Corte Ue: i dati personali si possono conservare solo in caso di “grave minaccia” alla sicurezza nazionale

L'ingresso principale della Corte di Giustizia Europea in Lussemburgo. EPA-EFE/JULIEN WARNAND

I Paesi dell’Ue sono autorizzati a effettuare la trasmissione e la conservazione indiscriminata dei dati delle comunicazioni solo in presenza di una “grave minaccia alla sicurezza nazionale”, ha dichiarato martedì (6 ottobre) la corte Ue.

La Corte di giustizia europea ha affermato che tali pratiche svolte dalle agenzie di sicurezza devono essere “limitate allo stretto necessario” e che inoltre devono essere soggette al controllo di un tribunale di un’autorità amministrativa indipendente.

In generale la prassi dei Paesi dell’Ue che obbliga i fornitori di servizi a curiosare sui dati delle comunicazioni contravviene alla direttiva ePrivacy del 2002 e rappresenta una “grave interferenza” con le tutele delineate nella Carta dell’Ue.

A questo proposito, in assenza di una valida minaccia alla sicurezza nazionale, la sorveglianza di massa e indiscriminata delle reti di comunicazione non può essere consentita.

La sentenza è stata emessa dopo che diversi gruppi per la tutela della privacy avevano sollevato il caso nel Regno Unito, in Belgio e in Francia, sostenendo che i regimi di conservazione ed elaborazione dei dati in quei Paesi violavano i diritti sanciti dall’Ue.

I ricorrenti nel caso, in particolare l’ente di beneficenza britannico Privacy International, lamentavano la raccolta di grandi quantità di dati personali e di dati sulle comunicazioni da parte delle agenzie di sicurezza e di intelligence del Regno Unito.

Privacy International ha applaudito la decisione della Corte di Giustizia europea che ha riaffermato l’obbligo per le agenzie di polizia di condurre programmi di sorveglianza solo in specifiche condizioni di sicurezza nazionale.

“La sentenza odierna rafforza lo stato di diritto nell’Ue. In questi tempi turbolenti, serve a ricordare che nessun governo dovrebbe essere al di sopra della legge. Le società democratiche devono porre limiti e controlli sui poteri di sorveglianza delle nostre forze di polizia e delle agenzie di intelligence”, ha detto Caroline Wilson Palow, direttore di Privacy International. “La polizia e le agenzie di intelligence svolgono un ruolo molto importante nel tenerci al sicuro, ma devono farlo in modo da evitare abusi del loro considerevole potere”, ha aggiunto.

La Corte di giustizia europea ha anche avvertito martedì che tali dati, raccolti nell’ambito di un procedimento penale con modalità che violano il diritto comunitario, non saranno ammissibili nei processi.

Tuttavia, la sentenza di martedì ha anche chiarito che gli Stati membri stessi sono responsabili di definire quali attività costituiscono una minaccia alla sicurezza nazionale. Inoltre, gli strumenti di sorveglianza possono continuare ad essere applicati oltre un certo limite di tempo, qualora la minaccia dovesse essere giudicata persistente.

Le preoccupazioni relative al trasferimento dei dati tra Regno Unito e Ue

La sentenza della Corte giunge in un momento cruciale per i trasferimenti di dati tra l’Ue e il Regno Unito, poiché la Commissione europea sta ancora valutando l’adeguatezza del panorama della protezione dei dati nel Regno Unito rispetto agli standard dell’Ue.

La conclusione che i poteri di sorveglianza del Regno Unito, come delineato nell’Investigatory Powers Act del 2016, avrebbero dovuto essere soggetti al diritto dell’Ue finché il Regno Unito è stato uno Stato membro dell’Ue e, che di conseguenza, non sono attualmente compatibili con il diritto dell’Ue, solleverà ulteriori interrogativi su quanto i poteri del Regno Unito  in materia potranno discostarsi dal diritto dell’Ue sul tema della protezione dei dati.

Nel caso in cui alla fine la divergenza fosse considerata come troppo seria, al Regno Unito potrebbe non essere concesso un accordo che consenta la trasmissione dei dati tra il Regno Unito e l’Ue al termine del periodo di transizione, il 31 dicembre. Questa sentenza sulla sicurezza nazionale ha per le imprese britanniche conseguenze più ampie di quanto potrebbe apparire all’inizio.

Qualora il Regno Unito non riuscisse ad ottenere un accordo per il trasferimento dei dati con l’Ue le imprese del Regno Unito dovrebbero rivedere i loro accordi contrattuali con i clienti, inserendo le cosiddette “clausole contrattuali standard” che garantiscano un livello minimo di protezione dei dati commisurato agli standard dell’Ue.

In questo contesto, l’esecutivo di Bruxelles teme che alcuni aspetti del regime di protezione dei dati del Regno Unito possano cambiare in futuro e avere un impatto negativo sulla sicurezza dei dati personali europei una volta trasferiti nel Paese. “Malgrado il Regno Unito applichi le norme di protezione dei dati dell’Ue durante il periodo di transizione, alcuni aspetti del suo sistema potrebbero cambiare in futuro, come le norme sui trasferimenti internazionali”, ha dichiarato recentemente a EURACTIV una fonte della Commissione. “Questi aspetti, pertanto, sollevano questioni che devono essere affrontate”.