Nella primavera di quest’anno la Corte di Giustizia Europea ha dichiarato invalida la direttiva del 2006 sulla conservazione dei dati relativi alle comunicazioni elettroniche (data retention). Questa decisione rappresenta un importante punto di svolta nel dibattito tra i difensori del diritto alla privacy e i sostenitori della preminenza della sicurezza rispetto alla commissione di reati. La direttiva nasce nel pieno della decade post 11 settembre, quando la paura di attacchi terroristici era arrivata a picchi estremi, su entrambe le sponde dell’Atlantico. In quegli anni non c’erano dubbi sul bilanciamento delle priorità, le preoccupazioni di sicurezza prevalevano su tutto e limitazioni anche drastiche del diritto alla riservatezza erano un prezzo piccolo da pagare.
La decisione della Corte e le sue conseguenze sono il soggetto di un articolo scientifico presentato da me alla conferenza ISSE 2014 il 14 Ottobre 2014. L’articolo è pubblicato negli atti della conferenza.
La direttiva obbligava gli operatori delle comunicazioni (sia telefoniche che su Internet) a conservare e mettere a disposizione delle autorità dati riguardanti le comunicazioni digitali che transitavano sulle loro reti e sui relativi utenti. La ragione principale per 
la conservazione di queste informazioni risiede nella loro estrema utilità per le indagini di polizia: le reti di individui coinvolti in attività criminose può facilmente essere ricostruita facendo leva su questi grossi insiemi di dati e le possibili prove sono preservate per un lungo periodo, facilitando le indagini.
La Corte però, nella sua sentenza, ha ritenuto che la previsione contenuta nella direttiva che permetteva la conservazione senza limiti dei dati contrastasse con due diritti fondamentali garantiti ai cittadini europei dalla Carta Fondamentale dell’Unione: il diritto alla privacy e quello alla protezione dei propri dati personali.
In questo articolo analizzo la sentenza e cerco di tracciare le sue conseguenze per le molte parti interessate. A livello politico europeo viene rimarcata ancora l’importanza del diritto alla privacy per l’Unione Europea (almeno a certi livelli), specialmente se si considera anche la decisione sul cosiddetto “diritto all’oblio”, e una visione più razionale delle priorità di sicurezza e delle minacce terroristiche. Se ne dovrà tenere conto, sia da parte dei legislatori UE che degli stati membri. Dall’altro lato però la decadenza della direttiva non fa venire meno la validità di tutte le leggi nazionali che l’hanno recepita, che rimangono in vigore fino a che i singoli stati all’interno delle loro legislazioni non le modificheranno. Molti degli stati membri hanno abolito o riformato le loro leggi seguendo le indicazioni della corte. L’eccezione più evidente è come al solito il Regno Unito, dove non solo non si è seguita la direzione presa dalla Corte ma si è introdotta una legge (il famoso “DRIP” – Data Retention and Investigatory Powers Act) ancora più restrittiva della precedente per molti versi.
Ci saranno probabilmente delle ripercussioni sul pacchetto di riforma della protezione dei dati – votato dal Parlamento alla fine della scorsa legislatura – e (ma di questo sarà difficile sapere qualcosa) sulle trattative in corso sul trattato TTIP (Trade and Investment Partnership), che dovrebbe regolare tra l’altro il trasferimento di dati personali tra l’Europa e gli Stati Uniti. Dato che la finalità preminente della conservazione dei dati è l’attività investigativa, le attività di informatica forense saranno influenzate e dovranno adattarsi al nuovo scenario.
Infine, il lavoro (un position paper) propone, dopo aver preso atto che la direttiva era effettivamente sbilanciata, come una nuova direttiva potrebbe meglio bilanciare le necessità investigative con le libertà fondamentali, riconoscendo che un certo livello di conservazione dei dati personali è necessario. Sullo sfondo rimane comunque lo scandalo NSA del 2013 e in particolare il programma di archiviazione massiva dei “metadata” (che tecnicamente sono quelli di cui si occupava la direttiva). Abbiamo imparato che singoli utenti possono essere profilati facilmente anche da soli metadata, non dimenticando che la direttiva permetteva la conservazione di dati assolutamente NON anonimi ma completi di nome, cognome e indirizzo degli utenti associati ad ogni comunicazione.
