L’ingloriosa fine della direttiva Data retention, la ritrovata vocazione costituzionale della Corte di giustizia e il destino dell’art. 132 del Codice della privacy*

Sommario: 1. Premessa 2. La decisione della Corte di giustizia e l’accertamento della violazione della Carta dei diritti fondamentali 3. Conclusioni. La ritrovata vocazione costituzionale della Corte di giustizia e il destino dell’art. 132 del Codice della privacy

1. Premessa

Con le decisioni riunite C-293/12 e C-594/12 dell’8 aprile 2014, la Corte di giustizia dell’Unione europea ha superato un suo precedente (e criticabile) orientamento giurisprudenziale e, facendo proprie le perplessità espresse da molte giurisdizioni costituzionali nazionali, ha finalmente annullato la famigerata direttiva 2006/24/CE che obbligava i gestori di servizi di telecomunicazione a conservare tutti i dati connessi alle comunicazioni elettroniche e su richiesta a fornirli alle autorità investigative e alla magistratura. Come è facile immaginare, si tratta di un provvedimento giudiziario di grandissima importanza che, pur non risolvendo tutte le questioni connesse alla tutela della riservatezza della vita privata e alla protezione dei dati personali in Europa, apre importantissimi spiragli per interventi di tutela in ambito nazionale e che però solleva alcune questioni applicative di non poco momento. Con l’intento di prospettare un quadro delle ricadute che la decisione può avere sugli ordinamenti interni degli stati membri (con particolare riferimento al sistema normativo italiano), di seguito si richiameranno brevemente i passaggi salienti della sentenza e, dopo aver prospettato alcune questioni applicative relative al destino della normativa interna di attuazione, si cercherà di proporre alcune soluzioni costituzionalmente praticabili per evitare che la discutibile pratica della conservazione dei dati personali continui a produrre i suoi effetti nefasti.

2. La decisione della Corte di giustizia e l’accertamento della violazione della Carta dei diritti fondamentali

Può essere interessante segnalare che la vicenda giudiziaria in questione trae origine da due distinte controversie giudiziarie nazionali che in ragione del loro comune oggetto sono state processualmente riunificate e hanno portato ad un’unica risposta della Corte europea.

In primo luogo, è stata la Corte suprema irlandese che, per risolvere un caso in cui una ONG contestava la direttiva e l’atto nazionale di recepimento, ha sollevato una serie di questioni pregiudiziali e ha chiesto al giudice del Lussemburgo di verificare se la disciplina europea abbia compiuto un bilanciamento adeguato tra la necessità di garantire la sicurezza e il corretto funzionamento del mercato interno e la necessità di garantire la libertà di circolazione (come tutelata dall’art. 21 del Trattato sul funzionamento dell’Unione europea), il rispetto della vita privata (come tutelato dall’art. 7 della Carta europea dei diritti fondamentali e dall’art. 8 della Convenzione europea), la protezione dei dati personali (come tutelata dall’art. 8 della Carta europea dei diritti fondamentali), la libertà di espressione (come tutelata dall’art. 11 della Carta europea dei diritti fondamentali e dall’art. 10 della Convenzione europea) e il diritto ad una buona amministrazione (come tutelato dall’art. 41 della Carta europea dei diritti fondamentali). La stessa Corte irlandese ha poi richiesto in che misura il principio di leale collaborazione imponga al giudice nazionale di valutare in autonomia la compatibilità tra i diritti e le libertà affermati dalla Carta europea dei diritti fondamentali (interpretate alla luce della Convenzione) e le norme nazionali di attuazione dei provvedimenti di origine sovranazionale.

In secondo luogo, è stata la Corte costituzionale austriaca che, per rispondere ai ricorsi con cui il governo della Carinzia e 11.130 privati cittadini hanno richiesto l’annullamento della legge interna di recepimento della direttiva, ha a sua volta chiesto se il sistema di raccolta dei dati sia compatibile con il diritto al rispetto della vita privata, con il diritto alla protezione dei dati personali e con il diritto alla libertà di espressione tutelati dalla Carta dei diritti fondamentali. Inoltre, la stessa istituzione giudiziaria austriaca ha domandato alcuni chiarimenti in merito al significato delle clausole orizzontali e, in particolare, ha chiesto alla Corte del Lussemburgo di verificare se il quadro normativo europeo rispetti il contenuto essenziale del diritto alla protezione dei dati personali, se le limitazioni imposte siano conformi al principio della protezione dei dati personali e se la conservazione dei dati sia compatibile con le tradizioni costituzionali comuni e con l’art. 8 della Convenzione europea.

Investita di queste questioni, la Corte di giustizia inizia il suo percorso argomentativo segnalando che, sebbene dall’art. 1 e dall’art. 5 della direttiva si evinca chiaramente il divieto di conservare il contenuto delle conversazioni avvenute attraverso i canali elettronici, i dati sottoposti all’obbligo di conservazione (mittente e destinatario della comunicazione, durata e tipo di comunicazione, nome e indirizzo dell’utilizzatore, numero chiamante e numero chiamato, indirizzo IP, localizzazione del chiamante e apparecchiature utilizzate) permettono di tracciare profili abbastanza definiti riguardo alle persone che utilizzano i mezzi di comunicazione. Pertanto, a giudizio della Corte, la verifica della legittimità di una simile operazione chiama direttamente in causa l’art. 7, l’art. 8 e l’art. 11 della Carta dei diritti fondamentali dell’Unione europea perché la pratica della conservazione dei dati può, con tutta evidenza, interferire con la libertà di espressione, con la riservatezza della vita privata e con la protezione dei dati personali.

Dopo aver individuato questi parametri di giudizio, i giudici scelgono di iniziare a confrontarsi con l’esistenza di una possibile violazione della privacy e della tutela dei dati personali e ritengono che, in effetti, la disponibilità dei dati di cui godono le compagnie di comunicazione e le autorità nazionali competenti e l’assenza di informazione di un trattamento massivo di dati integrano lesioni aggravate di questi due diritti. Accertata l’interferenza si tratta di valutarne la legittimità ai sensi delle regole generali dell’ordinamento europeo. A questo proposito, i giudici si richiamano alle prescrizioni contenute all’art. 52 della Carta e si premurano di segnalare che, per quanto gravi, le lesioni prodotte dalla direttiva non violano il contenuto essenziale dei diritti: per quanto riguarda il diritto alla riservatezza alla vita personale viene a questo fine fatto rilevare come è espressamente esclusa la possibilità di conservare il contenuto delle comunicazioni; per quanto riguarda, invece, il diritto alla tutela dei dati personali si segnala che il quadro normativo europeo (in particolare la direttiva 1995/46/CE e la direttiva 2002/58/CE) comunque garantisce l’applicazione di alcuni principi basilari di garanzia del trattamento. Proseguendo nella considerazione dei canoni dell’art. 52 della Carta, per giudicare sulla legittimità dell’interferenza, diventa dunque necessario operare una valutazione sul rispetto dei parametri imposti dal principio di proporzionalità: il perseguimento di un obiettivo di interesse generale e la necessità della limitazione quindi diventano condizioni imprescindibili affinché la direttiva 2006/24/CE possa essere considerata legittima ai sensi dell’ordine giuridico sovranazionale. Con riferimento alla prima delle due condizioni appena richiamate, i giudici giustamente osservano che le norme denunciate sono funzionali alla lotta contro il crimine e il terrorismo e, quindi, in ultima analisi sono funzionali al perseguimento di un obiettivo legittimo perché cercano di garantire quel diritto alla sicurezza che l’art. 6 della Carta riconosce ad ogni individuo. Con riferimento alla seconda delle due condizioni, la Corte invece rileva che, pur essendo adeguate per perseguire l’obiettivo che legittimamente intendono raggiungere, parecchie circostanze mostrano in maniera inequivoca che le norme denunciate eccedono i limiti di ciò che appare essere strettamente necessario per garantire la sicurezza: la vaghezza dei criteri utilizzati per definire in maniera oggettiva quali crimini perseguire attraverso la conservazione dei dati, l’insufficienza delle condizioni e delle procedure previste per evitare che attraverso la raccolta dei dati si possano perpetrare abusi (in particolare, il non aver previsto che l’accesso ai dati possa avvenire in seguito ad un apposito provvedimento dell’autorità giudiziaria), l’assenza di un catalogo di situazioni eccezionali escluse dall’obbligo di conservazione, la mancanza di norme che specificamente garantiscano modalità sicure di trattamento di una simile quantità di dati (in particolare, la distruzione irreversibile dei dati raccolti) e soprattutto la scelta di un monitoraggio che coinvolge indiscriminatamente tutti i soggetti, tutte i mezzi di comunicazione elettronica e tutti i tipi di dati determinano un quadro normativo che si colloca al di là di quanto strettamente indispensabile per conseguire l’obiettivo della lotta al crimine e al terrorismo.

Le considerazioni appena riferite sono ritenute sufficienti dalla Corte per giungere alla conclusione che le interferenze prodotte dalla direttiva 2006/24/CE non sono giustificate e che pertanto, anche senza bisogno di prendere in considerazione gli altri problemi sollevati dai rinvii pregiudiziali dei giudici nazionali (in particolare quelli relativi alle possibili lesioni della libertà di espressione), è necessario dichiarare l’invalidità dell’atto normativo in questione.

3. Conclusioni. La ritrovata vocazione costituzionale della Corte di giustizia e il destino dell’art. 132 del Codice della privacy 

Dalle brevi considerazioni svolte dovrebbe essere emerso come, dopo una serie di provvedimenti in cui il giudice europeo ha scelto di non intervenire per censurare norme problematiche sotto il profilo della salvaguardia dei diritti fondamentali (emblematico in tal senso il caso Melloni), la sentenza in commento testimoni la ritrovata vocazione costituzionale della Corte di giustizia. Scegliendo di far propri gli argomenti con cui i giudici tedeschi, cechi, bulgari e rumeni hanno a vario titolo bloccato i provvedimenti nazionali di attuazione, i giudici del Lussemburgo non hanno soltanto eliminato una delle più importanti cause di attrito con le giurisdizioni nazionali, ma hanno anche posto le basi per il superamento di una pratica pericolosamente lesiva di basilari libertà individuali e fissato dei limiti precisi per l’eventuale futura adozione di testi normativi in materia di sicurezza.

Peraltro, per quanto lodevole, non è affatto scontato che il provvedimento giudiziario sia da solo in grado di dare rimedio ai problemi determinati dall’adozione della direttiva annullata. Infatti, se per un verso non ci possono essere dubbi sul fatto che l’annullamento può valere a sanare la posizione di quei paesi che non hanno provveduto a recepire la direttiva, per un altro nei paesi che hanno dato attuazione all’atto normativo europeo restano (almeno) formalmente in vigore i provvedimenti nazionali di recepimento e si potrebbe decidere di mantenere comunque in piedi (anche se su base nazionale) il sistema di conservazione. La situazione potrebbe inoltre essere resa ancora più complicata dal fatto che, in ossequio alle regole sulla competenza previste nei trattati istitutivi, l’intervento normativo europeo avrebbe precluso la possibilità di un intervento legislativo nazionale diverso da quello di attuazione e che, in ragione dei tempi decisionali e dei tempi di adeguamento, risulterebbe comunque tardivo un (probabile) futuro intervento con cui le istituzioni sovranazionali si attivino per adeguare il quadro europeo ai dettami della sentenza. Così, se ci possono essere ben pochi dubbi che i giudici irlandesi e austriaci provvederanno presto a bloccare l’efficacia delle rispettive normative interne e a riordinare il quadro normativo e se ci possono essere pochi dubbi sul fatto che anche la Corte costituzionale slovena (che, in attesa della pronuncia del giudice europeo sulla validità della direttiva, aveva sospeso il procedimento di controllo di costituzionalità dell’atto interno) arriverà ad una celere definizione della questione, in tutti gli altri paesi membri ci si troverà di fronte ad una grave situazione di incertezza giuridica.

Per far fronte agli inconvenienti appena esposti e per evitare che malgrado l’annullamento si possa proseguire nella pratica della conservazione, si potrebbe essere di primo acchito indotti a far ricorso all’art. 51 della Carta che esplicitamente contempla l’ipotesi di un contrasto tra la norma interna di attuazione e i diritti sanciti a livello sovranazionale. Si potrebbe cioè ragionare sostenendo che, ai sensi dell’art. 51, il rilevato contrasto tra pratica della conservazione dei datie diritti tutelati dall’ordine giuridico europeo si rifletta anche sulle norme nazionali di attuazione e si potrebbe essere indotti a sostenere l’opportunità di una non applicazione del diritto interno contrastante con la Carta. Il ricorso ad una simile soluzione sembrerebbe addirittura incoraggiato dalla giurisprudenza (si vedano le decisioni Åkerberg, Siragusa e Pelckmans) con cui la Corte di giustizia ha interpretato estensivamente la clausola in questione fino ad escludere la possibilità che la norma si riferisca esclusivamente agli atti interni formalmente vincolati all’ordine giuridico europeo e fino a far coincidere il concetto di attuazione con l’adozione di un qualunque provvedimento adottato in ambiti materiali di competenza dell’Unione. In virtù di una ricostruzione del genere si potrebbe addirittura essere indotti a pensare di sanzionare con la disapplicazione anche l’art. 132 del Decreto legislativo 2003/196 (cd. Codice della privacy) che, pur non essendo in senso stretto vincolato al diritto europeo (in quanto approvato prima dell’adozione della direttiva), rientrerebbe comunque in un ambito materiale di competenza dell’Unione e (secondo la formula usata dalla Corte di giustizia) presenterebbe un “collegamento di certa consistenza” con l’ordinamento europeo.

Malgrado le apparenze, però, simili conclusioni paiono essere ostacolate dalla considerazione per cui è problematico sanzionare con la non applicazione il contrasto tra la Carta e norme interne esplicitamente votate a dare attuazione ad una norma europea. A ben vedere, infatti, o la disciplina europea è self executing e allora, non essendoci bisogno di attuazione, la norma interna contrastante con i diritti tutelati dalla Carta non può per definizione essere considerata attuativa e non può quindi ricadere all’interno della fattispecie prevista dall’art. 51. Oppure, come nel caso in questione, la disciplina europea ha autenticamente bisogno di attuazione e allora, non essendo essa, per definizione, self executing, non si può dar luogo alla disapplicazione e quindi gli unici rimedi che residuano per sanzionare il contrasto con la Carta dei diritti fondamentali sono quelli predisposti dal diritto nazionale. A voler ragionare altrimenti, il giudice ordinario si troverebbe a dare applicazione diretta ad una disposizione troppo vaga con il rischio di un intervento creativo.

Con specifico riferimento all’ordinamento italiano (e di tutti i sistemi europei che non hanno un controllo diffuso di costituzionalità) ciò significherebbe che il giudice dovrebbe investire la Corte costituzionale per chiederle di dichiarare l’incostituzionalità dell’art. 132 del Codice della privacy per contrasto con l’art. 117 della Costituzione come integrato dall’art. 7 e dall’art. 8 della Carta europea. Inoltre, una volta rimossa la copertura fornita dall’atto sovranazionale, la Consulta non dovrebbe più incontrare intralci per far valere le garanzie offerte dalla Costituzione italiana e potrebbe riallineare il sistema italiano al quadro generale europeo facendo rilevare che la disciplina italiana (che presenta tratti ancor più discutibili dell’omologa disciplina europea) è contraria alla Costituzione perché non rispetta la riserva di giurisdizione prevista dall’art. 15, perché è irragionevolmente sproporzionata rispetto al fine perseguito o perché non specifica le ipotesi per cui è ammissibile una restrizione tanto grave del diritto alla riservatezza.

Sebbene una simile soluzione sia certamente conforme alle logiche che secondo la giurisprudenza costituzionale italiana presidiano il tema della relazione tra gli ordinamenti, essa ha però il limite che i tempi lunghi della procedura di annullamento manterrebbero in essere una problematica situazione di incertezza giuridica. Sarebbe quindi preferibile ragionare in maniera alternativa e far valere le peculiarità della disciplina annullata. A questo proposito può essere utile ricordare che la direttiva sulla conservazione dei dati è stata espressamente concepita come una deroga alle norme che in ambito europeo regolano il trattamento dei dati personali e la tutela della privacy e che in generale prevedono per gli operatori economici l’espresso obbligo di distruggere i dati raccolti nell’esercizio delle loro attività. Se si adotta questa prospettiva, una volta che la pratica del data retention non può più godere della copertura offerta in via derogatoria dalle norme della direttiva 2006/24/CE, occorre ridare piena applicazione alla disciplina generale e quindi bisognerebbe concludere che le norme interne (e l’art. 132 del Codice della privacy in particolare) che prevedono l’obbligo della conservazione sono da disapplicare perché in contrasto con le regole europee che disciplinano questo ambito. Una simile soluzione avrebbe innanzitutto il vantaggio della tempistica: essendo già stata acclarata dalla Corte di giustizia l’illegittimità della pratica della conservazione, il giudice ordinario potrebbe procedere all’immediata disapplicazione dell’art. 132 senza doversi preoccupare di rinviare la questione ad altra istanza giudiziaria. Per di più, essendo già stato definito il regime alternativo a quello disposto dalle norme interne, verrebbero meno i rischi di un intervento creativo delle istituzioni giudiziarie ordinarie, perché, in ultima analisi, si tratterebbe di dare applicazione alle regole generali sul trattamento dei dati.

Alla luce di quanto appena esposto sembra dunque possibile concludere che, seppur con un ritardo di anni, la ritrovata vocazione costituzionale della Corte di giustizia apre la strada che porta ad una tutela piena del diritto alla riservatezza e del diritto alla protezione dei dati personali. Adesso però è il momento che anche gli altri attori coinvolti in questa vicenda (istituzioni europee, giudici costituzionali, giudici ordinari, autorità amministrative coinvolte) si assumano fino in fondo le loro responsabilità e provvedano a cancellare definitivamente una pratica tanto pericolosa quanto inquietante.

* Desidero sinceramente ringraziare il Prof. Antonio Ruggeri per i preziosi suggerimenti e le puntuali indicazioni che mi ha dato ai fini della redazione di questa nota.