Data retention a sei anni. La Corte di Giustizia dell’UE la boccerebbe come ha fatto con l’accordo Europa Canada sui PNR

Sta facendo finalmente discutere l’emendamento approvato la scorsa settimana dalla Camera dei Deputati che allunga a 6 anni la conservazione di dati di traffico telefonico e telematico per finalità di contrasto al crimine e al terrorismo.

La data retention in Italia era fissata dal Codice della privacy in due anni per il traffico telefonico, un anno per quello telematico, 30 giorni per le chiamate senza risposta. Una durata estesa con il decreto legge antiterrorismo del 2015 che aveva imposto la conservazione di tutti i dati fino al 30 giugno 2017, in deroga al Codice, ciò che di fatto aveva ammesso una conservazione fino a 4 anni.

L’emendamento in questione, presentato dai deputati Verini, Berretta e Mucci, assesta il regime di conservazione ordinario di tali dati a 6 anni. E recita come segue:

Dopo l’articolo 12-bis, aggiungere il seguente:

  Art. 12-ter. – (Termini di conservazione dei dati di traffico telefonico e telematico). – 1. In attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio del 15 marzo 2017 sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio, al fine di garantire strumenti di indagine efficaci tenuto conto delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale, per le finalità di accertamento e repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, di cui all’articolo 4-bis, commi 1 e 2, del decreto-legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43, è stabilito, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del decreto legislativo 30 giugno 2003, n. 196, in settantadue mesi.

12-bis. 020.(Testo modificato nel corso della seduta) Verini, Berretta, Mucci. (Approvato)

Nel merito, hanno ragione quanti, in testa il Garante per la protezione dei dati personali, paventano una incompatibilità del nuovo regime interno con il diritto europeo.

Infatti, con la sentenza Digital Rights Ireland del 2014 (Cause riunite C‑293/12 e C‑594/12), la Corte di Giustizia dell’Unione Europea aveva annullato la Direttiva 2006/24/CE (cd. “Data Retention”), su cui si basano le norme interne oggetto di modifica tramite l’emendamento sopra citato, giudicando sproporzionata l’interferenza che essa esercitava sul diritto alla riservatezza dei cittadini europei per ragioni di sicurezza.

La direttiva infatti aveva un’applicazione generalizzata nei confronti di chiunque (non dei soli sospettati di reati), non distingueva tra reati (gravi e meno gravi), non gradava i tempi di conservazione in maniera coerente, e non prevedeva garanzie relative all’accesso a tali dati personali da parte delle forze di polizia.

Il risultato di quella pronuncia era ed è ancora che la nostra normativa interna, emanata sulla base della direttiva abrogata, seppure formalmente ancora in vigore, è sostanzialmente illegittima, e cadrebbe certamente al primo rinvio pregiudiziale alla Corte di Giustizia Europea effettuato da un giudice italiano. A maggior ragione se venisse modificata nei termini approvati dalla Camera.

E se qualcuno pensa che dal 2014 ad oggi sul punto sia sostanzialmente mutata la sensibilità dei giudici del Lussemburgo, in ragione dei cruenti sviluppi del terrorismo in Europa, si sbaglia.

Non più tardi di tre giorni fa, esprimendosi su richiesta del Parlamento Europeo su di una bozza di accordo per il trasferimento dei dati PNR (Passenger Name Records) dall’Europa al Canada, la stessa Corte ha reiterato alcuni dei concetti giuridici a suo tempo elaborati nella sentenza Digital Rights Ireland, concludendo per l’incompatibilità col diritto europeo della bozza di accordo.

Ciò perché – secondo i giudici lussemburghesi – lo schema di accordo col Canada prevede una serie di ingerenze non proporzionate e non necessarie su una vasta platea di interessati, cioè tutti i viaggiatori dall’Europa al Canada. Sebbene la Corte riconosca che – in principio – il trasferimento dei dati dei passeggeri sia necessario e funzionale ad esigenze preventive di gravi crimini in Canada, esso tuttavia viola i parametri di proporzionalità del diritto europeo allorché l’accordo consente alle autorità canadesi di accedere a tali dati anche una volta che l’ingresso dei passeggeri sia stato autorizzato, dunque durante il soggiorno di questi ultimi in Canada. Sostiene infatti la Corte che le autorità canadesi non possono semplicemente aprire il cassetto dei PNR raccolti in costanza di viaggio una volta che i passeggeri a cui si riferiscano siano stati autorizzati ad entrare; servono esigenze nuove e circostanziate, nonché garanzie procedurali ulteriori, quali il placet di un giudice terzo. Inoltre, la conservazione indiscriminata di tutti i PNR per 5 anni, e l’accesso agli stessi da parte della autorità canadesi una volta che i passeggeri siano usciti dal territorio canadese, è altresì eccessiva: soltanto i PNR relativi a soggetti per i quali sussistano elementi  obiettivi che consentano di ritenere che essi potrebbero, anche dopo la loro partenza dal Canada,  presentare  un  rischio  in  termini  di  lotta  al  terrorismo  e  ai  reati gravi  di  natura  transnazionale, possono essere oggetto di trattamento, e sempre previa autorizzazione di un giudice.

E’ evidente come la Corte di Giustizia dell’UE non ritenga affatto superato l’indirizzo interpretativo inaugurato nel 2014, ma come anzi provi a inserirlo in un’ottica di cosiddetta privacy by design anche per i legislatori, a cui affida il delicato compito di bilanciare le esigenze di interesse pubblico perseguite con le garanzie di dettaglio sostanziale e procedurale per le libertà fondamentali dei cittadini europei.

Un esercizio, quest’ultimo, nemmeno abbozzato dal legislatore italiano.

Share this article!
Share.