La Corte di giustizia dell’Unione europea (CGUE) ha riacceso la discussione sulla conservazione dei dati da parte degli operatori di telecomunicazioni con la sua sentenza del 2 marzo scorso nella causa C‑746/18.
La CGUE si è espressa sulla domanda di pronuncia pregiudiziale che verteva sull’interpretazione del comma 1 dell’articolo 15 della direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Tale domanda è nata nell’ambito di un procedimento penale instaurato a carico di H.K., accusata in Estonia di furto di beni del valore di 40 euro al massimo, dell’uso della carta di credito di un terzo per circa 4 mila euro e di violenza nei confronti di persone partecipanti al procedimento giudiziario a suo carico.
In particolare, la CGUE ha commentato l’accesso delle competenti autorità ai dati conservati dagli operatori di telecomunicazioni per finalità di prevenzione, ricerca, accertamento e perseguimento di reati. La Corte ha dichiarato che il comma 1 dell’articolo 15 della direttiva 2002/58 deve essere interpretato nel senso che esso osta ad una normativa nazionale che, in sintesi: 1) consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica; 2) renda il pubblico ministero competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
La sentenza in questione ha sollevato diverse discussioni negli altri paesi europei, quasi tutti orientati a rivedere le tempistiche di conservazione dei dati e quali tipi di informazioni conservare, partendo dal presupposto che la Direttiva 2006/24/CE, che obbligava gli Stati membri a conservare i dati sulle telecomunicazioni dei cittadini per un minimo di 6 mesi a un massimo di 24, è stata dichiarata invalida nel 2014 in seguito al caso giudiziario intentato da Digital Rights Ireland contro le autorità irlandesi. In questi paesi la legge nazionale che aveva recepito tale direttiva è stata abrogata e quindi si è passati ad un diverso regime di conservazione che, in molti casi, è stato anche fortemente contrastato dagli operatori locali. Ad esempio, in Germania è stata introdotta nel 2015 la nuova legge sui “Requisiti minimi di archiviazione e periodo massimo di archiviazione dei dati sul traffico” che doveva entrare in vigore il 1° luglio 2017, ma non è successo. La Federal Network Agency ha sospeso l’obbligo di conservare i dati per i fornitori di servizi Internet e telefonici, valido tutt’oggi, recependo la decisione del Tribunale amministrativo superiore (OVG, Az. 13 B 238/17) per lo stato del Nord Reno-Westfalia.
Il nostro paese ha recepito la ormai invalida direttiva sulla Data Retention con il Dlgs. 109/2008, che rappresenta il riferimento normativo vigente per gli operatori di telecomunicazioni che operano sul territorio nazionale, qualunque sia la loro nazionalità. Tale Dlgs. ha cambiato il Codice privacy che nel 2017 è stato nuovamente modificato dall’art. 24 della legge 167 e che ha obbligato gli operatori a conservare i dati fino a 72 mesi senza più alcuna distinzione tra dati telefonici e telematici. E’ prevista la logica di accesso differenziato in funzione della gravità del reato esattamente come richiamato dalla sentenza della CGUE. Anche nel nostro paese le indagini svolte dalla polizia giudiziaria, che hanno necessità di accedere a questo tipo di dati, sono richieste al pubblico ministero che le autorizza o meno.
In Italia c’è un sistema efficiente sotto l’aspetto autorizzativo anche se per i tabulati non c’è effettivamente mai stata la necessità di una valutazione di una entità terza indipendente come accade nelle intercettazioni, ma il contesto è nettamente diverso: nel caso delle intercettazioni entriamo nei contenuti delle comunicazioni, quindi, occorre qualche garanzia in più. La discussione aperta dalla sentenza della CGUE è di principio valida, ma di certo non rappresenta per l’Italia un’urgenza come è stata rappresentata da qualche fazione politica che ha proposto di inserire un “via libera” del giudice per le indagini preliminari e distinguere i casi urgenti o gravi per una convalida successiva: la storia e la realtà italiana sono diverse da quelle degli altri paesi europei e la normativa italiana si è evoluta di conseguenza, trovando un suo assetto che non può seguire le specificità dei casi accaduti negli altri paesi europei. Ad esempio, in Italia non c’è bisogno di “un’entità amministrativa indipendente … al riparo da qualsiasi influenza esterna” così richiamata dalla CGUE per autorizzare il pubblico ministero, perché i tabulati di traffico storico sono gratuiti.
Cosa invece avrebbe potuto ispirare al legislatore italiano questa sentenza? Di certo molte altre azioni finalizzate a migliorare l’attuale normativa, ad esempio eliminando i 6 anni di conservazione dei dati. In passato il Garante della privacy aveva già evidenziato, nel suo parere sullo schema di decreto di recepimento della direttiva 2016/680, l’incompatibilità della deroga con il principio di proporzionalità, chiedendo l’abrogazione di ogni riferimento al predetto art. 24 della legge 167/2017. Oppure, il legislatore avrebbe potuto eliminare l’obbligo previsto dal Direttiva 2006/24/CE, recepito dal Dlgs 109/2008, di richiedere agli operatori di telecomunicazioni un rapporto sul numero di richieste di accesso ai dati storici di traffico richieste dall’Autorità Giudiziaria italiana, poi da indirizzare al Ministero della Giustizia italiano per il successivo inoltro alla Commissione Europea.
Tale considerazione è sorta perché la nostra Redazione ha contattato la Commissione Europea, in particolare la Direzione generale della Giustizia e dei consumatori e, alla domanda se ricevesse il suddetto rapporto, ha risposto così (tradotto dall’inglese): “Poiché la presente direttiva è stata invalidata nell’aprile 2014, la Commissione non riceve tali informazioni da tale data. Attualmente non esiste alcun obbligo legale ai sensi del diritto dell’UE di comunicare tali dati alla Commissione.” Non abbiamo evidenza se i dati siano stati inviati dal 2008 al 2014. Alla successiva domanda su come porre rimedio a questo contrasto normativo, la CE ci risponde “La Commissione, in qualità di custode dei trattati, ha il compito di garantire l’attuazione del diritto dell’UE. Ciò significa che, se esistesse un obbligo ai sensi del diritto dell’UE derivante da una direttiva, la Commissione dovrebbe assicurarsi che tale obbligo sia correttamente attuato negli Stati membri. Tuttavia, laddove non vi sia alcuna legge dell’UE applicabile, la Commissione non ha il potere di obbligare gli Stati membri ad abrogare le loro leggi nazionali (a meno che tali leggi nazionali non siano in conflitto con altre leggi dell’UE). La Commissione non è quindi l’organo giusto per porre rimedio alla situazione da lei descritta; ciò sarebbe fatto meglio attraverso una modifica della legislazione nazionale da parte del legislatore nazionale”. Più chiaro di così.