già avviato le operazioni guidate dal Commissario Cecilia Malmström, non è chiaro cosa accadrà nell’immediato .
L’Europa ha implementato in maniera frammentata la Direttiva 2006/24/CE: alcuni stati sono stati sanzionati per non averla recepita prontamente e non è chiaro il trattamento che verrà loro riservato, alcuni stati membri come la Germania ne hanno rigettato il recepimento, così come la Repubblica Ceca, la Romania e in parte Cipro e Bulgaria. Non è altresì chiaro, dal momento che la data retention è stata ritenuta invalida così come descritta dalla Direttiva, se gli operatori potranno chiedere giustizia o rimborsi rispetto ai costi sostenuti per adeguarsi a un quadro normativo non più valido.
In questo limbo normativo, le autorità europee per ora non sembrano offrire chiarezza : “le legislazioni nazionali devono essere aggiornate solo riguardo agli aspetti che creano attriti con il quadro normativo europeo dopo la sentenza della Corte di Giustizia dell’Unione Europea. – si legge in un memo – Inoltre, una rilevazione di invalidità della Direttiva non impedisce agli stati membri di imporre la conservazione dei dati sulla base della direttiva e-Privacy (2002/58/CE)”. Non è dato sapere se il quadro normativo europeo tornerà ora a far riferimento alle vecchie prescrizioni della formulazione originale della direttiva del 2002, né quale sarà il procedimento di adeguamento che percorreranno gli stati membri.
Gaia Bottà