23.9.2011   

IT

Gazzetta ufficiale dell'Unione europea

C 279/1

1.

Il 18 aprile 2011 la Commissione ha presentato la relazione di valutazione dell'applicazione della direttiva sulla conservazione dei dati (in prosieguo: «relazione di valutazione») (4). Lo stesso giorno, la relazione di valutazione è stata trasmessa al GEPD a fini di informazione. Per i motivi indicati al seguente punto I.2, il GEPD emana il presente parere di propria iniziativa, in conformità dell'articolo 41 del regolamento (CE) n. 45/2001.

2.

Prima dell'adozione della comunicazione, il GEPD ha avuto l’opportunità di formulare alcune osservazioni informali. Il Garante si compiace del fatto che la Commissione, in sede di stesura della versione definitiva del documento, abbia tenuto conto di un certo numero di tali osservazioni.

3.

La Commissione ha elaborato la relazione di valutazione per ottemperare al proprio obbligo, previsto dall'articolo 14 della direttiva sulla conservazione dei dati, di valutare l'applicazione della direttiva e il suo impatto sugli operatori economici e sui consumatori, allo scopo di determinare la necessità di modificare le disposizioni della direttiva (5). Il GEPD si compiace del fatto che, benché non strettamente richiesto dall'articolo 14, nella relazione la Commissione abbia tenuto conto anche delle implicazioni della direttiva per i diritti fondamentali, alla luce delle critiche formulate sulla conservazione dei dati in generale (6).

4.

La direttiva sulla conservazione dei dati ha costituito la risposta dell'UE alle urgenti sfide poste alla sicurezza dagli importanti attentati terroristici di Madrid nel 2004 e di Londra nel 2005. Malgrado il fine legittimo dell'attuazione di un regime di conservazione dei dati, l'enorme impatto della misura sulla vita privata dei cittadini ha suscitato alcune critiche.

5.

L'obbligo di conservare i dati ai sensi della direttiva sulla conservazione dei dati consente alle autorità nazionali competenti di ricostruire, fino a un periodo di due anni, il comportamento di tutti gli utenti di telefonia e di Internet all’interno dell'UE ogniqualvolta usano il telefono o Internet.

6.

La conservazione dei dati costituisce, chiaramente, un'ingerenza nel diritto alla vita privata delle persone interessate, di cui all'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (in prosieguo: «CEDU») e all'articolo 7 della Carta dei diritti fondamentali dell'Unione europea.

7.

La Corte europea dei diritti dell'uomo (in prosieguo: «la Corte») ha ripetutamente dichiarato che la «semplice conservazione di dati riguardanti la vita privata di una persona costituisce ex se un'ingerenza ai sensi dell'articolo 8 [CEDU]» (7). In particolare, per quanto concerne i dati telefonici, la Corte ha dichiarato che «la consegna di queste informazioni alla polizia, senza il consenso dell'abbonato, si risolve […] in un'ingerenza nel diritto garantito dall'articolo 8 [CEDU]» (8).

8.

Dall'articolo 8, paragrafo 2, della CEDU e dall'articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’UE si evince la possibilità di giustificare un'ingerenza qualora questa sia prevista dalla legge, persegua uno scopo legittimo e sia necessaria, in una società democratica, per il conseguimento di quello scopo legittimo.

9.

Il GEPD ha riconosciuto che la disponibilità di taluni dati relativi al traffico e all'ubicazione può essere fondamentale per le autorità di contrasto nella lotta contro il terrorismo e altri reati gravi. Tuttavia, nel contempo, ha ripetutamente espresso i propri dubbi in merito alla giustificazione di una conservazione di dati di tale portata, alla luce dei diritti alla vita privata e alla protezione dei dati (9). Tali dubbi sono stati condivisi dalle principali organizzazioni della società civile (10).

10.

Fin dal 2005 il GEPD ha seguito da vicino l'elaborazione, l'attuazione e la valutazione della direttiva in vari modi. Nel 2005 ha emanato un parere critico a seguito della presentazione della proposta di direttiva da parte della Commissione (11). Dopo l'adozione della direttiva, il GEPD è diventato membro del gruppo di esperti sulla conservazione dei dati, di cui al considerando 14 della direttiva sulla conservazione dei dati (12). Inoltre, il Garante partecipa ai lavori del Gruppo di lavoro dell'articolo 29, che ha pubblicato diversi documenti sulla questione, il più recente dei quali è una relazione del luglio 2010 sull'applicazione della direttiva nella pratica (13). Infine, il GEPD è intervenuto in una causa promossa dinanzi alla Corte di giustizia europea in cui era stata contestata la validità della direttiva (14).

11.

L'importanza della relazione di valutazione e del processo di valutazione non deve essere sottovalutata (15). La direttiva sulla conservazione dei dati è un noto esempio di una misura a livello UE volta a garantire la disponibilità di dati generati e trattati nel contesto di comunicazioni elettroniche per attività di contrasto. Ora che la misura è stata attuata da diversi anni, una valutazione della sua applicazione pratica dovrebbe effettivamente dimostrarne la necessità e la proporzionalità alla luce dei diritti alla vita privata e alla tutela dei dati. A tal proposito, il GEPD ha definito la valutazione come «il momento della verità» per la direttiva sulla conservazione dei dati (16).

12.

L'attuale processo di valutazione determina i propri effetti anche su altri strumenti relativi alla gestione delle informazioni, quali il trattamento di enormi quantità di dati personali nel settore della libertà, della sicurezza e della giustizia. In una comunicazione del 2010, la Commissione ha concluso che i meccanismi di valutazione dei vari strumenti sono molto diversi (17). Il GEPD ritiene che sarebbe opportuno avvalersi dell'attuale procedura di valutazione per definire lo standard di valutazione degli strumenti dell'UE e garantire che solo le misure realmente giustificate restino in vigore.

13.

Alla luce di quanto esposto, il GEPD desidera condividere le proprie riflessioni sui risultati presentati nella relazione di valutazione in occasione di un parere pubblico. Il suo intervento avviene in una fase iniziale del processo, al fine di apportare un contributo efficace e costruttivo alle discussioni future, possibilmente nel contesto di una nuova proposta legislativa cui fa riferimento la Commissione nella relazione di valutazione (18).

14.

Il presente parere analizzerà ed esaminerà il contenuto della relazione di valutazione dal punto di vista dei diritti alla vita privata e alla tutela dei dati. L’analisi si concentrerà nel valutare se l'attuale direttiva sulla conservazione dei dati rispetta i requisiti espressi da questi due diritti fondamentali e, inoltre, se è stata sufficientemente dimostrata la necessità di conservare i dati, così come disciplinata nella direttiva.

15.

Il presente parere è strutturato nel seguente modo. La parte II illustra il contenuto principale della direttiva sulla conservazione dei dati e il suo collegamento con la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (in prosieguo: «direttiva ePrivacy») (19). La parte III descrive brevemente i cambiamenti apportati dal trattato di Lisbona, dato il loro particolare rilievo in merito alla questione attuale e le conseguenze dirette sul modo in cui le norme dell'UE in materia di conservazione dei dati dovrebbero essere percepite, valutate e possibilmente riviste. La parte più corposa del parere, ossia la parte IV, contiene l'analisi della validità della direttiva sulla conservazione dei dati, alla luce dei diritti alla vita privata e alla protezione dei dati, nonché dei risultati presentati nella relazione di valutazione. La parte V discute i possibili percorsi futuri. Il parere termina con delle conclusioni contenute nella parte VI.

16.

Nel contesto del presente parere, l’espressione conservazione dei dati si riferisce all'obbligo imposto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione di conservare, per un certo periodo di tempo, i dati relativi al traffico e all'ubicazione per identificare l'abbonato o l'utente. Detto obbligo è previsto dalla direttiva sulla conservazione dei dati che, all'articolo 5, paragrafo 1, specifica ulteriormente le categorie di dati da conservare. Ai sensi dell'articolo 6 della direttiva, gli Stati membri provvedono affinché questi dati siano conservati per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione.

17.

I dati devono essere conservati qualora siano generati o trattati dai fornitori nel quadro della prestazione dei servizi di comunicazione interessati (articolo 3). Rientrano in questo ambito anche i dati relativi ai tentativi di chiamata non riusciti. A norma della direttiva (articolo 5, paragrafo 1), non può essere conservato alcun dato relativo al contenuto della comunicazione.

18.

I dati sono conservati per garantire la loro disponibilità a fini di «indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale» (articolo 1, paragrafo 1).

19.

La direttiva sulla conservazione dei dati non contiene altre norme sulle condizioni in base alle quali le autorità nazionali competenti possono accedere ai dati conservati. Questo aspetto è lasciato alla discrezionalità degli Stati membri ed esula dal campo di applicazione della direttiva. L'articolo 4 della direttiva sottolinea che queste norme nazionali dovrebbero essere conformi ai criteri di necessità e di proporzionalità previsti in particolare dalla CEDU.

20.

La direttiva sulla conservazione dei dati è strettamente connessa alla direttiva ePrivacy. Quest'ultima, che integra la direttiva generale 95/46/CE sulla protezione dei dati prevedendo l’aggiunta di alcuni dettagli, stabilisce che gli Stati membri devono assicurare la riservatezza delle comunicazioni e dei relativi dati sul traffico (20). La direttiva ePrivacy impone che i dati relativi al traffico e all'ubicazione generati attraverso servizi di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, tranne il caso in cui sono necessari ai fini della fatturazione (21). Previo consenso, alcuni dati possono essere trattati per la durata necessaria alla prestazione di un servizio a valore aggiunto.

21.

Ai sensi dell'articolo 15, paragrafo 1, della direttiva ePrivacy, gli Stati membri possono adottare disposizioni legislative volte a limitare la potata degli obblighi summenzionati qualora tale restrizione «costituisca […] una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati […]». La questione della conservazione dei dati è esplicitamente rammentata nell'articolo 15, paragrafo 1, della direttiva ePrivacy. Gli Stati membri possono «adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato» sulla base dei motivi esposti.

22.

Lo scopo della direttiva sulla conservazione dei dati è stato quello di armonizzare le iniziative degli Stati membri di cui all'articolo 15, paragrafo 1, con riferimento alla conservazione di dati per indagine, accertamento e perseguimento di reati gravi. Occorre sottolineare che la direttiva sulla conservazione dei dati costituisce un'eccezione all'obbligo generale previsto nella direttiva ePrivacy relativo alla cancellazione dei dati non più necessari (22).

23.

L’adozione della direttiva sulla conservazione dei dati ha comportato l’inserimento del nuovo paragrafo 1 bis all'articolo 15 della direttiva ePrivacy, in cui viene stabilito che l'articolo 15, paragrafo 1, non si applica ai dati la cui conservazione è specificamente richiesta dalla direttiva sulla conservazione dei dati, ai fini di cui all'articolo 1, paragrafo 1, di tale direttiva.

24.

La relazione di valutazione, come sarà ulteriormente discusso nella parte IV.3 del presente parere, precisa che gli Stati membri hanno fatto ricorso all'articolo 15, paragrafo 1 e paragrafo 1 bis, per usare i dati conservati ai sensi della direttiva sulla conservazione dei dati anche per altri scopi (23). A tal proposito il GEPD ha parlato di una «faglia» all’interno del quadro giuridico che pregiudica la finalità della direttiva sulla conservazione dei dati, ovvero la creazione di condizioni di parità per le imprese (24).

25.

Con l'entrata in vigore del trattato di Lisbona, il contesto giuridico generale dell'UE pertinente alla direttiva sulla conservazione dei dati è notevolmente cambiato. Un importante cambiamento è dato dall'abolizione della struttura a pilastri, che aveva creato diverse procedure legislative e meccanismi di revisione per i vari settori di competenza dell'UE.

26.

La precedente struttura a pilastri sollevava regolarmente alcune discussioni sulla corretta base giuridica di uno strumento a livello dell’UE qualora una materia rientrasse nella competenze dell'UE nei diversi pilastri. La scelta della base giuridica non era irrilevante, dal momento che determinava l'applicazione di diverse procedure legislative in relazione, ad esempio, ai criteri di voto nel Consiglio (maggioranza qualificata o unanimità) o alla partecipazione del Parlamento europeo.

27.

Queste discussioni erano altamente rilevanti per la conservazione dei dati. Poiché la direttiva sulla conservazione dei dati mirava ad armonizzare l'obbligo imposto agli operatori e, quindi, ad eliminare gli ostacoli per il mercato interno, è stato possibile trovare la base giuridica nell'articolo 95 del trattato CE (ex primo pilastro). Tuttavia, sarebbe stato possibile impostare la questione dal punto di vista delle attività di contrasto, sostenendo che lo scopo della conservazione dei dati consisteva nel perseguimento di reati gravi nel contesto della cooperazione di polizia e delle autorità giudiziarie in materia penale di cui al trattato CE (ex terzo pilastro) (25).

28.

Di fatto, la direttiva sulla conservazione dei dati è stata adottata sulla base dell'articolo 95 dell'ex trattato CE, disciplinando solo gli obblighi per gli operatori. La direttiva non include pertanto norme sull'accesso e sull'uso dei dati conservati da parte delle autorità di contrasto.

29.

Dopo l'adozione, la validità della direttiva è stata contestata dinanzi alla Corte di giustizia. Poiché lo scopo della conservazione dei dati (indagine, accertamento e perseguimento di reati gravi) rientrava nella competenza dell'UE nel terzo pilastro (26), è stato sostenuto che la direttiva avrebbe dovuto basarsi sul terzo pilastro, non sul primo. Tuttavia, dato che l'azione delle autorità competenti era lasciata esplicitamente al di fuori del campo di applicazione della direttiva, la Corte di giustizia ha concluso che la direttiva era correttamente basata sul trattato CE (27).

30.

Sin dall'inizio, il GEPD ha affermato che qualora l'UE avesse dovuto dotarsi di uno strumento sulla conservazione dei dati, tale strumento avrebbe dovuto disciplinare l'obbligo per gli operatori nonché l'accesso e il successivo uso da parte delle autorità di contrasto. Nel suo parere del 2005 sulla proposta della Commissione, il GEPD ha sottolineato che l'accesso e il successivo uso da parte delle autorità nazionali competenti costituivano un aspetto essenziale e inseparabile della questione (28).

31.

Come emergerà in seguito, gli effetti negativi del fatto che l'UE disciplinasse soltanto una parte della questione sono stati confermati dall'attuale relazione di valutazione. La Commissione conclude che le differenze nelle leggi nazionali sull'accesso e sul successivo uso da parte delle autorità nazionali competenti hanno creato «notevoli difficoltà» per gli operatori (29).

32.

Con l'abolizione della struttura a pilastri dopo l'entrata in vigore del trattato di Lisbona, i due settori rilevanti delle competenze dell'UE sono stati riuniti nel TFUE, che consente l'adozione della legislazione UE con la medesima procedura legislativa. Questo nuovo contesto dovrebbe consentire l'adozione di un nuovo strumento unico sulla conservazione dei dati volto a regolare gli obblighi per gli operatori, nonché le condizioni per l'accesso e il successivo uso da parte delle autorità di contrasto. Come sarà spiegato nella parte IV.3, i diritti alla vita privata e alla protezione dei dati impongono che un'eventuale revisione della normativa europea relativa alla conservazione dei dati quanto meno disciplini la materia nella sua interezza.

33.

Il trattato di Lisbona non solo ha abolito la struttura a pilastri, ma ha anche riconosciuto la Carta dei diritti fondamentali dell'Unione europea precedentemente non vincolante. Negli articoli 7 e 8 tale Carta includeva il diritto alla vita privata e alla protezione dei dati, ossia il medesimo valore giuridico dei trattati (30). In seguito, nell'articolo 16 del TFUE è stato inserito un diritto soggettivo alla tutela dei dati, creando una base giuridica separata per gli strumenti dell'UE in materia di tutela dei dati personali.

34.

La protezione dei diritti fondamentali rappresenta da tempo una pietra miliare della politica dell'UE, e il trattato di Lisbona ha gettato le basi per un impegno ancora maggiore a favore di questi diritti nel contesto dell'UE. I cambiamenti apportati dal trattato di Lisbona hanno spinto la Commissione ad annunciare, nell'ottobre 2010, la promozione di una «cultura dei diritti fondamentali» in tutte le fasi del processo legislativo e a dichiarare che la Carta dei diritti fondamentali dell'Unione europea «dovrebbe servire da sprone» per la politica dell'Unione europea (31). Il GEPD ritiene che l'attuale processo di valutazione offra alla Commissione una buona opportunità per dimostrare il suo impegno.

35.

La relazione di valutazione evidenzia diverse carenze riscontrate nell’attuale direttiva sulla conservazione dei dati. Le informazioni fornite nella relazione mostrano che la direttiva non è riuscita a soddisfare lo scopo principale, ossia l’armonizzazione delle legislazioni nazionali in materia di conservazione dei dati. La Commissione osserva che sussistono «notevoli» differenze tra le leggi di attuazione quanto alla limitazione delle finalità, l'accesso ai dati, i periodi di conservazione, la protezione e la sicurezza dei dati e le statistiche (32). Secondo la Commissione, le differenze sono parzialmente dovute alla variabilità espressamente prevista dalla direttiva. Tuttavia, la Commissione dichiara che anche al di là di questo aspetto «le differenze nell'applicazione nazionale della conservazione dei dati hanno creato notevoli difficoltà per gli operatori» e che «continua a sussistere una mancanza di certezza del diritto per il settore» (33). È ovvio che tale mancanza di armonizzazione arreca danni a tutte le parti interessate, ossia cittadini, operatori economici e autorità di contrasto.

36.

Dal punto di vista della vita privata e della tutela dei dati, la relazione di valutazione giustifica anche la conclusione che la direttiva sulla conservazione dei dati non soddisfa i requisiti espressi dai diritti alla vita privata e alla tutela dei dati. Le carenze sono molteplici: la necessità della conservazione dei dati, così come disciplinata dalla direttiva sulla conservazione dei dati, non è stata sufficientemente dimostrata; la conservazione dei dati potrebbe, in ogni caso, essere regolata in modo da ledere in misura minore la vita privata; la direttiva sulla conservazione dei dati manca di «prevedibilità». Questi tre punti saranno ulteriormente affrontati nelle parti successive del presente parere.

37.

Un'ingerenza nei diritti alla vita privata e alla tutela dei dati è consentita solo se la misura è necessaria per conseguire uno scopo legittimo. La necessità della conservazione dei dati come misura di contrasto è sempre stata oggetto di importanti discussioni (34). La proposta di direttiva dichiarava che le limitazioni ai diritti alla vita privata e alla tutela dei dati erano «necessarie per rispondere alle finalità generalmente riconosciute della prevenzione e della lotta contro la criminalità e il terrorismo» (35). Tuttavia, nel parere del 2005, il GEPD indicava di non essere convinto di questa dichiarazione, poiché essa necessitava di ulteriori prove (36). Inoltre, in assenza di ulteriori prove, il considerando 9 della direttiva sulla conservazione dei dati recitava che «[…] la conservazione dei dati si è dimostrata uno strumento investigativo necessario ed efficace per le autorità di contrasto in vari Stati membri».

38.

A causa della mancanza di prove sufficienti, il GEPD ha sostenuto che la direttiva sulla conservazione dei dati si basava solo sulla presunzione che la conservazione dei dati, così come disciplinata nella direttiva sulla conservazione dei dati, costituiva una misura necessaria (37). Pertanto, il GEPD ha invitato la Commissione e gli Stati membri ad avvalersi dell'opportunità offerta dalla relazione di valutazione a fornire ulteriori prove atte a confermare che la presunzione della necessità della misura sulla conservazione dei dati e della relativa modalità di regolamentazione nella direttiva sulla conservazione dei dati fosse realmente corretta.

39.

Su questo punto, nella relazione di valutazione la Commissione dichiara che «[l]a maggior parte degli Stati membri è del parere che le norme dell'UE in materia di conservazione dei dati continuino a essere uno strumento necessario per l'attività di contrasto, la protezione delle vittime e la giustizia penale». Essa afferma che la conservazione dei dati svolge un «ruolo importantissimo» nelle indagini penali e «in alcuni casi indispensabile» e dichiara che senza la conservazione dei dati alcuni casi «forse non sarebbero mai stati risolti» (38). La Commissione conclude che l'UE dovrebbe quindi «sostenere e disciplinare la conservazione dei dati quale misura di sicurezza» (39).

40.

Non è certo, tuttavia, se la Commissione possa concludere o meno che la maggior parte degli Stati membri è del parere che la conservazione dei dati sia uno strumento necessario. Non è specificato quali Stati membri costituiscano la maggior parte: in un'UE composta da 27 Stati membri il numero di Stati dovrebbe equivalere ad almeno 14 in modo da poter parlare di maggior parte degli Stati membri. Il numero di Stati membri riferito concretamente nel capitolo 5, sul quale si basano le conclusioni, ammonta a un massimo di nove (40).

41.

Inoltre, sembra che la Commissione si basi principalmente sulle dichiarazioni degli Stati membri in merito alla loro tendenza a ritenere la conservazione dei dati uno strumento necessario ai fini delle attività di contrasto. Queste dichiarazioni, tuttavia, indicano piuttosto che gli Stati membri interessati sono ben lieti dell'esistenza di norme dell'UE sulla conservazione dei dati, ma non possono in quanto tali accertare la necessità della conservazione dei dati come misura di contrasto, sostenuta e disciplinata dall'UE. Le dichiarazioni sulla necessità dovrebbero essere supportate da prove sufficienti.

42.

Non vi è dubbio sulla difficoltà di dimostrare la necessità di una misura lesiva della vita privata. Questo vale specialmente per la Commissione, che si basa principalmente sulle informazioni fornite dagli Stati membri.

43.

Tuttavia, se una misura è già attuata, come nel caso della direttiva sulla conservazione dei dati, e si è acquisita esperienza sul campo, dovrebbero essere disponibili sufficienti informazioni qualitative e quantitative che consentano di valutare se la misura funziona realmente e se potrebbero essere conseguiti risultati paragonabili senza lo strumento o con mezzi alternativi, meno lesivi della vita privata. Tali informazioni dovrebbero costituire una prova genuina e mostrare il nesso fra uso e risultato (41). Inoltre, poiché si tratta di una direttiva dell'UE, le informazioni dovrebbero rappresentare la pratica di almeno la maggior parte degli Stati membri dell'UE.

44.

Dopo un'attenta analisi, il GEPD ritiene che, sebbene la Commissione abbia chiaramente compiuto grandi sforzi per raccogliere informazioni dai governi degli Stati membri, le informazioni quantitative e qualitative fornite dagli Stati membri non sono sufficienti per confermare la necessità della conservazione dei dati così come disciplinata nella direttiva sulla conservazione dei dati. Sono stati forniti esempi interessanti del suo uso; tuttavia esistono troppe lacune nelle informazioni contenute nella relazione per permettere di giungere a conclusioni generali sulla necessità dello strumento. Inoltre, sarebbe necessario un ulteriore esame dei mezzi alternativi. Questi due punti saranno discussi nei punti seguenti.

45.

Per quanto riguarda le informazioni statistiche quantitative, presentate principalmente nel capitolo 5 e nell'allegato X della relazione di valutazione, mancano le informazioni fondamentali. Ad esempio, le statistiche non indicano gli scopi per i quali i dati erano richiesti. Inoltre, le cifre non rivelano se tutti i dati per i quali è stato richiesto l'accesso erano conservati in virtù dell'obbligo legale di conservare i dati o per fini commerciali. In aggiunta, non vengono fornite informazioni sui risultati dell'uso dei dati. Per potere trarre conclusioni, risulta problematico inoltre il fatto che le informazioni dei diversi Stati membri non siano sempre pienamente comparabili e che in molti casi i grafici rappresentino solo nove Stati membri.

46.

Gli esempi qualitativi forniti nella relazione servono a illustrare meglio l’importante ruolo svolto dai dati conservati in alcune situazioni specifiche e i potenziali vantaggi di un sistema di conservazione dei dati. Tuttavia, non in tutti i casi è chiaro se l'uso dei dati conservati fosse l'unico mezzo per perseguire il reato.

47.

Alcuni esempi illustrano l'indispensabilità della misura della conservazione dei dati per combattere la criminalità informatica. A tale proposito occorre osservare che il principale strumento internazionale in questo campo, la Convenzione del Consiglio d'Europa sulla criminalità informatica, non prevede la conservazione dei dati come misura per combattere la criminalità informatica, ma fa riferimento unicamente alla conservazione dei dati come strumento investigativo (42).

48.

La Commissione sembra attribuire un peso considerevole agli esempi forniti dagli Stati membri, dai quali risulta che i dati conservati sono stati usati per escludere sospetti dalle scene del crimine e per verificare alibi (43). Pur esistendo esempi interessanti sul modo in cui i dati vengono impiegati dalle autorità di contrasto, essi non possono essere proposti per dimostrare la necessità della conservazione dei dati. Questo argomento dovrebbe essere usato con cautela perché potrebbe essere oggetto di fraintendimenti, implicando che la conservazione dei dati sia necessaria per provare l'innocenza di cittadini. Questo aspetto sarebbe difficile da conciliare con la presunzione di innocenza.

49.

La relazione di valutazione tratta solo brevemente la questione del valore della conservazione dei dati in relazione agli sviluppi tecnologici, e più specificamente all'uso delle carte SIM prepagate (44). Il GEPD sottolinea che, per valutare l'efficacia della direttiva, sarebbero state utili maggiori informazioni quantitative e qualitative sull'uso delle nuove tecnologie non previste dalla direttiva (come il caso del VoIP e dei social network).

50.

La relazione di valutazione è limitata perché si incentra principalmente sulle informazioni quantitative e qualitative fornite dagli Stati membri che hanno attuato la direttiva sulla conservazione dei dati. Sarebbe stato interessante, tuttavia, notare il verificarsi di differenze sostanziali fra quegli Stati membri e gli Stati membri che non hanno attuato la direttiva. Specialmente negli Stati membri nei quali la legislazione di attuazione è stata dichiarata incostituzionale (Germania, Romania e Repubblica ceca) sarebbe stato interessante osservare l’esistenza di prove relative all'aumento o alla diminuzione dell'esito positivo di indagini penali, prima o dopo le dichiarazioni di incostituzionalità.

51.

La Commissione riconosce che le informazioni fornite sotto forma di statistiche e di esempi nella relazione di valutazione sono «per certi aspetti limitate», ma conclude, tuttavia, che le prove confermano il «ruolo importantissimo dei dati conservati ai fini delle indagini penali» (45).

52.

Il GEPD ritiene che la Commissione avrebbe dovuto essere più critica nei confronti degli Stati membri. Come spiegato, le dichiarazioni politiche di alcuni Stati membri sulla necessità di tale misura non possono da sole giustificare l'intervento dell'UE. La Commissione avrebbe dovuto insistere affinché gli Stati membri fornissero prove sufficienti che dimostrassero la necessità della misura. Ad avviso del GEPD, la Commissione avrebbe dovuto offrire il proprio sostegno alla conservazione dei dati come misura di sicurezza (cfr. pag. 34 della relazione di valutazione) a condizione che gli Stati membri quanto meno fornissero ulteriori prove durante la valutazione dell'impatto.

53.

La necessità della conservazione dei dati così come disciplinata dalla direttiva sulla conservazione dei dati dipende anche dall'esistenza o meno di misure alternative, meno lesive della vita privata e che potrebbero portare a risultati paragonabili. Questo aspetto è stato confermato dalla Corte di giustizia nella sentenza Schecke del novembre 2010, dove la normativa dell'UE sulla pubblicazione dei nomi dei beneficiari di sovvenzioni agricole è stata dichiarata invalida (46). Uno dei motivi dell'annullamento si è basato sul fatto che il Consiglio e la Commissione non avevano preso in considerazione misure alternative conformi all'obiettivo della pubblicazione e meno lesive del diritto al rispetto della vita privata e alla tutela dei dati delle persone interessate (47).

54.

La principale alternativa avanzata nelle discussioni inerenti alla direttiva sulla conservazione dei dati è data dal metodo della conservazione dei dati per ordine giudiziario («congelamento rapido» e «congelamento rapido plus») (48). Tale metodo consiste nel bloccare temporaneamente o «congelare» alcuni dati relativi al traffico e all'ubicazione di telecomunicazioni concernenti solo specifici indiziati di attività criminale, che possono successivamente essere messi a disposizione delle autorità di contrasto previa autorizzazione giudiziaria.

55.

La conservazione dei dati per ordine giudiziario è menzionata, nella relazione di valutazione, nel contesto della summenzionata Convenzione sulla criminalità informatica, ma è considerata inadeguata perché «non garantisce la possibilità di individuare tracce anteriormente all'ordine di conservazione, né consente di condurre indagini quando un soggetto è ignoto o di raccogliere prove, per esempio, sugli spostamenti delle vittime o dei testimoni di reato (49)».

56.

Il GEPD riconosce che l’utilizzo di un sistema di conservazione dei dati per ordine giudiziario, invece di un ampio sistema di conservazione dei dati, comporta la disponibilità di un minor numero di informazioni. Tuttavia, è proprio per la sua natura più mirata che la conservazione dei dati per ordine giudiziario costituisce uno strumento meno lesivo della vita privata in termini di ampiezza e di numero di persone su cui incide. La valutazione dovrebbe incentrarsi non soltanto sui dati disponibili, ma anche sui diversi risultati conseguiti con entrambi i sistemi. Il GEPD ritiene che un esame approfondito di questa misura sia giustificato e indispensabile. E tale esame potrebbe essere realizzato durante la valutazione dell'impatto nei prossimi mesi.

57.

A questo proposito, è deplorevole che nelle conclusioni della relazione la Commissione si impegni a valutare se e come un approccio a livello UE alla conservazione dei dati per ordine giudiziario possa integrare (e non sostituire) la conservazione dei dati (50). La possibilità di combinare qualsiasi tipo di sistema di conservazione con le salvaguardie procedurali che caratterizzano i vari modi di conservazione di dati per ordine giudiziario merita infatti un ulteriore approfondimento. Tuttavia, il GEPD raccomanda alla Commissione, durante la valutazione dell'impatto, di accertare anche se un sistema di conservazione dei dati per ordine giudiziario o altri mezzi alternativi possano sostituire interamente o parzialmente l'attuale regime di conservazione dei dati.

58.

Il GEPD ritiene che le informazioni presentate nella relazione non contengano prove sufficienti per dimostrare la necessità della misura di conservazione dei dati, così come disciplinata nella direttiva sulla conservazione dei dati. Tuttavia, la relazione di valutazione consente di concludere che la direttiva sulla conservazione dei dati ha disciplinato la conservazione dei dati in un modo che va oltre il necessario o, almeno, non ha assicurato che la conservazione dei dati non fosse applicata in quel modo. Al riguardo, possono essere sottolineati quattro aspetti.

59.

In primo luogo, l'obiettivo incerto della misura e l'ampia nozione di «autorità nazionali competenti» ha favorito l'uso dei dati conservati per una gamma eccessivamente ampia di finalità e da parte di troppe autorità. Inoltre, non vi è coerenza nelle salvaguardie e condizioni di accesso ai dati. Ad esempio, l'accesso non è subordinato a una previa autorizzazione da parte di un'autorità giudiziaria o di altra autorità indipendente in tutti gli Stati membri.

60.

In secondo luogo, il periodo massimo di conservazione di due anni sembra andare ben oltre il necessario. Le informazioni statistiche di alcuni Stati membri contenute nella relazione di valutazione mostrano che la maggior parte delle richieste di accesso, ovvero l'86 % (51), riguarda dati risalenti a sei mesi. Inoltre, sedici Stati membri hanno introdotto nella loro legislazione, un periodo di conservazione di 1 anno o inferiore (52). Ciò suggerisce, con forza, che un periodo massimo di due anni va ben oltre quanto considerato necessario dalla maggior parte degli Stati membri.

61.

Inoltre, la mancanza di un unico periodo di conservazione fisso per tutti gli Stati membri ha creato un gran numero di leggi nazionali divergenti che può determinare complicazioni, perché non è sempre evidente quale legge nazionale — sulla conservazione dei dati o sulla protezione dei dati — sia applicabile quando gli operatori conservano dati in uno Stato membro diverso da quello in cui i dati sono raccolti.

62.

In terzo luogo, il livello di sicurezza non è sufficientemente armonizzato. Una delle principali conclusioni del Gruppo di lavoro dell'articolo 29 nella relazione di luglio 2010 è che esiste un gran numero di misure di sicurezza nei diversi Stati membri. La Commissione sembra considerare le misure di sicurezza nell'attuale direttiva come sufficienti, perché «non vi [sono] esempi concreti di gravi violazioni della vita privata» (53). Risulta, tuttavia, che la Commissione ha soltanto chiesto ai governi degli Stati membri di riferire a questo proposito. Per valutare l'idoneità delle attuali norme e misure di sicurezza, sono necessarie una più ampia consultazione e un'analisi più approfondita degli episodi di abuso. Anche se nel contesto della relazione non sono menzionati specifici episodi di violazioni della sicurezza, le violazioni della sicurezza dei dati e gli scandali nel settore dei dati sul traffico e sulle comunicazioni elettroniche in alcuni Stati membri fungono da ammonimenti illuminanti. La questione non può essere sottovalutata dato che la sicurezza dei dati conservati si rivela di fondamentale importanza per un sistema di conservazione di dati in quanto tale, poiché garantisce il rispetto di tutte le altre salvaguardie (54).

63.

In quarto luogo, la relazione non rivela chiaramente se sia stata dimostrata la necessità di conservare tutte le categorie di dati previste dalla direttiva. Sono effettuate soltanto alcune distinzioni fra i dati telefonici e quelli relativi all'accesso ad Internet. Alcuni Stati membri hanno scelto di imporre un periodo più breve per la conservazione dei dati relativi all'accesso ad Internet (55). Tuttavia, non è possibile trarre conclusioni generali da questo.

64.

Un'altra lacuna della direttiva sulla conservazione dei dati è la mancanza di prevedibilità. Il criterio della prevedibilità discende dal requisito generale di cui all'articolo 8, paragrafo 2, della CEDU e all'articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea in base al quale un'ingerenza dovrebbe essere prevista dalla legge. Ai fini della CEDU, ciò significa che le misure dovrebbero avere un fondamento giuridico nella legge ed essere compatibili con lo Stato di diritto. Ciò implica che la legge sia sufficientemente accessibile e prevedibile (56). Anche la Corte di giustizia europea ha sottolineato nella sentenza Österreichischer Rundfunk che la legge dovrebbe essere formulata con sufficiente precisione per consentire ai cittadini di adeguare la loro condotta (57). La legge deve indicare con sufficiente chiarezza la portata della discrezionalità conferita alle autorità competenti e le modalità del suo esercizio (58).

65.

Anche nella check-list inserita dalla Commissione nella comunicazione sulla Carta dei diritti fondamentali dell'UE, una delle domande a cui dare risposta è se una limitazione dei diritti fondamentali risulta formulata «con precisione e prevedibilità» (59). Nella sua comunicazione sul panorama generale della gestione delle informazioni nello spazio di libertà, sicurezza e giustizia, la Commissione ha anche dichiarato che i cittadini «hanno diritto di sapere quali sono i loro dati personali trattati e scambiati, chi li scambia e per quali finalità» (60).

66.

Nel caso di una direttiva dell'UE, la responsabilità del rispetto dei diritti fondamentali, compreso il criterio della prevedibilità, ricade in primis sugli Stati membri che attuano la direttiva nel loro ordinamento interno. È un principio consolidato che tale attuazione dovrebbe rispettare i diritti fondamentali (61).

67.

Nella relazione di valutazione, la Commissione sottolinea inoltre che la direttiva «non garantisce di per sé che i dati conservati siano immagazzinati, estratti e usati nel pieno rispetto del diritto alla vita privata e del diritto alla protezione dei dati personali». Essa rammenta che «spetta agli Stati membri garantire che tali diritti siano rispettati» (62).

68.

Tuttavia, il GEPD ritiene che una direttiva dell'UE di per sé dovrebbe, in una certa misura, soddisfare il criterio della prevedibilità. Oppure, riformulando le parole della Corte di giustizia nella sentenza Lindqvist, il regime che una direttiva contempla non dovrebbe «mancare di prevedibilità» (63). Questo risulta particolarmente vero per una misura dell'UE che impone agli Stati membri di organizzare un'ingerenza su vasta scala dei diritti alla vita privata e alla tutela dei dati dei cittadini. Il GEPD sostiene che l'UE abbia la responsabilità di garantire l'esistenza di almeno uno scopo chiaramente definito e di un'indicazione chiara di chi possa avere accesso ai dati e a quali condizioni.

69.

Questa posizione è sostenuta dal nuovo contesto giuridico creato dal trattato di Lisbona che, come illustrato, ha rafforzato la competenza dell'UE nel settore della cooperazione di polizia e giudiziaria in materia penale e ha definito un impegno più forte dell'UE al rispetto dei diritti fondamentali.

70.

Il GEPD desidera ricordare che il requisito di una finalità determinata e il successivo divieto di trattare dati in modo incompatibile con quella finalità («principio della limitazione della finalità») sono di fondamentale importanza per la tutela dei dati personali, come confermato dall'articolo 8 della Carta dei diritti fondamentali dell'UE (64).

71.

La relazione di valutazione mostra che la scelta di lasciare alla discrezionalità degli Stati membri la definizione precisa di cosa costituisca un «reato grave» e poi di cosa dovrebbe essere considerata una «autorità competente» ha moltiplicato le finalità per le quali i dati sono stati usati (65).

72.

La Commissione dichiara che «[l]a maggior parte degli Stati membri che hanno recepito la direttiva consente, a norma della rispettiva legislazione, l'accesso e il ricorso ai dati conservati per fini che vanno oltre quelli previsti dalla direttiva stessa, tra cui la prevenzione e il contrasto della criminalità in generale e i rischi per la vita e l'incolumità delle persone» (66). Gli Stati membri si avvalgono della «faglia giuridica» presente nell'articolo 15, paragrafo 1, della direttiva ePrivacy  (67). La Commissione ritiene che la situazione possa non comportare in misura sufficiente la «prevedibilità la quale deve essere garantita da qualsiasi disposizione legislativa che limiti il rispetto della vita privata» (68).

73.

In queste circostanze, non è possibile affermare che la direttiva sulla conservazione dei dati di per sé, letta in particolare in combinato disposto con la direttiva ePrivacy, offra la chiarezza necessaria per soddisfare il principio di prevedibilità a livello di UE.

74.

L'analisi svolta nella parte precedente giustifica la conclusione secondo cui la direttiva sulla conservazione dei dati non soddisfa i requisiti espressi dai diritti alla vita privata e alla tutela dei dati. È evidente, pertanto, che la direttiva sulla conservazione dei dati non può continuare ad esistere nella sua forma attuale. A questo proposito, la Commissione propone, giustamente, una revisione dell'attuale regime di conservazione dei dati (69).

75.

Tuttavia, prima di proporre una versione rivista della direttiva:

76.

Nella valutazione dell'impatto, occorrerebbe esaminare ulteriormente se alcuni mezzi alternativi e meno lesivi della vita privata, avrebbero potuto portare a risultati paragonabili. La Commissione dovrebbe agire a tale riguardo, supportata, se necessario, da esperti esterni.

77.

Il GEPD si compiace di notare che la Commissione ha annunciato la consultazione di tutte le parti interessate durante la valutazione dell'impatto (70). Al riguardo, il GEPD incoraggia la Commissione a trovare modi per coinvolgere direttamente i cittadini in quest'esercizio.

78.

Va sottolineato che la valutazione della necessità e l'esame di misure alternative e meno lesive della vita privata, possono essere condotti in modo equo solo se vengono lasciate aperte tutte le opzioni per il futuro della direttiva. A tale riguardo, la Commissione sembra escludere la possibilità di abrogare la direttiva, sia in quanto tale che nell'ambito di una proposta di misure alternative a livello UE maggiormente mirate. Il GEPD, pertanto, invita la Commissione a prendere seriamente in considerazione anche queste opzioni nella valutazione dell'impatto.

79.

Una direttiva futura sulla conservazione dei dati potrebbe essere presa in considerazione solo se si raggiunge un accordo sulla necessità di avere norme a livello UE dal punto di vista del mercato interno e della cooperazione di polizia e giudiziaria in materia penale e se, durante la valutazione dell'impatto, è possibile dimostrare in modo sufficiente la necessità della conservazione dei dati, sostenuta e disciplinata dall'UE, compresa un'attenta valutazione delle misure alternative.

80.

Il GEPD non nega l'importanza della conservazione dei dati per finalità di contrasto e il ruolo fondamentale che essa può svolgere in casi specifici. Al pari della Bundesverfassungsgericht tedesca, esso non esclude che un obbligo ben definito di conservare dati sulle telecomunicazioni possa essere giustificato in talune condizioni rigorosamente circoscritte (71).

81.

Qualsiasi futuro strumento dell'UE sulla conservazione dei dati dovrebbe pertanto soddisfare i seguenti requisiti fondamentali:

82.

Ovviamente, il GEPD esaminerà attentamente ogni proposta futura sulla conservazione dei dati alla luce di queste condizioni fondamentali.

83.

Il GEPD si compiace del fatto che, benché non strettamente richiesto dall'articolo 14 della direttiva sulla conservazione dei dati, nella relazione la Commissione abbia preso in considerazione di valutare anche le implicazioni della direttiva per i diritti fondamentali.

84.

La relazione di valutazione mostra che la direttiva non è riuscita a conseguire il suo scopo principale, ovvero armonizzare le legislazioni nazionali in materia di conservazione dei dati. Tale mancanza di armonizzazione arreca pregiudizio a tutte le parti interessate, ossia cittadini, operatori economici e autorità di contrasto.

85.

Alla luce della relazione di valutazione è possibile concludere che la direttiva sulla conservazione dei dati non soddisfa i requisiti stabiliti dai diritti alla vita privata e alla tutela dei dati, per i seguenti motivi:

86.

Il GEPD invita la Commissione a prendere seriamente in considerazione tutte le opzioni nella valutazione dell'impatto, compresa la possibilità di abrogare la direttiva, o in quanto tale o nell'ambito di una proposta per una misura a livello UE alternativa, più mirata.

87.

Una futura direttiva sulla conservazione dei dati potrebbe essere presa in considerazione solo nel caso in cui si raggiunga un accordo sulla necessità di avere norme a livello UE dal punto di vista del mercato interno e della cooperazione di polizia e giudiziaria in materia penale e se, durante la valutazione dell'impatto, è possibile dimostrare in modo sufficiente la necessità della conservazione dei dati, sostenuta e disciplinata dall'UE, compresa un'attenta valutazione delle misure alternative. Tale strumento dovrebbe soddisfare i seguenti requisiti fondamentali: