La CGUE si pronuncia sul trasferimento dei dati di traffico e localizzazione degli utenti alle Autorità Statali per finalità di sicurezza nazionale

Con sentenza pubblicata il 6 ottobre 2020 u.s. (causa C‑623/17), la Corte di Giustizia dell’Unione Europea si è espressa sulla legittimità della sezione 94 del Telecommunications Act, emanato dal Parlamento del Regno Unito nel 1984.

Tale legge consente al Segretario di Stato di richiedere ai fornitori di servizi di comunicazione elettronica – qualora lo ritenga necessario per la tutela della sicurezza nazionale o di una relazione con un paese straniero – di trasmettere in massa i dati relativi alle comunicazioni degli utenti alle Agenzie preposte alla sicurezza e di intelligence, senza l’autorizzazione preventiva di un tribunale o di un’autorità amministrativa indipendente, né alcuna notifica agli interessati.

In primo luogo, la Corte ha affermato che la legge in esame rientra nell’ambito di applicazione della direttiva (UE) 2002/58 (“direttiva e-privacy”). La Corte ha specificato che l’esclusione di cui all’art. 1 co. 3 della direttiva si applica esclusivamente alle attività poste in essere dallo Stato. Al contrario, le attività di raccolta dei dati da parte dei fornitori di servizi di comunicazione elettronica rientrano nel campo di applicazione della direttiva ai sensi dell’art. 3 (“la presente direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità”). La Corte ricorda che gli Stati Membri hanno la facoltà di limitare i diritti e gli obblighi previsti dalla direttiva e-privacy, a condizione che tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, come affermato dall’art. 15, co. 1, che a sua volta rimanda all’art. 13, co. 1 della direttiva privacy del 1995 (ora sostituita dal GDPR).

Dunque, qualora gli Stati vogliano prevedere delle limitazioni alla direttiva e-privacy ai sensi dell’articolo 15, dovranno comunque rispettare il GDPR, con specifico riferimento al principio di proporzionalità, e, in ogni caso, i diritti fondamentali sanciti dagli articoli 7 e 8 Carta di Nizza, che assicurano, rispettivamente, il rispetto della vita privata e familiare e la protezione dei dati di carattere personale, e dall’articolo 11, che tutela la libertà d’espressione.

Nel caso di specie, la Corte ha notato che la trasmissione dei dati relativi al traffico e alla localizzazione prevista dalla Sezione 94 del Telecommunications Act avviene in maniera generale e indiscriminata, e non è previsto alcun tipo di garanzia minima al fine di evitare che le persone i cui dati personali sono raccolti ricevano un’efficace protezione contro il rischio di abusi. Ne deriva una evidente violazione del principio di proporzionalità dell’art. 15 direttiva e-privacy, nonché dell’articolo 4, co. 2 TUE e degli articoli 7, 8, 11 e 51, co. 1 della Carta di Nizza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *