COMUNICATO STAMPA n. 54/14
Lussemburgo, 8 aprile 2014
Sentenza nella cause riunite C-293/12 e C-594/12
Digital Rights Ireland e Seitlinger e a.
La Corte di giustizia dichiara invalida la direttiva sulla conservazione dei dati
Essa comporta un’ingerenza di vasta portata e di particolare gravità nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, non limitata allo stretto necessario
La direttiva sulla conservazione dei dati [1] ha per obiettivo principale l’armonizzazione delle disposizioni degli Stati membri sulla conservazione di determinati dati generati o trattati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione. Essa è quindi volta a garantire la disponibilità di tali dati a fini di indagine, accertamento e perseguimento di reati gravi, come in particolare i reati legati alla criminalità organizzata e al terrorismo. In tal senso, la direttiva dispone che i suddetti fornitori debbano conservare i dati relativi al traffico, i dati relativi all’ubicazione nonché i dati connessi necessari per identificare l’abbonato o l’utente. La direttiva non autorizza, invece, la conservazione del contenuto della comunicazione e delle informazioni consultate.
La High Court (Alta Corte, Irlanda) nonché il Verfassungsgerichtshof (Corte costituzionale, Austria) chiedono alla Corte di giustizia di esaminare la validità della direttiva, segnatamente alla luce di due diritti fondamentali garantiti dalla Carta dei diritti fondamentali dell’Unione europea, ossia il diritto al rispetto della vita privata e il diritto alla protezione dei dati di carattere personale.
La High Court è chiamata a pronunciarsi su una controversia tra la società irlandese Digital Rights e le autorità irlandesi in merito alla legittimità di provvedimenti nazionali riguardanti la conservazione di dati relativi a comunicazioni elettroniche. Il Verfassungsgerichtshof è investito di vari ricorsi in materia costituzionale presentati dalla Kärtner Landesregierung (governo del Land di Carinzia) nonché dai sigg. Seitlinger, Tschohl e da altri 11 128 ricorrenti. Tali ricorsi mirano ad ottenere l’annullamento della disposizione nazionale che attua la direttiva nel diritto austriaco.
Con la sua odierna sentenza, la Corte dichiara la direttiva invalida [2].
La Corte rileva, anzitutto, che i dati da conservare consentono, in particolare, 1) di sapere con quale persona e con quale mezzo un abbonato o un utente registrato ha comunicato, 2) di determinare il momento della comunicazione nonché il luogo da cui ha avuto origine e 3) di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente registrato con determinate persone in uno specifico periodo. Tali dati, considerati congiuntamente, possono fornire indicazioni assai precise sulla vita privata dei soggetti i cui dati sono conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri o di diversa frequenza, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati.
La Corte ritiene che la direttiva, imponendo la conservazione di tali dati e consentendovi l’accesso alle autorità nazionali competenti, si ingerisca in modo particolarmente grave nei i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale. Inoltre, il fatto che la conservazione ed il successivo utilizzo dei dati avvengano senza che l’abbonato o l’utente registrato ne siano informati può ingenerare negli interessati la sensazione che la loro vita privata sia oggetto di costante sorveglianza.
La Corte passa poi ad esaminare se un’ingerenza siffatta nei diritti fondamentali in questione sia giustificata.
Essa constata che la conservazione dei dati imposta dalla direttiva non è idonea ad arrecare pregiudizio al contenuto essenziale dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale. Infatti, la direttiva non consente di prendere conoscenza del contenuto delle comunicazioni elettroniche in quanto tale e prevede che i fornitori di servizi o di reti debbano rispettare determinati principi di protezione e di sicurezza dei dati.
Inoltre, la conservazione dei dati ai fini della loro eventuale trasmissione alle autorità nazionali competenti risponde effettivamente a un obiettivo di interesse generale, vale a dire la lotta alla criminalità grave nonché, in definitiva, la pubblica sicurezza.
Tuttavia, la Corte ritiene che il legislatore dell’Unione, con l’adozione della direttiva sulla conservazione dei dati, abbia ecceduto i limiti imposti dal rispetto del principio di proporzionalità.
A tale riguardo, la Corte osserva che, in considerazione, da un lato, dell’importante ruolo svolto dalla protezione dei dati personali nei confronti del diritto fondamentale al rispetto della vita privata e, dall’altro, della portata e della gravità dell’ingerenza in tale diritto che la direttiva comporta, il potere discrezionale del legislatore dell’Unione risulta ridotto e che occorre quindi procedere a un controllo rigoroso.
Anche se la conservazione dei dati imposta dalla direttiva può essere considerata idonea a raggiungere l’obiettivo perseguito dalla medesima, l’ingerenza vasta e particolarmente grave di tale direttiva nei diritti fondamentali in parola non è sufficientemente regolamentata in modo da essere effettivamente limitata allo stretto necessario.
In primo luogo, infatti, la direttiva trova applicazione generalizzata all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venga operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi.
In secondo luogo, la direttiva non prevede alcun criterio oggettivo che consenta di garantire che le autorità nazionali competenti abbiano accesso ai dati e possano utilizzarli solamente per prevenire, accertare e perseguire penalmente reati che possano essere considerati, tenuto conto della portata e della gravità dell’ingerenza nei diritti fondamentali summenzionati, sufficientemente gravi da giustificare una simile ingerenza. Al contrario, la direttiva si limita a fare generico rinvio ai «reati gravi» definiti da ciascuno Stato membro nella propria legislazione nazionale. Inoltre, la direttiva non stabilisce i presupposti materiali e procedurali che consentono alle autorità nazionali competenti di avere accesso ai dati e di farne successivo uso. L’accesso ai dati, in particolare, non è subordinato al previo controllo di un giudice o di un ente amministrativo indipendente.
In terzo luogo, quanto alla durata della conservazione dei dati, la direttiva impone che essa non sia inferiore a sei mesi, senza operare distinzioni tra le categorie di dati a seconda delle persone interessate o dell’eventuale utilità dei dati rispetto all’obiettivo perseguito. Inoltre, tale durata è compresa tra un minimo di sei ed un massimo di ventiquattro mesi, senza che la direttiva precisi i criteri oggettivi in base ai quali la durata della conservazione deve essere determinata, in modo da garantire la sua limitazione allo stretto necessario.
La Corte constata peraltro che la direttiva non prevede garanzie sufficienti ad assicurare una protezione efficace dei dati contro i rischi di abusi e contro qualsiasi accesso e utilizzo illeciti dei dati. Essa rileva, tra l’altro, che la direttiva autorizza i fornitori di servizi a tenere conto di considerazioni economiche in sede di determinazione del livello di sicurezza da applicare (in particolare per quanto riguarda i costi di attuazione delle misure di sicurezza) e non garantisce la distruzione irreversibile dei dati al termine della loro durata di conservazione.
La Corte censura, infine, il fatto che la direttiva non impone che i dati siano conservati sul territorio dell’Unione. La direttiva non garantisce, quindi, il pieno controllo da parte di un’autorità indipendente del rispetto delle esigenze di protezione e di sicurezza, come è invece espressamente richiesto dalla Carta. Orbene, un controllo siffatto, compiuto sulla base del diritto dell’Unione, costituisce un elemento essenziale del rispetto della protezione delle persone con riferimento al trattamento dei dati personali.
IMPORTANTE: Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.
[1] Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54).
[2] Dato che la Corte non ha limitato gli effetti della propria sentenza nel tempo, la dichiarazione di invalidità ha efficacia dalla data di entrata in vigore della direttiva.