Giulia Formici, Università degli Studi di Parma

1. La complessa disciplina della data retention: una necessaria premessa

La sentenza H.K. v Prokuratuur C-746/18, decisa il 2 marzo 2021 dalla Grande Sezione della CGUE, si inserisce in una lunga serie di pronunce in materia di data retention per scopi securitari. Tale pratica consiste essenzialmente nell’obbligo imposto ai fornitori di servizi di telecomunicazione di conservare i metadati prodotti dai propri utenti; ciò al fine di consentire un successivo ed eventuale accesso a tali informazioni da parte di autorità di law enforcement o di intelligence nell’ambito di azioni di prevenzione, indagine e lotta contro minacce alla sicurezza pubblica o nazionale. Pur non riguardando il contenuto della comunicazione, i metadati – ovvero i dati di traffico (ora, durata, destinatario, frequenza delle chiamate) o di ubicazione (localizzazione dell’apparecchio utilizzato), indirizzi IP o dati relativi all’utente – sono in grado di svelare relazioni, abitudini e luoghi frequentati, consentendo quindi di trarre conclusioni precise sulla vita degli utenti. L’enorme mole di metadati quotidianamente prodotta e conservata rappresenta, da un lato, una fonte preziosa di informazioni per creare collegamenti tra soggetti, anche ignoti alle forze dell’ordine, e delineare utili piste investigative; dall’altro lato, costituisce uno strumento capace di porre in essere una profonda invasione nella sfera privata, rischiando così di inverarsi in una forma pervasiva di sorveglianza massiva. La complessa sfida della determinazione di un corretto equilibrio tra tutela dei diritti fondamentali e garanzia della sicurezza pubblica e nazionale, in un periodo di c.d. emergenza normalizzata, trova così nella conservazione dei metadati derivanti da telecomunicazioni uno dei più insidiosi terreni di scontro, sui quali la CGUE risulta ormai impegnata da quasi un decennio.

A partire dalla nota sentenza Digital Rights Ireland c. Minister for Communications e a., con la quale è stata invalidata la Direttiva 2006/24 (c.d. Data retention Directive) per violazione dei diritti di cui agli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (CDFUE), i giudici di Lussemburgo si sono ulteriormente pronunciati su tale delicata disciplina in altre cinque decisioni, tutte aventi a oggetto l’interpretazione dell’art. 15 della Direttiva 2002/58 (c.d. Direttiva e-Privacy), che rappresenta, a oggi, l’unica fonte normativa sovranazionale in materia di data retention per scopi securitari avente ad oggetto metadati relativi alle telecomunicazioni. Questa disposizione, estremamente vaga nel proprio dettato, consente agli Stati membri di derogare alla regola generale che impone la cancellazione dei metadati, stabilendo un obbligo di conservazione in capo agli operatori privati, per un periodo limitato di tempo e limitatamente a scopi di salvaguardia della sicurezza nazionale, difesa, sicurezza pubblica, prevenzione e perseguimento dei reati. Nelle storiche sentenze Tele2 Sverige AB v Post-och telestyrelsen e Secretary of State for the Home Department v Tom Watson e a., Ministerio Fiscal e, più recentemente, in Privacy International v Secretary of State for Foreign and Commonwealth Affairs e a., e La Quadrature du Net e a. v Premier Ministre e a. e Ordre des barreaux francophones et germanophone e a. v Conseil des Ministres, entrambe del 6 ottobre 2020, la CGUE ha stabilito che forme di conservazione generalizzata e indiscriminata, che riguardano cioè tutti gli utenti, tutti i mezzi di comunicazione e tutte le tipologie di metadati (c.d. bulk data retention) non superano il test di proporzionalità: una conservazione di tale estensione, che attiene alla quasi totalità della popolazione europea e che non si fonda sulla sussistenza di una connessione, anche solo indiretta, tra l’ingerenza nella sfera privata e un reato grave, non può essere considerata limitata allo stretto necessario. L’unica forma di data retention compatibile con il diritto dell’UE è stata individuata, a partire dalla sentenza Digital Rights Ireland, nella conservazione targeted o mirata, cioè inerente a un determinato periodo di tempo, a un’area geografica specifica e/o a una precisa cerchia di persone. Nonostante i dubbi circa la reale efficacia di tale strumento, nonché i timori sulla possibile deriva discriminatoria che una ingerenza mirata di tale tipo potrebbe comportare, la CGUE ha riaffermato tale interpretazione anche nelle pronunce più recenti, respingendo ulteriori forme di conservazione alternative a quella targeted (ad esempio la conservazione limitata, promossa da Europol, e consistente in una forma di data retention ‘intermedia’, più ampia di quella mirata, ma meno invasiva di quella generalizzata).

Nelle sentenze del 6 ottobre 2020, i giudici di Lussemburgo hanno poi per la prima volta specificamente e dettagliatamente affrontato il tema della disciplina della conservazione dei dati finalizzata alla tutela della sicurezza nazionale: così è stato innanzitutto ribadito che la regolamentazione della data retention rientra nell’ambito di applicazione del diritto dell’UE anche laddove essa sia volta alla garanzia della sicurezza nazionale, in quanto l’obbligo di conservazione e la possibilità di accesso implicano comunque un trattamento dei dati da parte di soggetti privati e non unicamente attività svolte da autorità dello Stato. La CGUE però ha individuato, in maniera innovativa, una possibilità eccezionale ed unica di ricorso alla bulk data retention: qualora sia necessario garantire la sicurezza nazionale (ad esempio in caso di pericolo di terrorismo), che rappresenta un obiettivo superiore rispetto alla lotta alla criminalità grave, è da ritenersi giustificata l’ingerenza maggiore nei diritti fondamentali rappresentata dalla conservazione generalizzata, purché ricorrano determinate condizioni; queste, in particolare, si sostanziano nel carattere non sistematico della conservazione,  nella presenza di circostanze sufficientemente concrete che consentano di ritenere esistente una minaccia grave per la sicurezza nazionale reale e attuale o prevedibile, nella previsione di un tempo di data retention limitato allo stretto necessario, nella determinazione di garanzie rigorose contro il rischio di abusi, nonché nella previsione di un effettivo controllo giurisdizionale o di un organo indipendente. Quanto all’accesso, viene poi stabilito che esso può avvenire solo per finalità di lotta contro un reato grave e deve essere accompagnato da requisiti sostanziali e procedurali chiari e precisi, nonché da criteri oggettivi tali da permettere una limitazione del numero di soggetti autorizzati ad accedere e a condizione che venga effettuato un previo controllo da parte di un giudice o di un’entità amministrativa indipendente in grado di valutare la stretta necessità dell’accesso nell’ambito di indagini penali.

Dinnanzi a tutti questi criteri, che limitano fortemente la possibilità degli Stati membri di ricorrere allo strumento della data retention, i governi e i legislatori nazionali hanno incontrato profonde difficoltà nello stabilire normative interne che da un lato rispondano alle esigenze di efficacia nella lotta alla criminalità e al terrorismo e dall’altro siano adeguate ai rigidi limiti determinati dalla giurisprudenza della CGUE. Nel tentativo di adottare approcci regolatori più ‘flessibili’ quanto al ricorso alla data retention, il panorama di soluzioni e discipline nazionali nell’UE è divenuto estremamente frastagliato e disomogeneo, mentre i significativi dubbi quanto all’interpretazione e applicazione dei principi individuati dai giudici di Lussemburgo hanno portato cittadini e ONG a richiedere l’intervento delle corti nazionali; queste ultime, a loro volta, hanno promosso numerosi rinvii pregiudiziali dinnanzi alla CGUE, al fine di ottenere chiarezza quanto alle condizioni e alle salvaguardie che devono guidare l’attivazione della disciplina derogatoria garantita dall’art. 15 Direttiva e-Privacy. Tra questi numerosi e complessi rinvii si inserisce anche quello promosso dalla Corte suprema estone, che ha dato origine alla sentenza H.K. v. Prokuratuur.

2. La pronuncia H.K. v. Prokuratuur: chiarimenti sui requisiti della ‘gravità’ del reato e del previo controllo di una autorità giudiziaria o amministrativa indipendente

Diversamente dalle pronunce sopra brevemente richiamate, il caso H.K. v Prokuratuur attiene principalmente alle condizioni e ai requisiti riguardanti l’accesso ai metadati conservati. I quesiti posti alla CGUE, infatti, concernono sia i criteri da valutare per determinare la gravità dell’ingerenza nei diritti fondamentali (e dunque la conseguente necessità che l’accesso sia finalizzato alla prevenzione e perseguimento di reati gravi), sia il controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente e, in particolare, se tale condizione possa essere legittimamente assolta laddove il controllo venga effettuato da un pubblico ministero che dirige il procedimento istruttorio ma che dovrà poi anche rappresentare la pubblica accusa nel corso del procedimento giudiziario eventualmente avviato.

Ripercorrendo i principi delineati nella propria giurisprudenza in tema di data retention e richiamando soprattutto le più recenti decisioni del 6 ottobre 2020, i giudici di Lussemburgo chiariscono preliminarmente che le operazioni di accesso possono essere consentite solo qualora la conservazione dei metadati stessi sia conforme all’art. 15 Direttiva e-Privacy; viene così colta l’occasione per ribadire la significativa conferma fornita dalle attese pronunce La Quadrature du Net e Privacy International, ovvero la chiara e ormai incontrovertibile incompatibilità con il diritto dell’UE di una forma di conservazione generalizzata e indiscriminata dei dati di traffico e di ubicazione. Come a dire, nuovamente, che è lo strumento prodromico e funzionale all’accesso, quello cioè della retention, a dover essere in primo luogo legittimo.

Passando poi più specificamente all’impiego dei metadati da parte della autorità pubbliche, i giudici riaffermano il necessario parallelismo tra gravità dell’ingerenza nella sfera privata e importanza dell’obiettivo di interesse generale che, tramite l’accesso ai dati, si vuole perseguire. Ne deriva pertanto che, nel caso in cui si vogliano trattare dati relativi al traffico e all’ubicazione, solo la lotta alla criminalità grave o la presenza di gravi minacce alla sicurezza pubblica possono giustificare l’accesso da parte di autorità pubbliche: questo perché, come del resto già emerso nella previa giurisprudenza in materia, tale particolare categoria di dati consente di conoscere la vita privata dell’utente e di dedurne abitudini, relazioni sociali o frequentazione di luoghi, costituendo quindi una ingerenza grave. A nulla devono rilevare, in questa analisi, la durata del periodo per il quale viene chiesto l’accesso o la quantità di dati interessati, considerando che anche l’accesso a un quantitativo limitato di dati relativi al traffico o di dati relativi all’ubicazione, oppure l’accesso a dati per un breve periodo, risultano comunque idonei a fornire precise informazioni sulla vita privata dell’utente. L’ingerenza nei diritti fondamentali derivante dall’accesso a dati di traffico e ubicazione, in conclusione, è tale da assumere in ogni caso quel carattere di gravità che richiede necessariamente un obiettivo ‘rafforzato’, da indentificarsi appunto nei soli reati o minacce gravi.

Alla luce di questi principi, la normativa estone risulta particolarmente problematica: secondo tale legislazione, infatti, l’accesso ai dati può essere richiesto per qualsiasi tipo di reato, senza specificazione circa la gravità dell’obiettivo perseguito. Ciò apre inevitabilmente, nello specifico caso da cui il rinvio origina, a questioni riguardanti l’ammissibilità dei processi verbali redatti in base ai metadati raccolti e trattati sulla base di una disposizione nazionale in contrasto con l’art. 15 Direttiva e-Privacy. Su questo fronte, la CGUE ribadisce quanto già emerso nella pronuncia La Quadrature du Net: spetta al solo diritto nazionale il compito di stabilire regole relative all’ammissibilità di informazioni ed elementi di prova ottenuti, nell’ambito di un procedimento penale, mediante forme di conservazione o accesso non conformi al diritto dell’UE. Ciò a condizione che tali regole rispettino però il principio di effettività, il principio del contraddittorio e il diritto all’equo processo.

Definito questo fondamentale primo quesito, i giudici di Lussemburgo esaminano poi l’ulteriore questione posta dal giudice estone, riguardante la determinazione della natura “indipendente” dell’autorità deputata a svolgere il controllo di legittimità preventivo all’accesso. Se questo vaglio rappresenta uno dei requisiti ormai cristallizzati nella giurisprudenza della CGUE, le qualità e la definizione della “indipendenza” richiesta non erano mai state analizzate dai giudici di Lussemburgo: in questo rinvio dunque viene offerta l’occasione di entrare ulteriormente nel dettaglio di tale criterio e di fornire una lettura ancor più approfondita della disciplina dell’accesso. Nello specifico, la normativa estone, similmente a quella italiana, identifica nel pubblico ministero l’autorità preposta al controllo preventivo: tale soggetto, pur essendo sottoposto solo alla legge e avendo l’obbligo di esaminare sia gli elementi a carico sia quelli a discarico nel corso del procedimento istruttorio, assume su di sé il compito di raccogliere elementi di prova per lo svolgimento, eventuale, di un futuro processo. Date tali caratteristiche, alcuni dubbi sono sorti quanto alla indipendenza del pubblico ministero e, in particolare, se esso goda di uno status che gli consenta di agire nell’assolvimento dei propri compiti in modo obiettivo, imparziale e al riparo da qualsiasi influenza esterna. Secondo la CGUE, il requisito dell’indipendenza richiede che l’autorità incaricata del controllo preventivo sia «in grado di garantire un giusto equilibrio tra gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso» (par. 52). Da tale ricostruzione del requisito di “indipendenza” deriva che l’autorità alla quale è affidato il delicato compito del controllo preventivo deve necessariamente essere terza rispetto a quella che formula la richiesta di accesso ai dati, in modo che il vaglio esercitato possa essere realmente imparziale e oggettivo. La terzietà dunque richiede che l’autorità di controllo non sia coinvolta nella conduzione dell’indagine penale e sia quindi in una posizione di neutralità rispetto a tutte le parti del procedimento. Se queste sono le condizioni, è evidente che il pubblico ministero non è in grado di soddisfarle a causa della natura stessa del proprio incarico – quello cioè di valutare, a seguito di una istruttoria penale, se sottoporre o meno al giudice una controversia – e della propria posizione, che non è quella di soggetto terzo bensì di vera e propria parte che esercita l’azione penale nell’eventuale processo. Ritenendo, dunque, che il requisito del controllo indipendente non possa ritenersi soddisfatto in casi di cumulo di competenze nella persona del pubblico ministero, la CGUE precisa inoltre un aspetto di grande rilievo: all’assenza di un vaglio preventivo non può sopperire un controllo successivo da parte di un giudice. Un tale intervento postumo infatti non riuscirebbe a garantire il perseguimento dell’obiettivo cui il controllo preventivo è preposto, ovvero impedire che l’accesso ai dati e dunque l’invasione nei diritti fondamentali ecceda i limiti dello stretto necessario. Con questo i giudici di Lussemburgo respingono così quella posizione, espressa invece dalla Corte EDU nella sentenza Szabo, in materia di sorveglianza di comunicazioni, che ammette, a determinate condizioni, la legittimità di un mancato controllo preventivo laddove un controllo giurisdizionale ex post venga garantito. Viene respinta, in sostanza, una lettura complessiva e globale delle tutele, che ritenga cioè compensate talune carenze in presenza di altre garanzie; ciò del resto era stato già affermato più genericamente anche dall’Avvocato generale Campos Sanchez-Bordona nei casi La Quadrature du Net e Privacy International, negando quella interpretazione che considerava legittima la conservazione generalizzata qualora compensata da maggiori tutele nella fase di accesso. Proprio con riferimento a quest’ultima, la CGUE non perde occasione per ribadire che i legislatori degli Stati membri devono comunque soddisfare il requisito di proporzionalità. Tra le condizioni sostanziali e procedurali che debbono essere garantite, devono essere previsti criteri oggettivi in grado di determinare la sussistenza di un collegamento, almeno indiretto, tra accesso e finalità perseguita e dunque una limitazione dell’ingerenza solo ai dati di persone sospettate di progettare, di aver commesso o di essere implicate in un reato grave; viene così ancor meglio specificato il divieto di un accesso generalizzato ed ‘esplorativo’, che trova l’unica eccezione possibile nel caso in cui interessi vitali della sicurezza nazionale, difesa e sicurezza pubblica siano soggetti alla minaccia terroristica: solo in tali circostanze eccezionali, l’accesso può essere concesso anche in assenza di un sospetto specifico, potendo dunque riguardare anche persone diverse dai soli sospettati, laddove vi siano elementi oggettivi che consentano di ritenere l’accesso ai dati utile nel caso concreto. Viene pertanto riconfermato quell’allentamento – pur condizionato – delle stringenti condizioni fissate dalla CGUE qualora entri in gioco la finalità di garanzia della sicurezza nazionale, del tutto similmente a quanto le sentenze dell’ottobre 2020 hanno precisato con riferimento alla disciplina della conservazione.

In conclusione, dunque, anche in questa più recente pronuncia vengono da un lato sostanzialmente confermati i requisiti e i criteri già indicati nella previa giurisprudenza, e dall’altro, con specifico riferimento alla fase dell’accesso, vengono forniti importanti chiarimenti quanto alla determinazione dell’indipendenza dell’autorità deputata al controllo preventivo nonché in merito alla valutazione della gravità della ingerenza.  

3. La necessità di un rinnovato e profondo dibattito in materia di data retention: possibili scenari

Come alcuni primi brevi commenti della pronuncia esaminata hanno posto in rilievo (S. Royer e S. Careel; E. Celeste), la decisione della CGUE si inserisce in maniera coerente nel solco tracciato dalla giurisprudenza in materia di data retention; in particolare, letta unitamente alle fondamentali decisioni dell’ottobre 2020, la sentenza H.K. v Prokuratuur contribuisce a chiarire quel complesso quadro di limiti, criteri e condizioni che i giudici di Lussemburgo, ormai da un decennio, stanno tratteggiando e dal quale inizia ora ad affiorare un’immagine dai contorni sempre più netti e precisi. Risulta chiaro, infatti, come il rispetto dei requisiti di proporzionalità e stretta necessità fissati dalla Corte abbiano quale esito quello di restringere sensibilmente la possibilità dei legislatori nazionali di utilizzare forme generalizzate e indiscriminate tanto di conservazione quanto di accesso ai metadati. Sebbene le sentenze La Quadrature du Net e Privacy International siano state caratterizzate, per certi fronti, da alcune innovazioni importanti, che hanno aperto alla possibilità di impiegare la bulk data retention per scopi di sicurezza nazionale – ma limitatamente al rispetto di talune condizioni e salvaguardie –, è innegabile come gran parte delle incertezze e delle zone grigie caratterizzanti la sentenza Tele2 siano state ormai chiarite. Ciò riduce la possibilità da parte degli Stati membri di adottare quelle defensive reactions che, fino ad ora, si fondavano su interpretazioni meno rigide della giurisprudenza della CGUE, ad esempio ritenendo possibile una conservazione generalizzata laddove circondata da salvaguardie e limitazioni precise e stringenti quanto all’accesso – quali l’esclusione di talune categorie di dati o di utenti. I tentativi degli Stati membri di mantenere in vita la bulk data retention, considerata da autorità di law enforcement e di intelligence uno strumento irrinunciabile ed essenziale, paiono ormai destinati a cedere dinnanzi alla netta posizione assunta dai giudici di Lussemburgo. Questo, dunque, suggerisce la necessità di interventi normativi o giurisprudenziali significativi a livello nazionale, come risposta alle sentenze della CGUE: gli Stati membri – e sono la maggioranza – nei quali esistono normative volte a imporre ai fornitori di servizi di telecomunicazione un obbligo di conservazione generalizzata per scopi di repressione di reati sono ora chiamati a modificare tale disciplina, optando per una forma di conservazione mirata e assicurando il rispetto di quelle condizioni che, in casi eccezionali di tutela della sicurezza nazionale, consentono di adottare legittimamente sistemi di bulk data retention. Alla luce dei principi delineati in H.K v Prokuratuur, dovranno poi essere individuate autorità indipendenti che svolgano controlli preventivi all’accesso e che non potranno più coincidere con figure che non assumono carattere di terzietà nel procedimento penale e nella fase di indagini preliminari, come il pubblico ministero in ordinamenti quali quello estone e italiano.

Se le modifiche indicate avverranno (su iniziativa del legislatore o su impulso delle corti nazionali, che potrebbero, qualora chiamate a intervenire, provocare un controllo di costituzionalità ovvero rilevarne la non conformità al diritto dell’UE delle normative nazionali in materia di data retention o di accesso) è difficile da prevedersi: in passato, già a seguito della sentenza Tele2, taluni Stati membri, quali l’Italia, non si erano in alcun modo attivati per “correggere” la disciplina interna laddove contrastante con i requisiti delineati dalla data retention saga; altri invece avevano adottato quelle interpretazioni difensive che, in numerosi casi, erano poi state sottoposte all’attenzione delle corti nazionali da parte di attivisti e ONG, concludendosi nei molteplici rinvii pregiudiziali che, proprio a seguito della pronuncia del 2016, sono stati indirizzati alla CGUE.

Per valutare quale sarà il futuro della data retention nell’UE, dunque, sarà necessario osservare le reazioni – o l’inerzia – di tre attori principali: gli Stati membri (legislatori e governi nazionali), la Commissione, e la CGUE. Partendo da quest’ultima, dinnanzi a essa restano ancora pendenti due casi attinenti all’interpretazione dell’art. 15 Direttiva e-Privacy (SpaceNet AG v Repubblica federale di Germania C-793/19 e G.D. v Commissioner of the Garda Siochana e al.), nonché rilevanti rinvii aventi a oggetto la validità della c.d. Direttiva PNR (quali Ligue des droits humains v Conseil des Ministres e AC v Deutsche Lufthansa AG). Nonostante questa normativa disciplini una tipologia di conservazione e trattamento di dati per scopi securitari differente rispetto a quella sino ad ora esaminata, avendo a oggetto i soli codici di prenotazione aerea, risulterà comunque importante seguire gli sviluppi di questi procedimenti, che potranno fornire importanti indicazioni sui limiti e sulle salvaguardie da porre in essere in tutte quelle normative che comportano forme di retention e di accesso a dati raccolti da operatori privati e che hanno quale scopo quello di prevenire o perseguire minacce alla sicurezza.

Gli Stati membri, come si è detto, hanno il difficile compito di predisporre normative nazionali che, pur utilizzando la deroga concessa dall’art. 15 Direttiva e-Privacy, rispettino i requisiti indicati dai giudici sovranazionali. Le prime reazioni di alcuni Paesi non paiono però andare nella direzione di una concordanza con la CGUE e di una rinuncia definitiva allo strumento della bulk data retention nell’ambito della lotta alla criminalità grave: il Governo francese, ad esempio, aveva chiesto al Consiglio di Stato (lo stesso giudice che aveva formulato il rinvio La Quadrature du Net e dinnanzi alla quale dunque il caso è stato ripreso) di fare riferimento al concetto di “identité constitutionnelle”, già utilizzato in precedenza, quale eccezione che consenta di non attuare i principi delineati dalla giurisprudenza della CGUE e di superare dunque i limiti da essa imposti in materia di data retention. Sebbene una simile posizione non sia stata seguita dalla corte francese nella recente decisione al caso richiamato, essa appare nondimeno paradigmatica di un approccio di “resistenza” dei governi nazionali all’elevato livello di tutela dei diritti fondamentali imposto dai giudici di Lussemburgo – e che potrebbe anche non essere accettata dalla CGUE –; tale approccio del resto si evince anche dall’atteggiamento di taluni Stati membri nell’ambito della procedura legislativa avente a oggetto l’adozione di un nuovo Regolamento che abroghi la ormai vetusta Direttiva e-Privacy. In questo complesso percorso normativo, che dura ormai da anni, proprio la disciplina della conservazione dei metadati per scopi securitari ha rappresentato un grande ostacolo al raggiungimento di una soluzione condivisa. Nella proposta finale, approvata dal COREPER il 10 febbraio 2021, è stato previsto, all’art. 2, co. 2, lett. a, che «the Regulation does not apply to activities, which fall outside the scope of Union law, and in any event measures, processing activities and operations concerning national security and defence, regardless who is carrying out those activities whether it is a public authority or a private operator acting at the request of a public authority». Questa disposizione risulta particolarmente problematica poiché in aperto contrasto con la lettura della CGUE, che ha invece ampiamente chiarito, nella sua giurisprudenza in merito, come, indipendentemente dalla finalità di sicurezza nazionale o sicurezza pubblica, la disciplina della conservazione e accesso ai metadati rientri nell’ambito di applicazione del diritto dell’UE, implicando sempre un intervento – un trattamento – da parte di soggetti privati – i fornitori di servizi di telecomunicazione – e non riguardando dunque attività proprie dello Stato, quali le intercettazioni dirette da parte di autorità pubbliche (senza dimenticare poi che, anche con riferimento a tale tipologia di attività “proprie dello Stato” e sulla base del principio di leale collaborazione così come letto dai giudici di Lussemburgo nella giurisprudenza sui c.d. “retained powers” degli Stati membri, questi ultimi sono chiamati ad esercitare le proprie prerogative considerando sempre il diritto dell’UE). Questa previsione normativa, unitamente alla riproposizione della disciplina derogatoria dell’art. 15 Direttiva e-Privacy, senza alcuna specificazione o limitazione chiara e precisa che rimandi ai principi delineati dalla CGUE, sono evidenza lampante del tentativo di taluni Stati membri di ‘smarcarsi’ dai limiti stabiliti dai giudici di Lussemburgo e di non rinunciare allo strumento della conservazione generalizzata, soprattutto nell’ambito delicato della garanzia della sicurezza nazionale. Non è un caso che il Comitato europeo per la protezione dei dati, nel suo Statement 3/2021 on the e-Privacy Regulation (9 marzo 2021), abbia espresso preoccupazione quanto alla disciplina inserita nella proposta, ritenendo che il Regolamento «cannot derogate from the application of the latest CJEU case law. (…) With regard to the exclusion from the scope of application of the Regulation of processing activities by providers, the EDPB considers that such exclusion runs against the premise for a consistent EU data protection framework». Le sorti di questa proposta, e del suo possibile impatto sulla disciplina della data retention, si intrecciano anche con il difficile compito di cui la Commissione è stata investita dal Consiglio, nel maggio 2019, e consistente nell’avvio di iniziative volte a raccogliere informazioni e procedere a consultazioni al fine di vagliare possibili soluzioni circa la conservazione dei dati, compresa l’opportunità di adottare una nuova normativa europea in materia di data retention. L’assenza di una disciplina ad hoc a livello sovranazionale e il silenzio del legislatore europeo in tale delicata materia hanno certamente rappresentato i fattori scatenanti di una forte disomogeneità di soluzioni normative impiegate dai singoli Stati membri e delle così numerose richieste di un intervento chiarificatore da parte della CGUE. Quest’ultima, adottando un approccio fortemente attento al rispetto dei diritti fondamentali alla vita privata e alla protezione dei dati, anche a discapito della efficacia degli strumenti posti a garanzia della sicurezza, ha fissato condizioni e requisiti che rendono ora la predisposizione di una disciplina armonizzata europea in materia di data retention estremamente ardua da approvare: da un lato, gli Stati membri opporrebbero certamente una forte resistenza a una applicazione rigida dei criteri indicati dalla CGUE; dall’altro lato, una normativa più “flessibile” – che consenta più ampie possibilità di applicazione della conservazione e dell’accesso – rischierebbe di non superare indenne il vaglio eventuale dei giudici di Lussemburgo, seguendo così le ‘drammatiche’ sorti della previa Direttiva 2006/24. Da questa breve ricostruzione degli scenari ancora aperti si comprende come la disciplina della data retention e dei suoi limiti rappresenti una sfida estremamente complessa e incerta, dagli sviluppi futuri tutt’altro che facilmente prevedibili. La giurisprudenza della CGUE ha senza dubbio il merito di aver stimolato un dibattito significativo e profondo sui rischi e sulle necessarie salvaguardie che devono circondare l’impiego di strumenti di sorveglianza fortemente invasivi dei diritti alla privacy e alla protezione dei dati ma anche capaci di incidere sul rapporto tra cittadini e potere pubblico. Tale dibattito, che non può risolversi nel mero scontro tra posizioni pro-securitarie e difensori dei diritti fondamentali, dovrà cercare di giungere a una sintesi e alla determinazione di un punto di equilibrio che deve fare i conti anche con la complessità della cornice del diritto dell’UE e del riparto di competenze tra UE e Stati membri in un ambito delicato quale quello della garanzia della sicurezza.