Il 17 luglio 2014, a soli tre mesi della sentenza della Corte europea di Giustizia che dichiarava l’invalidità della Direttiva sulla data retention, nel Regno Unito veniva emanato il DRIPA (Data Retention and Investigatory Powers Act 2014), il quale prevede, alla sezione 1, che il Segretario di Stato possa, mediante una “retention notice” chiedere ad un fornitore pubblico di telecomunicazioni di conservare i dati di “relevant communications” qualora il Segretario stesso ritenga la richiesta necessaria e proporzionata al perseguimento di una o più tra le finalità di cui ai punti da a) a h) dell’articolo 22 (2) del RIPA (Regulation of Investigatory Powers Act 2000).
Detta sezione, titolata “Obtaining and disclosing communications data” prevede che i metadati di comunicazione possano essere ottenuti se necessari:
a) per interessi di sicurezza nazionale;
b) al fine di prevenire o individuare reati o di prevenire disordini;
c) per fini di benessere economico del Regno Unito;
d) per interessi di sicurezza pubblica;
e) per fini di protezione della salute pubblica;
f) al fine di valutare o riscuotere una tassa, un’imposta, o altra imposizione, contributo o tassa da versare ad un dipartimento governativo;
g) al fine di prevenire, in caso di emergenza, morte o lesioni o danni alla salute fisica o mentale di una persona;
h) per qualsiasi scopo specificato in un ordine del Segretario di Stato.
Il DRIPA, ha modificato la lettera c) aggiungendo la clausola “nella misura in cui tali interessi sono rilevanti anche per gli interessi della sicurezza nazionale”.
Lo scorso 17 luglio la High Court of Justice si è pronunciata sul ricorso proposto da Mr Brice e Mr Lewis, unitamente a due parlamentari inglesi, Mr Davis (conservatore) e Mr Watson (laburista), col supporto delle associazioni civili Open Rights Group e Privacy International, dichiarando la sezione 1 del DRIPA incompatibile col diritto comunitario, in particolare con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea in quanto:
1) non prevede regole chiare e precise affinché l’accesso e l’utilizzo dei metadati sulle comunicazioni, conservati seguito a un “retention notice”, siano strettamente limitati allo scopo di prevenire e perseguire gravi e specificamente predeterminati reati o istruire procedimenti penali relativi a tali reati;
2) l’accesso ai dati non è sottoposto all’esame preliminare di un tribunale o di un organo amministrativo indipendente, la cui decisione limiti l’accesso e l’utilizzo dei dati a quanto strettamente necessario per il conseguimento dello scopo perseguito.
L’ordine di disapplicazione del DRIPA è stato sospeso fino al 31 marzo 2016 per dare tempo al Parlamento di intervenire legislativamente sulle norme dichiarate illegittime e ferma restando la facoltà per il Segretario di Stato, convenuto in giudizio, di proporre appello.
Le conclusioni a cui addiviene l’High Court vengono argomentate ripercorrendo passo a passo la legislazione europea e nazionale in materia di data protection e data retention, nonché la giurisprudenza della CEDU e della ECJ, con particolare attenzione alla sentenza Digital Rights Ireland, che ha dichiarato l’invalidità della Direttiva Frattini.
Dei vari passaggi, mi soffermo solo su alcuni, su cui mi pare possa essere interessante fare qualche considerazione.
- La possibilità di impugnare una legge innanzi ad una Corte
Al punto 4 della sentenza, l’High Court precisa un concetto che a noi giuristi di civil law pare quasi incredibile, ovverosia che gli atti del Parlamento del Regno Unito non sono impugnabili davanti ad un giudice.
Nel caso di specie, tuttavia, la High Court si è ritenuta competente a decidere in quanto il giudizio di compatibilità del DRIPA è stato chiesto in relazione non al diritto interno, bensì al diritto comunitario. Sotto questo profilo il ricorso è stato considerato ammissibile in quanto, sottolinea la Corte, le decisioni della Corte di Giustizia sono vincolanti sia per i legislatori che per i tribunali di tutti gli Stati membri e la Carta dei diritti fondamentali è immediatamente applicabile ai sensi dell’art.6(1) del Trattato dell’Unione europea che riconosce ai diritti, alle libertà ed ai principi espressi nella Carta lo stesso valore legale dei Trattati.
In un momento storico in cui l’idea politica di Unione europea viene fortemente messa in discussione, la constatazione che si stia progressivamente formando un diritto comunitario capace ed in grado di derogare a fondamentali principi di diritto interno costruendone di nuovi, è un solido tassello che conforta la speranza che l’Europa unita possa funzionare.
- La differenza tra retention e accesso
Al punto 70, la Corte mette a fuoco una questione delicatissima, da pochissimi sino ad oggi rilevata: la differenza tra conservazione ed accesso.
Secondo la Corte inglese, l’ECJ nella sentenza Digital Rights Ireland non ha stabilito che i fornitori di servizi di accesso sono tenuti a conservare esclusivamente i metadati di comunicazione relativi a persone sospettate o coinvolte nella prevenzione, nell’accertamento e nel perseguimento di reati gravi, quanto piuttosto che un regime generale di conservazione è illegale a meno che non sia accompagnato da un regime di accesso che fornisca garanzie sufficientemente rigorose per la tutela dei diritti dei cittadini di cui agli articoli 7 e 8 della Carta.
Si tratta di un passaggio logico molto importante sotto il profilo dell’effettività della tutela dei cittadini europei. Infatti, se la protezione fosse declinata attraverso il divieto di conservazione dei metadati di traffico telefonico e telematico ad eccezione dei dati concernenti i cd. “serious crimes”, la tutela sarebbe, in concreto, inesistente in quanto materialmente le operazioni di retention sarebbero impraticabili data l’impossibilità di conoscere a monte chi commetterà i gravi reati.
Distinguere la conservazione dei dati dall’accesso agli stessi consente, invece, di garantire ai cittadini un adeguato ed effettivo livello di protezione dall’ingerenza dello Stato nella loro vita privata. Parallelamente alla retention, infatti, secondo la Corte il potere di intrusione da parte dello Stato deve essere debitamente controllato mediante autorizzazioni all’accesso ai dati conservati dai fornitori rilasciate dall’Autorità giudiziaria o da organi amministrativi indipendenti.
Seguendo la stessa pragmatica impostazione, la Corte, ai punti 94 e 95, spiega che il fatto che l’accesso e l’uso dei dati debba essere rigorosamente limitato allo scopo di prevenire e perseguire “precisely defined serious offences” non significa che l’accesso debba essere limitato ai dati di persone sospettate di aver commesso tali reati gravi atteso che, in alcuni casi, i dati di una persona del tutto innocente potrebbero contribuire alla individuazione di forme gravi di criminalità commesse da altri.
- La retention in sé interferisce con i diritti di cui agli articoli 7 e 8 della Carta
Nonostante o, forse, proprio in virtù dell’assunto di cui al punto precedente, la Corte, al punto 84, specifica che la retention generalizzata finalizzata ad un potenziale futuro accesso costituisce di per sé un’interferenza con i diritti di cui agli articoli 7 e 8 della Carta e all’art. 8 della CEDU, a prescindere dal successivo, eventuale accesso ed utilizzo dei dati.
A tal proposito, la Corte richiama espressamente il punto 29 della sentenza Digital Rights Ireland ed il punto 56 della sentenza Liberty v UK, in cui la Corte dei Diritti dell’Uomo ha osservato che telefono, fax e comunicazioni di posta elettronica sono ricompresi nelle nozioni di vita privata e corrispondenza di cui all’art.8 della CEDU e che l’esistenza di una legislazione che consente il monitoraggio segreto delle comunicazioni rappresenta una minaccia di sorveglianza generalizzata che mina la libertà di comunicazione tra gli utenti dei servizi di telecomunicazione ed implica di per sé una interferenza con l’esercizio dei diritti di cui all’art.8, indipendentemente dalle misure effettivamente adottate.
Sono parole che colpiscono. Specie se le leggiamo nel contesto dello scandalo nostrano di Hacking Team, su cui vige l’assoluto silenzio in ordine ai casi, ai tempi ed ai modi di utilizzo (verosimilmente illecito) da parte dell’AISE e della Polizia giudiziaria del malware Remote Control System Galileo della società milanese.
Del resto, parimenti sotto silenzio è passato l’art.4 bis del decreto antiterrorismo n.7/2015, introdotto con la legge di conversione n.43/2015, che ha disposto, in deroga all’art.132 del codice privacy e con buona pace della sentenza Digital Rights Ireland, un allungamento dei tempi di conservazione dei dati di traffico telefonico, telematico e delle chiamate senza risposta fino al 31 dicembre 2016.
Davvero un colpo al cuore rispetto alla sensibilità mostrata dagli altri paesi dell’Unione europea in materia di data retention, come ben illustrato dall’australiana Leanne O’Donnell nel suo report sullo stato della data retention in Europa dopo la sentenza Digital Rights Ireland.
Sebbene schematicamente, ricordiamo dunque che:
- Austria, Germania, Bulgaria, Romania, Cipro, Slovenia, Repubblica Ceca ed ora anche il Regno Unito, hanno dichiarato incostituzionali le rispettive leggi di recepimento della Direttiva 2006/24/CE;
- Danimarca, Paesi Bassi e Slovacchia hanno sospeso la retention dei metadati di traffico (la Slovacchia ha anche disposto la cancellazione dei dati precedentemente raccolti);
- Finlandia, Spagna e Lussemburgo stanno revisionando la normativa interna per adeguarla ai principi affermati dalla ECJ;
- Belgio, Polonia, Svezia, Ungheria, Irlanda e Svizzera hanno le rispettive leggi di recepimento under challenge.
Italia non pervenuta.