Fissa il divieto della “conservazione generalizzata e indifferenziata di dati per un tempo indeterminato”, tuttavia prevede anche molte deroghe e l’indicazione di un “periodo limitato nel tempo a quanto strettamente necessario, ma che può essere esteso se la minaccia persiste”. La sentenza della Corte di Giustizia dell’Unione europea sulla data retention consente oggi un confronto con la legge italiana sulla conservazione dei dati. La norma italiana impone agli operatori di telecomunicazioni di conservare i metadati (non le conversazioni) di traffico telefonico e telematico per 6 anni.
Il commento del Garante privacy alla sentenza
Di seguito la nota del Garante privacy sulla sentenza della Corte di Giustizia dell’Unione europea sulla data retention.
“Con la sentenza di oggi la Corte chiarisce che le esigenze di sicurezza nazionale non legittimano, per sé sole, la conservazione indiscriminata, da parte dei fornitori dei servizi di comunicazione elettronica, dei dati di traffico, applicandosi anche in questo caso le garanzie e i principi in materia di protezione dei dati. Linea da tempo sostenuta dal Garante per la protezione dei dati personali”.
Portando a coerente conclusione il percorso iniziato con le sentenze Digital Rights e Tele2 Sverige e in analogia con le posizioni più garantiste della CEDU, la Corte esclude che quella dei trattamenti di dati funzionali a tali finalità possa essere una ‘zona franca’ impermeabile alle esigenze di tutela della persona. Si tratta di un principio di assoluta rilevanza, sotto il profilo democratico, nel rapporto tra libertà e sicurezza già delineato nella sentenza Schrems del luglio scorso, per evitare che una dilatazione (nell’ordinamento statunitense particolarmente marcata) della nozione di sicurezza nazionale finisca di fatto per eludere l’effettività della tutela di un fondamentale diritto di libertà, quale appunto quello alla protezione dei dati. Diritto che vive comunque in costante equilibrio con altri diritti, quale appunto quello alla sicurezza che, se oggetto di minaccia grave, può legittimare – afferma la Corte – anche misure invasive quali la conservazione generalizzata dei dati, purché per il solo tempo strettamente necessario e con alcune garanzie essenziali.
“La proporzionalità resta, dunque, la chiave per affrontare l’emergenza, in ogni campo, secondo lo Stato di diritto”.
La sentenza della Corte di giustizia dell’Ue nel dettaglio
La Corte di Giustizia dell’Ue con la sentenza “conferma che il diritto dell’Unione si oppone ad una normativa nazionale che impone a un fornitore di servizi di comunicazione elettronica, a fini di lotta contro le infrazioni in generale o di salvaguardia della sicurezza nazionale, la trasmissione o la conservazione generalizzata e indifferenziata di dati relativi al traffico e alla localizzazione”. Tuttavia, la Corte definisce molte deroghe, ma solo per periodi limitati.
Molte deroghe, ma solo per periodi limitati
Infatti, stabilisce la Corte nelle situazioni in cui uno Stato membro si trova ad affrontare una grave minaccia per la sicurezza nazionale che si rivela autentica, presente o prevedibile, lo Stato membro può derogare all’obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche richiedendo, mediante misure legislative, la conservazione generale e indiscriminata di tali dati per un periodo limitato nel tempo a quanto strettamente necessario, ma che può essere esteso se la minaccia persiste.
Per quanto riguarda la lotta contro la criminalità grave e la prevenzione di gravi minacce alla sicurezza pubblica, uno Stato membro può anche prevedere la conservazione mirata di tali dati nonché la loro conservazione accelerata.
Tale interferenza con i diritti fondamentali, conclude la Corte di Giustizia dell’Ue, deve essere accompagnata da garanzie efficaci ed essere esaminata da un tribunale o da un’autorità amministrativa indipendente.
Allo stesso modo, uno Stato membro può effettuare una conservazione generale e indiscriminata:
- degli indirizzi IP assegnati alla fonte di una comunicazione laddove il periodo di conservazione sia limitato a quanto strettamente necessario,
- o anche per effettuare una conservazione generale e indiscriminata di dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad uno specifico termine.
Data retention, la legge italiana
Contro la legge italiana sulla data retention fino a 6 anni si sono espressi sia l’ex Garante privacy italiano, Antonello Soro, sia l’ex Garante privacy europeo Giovanni Buttarelli, perché la norma è un unicum nell’Unione europea nella quale non c’è un provvedimento simile armonizzato per tutti i Paesi membri.
Contrari a 6 anni di conservazione dei dati sia il Garante privacy italiano sia quello europeo
“Se la minaccia di attacchi informatici è quotidiana diventa ancora più incomprensibile la decisione di aumentare fino a 6 anni la Data Retention, ignorando, non solo le sentenze della Corte di giustizia europea, ma anche il buon senso”, ha detto Soro, il 24 ottobre scorso, durante il convegno Privacy digitale e protezione dei dati personali tra persona e mercato svoltosi a Firenze.
Il Garante ha motivato nel dettaglio la preoccupazione per la protezione dei dati personali degli italiani: “Al giorno sono circa 5 miliardi i dati di traffico telefonico e telematico conservati dagli operatori e dagli Internet Service Provider e questa prassi di conservarli per 6 anni in modo indistinto andrebbe nella direzione opposta di proteggere la privacy del nostro Paese e dei cittadini”.
Infatti, più a lungo saranno presenti i dati nei server degli operatori di telecomunicazioni più aumenta il rischio di data breach (violazione dei dati personali), oltre gli alti costi che dovranno sostenere gli operatori per conservare, si spera in totale sicurezza, i dati numerici del nostro traffico telefonico (solo le telefonate, comprese quelle senza risposta) e i dati di navigazione su Internet.
Va specificato che per l’Italia, come per gli altri paesi europei si tratta di metadati, ovvero informazioni di dettaglio su numero del chiamante, numero del ricevente, data e durata della conversazione, frequenza delle chiamate e altro, mentre quanto alla navigazione Internet viene registrato ogni elemento della navigazione (indirizzo IP, siti visitati, device usato, durata della consultazione, pagine visionate, traffico e-mail).
È vero che si tratta di metadati, ma va tuttavia precisato che i soli metadata forniscono già una montagna di informazioni che qualunque sistema di analytics, ovvero un banale software di intelligenza artificiale anche modesto, potrebbe tracciare attraverso psico-profili e mappe di relazioni tali da cui dedurre una quantità enorme di informazioni sulle persone e sulla loro vita privata.
Dopo quella dell’ex Garante Privacy italiano, nel 2019 è arrivata anche la bocciatura dell’allora Garante Privacy europeo sul termine dei 6 anni per la conservazione dei dati in quanto eccessivo. “È un grave errore la legge sulla Data Retention fino a 6 anni in vigore in Italia, perché incompatibile con i valori europei. Ho invitato il Legislatore italiano a riflettere ancora sul tema con la speranza di una modifica”, ha detto Giovanni Buttarelli nel febbraio 2019.
Data Retention fino a 6 anni in Italia caso unico al mondo
Pensate, in Russia la Data Retention è fino a 6 mesi. In generale, la conservazione dei dati per ragioni di sicurezza è applicata in modo differenziato nei vari Paesi.
La Francia ha adottato un criterio unico, fissando la conservazione dei dati a 12 mesi. In Germania i dati vengono conservati per 10 settimane, quanto a traffico telefonico e navigazione in internet, mentre i dati sulla geolocalizzazione sono cancellati dopo 4 settimane. In Belgio si va dai 6 ai 9 mesi, in base alla gravità dei reati riscontrabili. Stesso criterio in Spagna, dove la norma è fissata a 12 mesi, che possono essere ridotti a 6 mesi o estesi a 2 anni, a seconda dei casi. In Australia si conservano i dati di traffico telefonico e internet per 2 anni.
Poi c’è il caso americano. In Usa l’argomento è scottante. La Nsa (National security agency) come è noto per prassi conserva i metadati del traffico internet dell’intero pianeta fino a 1 anno.
Dal quadro sommariamente descritto, emergono le due anomalie del quadro internazionale: quella russa, che conserva anche tutti i contenuti del traffico telefonico e internet, e quella americana, che può andare prevedibilmente oltre la soglia dei metadati in casi di sicurezza nazionale, a cui si limitano invece tutti i paesi europei.
Ai due casi estremi citati, si aggiunge l’anomalia italiana, ancor più pesante se si considera che la norma che fissa a 6 anni la conservazione dei dati è stata approvata sei mesi dopo la piena applicazione del Gdpr.