Alessandro Stiano (Università degli Studi di Napoli Federico II) 1. Premessa La Corte europea dei diritti dell’uomo (di seguito: “la Corte”), con la sentenza del 13 febbraio 2024 relativa al caso Podchasov c. Russia (per alcuni commenti si v. Tuchtfeld e Lakra), è tornata ad occuparsi della tutela del diritto

La sentenza H.K. v Prokuratuur C-746/18, decisa il 2 marzo 2021 dalla Grande Sezione della CGUE, si inserisce in una lunga serie di pronunce in materia di data retention per scopi securitari. Tale pratica consiste essenzialmente nell’obbligo imposto ai fornitori di servizi di telecomunicazione di conservare i metadati prodotti dai propri utenti; ciò al fine di consentire un successivo ed eventuale accesso a tali informazioni da parte di autorità di law enforcement o di intelligence nell’ambito di azioni di prevenzione, indagine e lotta contro minacce alla sicurezza pubblica o nazionale. Pur non riguardando il contenuto della comunicazione, i metadati – ovvero i dati di traffico (ora, durata, destinatario, frequenza delle chiamate) o di ubicazione (localizzazione dell’apparecchio utilizzato), indirizzi IP o dati relativi all’utente – sono in grado di svelare relazioni, abitudini e luoghi frequentati, consentendo quindi di trarre conclusioni precise sulla vita degli utenti. L’enorme mole di metadati quotidianamente prodotta e conservata rappresenta, da un lato, una fonte preziosa di informazioni per creare collegamenti tra soggetti, anche ignoti alle forze dell’ordine, e delineare utili piste investigative; dall’altro lato, costituisce uno strumento capace di porre in essere una profonda invasione nella sfera privata, rischiando così di inverarsi in una forma pervasiva di sorveglianza massiva. La complessa sfida della determinazione di un corretto equilibrio tra tutela dei diritti fondamentali e garanzia della sicurezza pubblica e nazionale, in un periodo di c.d. emergenza normalizzata, trova così nella conservazione dei metadati derivanti da telecomunicazioni uno dei più insidiosi terreni di scontro, sui quali la CGUE risulta ormai impegnata da quasi un decennio.

Una premessa di metodo si impone: di fronte al nuovo tutte le competenze sono vecchie. A causa dell’epidemia da COVID-19 inediti quesiti giuridici si irradiano in ogni direzione. Alcuni di essi, tutt’altro che minori, si pongono sul piano delle possibili deroghe in materia di protezione dei dati personali: è su questi che concentrerò le mie riflessioni.

La sentenza della Corte di giustizia dell’Unione europea, resa il 19 ottobre 2016 (C- 582/14, Breyer), è particolarmente importante in quanto precisa le condizioni in base alle quali un indirizzo IP dinamico (sequenza numerica assegnata in maniera temporanea dai fornitori di accesso alla rete ai loro clienti), registrato da un fornitore di servizi di media on-line, è qualificato come dato personale ai sensi dell’art. 2 lettera a) dalla Direttiva 95/46 del 1995.

Si tratta della prima pronuncia della Corte UE in materia di protezione dei dati personali nei confronti di un fornitore di contenuti. L’approccio funzionale della Corte di giustizia è decisivo nel delineare, per via interpretativa, una nozione comunitaria di “dato personale” che vincola tutti gli Stati membri. Allo stesso tempo, la pronuncia della Corte offre una interpretazione dell’articolo 7, lettera f) della medesima direttiva, affermando che costituisce interesse legittimo di un fornitore di servizi di media on-line quello di tutelarsi da possibili attacchi cibernetici, e ribadisce il carattere non assoluto del diritto alla protezione dei dati personali.