Conservazione dei dati e sicurezza nazionale: nuove regole europee e criteri operativi

Con la sentenza del 6 ottobre 2020, la Corte di Giustizia dell’Unione Europea ha sancito il divieto di conservazione in modo generalizzato e indifferenziato dei dati personali da parte dei fornitori di servizi di comunicazioni elettroniche.

Tuttavia, la Corte di Giustizia ha previsto che in particolari situazioni in cui lo Stato membro si trovi ad affrontare una minaccia grave per la sicurezza nazionale – minaccia che si dimostri essere “autentica, presente o prevedibile” – detto Stato ha la possibilità di derogare l’obbligo di assicurare la riservatezza dei dati afferenti le comunicazioni elettroniche richiedendo per mezzo di misure legislative la conservazione generale e indiscriminata di tali dati a patto che questa archiviazione sia limitata al tempo strettamente necessario.

Inoltre, anche nell’ipotesi di lotta contro le gravi forme di criminalità e di prevenzione da gravi minacce alla sicurezza pubblica, uno Stato membro può prevedere la conservazione mirata dei dati a patto che la predetta sia celere.

È però necessario che detta interferenza con i diritti fondamentali sia accompagnata da garanzie effettive e sia valutata da un Tribunale o da un’Autorità amministrativa indipendente. Allo stesso modo, a uno Stato membro è permesso di svolgere una conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti alla fonte di una comunicazione in cui il periodo di conservazione sia limitato a quanto strettamente necessario, o anche di effettuare una conservazione generale e indifferenziata dei dati relativi all’identità degli utenti di mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad un termine specifico.

Conservazione dei dati e sicurezza nazionale: orientamento giurisprudenziale

Negli ultimi anni la Corte di Giustizia si è pronunciata in numerose sentenze afferenti alla conservazione e all’accesso ai dati personali nel settore delle comunicazioni elettroniche.
Già l’8 aprile del 2014, la Corte ha dichiarato invalida la Direttiva 2006/24/CE del Parlamento europeo e del Consiglio relativa alla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Detta dichiarazione di invalidità si basava sul fatto che l’interferenza con i diritti al rispetto della vita privata e alla protezione dei dati personali – riconosciuti dalla Carta dei Diritti Fondamentali dell’Unione Europea – che risultava dall’obbligo generale di conservare i dati relativi al traffico e i dati relativi all’ubicazione stabiliti da tale Direttiva, non si limitava a quanto risultava essere strettamente necessario.

Ed ancora, con la sentenza del 21 Dicembre 2016, la Corte ha interpretato l’articolo 15, comma 1, della Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche – la cd. Direttiva relativa alla privacy e alle comunicazioni elettroniche – successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio.

Il predetto articolo autorizza gli Stati membri per motivi di protezione della sicurezza nazionale ad adottare misure legislative volte a limitare la portata di taluni diritti e obblighi previsti dalla Direttiva.

Infine, nella sentenza del 2 ottobre 2018, la Corte ha nuovamente interpretato l’articolo 15, comma 1, della Direttiva sopracitata in un caso riguardante l’accesso delle Autorità pubbliche ai dati concernenti l’identità civile degli utenti dei mezzi di comunicazione elettronica.

Grazie alla giurisprudenza risultante dalle summenzionate pronunce della Corte di Giustizia è, quindi, lecito affermare che la predetta Corte ha statuito che gli Stati membri non possono imporre ai fornitori di servizi di comunicazione elettronica di conservare né in modo generale né indiscriminato i dati afferenti il traffico degli utenti e i dati relativi all’ubicazione.

Questo orientamento giurisprudenziale ha pertanto determinato una notevole preoccupazione in alcuni Stati membri in quanto si sono sentiti privati di uno strumento necessario per salvaguardare la sicurezza nazionale e per combattere le gravi forme di criminalità.

Conclusioni

Dunque, con la sentenza del 6 ottobre 2020 la Corte di Giustizia ha stabilito che la sicurezza nazionale non legittima la conservazione dei dati di traffico degli utenti in modo indiscriminato da parte degli operatori dei servizi di comunicazione. Tuttavia, viene ammessa una deroga al predetto principio ossia nell’ ipotesi in cui il diritto alla sicurezza sia gravemente minacciato, è possibile ricorrere a misure invasive.

Dunque, il Garante per la Protezione dei Dati Personali si è espresso sulla summenzionata sentenza spiegando che detta decisione, che si inserisce in un percorso iniziato già nel 2014 e continuato nel 2016 con le due sentenze conferma la necessità di “evitare che una dilatazione della nozione di sicurezza nazionale finisca per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

 

Fonte: CyberSecurity360