«L’État, c’est moi»: il Consiglio di Stato francese, fra salvaguardia della sicurezza nazionale e protezione dei dati (Consiglio di Stato, Section du Contentieux, 21 aprile 2021, French Data Network e a., nn. 393099, 394922, 397844, 397851, 424717, 424718)

«L’État, c’est moi»: il Consiglio di Stato francese, fra salvaguardia della sicurezza nazionale e protezione dei dati (Consiglio di Stato, Section du Contentieux, 21 aprile 2021, French Data Network e a., nn. 393099, 394922, 397844, 397851, 424717, 424718)

Il Consiglio di Stato francese ha deliberato che il pericolo che, attualmente, minaccia la sicurezza nazionale, giustifica la conservazione dei dati. Inoltre, il Giudice amministrativo ha stabilito che la possibilità di accedere ai dati di connessione per contrastare forme di criminalità grave non solo risponde, oggi, ai requisiti costituzionali inerenti la prevenzione delle violazioni della legge penale, ma consente pure il tracciamento di soggetti responsabili della commissione di reati. Dopo aver sindacato la conformità delle norme interne in materia di conservazione dei dati di connessione rispetto al diritto dell’Unione europea, e aver stabilito che il recepimento di quest’ultimo (così come interpretato dalla Corte di Giustizia) non pone a rischio le previsioni costituzionali in tema di salvaguardia della sicurezza, il Consiglio di Stato francese stabilisce però che il Governo è tenuto a rivalutare con regolarità l’esistenza di una minaccia nei confronti della sicurezza nazionale tale da giustificare la conservazione generalizzata dei dati, e, di conseguenza, deve sottoporre alla valutazione di una Autorità indipendente la possibilità di continuare a utilizzare, da parte dei servizi di intelligence, a fini investigativi e probatori gli stessi dati.


«L’État, c’est moi»: The French Council of State, between safeguarding national security and data protection (Council of State, Section du Contentieux, 21 April 2021, French Data Network and a., nn. 393099, 394922, 397844, 397851, 424717, 424718)
The French Council of State rules that the existing threat to national security currently justifies the generalized retention of data. It affirms also that the possibility of accessing connection data in order to fight serious crime allows, at the present time, the constitutional requirements of preventing breaches of law and order, and the tracking down of authors of criminal offences to be ensured. However, after examining the conformity with EU law of French rules on the retention of connection data, and verifying that the implementation of EU law (as interpreted by the European Court of Justice) does not jeopardize the requirements of the French Constitution, the French Council of State orders the Government to reassess regularly the threat that exists in France so as to justify the generalized retention of data, and to submit the use of these same data by the intelligence services to clearance provided by an independent authority.

1. Considerazioni introduttive

La pronuncia del 21 aprile 2021 del Consiglio di Stato francese suscita grande interesse in ragione della complessità che caratterizza le materie in essa trattate: il tema della sicurezza investe infatti, in modo del tutto peculiare, non solo questioni di natura giuridica, ma, anche, politica e sociologica; quello inerente il rapporto di leale cooperazione fra le Corti all’interno dell’Unione europea e il rispetto del diritto primario sovranazionale tocca, invece, aspetti di importanza più che significativa per l’evoluzione futura del processo di integrazione sovranazionale[1].

Nell’affrontare gli argomenti appena ricordati, il Consiglio ha di certo dato prova di notevole equilibrio; al tempo stesso, però, ha formulato considerazioni che, per quanto si spiegherà nel corso di queste riflessioni, potrebbero porre a rischio proprio i diritti di libertà che lo stesso Giudice amministrativo francese desidera proteggere.

In quest’ottica, in relazione agli aspetti specifici del più ampio dibattito inerente la salvaguardia della sicurezza nazionale, va anzitutto sottolineato quanto l’esistenza di opposte esigenze nello stesso ambito – discendenti dal noto confronto fra “autorità” e “libertà” – renda arduo formulare qualsivoglia riflessione giuridica nella materia. Nel caso di specie, poi, l’intreccio fra quest’ultima e i nuovi, delicati profili inerenti l’accesso, la conservazione e il trattamento dei dati gravano ulteriormente sul compito in questione.

Fra molto altro, certo è poi che il dilemma che investe il tema della sicurezza risulti quasi impossibile da sciogliere se, nella prospettiva appena proposta, si riflette in modo rigido sull’equilibrio da raggiungere fra la necessità di garantire la sicurezza della collettività – per quanto qui interessa, ricorrendo allo strumento della sorveglianza indiscriminata – e l’esigenza di preservare le libertà dell’individuo. Da un lato, infatti, definire ogni forma di sorveglianza oggi utilizzata come mezzo arbitrario al servizio di poteri non democratici è cosa eccessiva; dall’altro, sostenere che le libertà individuali possano subire compressioni di straordinaria entità per tutelare l’interesse generale è affermazione da rifiutare.

Soltanto in teoria, dunque, la dicotomia autorità/libertà poco sopra accennata potrebbe venire risolta in modo semplice – ossia affermando che il pubblico potere sia tenuto a far fronte a ogni possibile minaccia alla sicurezza senza sacrificare, allo stesso fine, le libertà fondamentali costituzionalmente protette. In concreto, l’era digitale ha reso oltremodo difficile dare attuazione a questo assunto: la Rete si è difatti rivelata lo spazio all’interno del quale proprio tecniche di sorveglianza particolarmente invasive, o pericolose modalità di raccolta dei dati, sono mezzi utilizzati tanto dai pubblici poteri, quanto da chi persegue disegni criminali o sovversivi – con le conseguenze facilmente immaginabili per il più pieno rispetto dei diritti di libertà.

L’Unione europea ha provato a delineare un quadro normativo capace di fronteggiare le caratteristiche e i rischi che connotano una materia così delicata. Le origini del modello adottato allo scopo vanno rintracciate nella giurisprudenza tedesca in materia di lotta al terrorismo (sviluppata negli anni Settanta e Ottanta dello scorso secolo[2]); in quella della Corte dei Diritti dell’Uomo (o Corte EDU) adottata negli anni successivi, così come nelle sentenze pronunciate dalla Corte di Giustizia dell’Unione europea (CDGUE o Corte). In particolare, proprio la CDGUE, ogni qualvolta ha dovuto pronunciarsi in tema di protezione dei dati personali, ha assunto quale punto di riferimento le sentenze del Giudice delle leggi tedesco[3]. Solo con il passare del tempo, la stessa Corte ha sviluppato ulteriormente l’approccio iniziale, giungendo a delineare la protezione dei diritti degli utenti nell’era digitale come uno dei tratti distintivi dell’ordinamento sovranazionale[4]. In questa prospettiva la CDGUE ha individuato garanzie rigorose[5] in materia di tecniche di raccolta, conservazione e utilizzo a fini investigativi o conoscitivi dei dati[6].

È in questa particolare cornice che si inserisce la pronuncia del Consiglio di Stato qui commentata, con la quale vengono affrontati sia aspetti inerenti il difficile equilibrio fra protezione dei dati e garanzia della sicurezza nazionale, sia questioni che investono rispettivamente, in modo ben più problematico, il principio del primato del diritto dell’Unione europea (o UE) e quello di attribuzione delle competenze alla CDGUE.

2. La normativa francese in materia di raccolta, conservazione e utilizzo dei dati

La normativa nazionale distingue tre tipologie di dati (con riguardo alla loro identità, nonché al traffico e alla localizzazione degli stessi) in ragione della differenza che intercorre fra i c.d. dati» e i «dati di connessione»[7].

Più specificamente, due sono le ipotesi che permettono alle pubbliche autorità di raccogliere dati nel corso di indagini di rilevanza penale: anzitutto, laddove abbiano ottenuto una autorizzazione in tal senso (che permetta loro di accedere a ogni luogo – anche immateriale – o mezzo tecnologico che consenta di rintracciare i dati: Rete, cavo o satellite); oppure, rivolgendosi a quegli operatori privati in capo ai quali è stato posto l’obbligo di raccogliere, trattare, conservare e trasmettere i dati utili alle attività appena ricordate (ipotesi già disciplinata dalla vigente disciplina nazionale in materia di conservazione e traffico dei dati). É però importante sottolineare proprio in questo contesto che, in Francia, l’articolo L.34-1 del «Codice delle poste e delle comunicazioni elettroniche» (in breve CPCE) sancisce – in applicazione della Direttiva 2002/58 (nota come «Direttiva e-privacy») – il principio della cancellazione e della anonimizzazione dei dati di connessione[8], e impone agli operatori del settore delle comunicazioni elettroniche due obblighi, un primo, di conservazione della durata massima – non derogabile – di un anno, e un secondo, di raccolta (sempre degli stessi dati) soltanto per perseguire atti penalmente rilevanti. La disposizione in commento, peraltro, deve essere interpretata anche alla luce dell’art. 6 della legge 21 giugno 2004, n. 2004-575 (LCEN), che obbliga i service provider e gli utenti della Rete a conservare i dati utili alla identificazione di specifici soggetti – e a poter intervenire, a questo stesso scopo, pure sui contenuti presenti in Rete.

La particolare delicatezza delle fattispecie ricordate è oggetto di una cornice giuridica di rango primario: l’accesso dei servizi di intelligence ai dati di connessione è difatti disciplinato dalla legge del 24 luglio 2015, n. 2015-912 (v. specc. gli artt. 851-1 del «Codice sulla Sicurezza Nazionale» o CSI). Questa normativa consente – peraltro ai soli fini di salvaguardia della sicurezza nazionale[9] – di raccogliere dati di connessione esclusivamente una volta ottenuta l’autorizzazione in tal senso dal Primo Ministro, e dopo il parere espresso dalla «Commissione nazionale di controllo delle tecniche di raccolta informazioni» (CNCTR).

In Francia, diversi ricorsi sono stati presentati per far dichiarare il quadro normativo qui riassunto in estrema sintesi (e anche ulteriori norme) come non conforme alla disciplina sovranazionale in materia; in particolare, i ricorsi hanno avuto ad oggetto l’art. R 10-13 CPCE e il decreto del 25 febbraio 2011, n. 2011-219 (che, rispettivamente, danno applicazione agli artt. 34-1 CPCE e 6 LCEN, i quali, a loro volta, stabiliscono quali dati possano essere conservati e per quale lasso di tempo – ossia, come poco sopra affermato, un anno).

Con la decisione del 26 luglio 2018, il Consiglio di Stato francese ha ritenuto anzitutto necessario sollevare alcune questioni pregiudiziali dinanzi la CDGUE relative all’interpretazione dell’art. 15, paragrafo 1, della Direttiva 2002/58, sulle quali ci si sofferma di seguito.

3. La pronuncia pregiudiziale della Corte di Giustizia dell’Unione europea

Il Consiglio di Stato ritiene che la normativa francese vigente non vìoli la protezione dei dati personali così come disciplinata dalla Direttiva «e-privacy»: quest’ultima fonte, infatti, afferma il Giudice amministrativo, non impedisce agli Stati membri di introdurre deroghe alla tutela della protezione dei dati, ma chiede solo di adottarle nei limiti di quanto necessario tanto per salvaguardare la sicurezza pubblica, quanto al fine di perseguire atti penalmente rilevanti o prevenire l’utilizzo illecito delle comunicazioni elettroniche[10].

In questa prospettiva, il rinvio pregiudiziale pare avere due obiettivi. Anzitutto, il Consiglio di Stato sembra voler invitare la CDGUE a riformulare la precedente giurisprudenza sovranazionale in materia – del resto, solo così facendo la Corte potrebbe (indirettamente) far salva la disciplina francese sulla raccolta e conservazione dei dati personali, altrimenti non conforme a quanto stabilito dall’art. 15, paragrafo 1, della Direttiva 2002/58[11]. In secondo luogo, il Giudice amministrativo pare sollecitare la formulazione di una pronuncia pregiudiziale che permetta, in futuro, di qualificare l’obbligo interno di conservazione dei dati come una misura di certo derogatoria della disciplina sovranazionale, ma giustificata in ragione della fattispecie alla quale l’obbligo nazionale va ricondotto – ossia una minaccia grave e persistente della sicurezza nazionale. Con la sentenza del 6 ottobre 2020, la CDGUE stabilisce però che qualsivoglia normativa nazionale sulle modalità di conservazione dei dati è conforme alla Direttiva «e-privacy» soltanto se applicata in misura limitata e circostanze rigidamente circoscritte[12].

Superfluo sottolineare come la pronuncia pregiudiziale non risponda alle aspettative poco sopra accennate del Consiglio di Stato. Ciò nonostante, il Giudice francese – a differenza di quanto auspicava il Governo – da un lato sceglie di non adottare una posizione paragonabile a quella sposata dal Tribunale costituzionale federale tedesco con la nota sentenza «Weiss» (per questa infra nelle note e nel testo). Dall’altro, però, coglie l’occasione per esprimersi in materia di sicurezza nazionale, distinguendo gli ambiti di competenza del diritto nazionale e sovranazionale sul punto (v. sub pgff. 4. ss.) e individuando una forma di equilibrio fra tutela delle libertà e protezione della sicurezza differente da quella nota al diritto dell’UE (v. sub pgff. 6. ss.).

4. Elementi di novità nella recente giurisprudenza del Consiglio di Stato

Il Consiglio di Stato ritiene che la pronuncia «French Data Network» si ponga in linea di continuità con la giurisprudenza precedente nota come «Arcelor»[13]: la sentenza dello scorso aprile, infatti, anche se frutto di un confronto aspro fra le due Corti[14], a suo avviso sarebbe stata adottata nel pieno rispetto delle competenze della CDGUE. Diversi motivi inducono a esprimere una valutazione in parte differente [15].

Con la decisione in commento, infatti, il Giudice amministrativo declina la giurisprudenza «Arcelor» in modo da negare alla CDGUE la competenza a esprimersi quando, in rilievo, vengano funzioni essenziali dello Stato – come la salvaguardia della sicurezza nazionale o il mantenimento dell’ordine pubblico. In particolare, il Consiglio di Stato muta il suo approccio rispetto al principio del primato del diritto dell’Unione, interpretandolo in modo da riservare al solo Giudice amministrativo la più precisa definizione delle esigenze pubbliche in materia di sicurezza (v. sub pgf. 5.). Così ragionando, però, il Consiglio rischia di porsi in conflitto con la Corte dell’Unione (v. sub pgf. sub 6.), soprattutto laddove quest’ultima si sia pronunciata in via pregiudiziale sul punto o su materie che, comunque, interessano beni giuridici simili.

5. L’evoluzione della «clausola Arcelor»

Per comprendere al meglio il contesto descritto e le scelte recenti del Consiglio di Stato pare opportuno ricostruire di seguito la posizione assunta dal Governo francese in relazione al caso di specie, e solo successivamente quella del Giudice amministrativo.

L’Esecutivo persegue un chiaro un obiettivo, che consiste nell’impedire che non si possa più dare applicazione alla disciplina interna perché incompatibile con la Direttiva 2002/58. Di conseguenza, il Governo adotta una strategia precisa: sostiene anzitutto che, nell’affrontare i profili sollevati in via pregiudiziale, la CDGUE non abbia tenuto conto delle competenze riconosciute agli Stati membri dall’art. 4, paragrafo 2, del Trattato sull’Unione europea (o TUE) e afferma, poi, che la pronuncia pregiudiziale ostacola la salvaguardia degli interessi fondamentali della Nazione e la protezione dell’ordine pubblico, nonché il perseguimento di fattispecie penalmente rilevanti e la lotta al terrorismo. In questa prospettiva, l’Esecutivo invita il Consiglio di Stato a non dare applicazione alla pronuncia pregiudiziale, ritenendola un atto ultra vires – ossia adottato in violazione del principio di attribuzione delle competenze.

La reazione del Giudice amministrativo è ben differente da quella così sollecitata. Il Consiglio di Stato non solo sceglie di non seguire l’esempio dato da altri Corti europee in materia di sindacato nazionale su atti ultra vires dell’Unione[16], ma rifiuta in modo fermo la posizione del Governo, affermando in modo netto che non ritiene possibile esercitare un controllo di conformità al diritto primario sulle decisioni della CDGUE. A sostegno della sua posizione il Giudice francese richiama, in particolare, anche l’art. 91 del «Regolamento di procedura» della stessa Corte sovranazionale (sul punto v. pure quanto affermato dal rapporteur public in merito alla sentenza «Tele2 sverige» [17]).

Due, forse, i motivi a fondamento di una tale scelta. Il Giudice amministrativo potrebbe non voler compromettere il dialogo con la CDGUE – anzi, potrebbe proprio voler manifestare l’intenzione di rispettarne il ruolo di unica interprete del diritto dell’Unione. Stupisce però che, a questo scopo, esso richiami l’art. 91 del «Regolamento di procedura» della Corte, dando così l’impressione di osservare questa disposizione come una norma sovranazionale da recepire nel diritto interno[18]. In secondo luogo, consapevole dell’atteggiamento con il quale le Corti polacca e ungherese hanno accolto la sentenza «Weiss»[19], il Consiglio di Stato potrebbe voler evitare ogni possibile strumentalizzazione di una sua decisione da parte delle c.d. democrazie «illiberali» europee.

C’è però anche un ulteriore profilo sul quale vale la pena di riflettere in modo più approfondito: è ragionevole pensare che, solo rifiutando di esercitare il sindacato su presunti atti sovranazionali ultra vires, il Consiglio possa confrontarsi al meglio in punto di diritto con la posizione espressa dal Governo.

Per giungere (in ogni caso) a stabilire che la norma interna può ben derogare alla Direttiva «e-privacy», il Consiglio di Stato ricorda infatti che, nell’ordinamento giuridico interno, la Costituzione ha rango superprimario[20]. Di stretta conseguenza, il Giudice amministrativo chiarisce come l’obbligo a carico degli Stati membri di dare applicazione al diritto dell’Unione (e di rispettarne l’interpretazione fornita dalla CDGUE) discenda non dai soli Trattati sovranazionali, ma dalla lettura congiunta degli artt. 4, paragrafo 3 e 19 TUE, e 88-1 della Costituzione francese (ossia dalla disposizione costituzionale che consente alla Francia di partecipare al processo di integrazione europea)[21]. In altri termini, il Consiglio di Stato ritiene decisivo ricondurre la primazia del diritto sovranazionale a questa specifica disposizione costituzionale – o, per meglio dire, all’ordinamento interno al vertice del quale è collocata la Costituzione[22].

In questa nuova e diversa prospettiva, la «clausola Arcelor» non esclude[23], quindi, che il diritto sovranazionale possa essere sottoposto al sindacato di conformità a Costituzione, ma comporta[24], invece, che tale controllo venga svolto unicamente nel rispetto di modalità «particolari»: più chiaramente, modalità tali da conciliare, nella massima misura possibile, la supremazia della Costituzione da un lato, e l’obbligo di natura costituzionale inerente il pieno rispetto del diritto dell’Unione dall’altro[25].

Come ovvio, il problema è semplice da fronteggiare in teoria, ma ben più difficile da risolvere, al contrario, nei tanti casi in cui l’adozione di disposizioni regolamentari nazionali, necessarie per recepire a livello interno una direttiva, sia caratterizzata da un margine di discrezionalità[26]. In ipotesi simili, spiega il Consiglio di Stato, spetterà al Giudice amministrativo individuare una norma, o un principio generale di diritto dell’Unione, che, così come interpretati dalla CDGUE, permettano comunque di garantire il rispetto della norma interna o del principio costituzionale in gioco. La direttiva o il regolamento dovranno quindi essere sindacati alla luce della norma sovranazionale individuata come appena accennato – se necessario, sollevando allo scopo una questione pregiudiziale dinanzi la CDGUE. Nel caso in cui, invece, non fosse possibile individuare una norma sovranazionale di questo tenore, non resterà che esercitare il sindacato sul diritto derivato dell’Unione adottando come parametro la Costituzione francese. Ed è proprio nel caso in commento che il Consiglio di Stato esercita il peculiare controllo appena descritto, finendo di stretta conseguenza con l’applicare la «clausola Arcelor» in modo differente rispetto a quello per il quale era stata concepita in origine [27]. Non bisogna però dimenticare un dettaglio importante: il caso di specie è del tutto particolare (e, per questa ragione, diverso da quello risalente), perché il ricorrente chiede al Giudice amministrativo di stabilire che le pubbliche autorità nazionali invocano la violazione della Costituzione per sottrarsi al rispetto del diritto dell’Unione. È in questo anomalo contesto, quindi, che il Governo si trova a sostenere che la Direttiva 2002/58 è inconciliabile con il diritto costituzionale francese, perché soltanto così può evitare (come già suggerito, supra) che non si possa più dare applicazione alla normativa interna in materia di conservazione e raccolta dei dati – in quanto non conforme alla Direttiva «e-privacy»[28].

Nel caso di specie, il rispetto dei diritti e dei principi garantiti dalla Costituzione francese non viene dunque evocato per giustificare la disapplicazione del diritto dell’Unione: questo approccio caratterizzava la «clausola Arcelor» unicamente nella sua versione originaria, ossia quando si rendeva necessario verificare che la garanzia sovranazionale e interna del diritto di proprietà e di iniziativa privata[29], della libertà di espressione [30], del principio di eguaglianza[31] e di precauzione[32] fossero equivalenti. Oggi, invece, il Governo ritiene che far venir meno una specifica normativa nazionale perché inconciliabile con la Direttiva «e-privacy»[33] possa impedire di rispettare pienamente irrinunciabili esigenze di natura costituzionale – fra queste, come affermato nella giurisprudenza risalente del Consiglio[34], quelle sulla salvaguardia della sicurezza e sulla protezione dell’ordine pubblico [35].

Le specificità del caso trattato non vanno quindi rintracciate nella esigenza di verificare che l’attività pubblica rispetti i principi posti a protezione dei diritti della persona umana, ma, al contrario, nella necessità di individuare un fondamento giuridico che possa connotare l’azione pubblica come espressione dei compiti fondamentali dello Stato (nello specifico della salvaguardia della sicurezza). Non stupisce allora che, in questa luce, il Giudice amministrativo compia ogni sforzo possibile per definire nella prospettiva appena ricostruita le attività pubbliche connesse alla protezione della sicurezza, giungendo a delinearle o come condizioni indispensabili per tutelare in modo efficace i diritti fondamentali, oppure come un vero e proprio obbligo posto a carico dello Stato[36]. Che un simile approccio muti la «clausola Arcelor», offuscandone (fra molto altro) il carattere “pluralista” che essa aveva in passato – o, per meglio dire, l’approccio multilivello che la permeava, rendendola strumento capace di individuare, a livello interno e sovranazionale, profili di convergenza nella più ampia materia dei diritti e delle competenze degli Stati e dell’Unione – sembra davvero cosa difficile da negare.

6. Due prospettive contrastanti?

Con il peculiare controllo di conformità a Costituzione avente a oggetto la Direttiva 2002/58 così come interpretata dalla CDGUE, il Consiglio sembra perseguire un obiettivo: individuare la base giuridica di rango superprimario e primario (per la prima supra, il pgf. 5, per quest’ultima infra, il pgf. 9) alla quale ricondurre la protezione degli interessi nazionali, la salvaguardia della sicurezza e dell’ordine pubblico, nonché un’efficace azione di contrasto alla criminalità e al terrorismo[37]. Come già suggerito, così ragionando il Consiglio di Stato – pur non spingendosi fino a mettere in discussione il ruolo di unica interprete del diritto dell’Unione della CDGUE[38] – pare applicare in modo nuovo la «clausola Arcelor». Inoltre, anche se rifiuta di sindacare gli atti sovranazionali ritenuti ultra vires, sembra non rinunciare a porre un argine al recepimento, nell’ordinamento interno, di quelle norme sovranazionali che non rispettino la Costituzione francese[39].

Per questa via il Consiglio di Stato pare proprio trovare un punto di equilibrio fra esigenze opposte: esso nega di certo alla CDGUE di potersi esprimere, pronunciandosi in modo vincolante, sulle questioni inerenti la sicurezza – non tanto o solo perché disciplinate dall’ordinamento giuridico nazionale, ma in quanto strettamente connesse all’esercizio di una funzione essenziale dello Stato. Così facendo, peraltro, non si distacca dalla posizione del rapporteur public, per il quale solo il Giudice nazionale può assumere una decisione quando in rilievo vengono le esigenze di pubblica sicurezza, che, in quanto tali, sono di esclusiva spettanza dello Stato [40].

Ciò detto, è alla luce di questo risultato che l’evoluzione subìta dalla «clausola Arcelor» si manifesta in modo evidente, e con essa il rischio, al fondo, di un ridimensionamento del ruolo della CDGUE.

Ora, per il Consiglio di Stato, la CDGUE, in ragione dell’art. 52, paragrafo 1 della Carta dei Diritti fondamentali dell’Unione europea (Carta dei Diritti o Carta), può di certo verificare che i diritti fondamentali – garantiti da questa stessa fonte – subiscano compressioni soltanto se indispensabile per perseguire finalità di interesse generale riconosciute dall’Unione (finalità fra le quali si possono annoverare, senza dubbio, la salvaguardia della sicurezza nazionale e la lotta contro gravi forme di criminalità). Il Giudice amministrativo riconosce, inoltre, che, dalla protezione dei diritti fondamentali possano derivare obblighi positivi in materia penale e di sicurezza da porre a carico dello Stato; al tempo stesso, tuttavia, non esita a ricordare l’obbligo gravante sull’Unione e sulla CDGUE, in virtù dell’art. 4, paragrafo 2, TUE, di rispettare «le funzioni essenziali dello Stato» e, in particolare, «la funzione di salvaguardia dell’integrità territoriale, di mantenimento dell’ordine pubblico e di tutela della sicurezza nazionale», sottolineando (a scanso di equivoci) che proprio il testo del Trattato stabilisce che «la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro»[41].

Per il Governo, proprio la disciplina ricordata non permetterebbe di ritenere che l’eventuale protezione sovranazionale di specifici interessi nazionali sia paragonabile a quella interna [42]. Sostiene infatti il rapporteur public che «rispettare» le funzioni affidate allo Stato non equivalga a «garantirle»: la differenza sarebbe significativa soprattutto in una precisa ottica[43]. La CDGUE può di certo soffermarsi sulla salvaguardia della sicurezza nazionale e pubblica quando ragiona delle limitazioni che possono o meno essere apportate ai diritti[44]; tuttavia, spetta soltanto gli Stati membri assicurare la salvaguardia della sicurezza[45]. In questa luce, anche se diversi possono essere gli sforzi della CDGUE[46] e degli Stati in materia, la considerazione appena fatta non può cambiare.

Pure dinanzi all’approccio del rapporteur public qui riassunto, il Consiglio di Stato tenta di individuare il punto di equilibrio che permetta al pubblico potere di garantire la sicurezza senza sacrificare in modo eccessivo i diritti fondamentali. Vero è che, se affermasse il contrario, il Giudice amministrativo rischierebbe di sposare una concezione dello Stato ben diversa da quella ancoràta agli ideali liberali improntati alla inviolabilità delle libertà[47], con il rischio di garantire forme di sicurezza articolate sull’utilizzo di tecniche più che invasive di sorveglianza e di investigazione. Ciò detto, sorge comunque il dubbio che il Consiglio di Stato adotti questo approccio logico-giuridico perché ritiene di essere l’istituzione cui spetta l’ultima parola in questa delicatissima materia. E anche questa, specifica ottica porta a pensare che il Giudice amministrativo abbia declinato in modo nuovo la «riserva Arcelor».

Nel caso di specie, l’applicazione della clausola pare infatti porre su versanti opposti lo Stato – o, meglio, le concrete funzioni ad esso affidate – e i diritti fondamentali – caratterizzati da una dimensione non soltanto normativa, ma, in qualche misura, anche simbolica. Se l’impressione che il Consiglio si erga a custode della funzione statale della sicurezza è corretta[48], il pericolo è che, in ragione di un approccio simile, il Giudice amministrativo finisca col concentrare tutta la sua attenzione sulla sola tutela di quel bene giuridico[49]. In questa prospettiva, fra molto altro, la sentenza «French Data Network» solleciterebbe pure, e in modo urgente, una riflessione rinnovata sulle ragioni che, molto tempo addietro, avevano condotto alla istituzione della giustizia amministrativa[50]. L’affermazione è forte, ma vale la pena di sottolineare che essa sembra avvalorata dalle parole del rapporteur public, specialmente laddove egli sostiene che la soluzione proposta nella sentenza pregiudiziale rischia di compromettere la protezione della sicurezza nazionale in Francia[51].

Quasi superfluo quindi ribadire che, se questa è la logica complessiva che sottostà alla pronuncia dell’aprile scorso, la «riserva Arcelor»[52] non può più – pure per il futuro – essere osservata come baluardo posto a difesa di una coesistenza equilibrata fra le differenti forme di protezione della sicurezza esistenti a livello nazionale e dell’Unione [53]. C’è però anche di più. Il Consiglio di Stato ritiene che la Direttiva 2002/58 e la giurisprudenza della CDGUE poggino su considerazioni di natura economica, strettamente connesse alla sola realizzazione del mercato interno[54].

A ben vedere, non pare che questo sia l’approccio adottato dalla CDGUE nell’interpretare la Direttiva[55]: in ogni caso, e proprio partendo dall’assunto per il quale la sicurezza è materia di competenza esclusiva dello Stato, il Giudice amministrativo sembra ritenere che l’Unione non sia in grado di garantire appieno il bene giuridico in discorso – o, per meglio dire, il Consiglio di Stato pare sposare un preciso passaggio della argomentazione del rapporteur public, ossia quello dove quest’ultimo afferma che la CDGUE sarebbe una giurisdizione animata da uno spirito di forte diffidenza nei confronti delle pubbliche autorità, tale da farle ritenere che la sorveglianza di massa sia un pericolo concreto e attuale[56]. Sempre secondo il rapporteur public, ben diverso rispetto a questo, invece, l’atteggiamento adottato dal Consiglio di Stato[57], considerazione che porta lo stesso rapporteur a temere come, proprio in virtù di una simile differenza di vedute, sarebbe grave sottrarre al Giudice amministrativo la possibilità di esprimersi quando siano in discussione funzioni essenziali dello Stato.

In poche parole: riuscire a sintetizzare posizioni così differenti in modo coerente e in punto di diritto è cosa difficile al punto da far nascere una impressione. Il Consiglio di Stato, nella sostanza, non pare essere riuscito a formulare il dispositivo della pronuncia in modo da chiarire che non è sua intenzione rifiutare l’interpretazione della Direttiva resa in via pregiudiziale dalla Corte – il problema, tuttavia, è e resta notevole, perché la sentenza, fra le righe, lascia intravvedere una concezione della sicurezza finora sconosciuta.

7. Verso il declino del dialogo fra le Corti? Alcuni profili critici della pronuncia del Consiglio di Stato

È importante approfondire ulteriormente l’approccio adottato dal Consiglio di Stato nella sentenza in commento.

Il Giudice amministrativo sembra in qualche misura provare a ricondurre il modello sovranazionale di salvaguardia della sicurezza[58] a quello caratterizzante l’ordinamento giuridico interno[59]: forse per questa ragione esso afferma che intende confrontarsi soltanto con alcuni profili interpretativi emersi nella pronuncia della CDGUE[60] – con l’ulteriore conseguenza di riuscire, adottando proprio questa strategia, a non disconoscere (in modo espresso) il diritto primario dell’Unione o la pronuncia della CDGUE. Ciò nonostante, il ragionamento complessivo adottato dal Giudice francese pare potersi comunque riflettere – purtroppo in negativo – sul dialogo fra le due giurisdizioni.

Fermo restando quanto appena affermato, il Consiglio di Stato sembra però condividere almeno una delle affermazioni formulate dalla CDGUE[61]: la Direttiva 2020/58 disciplina di certo l’accesso e la conservazione dei dati di connessione quando questi sono oggetto di trattamento da parte di fornitori di servizi di comunicazioni elettroniche, anche se il trattamento stesso, in quanto riconducibile a finalità connaturate alle attività pubbliche, in linea teorica potrebbe essere sottratto alla Direttiva [62]. Per il Giudice francese, la stessa considerazione vale pure per il «Regolamento generale sulla protezione dei dati personali» (e per gli operatori da questo interessati[63]): a parere di chi scrive, questo approccio suscita invece qualche interrogativo.

L’interpretazione accolta dal Consiglio sembra infatti mal sposarsi con la chiara intenzione del Legislatore europeo, espressa all’art. 1, paragrafo 3, della Direttiva stessa, e corrispondente alla ratio dell’art. 4, paragrafo 2 TUE: le attività in materia penale, di pubblica sicurezza e difesa dello Stato spettano al solo livello nazionale[64]. Vero è che queste previsioni sembrano frutto di una distinzione artificiosa fra attori pubblici (in quanto tali esclusi dall’applicazione della disciplina della Direttiva 2002/58) e privati (soggetti a questa disciplina indipendentemente dalla finalità del trattamento dei dati in loro possesso[65]): nella maggiore parte dei paesi europei, infatti, le attività di intelligence vengono condotte in grande parte grazie alla cooperazione fra pubblici poteri e attori privati[66]. In questa ottica si può ben comprendere che la CDGUE ritenga necessario estendere il campo di applicazione della Direttiva a tutti i diversi soggetti in gioco; in caso contrario, sarebbe infatti molto più facile impedire qualsivoglia sindacato sulle più elementari violazioni dei diritti – o, per meglio dire, per impedire il controllo in questione sarebbe sufficiente ricordare che la protezione della sicurezza spetta soltanto a poteri pubblici.

Ora, la lettura corretta utile per sciogliere i nodi problematici evocati potrebbe essere la seguente: il Consiglio di Stato non desidera argomentare come appena suggerito, ma unicamente chiarire che ogni attività dei poteri pubblici inerente la sicurezza debba essere sottratta alla previsione di cui all’art. 15, paragrafo 17 della Direttiva «e-privacy»[67]. Se così è, è però necessario capire se il Consiglio di Stato, con la sentenza dell’aprile 2021, rispetti pienamente la deroga alla Direttiva così come definita dalla Corte nella pronuncia pregiudiziale, oppure se, tutto al contrario, esso abbia trasformato una deroga ideata come strumento posto a presidio dei diritti in un mezzo per salvaguardare la propria concezione della sicurezza. In questa luce, tre sembrano i profili critici sui quali è bene riflettere.

8. Il ridimensionamento del quadro normativo sovranazionale

La CDGUE trae dalla giurisprudenza della Corte Europea per i Diritti dell’Uomo (o Corte EDU) la convinzione che sia indispensabile individuare un quadro normativo capace di garantire la sicurezza nel rispetto delle libertà[68]. Questo approccio, inutile dirlo, è complesso, perché riposa su un nòvero di garanzie chiamate ad assicurare che la protezione dei diritti non venga meno anche quando si manifestano minacce alla sicurezza gravi al punto da richiedere che un Governo democratico faccia uso della forza per debellarle[69]. Qui, tuttavia, il Consiglio di Stato pare aprire uno spiraglio a un ben diverso approccio.

L’impressione discende, innanzi tutto, da alcuni passaggi della sentenza, dedicati dal Giudice amministrativo all’analisi dell’obbligo generalizzato e indiscriminato di conservazione dei dati di connessione a fini di salvaguardia della sicurezza nazionale. La CDGUE, va sottolineato, non si oppone in linea di massima a un simile obbligo, ma chiede che il pericolo che lo giustifica sia grave ed imminente[70]. Diversa la posizione sullo stesso punto del Consiglio di Stato, che sottolinea, anche in ragione di quanto accaduto nel Paese fin dal 2015[71], come una simile valutazione non sia mai semplice da svolgere in concreto[72]. Per questo motivo il Consiglio può solo imporre al Governo di riesaminare periodicamente la necessità di conservazione dei dati alla luce dell’evoluzione nel tempo dei pericoli temuti. Questo il punto di equilibrio fra autorità e libertà individuato dal Giudice francese; chiaro che lo stesso approccio, se ricondotto invece alla rigida prospettiva della protezione da assicurare ai diritti – ossia quella del diritto sovranazionale – può risultare del tutto insufficiente allo scopo di non sacrificare le libertà.

È dunque fuori discussione che il Consiglio di Stato (a differenza di quanto fatto dalla CDGUE) ridimensioni fortemente l’esigenza di garantire in modo intenso i diritti quando si abbia ragione di temere una minaccia grave e imminente[73] – con il che, peraltro, il Giudice amministrativo riconosce in via implicita maggiore peso alla valutazione operata dal Governo dei rischi corsi dalla sicurezza nazionale[74]. Il Consiglio adotta poi lo stesso atteggiamento pure quando si sofferma sulla conservazione generalizzata e indifferenziata dei dati di connessione, ritenuta indispensabile per contrastare la criminalità e prevenire aggressioni all’ordine pubblico. Anche in questa ipotesi non sembra che la CDGUE si opponga all’adozione di misure preventive che comportino l’utilizzo di tecniche di conservazione dei dati di connessione, addirittura nell’ipotesi in cui queste misure riguardino persone terze: provvedimenti simili sono del tutto giustificati dall’esigenza di contrastare la criminalità e le minacce alla pubblica sicurezza[75]. Dal canto suo, però, il Consiglio sembra adottare un atteggiamento particolarmente rigido, perché ritiene che le tecniche di questa natura[76] (al pari di altre[77]) non siano sufficienti per tutelare in modo efficace la sicurezza[78].

Il Giudice amministrativo, così ragionando, par dunque interrogarsi al fondo sul mezzo di fatto più utile per garantire la sicurezza. Ora, sembra cosa ovvia che, in quanto consigliere del Governo[79], il Giudice amministrativo ritenga che la conservazione dei dati di connessione e la sorveglianza sistematica siano gli strumenti più efficaci per proteggere la sicurezza nazionale e perseguire reati gravi. Tuttavia, non si può non chiedersi se, nella sua veste di Giudice – garante dello Stato di diritto – il Consiglio di Stato possa adottare posizioni capaci di prestarsi a interpretazioni anche diverse, le cui conseguenze comportano la possibilità di comprimere oltre misura le libertà.

In Europa, il principio in ragione del quale la protezione dei diritti fondamentali non può venir meno nemmeno per garantire la massima efficacia alle attività investigative di contrasto alla criminalità va di certo ricondotto a quello dello Stato di diritto[80]. Che si condivida o meno l’uno e l’altro, resta il fatto che l’attitudine di un Paese a essere uno «Stato di diritto» si misura sul rispetto di questi imperativi, con una conseguenza. Far prevalere la logica contraria – come rischia di fare il Consiglio di Stato, magari anche non volendo – significa potenzialmente esporre di fatto la quasi totalità della popolazione a tecniche di sorveglianza pure in casi che nulla hanno a che vedere con la lotta al terrorismo o la tutela dell’ordine pubblico. Ancora una volta, però, c’è ben più di questo nella pronuncia in commento.

9. Il principio di proporzionalità, da imperativo sovranazionale a norma interna

Il diritto sovranazionale sulla protezione dei dati personali è ancoràto al principio di proporzionalità. Stabilisce infatti la CDGUE che ogni deroga alla segretezza dei dati debba essere «rigorosamente proporzionale rispetto allo scopo perseguito» e trovare applicazione nei soli «limiti di quanto strettamente necessario»[81].

Nella sentenza dell’aprile 2021, anche il Consiglio di Stato fa riferimento al principio, ma solo dopo aver menzionato una fonte di diritto interno. Due i passaggi significativi in questa luce: il primo, relativo alle affermazioni del Consiglio sull’obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP; il secondo, inerente le osservazioni svolte dal Giudice amministrativo in merito alla specifica tecnica di conservazione dei dati indispensabili per riuscire a perseguire reati[82]. Pare necessario chiarire questa differenza di prospettive.

Per la CDGUE, in ragione del principio di proporzionalità, soltanto la lotta a gravi forme di criminalità e la salvaguardia della sicurezza nazionale possono giustificare ingerenze nella sfera dei diritti fondamentali[83]. Questo approccio è però difficile da tradurre nell’ordinamento francese, il cui diritto penale non conosce – testualmente – la fattispecie della c.d. «criminalità grave»; di conseguenza, anche quando il Consiglio di Stato (nell’affrontare la questione della conservazione degli indirizzi IP e quella specifica della conservazione dei dati di connessione) fa riferimento al principio di proporzionalità, può farlo esclusivamente nei limiti di quanto consentito dal Codice di procedura penale vigente (in particolare, dall’art. III, sesto capoverso, preliminare al cod. pen.[84]).

Vero è che, a ben vedere, la norma penale interna non riguarda le misure in discorso (qualificate però dallo stesso Consiglio di Stato come rilevanti nei casi in discussione[85]); la stessa norma penale, inoltre, non pare essere stata ideata per disciplinare la conservazione indiscriminata dei dati, ma altre, specifiche fattispecie – ad esempio quelle inerenti le modalità di esercizio della libertà di associazione. Quindi, se da un lato è chiara la ratio del Codice penale – in quanto ancoràta alle garanzie del diritto alla difesa nel processo penale -, dall’altro non è meno evidente l’intenzione del Consiglio di Stato, che vuole individuare proprio in alcune norme penali la base giuridica che permette ai pubblici poteri di avere accesso ai dati connessione, e che ne giustificherebbe di conseguenza la conservazione in tutte le circostanze immaginabili.

Nella sentenza della CDGUE, fra l’altro, il principio di proporzionalità si applica anche quando le tecniche di sorveglianza vengono utilizzate in concreto da soggetti diversi dalla Pubblica Amministrazione – Giudici o Autorità amministrative indipendenti che siano[86]. Non che questa stessa valutazione sia assente nel ragionamento del Consiglio di Stato; il Giudice amministrativo, però, la fa discendere da una previsione di diritto interno (ossia l’art. L. 801-1 CSI, in ragione del quale la violazione del rispetto del diritto alla vita privata originata dall’uso di tecniche di raccolta dei dati a fini investigativi deve essere proporzionale ai motivi in ragione dei quali è sorta[87]). Nell’ottica del Giudice interno, dunque, è l’art. L. 801-1 CSI che, per impedire che i pubblici poteri agiscano al di fuori di ogni limitazione e non si sottraggano ai controlli del caso, introduce nell’ordinamento giuridico nazionale il principio sovranazionale di proporzionalità – non il diritto dell’Unione europea.

Vale la pena di formulare una ulteriore osservazione, perché non è irrilevante interrogarsi sulla differenza che intercorre fra l’interpretazione del principio di proporzionalità resa dalla CDGUE e quella data dal Consiglio di Stato. La Corte esercita il suo controllo sulle misure adottate e, così facendo, giunge a sindacarle alla luce del principio di proporzionalità; il Giudice amministrativo, al contrario, insiste sulla necessità di subordinare le misure di sorveglianza anzitutto a un controllo preventivo e vincolante della CNTR per, poi, accogliere la possibilità che il Consiglio di Stato stesso possa esprimersi una seconda volta sulla medesima fattispecie[88].

Certo, al di là di questo chiarimento di natura teorica, resta il fatto che, per comprendere se il «controllo preventivo» cui si riferisce il Consiglio di Stato corrisponda al «controllo effettivo» auspicato dalla CDGUE, sarà comunque indispensabile osservare le decisioni che, in futuro, verranno adottate dalla CNCTR e dal Consiglio di Stato (proprio in occasione del controllo relativo all’utilizzo concreto delle tecniche di sorveglianza[89]).

10. Il «principio di finalità» fra Consiglio di Stato e CDGUE

La disciplina sovranazionale finora discussa poggia su un ulteriore pilastro posto a presidio della protezione dei diritti, ossia sul principio dei «limiti alle finalità» perseguite accedendo e utilizzando i dati.

Afferma infatti il Regolamento generale sulla protezione dei dati che quelli a «carattere personale devono essere raccolti per perseguire finalità determinate, esplicite e legittime, e non possono essere oggetto di un trattamento contrario alle medesime finalità»[90]. In relazione al caso di specie, ciò significa che l’accesso a dati di questa natura è possibile soltanto se esso risponde all’interesse generale che giustifica, fra l’altro, la conservazione dei dati stessi[91].

Il Consiglio di Stato pare allontanarsi da questo approccio quando sostiene, in modo del tutto pragmatico, che, per riuscire a condurre le indagini indispensabili per contrastare la minaccia terroristica, l’accesso ai dati conservati deve essere reso possibile anche oltre il lasso di tempo massimo previsto per legge[92]. Così ragionando, il Giudice amministrativo non dimentica comunque di chiarire che il primo Ministro non può rifiutarsi di non dare più applicazione a quelle misure che consentono invece di conservare i dati a prescindere dalle finalità connesse alla salvaguardia della sicurezza nazionale. In altri termini, il Giudice amministrativo sembra ricordare al Governo che il diritto UE va rispettato. C’è però di più, perché, forse, è possibile suggerire anche una seconda e diversa lettura della questione appena ricostruita.

Per il Consiglio, il Governo non ha bisogno di dare applicazione alle norme interne non conformi alla Direttiva «e-privacy» perché le autorità penali, proprio in ragione di esigenze di valore costituzionale – ossia, nel caso di specie, la garanzia della sicurezza – possono accedere in modo del tutto legittimo ai dati raccolti. Certo, così argomentando il Consiglio evita di soffermarsi su un profilo che, a parere di chi scrive, è determinante: il diritto dell’Unione non esige semplicemente che il principio di finalità venga recepito nella disciplina nazionale sulla raccolta, l’accesso e la conservazione dei dati, ma chiede che l’accesso sia possibile soltanto nel rispetto del principio stesso inteso come strumento posto a presidio dei dati.

Il Consiglio di Stato sembra adottare lo stesso atteggiamento anche quando si confronta con la disciplina nazionale in tema di raccolta in tempo reale dei dati connessione. Esso pare infatti ritenere che, sulla base dell’interpretazione resa nella pronuncia pregiudiziale, la Direttiva 2002/58 non vieti il ricorso a questo metodo di raccolta dei dati proprio quando si debbano proteggere, nel loro complesso, i diritti fondamentali[93]. Tuttavia, il Giudice amministrativo formula in modo particolarmente ampio la nozione di «fondamentali interessi nazionali»[94] alla quale riconduce poi quella del contrasto alla criminalità organizzata e della prevenzione delle attività connesse. Così facendo, esso dilata infatti i contorni della fattispecie della lotta al terrorismo, senza tenere conto del fatto che, secondo la CDGUE, la raccolta in tempo reale dei dati connessione, «dato il suo carattere fortemente invasivo, può essere adottata soltanto nei confronti di soggetti rispetto ai quali ci sia il fondato sospetto che siano implicati in attività terroristiche»[95].

11. La sicurezza nella sua dimensione giuridica e sociale

Il timore che la sentenza dell’aprile 2021 possa interrompere il dialogo fra le due Corti è fondato non solo sulle suggestioni finora prospettate, ma su altre ancora.

Al contrario di quanto fanno la Corte EDU[96] e, in qualche misura, anche la Corte di Cassazione francese[97], il Consiglio non considera, ad esempio, il più profondo impatto che le tecniche di sorveglianza o le indagini penali possono avere sui diritti fondamentali. In questo, non pare peraltro irrilevante ricordare come altre giurisdizioni abbiano scelto un approccio simile a quello della CDGUE – basti pensare alla sentenza del 22 aprile 2021 della Corte costituzionale del Belgio[98]. C’è dunque da chiedersi se il Consiglio di Stato rifiuti questa logica perché non condivide il punto di partenza del ragionamento della CDGUE – a motivo del quale già la sola conservazione a fini di sicurezza dei dati di traffico e localizzazione può violare il diritto di cui all’art. 7 della Carta (ossia il rispetto della vita privata e della vita familiare), e, di conseguenza, indurre chi utilizza le comunicazioni elettroniche a rinunciare all’esercizio della libertà di informazione ed espressione garantita dall’art. 11 della stessa Carta[99].

La differenza fra la posizione della CDGUE e del Consiglio non è dunque di poco conto, perché riguarda il modo stesso di concepire la sicurezza nella sua dimensione giuridica e sociale.

12. Il «diritto alla sicurezza» alla luce della giurisprudenza della CDGUE e della Corte EDU

Nella sostanza, il Consiglio pare concentrarsi soltanto sulla responsabilità che incombe sullo Stato in materia di sicurezza, e sull’esigenza di garantire che, nello stesso ambito, l’azione pubblica possa svolgersi con la necessaria efficacia. Una tale impressione sorge anche perché il Giudice amministrativo, nel rinvio pregiudiziale, tratta della questione pure alla luce dell’art. 6 della Carta dei Diritti, dedicato per l’appunto al diritto alla libertà e alla sicurezza.

Nell’ottica adottata dal Consiglio di Stato, il riferimento a quella disposizione nulla ha a che vedere con la protezione garantita a livello sovranazionale del diritto alla sicurezza: tutto al contrario, il diritto di cui all’art. 6 della Carta viene interpretato invece proprio per riuscire a individuare un diverso fondamento dell’obbligo (nazionale) di conservazione generale e indifferenziata dei dati connessione. In questa luce, pare quasi che la disposizione venga utilizzata dal Consiglio di Stato per convincere la CDDGUE della correttezza della sua argomentazione – dato che la Corte, come noto, ricorre sempre al bilanciamento fra diritti per risolvere eventuali contrasti fra libertà.

La stessa scelta si spiega, poi, pure in ragione di una seconda considerazione; per il Giudice francese, il diritto alla sicurezza non può essere scisso dall’obbligo di protezione che lo Stato ha nei confronti dei cittadini. Una simile concezione non è nuova; come già ricordato, essa nasce nella Germania degli anni Ottanta dello scorso secolo e, dopo gli attentati dell’11 settembre 2001, viene accolta dalle legislazioni in materia di lotta al terrorismo adottate da numerosi paesi occidentali[100]. Proprio questo approccio conferisce alla salvaguardia statale della sicurezza una ampiezza tale da giustificare intense attività di sorveglianza da parte dei servizi di intelligence, e, in casi più che estremi, addirittura l’adozione dello stato di eccezione.

Non sembra però che questa concezione corrisponda, fra l’altro, al diritto alla sicurezza così come previsto dall’art. 5 della Convenzione europea del 1950. Secondo la Corte EDU, infatti, questo diritto non può spingersi al punto di comprimere in modo drastico le altre libertà: esso è strumento per proteggere gli individui dall’arbitrio del pubblico potere[101]. Ed è per questa ragione che, proprio con la sentenza del 6 ottobre 2020, la CDGUE ha voluto chiarire come dall’art. 6 della Carta dei Diritti – che, per l’appunto, in sostanza corrisponde all’art. 5 della Convenzione – non discenda un obbligo statale mirato a consentire l’adozione di misure di repressione di specifici reati[102]. Se anche non si può negare che la Corte, sul punto, non si sia sempre espressa in modo chiaro, è di certo vero che essa, con la sua giurisprudenza precedente, non pare comunque aver mai voluto giustificare intense forme di ingerenza nella sfera dei diritti. In questa luce sembra necessario richiamare, ad esempio, la logica posta a fondamento della sentenza «Digital Rights Ireland», con la quale la Corte interpretava l’art. 6 della Carta alla luce delle libertà garantite dagli artt. 7 e 8 della stessa fonte[103]. Anche questa interpretazione, alla luce di quanto sinora suggerito, sembra andare nella direzione per la quale il contrasto alla criminalità e al terrorismo non può di per sé giustificare misure indiscriminate di conservazione dei dati[104].

Il Consiglio di Stato, invece, pare sposare la posizione opposta[105], tanto è animato dalla (giusta) preoccupazione di proteggere la popolazione da minacce esterne e interne, da chiunque originate. Ovvio che in quest’ottica non pare azzardato che il Giudice francese provi a ricondurre alla Dichiarazione dei diritti dell’Uomo e del Cittadino (più specificamente, all’art. 12 di quest’ultima) la necessità che lo Stato si doti di una forza pubblica capace di contrastare le minacce ricordate[106]. Tuttavia, resta il dubbio che il Consiglio voglia adottare una concezione per così dire «hobbesiana» del diritto alla sicurezza, dove il primo si inchina dinanzi alla seconda[107].

In ogni caso, chiaro che una simile visione del fenomeno discusso strida con la necessità di bilanciare le esigenze di garanzia della sicurezza con la protezione dei diritti, e, soprattutto, la legittima aspirazione di ciascuno a non essere oggetto di forme penetranti di sorveglianza costante[108]. Fra l’altro, proprio l’equilibrio fra opposte necessità potrebbe discendere da una interpretazione attualizzante dell’art. 16 della Dichiarazione dei Diritti dell’Uomo e del Cittadino, che configuri la forza pubblica come mezzo posto a protezione dei singoli e della società nel suo insieme[109] – così come, peraltro, sembra proprio fare la CDGUE[110] quando prova a tradurre nel diritto dell’Unione il modello di «società democratica e pluralista» sviluppato dalla giurisprudenza della Corte EDU[111]. Di stretta conseguenza, per la CDGUE gli Stati membri potranno limitare le libertà esclusivamente nel rispetto dei principi generali del diritto dell’Unione (fra i quali figura, ad esempio, il principio di proporzionalità) e delle garanzie dei diritti fondamentali previste dalla Carta[112].

13. Il «diritto alla vita privata» fra sfera individuale e dimensione sociale della sicurezza

Come ovvio, quanto finora affermato non intende negare che garantire la sicurezza sia cosa decisiva: evidenti sono, al momento, le tante e diverse minacce che toccano gli individui e le società nel loro complesso. In nome della sua protezione, però, non si può arrivare a creare un ordinamento giuridico dove la sicurezza possa prevalere sui diritti, e farlo soprattutto per garantire l’efficace esercizio delle attività del pubblico potere nello stesso ambito. Quel che, difatti, sembra premere alla CDGUE, è proprio che il confronto fra diritti e sicurezza non possa risolversi a danno dei primi. In questa luce, la Corte ammette che una misura – in linea di principio inaccettabile (come, appunto, la conservazione generalizzata e indifferenziata dei dati di connessione) perché rappresenta una forma di ingerenza «particolarmente grave» nella sfera dei diritti fondamentali della «quasi totalità della popolazione» – possa essere tollerata quando la sicurezza nazionale sia in grave pericolo[113]. In questa prospettiva la CDGUE accetta, addirittura, che la conservazione preventiva degli indirizzi IP possa essere adottata anche se colpisce categorie di soggetti vulnerabili (come, ad esempio, i bambini) e, più in generale, per contrastare gravi forme di criminalità o prevenire serie minacce alla pubblica sicurezza[114]. In sintesi, la Corte non nega che, nel più ampio quadro della conservazione mirata o di breve durata dei dati di connessione, pure individui sui quali non pesa alcun sospetto possano venire sorvegliati in modo da proteggere la restante parte della popolazione dalle azioni di individui potenzialmente pericolosi[115]. Inoltre, la CDGUE aggiunge che, proprio in ragione di una minaccia grave per la sicurezza nazionale, il monitoraggio e l’analisi dei dati di connessione di tutti, indistintamente, coloro i quali utilizzano mezzi di comunicazione elettronica, possano essere giustificati[116]. In entrambe le ipotesi, però, la Corte non dimentica di sottolineare come non sia comunque mai possibile spingersi al di sotto di un determinato livello di garanzia dei diritti fondamentali.

In questa particolare cornice, la posizione della CDGUE ricorda quella tedesca: è stato il Tribunale costituzionale federale che, con la sentenza del 15 dicembre 1983 sulla legge sul censimento della popolazione, ha formulato il c.d. «diritto all’autodeterminazione informativa»[117]. Per il Giudice costituzionale tedesco, un tale diritto discende dagli artt. 1 (relativo al rispetto della dignità umana) e 2, comma 1° della Legge Fondamentale (inerente il diritto a esprimere liberamente la propria personalità). Il Giudice costituzionale riconosce a ciascun individuo il diritto di gestire in modo libero tanto le sue comunicazioni quanto le tracce lasciate sotto forma di dati, ponendo tuttavia l’accento non solo sulla protezione del diritto individuale, ma, anche, sulla interdipendenza fra il soggetto i cui dati vengono raccolti, gli altri cittadini e la società. Proteggere la vita privata non può andare a detrimento degli altrui diritti e dell’integrità dell’ordine sociale.

Una simile concezione del diritto alla autodeterminazione pare caratterizzare non solo la posizione della Corte, ma la stessa disciplina sovranazionale sui dati[118], con una particolarità da non trascurare: in relazione al tema qui discusso, la questione acquista un profilo più deciso e inquietante, perché proprio i dati consentono di ricostruire i tanti e diversi tratti della vita privata di un individuo[119]. La Corte ne è consapevole, ed è per questo che desidera proteggere il diritto alla vita privata in tutte le sue declinazioni –includendovi di conseguenza pure le attività realizzate in Rete da ciascun individuo. È in questa luce che il diritto alla vita privata acquista una dimensione «sociale»[120]; ed è sempre per questa ragione che la Corte desidera difendere tanto la società quanto gli individui dai rischi di forme di sorveglianza (realizzata da poteri pubblici o attori privati) che profilino i singoli[121], perché il rischio reale originato dagli strumenti richiamati sta proprio nel fatto che questi ultimi incidono addirittura sulla dimensione sociale nella quale si esprime la libertà dell’individuo[122].

14. Osservazioni conclusive: dalla «clausola Arcelor» al «caso Pegasus», fra negazione dei diritti e speranze per il futuro

È importante ribadire che il Consiglio di Stato non ha seguito il suggerimento con il quale il Governo francese chiedeva di adottare, rispetto al caso di specie, la dottrina sugli atti ultra vires del Giudice costituzionale tedesco[123]. A parere di chi scrive, la scelta del Giudice amministrativo va apprezzata: il sindacato su quegli atti, infatti, può solo produrre conseguenze negative sul dialogo fra le Corti in Europa. Non è difficile immaginare cosa potrebbe accadere se, in futuro, tante, fra le Corti costituzionali degli Stati membri, si arrogassero il diritto di pronunciare «l’ultima parola» rispetto a questioni di rilievo sovranazionale: il Giudice costituzionale tedesco in materia economica e monetaria, quello francese in tema di sicurezza, quelli polacchi o ungheresi in relazione alle riforme della giustizia, e via dicendo. Uno scenario simile sarebbe destinato soltanto a erodere in modo lento, ma inesorabile, il processo di integrazione.

In questa luce – e nonostante i tanti dubbi espressi nel corso di questo scritto – non pare azzardato rintracciare, nella sentenza dell’aprile 2021 del Consiglio di Stato, un atteggiamento attento a non incorrere in un rischio simile. Questa cautela esprime la concezione che il Giudice amministrativo ha del proprio ruolo, incentrato sulla protezione dello Stato – o, per meglio dire, dello Stato francese.

Tuttavia, se, da un lato, il difficile compito che il Consiglio di Stato si è assunto gli fa onore, dall’altro non cancella una paura. In questa luce, proprio mentre si scrive suscita attenzione e profonda inquietudine il c.d. «caso Pegasus»: una indagine giornalistica svolta da ben sedici testate internazionali[124] ha difatti svelato come politici e avvocati, giornalisti e attivisti per i diritti umani siano stati oggetto di sorveglianza costante grazie all’utilizzo, da parte di attività di intelligence di diversi paesi, di un malware (da cui il caso prende il nome) che permette non solo di accedere a foto, messaggi, e-mails e dati contenuti negli smartphones, ma, addirittura, di registrare chiamate e azionare il microfono dei devices senza che il legittimo proprietario ne sia a conoscenza. Ad oggi si ritiene che circa cinquantamila numeri di cellulare siano stati posti sotto controllo per ragioni – come afferma la società NSO Group che ha creato il malware – connesse alla sola lotta al terrorismo e alla criminalità: fra i numeri sorvegliati, però, spiccano quelli dei soggetti appena ricordati[125] e, sebbene la questione attuale non interessi i dati di connessione, i rischi che essa comporta non paiono meno preoccupanti.

Ora, se questa è la realtà che scandisce i nostri giorni, nel nome di quale Stato vuole esprimersi il Giudice francese?

Se, all’orizzonte, si profilasse anche solo il rischio di voler dare voce a uno Stato fondato sul sospetto, dove la vita di ogni cittadino può diventare l’oggetto di uno scrutinio costante in grado di penetrarne la sfera più intima, e la salvaguardia della sicurezza può prevaricare sulla protezione dei diritti, allora al Consiglio di Stato spetterebbe un ulteriore compito, decisivo: esercitare – in una società democratica e pluralista – il ruolo di custode dei diritti nel più profondo rispetto della garanzia assoluta delle libertà fondamentali.

  1. In merito a questi profili v. le «Conclusioni» di A. Lallet, rapporteur public, spec. p. 78 et p. 43, per le quali https://www.conseil-etat.fr/ressources/decisions-contentieuses/arianeweb (n.d.t.: introdotta in Francia nei primi decenni del XIX° secolo, la figura del rapporteur public – noto durante la Seconda Repubblica come «commissaire du gouvernement» – caratterizza a tutt’oggi il contenzioso amministrativo francese. Il rapporteur interviene durante la pubblica udienza – nel caso di specie, del Consiglio di Stato – proponendo la soluzione giuridica della questione trattata dinanzi al Giudice amministrativo. Nel corso del testo, data la difficoltà a individuare una figura identica nell’ordinamento giuridico italiano, si farà riferimento a quella francese utilizzando l’espressione in lingua originale).
  2. In relazione al caso tedesco v. R.A. Miller, Balancing Security and Liberty in Germany, in Journal of National Security Law & Policy, 2010, p. 369 ss.; O. Lepsius, Liberty, Security, and Terrorism: The Legal Position in Germany, in German Law Journal, 2004, p. 435 ss. Per la giurisprudenza della Corte Europea dei Diritti dell’Uomo (in breve Corte EDU) v. invece Corte EDU, sent. 6 settembre 1978, Klass et autres c. Allemagne, ric. n. 5029/71 e, più in generale, R. Angrisani, Données personnelles et surveillance massive: quelle protection face aux ingérences des autorités publics ?, in Revue québécoise de droit internationale, numero monografico dedicato a La Convention européenne des droits de l’homme a 70 ans, dicembre 2020, p. 107 ss.
  3. Questa giurisprudenza sembra però il frutto della volontà delle istituzioni europee di estendere il progetto di integrazione economica anche alla protezione dei diritti fondamentali. Le sentenze relative sono basate sull’interpretazione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 2995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. L’evoluzione giurisprudenziale in discorso è stata caratterizzata dall’adozione di alcune decisioni di particolare significato, fra le quali si possono ricordare: CDGUE, sent. 6 novembre 2003, Lindqvist, in C-101/01, EU:C:2003:596; CDGUE, sent. 13 maggio 2014, Google Spain et Google, in C-131/12, EU:C:2014:317; CDGUE, Grande Sezione, sent. 8 aprile 2014, Digital Rights Ireland, in C-293 et 594/12, EU:C:2014:238; CDGUE, Grande Sezione, sent. 6 ottobre 2015, Schrems, in C-362/14, EU:C:2015:650. Sulla più ampia tematica che funge da sfondo alle decisioni ricordate v. O. Linskey, The Foundations of EU Data Protection Law, Oxford University Press, 2015.
  4. Per ogni più utile approfondimento sul ruolo dei diritti nell’ordinamento giuridico sovranazionale K. Lenaerts, Limits on Limitations: The Essence of Fundamental Rights in the EU, in German Law Journal, 2019, pp. 779-793; sul più specifico tema qui trattato v. gli Editorial Comments in Europe is Trembling. Looking for a Safe Place in EU Law, in Common Market Law Review, 2020, pp. 1675-1688.
  5. CDGUE, sent. 8 aprile 2014, Digital Rights Ireland e a., in C‑293 et 594/12, EU:C:2014:238; CDGUE, sent. 21 dicembre 2016, Tele2 Sverige e Watson e.a., in C‑203 et 698/15, EU:C:2016:970, spec. pgff. 117 et 118; v. poi anche CDGUE, parere n. 1/15 (Accordo PNR UE-Canada), 16 luglio 2017, EU:C:2017:592, pgf. 192. Sulle condizioni preliminari e di procedura da osservare quando si adottano misure di sorveglianza e controllo v. invece Consiglio di Stato, sent. 21 ottobre 2016 QPC, n. 2016-590, spec. cons. 8 e, più di recente, Consiglio di Stato, sent. 20 maggio 2021 DC, n. 2021-817 con la quale il Giudice amministrativo si esprime sulla «loi pour une sécurité globale préservant les libertés», esigendo – spec. pgf. 135 – delle «garanties particulières» per porre in essere sistemi di sorveglianza.
  6. V. di nuovo le «Conclusioni» di A. Lallet, rapporteur public, cit., p. 22.
  7. Ibidem.
  8. Questo principio trae origine dalla Direttiva 97/66 del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni, abrogata dalla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (o Direttiva relativa alla vita privata e alle comunicazioni elettroniche).
  9. V. la nota precedente.
  10. Sul punto v. le osservazioni di A. Bouveresse, in RTDE, 2019, p. 541 sulle questioni trattate nei rinvii pregiudiziali francese e belga all’origine della sentenza CDGUE sent. 6 ottobre 2020, La Quadrature du Net e a. c. Premier Ministre e a., in C-511/18, 512/18 e 520/18, EU:C:2020:791.
  11. V. la nota precedente.
  12. CDGUE, sent. La Quadrature du Net, cit.
  13. Consiglio di Stato, sent. 8 febbraio 2007, Arcelor, n. 287110, rispettivamente in RTDE 2007, p. 378 ss., con le «Conclusioni» di M. Guyomar annotate da P. Cassia; in RFDA, 2007, p. 384, con le stesse «Conclusioni» commentate da F. Lenica e J. Boucher; in AJDA, 2007, p. 577; in RFDA, 2007, come discussa da X. Magnon, p. 578; in RFDA, 2007, come analizzata da A. Levade, p. 564; in RDP, 2007, come trattata da J. Roux, p. 1031; in Dr. Adm., 2007, come ricostruita da M. Gautier e F. Melleray nello Etude n° 7; ci si permette infine di rinviare alle osservazioni formulate da chi scrive in Chronologie de jurisprudence administrative française intéressant le droit communautaire, in RTDE, 2008, p. 835, spec. pp. 837-842.Pare interessante evidenziare fin da subito che la pronuncia Arcelor evoca in qualche misura la giurisprudenza costituzionale italiana in tema di controlimiti: come noto, in relazione a quest’ultima, la letteratura è ricca al punto da non poter essere qui ricostruita; v. dunque, ex multis, A. Lo Calzo, Dagli approdi della Corte costituzionale in tema di controlimiti alle tendenze nel dialogo fra le Corti, in Federalismi.it, 13 gennaio 2021, https://www.federalismi.it/nv14/articolo-documento.cfm?Artid=44744, e R. Calvano, La Corte costituzionale e i “Controlimiti 2.0”, in Federalismi.it, 29 febbraio 2016, https://www.federalismi.it/nv14/articolo-documento.cfm?artid=31459.
  14. L’espressione (in lingua originale «rugueux», lett. «ruvido», «scabro» o «scheggioso») è del Vicepresidente del Consiglio di Stato, Bruno Lasserre (per questa v. Le Conseil d’État autorise la conservation des données de connexion, in Le Monde, edizione del 23 aprile 2021).
  15. V. la nota precedente.
  16. Diversi i casi inerenti il controllo da parte di Giudici costituzionali degli Stati membri su (presunti) atti sovranazionali ultra vires: v. Corte costituzionale ceca, sent. 31 gennaio 2012, Landtová, Pl. ÚS (adottata dopo la sentenza pregiudiziale CDGUE, sent. 22 giugno 2011, Landtová, in C-399/09, EU:C:2011:415); Tribunale costituzionale federale tedesco, sent. 5 maggio 2020, Weiss, 2 BvR 859/15 (pronunciata dopo il rinvio pregiudiziale all’origine de CDGUE, sent. 11 dicembre 2018, Weiss, in C-493/17, EU:C:2018:1000); su quest’ultima, ex multis, i contributi raccolti nel numero monografico della Rivista RTDE: La BCE, entre Union de droit et démocratie, in RTDE, 2020, p. 785 ss., e quelli ulteriori pubblicati nel numero speciale della Rivista German Law Journal, Vol. 21, fascicolo 5, 2020. Va pure ricordata, anche se in parte differente dalle decisioni appena richiamate, la pronuncia della Corte Suprema danese, sent. 6 dicembre 2016, Ajos (n. 15/2014) (adottata dopo la decisione della CDGUE, sent. 19 aprile 2016, Dansk Industri, in C-441/14, EU:C:2016:278). Infine interessanti le osservazioni di H. Elkan, K. Schaldemose, From Cooperation to Collision: The ECJ’s Ajos Ruling and the Danish Supreme Court’s Refusal to Comply, in Common Market Law Review, 2018, p. 17 ss..Di nuovo le «Conclusioni» del rapporteur public A. Lallet, p. 22-23.
  17. Ibidem.
  18. Secondo questa disposizione «l’arrêt a force obligatoire à compter du jour de son prononcé».
  19. J. Baquero Cruz, Malaise in Karlsruhe, in corso di pubblicazione in European Law Journal, 2021, e già pubblicato in Eastern European States sense Opportunity in German Court Ruling, in Financial Times, edizione del 10 maggio 2020.Per la recentissima giurisprudenza dello stesso Giudice costituzionale in materia di ratifica della «Decisione sulle Risorse proprie» dell’Unione e in tema di Public Sector Purchase Programme (o PSPP) v. anche Tribunale costituzionale federale tedesco, sentt. 15 aprile (2 BvR 547/21, https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2021/03/rs20210326_2bvr054721.html)

    29 aprile 2021 (2 BvR 1651/15, 2 BvR 2006/15, https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/EN/2021/04/rs20210429_2bvr165115en.html).

  20. V. già Consiglio di Stato, sent. 30 ottobre 1998, Sarran, Leb. 368; Consiglio di Stato, sent. 3 dicembre 2001, SNIP, Leb. 624.
  21. Consiglio di Stato, sent. French Data Network, cit., pgff. 3-4.
  22. In questo senso L. Azoulai, E. Dubout, Repenser la primauté. L’intégration européenne et la montée de la question identitaire, in B. Bonnet (a cura di), Les rapports entre ordres juridiques. Bilan, enjeux, perspectives, in LGDJ, 2016, p. 567 ss.
  23. Consiglio di Stato, sent. French Data Network, cit., pgf. 5: la formulazione richiama la decisione del Consiglio costituzionale, sent. 9 agosto 2012 DC, TSCG, n. 2012-653, conss. 8-9. Per una enunciazione in parte differente, v. anche Consiglio costituzionale, sent. 19 novembre 2004 DC, Traité établissant une Constitution pour l’Europe, n. 2004-505, conss. 10-11.
  24. V. Constantinesco, Des racines et des ailes. Essai sur les rapports entre droit communautaire et droit constitutionnel, in Mél. L. Dubouis, Dalloz, 2002, p. 309 ss.
  25. Consiglio di Stato, sent. French Data Network, cit., pgf. 4.
  26. V. Consiglio di Stato, sent. 8 luglio 2020, Assoc. De défense des ressources marines, n. 428271, e anche Consiglio di Stato, sent. 30 gennaio 2017, La Cimade, n. 394486, in AJDA 2017, p. 821 ss. (con le «Conclusioni» di X. Domingo), ma anche in RTDE 2017, come annotata da D. Ritleng, p. 799 ss. Sull’art. 88-1 della Costituzione necessario pure Consiglio di Stato, sent. 12 giugno 2018 DC-765, cons. 2.
  27. Cfr. le «Conclusioni» di A. Lallet, cit., p. 24.
  28. Cfr. le «Conclusioni» di A. Lallet, cit., p. 24.
  29. Consiglio di Stato francese, sent. Arcelor, cit.; Consiglio di Stato francese, sent. 10 maggio 2017, Société Coprova, n. 401536; Consiglio di Stato f, sent. 26 luglio 2018, Fédération de fabricants de cigares, n. 411717.
  30. Consiglio di Stato, sent. Société Coprova, cit.
  31. Di nuovo Consiglio di Stato, sent. Arcelor, cit.; Consiglio di Stato, sent. 18 luglio 2018, SOS Oxygène, n. 408805.
  32. Consiglio di Stato, sent. CE, 3 octobre 2016, Confédération paysanne, n. 388649.
  33. Di nuovo Consiglio di Stato, sent. French Data Network, pgf. 9.
  34. V. Consiglio di Stato, sentt. 10 novembre 2011 QPC, n. 2011-192, cons. 20 e 22; 23 luglio 2015 DC, n. 2015-713, conss. 3, 82 e 86; 21 ottobre 2016 QPC, n. 2016-590, cons. 7.
  35. Consiglio di Stato, sent. 2 marzo 2004 DC, n. 2004-492, cons. 4; 18 settembre 1986 DC, n. 86-217, cons. 8; 10 novembre 2016 DC, n. 2016-738, cons. 23; 7 agosto 2020 DC, n. 2020-805, cons. 11; 20 maggio 2021 DC, n. 2021-817, cons. 21.
  36. Di nuovo Consiglio di Stato, sent. French Data Network, pgf. 9, e la formulazione della prima questione pregiudiziale. Per la natura problematica di questo approccio infra nel testo.
  37. Consiglio di Stato francese, sent. French Data Network, cit., pgf. 10.
  38. Cfr. l’art. 19 TUE.
  39. V. le «Conclusioni» di A. Lallet, rapporteur public, cit., p. 28.
  40. Ibidem, p. 46.
  41. Consiglio di Stato, sent. French Data Network, cit., pgf. 10.
  42. V. le «Conclusioni» di A. Lallet, , rapporteur public, cit., p. 45.
  43. Ibidem, p. 46: «À cette affirmation fait écho le débat récent sur les termes «garantit» ou «préserve» à propos du projet de loi constitutionnelle n° 3787 complétant l’article 1er de la Constitution et relatif à la réservation de l’environnement. Alors que son libellé énonce que la France «garantit la préservation de l’environnement et de la diversité biologique et lutte contre le dérèglement climatique», le Conseil d’État a, dans son avis (Avis n° 401868 du 14 janvier 2021), suggéré de substituer «préserve» à «garantit», formulation moins contraignante pour les pouvoirs publics; suggestion reprise par le Sénat en première lecture (voir Doc. Sénat n° 105 du 10 mai 2021)».
  44. Questo profilo non è estraneo alla giurisprudenza precedente; la CDGUE non accetta infatti l’esistenza di una «réserve générale, inhérente au traité, excluant du champ d’application du droit communautaire toute mesure prise au titre de la sécurité public» (CDGUE, sent. 11 gennaio 2000, Kreil, in C-285/98, ECLI:EU:C:2000:2, pgf. 16). In ogni caso, la Corte ammette poi che gli Stati membri dispongano di un margine di apprezzamento nell’ipotesi in cui debbano adottare misure in materia di pubblica sicurezza (CDGUE, sent. 17 ottobre 1995, Leifer e.a., in C-83/94, ECLI:EU:C:1995:329, pgf. 35). Nella giurisprudenza più recente, invece, la Corte utilizza una accezione ampia della nozione di «sicurezza» (CDGUE, sent. 13 settembre 2016, CS, in C-304/14, ECLI:EU:C:2016:674, pgf. 39), perché riconosce la natura pubblica, ossia dello «Stato», di questa peculiare esigenza. Sulla questione v., in generale, J. Snell, E. Aalto, Security and Integration in the Context of the Internal Market, in F. Amtembrink et al. (eds.), The Internal Market and the Future of European Integration. Essays in Honour of Laurence W. Gormley, Cambridge University Press, 2019, p. 561 ss.; L. Azoulai, The European Court of Justice and the Duty to Respect Sensitive National Interests, in M. Dawson et al. (eds.), Judicial Activism at the European Court of Justice, E. Elgar, 2013, p. 167.
  45. Rivedi invece le affermazioni in CDGUE, sent. La Quadrature du Net, cit., pgf. 136
  46. Sul punto CDGUE, sent. La Quadrature du Net, cit., pgff. 134-139.
  47. In questa luce CDGUE, sent. La Quadrature du Net, cit., pgff. 134-139.
  48. Edouard Dubout ben riassume la questione, laddove sostiene che il Consiglio di Stato si sia trasformato nel «custode della sicurezza» (Id., Le Conseil d’État, gardien de la sécurité, in Revue des Droits et Libertés fondamentaux, 2021, cron. n. 18, on line)
  49. In generale sul più ampio tema sottostante v. R. Chapus, Droit du contentieux administratif, 10ème éd., Montchrestien, 2002, p. 40.
  50. A. Mestre, Le Conseil d’État, protecteur des prérogatives de l’administration, in LGDJ, 1974.
  51. V. le «Conclusioni» di A. Lallet, rapporteur public, cit., p. 23.
  52. Cfr. le «Conclusioni» di M. Guyomar, relative a Consiglio di Stato francese, Sett. Sez., sent. 10 aprile 2008, Conseil national des barreaux et autres, in RFDA, 2008 p. 575 ss.
  53. Per il significato e il contesto al quale ricondurre la giurisprudenza Arcelor v. J. Teyssedre, Le Conseil d’État, juge de droit commun du droit de l’Union européenne, Université Toulouse Capitole, 2019.
  54. Di nuovo Consiglio di Stato, sent. French Data Network, cit., pgf. 23, e le «Conclusioni» di A. Lallet, cit., pp. 40-41.
  55. La Direttiva 2002/58, teoricamente, sta a fondamento di un progetto di armonizzazione utile per proteggere i diritti e le libertà fondamentali; il suo scopo consisterebbe dunque nel tutelare chi utilizza le comunicazioni elettroniche (v. il rinvio pregiudiziale del Consiglio di Stato francese nel caso La Quadrature du Net, cit., ai pgff. 91 et 106). Non va poi dimenticato che la base giuridica del «Regolamento generale sulla protezione dei dati» è data dall’art. 16 del Trattato sul Funzionamento dell’Unione europea (o TFUE), ossia una disposizione diversa da quelle dedicate al mercato unico, e adottata in relazione alla protezione dei dati a carattere personale.
  56. Di nuovo le «Conclusioni» di A. Lallet, , rapporteur public, cit., p. 16.
  57. Ibidem, p. 14.
  58. Cfr. le «Conclusioni» di A. Lallet, rapporteur public, cit., pp. 27-28. Pare significativo osservare come il Giudice amministrativo non ancori il proprio ragionamento all’art. L. 811-1 CSI, che stabilisce che la «politique public de renseignement (…) relève de la compétence exclusive de l’État».
  59. Questa la posizione del Giudice amministrativo in diversi casi in materia di dati. Per una sintesi delle stesse questioni v. J. Teyssedre, Le droit de l’Union européenne de la protection des données dans le prétoire du Conseil d’État: quels enjeux?, in corso di pubblicazione in RTDE, 2021.
  60. Consiglio di Stato, sent. French Data Network, cit., pgf. 5.
  61. Consiglio di Stato, sent. French Data Network, cit., pgf. 24; CDGUE, La Quadrature du Net, cit., pgff. 91-99.
  62. Così la CDGUE, in ragione di una interpretazione restrittiva della c.d. «clausola di esclusione» di cui all’art. 1, §3, della Direttiva 2002/58 (v. anche CDGUE, sent. Tele 2 Sverige, cit., pgff. 67-81).
  63. Consiglio di Stato, sent. French Data Network, cit., pgf. 25, e di nuovo CDGUE, sent. La Quadrature du Net, cit., pgff. 101-103.
  64. In questa luce F.-X. Bréchot, Clap de fin pour la conservation généralisée des données de connexion en Europe?, in Revue de l’Union européenne, 2017, p. 178 ss.
  65. Queste attività rilevano solo ai fini del diritto interno, sotto riserva di applicazione della Direttiva 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (e, di nuovo, CDGUE, sent. La Quadrature du Net, cit., pgf. 103).
  66. In questo senso I. Cameron, Something for Everybody? Privacy International and ‘La Quadrature du Net and Others’, in corso di pubblicazione in Common Market Law Review, 2021.
  67. Consiglio di Stato, sent. French Data Network, cit., pgf. 26.
  68. CDGUE, sent. La Quadrature du Net, cit., pgf. 128.
  69. Sul pericolo discusso nel testo v. B. Ackerman, The Emergency Constitution, in Yale Law Journal, 2004, p. 1029 ss.
  70. CDGUE, sent. La Quadrature du Net, cit., pgff. 137-139.
  71. Consiglio di Stato, sent. French Data Network, cit., pgff. 66 e 96.
  72. Consiglio di Stato, sent. French Data Network, cit., pgf. 44.
  73. Per il diverso approccio di nuovo CDGUE, sent. La Quadrature du Net, cit., pgf. 138.
  74. Sul punto G. Morgan, The Idea of a European Superstate: Public Justification and European Integration, Princeton University Press, 2005, pp. 101-102.
  75. CDGUE, sent. La Quadrature du Net, cit., pgff. 146-151.
  76. Consiglio di Stato, sent. French Data Network, cit., pgff. 51-56. A. Lallet, rapporteur public, nelle sue «Conclusioni» (cit., p. 61), parla anche della «impossibilité technique» e della «inanité opérationnelle».
  77. Consiglio di Stato, sent. French Data Network, cit., pgff. 55-56.
  78. Consiglio di Stato, sent. French Data Network, cit., pgf. 57.
  79. Espresse, ad es., in Consiglio di Stato, Les Rapports du Conseil d’État. Le numérique et les droits fondamentaux, in La documentation Française, 2014, p. 209.
  80. CDGUE, sent. 21 settembre 1989, Hoechst/Commission, in C-46/87 et 227/88, EU:C:1989:337, pgf. 41 (in relazione all’obbligo di motivazione delle decisioni amministrative adottate nell’esercizio dei poteri di inchiesta esercitati in materia di diritto della concorrenza): questa concezione si ritrova, in qualche misura, pure in Consiglio di Stato, sent. 20 maggio 2021 DC, n. 2021-817, a proposto della «loi pour une sécurité globale préservant les libertés» – v. il pgf. 135 – dove il Giudice amministrativo richiede delle «garanties particulières» per adottare sistemi di sorveglianza degli individui.
  81. CDGUE, La Quadrature du Net, cit., pgff. 129, 139, 210.
  82. Consiglio di Stato, sent. French Data Network, cit., pgff. 39 e 57.
  83. CDGUE, La Quadrature du Net, cit., pgff. 156, 164.
  84. Adottato nel 2018, questo capoverso, come ricorda il rapporteur public (cfr. le «Conclusioni» di A. Lallet, cit., p. 49), codifica la giurisprudenza della Sezione penale della Corte di cassazione francese. In proposito C. Lazerges, Les 20 ans de la loi du 15 juin 2020: la genèse de l’article préliminaire du Code de procédure pénale, in La lettre juridique, 18 giugno 2020, n. 828.
  85. La distinzione fra le attività di intelligence spettanti il corpo di pubblica sicurezza, e il soggetto chiamato a stabilire se sia stata violata la legge penale, è stata chiaramente tracciata dal Consiglio costituzionale: in questo senso Consiglio costituzionale, sent. 23 luglio 2015 DC, n. 2015-713, spec. il cons. 9.
  86. CDGUE, sent. La Quadrature du Net, cit., pgff. 139, 179, 189. In merito alla garanzia che il controllo in questione sia esercitato da una autorità terza già CDGUE, sent. 2 marzo 2021, Prokuratuur, in C-746/18, EU:C:2021:152, pgf. 54. V. anche Commissione di Venezia, Report on the Democratic Oversight of the Security Services, CDL-AD (2015)010, pgf. 59, laddove esalta proprio l’importanza della esternalizzazione dei controlli.
  87. Consiglio di Stato, sent. French Data Network, cit., pgff. 70, 72, 82, 88.
  88. Consiglio di Stato, sent. French Data Network, cit., pgff. 74, 76-77. Il Giudice amministrativo si rifà a quanto affermato nella pronuncia Consiglio costituzionale, sent. 23 luglio 2015 DC, cons. 11.
  89. In tema già L. Chataigner, A. Geraud, T. Gauthier, L’État de droit à l’épreuve du renseignement: Bilan du premier rapport d’activité de la CNCTR, in Revue des Droits de l’homme, febbraio 2017, https://journals.openedition.org/revdh/3010. Il quinto Rapport d’activité du CNCTR pour l’année 2020 è stato pubblicato alla fine dell’aprile 2021.Art. 5, pgf. 1, lett. b) del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati. Testo rilevante ai fini del SEE).
  90. V. la nota precedente.
  91. CDGUE, sent. La Quadrature du Net, cit., pgf. 166
  92. B. Bertrand, Le dialogue des juges en trompe-l’œil, in Club des juristes, 7 mai 2021 (on line). L’A. ricorda che la situazione potrebbe evolvere, a livello europeo, in una direzione forse più simile a quella suggerita dal Consiglio di Stato, in ragione della adozione, prossima, di un nuovo regolamento in materia di «e-privacy» (che dovrebbe sostituire la Direttiva 2002/58: la posizione del Consiglio di Stato sembrerebbe quindi essere stata recepita nella proposta della Commissione che, ora, attende di essere esaminata da parte del Parlamento europeo.
  93. Consiglio di Stato, sent. French Data Network, cit., pgf. 82.
  94. Consiglio di Stato, sent. French Data Network, cit., pgff 19 et 69.
  95. Consiglio di Stato, sent. French Data Network, cit., pgf. 188.
  96. Per queste posizioni v. Corte EDU, sent. 4 dicembre 2008, S. et Marper c Royaume-Uni, ricc. nn. 30562/04 e 30566/04.
  97. Corte di Cassazione, Sezione penale, sent. 18 giugno 2019, n. 18-86.421.
  98. Corte costituzionale belga, sent. 22 aprile 2021, n. 57/. La Corte annulla la legge in materia raccolta e conservazione dei dati nel settore delle comunicazioni elettroniche esprimendosi in modo netto: «Il appartient au législateur d’élaborer une réglementation qui respecte les principes applicables en matière de protection des données à caractère personnel, à la lumière de la jurisprudence de la Cour de justice, et de tenir compte, le cas échéant, des précisions apportées par celle-ci en ce qui concerne les différents types de mesures législatives jugées compatibles avec l’article 15, paragraphe 1, de la directive 2002/58/CE, lu à la lumière des articles 7, 8, 11 et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne. En particulier, il appartient également au législateur, dans ce contexte, d’opérer les distinctions qui s’imposent entre les différents types de données soumises à conservation, de manière à garantir que, pour chaque type de donnée, l’ingérence soit limitée au strict nécessaire» (v. il pgf. B.19 della sentenza qui richiamata).
  99. CDGUE, sent. La Quadrature du Net, cit., pgf. 118. In questo senso v. anche le pronunce dello stesso Giudice Digital Rights, cit., pgf. 28, e Tele2, cit., pgf. 101.
  100. J. Isensee, Das Grundrecht auf Sicherheit, De Gruyter, 1983; R. Pitschas, R. Scholz, Informationelle Selbstbestimmung und staatliche Informationsverantwortung, Duncker & Humblot, 1984.
  101. Corte EDU, sent. 18 dicembre 1986, Bozano/France, ric. n. 9990/82, pgf. 54.
  102. CDGUE, sent. La Quadrature du Net, cit., pgf. 125. V. anche le «Conclusioni» dell’Avvocato Generale Campos Sánchez-Bordona nel caso in questione, in particolare laddove rigetta fermamente qualsivoglia interpretazione dell’art. 6 della Carta volta a codificare un diritto alla pubblica sicurezza (EU:C:2020:6, pgf. 95-100).
  103. CDGUE, sent. Digital Rights, cit., pgf. 42.
  104. CDGUE, sent. Digital Rights, cit., pgf. 51 e CDGUE, sent. Tele2, cit., pgf. 103. Importante anche la formulazione adottata dalla CDGUE nel parere n. 1/15, dove sostiene che lo scopo della protezione della pubblica sicurezza «constitue […] un objectif d’intérêt général de l’Union susceptible de justifier des ingérences, même graves, dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Au demeurant, la protection de la sécurité public contribue également à la protection des droits et des libertés d’autrui. À cet égard, l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté» (CDGUE, parere del 26 luglio 2017, EU:C:2017:592, pgff. 148 e 149). V. anche CDGUE, sent. 21 febbraio 2016, N., in C-601/15 PPU, EU:C:2016:84, pgf. 53.
  105. Evidente, nelle «Conclusioni» (p. 54) del rapporteur public A. Lallet, la peculiare posizione della Francia e, di conseguenza, i pericoli che è chiamata a fronteggiare.
  106. Consiglio di Stato, sent. French Data Network, cit., pgf. 9.
  107. Così si esprime Jeremy Waldron, in J. Waldron, Safety and Security, in Nebraska Law Review, 2006, p. 454, spec. laddove richiama Hobbes: «The sovereign as such provides for the citizens’ safety only by means of laws, which are universal (On the Citizen, 1642)», p. 478.
  108. CDGUE, sentt. Digital Rights, cit. pgf. 37 e Tele2, cit., pgf. 100.
  109. Quella del «Giano bifronte» è l’immagine che meglio descrive il monopolio della violenza fisica di cui tratta Norbert Elias nell’opera Les Allemands. Luttes de pouvoir et développement de l’habitus aux XIXe et XXe siècle (Seuil, 2017). In merito anche D. Linhardt, Un monopole sous tension : les deux visages de la violence d’État, in Politika (on line).
  110. Ancora CDGUE, sent. La Quadrature du Net, cit., pgf. 118.
  111. CDGUE, sent. La Quadrature du Net, cit., pgf. 114. In ogni caso va riconosciuto che, sebbene le due giurisdizioni europee condividano la stessa analisi, la Corte EDU, in materia di conservazione generalizzata dei dati, pare più incline a accettare l’esistenza di prerogative statali: v. Corte EDU, sent. 4 dicembre 2015, Roman Zakharov c Russie, ric. n. 47143/06; Corte EDU, sent. 13 jgiugno 2018, Centrum för Rättvisa c. Suède, ric. n. 35353/0; Corte EDU, sent. 13 settembre 2018, Big Brother Watch et autres c Royaume-Uni, ric. n. 58170/13. E però necessario ricordare come queste due ultime decisioni siano poi state affrontate dalla Grande Camera, v. https://hudoc.echr.coe.int/eng#{%22documentcollectionid2%22:[%22GRANDCHAMBER%22,%22CHAMBER%22]}.
  112. CDGUE, sent. La Quadrature du Net, cit., pgf. 113.
  113. CDGUE, sent. La Quadrature du Net, cit., pgff. 136-137. La nozione di «ingérence particulièrement grave» è stata utilizzata anche nella sentenza della Corte più volte evocata, ossia la Digital Rights, cit., pgf. 37.
  114. CDGUE, sent. La Quadrature du Net, cit., pgff. 154-156.
  115. CDGUE, sent. La Quadrature du Net, cit., pgff. 148-150 e 165.
  116. CDGUE, sent. La Quadrature du Net, cit., pgf. 178. Si può notare che il disegno di legge sull’intelligence presentato dal Governo il 12 maggio 2021 comporta che il procedimento automatizzato di ricerca dei dati venga realizzato grazie a degli algoritmi.
  117. Tribunale costituzionale federale tedesco, sentt. 15 dicembre 1983 (1 BvR 209/83) e 23 ottobre 2006 (1 BvR 2027/02).
  118. L’idea che si possa determinare liberamente la propria sfera personale e l’ambiente che la circonda pare sottesa al riconoscimento dei numerosi diritti codificati nel «Regolamento generale sulla protezione dei dati»: il diritto di accesso, di rettifica, all’oblio, alla portabilità dei dati e quello di opporsi. Secondo Damian Chalmers, però, il diritto europeo trasforma la concezione della autodeterminazione informatica, riportandola essenzialmente alle esigenze del solo mercato interno; v. Id., Informational Self-Determination. EU Law and Informational Capitalism, Centre for European Legal Studies Webinar, 27 January 2021 (on line).
  119. CDGUE, sentt. La Quadrature du Net, cit., pgf. 117, Digital Rights, cit., pgf. 27, e Tele2, cit., pgf. 99.
  120. In questa luce H. Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009.
  121. CDGUE, sent. La Quadrature du Net, cit., pgf. 117.
  122. Questa idea si ritrova nelle opere di Julie Cohen: fra i tanti scritti v. J.E. Cohen, Surveillance vs. Privacy: Effects and Implications, in D. Gray, S.E. Henderson (eds.), Cambridge Handbook of Surveillance Law, 2017, p. 455.
  123. Per tutti J. Ziller, The Conseil d’État Refuses to Follow the Pied Piper of Karlsruhe, in Verfassungsblog, 24 aprile 2021 (on line).
  124. Per l’inchiesta giornalistica v. quanto pubblicato sulla versione on line del Washington Post: https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/?s=08.
  125. Per una prima ricostruzione di carattere scientifico, invece, cfr. la pagina online dell’ISPI-Istituto per gli Studi di Politica Internazionale, dedicata alla Cybersecurity, e, spec., l’ISPI Daily Focus del 19 luglio 2021: per entrambi v. https://www.ispionline.it/it/ricerca/cybersecurity.

Loïc Azoulai

Professor at Sciences Po Law School Paris.

Dominique Ritleng

Professor at the University of Strasbourg

Monica Bonini

Associate Professor of Public Law at the Bicocca University of Milan