Divieto di trasmissione di dati personali e lotta alla criminalità: nuovi chiarimenti dalla CGUE

Nel confermare la sua prassi costante su questo delicato tema, la CGUE ribadisce che gli artt. 4 TFUE, 1 § .3 e 15 § .1 Direttiva 2002/58/CE c.d. direttiva relativa alla vita privata e alle comunicazioni elettroniche , letti in combinato disposto con gli artt. 7, 8, 11 e 52 § .1 Carta di Nizza, ostano ad una normativa nazionale che impone ad un gestore di reti di comunicazione elettronica l’obbligo di fornire alle agenzie di sicurezza e di intelligence di uno Stato membro dati di comunicazione in massa” che implicano la loro previa raccolta generalizzata e indifferenziata.

È prevista però una deroga a questo divieto in caso di minaccia grave, attuale e reale o prevedibile alla sicurezza nazionale, purchè tale raccolta sia limitata ad un tempo strettamente necessario per contrastarla e siano rispettate le garanzie previste dalla sentenza c.d. Tele2 Sverige, Watson ed altri EU C 2016 970 nel quotidiano del 22/12/16 queste procedure si devono svolgere sotto il controllo di un giudice o di un’autorità indipendente, col consenso informato del titolare dei dati e i dati devono essere distrutti una volta terminato il periodo di conservazione necessaria . È quanto stabilito dalla CGUE oggi in due pronunce EU C 2020 790 e 791, C-623/17 e 511/18, disponibile sul sito della CGUE che riassumono quanto sinora esplicato su questo delicato tema, confermando quanto già stabilito dalle EU C 2014 238, 317, 2017 336, 2018 780, 788 e 2020 559 che ha invalidato lo Scudo UE-Usa per la privacy nei quotidiani del 8/4 e 13/5/14, 5/5/17, 28/9, 2/10/18 e 17/7/20 . La CGUE ha così risolto diverse pregiudiziali sollevate da un Tribunale inglese, dal Consiglio di Stato francese e dalla Corte Costituzionale belga nell’ambito di liti sollevate da vari ricorrenti, tra cui ONG a tutela dei diritti fondamentali della privacy e del libero accesso alla rete ed il Consiglio dell’ordine degli avvocati francofoni e germanofoni del Belgio per contestare norme interne che consentivano all’intelligence di sorvegliare indiscriminatamente gli utenti di un servizio di comunicazione web, gestore di telefonia etc. . No ad ingerenze nella privacy degli utenti dei servizi di comunicazione. In primis la pronuncia fuga ogni dubbio sull’applicabilità della Direttiva 2002/58 rilevando che, ai sensi del combinato disposto degli artt. 15 § .1 e 3 Direttiva 2002/58, rientrano nell’ambito di applicazione di tale direttiva una misura legislativa che richiede ai fornitori di servizi di comunicazione elettronica di conservare i dati sul traffico e i dati relativi all'ubicazione , nonché la legislazione sull'accesso delle autorità nazionali ai dati detenuti da tali fornitori neretto, nda sono tutte operazioni di conservazione, elaborazione ed accesso ai dati che riguardano l’attività dei fornitori, piuttosto che dello Stato e sono soggette alle norme sul trattamento dei dati ex art. 2 D.95/46 tutela della privacy , onde evitare abusi ed arbitri connessi ad un accesso totale ed indiscriminato c.d. all access . Orbene, l’ art. 52 Carta di Nizza impone che ogni norma comunitaria e di conseguenza nazionale sia improntata al rispetto della Cedu in questo caso la raccolta generalizzata di tali dati costituirebbe un’ ingerenza grave in tali diritti e discriminerebbe gli utenti dei servizi delle comunicazioni poichè sarebbero automaticamente schedati dall’intelligence etc., sì da lasciar suppore una loro implicazione in reati od atti terroristici in violazione della presunzione d’innocenza art. 6 § .2 Cedu , ledendone la libertà di espressione art. 10 Cedu e la privacy intesa nell’ampia accezione vita sociale, lavorativa serenità familiare etc. ex art. 8 Cedu. Inoltre, tali norme sulla sicurezza interna se considerate legittime avrebbero anche la conseguenza di avere un effetto dissuasivo che colpirebbe in particolare le persone le cui comunicazioni sono soggette, secondo le norme nazionali, al segreto professionale nonché gli informatori le cui attività sono protette dalla Direttiva UE 2019/1937 c.d. Direttiva sul whistleblowing . Infine l’art 5 Cedu diritto alla libertà ed alla sicurezza , che mira a proteggere gli individui da arbitri che possano limitare questi diritti è chiaramente incompatibile con le disposizioni interne censurate Savotchko c. Repubblica di Moldova nel quotidiano del 28/3/17 Magyar Helsinki Bizottság c. Ungheria [GC] nel quotidiano del 10/11/16 ed El-Masri c. Macedonia del 2012 . Validità probatoria di tali dati. Lo Stato ha precisi doveri di cura e protezione si pensi ai casi di violenze domestiche ed abusi su minori, al divieto di torture e trattamenti degradanti/disumani ex art. 3 Cedu etc. essendo obbligato ad adottare tutte le misure, anche normative, idonee a proteggere la popolazione e quindi a tutelare la sicurezza interna senza che queste, però, violino i cardini del diritto dell’UE come sinora esplicato in questi casi il giudice che deve decidere controversie su questa trasmissione indifferenziata di dati è tenuto a disapplicarle . Inoltre, nell’ambito di processi penali, il giudice deve scartare le prove ottenute da questa trasmissione e conservazione generalizzata ed indiscriminata di dati di traffico e di localizzazione di un soggetto qualora il sospettato di un’attività criminale non sia in grado di prendere efficacemente posizione sulle stesse. Ulteriori precisazioni sui principi dettati dal caso Tele2 Sverige . La CGUE, ribadendo i principi stabiliti e sopra richiamati dal caso Tele2 Sverige, dà una nuova lettura della deroga prevista dall’art. 15 Direttiva 2002/58 che integra le precedenti tesi fornendo nuovi chiarimenti sul punto. Infatti afferma che, d’altra parte, l’art. 15 consente ad uno Stato membro, in presenza di una minaccia grave per la sicurezza nazionale , che si rilevi attuale, reale o prevedibile, per un periodo di tempo limitato di ingiungere ai fornitori di servizi di comunicazione elettronica di effettuare la conservazione generalizzata e indifferenziata dei dati di traffico e di localizzazione, purchè tale ingiunzione sia soggetta a un controllo effettivo , da parte di un tribunale o di un organo amministrativo indipendente, la cui decisione ha effetto vincolante ed è volta a verificare l'esistenza di una di queste situazioni di emergenza. Questa facoltà di raccolta e conservazione automatica e rapida dei dati di traffico e di localizzazione dell’interessato IP, ubicazione, identità etc. deve anche offrire precise garanzie consenso informato dell’interessato etc. e vigere per un periodo limitato a quanto strettamente necessario, ma rinnovabile se tale minaccia persiste. Infine la CGUE precisa che l'uso della raccolta in tempo reale dei dati sul traffico e dei dati sull'ubicazione è limitato alle persone rispetto alle quali vi è un valido motivo per sospettare che siano coinvolte in un modo o nell'altro in attività terroristiche ed è soggetto a verifica preventiva, svolta sia da un tribunale che da un ente amministrativo indipendente, la cui decisione ha effetto vincolante, al fine di garantire che tale raccolta in tempo reale è consentito solo nella misura di quanto strettamente necessario.In caso di emergenza debitamente giustificata, il controllo deve essere eseguito il più rapidamente possibile neretto, nda .