Le regole europee sul data retention sono tutte da rifare. La sentenza della Corte di Giustizia europea annulla con effetto retroattivo l’intero impianto della direttiva 2006/24/CE e la Commissione europea dovrà riscrivere da capo il provvedimento non solo tenendo conto dei rilievi del supremo tribunale ma anche della nuova direttiva sul data protection che porta la firma del commissario alla Giustizia, Viviane Reding.
Tre i punti da tenere in considerazione: la durata della conservazione dei dati giudicata inappropriata, l’assenza di protezione contro i rischi di abusi e la mancanza di assenza di misure per limitare allo stretto necessario l’ingerenza nella vita privata dei singoli cittadini.
La decisione delle Corte – va sottolineato – non avrà però effetti sulla legislazione in materia emanata dagli stati membri al momento del recepimento della direttiva. “Poiché la maggior parte dei 28 Stati membri dell’Ue ha emanato una propria legislazione nazionale – spiega un funzionario della Commissione – i fornitori di telecomunicazioni dovranno continuare a conservare i dati in base a quelle leggi”, Anche se, ammette “la sentenza potrebbe aprire la porta a dispute legali contro la raccolta dei dati davanti tribunali nazionali”.
“La sentenza della Corte fa chiarezza e conferma le conclusioni critiche della relazione di valutazione effettuata dalla Commissione europea mel 2011 sull’attuazione della direttiva sulla conservazione dei dati. Commenta il commissario agli Affari interni Cecilia Malmström – La Commissione europea intende ora valutare con attenzione il verdetto e le sue conseguenze. La Commissione andrà avanti col suo lavoro alla luce dei progressi compiuti in relazione alla revisione della direttiva e-privacy”.
Per il commissario alla Giustizia, Viviane Reding “la Corte di Giustizia conferma che la sicurezza non è un ‘super-diritto’ che prevale sulla protezione dei dati”.
La Commissione europea sta studiando da tempo la possibilità di rivedere la direttiva comunitaria, includendo l’armonizzazione e la riduzione dei limiti temporali concessi alle autorità pubbliche per l’accesso ai dati elettronici riguardanti privati cittadini per ragioni di sicurezza. Nel 2011 Malmström ha avviato una consultazione per la revisione della direttiva, che però è stata successivamente congelata.
La direttiva sul data retention, recepita nel 2008 anche dall’Italia, comprende la griglia legislativa per la raccolta, la conservazione e l’utilizzo di informazioni elettroniche private per motivi di sicurezza. Prevede l’obbligo per i provider di servizi Tlc di immagazzinare i dati dei clienti, compresi i numeri di telefono delle persone contattate, gli indirizzi Internet, la location delle connessioni al web, lo storico delle connessioni e le informazioni personali comunicate dai clienti. Il contenuto delle comunicazioni non viene registrato. I tempi di conservazione dei dati sono indicati nella direttiva soltanto in modo vago.
Il testo prevede che i dati personali devono essere conservati per un periodo “non inferiore ai sei mesi ma non superiore a due anni dalla data della comunicazione”, una finestra temporale frutto di un delicato equilibrio fra interessi opposti. Da un lato, le esigenze delle autorità, interessate alla conservazione di dati personali per lunghi periodi da utilizzare come prove in caso di inchieste giudiziarie. Dall’altro, comitati cittadini per i diritti civili che chiedono l’accorciamento dei tempi di conservazione dei dati personali. Una battaglia civile, sposata per questioni economiche dagli operatori Tlc, costretti a pagare di tasca loro la conservazione dei dati. A livello di singoli stati membri, la vaghezza della normativa ha partorito diversi quadri normative a livello nazionale. Soltanto sei stati hanno fissato a sei mesi il periodo di conservazione dei dati. Si tratta di Germania, Spagna, Lussemburgo, Slovacchia, Cipro e Lituania.
La maggior parte degli stati ha fissato periodi più lunghi, che vanno da 12 a 24 mesi. In alcuni casi sono stati fissati periodi anche superiori ai due anni stabiliti dalla direttiva. In Polonia, per esempio, gli operatori conservano i dati per un periodo di 10 anni, in Grecia fino a 5 anni. In Irlanda, Lituania e Romania il limite è di 36 mesi.
Non tutti i paesi però hanno recepito la direttiva. Tra questi la Germania, dove la Corte costituzionale ha bloccato nel 2010 la legge sulla conservazione dai dati che, appunto recepiva la direttiva Ue, facendo ricorso alla Corte europea. Le regole sul data retention hanno creato dissapori nel governo di “grosse koalition” guidato da Angela Merkel.
Il ministro della Giustizia Heiko Maas (Spd) a gennaio aveva annunciato che avrebbe aspettato la sentenza Ue prima di mettere mano alle norme e che comunque la Germania si sarebbe presa tempo per legiferare in materia. Al contrario il ministro dell’Interno, il conservatore Thomas de Maiziere ha esortato ad un’azione rapida.
Secondo Ovum la sentenza, annullando di fatto un pezzo di legislazione Ue, può fornire ai legislatori europei una potente arma per rafforzare gli standard di protezione dei dati e opporsi ai sistemi sorveglianza di massa. “Le telco potrebbero accogliere postivamente la sentenza dato che gli obblighi di conservazione dei dati comportano costi non rimborsabili e particolarmente gravosi per le piccole e medie compagnie – evidenzia Luca Schiavoni, telecoms regulation analyst di Ovum – Inoltre dato che la definizione di ‘fornitore di comunicazioni elettroniche’ nella legislazione Ue ha lasciato gli Ott fuori del campo di applicazione delle direttiva, la sentenza offre l’opportunità di intervenire su questo fronte”.
Infine “dal momento che una qualche forma di conservazione dei dati è ancora necessaria – conclude Schiavoni – Si prevede che le istituzioni europee scelgano con regole più coerenti per colmare il vuoto normativo lasciato dalla sentenza della Corte di giustizia”
