Dati relativi alle comunicazioni elettroniche: la CGUE esclude la possibilità di trattamenti generalizzati e indiscriminati da parte dello Stato

Lo scorso 6 ottobre, la Corte di Giustizia dell’Unione europea (“CGUE” o “Corte”) si è pronunciata nella causa Privacy International (C-623/17), nonché nelle cause riunite La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18), Ordre des barreaux francophones et germanophone and Others (C-520/18) (congiuntamente, le “Pronunce”), in relazione alla liceità delle normative di taluni Stati membri, che prevedono l’obbligo in capo ai fornitori di servizi di comunicazione elettronica (“Fornitori” o “Provider”) di trasmettere i dati relativi al traffico[1] e all’ubicazione[2] delle persone fisiche che utilizzano un servizio di comunicazione elettronica[3] accessibile al pubblico (“Utenti”) a un’autorità pubblica e/o di conservare tali dati in modo generale o indiscriminato.

Le Pronunce si inseriscono all’interno di un filone giurisprudenziale della Corte ormai costante, che negli ultimi anni si è espressa più volte sul tema della conservazione e dell’accesso ai dati personali nel settore delle comunicazioni elettroniche, per tali intendendosi ogni informazione scambiata o trasmessa tra un numero finito di soggetti per mezzo di segnali elettronici[4] (e.g., su reti di telecomunicazioni o di teleradiodiffusione).

In particolare, già nella sentenza Tele2 Sverige and Watson and Others del 21 dicembre 2016, la CGUE aveva stabilito che gli Stati membri UE non possono imporre ai Provider di conservare i dati relativi al traffico e all’ubicazione in modo generale e indiscriminato, suscitando così numerose preoccupazioni da parte di alcuni Stati membri circa la possibilità di utilizzare tali dati per la salvaguardia della sicurezza nazionale e la lotta contro la criminalità e il terrorismo.

La questione è stata da ultimo portata all’attenzione della Corte che, chiamata a pronunciarsi nelle cause in commento, ha dapprima risolto la questione relativa all’applicabilità della Direttiva 2002/58/CE “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)” (“Direttiva”) ad attività inerenti alla sicurezza nazionale e alla lotta contro il terrorismo, per poi delineare i presupposti e i limiti entro i quali gli Stati membri possono imporre ai Fornitori obblighi di trasmettere a un’autorità pubblica e/o di conservare i dati relativi alle comunicazioni elettroniche.

Per esigenze di chiarezza espositiva, l’analisi in questa sede riguarderà, nello specifico, la ricostruzione normativa e giurisprudenziale operata dalla CGUE nella sentenza relativa alla causa Privacy International.

L’ambito applicativo della Direttiva

Ai sensi dell’art. 1, par. 1, Direttiva, la stessa mira, tra l’altro, ad armonizzare le disposizioni nazionali necessarie a garantire il diritto dei cittadini alla vita privata, con specifico riguardo al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili su reti pubbliche di comunicazione (art. 3, Direttiva).

Tuttavia, il paragrafo 3 del medesimo articolo esclude dall’ambito di applicazione della Direttiva le “attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o […le] attività dello Stato in settori che rientrano nel diritto penale”.

In tale contesto, l’art. 15, n. 1, Direttiva stabilisce che gli Stati membri possono adottare misure legislative volte a limitare la portata dei diritti e degli obblighi previsti dalla stessa qualora tali restrizioni costituiscano “una misura necessaria, opportuna e proporzionata […] per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”.

Tale deroga, a parere della Corte, implica necessariamente che le suddette misure nazionali rientrino nell’ambito di applicazione della Direttiva e ciò in quanto le stesse:

  • sono legittime solo se soddisfano le condizioni previste dalla Direttiva;
  • ai fini menzionati dall’art. 15, disciplinano le attività dei Provider che effettuato il trattamento dei dati relativi alle comunicazioni elettroniche; e pertanto
  • non possono essere considerate attività esclusive e caratteristiche dello Stato, tali da esulare dall’ambito di applicazione della Direttiva (art. 1., par. 1, Direttiva).

Alla luce di tali considerazioni, la Corte ha quindi statuito che l’art. 15, n. 1, in combinato disposto con l’art. 3, Direttiva, deve essere interpretato nel senso che l’ambito di applicazione della Direttiva si estende sia alle misure che impongono ai Fornitori di conservare i dati relativi al traffico e all’ubicazione sia a quelle richiedono agli stessi di concedere alle autorità nazionali competenti l’accesso a tali dati.

Per contro, quando gli Stati membri attuano direttamente misure che derogano alla regola della riservatezza delle comunicazioni elettroniche – senza imporre obblighi di trattamento ai Provider – la tutela dei dati degli interessati non è coperta dalla Direttiva, ma solo dal diritto nazionale, fatta salva l’applicazione della Direttiva (UE) 2016/680 “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

Tale interpretazione, prosegue la CGUE, non è inficiata dall’art. 4, par. 2, del Trattato sull’Unione europea (“TUE”) –  cui taluni Stati membri avevano fatto riferimento nelle osservazioni presentate alla Corte nell’ambito della causa – ai sensi del quale l’Unione europea “rispetta le funzioni essenziali dello Stato, in particolare le funzioni di salvaguardia dell’integrità territoriale, di mantenimento dell’ordine pubblico e di tutela della sicurezza nazionale”, posto che tale previsione non può dispensare gli Stati membri dall’obbligo di rispettare il diritto unionale.

Sul punto, la Corte, contrariamente a quanto prospettato in causa, ha escluso l’applicabilità al caso di specie della precedente giurisprudenza formatasi in merito alla Direttiva 95/46/CE “relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, in base alla quale esulano dall’ambito di applicazione della suddetta direttiva le operazioni di trattamento riguardanti la pubblica sicurezza, la difesa e la sicurezza dello Stato.

In particolare, nella pronuncia del 30 maggio 2006, Parliament v Council and Commission (C-317/04 e C-318/04), la CGUE aveva escluso dall’ambito di applicazione della Direttiva 95/46/CE il trasferimento di dati personali da parte delle compagnie aeree alle autorità pubbliche di un Paese terzo, al fine di prevenire e combattere il terrorismo e altri reati gravi, in quanto tale trasferimento rientrava in un quadro stabilito dallo Stato in materia di pubblica sicurezza.

Tuttavia, aderendo alle conclusioni dell’Avvocato generale M. Campos Sànchez-Bardona nelle cause riunite La Quadrature du Net and Others, la Corte ha precisato che:

  • l’art. 3 della Direttiva 95/46/CE escludeva dal proprio ambito di applicazione tutti trattamenti di dati personali relativi alla difesa e alla sicurezza dello Stato, senza operare alcuna distinzione a seconda di chi effettua tali trattamenti;
  • la Direttiva 95/46/CE oggetto della causa che ha dato luogo alla sentenza del 30 maggio 2006, è stata abrogata e sostituita dal Regolamento (UE) 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (“GDPR” o “Regolamento”), rispetto al quale risulta coerente la suesposta interpretazione degli artt. 1, 3 e 15, Direttiva.

Nello specifico, la Direttiva distingue a seconda che le operazioni di trattamento siano effettuate dai Fornitori (anche in adempimento di obblighi imposti dallo Stato) o direttamente dalle autorità pubbliche.

Similarmente, il GDPR, da un lato, esclude dal proprio ambito di applicazione i trattamenti aventi finalità “di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse” effettuati dalle autorità competenti (art. 2, par. 2, lett. d), GDPR) e, dall’altro, sancisce che rientrano in ogni caso sotto l’ombrello protettivo del Regolamento i trattamenti posti in essere per le medesime finalità da parte di titolari e responsabili del trattamento diversi dalle autorità pubbliche (art. 23, n. 1, lett. d) e h), GDPR).

In conclusione, la Corte ha statuito che la Direttiva trova applicazione con riferimento alla legislazione nazionale che richiede ai Provider di compiere operazioni di trattamento, anche se in adempimento di misure volte a tutelare la sicurezza nazionale e/o ad agevolare la lotta alla criminalità e al terrorismo.

I limiti imposti agli Stati membri

Gli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (“Carta di Nizza”) sanciscono, rispettivamente, il diritto al rispetto della vita privata e familiare e il diritto alla protezione dei dati di carattere personale.

Tali diritti trovano concretizzazione nella Direttiva, che mira a proteggere – inter alia – i dati personali e la vita privata degli Utenti dai rischi connessi allo sviluppo delle nuove tecnologie e, in particolare, alla crescente capacità di trattare dati con mezzi automatizzati (considerando 6 e 7, Direttiva).

A tale fine, “gli Stati membri assicurano […] la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico”, anche vietando “l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi” (art. 5, par. 1, Direttiva).

Tuttavia, come anticipato, l’art. 15, par. 1., n. 1, Direttiva consente agli Stati membri di adottare, al ricorrere dei presupposti suesposti, disposizioni legislative volte a limitare i diritti e gli obblighi ivi stabiliti, anche prevendo misure volte alla conservazione dei dati per un periodo di tempo limitato.

Ciò premesso, sottolinea la Corte, a tale eccezione si contrappongono necessariamente le seguenti limitazioni:

  • l’opzione di derogare ai diritti e agli obblighi stabiliti dalla Direttiva non può diventare “la regola” nel modus operandi degli Stati membri;
  • l’interpretazione dell’art. 15, n. 1, Direttiva deve tener conto sia dei diritti sanciti dagli artt. 7 e 8 della Carta di Nizza sia del diritto alla libertà di espressione di cui al successivo art. 11, posto che tale garanzia costituisce uno dei fondamenti essenziali di una società pluralista e democratica;
  • le misure legislative volte a limitare la portata dei summenzionati diritti e obblighi devono in ogni caso essere appropriate e “strettamente proporzionate allo scopo perseguito” (considerando 11, Direttiva).

Pertanto, riprendendo la sua precedente giurisprudenza (e.g., casi Tele2 Sverige e Digital Rights Ireland and Other), la CGUE ha ribadito che il legislatore nazionale deve:

  • stabilire in modo chiaro e preciso l’ambito di applicazione delle norme;
  • assicurare garanzie volte a proteggere i dati personali degli interessati dal rischio di abusi;
  • indicare in quali circostanze e a quali condizioni può essere adottata una misura che prevede il trattamento dei dati in commento, garantendo in tal modo che l’interferenza sia limitata allo stretto necessario;
  • prevedere una salvaguardia rafforzata sia per le particolari categorie di dati personali sia per i trattamenti di dati personali effettuati con mezzi automatizzati;
  • stabilire le condizioni sostanziali e procedurali che disciplinano l’accesso delle autorità pubbliche ai dati personali.

Alla luce di tali considerazioni, conclude la Corte, la Direttiva, in combinato con i summenzionati articoli del TUE e della Carta di Nizza, osta a una normativa nazionale – come quella oggetto della causa principale – che consente la trasmissione generale e indiscriminata di dati relativi al traffico e all’ubicazione alle autorità pubbliche (e.g., agenzie di sicurezza e di intelligence), soprattutto laddove si consideri che tale trasmissione potrebbe avere ad oggetto anche i dati di Utenti “estranei” all’obiettivo perseguito dalle norme.

Conclusioni

Nelle sentenze citate, la Corte ha chiarito che le esigenze di sicurezza nazionale non possono costituire occasione per trasmettere, conservare e, in generale, trattare in maniera assoluta e indiscriminata i dati raccolti dai Provider.

Ciò, a parere della CGUE, è il risultato di un necessario bilanciamento tra gli interessi primari dello Stato e i diritti sanciti dal diritto europeo a tutela dei cittadini, che devono essere in ogni caso oggetto di contemperamento e attenta valutazione da parte del legislatore nazionale.

Tale impostazione risulta inoltre coerente con la linea da tempo sostenuta dall’Autorità Garante per la protezione dei dati personali, e ribadita nel comunicato stampa dello scorso 6 ottobre, in cui l’Autorità ha evidenziato che, con le sentenze in commento, la CGUE ha portato “a coerente conclusione il percorso iniziato con le sentenze Digital Rights e Tele2 Sverige”.

In particolare, il quadro già da ultimo delineato nella sentenza Schrems II emessa dalla CGUE il 16 luglio 2020, evita che l’esigenza di tutelare la sicurezza nazionale possa essere occasione per ledere indiscriminatamente un diritto fondamentale di libertà come quello alla protezione dei dati personali, il quale può essere limitato solo in presenza di una “minaccia grave” tale da legittimare “misure invasive quali la conservazione generalizzata dei dati, purché per il solo tempo strettamente necessario e con alcune garanzie essenziali”.

La proporzionalità, conclude l’Autorità, “resta, dunque, la chiave per affrontare l’emergenza, in ogni campo, secondo lo Stato di diritto”.

[1] Per “dati relativi al traffico” si intende “qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione” (art. 1, par. 1, lett. b), Direttiva).

[2] Per “dati relativi all’ubicazione” si intende “ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico” (art. 1, par. 1, lett. c), Direttiva).

[3] L’art. 2, par. 1, lett. c) della Direttiva 2002/21/CE “che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva quadro)” definisce i “servizi di comunicazione elettronica” come quei “servizi forniti di norma a pagamento consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva”, restando esclusi i servizi di controllo dei contenuti editoriali e i servizi della società dell’informazione che non comportano la trasmissione di segnali.

[4] Sul punto, si precisa che l’art. 2, par. 1, lett. d), Direttiva, nel definire cosa si intende per “comunicazioni”, espressamente esclude “le informazioni trasmesse, come parte di un servizio di radio- diffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato”.