La posizione dell’avvocato generale Cruz Villalón sulla direttiva Frattini

0

Il 12 dicembre scorso l’avvocato generale presso la Corte europea di Giustizia, Pedro Cruz Villalón, ha depositato le sue conclusioni nei procedimenti pregiudiziali C-293/12 (Digital Rights Ireland) e C-594/12 (Seitlinger + altri), sollevati in relazione alla direttiva sulla data retention (2006/24/CE) .

Le agenzie di stampa hanno immediatamente veicolato la notizia di una presa di posizione dell’avvocato generale contro la direttiva Frattini per incompatibilità con la Carta dei diritti fondamentali dell’Unione europea, in particolare il diritto alla privacy.

In realtà, un’attenta lettura del parere di Cruz Villalón conduce a conclusioni parzialmente diverse.

L’avvocato generale, infatti, parla sì di incompatibilità con la Carta, ma solo con riferimento all’art.52, il quale prevede che ogni restrizione all’esercizio dei diritti fondamentali debba essere prevista per  legge, sostenendo che la direttiva 2006/24/CE non possa essere considerata una legge valida ai sensi dell’art.52 in quanto non stabilisce i principi che dovrebbero regolare le garanzie minime per l’accesso e la conservazione dei metadati di traffico e ubicazione.

Dunque, nessuna violazione della privacy (se non indiretta, come vedremo oltre) e nessuna richiesta di annullamento della direttiva, ma solo un invito al legislatore europeo ad adottare i provvedimenti necessari per porre rimedio ai profili di invalidità rilevati.

 

Prima di passare all’esame dell’opinion, ripercorriamo brevemente la storia e l’esegesi della direttiva.

Come noto, fino ai primi anni ’90, le agenzie di intelligence e le law enforcement avevano libero accesso ai dati dalle compagnie di telecomunicazione, le quali, da parte loro, da un lato non avevano alcun obbligo di tutelare i dati personali dei loro utenti, dall’altro operavano in regime di monopolio legale, circostanza che le legava strettamente ai Poteri dello Stato.

Nell’ultimo decennio del secolo scorso accadevano però, quasi contestualmente, tre eventi che cambiavano radicalmente lo scenario:

1. veniva emanata la direttiva 90/387/CEE (Open Network Provision) che liberalizzava il mercato interno europeo delle telecomunicazioni, rompendo i monopoli di Stato;

2. veniva emanata la direttiva 95/46/CE (direttiva privacy) che introduceva una serie di obblighi a carico delle telco a tutela dei dati personali di utenti ed abbonati, determinando la fine della disponibilità indiscriminata delle informazioni personali in loro possesso;

3. Internet si sviluppava in modo sorprendente grazie ai protocolli del World Wide Web, la qual cosa, unitamente alla digitalizzazione delle comunicazioni, implementava un’ampia ed agevole memorizzazione dei dati di traffico telefonico e telematico.

Purtroppo i fatti dell’11 settembre 2001 rompevano questa tendenza “privacy oriented” a favore di altri valori ed altri diritti, tra cui, in primis, la sicurezza pubblica e la lotta al terrorismo internazionale.

La prima, vera contromisura dopo l’attacco delle torri gemelle è infatti rappresentata, a livello europeo, dall’approvazione della direttiva 2002/58/CE (direttiva e-privacy), la quale da un lato prevedeva la regola (art.6) secondo cui i dati di traffico debbono essere cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione, dall’altro introduceva l’eccezione (art.15) in base alla quale gli Stati Membri possono adottare disposizioni legislative volte a limitare i diritti di cui all’art.6 per ragioni di salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica e per le ipotesi di prevenzione, accertamento e repressione dei reati.

Iniziava e veniva in tal modo legittimata la data retention, cioè l’obbligo di raccolta e conservazione, in nome e per conto dello Stato, dei metadati di traffico e ubicazione imposto per legge alle compagnie di telecomunicazione.

Veniva in tal modo ripristinata ex lege quella collaborazione tra telco e autorità pubbliche, fonte preziosissima di materiale investigativo, che era andata sempre più scemando.

 

Nel 2006 l’ulteriore pressione politica derivante dagli attentati di Londra e Madrid veniva convogliata nella direttiva Frattini che disciplinava nel dettaglio la ritenzione dei metadati di traffico telefonico e telematico e di ubicazione a fini di prevenzione e repressione di gravi reati.

Che si sia trattato di una direttiva politica è evidente: l’Unione, ben prima del Trattato di Lisbona, legiferava senza indugi in una materia, il diritto penale, pacificamente sottratta al secondo pilastro.

Non a caso la direttiva Frattini veniva impugnata e sottoposta al giudizio della Corte Europea di Giustizia, la quale, tuttavia (cfr. causa Irlanda vs. Parlamento e Consiglio d’Europa), la riteneva legittima in quanto tesa all’armonizzazione delle legislazioni nazionali e pertanto correttamente adottata sotto l’egida dell’art.95 del Trattato.

La decisione della Corte veniva molto criticata atteso che il fine precipuo della direttiva (come espressamente enunciato all’art.1) era, e rimane tutt’oggi, quello di assicurare alle autorità pubbliche la disponibilità di dati che, di regola, dovrebbero essere cancellati immediatamente dopo il termine di una comunicazione elettronica, imponendo alle telco un obbligo di ritenzione ex lege che si pone in evidente contrasto con i diritti fondamentali di privacy e data protection.

Non un caso, dunque, anche il fatto che le Corte Costituzionali tedesca, ceca e rumena abbiano dichiarato l’incostituzionalità delle rispettive leggi nazionali di recepimento della direttiva per violazione dei diritti fondamentali.

 

Questo il quadro storico-normativo in cui si è trovato ad operare Cruz Villalón. Una situazione oggettivamente difficile che lo stringeva in una morsa tra rispetto dell’autorevole precedente giurisprudenziale della Corte di Giustizia ed esigenza di garantire la protezione dei diritti fondamentali potenzialmente lesi dalla data retention.

Come ne è uscito l’abilissimo avvocato generale?

Sostenendo che la direttiva Frattini ha duplice natura/finalità: da un lato l’armonizzazione delle legislazioni nazionali per il miglior funzionamento del mercato interno, dall’altro l’imposizione di un obbligo di ritenzione dei metadati di comunicazione elettronica allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati.

Una direttiva tradizionale sotto il primo profilo, una direttiva inedita in relazione al secondo aspetto, rispetto al quale si pongono evidenti problemi di interferenza con i diritti fondamentali di privacy e data protection. Invero, a parere dell’avvocato generale, i problemi di compatibilità con l’art.8 della Carta vanno esclusi in quanto la direttiva 2006/24/CE, per definizione, implica una serie di trattamenti di dati personali ma si prefigge espressamente la loro tutela mediante l’esplicita previsione (considerando 15 e 20) del rispetto non solo delle direttive privacy ed e-privacy ma anche della Convenzione del Consiglio d’Europa del 1981.

Esiste, invece, secondo Cruz Villalón, un profilo di potenziale lesione del diritto alla privacy (art.7 della Carta) dei cittadini. Infatti, sebbene la direttiva non riguardi il contenuto delle comunicazioni, la raccolta e la conservazione di enormi quantità di metadati generati dalle quotidiane comunicazioni elettroniche dei cittadini europei rappresenta una “serious interference with the privacy of those individuals, even if they only establish the conditions allowing retrospective scrutiny of thier personale and professional activities“, ponendo le basi per una sorveglianza che, sebbene si realizzi solo quando i dati vengano effettivamente utilizzati, ciò non di meno costituisce una minaccia permanente, durante il periodo di retention, al diritto alla vita privata. E, aggiunge ancora l’avvocato generale, i metadati in questione non possono essere considerati dati personali nel senso classico del termine perché sono, in realtà, dei dati personali “speciali” in qauanto potenzialmente idonei a creare una fedele ed esaustiva mappa della vita condotta da una persona.

Sotto tale profilo esiste dunque una evidente sproporzione tra l’intensità dell’interferenza che l’intervento legislativo comunitario esercita sul diritto al rispetto della vita privata e l’obiettivo principale della direttiva che è quello di garantire il funzionamento del mercato interno.

La grave lesione al diritto alla privacy che deriva dall’obbligo di retention che gli Stati membri sono tenuti ad imporre a livello di legislazione nazionale per adeguarsi alla direttiva, sebbene possa ritenersi proporzionata per la seconda funzione della direttiva (prevenzione e repressione di gravi reati), non è invece proporzionata con la necessità di garantire il funzionamento del mercato interno.

 

In sintesi, scrive Cruz Villalón, la direttiva 2006/24/CE non supera l’esame di proporzionalità per le stesse ragioni che ne giustificavano il fondamento normativo: i motivi a sostegno della sua legittimità dal punto di vista normativo (funzionamento del mercato interno), paradossalmente, sono gli stessi motivi che ne determinano la sua carenza sotto il profilo della proporzionalità.

 

In tal senso la direttiva Frattini è pertanto incompatibile con l’art.52(1) della Carta.

Infatti, se è vero che le limitazioni dei diritti fondamentali sono ammissibili solo a condizione di essere previste dalla legge (art.52) ne consegue che la direttiva 2006/24/CE non può essere considerata una valida legge (ai sensi, per l’appunto, dell’art.52) in quanto il legislatore europeo ha imposto un obbligo di data retention, potenzialmente lesivo dell’art.7 della Carta, senza prevedere adeguate garanzie per regolare l’accesso, la conservazione e l’impiego dei dati ritenuti.

Tali garanzie dovrebbero, quanto meno, riguardare: 1) la descrizione delle attività criminali rientranti nell’espressione “gravi reati”; 2) la limitazione dell’accesso ai dati oggetto di ritenzione solo alle autorità giudiziarie o alle autorità indipendenti; 3) la previsione dell’obbligo di cancellazione dei dati una volta utilizzati; 4) la previsione dell’obbligo di informazione delle persone interessate dall’accesso.

 

A fronte di tali argomentazioni l’avvocato generale, come detto sopra, non conclude chiedendo l’annullamento della direttiva, bensì la sospensione degli effetti della constatazione dell’invalidità della direttiva 2006/24/CE per dar tempo al legislatore dell’Unione di adottare (in un lasso di tempo ragionevole) le misure necessarie per porre rimedio all’invalidità accertata.

Share this article!

Share.

About Author

Leave A Reply