(di Francesca Maculan)

Nelle cause riunite C-293/2012 e C-594/2012, la Corte di Giustizia è stata chiamata a pronunciarsi sulla validità della direttiva 24/2006, relativa alla conservazione dei dati trattati nell’ambito della fornitura di servizi di comunicazione elettronica o di reti pubbliche di comunicazione. La direttiva in oggetto ha come obiettivo quello di garantire la disponibilità di dati relativi al traffico, all’ubicazione nonché i dati connessi necessari per identificare l’abbonato o l’utente a fini di indagine, accertamento e perseguimento di reati gravi, come ad esempio i reati legati alla criminalità organizzata e al terrorismo.

La Corte era stata interpellata dalla High Court (Alta Corte, Irlanda) e dal Verfassungsgerichtshof (Corte costituzionale, Austria) per esaminare la direttiva alla luce di due diritti fondamentali garantiti dalla Carta dei diritti fondamentali dell’Unione europea: il diritto al rispetto della vita privata e il diritto alla protezione dei dati di carattere personale.

La Corte ha rilevato anzitutto che i dati che la direttiva impone di conservare consentono di raccogliere numerose informazioni di carattere privato, come ad esempio con chi e con quale mezzo l’utente o l’abbonato ha comunicato, il momento e il luogo della comunicazione nonché la frequenza delle comunicazioni, permettendo in tal modo di tracciare un quadro delle attività quotidiane del soggetto e dei suoi spostamenti. Per questi motivi, la direttiva tocca in modo sostanziale i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali. La Corte aggiunge, tuttavia, che tale trattamento non lede però il contenuto essenziale di tali diritti e trova sicura giustificazione negli obiettivi di pubblica sicurezza e di lotta alla criminalità.

La Corte ritiene tuttavia che il legislatore comunitario abbia ecceduto i limiti imposti dal rispetto del principio di proporzionalità: proprio per la tipologia di diritti su cui la direttiva incide, il legislatore ha un potere discrezionale ridotto e deve attenersi ad una regolamentazione della materia che sia rigorosa e limitata allo stretto necessario. Da questo punto di vista, il giudice comunitario censura, in primis, il fatto che la direttiva prenda in considerazione un insieme generico di individui, mezzi di comunicazione e dati, senza operare distinzioni, limitazioni o eccezioni in ragione dell’obiettivo della lotta contro i reati gravi. Inoltre la direttiva non prevede presupposti materiali e procedurali per l’accesso e l’utilizzo di tali dati da parte delle autorità nazionali, con la conseguenza di non limitare o controllare, di fatto, l’utilizzo che ne possono fare le stesse. La Corte si esprime in senso negativo anche in relazione alla durata della conservazione dei dati, non differenziata a seconda dei soggetti coinvolti e degli obiettivi della conservazione.

Il giudice conclude infine affermando che la direttiva in questione è priva di garanzie che possano permettere un’effettiva protezione dei dati registrati e prevenire così il rischio di abusi. La stessa non impone, infatti, particolari sistemi di sicurezza o obblighi di distruzione irreversibile dei dati raccolti allo scadere dei termini di conservazione, né obbliga alla conservazione dei dati all’interno del territorio dell’Unione Europea. Per la Corte viene a mancare così la possibilità di attuare un pieno controllo da parte di un’autorità indipendente che possa garantire il rispetto delle esigenze di sicurezza e protezione richieste dalla Carta, controllo in particolar modo necessario ed essenziale in relazione ad una materia delicata come la protezione dei dati personali degli individui coinvolti.

L’esito della disamina della Corte è dunque la dichiarazione di invalidità della direttiva 24/2006.