Conservazione dei dati e sicurezza nazionale: nuove regole europee e criteri operativi - Cyber Security 360

SENTENZA CGUE

Conservazione dei dati e sicurezza nazionale: nuove regole europee e criteri operativi

L’ultimo orientamento giurisprudenziale della Corte di Giustizia dell’Unione Europea (CGUE) prevede che la sicurezza nazionale degli Stati membri europei non legittima la conservazione dei dati di traffico degli utenti in modo indiscriminato da parte degli operatori dei servizi di comunicazione. Ecco i nuovi criteri operativi

20 Ott 2020
M
Francesca Mistretta

Specialista in Protezione dei Dati, Funzione Compliance


Con la sentenza del 6 ottobre 2020, emessa nelle cause riunite C-245/19 e C-246/19, la Corte di Giustizia dell’Unione Europea ha sancito il divieto di conservazione in modo generalizzato e indifferenziato dei dati personali da parte dei fornitori di servizi di comunicazioni elettroniche.

Tuttavia, la Corte di Giustizia ha previsto che in particolari situazioni in cui lo Stato membro si trovi ad affrontare una minaccia grave per la sicurezza nazionale – minaccia che si dimostri essere “autentica, presente o prevedibile” – detto Stato ha la possibilità di derogare l’obbligo di assicurare la riservatezza dei dati afferenti le comunicazioni elettroniche richiedendo per mezzo di misure legislative la conservazione generale e indiscriminata di tali dati a patto che questa archiviazione sia limitata al tempo strettamente necessario.

Inoltre, anche nell’ipotesi di lotta contro le gravi forme di criminalità e di prevenzione da gravi minacce alla sicurezza pubblica, uno Stato membro può prevedere la conservazione mirata dei dati a patto che la predetta sia celere.

È però necessario che detta interferenza con i diritti fondamentali sia accompagnata da garanzie effettive e sia valutata da un Tribunale o da un’Autorità amministrativa indipendente.

Allo stesso modo, a uno Stato membro è permesso di svolgere una conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti alla fonte di una comunicazione in cui il periodo di conservazione sia limitato a quanto strettamente necessario, o anche di effettuare una conservazione generale e indifferenziata dei dati relativi all’identità degli utenti di mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad un termine specifico.

Conservazione dei dati e sicurezza nazionale: orientamento giurisprudenziale

Negli ultimi anni la Corte di Giustizia si è pronunciata in numerose sentenze afferenti alla conservazione e all’accesso ai dati personali nel settore delle comunicazioni elettroniche.

Già l’8 aprile del 2014, con la sentenza “Digital Rights Ireland and Others, la Corte ha dichiarato invalida la Direttiva 2006/24/CE del Parlamento europeo e del Consiglio relativa alla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione.

Detta dichiarazione di invalidità si basava sul fatto che l’interferenza con i diritti al rispetto della vita privata e alla protezione dei dati personali – riconosciuti dalla Carta dei Diritti Fondamentali dell’Unione Europea – che risultava dall’obbligo generale di conservare i dati relativi al traffico e i dati relativi all’ubicazione stabiliti da tale Direttiva, non si limitava a quanto risultava essere strettamente necessario.

Ed ancora, con la sentenza “Tele2 Sverige and Watson and Othersdel 21 Dicembre 2016, la Corte ha interpretato l’articolo 15, comma 1, della Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche – la cd. Direttiva relativa alla privacy e alle comunicazioni elettroniche – successivamente modificata dalla Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio.

Il predetto articolo autorizza gli Stati membri per motivi di protezione della sicurezza nazionale ad adottare misure legislative volte a limitare la portata di taluni diritti e obblighi previsti dalla Direttiva.

Infine, nella sentenza “Ministerio Fiscal del 2 ottobre 2018, la Corte ha nuovamente interpretato l’articolo 15, comma 1, della Direttiva sopracitata in un caso riguardante l’accesso delle Autorità pubbliche ai dati concernenti l’identità civile degli utenti dei mezzi di comunicazione elettronica.

Grazie alla giurisprudenza risultante dalle summenzionate pronunce della Corte di Giustizia è, quindi, lecito affermare che la predetta Corte ha statuito che gli Stati membri non possono imporre ai fornitori di servizi di comunicazione elettronica di conservare né in modo generale né indiscriminato i dati afferenti il traffico degli utenti e i dati relativi all’ubicazione.

Questo orientamento giurisprudenziale ha pertanto determinato una notevole preoccupazione in alcuni Stati membri in quanto si sono sentiti privati di uno strumento necessario per salvaguardare la sicurezza nazionale e per combattere le gravi forme di criminalità.

Conservazione dei dati e sicurezza nazionale: provvedimenti sanzionatori

È proprio in questo contesto che sono stati avviati procedimenti dinanzi:

  1. all’Investigatory Powers Tribunal nel Regno Unito;
  2. al Conseil d’État in Francia;
  3. alla Cour Constitutionnelle in Belgio;
WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

sulla legittimità della legislazione adottata da alcuni Stati membri nei predetti settori, legislazione che stabilisce in particolare l’obbligo per i fornitori di servizi di comunicazione elettronica di trasmettere i dati relativi al traffico degli utenti e i dati relativi all’ubicazione a un’Autorità pubblica o di conservare tali dati in modo generale o indiscriminato.

Successivamente, la Corte di Giustizia con due sentenze pronunciate il 6 Ottobre 2020 ha dichiarato che la Direttiva relativa alla privacy e alle comunicazioni elettroniche è applicabile alla legislazione nazionale che impone ai fornitori di servizi di comunicazione elettronica di effettuare operazioni di trattamento di dati personali, quali la sua trasmissione alle Autorità pubbliche o la sua conservazione, ai fini della salvaguardia della sicurezza nazionale e della lotta contro la criminalità.

Inoltre, pur confermando l’orientamento giurisprudenziale derivante dalla sentenza “Tele2 Sverige and Watson and Others”, relativa alla natura sproporzionata della conservazione generale e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione, la Corte ha fornito chiarimenti per quanto riguarda la portata dei poteri conferiti agli Stati membri da tale Direttiva nel settore della conservazione di tali dati per le finalità sopra descritte.

In primo luogo, la Corte si è adoperata per risolvere tutti i dubbi sull’applicabilità della Direttiva relativa alla privacy e alle comunicazioni elettroniche sollevati nelle cause sopracitate.

A tale riguardo, si evidenzia come numerosi Stati membri, che hanno presentato osservazioni scritte alla Corte, hanno espresso pareri divergenti. Gli stessi hanno infatti sostenuto che la Direttiva non si applica alla normativa nazionale controversa, in quanto lo scopo di detta normativa è di salvaguardare la sicurezza nazionale, che è di esclusiva competenza degli Stati membri, come previsto dall’articolo 4, paragrafo 2, del Trattato sull’Unione Europea.

Tuttavia, la Corte ha ritenuto che la normativa nazionale imponga ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi al traffico e i dati relativi all’ubicazione o di trasmetterli alle Autorità nazionali preposte alla sicurezza e all’intelligence per lo scopo che rientra nell’ambito di applicazione di tale Direttiva.

Inoltre, la Corte ha ricordato che la Direttiva relativa alla privacy e alle comunicazioni elettroniche non consente di derogare all’obbligo di principio di garantire la riservatezza delle comunicazioni elettroniche e dei relativi dati e al divieto di memorizzazione di tali dati per diventare la regola.

Ciò significa che la Direttiva non autorizza gli Stati membri ad adottare, ai fini della sicurezza nazionale, misure legislative intese a limitare la portata dei diritti e degli obblighi previsti da tale Direttiva, in particolare l’obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico, a meno che le predette misure non siano conformi ai principi generali del diritto dell’Unione Europea, compreso il principio di proporzionalità, e ai diritti fondamentali garantiti dalla Carta dei Diritti Fondamentali dell’Unione Europea con particolare riferimento agli artt. 7, 8, 11 e 52, comma 1, della stessa.

Visto quanto sopra, la Corte ha ritenuto nella causa “Privacy International” che la Direttiva sulla privacy e sulle comunicazioni elettroniche osta alla normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di effettuare la trasmissione generale e indiscriminata di dati relativi al traffico e di dati concernenti l’ubicazione alle agenzie di sicurezza e intelligence ai fini della salvaguardia della sicurezza nazionale.

Ed inoltre, nelle cause riunite “La Quadrature du Net and others” e nell’ “Ordre des Barreaux francophones et Germanophone and others”, la Corte ha precisato che la Direttiva preclude le misure legislative che impongono ai fornitori di servizi di comunicazione elettronica di effettuare la conservazione generale e indiscriminata dei dati relativi al traffico e dei dati afferenti all’ubicazione come misura preventiva.

I predetti obblighi di trasmettere e conservare i dati sopracitati in modo generale e indiscriminato rappresentano infatti delle interferenze particolarmente gravi con i diritti fondamentali garantiti dalla Carta, qualora non vi sia alcun legame tra il comportamento delle persone i cui dati sono interessati e l’obiettivo perseguito dalla normativa in questione.

Analogamente, la Corte ha interpretato l’articolo 23, paragrafo 1, del Regolamento Generale sulla Protezione dei Dati (GDPR) alla luce della Carta, in quanto osta a che la legislazione nazionale imponga ai fornitori di accesso ai servizi pubblici di comunicazione online e ai fornitori di servizi di hosting di mantenere, in modo generale e indiscriminato, dati personali relativi a detti servizi.

Infatti, il predetto articolo del GDPR prevede che “il diritto dell’Unione Europea o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare (a) la sicurezza nazionale.

Ed ancora, ai sensi dell’art 22 del GDPR “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Il paragrafo 1 non si applica nel caso in cui la decisione (b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”.

Per contro, la Corte ha ritenuto che nelle situazioni in cui lo Stato membro interessato si trova ad affrontare una grave minaccia per la sicurezza nazionale che si rivela reale e presente o prevedibile, la Direttiva sulla privacy e le comunicazioni elettroniche, letta alla luce della Carta, non preclude il ricorso a un’ ordinanza che imponga ai fornitori di servizi di comunicazione elettronica di conservare, in generale e indiscriminatamente, i dati relativi al traffico e i dati relativi all’ubicazione.

In detto contesto, la Corte ha precisato che la decisione che impone tale ordinanza, per un periodo limitato nel tempo allo stretto necessario, deve essere oggetto di un controllo effettivo da parte di un giudice o di un organo amministrativo indipendente la cui decisione è vincolante per verificare l’esistenza di una di tali situazioni e il rispetto delle condizioni e delle garanzie previste.

In tali circostanze, questa Direttiva non preclude neppure l’analisi automatizzata dei dati relativi al traffico e all’ubicazione di tutti gli utenti dei mezzi di comunicazione elettronica.

La Corte ha altresì aggiunto che la Direttiva sulla privacy e sulle comunicazioni elettroniche, letta alla luce della Carta, non osta a misure legislative che consentano il ricorso alla conservazione mirata, limitata nel tempo a quanto strettamente necessario, dei dati relativi al traffico e all’ubicazione, che è limitato, sulla base di fattori oggettivi e non discriminatori, a seconda delle categorie di persone interessate o utilizzando un criterio geografico.

Allo stesso modo, tale Direttiva non preclude misure legislative che prevedano la conservazione generale e indiscriminata degli indirizzi IP assegnati alla fonte di una comunicazione, a condizione che il periodo di conservazione sia limitato a quanto strettamente necessario, o le misure che prevedono tale conservazione dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica; in quest’ultimo caso gli Stati membri non sono tenuti a limitare il periodo di conservazione.

Inoltre, tale Direttiva non preclude una misura legislativa che consenta di ricorrere alla rapida conservazione dei dati a disposizione dei fornitori di servizi, qualora si verifichino situazioni in cui divenga necessario conservare questi dati al di là dei termini di conservazione previsti dalla legge, al fine di far luce su reati gravi o attacchi alla sicurezza nazionale, se tali reati o attacchi sono già stati accertati o se la loro esistenza può ragionevolmente essere sospetta.

Ed ancora, la Corte ha stabilito che la Direttiva relativa alla privacy e alle comunicazioni elettroniche, letta alla luce della Carta, non osta alla normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di ricorrere alla raccolta in tempo reale dei dati relativi al traffico e all’ubicazione, qualora tale riscossione sia limitata alle persone per le quali sussista un valido motivo di sospettare di essere coinvolte in attività terroristiche e sia soggetta a un controllo preventivo da parte di un tribunale o di un organo amministrativo indipendente la cui decisione è vincolante, al fine di garantire che la predetta raccolta in tempo reale sia autorizzata solo entro i limiti strettamente necessari. In casi urgenti, il riesame deve essere effettuato tempestivamente.

Conclusioni

Dunque, con la sentenza del 6 ottobre 2020 la Corte di Giustizia ha stabilito che la sicurezza nazionale non legittima la conservazione dei dati di traffico degli utenti in modo indiscriminato da parte degli operatori dei servizi di comunicazione.

Tuttavia, viene ammessa una deroga al predetto principio ossia nell’ ipotesi in cui il diritto alla sicurezza sia gravemente minacciato, è possibile ricorrere a misure invasive.

Dunque, il Garante per la Protezione dei Dati Personali si è espresso sulla summenzionata sentenza spiegando che detta decisione, che si inserisce in un percorso iniziato già nel 2014 e continuato nel 2016 con le sentenze “Digital Rights Ireland and Others” e “Tele2 Sverige and Watson and Others”, conferma la necessità di “evitare che una dilatazione della nozione di sicurezza nazionale finisca per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati”.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4