BIG DATA TRA ESIGENZE SECURITARIE E DIRITTI ALLA RISERVATEZZA E ALLA PROTEZIONE DEI DATI: QUESTIONI NORMATIVE E GIURISPRUDENZIALI IN MATERIA DI DATA RETENTION

International terrorism, together with serious and transnational crimes has dramatically influenced the political and legislative debate, underling the necessity to adopt efficient instruments able to ensure a high level of security. At the same time, technological progress and technical innovations, based on the enormous amount of data (so-called Big Data) daily produced particularly through the use of telecommunications, as well as on sophisticated Artificial Intelligence systems, have created important instruments in the hands of public authorities, also for security purposes. Notwithstanding the great potentialities, it is important to detect and consider the serious risks and dangers these instruments could cause on the effective protection of fundamental rights, with particular regard to the right to privacy and data protection: a substantive violation of these rights, by consequently jeopardizing the guarantee and enjoyment of other fundamental rights such as freedom of expression or freedom of association, could ultimately endanger the very democratic nature of our societies. The affirmation of the complex and debated trio, to be identified in the strict connection between Big Data, security and privacy, represent one of the most significant and relevant challenges Legislators and Courts are asked to face, in the effort of balancing security needs in times of stress and fundamental rights’ protection. The present work aims at critically analyzing the complex relationship between the different elements composing the above-mentioned trio through the exam of a specific case study: the data retention regime, consisting of the retention and the subsequent possible access to retained data and metadata by law enforcement or intelligence agencies for security purposes. By restricting the analysis only to the European Union context, the present thesis will examine the legislative evolution as well as the most relevant European Court of Justice (ECJ) case law, by paying particular attention to the difficulties in approving a harmonized legislation on data retention at the EU level. The study will start, first of all, with the analysis of the so called e-Privacy Directive (Directive 2002/58/EC), giving the Member States the possibility to adopt national legislation establishing a data retention regime; secondly, the controversial Data Retention Directive will be examined: this legislation imposed Member States to oblige service providers to retain, in bulk, all metadata deriving from all telecommunications, related to the totality of users. The complex debate and the profound doubts and concerns expressed at the EU level by various authorities in the legislative process concerning the adoption of the DRD, together with the difficulties Member States faced in the implementation of the EU legislation, ultimately led to numerous references for preliminary rulings to the ECJ. In their decisions, the EU Judges dealt with many controversial and difficult aspects connected to the data retention regime and its limits, from the legal basis to the correct application of the principle of conferral, to the proportionality and necessity of the measures and obligations imposed. The famous landmark cases pronounced by the ECJ didn’t solve or clarify all the difficult and problematic issues linked to the data retention discipline as well as to the access regulation, as testified by a wide range of preliminary rulings still pending before the ECJ. The present work also aims at analyzing this complex topic through the public comparative law lenses, by studying the differences or similarities in the approaches and legislative choices made by three specific and selected Member States: Belgium, United Kingdom (also considering the Brexit process) and Italy. The comparative analysis will offer the opportunity to deepen the knowledge on the peculiar national approaches and on the most relevant case law of national Courts dealing with data retention regulation and determining different interpretations and applications of the criteria established at the EU level. The present work represents an opportunity to profoundly study the challenges and issues the EU Institutions as well as the Member States confronted with, in the difficult effort to find a proper balance between security needs and fundamental rights’ protection, by paying attention to the possible future developments and to the consequences related the ECJ case law both in the EU internal dimension and in the external one, looking at the complex regulation of the data transfer outside EU borders. The present research will also focus on the rather unexplored aspect of the impacts of the EU legislation and ECJ decisions affecting the EU Member States: their choices and solutions, representing different approaches to the analyzed challenges, are strictly interrelated to the EU developments, essentially based on the ECJ activism in the privacy and data protection field and, at the same time, on the inaction and lack of decisions taken by the EU legislator. The multilevel dialogue and the difficulties both the EU and the Member States addressed are a clear manifestation of the complexity and delicacy of the research topic, in which a precise recognition of the EU law scope of application demonstrated to be even more complicated and challenging.

L’affermarsi del terrorismo internazionale e l’inasprirsi della gravità di fenomeni criminosi ha drammaticamente riportato al centro del dibattito politico e legislativo la necessità di adottare misure efficaci al fine di garantire un elevato livello di sicurezza. Il progresso tecnologico, la disponibilità di una enorme mole di dati (c.d. Big Data), derivanti in particolare dai mezzi di telecomunicazione, nonché lo sviluppo di sofisticati sistemi di Intelligenza Artificiale rappresentano strumenti importanti dalle innumerevoli potenzialità anche nell’ambito della lotta alla criminalità grave. Non possono tuttavia essere ignorati i rischi e pericoli per i diritti fondamentali che tali sistemi comportano, in particolare per i diritti alla riservatezza e protezione dei dati, la cui compressione rischia di incidere fortemente anche sul godimento di altre libertà fondamentali nonché sulla stessa democraticità delle nostre società. In tale contesto, nel quale dunque si afferma il complesso trinomio ‘Big Data-sicurezza-riservatezza/protezione dei dati’, emergono significative sfide per il mondo del diritto, chiamato a determinare un punto di equilibrio tra esigenze securitarie e garanzia dei diritti fondamentali. Il presente lavoro si propone di riflettere sul difficile e articolato rapporto tra gli elementi del citato trinomio mediante l’analisi di uno specifico caso-studio, individuato nello strumento della data retention ovvero nella conservazione e successivo eventuale accesso a dati e metadati. Restringendo lo studio all’ambito dell’Unione europea, vengono esaminate l’evoluzione legislativa e le vicende giurisprudenziali nonché le criticità incontrate nella determinazione di una disciplina armonizzata della data retention. La disamina prende abbrivio da una ricostruzione della Direttiva 2002/58 che forniva agli Stati la facoltà di adottare normative in materia di conservazione dei dati per finalità di garanzia della sicurezza, nonché della specifica Direttiva 2006/24 (c.d. Data Retention Directive) che imponeva invece agli Stati membri di prevedere in capo ai fornitori di servizi di telecomunicazione l’obbligo di conservazione generalizzata ed indiscriminata dei metadati di tutti i propri utenti. Il dibattito e le preoccupazioni che hanno caratterizzato l’approvazione di tali normative e le difficoltà riscontrate dagli Stati membri nella trasposizione sul piano interno del diritto dell’UE, sono sfociate in numerosi rinvii pregiudiziali alla CGUE che hanno affrontato molteplici aspetti controversi della disciplina della data retention, dalla base giuridica al riparto di competenze tra Stati membri e Unione, alla proporzionalità e necessità di tali misure. Ne sono derivate storiche sentenze dei giudici di Lussemburgo che pure hanno lasciato, come emerge dai molti casi ancora ad oggi pendenti, svariate zone grigie e problematiche ancora in attesa di chiara definizione. Il presente lavoro si propone inoltre di analizzare, sotto il profilo del diritto pubblico comparato, le ricadute della giurisprudenza europea nel contesto di alcuni Stati membri selezionati – Regno Unito, Belgio e Italia – studiandone le reazioni, gli approcci e le soluzioni normative nonché gli interventi giurisprudenziali nei quali legislatori e giudici si sono interrogati sul corretto equilibrio e sulla proporzionalità di una compressione della sfera privata e della data protection per scopi di tutela della sicurezza. La tesi dunque offre spunti di riflessione sulla peculiare posizione che le Istituzioni europee hanno assunto dinnanzi alla sfida della data retention, proponendo una lettura del tema attenta a tutte le criticità ancora irrisolte, ai possibili sviluppi futuri, alle conseguenze della giurisprudenza della CGUE sia nella dimensione interna all’UE, sia in quella esterna sotto il profilo del trasferimento e conservazione dei dati in Stati terzi per scopi securitari. Particolare rilievo è inoltre attribuito ai alle implicazioni della analizzata dimensione europea rispetto agli Stati membri: le scelte e differenti approcci di questi ultimi risultano fortemente intrecciati con il livello europeo e risentono sia dell’attivismo della CGUE, sia dell’assordante silenzio del legislatore dell’UE, nel peculiare contesto di un continuo dialogo e rapporto multilivello nel quale emerge peraltro tutta la difficoltà e delicatezza della chiara determinazione dei confini dell’ambito di applicazione del diritto dell’UE in una materia tanto complessa.