Bilanciamento e dialogo fra le Corti nell’Unione europea: la Corte di Giustizia dichiara invalida la Data retention directive

Lo scorso 8 aprile 2014, la Grande Sezione della Corte di Giustizia dell’Unione Europea ha emesso la sentenza relativa alle cause riunite C-293/12 e C-594/12, presentate rispettivamente dall’Alta Corte d’Irlanda e dalla Corte Costituzionale austriaca in sede di rinvio pregiudiziale ex art. 267 TFUE per accertare la validità della direttiva in materia di conservazione dei dati (cd. Data retention directive, dir. 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006, che modifica la dir. 2002/58/CE). Obiettivo principale della direttiva era l’armonizzazione della disciplina normativa degli Stati membri in tema di conservazione dei dati generati o trattati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, al fine di consentire alle autorità di pubblica sicurezza l’accesso a tali dati nell’ambito di attività di indagine, accertamento e perseguimento di reati di particolare gravità, come ad esempio quelli connessi al terrorismo e alla criminalità organizzata. A tale scopo, la direttiva prevedeva che i citati operatori dovessero conservare per un periodo non inferiore a sei mesi e non superiore a due anni i dati relativi al traffico telefonico e internet, quelli relativi alla localizzazione geografica delle comunicazioni e quelli relativi all’identità di tutti gli utenti dei servizi di telecomunicazione.

Le corti irlandese ed austriaca, rispettivamente nel giugno e nel novembre del 2012, ritenendo di non potersi pronunciare sulla costituzionalità della normativa interna di attuazione della direttiva prima che sulla conformità della stessa al diritto dell’Unione si fosse espressa la Corte di Lussemburgo, si sono ad essa rivolte per la verifica della validità della direttiva alla luce degli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea. In attesa della pronuncia della Corte di Giustizia, peraltro, era anche la Corte Costituzionale slovena che, con ordinanza del settembre 2013, aveva sospeso il giudizio su di un ricorso per incostituzionalità della legge nazionale in materia di conservazione dei dati, ritenendo di dover necessariamente considerare l’opinione del giudice di Lussemburgo sulla direttiva.

Nel dichiararne infine l’invalidità, la Corte di Giustizia argomenta anzitutto che l’obbligo posto in capo agli operatori dei servizi di telecomunicazione (art. 3 e 6) di conservare i dati cui si è fatto cenno costituisce una grave interferenza con il diritto al rispetto per la vita privata e familiare garantito dall’articolo 7 della Carta dei diritti fondamentali, in quanto l’accesso a tale complesso di dati consente di ottenere informazioni estremamente precise sulla sfera personale degli individui coinvolti. La Corte ricorda inoltre che, come da consolidata giurisprudenza della Corte europea dei Diritti dell’Uomo (Leander c. Svezia, 26 marzo 1987, §48, Serie A, n. 116; Rotaru c. Romania, n. 28341/95, §46, CEDU 2000-V; Weber e Saravia c. Germania, n. 54934/00, §79, CEDU 2006-XI) il mero accesso ai dati da parte delle autorità nazionali competenti rappresenta un’ulteriore interferenza con i diritti garanti dall’articolo 7 della Carta. Similmente, a giudizio della Corte, la direttiva determina una grave ingerenza nel diritto alla protezione dei dati personali garantito dall’articolo 8 della Carta, nella misura in cui dispone il trattamento di dati direttamente inerenti gli individui. Inoltre, è da ritenersi probabile che la consapevolezza da parte degli utenti dell’esistenza di tale attività di conservazione determini conseguenze dirette sull’uso da parte di questi ultimi dei mezzi di comunicazione che ricadono nel disposto della direttiva; d’altro canto, poi, la conservazione e l’uso dei dati senza necessità di previo consenso da parte degli utenti possono secondo il giudice europeo ingenerare in questi ultimi la sensazione di essere costantemente sotto controllo.

Ferma restando l’importanza dell’interesse generale al contrasto delle attività terroristiche e, più in generale, alla tutela della sicurezza collettiva, riconosciuto dalla Corte come fine ultimo cui la direttiva è preposta in conformità all’art. 52 della Carta dei diritti, non è tuttavia possibile secondo il giudice di Lussemburgo ritenere compatibile con i principi di proporzionalità e necessità ivi richiamati il contenuto della direttiva. Sebbene a titolo generale la conservazione dei dati risponda senz’altro in maniera appropriata alla detta esigenza di tutela della sicurezza, argomenta la Corte, ciò non è da ritenersi sufficiente a giustificare l’entità dell’ingerenza con i diritti fondamentali così determinata, ingerenza che dà luogo a una sproporzionata limitazione di tali diritti. In particolare, secondo la Corte, a porsi in contrasto con i summenzionati princìpi è anzitutto il carattere generale ed indistinto dell’attività di conservazione dei dati che, ai sensi dell’art. 3 della direttiva, interessa tutti gli individui che facciano uso di strumenti di telecomunicazione, a prescindere dal fatto che essi siano o meno coinvolti in situazioni riconducibili a fattispecie criminose; in secondo luogo, si rileva, manca nel contenuto della direttiva la predisposizione di strumenti che assicurino l’uniformità dei presupposti procedurali e materiali per l’autorizzazione dell’accesso ai dati in oggetto, così come adeguate garanzie che tale accesso sia esclusivamente vincolato al perseguimento, all’accertamento e alla prevenzione di reati gravi (reati la cui definizione di dettaglio è peraltro demandata alla disciplina normativa nazionale); un ulteriore elemento di criticità è secondo il giudice di Lussemburgo la mancata previsione di criteri oggettivi in base ai quali il legislatore nazionale possa modulare la durata del periodo di conservazione dei dati. Da ultimo, insufficienti risultano gli strumenti di garanzia previsti dalla direttiva: inadeguate sono, a parere della Corte, le misure disposte contro il rischio di abuso, manomissione e uso improprio dei dati conservati, così come quelle volte ad assicurare la distruzione dei dati stessi al termine del periodo di conservazione; quanto alla disciplina dell’attività di conservazione in sé, la Corte ha motivo di ritenere che anch’essa risulti viziata da invalidità, in quanto la mancanza di previsioni che ne impongano lo svolgimento all’interno del territorio dell’Unione può giungere a impedire l’attività di controllo del rispetto delle esigenze di protezione e di sicurezza da parte di un’autorità indipendente, prescritto dall’art. 8 della Carta dei diritti.

Considerate pertanto le gravi interferenze con il principio di proporzionalità alla luce degli articoli 7, 8 e 52(1) della Carta, e ritenendo di poter soprassedere al richiesto controllo della conformità della direttiva con il disposto dell’art. 11, così come alla considerazione degli interrogativi sull’interpretazione dei Trattati avanzati dalla Corte Costituzionale austriaca, la Corte di Giustizia ha sanzionato l’eccedenza da parte del legislatore europeo dei limiti posti all’esercizio del suo potere discrezionale dal diritto dell’Unione, richiamando l’importanza di un attento contemperamento fra diritto collettivo alla sicurezza e diritto individuale alla riservatezza.

La pronuncia del giudice europeo consolida una fase di intenso ripensamento della disciplina dell’Unione in materia di conservazione dei dati personali, già avviatasi con la relazione di valutazione effettuata dalla Commissione europea nel 2011 sull’attuazione della direttiva. In quell’occasione, infatti, la Commissione aveva avanzato dubbi sulla compatibilità della direttiva con i diritti fondamentali e sollevato perplessità in merito al suo impatto, proponendone la revisione; i profili di criticità allora evidenziatisi, ribaditi nel dicembre del 2013 nell’ambito del procedimento dinanzi alla Corte di Giustizia dall’opinione dell’Avvocato Generale Cruz Villalón, sono stati ora confermati dalla Corte di Giustizia, e dovranno necessariamente essere posti al centro dell’attenzione dal legislatore europeo chiamato, nella definizione di un nuovo quadro normativo in questa materia, a un delicato e quantomai interessante esercizio di bilanciamento.

A fronte dell’intensa contrapposizione tra Unione Europea e Stati membri emersa attorno al caso della data retention directive, inoltre, la pronuncia del giudice di Lussemburgo si pone come un tassello fondamentale nel quadro del dialogo fra Corti nazionali e Corti europee: accanto alla reazione del legislatore europeo, anche quella delle Corti coinvolte in questo complesso caso sarà determinante non solo per il superamento delle criticità relative al contemperamento delle esigenze di protezione della sicurezza collettiva e del diritto alla riservatezza, ma anche, e soprattutto, nella costruzione di un più solido meccanismo di collaborazione tra giudici nazionali e giudice europeo.