La normativa europea sulla data retention verrà aggiornata, ma senza fretta.

AGGIORNAMENTO 11 DICEMBRE 2014: come è noto, la direttiva data retention è stata annullata nel aprile 2014, dando luogo a reazioni sparse tra i vari Stati membri dell’Unione Europea. La revisione della direttiva privacy 95/46 è ancora in mezzo al guado. nel frattempo, in data 11 dicembre 2014 la Corte di giustizia dell’Unione Europea ha emesso una sentenza (sentenza nella causa C-212/13 František Ryneš / Úřad pro ochranu osobních údajůche) pone dei limiti all’utilizzo della video-sorveglianza in luoghi pubblici, ponendo così problemi ai detentori di telecamere che sono del tutto equiparati a responsabili del trattamento (per tutte le immagini riprese sulla pubblica via).

Il Commissario europeo per gli Home Affairs, la svedese Cecilia Malmström, ha annunciato ieri, durante un’audizione formale presso il Parlamento Europeo, che la revisione della direttiva 2006/24/EC sulla data retention si farà, ma con calma. La ragione di questo ritardo sarebbe dovuta in gran parte al contemporaneo processo di revisione della Direttiva Data Protection (Direttiva 95/46/EC), il cui esame presso il Parlamento Europeo è iniziato da pochi mesi. Data retention e data protection sono infatti materie strettamente interconnesse: mentre la prima regola le modalità ed i limiti, anche temporali, attraverso i quali gli operatori di telecomunicazioni devono conservare i dati di traffico dei propri utenti (assieme ad altri dati di natura personale), la seconda concerne la protezione tout-court dei dati personali. L’interdipendenza reciproca è quindi evidente: le scelte fatte in tema di data protection, in particolare il bilanciamento di interessi tra i diritti individuali e quelli di carattere economico o generale, sono destinate ad influire sulla disciplina della data retention, dove occorre decidere fino a che punto gli individui dovrebbero tollerare che i loro dati personali vengano conservati presso i servers degli ISP per fini di giustizia (in genere, per permettere investigazioni dell’autorità giudiziaria).

Il commissario Malmström non ha indicato un timetable preciso, tuttavia tutto lascia pensare che non si inizierà prima del 2014 (visti i tempi di revisione della direttiva data protection, che si preannunciano lunghi, incerti e combattuti).

Il settore degli ISP e delle telcos gioisce a metà. La disciplina della data retention è normalmente mal supportata dall’industria perchè comporta spese, responsabilità e complessità da parte degli operatori, che devono predisporre sistemi informatici considerevoli per venire incontro alle istanze delle autorità di pubblica sicurezza. Per di più, l’efficacia di tale strumento è stata spesso contestata, quanto meno nella sua ampiezza (dati statistici indicano che l’utilità dei dati conservati, per fini di giustizia, diventa praticamente nulla dopo 3 mesi: purtuttavia molti Stati europei insistono nel richiedere la conservazione fino a 24 mesi). Infine, vi sono i cittadini, che possono rivalersi verso gli ISP qualora i loro dati personali siano  oggetto di accessi indesiderati o illeciti, il che è fonte di responsabilità e conflittualità.

Qualcuno sperava che la Commissione potesse annunciare una scelta radicale, quella cioè di abolire tout-court la direttiva data retention, ma così non è stato. Tuttavia, i tempi lunghi della revisione comportano che eventuali inasprimenti della nuova normativa tarderanno ad arrivare, e saranno comunque oggetto di lunghe battaglie. Si allontana, però, anche la possibilità di un rimborso per gli investimenti sostenuti per predisporre le necessarie apparecchiature informatiche. Il Commissario Malmström aveva lasciato intravedere aperture su questo tema che sta molto a cuore agli ISP, ma ora se ne riparlerà alle calende greche.

Per completezza di informazione, la direttiva 2006/24/EC in Italia è stata recepita con il Decreto Legislativo 2008/109, che ha modificato il codice della privacy, in particolare l’articolo 132. In altri paesi la trasposizione è stata particolarmente travagliata. Belgio e Germania non l’hanno trasposta per niente, in Germania perchè la Corte costituzionale di Karlsruhe l’ha ritenuta contraria alla Costituzione tedesca. Il che non ha impedito alla Commissione Europea di portare proprio la Germania di fronte alla Corte europea di giustizia per mancata trasposizione della direttiva. In Irlanda un giudice locale ha contestato la legittimità della direttiva e ne ha richiesto l’esame alla Corte europea di giustizia. In Repubblica Ceca, come in Germania, la Corte Costituzionale ha dichiarato la direttiva illegittima. Azioni contro la direttiva sono state lanciate anche in Slovacchia.

*****

Per finire, un po’ di musica di Inno.