Maggio 2014

Legiferare inseguendo la cronaca non è una buona idea. Si perde di vista la coerenza delle norme introdotte con il sistema di principi che ispirano l'ordinamento di riferimento e nel medio periodo si rischiano buchi normativi peggiori di quelli che si intendeva riempire.

Dopo che a luglio 2005 un commando di quattro kamikaze si fece esplodere nella metropolitana di Londra, uccidendo 52 persone, l'opinione pubblica europea si scoprì troppo vulnerabile per non accettare di scambiare un pezzo della propria libertà con maggiore sicurezza.

Il mutamento d'umore si insinuò anche nel Parlamento Europeo, il quale acconsentì all'introduzione di una Direttiva che avrebbe imposto ai fornitori di servizi di comunicazione di conservare i dati di traffico di tutti gli Europei per finalità di prevenzione e repressione di reati. Complici le bombe londinesi, l'assemblea aveva ceduto ad un'idea avversata fino ad un anno prima: aprire una breccia nella vita privata dei cittadini per fornir loro più sicurezza. Un risultato propiziato anche dalla pressione del governo inglese, che in quel semestre reggeva il Consiglio dell'Unione Europea e aveva posto come obiettivo l'approvazione della misura da parte del Parlamento entro fine 2005.

Quella direttiva, nota come direttiva 'data retention', è stata invalidata dalla Corte di Giustizia Europea a inizio aprile, per contrarietà agli articoli 7 e 8 della Carta dei diritti fondamentali dell'Unione, quelli che proteggono i dati personali e la privacy degli Europei.

Dalla sua entrata in vigore, i fornitori di servizi internet e di telecomunicazioni avevano l'obbligo di conservare dati di traffico – ad esclusione del loro contenuto – per un periodo oscillante tra i 6 mesi e i due anni per finalità di prevenzione e repressione di reati gravi. Nel recepirla (con decreto legislativo 109 del 2008), l'Italia aveva scelto un approccio bifronte. Se da un lato il nostro Paese è tra gli otto Stati Membri a legittimare la conservazione dei dati per ogni tipo di reato, disancorata da ogni differenziazione sulla base della gravità, e ad utilizzare il massimo periodo di 'retention' immaginato dalla Direttiva per i dati di traffico telefonico (articolo 132.1 del Codice Privacy), dall'altro quello italiano è tra i pochi ordinamenti a prescrivere, in via generale, il trattamento anonimo dei dati di traffico e la loro distruzione una volta che sia stato raggiunto lo scopo per cui erano stati conservati. I dati conservati dai fornitori sono accessibili su decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

In Italia, dunque, l'accesso ai dati di traffico non necessita di un'autorizzazione emessa da un giudice terzo, bastando il decreto del PM o, nel caso i dati si riferiscano ad un imputato o persona sottoposta ad indagini, una richiesta rivolta dal difensore direttamente al fornitore (articolo 132.2 del Codice Privacy).

A seguito della pronuncia giurisprudenziale dei giudici di Lussemburgo è stata caducata l'intera matrice di questa normativa nazionale, la cui sorte resta dunque appesa a un filo. Se è vero che le leggi nazionali di recepimento della direttiva abrogata restano in vigore, restano molti interrogativi sulla loro concreta applicabilità. Che cosa accadrebbe se un fornitore – come già annunciato dal provider svedese Bahnhof - decidesse di cancellare tutti i dati in suo possesso e di non seguitare a conservarne altri? Le autorità garanti provvederebbero contro tali fornitori, col rischio di vedere le sanzioni annullate per contrarietà al diritto europeo, che oggi non consente più la conservazione indiscriminata di tutti i dati di traffico? E ancora: che cosa ne sarà delle sanzioni già irrogate sulla base di norme nazionali a loro volta derivate da legislazione europea poi invalidata?

Ma al di là degli strascichi giuridici innescati dalla sentenza, la più significativa delle conclusioni che da essa può esser tratta è che a Lussemburgo si è decretata la fine della "sorveglianza di massa" in Europa. La direttiva "data retention" era uno strumento nato controverso e divenuto troppo ingombrante nel corso delle ormai note vicende di spionaggio massivo condotto dalla NSA statunitense. Come si poteva rimproverare agli Stati Uniti di stare invadendo la privacy di milioni di europei mentre una direttiva analoga a quella abrogata faceva praticamente lo stesso in Europa, per giunta senza nemmeno la previa autorizzazione di un giudice, formalmente prevista invece dal FISA Act americano?

Il legislatore europeo è adesso chiamato a colmare la lacuna normativa. Non sarà facile, e soprattutto rischia di non essere un procedimento breve, anche in ragione delle imminenti elezioni per il rinnovo del Parlamento Europeo, che potrebbe mutare, e molto, la propria composizione. Se questo scenario dovesse confermarsi, ulteriori sentenze della Corte di Giustizia a seguito di rinvio pregiudiziale dei giudici nazionali si abbatteranno prima sulle leggi nazionali di recepimento. Non è detto che sia peggio che avere in vigore il passepartout per i dati di traffico di tutti noi.

Sostenendo che il prezzo della libertà è l'eterna vigilanza, Popper di certo non intendeva la sorveglianza.

• Scudiero
• privacy
• internet
• unione europea
• data retention
• sorveglianza
• Parlamento Europeo