Il Diritto dell'Unione EuropeaEISSN 2465-2474 / ISSN 1125-8551
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


Cybersicurezza e tutela della riservatezza dei dati personali: le decisioni Breyer e Tele2 Sverige c. Watson della Corte di giustizia UE (di Daniela Marrani, Ricercatore di Diritto Internazionale, Università di Salerno)


Il contributo analizza il tema della cybersicurezza alla luce di due importanti sentenze della Corte di Giustizia che si sono succedute a distanza di pochi mesi: la sentenza Breyer e la sentenza Tele2 Sverige/Watson. Preliminarmente, l’autore illustra la disciplina dell’Unione europea in materia di cybersicurezza e si sofferma sul carattere non assoluto del diritto alla protezione dei dati personali. Successivamente vengono esaminate le condizioni che legittimano la conservazione dei dati personali (indirizzi IP dinamici degli utenti) al fine di prevenire o di contrastare eventuali incidenti o attacchi informatici. L’esigenza di garantire la continuità del sito è evidenziata nella sentenza Breyer mentre il contrasto alla criminalità grave giustifica la conservazione mirata dei dati delle comunicazioni elettroniche nella decisione Tele2 Sverige/Watson. In conclusione, la Corte di giustizia mediante l’indicazione di criteri per la conservazione dei dati personali degli utenti della rete sembra voler responsabilizzare gli Stati membri nelle scelte legislative che competono loro nella definizione di una disciplina armonizzata sulla cybersicurezza.

Cybersecurity and Protection of Personal Data: the ECJ rulings in Breyer and Tele2 Sverige v. Watson

The paper analyzes cybersecurity in the light of two important judgments of the Court of Justice that followed one another a few months: the Breyer judgment and the Tele2 Sverige /Watson ruling. First, the Author illustrates the European Union’s legislation on cybersecurity and the discipline on data protection pointing out that the right to the protection of personal data is not an absolute right. Secondly, the Author examines the conditions for the retention of personal data (i.e. dynamic IP addresses) to prevent or combat any incidents or cyberattacks. The need to ensure website continuity is highlighted in the Breyer judgment while the fight against serious crime justifies under different conditions the conservation of electronic communications data in the Tele2 Sverige/Watson decision. In conclusion, the Court of Justice, through the identification of criteria for the retention of the website users’personal data seems to call for Member States “responsibility” in their legislative choices while defining a harmonized regulatory regime for cybersecurity.

SOMMARIO:

I. Oggetto, scopo e piano dell’indagine. - II. La legislazione dell’Unione europea in materia di cybersicurezza: cenni alla direttiva Network and Information Security (c.d. direttiva NIS) e alla protezione dei dati personali. - III. L’ammissibilità di restrizioni alla tutela della riservatezza dei dati personali necessarie a garantire la cybersicurezza. - IV. La sentenza Breyer: i fatti all’origine della causa e la soluzione adottata dalla Corte di giustizia. - V. L’equilibrio tra l’interesse individuale alla riservatezza dei dati personali e l’interesse collettivo (rappresentato dal gestore del sito web) alla cybersicurezza. - VI. La sentenza Tele2 Sverige c. Watson e le garanzie a fronte dell’obbligo di conservazione dei dati. - VII. Conclusioni. - NOTE


I. Oggetto, scopo e piano dell’indagine.

La crescente preoccupazione per il susseguirsi di attacchi informatici [1] e l’aumentata consapevolezza circa la vulnerabilità di soggetti diversi (privati, imprese, enti pubblici e organizzazioni internazionali) di fronte alla minaccia cibernetica [2], sollecitano gli Stati ad affrontare le problematiche della sicurezza in rete con un approccio globale [3]. Si tratta di una preoccupazione avvertita della Comunità internazionale in quanto «Tali attività potrebbero avere un effetto destabilizzante sulla pace e sulla sicurezza internazionali» [4]. Al concetto ampio e alquanto vago di sicurezza informatica (cybersecurity o cybersicurezza) sono riconducibili una serie di situazioni differenziate [5], che si manifestano mediante azioni indiscriminate ad ampio spettro e con una pluralità di bersagli indistinti (mass attacks) [6], attacchi mirati (targeted attacks) rivolti verso obiettivi precisi, in particolare siti istituzionali o infrastrutture critiche nazionali [7], e incidenti informatici derivanti da guasti o da malfunzionamento delle reti telematiche [8]. Sin dalla fine degli anni ’90 del secolo scorso, le Nazioni unite si sono interessate al problema della cybersicurezza, adottando a cadenza periodica una serie di risoluzioni [9] e istituendo il Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (GGE) con il compito di esaminare le minacce nel ciberspazio e di proporre le misure più adeguate per fronteggiarle [10]. Anche altre organizzazioni internazionali, in particolare l’Organiz­zazione per la sicurezza e la cooperazione in Europa (OSCE) [11] e l’Organiz­zazione del Trattato dell’Atlantico del Nord (NATO) [12], hanno affrontato la questione della minaccia cibernetica [13]. Il concetto di cybersicurezza è stato oggetto anche di una raccomandazione dell’International Telecommunication Union (ITU) la quale, inoltre, ha lanciato l’iniziativa Global Cybersecurity Index (GCI), nell’aprile 2014, al fine di misurare il livello di cybersicurezza sul piano globale [14]. L’attenzione della Comunità internazionale si è focalizzata in un primo momento sulla prevenzione e sulla repressione della criminalità informatica e [continua ..]


II. La legislazione dell’Unione europea in materia di cybersicurezza: cenni alla direttiva Network and Information Security (c.d. direttiva NIS) e alla protezione dei dati personali.

In linea con la prassi internazionale[34], a livello regionale europeo sono stati adottati alcuni strumenti di particolare rilievo in materia di cybersicurezza. Va menzionata innanzi tutto la convenzione del Consiglio d’Europa sulla cybercriminalità (Budapest, 23 novembre 2001) [35] che definisce gli obblighi fondamentali degli Stati nella lotta alla criminalità informatica. Tra i primi atti dell’Unione europea [36] si ricorda la comunicazione sulla criminalità informatica [37], cui è seguita la decisione quadro 2005/222 GAI del Consiglio del 24 febbraio 2005 relativa agli attacchi contro i sistemi di informazione che aveva l’obiettivo di «far sì che gli attacchi ai danni di sistemi di informazione siano puniti in tutti gli Stati membri con sanzioni penali effettive, proporzionate e dissuasive, e migliorare ed incoraggiare la cooperazione giudiziaria» [38]. Nella comunicazione Sicurezza delle reti e si­curezza dell’informazione: proposta di un approccio strategico europeo del 6 giugno 2001 la Commissione europea definisce il concetto di “sicurezza delle reti e sicurezza dell’informazione” [39]ed illustra un primo approccio strategico europeo. In attuazione di tale approccio generale, l’Unione europea delinea una disciplina specifica per determinati settori e prevede strumenti operativi. In quest’ottica, vale la pena di ricordare la direttiva n. 2008/114 relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione dell’8 dicembre 2008 [40] e la direttiva n. 2011/93 relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile del 13 dicembre 2011 [41]. Non meno importante è la direttiva n. 2009/140/CE, c.d. framework per le reti ed i servizi di comunicazione elettronica che, all’articolo 13, recante misure concernenti la sicurezza delle reti, invita gli Stati membri a creare «autorità nazionali di regolamentazione». Nella medesima prospettiva, il regolamento (CE) n. 460/2004 istituisce l’Agenzia europea di sicurezza delle reti e dell’informazione (ENISA) e invita gli Stati membri a definire strategie nazionali per la cybersicurezza [42]. La sicurezza informatica è un obiettivo che [continua ..]


III. L’ammissibilità di restrizioni alla tutela della riservatezza dei dati personali necessarie a garantire la cybersicurezza.

La problematica dell’equilibrio tra la tutela dei dati personali e la sicurezza interna e internazionale è stata già ampiamente dibattuta in dottrina, specialmente con riferimento al contrasto al terrorismo internazionale. La dottrina maggioritaria è concorde nel ritenere che non si possa considerare legittima qualsiasi restrizione di diritti umani, e quindi del diritto alla riservatezza dei propri dati personali, giustificata da esigenze di sicurezza. Piuttosto, si ritiene che «la protezione dei diritti umani non esclude di per sé la efficienza della lotta al terrorismo ma paradossalmente la rafforza, in quanto rende le istituzioni più forti» [69]. La questione di cui trattasi riguarda soltanto in parte i profili che interessano il presente lavoro ovvero l’equi­librio tra la sicurezza informatica (laddove internet sia utilizzato ai fini terroristici) e la riservatezza dei dati personali [70]. Va appena osservato che la sicurezza informatica (o cybersicurezza) non può essere identificata sic et simpliciter con la nozione di sicurezza interna o con quella di sicurezza internazionale benché la minaccia informatica possa, in alcune circostanze, costituire uno strumento per mettere in serio pericolo il funzionamento delle infrastrutture critiche di un Paese o la pace e la sicurezza internazionali [71]. La nozione di cybersicurezza sarebbe piuttosto una nozione autonoma la cui definizione, alquanto vaga, risulta, in definitiva, di poca utilità [72]. Ciò che l’Unione europea intende salvaguardare in modo particolare (anche se non esclusivo) è, come si accennava, la stabilità della rete e la continuità del­l’operatività dei servizi digitali a beneficio soprattutto del mercato interno. In ciò si rinviene una evidente impronta funzionale della disciplina sulla cybersicurezza, che ha dei riflessi sul bilanciamento con altri interessi o diritti tutelati dall’U­nione europea. In quest’ottica, la Strategia dell’Unione europea, nel delineare i principi su cui è fondato il cyberspazio, in primis diritti e libertà fondamentali, sottolinea il rapporto sinergico tra cybersicurezza e protezione dei dati personali. Da un lato «non è possibile assicurare i diritti delle persone senza disporre di reti e sistemi sicuri», dall’altro [continua ..]


IV. La sentenza Breyer: i fatti all’origine della causa e la soluzione adottata dalla Corte di giustizia.

La sentenza Breyer trae origine da una richiesta di pronuncia pregiudiziale sollevata nell’ambito di una controversia tra un cittadino tedesco, il signor Patrick Breyer, membro del Parlamento dello Schleswig-Holstein (stato federato della Germania), e la Repubblica federale di Germania. Il sig. Breyer aveva presentato un’azione inibitoria volta ad ottenere la condanna della Repubblica federale di Germania ad astenersi dal registrarestrare e dal conservare i suoi indirizzi IP al termine delle sessioni di consultazione dei siti internet accessibili al pubblico gestiti dai servizi federali tedeschi, salvo che la memorizzazione non fosse necessaria, in caso di guasto, al ripristino della disponibilità del servizio di telecomunicazione. La domanda era stata riget­tata in primo grado e parzialmente accolta in appello: l’inibitoria era subordinata alla condizione che il ricorrente avesse rivelato la propria identità nel corso della sessione di consultazione, anche sotto forma di un indirizzo e-mail. Entrambe le parti hanno proposto un ricorso per cassazione dinanzi al Bundesgerichtshof(Corte federale di giustizia della Germania), il quale ha sospeso il procedimento, sottoponendo ai giudici di Lussemburgo un duplice quesito, concernente: a) la qualificazione degli indirizzi IP «dinamici» come “dati personali” per il fornitore di servizi di media on-line, ai fini della tutela prevista dalla direttiva europea sulla protezione dei dati personali n. 95/46; b) la legittimità del trattamento dei dati personali di un utente senza il suo consenso al fine di perseguire l’interesse legittimo del fornitore di servizi di media on-line al funzionamento in generale del sito e alla sicurezza [81]. La prima questione attiene alla qualificazione degli indirizzi IP dinamici come dati personali. La nozione di “dato personale” delineata dall’art. 2 lettera a) della direttiva 95/46 è ampia e si presta ad una interpretazione elastica. La stessa, infatti, comprende: «qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”)». Si considera identificabile «la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identifi­cazione o ad uno o più elementi specifici caratteristici della sua [continua ..]


V. L’equilibrio tra l’interesse individuale alla riservatezza dei dati personali e l’interesse collettivo (rappresentato dal gestore del sito web) alla cybersicurezza.

Il problema principale evidenziato dalla sentenza Breyer riguarda la composizione del conflitto tra interessi e diritti contrapposti: da un lato gli interessi del fornitore di servizi di media on-line e dall’altro il diritto alla riservatezza dei dati personali dell’utente del sito web. In fase applicativa della disciplina della direttiva 95/46, come accennato, è emerso di frequente il conflitto tra il diritto alla protezione dei dati personali e altri diritti fondamentali, non necessariamente coincidenti con le libertà economiche funzionali alla realizzazione del mercato interno (diritto all’informazione; libertà di espressione; diritto di proprietà; diritto d’autore, ecc.). Per quanto le situazioni giuridiche possano essere differenziate, si riscontra in maniera evidente che il diritto alla tutela dei dati personali non è un diritto assoluto e che ogni situazione deve essere esaminata e valutata attentamente dal giudice nazionale (al quale la Corte di giustizia UE demanda il bilanciamento), applicando i principi e le norme del caso di specie [97]. In relazione a tale delicata questione, i giudici di Lussemburgo non prendono posizione indicando i criteri da adottare ai fini del “bilanciamento” (come afferma l’Avvocato generale, il Bundesgerichtshof chiede solo di «risolvere una questione preliminare a tale giudizio di ponderazione, vale a dire se siffatto giudizio sia possibile») [98]. Tale scelta appare giustificata in considerazione dell’applicazione del principio di sussidiarietà in base al quale è in primis il giudice nazionale (che ha sollevato la questione pregiudiziale) legittimato a conoscere dei diritti e degli interessi meritevoli di tutela nella propria comunità nazionale. Sembrerebbe, dalla terminologia utilizzata dalla direttiva 95/46 e ripresa anche dal regolamento 2016/679, che la direttiva vada interpretata nel senso di legittimare lo stesso fornitore di servizi di media on-line ad effettuare a monte tale ponderazione. Tale possibilità, tuttavia, per la complessità del giudizio, e per l’assenza di “terzietà” del soggetto che lo pone in essere, non è priva di rischi e dovrebbe essere accompagnata da misure volte a garantire la trasparenza del processo decisionale. I criteri generali ai fini del bilanciamento possono essere rinvenuti nelle [continua ..]


VI. La sentenza Tele2 Sverige c. Watson e le garanzie a fronte dell’obbligo di conservazione dei dati.

La decisione Breyer si inserisce in un filone giurisprudenziale improntato ad una tutela forte del diritto alla protezione dei dati personali nel­l’Unione europea [101]. La successiva decisione adottata nel caso Tele2 Sverige/Watson, concernente la conservazione generalizzata e indifferenziata dei dati relativi al traffico da parte dei fornitori di servizi di comunicazione elettronica, contiene elementi aggiuntivi di interpretazione che si rivelano di particolare interesse nell’ottica del bilanciamento di interessi operato dai gestori di siti web (siano essi fornitori di contenuti pubblici o privati) [102]. Va appena osservato che il progresso tecnologico incide in maniera rapida e determinante sull’oggetto delle discipline esaminate dalla Corte di giustizia, al punto da dover considerare in un’ottica evolutiva i “sistemi informativi” e le “reti”, a seguito del venir meno della distinzione tra computer, media e telefonia, della possibilità di connettersi ad internet mediante diversi dispositivi mobili e di effettuare chiamate vocali tramite rete informatica, nonché di archiviare dati su differenti piattaforme. Negli anni recenti la raccolta massiccia di informazioni (per lo più nella forma di metadati) [103] con l’ausilio degli strumenti informatici è stata effettuata in via preventiva al fine di contrastare eventuali attacchi terroristici (è evidente l’intensificarsi della c.d. mass surveillance a seguito degli attacchi terroristici dell’11 settembre a New York), giustificata da esigenze di si­cu­rezza nazionale. Il c.d. Datagate e i diversi programmi posti in essere da alcuni Stati (ad esempio il programma PRISM degli Stati Uniti) sono stati oggetto di prese di posizioni significative da parte di alcune organizzazioni internazionali (Consiglio d’Europa, Parlamento europeo) per gli evidenti profili di violazione del diritto alla riservatezza e al rispetto della vita privata dei cittadini) [104]. Nel rapporto dell’Alto Commissario per i diritti umani sul “Diritto alla privacy nell’era digitale” del 2014 si riconosce che la salvaguardia della sicurezza nazionale giustifichi una restrizione del diritto alla protezione dei dati personali qualora necessaria e proporzionata allo scopo da perseguire (par. 24) [105]. Nello stesso rapporto [continua ..]


VII. Conclusioni.

La cultura della privacy si è affermata in maniera diffusa negli ultimi vent’anni (dall’adozione della direttiva 95/46 ad oggi) su notevole impulso dell’Unione europea che ha istituito procedure e organi di controllo sempre più puntuali e sofisticati. Come ha precisato in varie occasioni la Corte di giustizia, l’armonizzazione delle legislazioni nazionali, in materia di protezione dei dati personali, non si limita, semplicemente, ad una armonizzazione minima, ma «sfocia, in linea di principio, in una armonizzazione completa» [125]. L’obiettivo potrà essere realizzato in maniera più efficace a partire da maggio 2018 con l’entrata in vigore del regolamento n. 2016/679, per le caratteristiche e la funzione proprie del regolamento. La disciplina in materia di cybersicurezza è invece a un livello embrionale e l’Unione europea appare ancora vulnerabile nonostante gli sforzi compiuti di recente al fine rafforzare la cyberresilienza [126]. Se vent’anni fa la cultura della protezione dei dati personali era fondamentale al fine di creare un clima di fiducia dei consumatori nell’ottica del mercato interno, nel momento attuale, la stessa fiducia, necessaria per realizzare gli obiettivi del mercato unico digitale, passa attraverso il rafforzamento della sicurezza informatica [127]. A tal fine è fondamentale che l’Unione e gli Stati membri si adoperino per promuovere iniziative volte a sviluppare una cultura della si­curezza informatica [128], preferibilmente in partenariato con le imprese le quali potrebbero svolgere un importante ruolo educativo nei confronti degli utenti del cyberspazio [129]. Nella sentenza Breyer la Corte ha precisato che i dati personali (in specie l’indirizzo IP dinamico dell’utente) possono essere raccolti senza il consenso dell’interessato per esigenze di cybersicurezza indicando a titolo esemplificativo il denial of service, fattispecie tipicamente inclusa tra gli atti di criminalità informatica. La sottile linea di distinzione tra i casi di “incidente informatico” e di “cyberattacco” (dietro cui possono mascherarsi atti di terrorismo che sfruttano la rete come mezzo per colpire infrastrutture critiche o intere nazioni) e la varietà di situazioni tecnologicamente diversificate in cui identificare atti di [continua ..]


NOTE