La CGUE si pronuncia sulla data retention e il Garante italiano si esprime sulla sentenza

Il diritto dell’Unione europea osta a una normativa nazionale che impone a un fornitore di servizi di comunicazione elettronica di effettuare una data retention generale e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione.
 
La pronuncia

Con la sentenza del 6 ottobre 2020 (Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others) la Corte di giustizia conferma che il diritto dell’Unione europea osta a una normativa nazionale che impone a un fornitore di servizi di comunicazione elettronica di effettuare una data retention generale e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione al fine di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale.

L’orientamento della Corte

La Corte, in effetti, conferma una posizione mantenuta costante negli anni. In particolare, con le note pronunce Digital Rights, Tele2Sverige e Watson & Others, la CGUE aveva già posto in evidenza la sproporzionata e indiscriminata natura della data retention del tutto generalizzata, ritenendo eccessivo l’utilizzo dei poteri in deroga conferiti dalla direttiva 2002/58 agli Stati membri.

In circostanze come quelle in cui ci si interroga sul periodo di conservazione dei dati, i principi di limitazione della conservazione e di proporzionalità, di cui all’art. 5 del GDPR, restano la chiave per affrontare i casi dubbi.

Ebbene, giacché la granitica giurisprudenza in tema di data retention ha suscitato in alcuni Stati membri la preoccupazione di essere stati privati di uno strumento necessario per salvaguardare la sicurezza nazionale e per combattere la criminalità, la Corte fornisce alcuni illuminanti chiarimenti sul punto.

I chiarimenti

In particolare, secondo la CGUE, la direttiva 2002/58 non autorizza gli Stati membri ad adottare, ai fini della sicurezza nazionale, misure legislative volte a limitare la portata dei diritti e degli obblighi previsti dalla direttiva stessa, quali l’obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico, a meno che tali misure non siano conformi ai principi generali del diritto dell’Unione, compreso il principio di proporzionalità, e ai diritti fondamentali garantiti dalla Carta.

Per contro, la Corte dichiara che, in situazioni in cui lo Stato membro interessato si trovi di fronte ad una grave minaccia alla sicurezza nazionale, che si riveli reale, presente o prevedibile, non si può aprioristicamente del tutto escludere il ricorso a strumenti che consentano di dilatare le maglie del divieto generalizzato.

In questo senso, sono ammesse le ordinanze che impongano ai fornitori di servizi di comunicazione elettronica di conservare, in modo generale e indiscriminato, i dati relativi al traffico e i dati relativi all’ubicazione, sempre che il periodo della data retention sia limitato allo stretto necessario e sottoposto ad un controllo effettivo da parte di un giudice o di un organo amministrativo indipendente; parimenti legittimo è il ricorso a misure legislative che consentano di definire la data retention mirata e limitata nel tempo allo stretto necessario; è consentito, infine, utilizzare una misura legislativa che legittimi la conservazione al di là dei periodi di conservazione previsti dalla legge per far luce su reati gravi o attacchi alla sicurezza nazionale, qualora tali reati o attacchi siano già stati accertati o la loro esistenza possa essere ragionevolmente sospettata.

Il comunicato del Garante privacy italiano

In quest’ottica, pertanto, il Garante per la protezione dei dati si è pronunciato favorevolmente sulla sentenza in commento ritenendo che il principio di proporzionalità richiamato dalla Corte sia “di assoluta rilevanza, sotto il profilo democratico, nel rapporto tra libertà e sicurezza già delineato nella sentenza Schrems del luglio scorso, per evitare che una dilatazione (nell’ordinamento statunitense particolarmente marcata) della nozione di sicurezza nazionale finisca di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

Avv. Marta Cogode