Privacy, l’archiviazione massiva dei dati è vietata
conservazione generale e indifferenziata dei dati, senza limiti temporali e geografici, è incompatibile con il diritto Ue. È la Corte di giustizia dell’Unione europea, ancora una volta, a porre un freno alla “pesca a strascico” di dati e informazioni con meccanismi generalizzati di archiviazione di massa che – hanno chiarito i giudici di Lussemburgo con la sentenza depositata ieri ( cause riunite C- 203/ 15 e C698/15) – sono incompatibili con la Carta dei diritti fondamentali dell’Unione europea.
Gli eurogiudici sono tornati sull’annosa questione del trattamento dati ribadendo il no alla conservazione a tappeto dei dati che, per di più, senza eccezioni soggettive, travolge anche il segreto professionale. Unico varco aperto per le autorità nazionali è la lotta alla criminalità grave ma, in ogni caso, nel rispetto del principio proporzionalità, senza travalicare i limiti di quanto strettamente necessario.
A rivolgersi a Lussemburgo, la Corte di appello di Stoccolma e i giudici di secondo grado inglesi alle prese con due differenti controversie.
Nel primo caso, un’azienda di telecomunicazione aveva notificato all’autorità nazionale di vigilanza la cessazione da ogni attività di conservazione dei dati, a seguito della pronuncia della Corte Ue del 2014. Le autorità nazionali avevano contrastato questa decisione. La controversia inglese, invece, vede al centro due cittadini che hanno impugnato il Data Retention and Investigatory Powers Act 2014, che amplia la conservazione dei dati per un anno, con riguardo ai siti visitati, custoditi in un database, con piena accessibilità alle forze dell’ordine senza l’autorizzazione di un giudice.
Prima di tutto, la Corte di giustizia non arretra di un passo rispetto al principio già affermato nella sentenza del 2014 e mette in primo piano l’obbligo di garantire la riservatezza delle comunicazioni. È vero – scrive Lussemburgo – che la direttiva 2002/58 sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, modificata dalla 2009/136, prevede alcune deroghe ma queste, in quanto eccezioni, devono essere interpretate restrittivamente, sia per la conservazione, sia per l’accesso ai dati raccolti.
È evidente che la conservazione di dati su larga scala permette di ricavare notizie sulla vita privata delle persone interessate in contrasto con l’articolo 7 e 8 della Carta dei diritti fondamentali Ue. D’altra parte, lo stesso articolo 15 della direttiva 2002/58 prevede che gli Stati membri possano adottare una misura in deroga al principio della riservatezza delle comunicazioni e dei dati relativi al traffico, ma solo se si tratta di una misura «necessaria, opportuna e proporzionata all’interno di una società democratica».
Di qui la sostanziale bocciatura del sistema svedese che obbliga i fornitori di servizi di comunicazione elettronica a conservare i dati «in maniera sistematica e continua, e ciò senza alcuna eccezione».
Stesso risultato per la normativa inglese. Chiara la Corte nel non ammettere un sistema come quello britannico che non limita l’accesso ai dati ai soli casi di lotta contro la criminalità grave, non prevede un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente e non impone che i dati siano conservati nel solo territorio dell’Unione. Resta fermo, poi, che l’accesso ai dati conservati deve essere comunicato alle persone interessate «a partire dal momento in cui tale comunicazione non è suscettibile di compromettere le indagini condotte dalle autorità». Solo così è garantita l’applicazione del diritto alla tutela giurisdizionale effettiva.
IL PRINCIPIO Le deroghe alla tutela della riservatezza previste dalle direttive vanno interpretate restrittivamente