I diritti umani nell'era digitale in Europa
Nell'era delle comunicazione elettroniche e della globalizzazione, del terrorismo internazionale e del pericolo per la sicurezza nazionale, gli Stati intervengono in favore della difesa dello Stato, ma la sentenza della Corte di giustizia “Diritti digitali, Irlanda” è il game-changer in favore della difesa dei diritti alla privacy. Analizziamo la disciplina europea e la sentenza, per capire il trend che ha portato al cambiamento in Europa.
La disciplina europea di conservazione e protezione dei dati
Il diritto alla privacy in Europa trova le sue radici nelle leggi e nelle costituzioni degli Stati membri, nella Convezione europea dei diritti dell’uomo e nei documenti fondatori dell’UE.
Ricostruendo le basi della disciplina in materia di conservazione e protezione dei dati, troviamo due punti fondanti che sono le norme della Convenzione dei diritti dell’uomo e la Carta dei diritti fondamentali dell’Unione Europea.
L’articolo 8 della Convenzione dei diritti dell’uomo protegge il diritto di tutti a “rispettare la vita privata, familiare, la casa e la corrispondenza”. Allo stesso filone è da ricollegarsi anche la Carta dei diritti fondamentali dell’EU (entrata in vigore nel 2009), al cui interno ritroviamo due disposizioni che si occupano di privacy e protezione dei dati: ai sensi dell’art. 7, “ogni individuo ha diritto al rispetto della propria vita privata e familiare, della casa e comunicazioni”; l’art. 8 della Carta, invece, recita che “ogni individuo ha diritto alla protezione dei dati personali che lo riguardano. Tali dati devono essere elaborati correttamente per scopi personali e sulla base del consenso interessato o altre legittime basi stabilite dalla legge”.
È, infine, la direttiva sulla protezione dei dati (95/46/CE) del 24 ottobre 1995 (che sarà abrogata nel maggio del 2018), relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che costituisce l’atto legislativo fondamentale in materia di protezione dei dati personali nell’Unione europea. Questa direttiva ha introdotto l’obbligo, per gli Stati membri di tutelare le libertà fondamentali e i diritti, in particolare quelli legati alla privacy, delle persone fisiche all'interno delle rispettive giurisdizioni.
La Direttiva sulla protezione dei dati prevede che i dati personali siano trattati sulla base di principi qualitativi, che ricomprendono ad esempio il principio che i dati siano raccolti in maniera proporzionata allo scopo e sotto consenso dell’interessato, o che i dati sensibili non siano soggetti al trattamento. La disciplina della Direttiva 95/46, resta pressoché invariata e, rispetto alla materia rimane la principale: sono le normative settoriali ad estendere le protezioni della privacy ai settori tecnologici e quindi ad aggiornare la disciplina.
Particolarmente importante, dopo l’11 settembre 2001, diventa la disciplina della sicurezza nazionale, che fino ai giorni nostri sarà centrale e modificherà profondamente il modo in cui i dati vengono trattati e conservati. È ai sensi dell’articolo 4,c.2 del Trattato sull’Unione Europea che si trova la legittimazione giuridica alle eccezioni alle norme sulla conservazione dei dati preesistenti; quest’articolo, infatti, recita: “ la sicurezza nazionale rimane la sola responsabilità di ogni Stato membro”. Questa disposizione, unita alla Direttiva sulla protezione dei dati che consente agli Stati membri di “adottare misure legislative per limitare la portata degli obblighi e dei diritti previsti dalla direttiva se sono “una misura necessaria per salvaguardare: a) la sicurezza nazionale; (b) difesa; c) sicurezza pubblica; (d) prevenzione, indagine, accertamento e perseguimento di reati o violazioni di etica per le professioni regolamentate; e) un importante interesse economico o finanziario di uno Stato membro o dell’Unione europea, comprese le questioni monetarie, di bilancio e fiscali.” Per rispondere, quindi, al problema della sicurezza nazionale, messa sempre più in pericolo e sulla base delle sopracitate disposizioni, alcuni Paesi dell’Unione Europea hanno previsto delle eccezioni alle norme UE: fondamentalmente ciò che più è rilevante è la richiesta avanzata a Internet e alle compagnie che gestiscono servizi telefonici (che rappresentano coloro che conservano i dati, dopo la privatizzazione del servizio) di conservare i metadati e renderli disponibili alle forza dell’ordine, ove necessario.
Tutta questa situazione crea un quadro di profonda differenziazione, che cerca di essere armonizzata da una nuova Direttiva sulla conservazione dei dati 2006/24, adottata nel 2006. In questa si cerca di appianare le differenza tecnico-giuridiche che negli anni si erano create tra le varie disposizioni nazionali, e che stavano diventando un ostacolo al mercato interno delle comunicazioni elettroniche. Fondamentalmente le disposizioni di notevole interesse sono:
· l’articolo 5 della direttiva che ha richiesto agli Stati membri di adottare una legislazione che imponga a società IT o telefoniche il dovere di memorizzare e conservare i dati relativi alla fonte, destinatario, data, ora, durata e tipo della comunicazione — anche se non il contenuto della comunicazione stessa;
· l’ art. 6 che prevede che la conservazione debba durare per un periodo non inferiore a sei mesi e non superiore a due anni;
· l’articolo 4 della direttiva indica gli Stati membri devono regolamentare nelle leggi nazionali le condizioni per l’accesso a questi dati in conformità con necessità e requisiti di proporzionalità e coerenti con la normativa UE e CEDU;
· l’articolo 1 che recita che “i dati sono disponibili ai fini dell’indagine, accertamento e perseguimento di reati gravi, così come definiti da ciascuno Stato membro nel suo territorio legge nazionale. “
La Direttiva 2006/24 rappresenta, proprio per le questioni sollevate, un’importante interferenza con il diritto alla protezione dei dati e il recepimento della direttiva da parte degli Stati membri ha sollevato una serie di sfide costituzionali. Ciò che si metteva in dubbio era il “sentimento di sorveglianza” che la disciplina creava tra i cittadini e i pochi limiti posti all’uso dei dati memorizzati (cfr. caso tedesco).
Il caso irlandese e la decisione della Corte di giustizia Europea
Nel 2012 è stato il caso sollevato dall’Irlanda, analizzato congiuntamente a quello Austriaco, che ha portato ad una decisione della Corte di giustizia europea che è destinata, come vedremo in seguito, a cambiare la disciplina della Data Retention in Europa, ma con implicazioni possibili anche negli Stati Uniti.
Nel caso di specie, sia l’Alta Corte irlandese e la Corte costituzionale austriaca sono stati appellati da singoli richiedenti che lamentavano il fatto che le misure nazionali di attuazione della direttiva UE sulla conservazione dei dati abbiano violato principi fondamentali della privacy e protezione dei dati. Per il fatto che questi casi coinvolgevano e riguardavano questioni di diritto dell’Unione Europea, sia l’Alta Corte irlandese e la Corte Costituzionale austriaca hanno inviato una domanda di pronuncia pregiudiziale alla Corte di giustizia chiedendo di “Esaminare la validità della direttiva 2006/24 alla luce degli articoli 7, 8 e 11 della Carta dei diritti fondamentali UE”.
La decisione arriva l’8 aprile 2014 quando la Corte, dopo aver riassunto la legge e i fatti, ha iniziato la sua analisi sottolineando come gli articoli 7, 8 e 11 della Carta dei diritti fondamentali sono stati importanti per il giudizio. La Corte di giustizia ha spiegato che la direttiva sulla conservazione dei dati necessita della raccolta e della conservazione dei meta-dati prodotti nella comunicazione elettronica e ha dichiarato che “i dati flessibili, presi nel loro insieme, possono permettere conclusioni molto precise da trarre per quanto riguarda la vita privata delle persone i cui dati sono stati mantenuti, come ad esempio le abitudini di vita quotidiana, luoghi permanenti o temporanee di residenza o altri movimenti, le attività effettuate, le relazioni sociali delle persone e gli ambienti sociali frequentati da loro.” Quindi, anche se la direttiva 2006/24 “non consente il mantenimento del contenuto della comunicazione,” secondo la Corte di giustizia europea “non si può escludere che la conservazione dei dati in questione potrebbe avere un effetto […] sul loro esercizio della libertà di espressione garantita dall’articolo 11 della Carta.” Al tempo stesso, il mantenimento “direttamente e specificamente colpisce la vita privata e, di conseguenza, i diritti garantiti dall’articolo 7 della Carta. Inoltre, tale conservazione dei dati rientra anche ai sensi dell’articolo 8 della Carta perché costituisce il trattamento dei dati personali.”
La Corte di giustizia ha iniziato, infine, una revisione della direttiva — concentrandosi in particolare sulla possibile violazione del diritto alla privacy e protezione dati. Ha sollevato: in primo luogo, la questione se la direttiva sulla conservazione dei dati costituisse un’interferenza con gli Articoli 7 e 8 della Carta dei diritti fondamentali dell’UE; e poi, la questione se tale interferenze fossero giustificate.
Sul primo punto, la Corte di giustizia ha, ben presto, stabilito che l’ obbligo imposto dall’articolo 6 della direttiva 2006/24 di mantenere i meta-dati “costituisce di per sé un’interferenza con i diritti garantiti dall’articolo 7 della Carta”. Inoltre ha sottolineato il limite posto dalla direttiva all’articolo 8 della Carta, sottolineando come le interferenze prodotte in relazione al diritto alla protezione dei dati personali siano state “ampie” e “particolarmente gravi”. Infine, in relazione a questo punto, la Corte ha sottolineato come “il fatto che i dati vengano mantenuti e successivamente utilizzato senza che l’abbonato o l’utente registrato sia informato è in grado di generare nelle menti delle persone interessate la sensazione che le loro vite private sono oggetto di costante sorveglianza”.
In merito al quesito riguardante la giustificazione di tali interferenze, la Corte ha si ammesso che la Direttiva 2006/24 è legittime in quanto persegue l’obiettivo legittimo del generale interesse, vale a dire la “lotta contro i reati gravi” e la “lotta contro internazionale il terrorismo al fine di mantenere la pace e la sicurezza internazionale”; tuttavia ammette che questa abbia agito in maniera sproporzionata. In merito a questa affermazione la Corte di giustizia agisce svolgendo un test multilivello per verificarne la proporzionalità. Un primo livello di analisi è il “test di idoneità” superato in base al fatto, che già aveva riportato in precedenza che la disposizione è appropriata all’obbiettivo. Il secondo livello di analisi è il “test di necessità” : questo non viene superato in quanto la Corte ritiene che l’interferenza con il diritto alla privacy non è limitata a quanto strettamente necessario, come la legge prevedeva, ma al contrario “comporta un’interferenza con i diritti fondamentali di praticamente tutta la popolazione europea”.
A questo punto vanno sottolineate altre problematicità che si rilevano sulla Direttiva 2006/24, come il fatto che la Direttiva si applichi a chiunque utilizzi i servizi di comunicazione elettronica, senza che questi siano davvero sospettati; che, inoltre, non sia posto alcun limite alle autorità nazionali di accedere ai dati conservati dalle aziende private se non il fatto che questo debba essere motivato con la giustificazione di un “reato grave”, che rimanda, però, alle definizioni che ogni singolo Stato da al concetto di “reato grave”. Altro punto debole della direttiva è il fatto di non dare un calendario rigoroso per la conservazione dei dati (che va da un minimo di sei mesi ad un massimo di due anni); ed infine è da considerare il modo in cui questi dati sono conservati da parte dei gestori dei servizi di comunicazione elettronica: non si sono, infatti, previste garanzie di sicurezza e protezione sufficienti.
La protezione dei diritti umani nell’era digitale
La ricostruzione del quadro normativo e della decisione della Corte di giustizia nella sentenza “Digital Rights Ireland Ltd v. Minister for Communication” è funzionale al discorso che andremo ad affrontare sulla tutela dei diritti umani nell’era digitale.
La sentenza arriva a conclusione di un periodo di grandi sviluppi giurisprudenziali nel campo dei diritti umani, periodo in cui l’Unione Europea ha dimostrato di porre un’attenzione maggiore al campo della tutela dei diritti fondamentali. La Corte di giustizia europea, in particolar modo, ha dimostrato in una molteplicità di sentenze di volersi porre come controllore in materia del rispetto dei diritti umani. In sostanza, come dimostra anche la sentenza che abbiamo esaminato precedentemente, si ha avuto una riaffermazione dell’importanza dei diritti umani anche rapportata alla sicurezza nazionale, che negli anni precedenti era stata privilegiata, in virtù del pericolo rappresentato dal terrorismo.
È dall’11 settembre che, a livello globale, la sorveglianza è stata attuata con politiche nuove e pervasive per prevenire futuri attacchi terroristici: si sono rafforzati gli strumenti di monitoraggio delle agenzie di sicurezza, abbiamo assistito ad un controllo oppressivo della vita dei cittadini. La direttiva 2006/24 era il risultato europeo del lavoro nel campo della sorveglianza.
È chiaro che l’esistenza di un controllo su qualsiasi interazione digitale, di qualsiasi cittadino rende deboli le relazioni umane, influenzando queste e le vite private di ogni individuo, come risulta chiaro anche dal giudizio che la Corte di giustizia ha espresso in sentenza. Può essere definito realmente “regime di sorveglianza” come lo definì la Corte Costituzionale tedesca nel rinvio alla Corte di giustizia europea. Un “regime di sorveglianza” che risulta ostile alla privacy nonché alla democrazia stessa.
Nella sentenza, la Corte di giustizia ha avanzato un quadro di difesa del diritto alla privacy e alla protezione dei dati, in linea con la giurisprudenza che abbiamo visto prima, e rafforza le garanzie per affrontare le sfide che pone l’era digitale. Con la sentenza non si nega la necessità di una lotta al terrorismo e di maggior sicurezza sociale ma si afferma un principio di proporzionalità rigorosa: qualsiasi interferenza con i diritti fondamentali deve essere adeguata agli obbiettivi.
Nell’era digitale, la privacy e tutti i diritti ad essa collegati devono essere tutelati in maniera maggiore, e lo stesso mantenimento dei metadati, che forniscono informazioni su tutta la vita dei cittadini (abitudini, stili di vita ecc ecc), è una minaccia al diritto.
La decisione della Corte di giustizia viene definita da Fabbrini (vd. nota)come un punto di svolta, infatti, verrà presto sostituita da un’altra direttiva che cercherà di risolvere le problematiche che la 2006/24 portava. Ma un punto di svolta può esserlo non solo nell'ambito europeo ma, anche, in quello internazionale ed in particolare per gli Stati Uniti. Qui le rivelazioni di un programma di sorveglianza delle comunicazioni elettroniche su larga scala hanno creato un dibattito pubblico forte, che vuole portare ad un cambiamento: in questo contesto la sentenza della Corte di giustizia potrebbe funzionare da insegnamento per placare l’ansia dei cittadini.
In realtà è da notare come il giudizio della Corte di giustizia Europea non ha avuto un seguito a livello degli Stati membri: mentre si richiedeva, infatti, di porre maggior attenzione alla normativa sulla Data Retention, i paesi UE hanno continuato a creare una normativa in linea con il trend degli anni precedenti alla sentenza. In Europa è sempre attuale e centrale il problema della sicurezza nazionale (anche alla luce dei recenti attacchi terroristici) che prevale su tutti gli altri diritti. Ad esempio di ciò possiamo rivedere il caso italiano:è di pochi mesi fa un emendamento, da poco approvato, alla Legge Europea 2017 che conteneva la proposta di innalzare il periodo di conservazione dei dati a 6 anni. Un tale risultato in Europa, pone dubbi anche sull'affermazione di Fabbrini che la sentenza può essere esempio per gli Stati Uniti, che difficilmente sacrificherebbero la loro sicurezza nazionale.
Nonostante ciò, nel nuovo mondo reso possibile dalla globalizzazione e dalla digitalizzazione, Stati Uniti ed Europa devono rimanere all'avanguardia nella tutela della privacy e dei diritti fondamentali, su scala globale e comparata, contemperando il quello generale di difesa dello stato.
Palarchi Alice
