Conservazione dei dati per fini giudiziari: strumento per la sicurezza o sorveglianza di massa?

La Commissione Europea ha avviato un processo per valutare l’opportunità di introdurre una normativa comune sulla conservazione obbligatoria dei “dati non di contenuto” da parte dei fornitori di servizi di comunicazione elettronica (leggasi “provider”), al fine di supportare le indagini e i procedimenti penali.

L’iniziativa si inserisce in un contesto segnato da tensioni profonde tra due esigenze: da un lato, la sicurezza pubblica e l’efficacia dell’azione penale; dall’altro, la tutela dei diritti fondamentali, in particolare la privacy, la protezione dei dati personali e la libertà di espressione.

La discussione è aperta e molto accesa: i primi commenti ricevuti nella consultazione pubblica, alla quale anche i nostri lettori possono partecipare facendo riferimento a questa pagina, evidenziano una diffusa e profonda preoccupazione da parte dei cittadini.

Conservazione dei “dati non di contenuto” da parte dei provider: di cosa si tratta

Al momento, l’Unione Europea non dispone di una normativa che imponga ai provider di conservare i cosiddetti “dati non di contenuto” per finalità giudiziarie. Questi dati includono, ad esempio:

• informazioni sugli abbonati;
• indirizzi IP associati a data e ora;
• dati su origine, destinazione e durata delle comunicazioni;
• localizzazione del dispositivo.

La Corte di Giustizia dell’UE, con la sentenza del 2014 che ha invalidato la Direttiva 2006/24/CE, ha stabilito che la conservazione generalizzata e indiscriminata di dati viola i diritti fondamentali sanciti dalla Carta. Da allora, ogni Stato membro ha adottato un proprio approccio: alcuni hanno abbandonato completamente gli obblighi di conservazione, altri li hanno rimodulati.

Il risultato? Un panorama frammentato, che ostacola le indagini sui reati digitali o transfrontalieri, l’accesso ai dati prima che siano cancellati, la cooperazione tra autorità giudiziarie di diversi Paesi.

La proposta della Commissione: obiettivi e strumenti possibili

L’iniziativa della Commissione mira a valutare, attraverso un’analisi d’impatto, se introdurre a livello di Unione Europa delle linee guida volontarie (soft law) per standardizzare la collaborazione tra Autorità e fornitori; misure legislative vincolanti che impongano la conservazione di specifici dati per determinati reati, in conformità alla giurisprudenza della Corte di Giustizia.

Secondo la Commissione, un quadro armonizzato rafforzerebbe la sicurezza pubblica, garantirebbe certezza giuridica ai fornitori di servizi, migliorerebbe la cooperazione giudiziaria europea.

Le critiche dei cittadini: una netta opposizione

Nonostante le intenzioni dichiarate, la proposta sta incontrando una forte e diffusa opposizione da parte della cittadinanza europea, come emerge chiaramente dai commenti già pubblicati nell’ambito della consultazione pubblica.

Molti cittadini sottolineano come l’obbligo di conservazione dei dati possa essere in palese contraddizione con il GDPR, in particolare con il principio di minimizzazione dei dati: se un dato non è più necessario, deve essere cancellato. Costringere un provider a conservare dati di cui non ha più bisogno viola il GDPR ed esporrebbe a rischi inutili.

Diversi interventi evidenziano come il problema non sia tanto l’uso legittimo dei dati, quanto la probabilità elevata di abusi: più dati vengono conservati, maggiore è la superficie d’attacco per hacker, governi autoritari, insider malintenzionati.

Molti fanno notare come una conservazione indiscriminata colpisca soprattutto i cittadini rispettosi della legge, mentre i criminali continueranno a usare strumenti come VPN esteri, crittografia end-to-end, reti decentralizzate o servizi anonimi.

Imporre la conservazione a tappeto di metadati — informazioni che possono rivelare dove siamo, con chi parliamo e quando — è percepito come una generalizzazione del sospetto, una trasformazione preventiva del cittadino in potenziale indagato.

D’altra parte, il tema della sicurezza è reale. In un’epoca in cui le prove digitali sono essenziali, anche e soprattutto per i reati gravi, la disponibilità dei dati può fare la differenza.

Come conciliare l’esigenza di sicurezza e legalità con il rispetto dei diritti?

La risposta potrebbe risiedere non in una conservazione indiscriminata, ma in sistemi mirati, trasparenti, proporzionati:

• Accesso ai dati solo previo controllo giudiziario.
• Conservazione limitata nel tempo e solo per dati realmente utili.
• Esclusione di dati relativi a categorie vulnerabili o sensibili.
• Monitoraggio indipendente e audit pubblici.

Un’eventuale normativa sulla conservazione dei dati non potrà e non dovrà mai diventare uno strumento di sorveglianza di massa. Dovrà, piuttosto, essere uno strumento di giustizia, calibrato, sorvegliato e limitato.