In data 21 dicembre 2016, la Corte di Giustizia dell’Unione Europea ha rilevato che il diritto dell’Unione osta a una normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati (cause riunite C-203/15, Tele2 Sverige AB / Post-och telestyrelsen, e C-698/15, Secretary of State for the Home Department / Tom Watson e a ).

La Corte e’ tornata sul tema successivamente alla sentenza (Sentenza della Corte dell’8 aprile 2014, Digital Rights Ireland e Seitlinger e.a. (cause riunite C-293/12 e C-594/12; v. comunicato stampa n. 54/14) che ha dichiarato invalida la direttiva sulla conservazione dei dati (Direttiva 2006/24/CE), a motivo del fatto che l’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, determinata dall’obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione, non era limitata allo stretto necessario.

La Corte e’ partita dall’assunto che le misure nazionali in questione rientrano nell’ambito di applicazione della direttiva. La Corte constata, poi, che, se certo la direttiva suddetta consente agli Stati membri di limitare la portata dell’obbligo di principio di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ad esse correlati, essa non può però giustificare che la deroga a tale obbligo di principio e, in particolare, al divieto di memorizzare tali dati, prevista dalla direttiva stessa, divenga la regola. Inoltre, la Corte ricorda la propria costante giurisprudenza secondo cui la tutela del diritto fondamentale al rispetto della vita privata esige che le deroghe alla protezione dei dati personali intervengano entro i limiti dello stretto necessario. La Corte applica tale giurisprudenza alle norme disciplinanti la conservazione dei dati e a quelle disciplinanti l’accesso ai dati conservati.

Per quanto riguarda la conservazione, la Corte constata che i dati conservati considerati nel loro insieme sono tali da consentire di ricavare conclusioni assai precise sulla vita privata delle persone i cui dati sono stati conservati.

Pertanto, l’ingerenza risultante da una normativa nazionale che preveda la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione deve essere considerata particolarmente grave. Il fatto che la conservazione dei dati venga effettuata senza che gli utenti dei servizi di comunicazione elettronica ne siano informati è idoneo a ingenerare, nello spirito delle persone riguardate, la sensazione che la loro vita privata costituisca l’oggetto di una sorveglianza continua. Di conseguenza, soltanto la lotta contro la criminalità grave è idonea a giustificare un’ingerenza siffatta.

Per quanto riguarda l’accesso delle autorità nazionali competenti ai dati conservati, la Corte conferma che la normativa nazionale in questione non può limitarsi ad esigere che l’accesso risponda ad uno degli obiettivi previsti dalla direttiva, quand’anche questo fosse la lotta contro la criminalità grave, ma deve altresì prevedere le condizioni sostanziali e procedurali disciplinanti l’accesso delle autorità nazionali competenti ai dati conservati. Tale normativa deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali l’accesso ai dati deve essere concesso alle autorità nazionali competenti.

La Corte rileva che una normativa la quale preveda una conservazione generalizzata e indifferenziata dei dati non richiede alcuna correlazione tra i dati di cui si prevede la conservazione ed una minaccia per la sicurezza pubblica.

La Corte chiarisce, per contro, che la direttiva non osta ad una normativa nazionale che imponga una conservazione mirata dei dati per finalità di lotta contro gravi fenomeni di criminalità, a condizione che tale conservazione dei dati sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone implicate, nonché la durata di conservazione prevista, limitata allo stretto necessario. Secondo la Corte, qualsiasi normativa nazionale che vada in tal senso deve essere chiara e precisa e prevedere garanzie sufficienti al fine di proteggere i dati contro i rischi di abuso .

Oltre a ciò, la Corte dichiara che è essenziale che l’accesso ai dati conservati sia subordinato, salvo in casi di urgenza, ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente. Inoltre, le autorità nazionali competenti cui sia stato consentito l’accesso ai dati conservati devono darne comunicazione alle persone interessate. Tenuto conto della quantità di dati conservati, del carattere sensibile di tali dati, nonché del rischio di accesso illecito a questi ultimi, la normativa nazionale deve prevedere che i dati siano conservati nel territorio dell’Unione e che essi vengano irreversibilmente distrutti al termine della durata della loro conservazione.

In Italia, le prescrizioni dell’art. 132 del Codice privacy e del provvedimento del 2008 del Garante privacy sono frutto appunto della direttiva dichiarata invalida dalla Corte di Giustizia dell’Unione Europea. Tuttavia, il menzionato art.132 del Codice, come piu’ volte modificato piu’ volte, definisce un periodo di conservazione dei dati certo e determinate. Si ricorda pero’ che per motivi di sicurezza, ai sensi dell'art. 4 quater del Decreto legge 30 dicembre 2015 n. 210 coordinato con le modifiche introdotte dalla legge di conversione 25 febbraio 2016 n. 21, sono stati prorogati i termini in materia di conservazione dei dati di traffico telefonico e telematico.

Con una modifica all’articolo 4-bis del decreto antiterrorismo, Dl 7/2015, convertito, con modificazioni, dalla legge 43/2015, e' stata prevista, al fine dell’accertamento e repressione dei reati di grave allarme sociale e di terrorismo, la proroga di 6 mesi della deroga alle ordinarie modalità di conservazione dei dati telefonici e telematici detenuti dagli operatori dei servizi di telecomunicazione. , dunque, i suddetti operatori sono tenuti a conservare i dati del traffico telefonico e telematico, nonché i dati relativi alle chiamate senza risposta, acquisiti a decorrere dal 21 aprile 2015, in deroga a quanto previsto dall’articolo 132 del Codice in materia di protezione dei dati personali (Dlgs 196/2003) fino al 30 giugno 2017.