Key4biz

Diritto all’autodeterminazione informativa: la linea della Corte Costituzionale tedesca

Germania


Di seguito il contributo di Elisa Bertolini, assegnista di ricerca per la cattedra di diritto pubblico comparato presso l’Università Commerciale L. Bocconi, pubblicato su Medialaws, sito che offre analisi e approfondimenti tecnici su Leggi e Policy dei Media, offerti in una prospettiva comparativa, con il quale Key4biz ha avviato una collaborazione editoriale.

 

 

Che il Bundesverassungsgericht sia una delle Corti costituzionali maggiormente sensibili ai nuovi diritti e allo sviluppo tecnologico non è certo una novità di questi giorni. L’orientamento fortemente garantista nei confronti dell’individuo e dei diritti intrinsecamente connessi alla sua personalità dinnanzi al progresso tecnologico era già prepotentemente emerso con la sentenza del 1983 (il celebre Volkszählungsurteil, Bundesverfassungsgericht 15-12-1983, 1 BvR 209/83) in cui il Tribunale sanciva il diritto all’autodeterminazione informativa (informationelle Selbstbestimmung), definibile come il diritto del singolo a decidere in prima persona sulla cessione e l’uso dei dati che lo riguardano. Quando ancora la dottrina non si occupava delle problematiche connesse alla tutela dei dati personali, il Tribunale costituzionale tedesco aveva invece già affrontato la tematica con grande lucidità, analizzando i rischi derivanti dal trattamento dei dati personali; più precisamente, esso individuava nel trattamento di dati a mezzo di procedure automatizzate un pericolo per i diritti fondamentali. Dal punto di vista costituzionale, il Tribunale fondò la propria decisione sul rispetto di due libertà fondamentali garantite dal Grundgesetz (GG), il diritto al libero sviluppo della propria personalità (allgemeines Persönlichkeitsrecht) ex art. 2, Abs. 1 e l’intangibilità della dignità dell’uomo (Menschenwürde), ex art. 1, Abs. 1.

 

L’autodeterminazione informativa entra così ufficialmente nel novero dei diritti fondamentali e viene posta a base di tutta la successiva giurisprudenza in materia di tutela dei dati personali. E infatti il Tribunale ha progressivamente ampliato tale diritto, arricchendolo, con la pronuncia del 27 febbraio 2008 (Bundesverfassungsgericht 27-02-2008, 1 BvR 370/07), di un nuovo profilo corrispondente al diritto alla riservatezza e all’integrità informatica. Affermando questo diritto, il Tribunale dichiarava incostituzionale la Gesetzes über den Verfassungsschutz (legge sulla protezione della Costituzione) del Land Nordrhein-Westfalen che prevedeva la possibilità di accesso ai sistemi informatici degli utenti al fine di monitorare le attività e i dati presenti sui computer degli stessi. Il Tribunale amplia così nuovamente la sfera di tutela oltre i dati personali tradizionalmente protetti dalla legislazione tedesca sulla privacy. La violazione della riservatezza e dell’integrità di un sistema informatico potrebbe infatti pregiudizievolmente incidere sullo sviluppo della personalità del titolare dei dati.

 

Ulteriore tassello nell’impianto di tutela dei dati personali ad opera del Bundesverfassungsgericht è la sentenza dello scorso 24 gennaio (Bundesverfassungsgericht 24-01-2012, 1 BvR 1299/05) che ha affermato il carattere fondamentale dei dati personali. I giudici di Karlusruhe hanno infatti esaminato i § 111-113 della Telekommunikationsgesetz-TKG (legge del 22-06-2004, BGBl. I S. 1190, il cui ultimo emendamento è del 22-12-2011, BGBl. I S. 2958) dichiarando il § 113, Abs. 1, frase 2 non conforme a Costituzione in quanto in violazione dell’art. 1, Abs. 1 GG e quindi anche della informationelle Selbstbestimmung.

Gli articoli al vaglio del Tribunale appartengono al capitolo terzo della parte settima della legge (§§ 108-115), dedicata alla sicurezza; più precisamente, il § 111 riguarda i dati che possono essere richiesti dalle autorità di pubblica sicurezza, mentre i §§ 112 e 113 riguardano due diverse procedure per la comunicazione dei dati raccolti ex § 111 (§ 112 automatizzate e § 113 manuali). In queste disposizioni i ricorrenti lamentavano un contrasto con gli art. 10, Abs. 1 (segretezza delle comunicazioni), art. 2, Abs. 1 GG in combinazione con l’art. 1, Abs. 1 (tutela della dignità umana) e art. 3, Abs. 1 (uguaglianza di fronte alla legge) GG.

 

Secondo il § 111 TKG, chiunque fornisca per motivi commerciale servizi di telecomunicazione, assegnando così numeri di telefono o connessioni tra numeri telefonici assegnati da terze parti, è tenuto a raccogliere e conservare tutti i dati che fanno capo al titolare del numero telefonico (nome, indirizzo, data di nascita, data di stipulazione del contratto) fino al momento della cessazione del rapporto contrattuale.

Questi dati, raccolti ai sensi del § 111, devono essere conservati e organizzati in files personali dedicati a ciascun consumatore (§ 112 TKG). In caso di portabilità del numero devono essere schedati anche tutti i codici associati al numero. Gli operatori devono dunque fare in modo, ex Abs. 1, che le autorità di regolazione possano recuperare i dati dei consumatori dai rispettivi files tramite procedure automatizzate per poi trasmetterle alle autorità che ne abbiano fatto richiesta. Secondo l’Abs. 2, le informazioni devono essere fornite, tra gli altri, alle Corti e ai pubblici ministeri che ne facciano richiesta; alla polizia federale e regionale a fini di prevenzione; all’esercito; ai servizi segreti; ai centri che offrono servizi di emergenza.

 

Per quanto concerne invece le procedure manuali, i dati raccolti ai sensi del § 111 devono essere forniti anche direttamente dagli operatori di telecomunicazione senza alcun indugio agli organi competenti che ne facciano richiesta (§ 113 TKG), principalmente per motivi di sicurezza pubblica. I dati che vengono così resi accessibili comprendono anche i codici PIN e PUK nonché più generali codici di accesso e password. Peraltro, gli operatori sono contestualmente tenuti a mantenere il silenzio sulla richiesta loro fatta dalle autorità con i clienti titolari dei dati. E’ inoltre da precisarsi come soggetti all’obbligo in questione non siano strettamente solo gli operatori del settore che offrono servizi di telecomunicazione per l’offerta al pubblico come compagnie telefoniche o ISPs, ma anche quegli operatori che si trovano a maneggiare dati per fini commerciali (hotel, ospedali). In aggiunta, giova precisare ulteriormente come la prassi applicativa del § 113 abbia portato a includere nei dati da fornire anche l’indirizzo IP dinamico (così è definito il codice che viene assegnato a un computer ogni volta che si connette alla rete e che varia dunque ad ogni connessione).

A fronte di un ricorso in cui i ricorrenti lamentavano nelle disposizioni della TKG appena richiamate una sostanziale violazione della autodeterminazione informativa, i giudici di Karlsruhe hanno opposto la necessità di operare un bilanciamento tra il diritto all’autodeterminazione informativa e le esigenze dell’autorità di pubblica sicurezza nella lotta contro crimine e terrorismo.

 

Partendo quindi da questa considerazione di ordine generale, il Tribunale non ha rinvenuto profili di incostituzionalità nei §§ 111 e 112 la cui interferenza con il diritto all’autodeterminazione informativa è giustificabile alla luce del fatto che essa sia comunque limitata e finalizzata a permettere un migliore e più efficace esercizio delle funzioni statali. Inoltre, il § 112 prevede comunque motivi ben fondati per autorizzare la richiesta dei dati.

Peraltro l’indirizzo IP dinamico non è annoverato tra i dati su cui, ex § 111, vige l’obbligo di consegna e questo fa sì che il disposto del § 112 non comporti un rischio di deanonimizzazione. Nemmeno rinvenibile in queste due disposizioni è la violazione del segreto delle telecomunicazioni. Il § 111 si limita infatti a disporre una memorizzazione di dati fondata su una loro classificazione astratta. E anche il § 112 non viola il principio di proporzionalità prevedendo la possibilità per l’autorità di pubblica sicurezza di avere accesso agli indirizzi IP statici senza previa autorizzazione del giudice, in quanto al momento sono a disposizione solo delle istituzioni e dei grandi utilizzatori («Institutionen und Großnutzern»); nel caso la situazione dovesse cambiare, allora sì che si configurerebbe una sproporzionalità della disposizione legislativa e il legislatore dovrebbe quindi intervenire modificando la legge.

 

Parimenti, non può essere tacciato di incostituzionalità neppure il § 113, Abs. 1, frase 1 in quanto deve essere oggetto di interpretazione conforme alla Costituzione tale per cui la richiesta della consegna dei dati si deve poggiare su una autorizzazione che deve avere un fondamento giuridico e non si deve applicare agli indirizzi IP dinamici. La richiesta a scopi identificativi degli indirizzi IP dinamici sarebbe infatti in contrasto con l’art. 10, Abs. 1 GG che tutela la segretezza delle comunicazioni (il diritto alla segretezza è infatti definito inviolabile). Vero è che lo stesso GG, all’art. 19, prevede la possibilità della limitazione di un diritto fondamentale, ma essa deve essere disposta tramite legge o in base ad una legge generale e questo sarebbe il caso. Tuttavia, pur essendo possibile ricondurre il § 113, Abs. 1, frase 1 all’eccezione di cui all’art. 19 GG, è la formulazione stessa della disposizione che, mancando di chiarezza, impedisce di capire se autorizzi anche l’identificazione di questa tipologia di indirizzi. In base dunque a questo reasoning, ne consegue che il disposto del § 113, Abs. 1, frase 1 sia assolutamente proporzionale. Sul punto, il Giudice costituzionale ribadisce ancora una volta come la costituzionalità della disposizione non sia discutibile proprio in considerazione del fine.

 

La questione dell’indirizzo IP dinamico merita però una riflessione ulteriore. Dunque il Tribunale non esclude in toto la possibilità che l’autorità di pubblica sicurezza possa fare ricorso all’indirizzo IP dinamico, semplicemente il legislatore deve chiarire ulteriormente. Inoltre, constatando la assoluta necessità di introdurre nuove regole, il Tribunale afferma come fino a che queste non saranno introdotte non è più consentito identificare chi si celi dietro un indirizzo IP dinamico. Nelle nuove norme dovrà essere reso obbligatorio il passaggio dall’autorità giudiziaria anche quindi in materia penale, equiparando così la procedura penale a quella civile che già prevede l’autorizzazione giudiziaria per ottenere nome e indirizzo del detentore di un indirizzo IP dinamico. Da rilevare comunque come il Tribunale abbia preferito non affrontare la qualificazione dell’indirizzo IP come dato personale o meno.

 

Diverso è il ragionamento da applicarsi al § 113, Abs. 1, frase 2 che si rivela invece incompatibile con il diritto all’autodeterminazione informativa e dunque viola il principio di proporzionalità. Il disposto del § 113, Abs. 1, frase 2 riguarda infatti codici di accesso a dati personali rilevanti che i titolari dei dati usano proprio per proteggerli e il conoscerli non è, a giudizio del Tribunale, necessario affinché le autorità possano svolgere in maniera efficace le proprie funzioni. Così come è formulata, la disposizione consente alle autorità di pubblica sicurezza di avere accesso a questi dati indipendentemente dall’uso che ne possano fare. In sostanza, il Giudice costituzionale rinviene nella previsione una mancanza di una ragione chiara e ben definita in virtù della quale le autorità possano ottenere questi particolari dati, indipendentemente, inoltre, dal loro uso. Ne consegue dunque che la richiesta dei dati/codici di accesso per fini perseguiti dalle autorità può essere avanzata solo in presenza di regole ben definite sul loro utilizzo; così come formulato, conclude quindi il Tribunale, il § 113, Abs. 1, frase 2 non è sufficientemente sicuro.

 

Il Bundesverfassungsgericht ha quindi dichiarato il § 113, Abs. 1, frase 2 non conforme al GG (più precisamente con l’art. 1, Abs. 1 che tutela la dignità umana, la menschenwürde), senza però disporne l’annullamento. Al contrario, la disposizione rimarrà in vigore, ma le autorità di pubblica sicurezza potranno accedere ai codici di accesso quali i codici PIN o PUK solo a fronte di una nuova disposizione legislativa che ne disciplini l’utilizzo («wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind»). Inoltre, dovrebbero essere adottate anche delle disposizioni transitorie circa l’interpretazione conforme del § 113, Abs. 1, frase 1. Ciò non toglie, conclude il Tribunale, che è necessario procedere all’adozione di una nuova normativa che abbia per oggetto la disciplina gli indirizzi IP dinamici e in particolare le modalità (autorizzazione preventiva del giudice) e i presupposti per una loro consegna all’autorità di pubblica sicurezza.

 

Il Tribunale ha quindi ritenuto di dover sì riaffermare il diritto all’autodeterminazione informativa, assieme al diritto all’anonimato dei navigatori, ponendosi dunque il linea di continuità con la propria tradizione, ma di farlo però con molta prudenza. Se infatti da un lato la pronuncia si caratterizza per innalzare lo standard di tutela del diritto alla riservatezza rispetto a quello attualmente previsto dalla legislazione in materia e per arricchire il contenuto del diritto all’autodeterminazione informativa, dall’altro però i giudici non hanno ritenuto opportuno procedere all’annullamento della disposizione riconosciuta incostituzionale ma si sono rivolti al Bundestag esortandolo a procedere ad una revisione delle stesse entro e non oltre il 30 giugno 2013.

Exit mobile version