(L’Huffington Post, 8 aprile 2014)
Con la sentenza odierna, la Corte di giustizia ha dichiarato l’illegittimità della direttiva “Frattini” (2006/24/Ce) per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.
All’attenzione della Corte erano, appunto, le disposizioni della direttiva volte a garantire la conservazione dei dati di traffico telefonico e telematico, i dati relativi all’ubicazione e quelli necessari all’identificazione dell’abbonato, per fini di accertamento e repressione dei reati.
Come rileva la Corte, si tratta di dati che, pur non attingendo al contenuto della conversazione, forniscono comunque indicazioni importanti sulle comunicazioni intrattenute da ciascuno, sui loro destinatari e sulla loro frequenza. L’accesso a tali dati, da parte dell’autorità pubblica, comporta dunque – ribadisce la Corte – una forte ingerenza nella vita privata dei cittadini, ingenerando peraltro in loro l’idea di essere esposti a una “costante sorveglianza” in quanto la conservazione e il successivo utilizzo dei dati stessi avviene a insaputa dell’interessato.
Se, in linea generale, l’accesso a tali dati può giustificarsi in ragione di un obiettivo d’interesse generale quale, appunto, il contrasto a gravi forme di criminalità e, in definitiva, le esigenze di pubblica sicurezza, la direttiva avrebbe, secondo la Corte, ecceduto i limiti imposti dal principio di (stretta) proporzionalità. Limiti, questi, da valutare secondo uno scrutinio particolarmente rigoroso in ragione della rilevanza del diritto fondamentale alla protezione dei dati personali, che in tal modo viene compresso.
La violazione del principio di proporzionalità deriverebbe, secondo la Corte, dall’avere la direttiva: 1) previsto le misure di conservazione dei dati come applicabili in via indifferenziata e generalizzata “all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venga operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi”; 2) omesso di prevedere alcun criterio oggettivo che limiti l’accesso a tali dati per sole esigenze di accertamento di reati “sufficientemente gravi da giustificare una simile ingerenza”, ben oltre – dunque – il generico rinvio ai reati gravi definiti da ciascuno Stato membro; 3) omesso di sancire i presupposti sostanziali e procedurali ai quali subordinare l’accesso, da parte delle competenti autorità nazionali, ai dati in esame, in particolare non richiedendo in ogni caso il previo controllo dell’autorità giudiziaria o di un’autorità amministrativa indipendente; 4) omesso di prevedere criteri necessari a differenziare la durata della conservazione dei dati, limitandosi a stabilirne i soli termini minimi (6 mesi) e massimi (24); 5) omesso di imporre che i dati così acquisiti siano conservati nel (solo) territorio della Ue.
Si tratta, dunque, di una sentenza che valorizza moltissimo la centralità del diritto alla protezione dei dati personali anche in un settore – quale quello del contrasto al crimine – in cui maggiori sono le limitazioni alle libertà, ammesse per esigenze di interesse generale. Il punto cardine della pronuncia è indubbiamente il principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza; proporzionalità che non va delineata in astratto e in maniera indifferenziata rispetto a qualsiasi reato ma che, al contrario, esige una differenziazione attentamente modulata in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato. Ciò, fermo restando il rispetto di alcune garanzie essenziali, quali, in particolare, la subordinazione di tali limitazioni all’autorizzazione di un’autorità terza quale l’autorità giudiziaria (nel nostro ordinamento preferibilmente l’organo giudicante) o comunque un’autorità amministrativa indipendente.
E mira, del resto, a non sottrarre tali dati alle garanzie suscettibili di essere accordate dalle autorità nazionali di protezione dati l’esigenza – ribadita dalla Corte con presumibile riferimento al Datagate – di mantenere i dati stessi all’interno del territorio della Ue. Il controllo così garantito dalle Autorità nazionali costituisce dunque – secondo la Corte – “un elemento essenziale del rispetto della protezione delle persone con riferimento al trattamento dei dati personali”.