La Corte di Giustizia UE e i meta-dati

La Corte di Giustizia Europea ha dichiarato invalida e contraria ai diritti fondamentali dei cittadini europei la direttiva sulla data retention, che come noto impone alle compagnie telefoniche e, in generale, ai fornitori di servizi di comunicazione elettronica di archiviare e conservare fino a due anni i cosiddetti meta-dati, ovvero tutte quelle informazioni che si generano nel corso di una comunicazione.

Per capirci stiamo parlando di:

  1. tutti i dati necessari per rintracciare e identificare la fonte e il destinatario di una comunicazione (numeri di telefono, indirizzi e anagrafiche utente/abbonato e indirizzi IP assegnati);
  2. i dati necessari per determinare data, ora e durata di una comunicazione;
  3. i dati relativi al tipo di comunicazione (telefonica, per posta elettronica o con servizi internet);
  4. i dati necessari per determinare i devices e le attrezzature utilizzate dagli utenti (codici IMEI e IMSI);
  5. i dati di geolocalizzazione necessari per determinare l’ubicazione degli apparati (che poi, usualmente, attaccato al cellulare c’è anche l’utente).

Di fatto sono esclusi solo i contenuti delle comunicazioni, che possono esser acquisiti unicamente con una intercettazione in tempo reale, su ordine della magistratura, caso per caso, in presenza di rigorose condizioni di garanzia.

La Direttiva, emessa nel 2006 sull’onda emotiva degli attentati terroristici di Madrid e Londra, aveva il fine dichiarato di garantire efficaci strumenti di indagine per l’accertamento e il perseguimento di gravi reati e imponeva agli Stati membri dell’Unione di regolamentare in modo uniforme l’archiviazione generalizzata di tutti i dati, prevedendo un obbligo di conservazione. Di fatto la direttiva ha creato gigantesche banche dati con le informazioni di tutti gli utenti, in pratica di tutti i cittadini dell’Unione, che sono conservate sui server delle compagnie telefoniche e dei provider di comunicazione elettronica. Un patrimonio informativo inestimabile per qualsivoglia indagine, ma in grado di generare un sistema di sorveglianza molto invasivo, per di più a consultazione differita, nell’arco di due anni.

Come ha osservato l’avvocato generale presso la Corte di Giustizia nelle sue conclusioni

«la raccolta dei meta-dati crea le condizioni per un controllo che, seppur esercitato soltanto a posteriori in occasione del loro impiego, minaccia tuttavia in modo permanente, per tutto il periodo della loro conservazione, il diritto dei cittadini dell’Unione alla riservatezza della loro vita privata».

Secondo l’avvocato generale

«I dati di cui trattasi, non sono dati personali nel senso classico del termine, che si riferiscono a informazioni specifiche sull’identità delle persone, ma dati personali, per così dire, qualificati, il cui impiego può permettere di creare una mappatura tanto fedele quanto esaustiva di una parte importante dei comportamenti di una persona facenti strettamente parte della sua vita privata, se non addirittura un ritratto completo e preciso della sua identità privata».

L’invasività dei cosiddetti meta-dati è direttamente proporzionale all’interesse che suscitano nelle agenzie investigative di tutto il mondo, e il caso NSA dà il segno del loro valore.
Sulla base di queste considerazioni, per la Corte di Giustizia Europea la direttiva sulla data retention non è compatibile con i diritti fondamentali riconosciuti dalla Carta Europea, in particolare con il diritto alla riservatezza (art.7) e con il nuovo diritto alla protezione dei dati personali (art.8).

Ad aggravare la valutazione negativa della direttiva, la Corte sottolinea come, a fronte di una raccolta oggettivamente imponente e sproporzionata, non sono specificati quali siano i “gravi reati” che giustificherebbero raccolta e conservazione, né quali autorità avrebbero accesso alle informazioni; non sono dettate garanzie e condizioni per l’utilizzo delle informazioni, e infine non sono garantite le modalità di conservazione dei dati, che possono esser archiviati anche fuori del territorio europeo ed esser oggetto di trattamenti illeciti. In sintesi, afferma la Corte, non è rispettato il principio di proporzionalità tra le esigenze di sicurezza e tutela della collettività poste alla base della direttiva e le gravi limitazioni alla riservatezza e alla protezione dei dati personali dei cittadini.

La sentenza affronta un dilemma etico antico quanto il Diritto. Due doveri morali devono trovare sintesi: promuovere i diritti umani del singolo e migliorare il benessere delle nostre società, in primis garantendone la sicurezza. La tensione è evidente e fisiologica, e il confine della proporzionalità ondeggia continuamente: ciò che poteva apparire accettabile a seguito degli attacchi terroristici seguiti all’11 settembre in Europa, appare inammissibile oggi, che siamo più consapevoli delle fragilità dei nostri dati in rete e del valore della nostra privacy. In questo senso, l’illegale (per noi europei) attività dell’NSA rivelata da Snowden è stata sicuramente un fattore determinante nella coraggiosa valutazione della Corte di Giustizia.

Ciò che è certo è che più un diritto è consolidato e riconosciuto dalla collettività e dalla generalità dei consociati come diritto fondamentale del singolo, quanto più quel diritto sarà difeso e potrà resistere agli urti inevitabili di contrastanti esigenze. Il diritto alla protezione dei dati è un diritto nuovo, che non abbiamo ancora compreso appieno, e lo stesso diritto alla riservatezza ha assunto inedite dimensioni sulle reti di comunicazione elettronica, distanti da quel “right to be alone” nato proprio negli USA sul finire dell’Ottocento.

Nessuno dei due diritti ad esempio trova adeguata tutela nella nostra datata Costituzione Italiana. Quando nel 2008 fu attuata la direttiva sulla data retention dichiarata oggi inefficace dalla Corte di Giustizia Europea per contrasto con la Carta dei diritti fondamentali dell’Unione, fu per noi Italiani una rivoluzione liberale: di fatto dal 2003, i nostri fornitori di accesso hanno archiviato i nostri preziosi meta-dati ininterrottamente per oltre 7 anni, grazie alle proroghe del Decreto Pisanu, quello stesso decreto che impedì lo sviluppo del wi-fi in Italia per la paura delle bombe e dei terroristi. Noi Italiani, manco ce ne siamo accorti: in nome della sicurezza siamo disposti a cedere molti diritti, purché si sappia di averne, di diritti.
Anche sotto questo profilo, dobbiamo ringraziare ancora una volta l’Europa, che con la Carta dei diritti fondamentali e con la Convenzione europea dei diritti dell’uomo (CEDU) è davvero un passo avanti.

Carlo Blengino

Avvocato penalista, affronta nelle aule giudiziarie il diritto delle nuove tecnologie, le questioni di copyright e di data protection. È fellow del NEXA Center for Internet & Society del Politecnico di Torino. @CBlengio su Twitter