La strada lunga e tortuosa
Le sentenze del 30 aprile 2024 della Corte di giustizia dell'UE (CGUE) segnano un altro momento chiave nel complesso e duraturo dibattito giuridico sulla conservazione di massa dei dati nell'Unione europea. Partendo dall'analisi di queste decisioni, in questo blogpost mostrerò che, nonostante il costante intervento della CGUE e i suoi sforzi per tracciare un percorso chiaro verso un punto di equilibrio tra esigenze di sicurezza e tutela dei diritti fondamentali, la direzione appare ancora confusa. Inoltre, le strade frammentate intraprese dagli Stati membri non sembrano convergere verso una destinazione finale comune. In questo contesto, il caso italiano rappresenta un esempio paradigmatico di un persistente disallineamento tra i principi e i requisiti stabiliti dalla giurisprudenza della CGUE in materia di conservazione dei dati e le soluzioni legislative adottate a livello nazionale. Ciò dimostra in definitiva la necessità di un intervento deciso dei legislatori dell’UE, in grado di tracciare il percorso futuro dei regimi di conservazione dei dati.
Infatti, dopo la svolta determinata dalla decisione Digital Rights Ireland che ha invalidato la Direttiva sulla conservazione dei dati del 2006 , l’unica disposizione normativa dell’UE che disciplina la conservazione e l’accesso ai metadati è rappresentata dall’articolo 15 della Direttiva e-Privacy . Questa disciplina vaga e vasta consente agli Stati membri di dare attuazione alle normative nazionali che impongono la conservazione – per un determinato periodo di tempo – dei dati delle comunicazioni. Questa eccezione all’obbligo generale di cancellare o rendere anonimi i metadati è consentita quando “misure necessarie, appropriate e proporzionate all’interno di una società democratica” per salvaguardare la sicurezza nazionale e pubblica, comprese le indagini e il perseguimento di reati penali.
Adattando le parole di una splendida e malinconica canzone dei Beatles citata nel titolo, il provvedimento citato e la sua interpretazione nei contesti nazionali hanno aperto la strada al lungo e tortuoso cammino del regime di conservazione dei dati, che ha sempre portato gli Stati membri alla porta della CGUE.
La strada della CGUE: la direzione tracciata dalla sentenza del 30 aprile 2024
La decisione del 30 aprile 2024 nella cosiddetta causa La Quadrature du Net II (C-470/21) si è occupata, ancora una volta, di una pronuncia pregiudiziale adottata dal Conseil d'État francese. Si tratta, in particolare, dell'interpretazione dell'art. 15 della Direttiva ePrivacy, letto alla luce della Carta di Nizza , riguardo ad una peculiare categoria di metadati derivanti dalle comunicazioni elettroniche: indirizzo IP e dati di identità civile degli utenti. Riaffermando la sua giurisprudenza precedente, in particolare nei casi La Quadrature du Net e HK c. Prokuratuur , la CGUE sottolinea che quanto più grave è l'ingerenza nei diritti fondamentali di una misura di conservazione dei dati, tanto più importanti devono essere gli obiettivi perseguiti, in particolare la sicurezza nazionale o la lotta contro i reati gravi. La Corte è andata anche oltre e ha delineato dettagliatamente le proprie esigenze. A seconda della categoria dei dati interessati e delle modalità di conservazione, l’ingerenza potrebbe essere classificata come limitata e, quindi, non richiedere uno scopo serio per essere giustificata. È questa la parte più innovativa della decisione: i giudici sono entrati non solo in cavilli giuridici ma anche informatici, chiedendo norme nazionali che garantiscano che indirizzi IP e dati di identità civile siano mantenuti “stagnamente” separati “mediante un sistema informatico sicuro e affidabile”. sistema” (par. 87) nonché una revisione periodica da parte di un’autorità terza (par. 126). Avendo in essere queste garanzie, una conservazione generale e indiscriminata di queste specifiche categorie di dati non consente di trarre conclusioni precise sulla vita privata delle persone in questione (par. 92): non costituendo un'ingerenza grave, la conservazione massiva della proprietà intellettuale gli indirizzi potrebbero quindi essere imposti anche ai fini del contrasto dei reati in genere.
Questa interpretazione sembra smorzare il forte rifiuto della conservazione collettiva dei dati espresso nella decisione innovativa del 2014 . Tuttavia, uno sguardo più attento potrebbe rivelare non un passo indietro ma, piuttosto, un nuovo passo in un processo continuo di perfezionamento del percorso, dettagliando l’esercizio di bilanciamento. Le puntuali questioni pregiudiziali poste dagli Stati membri hanno consentito alla Corte di applicare i principi di necessità e proporzionalità a contesti eterogenei e di meglio spiegare la giurisprudenza iniziale. Ciò sembra essere confermato dalle differenziazioni sempre più approfondite proposte dalla CGUE nella sua recente giurisprudenza tra scopi di sicurezza nazionale e di pubblica sicurezza, ma anche tra conservazione mirata e collettiva; congelamento rapido e conservazione generale ed indiscriminata; dati sulla posizione e indirizzi IP; reati gravi e generali.
L’approccio descritto può essere individuato anche in un’altra decisione, emessa lo stesso giorno della decisione C-470/21 e incentrata maggiormente sulle garanzie procedurali in materia di accesso ai metadati: la causa C-178/2022 . Questa sentenza si fonda sulla domanda di pronuncia pregiudiziale del Tribunale di Bolzano – la prima riguardante la conservazione dei dati proveniente dall'Italia e conclusasi con una decisione della CGUE –. In questo caso, la Corte riafferma che, considerando la ripartizione delle competenze, la definizione della “gravità” dei reati è in linea di principio lasciata agli Stati membri. Tuttavia, pur potendo considerare le realtà e le specificità sociali, il perimetro dei “reati gravi” deve rispettare l’articolo 15 della Direttiva ePrivacy (letto alla luce della Carta). Questa disposizione non può quindi essere distorta rendendo il requisito della gravità “in gran parte privo di significato”, in modo che “l'accesso ai dati diventi la regola piuttosto che l'eccezione”. Questa importante tutela è confermata da un'ulteriore garanzia: il controllo preventivo da parte di un tribunale o di un organo amministrativo indipendente. Tali autorità, infatti, dovrebbero mantenere il potere di negare l'accesso ai dati qualora, nei fatti e nonostante la definizione stabilita dalla normativa nazionale, il reato sia manifestamente non grave. Questo potere discrezionale garantisce un controllo preventivo più efficace, che potrebbe tenere conto del caso specifico e delle “condizioni sociali prevalenti negli Stati membri”.
Queste due sentenze si inseriscono in quello che può essere definito un percorso di graduale “costituzionalizzazione” della sorveglianza di massa elaborato dalla CGUE. Questo percorso mira a tradurre i principi costituzionali fondamentali nella disciplina della conservazione dei dati e ad introdurre limiti e tutele. Tuttavia, il percorso tracciato non è esente da critiche: le pronunce della Corte risentono delle specificità dei singoli casi valutati e delle questioni sollevate dai giudici nazionali, nonché dell'indeterminatezza – e delle possibili diverse interpretazioni – di alcune affermazioni ed esigenze (ad es. si può verificare se le garanzie assicurate rendano “eccessivamente difficile l’identificazione effettiva dell’autore di un reato”, come hanno affermato i giudici?). Inoltre, le risposte molto frammentate adottate dagli Stati membri alla giurisprudenza della CGUE potrebbero incidere concretamente sull’efficacia degli sforzi della Corte. L’esempio italiano rappresenta un caso studio interessante.
La strada italiana: una scorciatoia inevitabile?
La giurisprudenza della CGUE ha aperto un dibattito sulla riforma in diversi Stati membri (vale a dire Belgio, Germania, Regno Unito – prima della Brexit -), portando a ridiscutere i regimi nazionali di conservazione e accesso ai dati. Tuttavia in Italia il dialogo politico e giudiziario è stato quasi inesistente. I tribunali italiani hanno adottato prevalentemente interpretazioni “rassicuranti” della giurisprudenza sovranazionale, al fine di preservare l’ammissibilità delle prove rilevanti nel procedimento penale. Solo in tempi recenti, in particolare dopo il caso HK v. Decisione Prokuratuur , l'attenzione legislativa e giudiziaria alla conformità delle norme interne al diritto comunitario – e in particolare ai principi della CGUE – ha finalmente preso il via Nel 2021 il Parlamento ha approvato significative modifiche all'art . 132 del Codice Privacy . Questo controverso articolo disciplina l'obbligo di conservazione imposto ai fornitori di servizi nonché l'accesso ai metadati per scopi di sicurezza e investigativi. La riforma del 2021 ha introdotto per la prima volta l'autorizzazione preventiva del giudice per l'accesso ai metadati e la definizione di reati gravi che legittimano l'accesso da parte delle forze dell'ordine – reati puniti dall'ordinamento nazionale con la reclusione nel massimo pari ad almeno tre anni –. Nonostante l'introduzione di garanzie più profonde e inedite, il Tribunale di Bolzano ha sollevato dubbi sulla compatibilità di tali disposizioni con l'ordinamento comunitario, ritenendo: i) che la soglia di “gravità” coprisse anche reati che determinano un limitato disturbo sociale; ii) che i tribunali non dispongono di margine discrezionale per rifiutare l'autorizzazione sulla base di una effettiva valutazione del reato oggetto di indagine. La pronuncia pregiudiziale derivata, sfociata nella decisione C-178/22 della CGUE sopra analizzata, potrebbe portare a reinterpretare l’attuale disciplina sull’acquisizione dei metadati in Italia.
Sebbene siano state introdotte garanzie etichettate sul lato dell'accesso, vale la pena sottolineare che il regime di conservazione dei dati rimane ancora completamente scoperto da considerazioni legislative e giudiziarie. Nonostante le contestazioni sollevate dal Garante per la protezione dei dati personali e da diversi studiosi , la normativa attuale mantiene un periodo di conservazione generalizzato e indiscriminato di 72 mesi(!). L'art. 132 Codice Privacy prevede infatti una conservazione di 24 mesi per i metadati telefonici e di 12 mesi per i metadati Internet; Tuttavia, la cosiddetta Legge Europea 2017 ha esteso, all'indomani degli attentati terroristici nell'UE, il periodo di conservazione solo con riferimento al contrasto di specifici reati gravi (cioè terrorismo, criminalità organizzata come la mafia). Poiché i fornitori di servizi non possono sapere in anticipo per quale tipo di reati le autorità di contrasto richiederebbero l’accesso ai dati, sono di fatto obbligati a conservare i metadati per il periodo di tempo più lungo, pari a 72 mesi, trasformando così l’eccezione in regola generale.
Inoltre, il provvedimento sulla conservazione dei dati non prevede alcuna forma di conservazione mirata – ovvero limitazioni di aree geografiche – al fine di contrastare gravi reati e prevenire gravi minacce alla pubblica sicurezza. Tale limitazione potrebbe rivelarsi inadeguata a fronteggiare reati – come quello di mafia – non caratterizzati da un ambito di intervento limitato. Ciononostante, i legislatori e i tribunali italiani hanno sempre evitato di mettere in discussione la legittimità del regime di ritenzione di massa: ciò dimostra una sorta di riluttanza verso i principi stabiliti dalla CGUE e confermati anche nel caso Spetsializirana prokuratura . Tale approccio sembra basarsi sulla convinzione che solide garanzie in fase di accesso siano sufficienti a tutelare i diritti fondamentali dall’acquisizione illecita e sproporzionata di informazioni personali, senza considerare la conservazione massiva come una grave intrusione di per sé nella sfera privata.
Un viaggio con una destinazione sfocata?
Nell’ultimo decennio, la CGUE ha compiuto sforzi significativi per determinare i limiti della conservazione di massa dei dati e dell’accesso ai metadati. Tuttavia, il percorso passo dopo passo – o caso per caso – tracciato dalla Corte non rivela ancora una destinazione chiara. È innegabile che le sentenze della CGUE abbiano spinto diversi Stati membri ad adottare riforme legislative più orientate ai diritti, introducendo nuove rilevanti garanzie. Allo stesso tempo, attribuire ai soli giudici dell'Unione europea il delicato compito di tracciare la strada verso una “costituzionalizzazione” delle pratiche di sorveglianza di massa non rappresenta una strategia efficace e di lungo periodo.
L’inevitabile margine di potere interpretativo e di definizione lasciato agli Stati membri – dovuto anche alla peculiare architettura istituzionale dell’UE – ha consentito la creazione di uno scenario normativo frammentato: le soluzioni nazionali si sono adattate solo lentamente, parzialmente e con riluttanza agli standard e ai requisiti fissati dalla giurisprudenza sovranazionale . Il dialogo continuo tra gli Stati membri e la CGUE, così come tra i tribunali nazionali e i giudici sovranazionali, ha spesso prodotto tensioni giuridiche , esacerbate dallo scontro tra approcci pro-sicurezza (da parte delle autorità di contrasto) e attivisti per la protezione dei dati.
In questo contesto, i legislatori dell’UE non possono restare in silenzio: al contrario, dovrebbero entrare in gioco, promuovendo un serio dibattito normativo e allentando pericolose polarizzazioni. Le strade divergenti tracciate dai policy maker nazionali non dovrebbero necessariamente convergere. Tuttavia, un’armonizzazione in termini di principi fondamentali e garanzie condivisi potrebbe finalmente aiutare gli Stati membri a orientarsi nella giurisprudenza stratificata della CGUE e a identificare discipline normative concrete e praticabili. Indubbiamente, raggiungere un compromesso politico in grado di rispettare gli elevati standard fissati dalle decisioni della Corte e, allo stesso tempo, di essere accettato a livello nazionale è, a questo punto, un compito piuttosto arduo. E i recenti progressi non sono incoraggianti: da un lato il dibattito su un nuovo regolamento ePrivacy sembra essere in una fase di stallo. D'altro canto, le serie preoccupazioni espresse dall'EDPB sull'ultima bozza di regolamento disponibile mostrano il tentativo di diversi Stati di annacquare e ridiscutere i principi della giurisprudenza della CGUE. Una tendenza che sembra essere confermata dall’affermazione del Gruppo di alto livello dell’Ue sull’accesso ai dati per un’efficace applicazione della legge .
In questo scenario, la lunga e tortuosa strada della conservazione dei dati che porta gli Stati membri alla porta della CGUE probabilmente non scomparirà mai, riprendendo ancora una volta la canzone dei Beatles. E la posta in gioco è alta, soprattutto in un contesto caratterizzato da progressi tecnologici che hanno reso realtà la creazione di dati biometrici sul web, sistemi di punteggio sociale e riconoscimento delle emozioni basati su un’ampia conservazione ed elaborazione dei dati personali. Come ha sottolineato con forza Rodotà , “potremmo credere che si stia discutendo solo di protezione dei dati; si tratta infatti del destino delle nostre organizzazioni sociali, del loro presente e – soprattutto – del loro futuro”.
Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/the-long-and-winding-road/ in data Thu, 28 Nov 2024 14:05:55 +0000.