Il sistema bulgaro di secret surveillance e l’assenza di adeguate garanzie a tutela della privacy: la Corte EDU condanna (di nuovo) Sofia per violazione dell’art. 8 CEDU

Introduzione

Con una sentenza di oltre cento pagine, pubblicata l’11 gennaio 2022[1] e divenuta definitiva l’11 aprile 2022[2], la IV Sezione della Corte europea dei diritti dell’uomo (la “Corte EDU” o “Corte di Strasburgo”) si è pronunciata, all’unanimità, in merito all’illegittimità della normativa vigente in Bulgaria in materia di sorveglianza segreta[3], per violazione dell’art. 8 della Convenzione europea dei diritti dell’uomo (CEDU), disciplinante il «diritto al rispetto della vita privata e familiare»[4]. La riscontrata incompatibilità della normativa bulgara con la CEDU, come accertata dalla Corte nel caso Ekimdzhiev and Others v. Bulgaria (Application no. 70078/12). Si tratta della seconda condanna che la Corte di Strasburgo ha emesso contro la secret surveillance bulgara, dopo quella pronunciata, dalla V Sezione, il 28 giugno 2007[5], all’esito della controversia Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria (Application no. 62540/00)[6]. La pronuncia in commento, dunque, si colloca nell’ambito della giurisprudenza riguardante l’impiego di sistemi di sorveglianza segreta da parte di uno Stato nei confronti dei cittadini, la cui legittimità, in astratto, è stata per la prima volta riconosciuta il 6 settembre 1978, con la sentenza che definì il giudizio Klass and Others v. Germany (Application no. 5029/71). Il problema del contemperamento tra diritti (sicurezza e privacy) riveste oggi una grande importanza, atteso il crescente impiego, da parte delle autorità nazionali, di strumenti tecnologici sempre più intrusivi[7].

Prima di analizzare gli eventi all’origine del giudizio 70078/12 e quindi i punti salienti del verdetto dell’11 gennaio 2022, occorre soffermarsi brevemente sugli strumenti giuridici che, in ambito internazionale, assumono rilievo rispetto all’impiego di sistemi di sorveglianza segreta da parte delle autorità pubbliche[8].

 

Il rispetto della sfera privata nel contesto giuridico internazionale

Storicamente, la tutela dei diritti del civis ha sempre rappresentato un limite all’esercizio del potere pubblico[9]. D’altro canto, l’esercizio di tale potere per esigenze di sicurezza[10] ha posto negli anni sempre più frequenti interrogativi in tema di bilanciamento tra diritti fondamentali[11]. Per quanto qui interessa rispetto alla pronuncia in commento, lo svolgimento di attività di intercettazione e sorveglianza da parte delle autorità statali, per motivi di sicurezza, incontra un importante limite nella protezione della sfera privata degli individui[12]. In questa prospettiva, rispetto all’applicazione di misure di sorveglianza nei confronti di persone fisiche e giuridiche, assumono rilievo le norme convenzionali, di portata internazionale e regionale, che riconoscono il diritto alla privacy e il suo corollario, cioè il diritto alla protezione dei dati personali[13].

In ambito internazionale, il diritto al “rispetto della vita privata” è riconosciuto dall’art. 12 della Dichiarazione Universale dei diritti umani e dall’art. 17 del Patto sui diritti civili e politici (la prima disposizione vincolante adottata dalle Nazioni Unite in materia). Si tratta di un diritto che, in linea generale, può essere oggetto di limitazioni per ragioni connesse alla protezione della sicurezza nazionale[14]. In particolare, poiché l’art. 17 del Patto sui diritti civili e politici non prevede una espressa clausola di deroga per la libertà in discussione, la possibilità di limitare la privacy in casi eccezionali si evince dall’art. 4, par. 2, che non annovera detto diritto tra quelli in assoluto inderogabili. D’altro canto, la prassi del Comitato per i diritti umani delle Nazioni Unite[15] dimostra che la privacy può essere limitata non solo in caso di pericolo o emergenza eccezionale, ma anche per tutelare gli «interessi della società», che comprendono motivazioni di tipo economico, sociale e culturale[16]. Va tuttavia precisato che, affinché eventuali restrizioni della privacy possano ritenersi conformi al Patto, è in ogni caso necessario rispettare i criteri di legittimità e di non arbitrarietà: le misure di sicurezza devono fondarsi su norme di legge chiare e dimostrarsi necessarie e proporzionate al fine da perseguire[17].

Proseguendo nell’analisi del quadro normativo internazionale di riferimento, occorre poi soffermarsi sulla CEDU e sul già richiamato art. 8, sostanzialmente volto alla tutela dalle ingerenze arbitrarie nella vita privata e familiare, nel domicilio e nella corrispondenza da parte di un’autorità pubblica[18]. Tale disposizione riconosce il diritto al rispetto della vita privata e alla protezione dei dati personali, disciplinando le condizioni in cui un’eventuale ingerenza può essere ritenuta legittima. Una pietra miliare per comprendere la portata dell’art. 8 CEDU è la già richiamata sentenza Klass and Others v. Germany, ove la Corte, nel par. 48, ha riconosciuto che «oggigiorno le società democratiche sono minacciate da forme altamente sofisticate di spionaggio e dal terrorismo, e lo Stato, per contrastare efficacemente tali minacce, deve poter ricorrere alla sorveglianza segreta degli elementi sovversivi operanti nel suo territorio. La Corte deve pertanto ammettere che l’esistenza di alcune disposizioni legislative che concedono poteri di sorveglianza segreta della corrispondenza, delle spedizioni postali e delle telecomunicazioni è, in casi eccezionali, necessaria in una società democratica alla sicurezza nazionale e/o alla difesa dell’ordine e alla prevenzione dei reati». L’ammissibilità, in astratto, di sistemi di sorveglianza da parte dello Stato deve però essere correttamente “interpretata” alla luce delle evoluzioni tecnologiche che hanno interessato gli strumenti intrusivi, come sottolineato anche dalla Corte di Strasburgo nella più recente sentenza Szabó and Vissy v. Hungary[19]. In questo senso, i progressi tecnologici che si sono succeduti negli anni a partire dalla sentenza Klass – tali da consentire di intrusioni, anche mediante l’utilizzo di sistemi di intelligenza artificiale, nei rapporti via e-mail, telefono e internet – impongono un’attenzione e un controllo ben più severo sul rispetto dei diritti garantiti dalla CEDU[20]. Nell’esigere innanzitutto che vi sia una base legislativa legittimante l’impiego di misure di sorveglianza segreta e dunque una “contrazione” della privacy, la Corte, negli anni, ha poi precisato che detta normativa deve essere chiara, dettagliata e offrire minimum safeguards per evitare abusi di potere[21]. Ciò implica, sotto il profilo dell’utilizzo di strumenti tecnologici, che il legislatore debba chiaramente e specificamente definire le tecnologia permessa e le relative modalità di impiego[22], oltre che le legittime finalità perseguite secondo quanto previsto dal par. 2 dell’art. 8 CEDU. Insomma, sebbene sussista in capo al legislatore nazionale un certo margine di apprezzamento rispetto alla scelta di prevedere un sistema di sorveglianza, le autorità statali non godono di un potere discrezionale illimitato, non potendo, ad esempio, adottare qualsiasi misura presuntivamente ritenuta opportuna in ragione di generiche finalità di contrasto dello spionaggio e del terrorismo[23]. La sorveglianza costituisce infatti l’eccezione rispetto alla tutela di un diritto fondamentale ovvero un ingerenza nella vita privata dei cittadini, il che impone agli Stati innanzitutto di prevedere garanzie contro gli eventuali abusi e, poi, di limitare l’utilizzo di misure intrusive alle sole ipotesi in cui sia strettamente necessario, per la salvaguardia delle istituzioni democratiche[24]. L’art. 8 CEDU è stato quindi utilizzato dalla Corte, negli anni, quale parametro di riferimento per valutare la legittimità dei sistemi di controllo impiegati dagli Stati, per lo più riguardanti strumenti di sorveglianza strategica via GPS[25] e intercettazioni telefoniche[26] o via e-mail[27]. In questo senso, ad esempio, la Corte ha invalidato per contrasto con l’art. 8 CEDU la normativa antiterrorismo ungherese del 2011, con la quale era stato introdotto un sistema di sorveglianza segreta senza prevedere adeguate garanzie a tutela dei soggetti interessati[28].

Per concludere il sintetico esame del contesto giuridico di riferimento, giova richiamare gli artt. 7, 8 e 52 della Carta dei diritti fondamentali dell’Unione europea, che tutelano – al pari dell’art. 8 della CEDU – il diritto al rispetto della privacy e alla protezione dei dati personali nell’ambito dell’UE.

 

Segue: il trattamento dei dati personali raccolti mediante strumenti di sorveglianza segreta

Altra questione, strettamente connessa all’impiego di strumenti di sorveglianza segreta, riguarda il tema del trattamento dei dati raccolti mediante detti sistemi di controllo.

In proposito, occorre fare innanzitutto riferimento alla Convenzione n. 108 del Consiglio d’Europa[29], il primo strumento internazionale giuridicamente vincolante in tema di trattamento dei dati personali, finanche applicabile in caso di trattamenti operati dalle autorità per esigenze di prevenzione, accertamento e repressione dei crimini. Sotto questo profilo, la normativa di uno Stato in materia di sorveglianza segreta deve altresì espressamente regolamentare le procedure da seguire per l’archiviazione, l’accesso, l’esame, l’impiego, l’eventuale diffusione a terzi e la distruzione dei dati raccolti[30].

Per quanto riguarda il trattamento dei dati personali, giova osservare che, nell’ambito del quadro normativo dell’Unione europea, i trattamenti effettuati per esigenze connesse alla tutela dell’ordine pubblico e della sicurezza – come per l’appunto nel caso dell’impiego di sistemi di sorveglianza segreta – sono sottratti alla disciplina del Regolamento generale sulla protezione dei dati 2016/679 (General Data Protection Regulation o GDPR)[31]. Il GDPR, per sua espressa previsione, non è applicabile ai trattamenti «effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse» e «a questioni riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale»[32]. Ci è impossibile approfondire in questa sede il discusso tema delle questioni in concreto riconducibili al concetto di “sicurezza nazionale”[33], per cui ci limiteremo a precisare che, in relazione alle predette attività, trova applicazione – per la conservazione dei dati raccolti – la direttiva 2002/58/CE[34] e, con portata più generale, la direttiva 2016/680/UE[35], quale strumento giuridico specificamente individuato dal Considerando 19 del GDPR. Tale direttiva rientra nel c.d. pacchetto protezione dati presentato dalla Commissione europea nel 2012 e disciplina, nello specifico, il trattamento effettuato da parte delle autorità competenti[36] per finalità di contrasto e prevenzione del crimine. Occorre però precisare che nell’ipotesi in cui tali autorità trattino dati personali per finalità diverse, incompatibili e ulteriori a quelle indicate in precedenza, o – nello stesso senso – qualora soggetti non autorizzati trattino dati per esigenze di prevenzione e contrasto al crimine, troverà attuazione la disciplina del GDPR[37].

Alla luce della sintetica analisi sin qui condotta con riferimento ai principali strumenti giuridici internazionali in materia, è possibile osservare come gli Stati membri, in linea di principio, possono prevedere, tramite proprie normative, l’utilizzo di sistemi di sorveglianza segreta; del resto, la tutela della sicurezza e la protezione dell’ordine pubblico rappresentano ambiti di competenza in cui, tradizionalmente, le autorità nazionali godono di un particolare margine di discrezionalità. Tuttavia, gli Stati, nell’ottica di prevenire abusi, hanno l’onere di fornire ai cittadini adeguate informazioni in merito alle condizioni e alle circostanze che legittimano la scelta di utilizzare misure di sorveglianza segreta e, quindi, trattare i dati di conseguenza raccolti.

 

L’antefatto della sentenza

La controversia in commento trae origine dal ricorso promosso da due cittadini bulgari[38], gli avvocati Mihail Tiholov Ekimdzhiev e Aleksandar Emilov Kashamov, e da due organizzazioni non governative (ONG) impegnate per la tutela dei diritti umani[39], ossia the Association for European Integration and Human Rights e the Access to Information Foundation. Con l’atto introduttivo del giudizio, i ricorrenti si dolevano di poter essere oggetto delle illegittime misure di sorveglianza segreta previste dalla normativa bulgare, in ragione della natura delle proprie attività. Come evidenziato dalla Corte nella sentenza dell’11 gennaio 2022, tuttavia, nessuno dei quattro ricorrenti ha mai affermato, né tanto meno dimostrato, di essere stato effettivamente sorvegliato o di aver concretamente riscontrato un indebito accesso a proprie comunicazioni elettroniche da parte delle forze dell’ordine (law enforcement authorities)[40]. Infatti, i due avvocati bulgari e le due ONH si sono limitati a sostenere che le loro comunicazioni elettroniche avrebbero potuto essere oggetto di un accesso abusivo da parte delle forza dell’ordine, in applicazione di una normativa nazionale che, in astratto, violava il «diritto al rispetto della vita privata» (art. 8 CEDU) e non contemplava mezzi di ricorso efficaci contro l’impiego di misure illegittime di sorveglianza (art. 13 CEDU).

In Bulgaria, la disciplina rilevante in materia è dettata dalle disposizioni dello Special Surveillance Means Act 1997, dagli artt. 172-177 del Codice di procedura penale, dalle sezioni 304-310 dell’Electronic Communications Act 2007 e dalle regole interne di funzionamento del National Bureau for Control of Special Means of Surveillance[41]. In sostanza, tali normative regolamentano, tra gli altri, l’impiego dei sistemi di sorveglianza visiva e di intercettazione ambientale e di comunicazioni telefoniche ed elettroniche. L’utilizzo di simili strumenti intrusivi[42] è ammesso, su mandato del giudice, esclusivamente per ragioni di sicurezza nazionale o laddove ciò sia necessario ai fine di prevenire o accertare «serious intentional offences» ex art. 93, par. 7, del Codice penale bulgaro[43], ossia reati per i quali è prevista una pena superiore a cinque anni di reclusione. Un elenco di tali crimini è contenuto nella sezione 3(1) dello Special Surveillance Means Act 1997 e nell’art. 172, par. 2, del Codice di procedura penale bulgaro, ove si richiamato espressamente i reati di terrorismo, omicidio, appropriazione indebita, racket, diserzione in tempo di guerra e traffico illegale di droga o di materiali nucleari. Sotto il diverso profilo della retention dei dati raccolti dai fornitori che erogano servizi di comunicazione, la normativa bulgara (sezione 251b e ss. dell’Electronic Communications Act 2007 e art. 159a del Codice di procedura penale) impone la conservazione di tali dati per un periodo di sei mesi. Le forze dell’ordine, previo mandato emesso da un tribunale distrettuale o da giudici all’uopo delegati, sono autorizzate ad accedere a tutti i dati raccolti dai soggetti che operano nel settore dei servizi di comunicazione. I poteri di vigilanza in materia sono affidati ad una commissione parlamentare e, per alcuni aspetti, anche all’autorità nazionale per la protezione dei dati personali[44].

Per quanto riguarda il riconoscimento dello status di vittime ai quattro ricorrenti ex art. 34 CEDU[45] e quindi l’ammissibilità del ricorso in questione, la Corte di Strasburgo ha fatto applicazione della propria consolidata giurisprudenza, secondo cui è consentita la proposizione dei ricorsi anche da parte delle vittime c.d. potenziali, cioè di coloro che possono ragionevolmente ritenersi colpiti da una misura e non siano in grado di dimostrarlo[46]. Si tratta di un’impostazione “sostanzialistica” che la Corte ha elaborato negli anni nell’ottica di assicurare una effettiva tutela dei diritti riconosciuti dalla CEDU, cioè per impedire che le libertà convenzionali potessero collocarsi su un piano meramente astratto o comunque ipotetico. Nel caso di specie, la Corte ha riscontrato che le mera esistenza delle normative vigenti in Bulgaria in materia di sorveglianza segreta – come richiamate innanzi – interferisce con la «vita privata dei ricorrenti», nella misura in cui si tratta di disposizioni che possono portare a potenziali abusi da parte delle forze dell’ordine e delle autorità di intelligence, senza peraltro fornire adeguati strumenti di tutela giudiziale per le persone giuridiche[47].

 

L’illegittimità della vigente normativa bulgara in materia di sorveglianza segreta

A fronte di un ricorso che deduceva espressamente la violazione di due disposizioni della CEDU, la Corte di Strasburgo ha valutato la legittimità della legislazione bulgara solo alla luce dell’art. 8 CEDU, ritenendo non necessario ai fini del giudizio soffermarsi anche su eventuali violazioni dell’art. 13 CEDU. Come si è già detto nel paragrafo introduttivo, la Corte si è preoccupata di verificare sia la legittimità dei sistemi di sorveglianza segreta in sé, sia la legittimità delle modalità di accesso e conservazione dei dati trattati da fornitori di servizi di comunicazione e trasmessi alle forze dell’ordine. Entrambe le valutazioni sono state condotte mediante un medesimo “test”, finalizzato a verificare la sussistenza di sufficienti garanzie (idonee a prevenire abusi) anche rispetto al funzionamento concreto degli strumenti intrusivi utilizzabili[48]. Tale test consiste nella valutazione delle normative alla stregua dei seguenti sette elementi, come enucleati dalla giurisprudenza della Corte: a) conoscibilità e accessibilità della normativa da parte dei cittadini; b) basi giuridiche sui cui si fondano l’impiego di strumenti di sorveglianza segreta e l’accesso, da parte delle forze dell’ordine, ai dati trattati dai fornitori di servizi di comunicazione; c) durata temporale delle misure di sorveglianza e modalità di trattamento dei dati conseguentemente raccolti dalle forze dell’ordine; d) procedura da seguire per ottenere l’autorizzazione per l’applicazione delle predette misure; e) modalità attuative dei meccanismi di sorveglianza segreta; f) procedura di notifica alle persone interessate; g) rimedi azionabili dagli interessati[49].

Per quanto concerne il primo parametro di valutazione (a), la Corte di Strasburgo ha giudicato positivamente la chiarezza e l’accessibilità delle normative generali, riscontrando invece l’omessa pubblicazione delle regole concernenti la conservazione e la distruzione dei dati ottenuti mediante sistemi di sorveglianza segreta[50]. Relativamente alla legittimità della base giuridica (b), la Corte si è soffermata sulla vaghezza della sezione 12 del già richiamato Special Surveillance Means Act 1997, laddove prevede che possano essere sottoposti a misure di sorveglianza segreta individui «or objects related to national security». La genericità del termine «objects» si presta ad un’interpretazione tale da poter legittimare l’applicazione di misure di sorveglianza nei confronti di qualsivoglia oggetto, come, ad esempio, l’intero database delle forze di polizia[51]. Con riferimento alla durata delle misure applicabili e al trattamento dei dati conseguentemente raccolti (c), la Corte ha evidenziato come gli strumenti di sorveglianza possono essere autorizzati per un periodo di massimo ventiquattro mesi, per ragioni di «sicurezza nazionale»[52]; tale nozione non è tuttavia debitamente specificata sul piano giuridico. Rispetto al trattamento dei dati raccolti, la normativa bulgara è stata definita carente in relazione alla disciplina sulla distruzione dei dati[53], al loro utilizzo come materiale probatorio e all’assenza di tutele per la comunicazione cliente-avvocato, di regola soggetta alla più totale riservatezza[54]. La Corte, poi, nell’analizzare l’iter procedurale disciplinato dalla normativa (d), ha evidenziato diverse criticità fondamentali, come dimostrano le ragioni «blanked and generalised» utilizzate in Bulgaria, nell’ultimo decennio, a fondamento dell’impiego di strumenti di sorveglianza[55]. La genericità delle motivazioni si traduce, da un punto di vista pratico, nella possibilità che siano adottate misure di sorveglianza non giustificate e perciò illegittime; ciò si è verificato, ad esempio, quando l’autorità giudiziaria bulgara ha emesso mandati di sorveglianza con riferimento ai cittadini partecipanti alle proteste antigovernative del 2020[56]. In relazione agli aspetti attuativi (e), la Corte EDU, oltre ad aver riscontrato la carenza di competenze giuridiche tra i funzionari del già menzionato National Bureau for Control of Special Means of Surveillance, ha censurato l’assenza di controlli ex post da parte dell’autorità giudiziaria, cui la legge permette di adottare misure correttive esclusivamente nell’ambito del correlato procedimento penale[57]. Sebbene il principale parametro di giudizio sia stato l’art. 8 CEDU, occorre osservare che la Corte si è soffermata anche sull’applicazione della già menzionata Direttiva 2016/680. Rispetto a tale strumento giuridico, con la sentenza in epigrafe è stato accertato l’omesso coinvolgimento della Commission for Personal Data Protection (CPDP) e del Supreme Judicial Council, cui invece dovrebbe spettare vigilare sui trattamenti dei dati raccolti mediante sistemi di sorveglianza[58]. Per quanto riguarda il procedimento di notifica alle persone sottoposte a sorveglianza (f), la Corte, nel ribadire che occorre informare gli interessati ogniqualvolta ciò non pregiudichi l’attività di indagine[59], ha evidenziato come la normativa di Sofia sia deficitaria sotto diversi punti di vista. In particolare, l’ordinamento bulgaro prescrive la notifica solo laddove la sorveglianza sia stata dichiarata illegittima ed esclusivamente nei confronti delle persone fisiche, senza quindi prevedere alcunché per le persone giuridiche. A ciò si aggiunge che le principali norme in tema di notifica non sono coordinate con la direttiva 2016/680[60], essendo prive di qualsiasi riferimento all’onere informativo e ai diritti spettanti all’interessati[61], tra cui rientra il diritto di accesso ai propri dati[62]. Infine, rispetto alla questione dei «remedies» (g), la Corte ha riscontrato che le disposizioni bulgare in materia, pur prevedendo in astratto azioni risarcitorie avverso eventuali pratiche illecite di sorveglianza segreta, non sono pienamente conformi all’art. 8 CEDU, in quanto non applicabili alle persone giuridiche e comunque non coadiuvate da un legittimo sistema di notifica (per le ragioni indicate in precedenza)[63].

 

Segue: l’illegittimità del trattamento dei dati trasmessi alle autorità dai fornitori di servizi di comunicazione

Come si è già detto, anche relativamente al secondo profilo di illegittimità accertato rispetto all’art. 8 CEDU (trattamento dei dati trasmessi alle forze dell’ordine dai fornitori di servizi di comunicazione), la Corte ha impiegato i sette elementi di valutazione indicati nel paragrafo precedente.

In tema di accessibilità, chiarezza e legittimità della base giuridica (a, b), la sentenza ha convalidato le normative vigenti in Bulgaria[64]. Con riferimento alle modalità di trattamento dei dati raccolti (c), la Corte EDU ha tuttavia riscontrato l’omessa pubblicazione, anche in violazione delle prescrizioni imposte dalla direttiva 2016/680, di norme disciplinanti il tema dell’accesso da parte degli interessati, anche e soprattutto ai dati utilizzati nell’ambito di procedimenti penali[65]. Per quanto concerne la procedura di autorizzazione per l’accesso ai dati detenuti da fornitori di servizi di comunicazione (d), nella sentenza è stato evidenziato come le forze dell’ordine non sono tenute a fornire una motivazione a supporto della richiesta di autorizzazione e, specularmente, l’autorità giudiziaria non è tenuta a motivare l’eventuale decisione di emettere un mandato in tal senso[66]. Relativamente alla questione della vigilanza sui trattamenti dei dati trasmessi dai fornitori di servizi di comunicazione (e), la Corte ha riproposto le criticità già sintetizzate innanzi rispetto agli organi solo “formalmente” incaricati di svolgere un’attività di verifica, ispettiva ed eventualmente correttiva[67]. Infine, anche con riferimento alla procedura di notifica agli interessati[68] (f) e agli eventuali rimedi previsti (g), i giudici di Strasburgo hanno riscontrato diverse problematiche[69], tali da confermare la non conformità della normativa all’art. 8 CEDU. Sulla base di tutte le criticità qui brevemente sintetizzate, la Corte EDU ha quindi accertato l’illegittimità delle normative bulgare, che, per quanto teoricamente disciplinanti un sistema di sorveglianza “mirato” e non “di massa”, «do not fully meet the “quality of law” requirement and are incapable of keeping the “interference” entailed by the system of retention and accessing of communications data in Bulgaria to what is “necessary in a democratic society”»[70]. Tale dichiarazione di illegittimità è stata ritenuta dai giudici di Strasburgo «sufficient just satisfaction for any non-pecuniary damage suffered by the applicants as a result of the two breaches of Article 8 of the Convention», ai sensi e per gli effetti dell’art. 41 CEDU[71]. Per il resto, la Bulgaria è stata condannata alla rifusione delle spese di giudizio per complessivi € 3.290,69 e, ovviamente, ad adeguare la propria legislazione in materia di sorveglianza segreta a quanto prescritto dalla Corte, in ossequio all’art. 46 CEDU. Giova precisare che le attese nuove misure “correttive” – che Sofia dovrà adottare in esecuzione della recente sentenza – si aggiungeranno a quelle approvate all’esito della già citata controversia Association for European Integration and Human Rights and Ekimdzhiev v. Bulgaria[72].

 

Considerazioni conclusive

A prescindere da più specifiche analisi – che ci è impossibile svolgere in questa sede – in merito alle “carenze” riscontrate dalla Corte con riferimento agli aspetti tecnico-operativi della normativa bulgara, la sentenza dell’11 gennaio 2022 offre sostanzialmente due spunti di riflessione di portata generale, da sviluppare alla luce del quadro giuridico internazionale.

La prima considerazione attiene al riconoscimento, anche in materia di privacy e data protection, della correlazione esistente tra la normativa UE e gli strumenti giuridici del Consiglio d’Europa. Come si è avuto modo di osservare nei due paragrafi precedenti, la Corte EDU ha richiamato, nella propria decisione, anche uno strumento giuridico “di origine” UE, ossia la direttiva 2016/680. Sebbene il parametro “formale” di legittimità sia stato comunque, per ovvie ragioni, l’art. 8 CEDU, il riferimento alla predetta fonte eurounionale assume rilievo per due motivi tra loro connessi.

Innanzitutto, l’importanza della pronuncia si spiega in ragione della circostanza che la direttiva 2016/680, sino ad oggi, è stata raramente oggetto di sentenze della Corte di Giustizia dell’UE. In secondo luogo, sotto un profilo più generale, va osservato che il richiamo ad uno strumento giuridico non adottato in seno al Consiglio d’Europa costituisce un “riconoscimento” dell’importanza della normativa UE in materia di data protection, anche rispetto all’accertamento di eventuali violazioni ex art. 8 CEDU. Sul piano pratico, tale riconoscimento può fornire alle Istituzioni UE indicazioni in vista della futura implementazione degli strumenti giuridici esistenti, nella misura in cui, ad esempio, la Corte si è espressa con riferimento a questioni importanti . In questo senso, ad esempio, assume rilievo la circostanza che i giudici di Strasburgo, nel valutare ex art. 8 CEDU la legittimità delle disposizioni in materia di data protection, non si sono “accontentati” del contenuto formale della normativa di Sofia, scegliendo piuttosto di valutarne (negativamente) anche la dimensione “pratica” e la loro concreta attuazione nell’ambito dell’utilizzo di strumenti di sorveglianza segreta.

La seconda riflessione riguarda invece il “presupposto” dell’analisi condotta dalla Corte EDU nella sentenza de qua. I giudici di Strasburgo hanno accertato l’illegittimità della normativa bulgara sul presupposto che avrebbe dovuto costituire – in teoria– una disciplina per la sorveglianza “mirata” e non di massa, riscontrando di conseguenza, in questa specifica prospettiva, una carenza di garanzie a tutela dei cittadini. Tuttavia, la Corte non ha direttamente affrontato il tema dell’ammissibilità di sistemi di sorveglianza di massa (bulk regime), il che lascia senza risposta un interrogativo di fondo: se e a quali condizioni i sistemi di sorveglianza segreta di massa sono compatibili con l’essenza delle società democratiche. Una normativa va considerata illegittima, per violazione della CEDU, in quanto prevede di per sé un sistema di sorveglianza di massa o soltanto nella misura in cui non contempla sufficienti garanzie a tutela della privacy? Anche in altre sentenze più recenti, tra cui rientra la pronuncia sullo spionaggio di massa dei dati delle comunicazioni effettuato dal Government Communications Headquarters britannico[73], i giudici di Strasburgo si sono concentrati sulla verifica delle garanzie eventualmente previste dalla normativa oggetto di censura, senza tuttavia chiarire espressamente se il binomio “sorveglianza di massa-rispetto della privacy” possa astrattamente ritenersi compatibile con le norme convenzionali e perciò legittimo. Si tratta di un interrogativo che – a prescindere dalle posizioni di merito – è destinato ad assumere una rilevanza sempre maggiore, considerato l’incessante sviluppo della tecnologia e il potenziale utilizzo di algoritmi di intelligenza artificiale ad implementazione dei sistemi di sorveglianza di massa[74], anche da parte dei privati.

[1] Il testo integrale della sentenza resa nella controversia Ekimdzhiev and Others v. Bulgaria, Application no. 70078/12, è consultabile, in lingua inglese, sul sito della Corte EDU, al seguente link: https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22001-214673%22]}.

[2] Secondo quanto previsto dall’art. 43 della Convenzione europea dei diritti dell’uomo (CEDU), la sentenza pronunciata da una sezione della Corte EDU non presenta valore definitivo già al momento della sua pubblicazione, giacché ciascuna parte, entro il successivo termine di tre mesi, può «chiedere che il caso sia rinviato dinanzi alla Grande Camera» (art. 43, par. 1). Alla Grande Camera compete accogliere la richiesta «quando la questione oggetto del ricorso solleva gravi problemi di interpretazione o di applicazione della Convenzione o dei suoi protocolli o di carattere generale» (art. 43, par. 2). Si tratta di una procedura che riveste carattere eccezionale e, pertanto, non può essere considerata alla stregua di una procedura di appello. Ai sensi dell’art. 43, par. 2, CEDU, una sentenza acquista valore “definitivo” nell’ipotesi in cui le parti dichiarino che non richiederanno il rinvio alla Grande Camera oppure, in via automatica, dopo tre mesi dalla pubblicazione della sentenza “provvisoria” (se non è stato richiesto il rinvio dinanzi alla Grande Camera) o, ancora, laddove il Collegio della Grande Camera dovesse respingere la richiesta di rinvio eventualmente proposta dalle parti. Nel caso di specie, la sentenza, divenuta esecutiva l’11 aprile 2022, è oggi al vaglio del Comitato dei Ministri del Consiglio d’Europa, cui compete supervisionare sull’esecuzione delle pronunce della Corte. In particolare, la discussione della sentenza resa nel caso 700078/12 è stata assegnata alla riunione n. 1443, in programma nelle giornate del 20, 21 e 22 settembre 2022.

[3] Con tale espressione si fa genericamente riferimento alla possibilità, per lo Stato, di impiegare strumenti per esercitare un’attività di controllo segreto sull’individuo (mediante diversi strumenti di sorveglianza), con una conseguente intrusione quasi totale nella vita privata dello stesso. Si tratta, per definizione, di una attività propria dello stato di polizia e quindi sostanzialmente ammessa, nello stato di diritto, solo ove strettamente necessaria, previa sussistenza di idonee garanzie a tutela degli interessati.

[4] Sul contenuto e sulla portata dell’art. 8 CEDU, si veda Corte EDU, Guida all’articolo 8 della Convenzione europea sui diritti dell’uomo, consultabile sul sito della Corte al link https://www.echr.coe.int/documents/guide_art_8_ita.pdf.

[5] Il testo integrale della sentenza resa nella controversia Association for Eropean Integration and Human Rights and Ekimdzhiev v. Bulgaria, Application no. 62540/00, è consultabile, nella versione dichiarata definitiva il 30 gennaio 2008, sul sito della Corte EDU, al seguente link: https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-81323%22]}.

[6] In tale controversia, i ricorrenti si dolevano della circostanza di poter essere sottoposti in qualsiasi momento a misure di sorveglianza, senza esserne informati. All’esito del giudizio, la Corte EDU ha riscontrato che la normativa bulgara illo tempore vigente non offriva sufficienti garanzie contro il rischio di abusi da parte delle forze dell’ordine, in violazione dell’art. 8 CEDU.

[7] Per un approfondimento sul tema, v. L. Seminara, Sorveglianza segreta e nuove tecnologie nel diritto europeo dei diritti umani, in Medialaws  2/2018, 132-145.

[8] In questa sede, non ci è invece possibile soffermarci sul diverso problema dell’impiego di sistemi di sorveglianza da parte di soggetti privati (estranei completamente ai sistemi di sorveglianza statuali) e soggetti parastatali (parzialmente estranei al potere pubblico). La questione della tutela dei diritti fondamentali nei confronti dell’esercizio del potere privato (e non soltanto pubblico) è stata pure affrontata dalla Corte EDU, nella controversia Vukota-Bojic v. Switzerland, Application no. 61838/10, sentenza del 18 ottobre 2016.

[9] Cfr. S. Romeo, Diritti fondamentali e costituzionalismo. La prospettiva storica, in Jus Online, 2/2020.

[10] Per un approfondimento sul concetto di sicurezza, anche alla luce della Costituzione quale diritto che «entra nel gioco del bilanciamento» con le libertà fondamentali, v. M. Ruotolo, La sicurezza nel gioco del bilanciamento, in Astrid Rassegna, 2009, 1-49.

[11] Negli ultimi anni, la difesa della sicurezza è stata ad esempio invocata dagli Stati per legittimare l’adozione di sempre maggiori misure restrittive al libero esercizio dei diritti religiosi e delle pratiche di fede. Per un approfondimento sul rapporto tra esercizio della libertà religiosa e difesa della sicurezza, anche alla luce del contenuto delle Linee Guida su «Libertà di religione o convinzione e sicurezza» approvate dall’Organizzazione per la Sicurezza e la Cooperazione in Europa (OSCE), si veda G. Fattori (a cura di), Libertà religiosa e sicurezza, Pisa 2021.

[12] Con riferimento all’impiego delle nuove tecnologie come strumenti di sorveglianza di massa, Amnesty International ha di recente diffuso un rapporto che evidenzia il crescente impatto di dette tecnologie sulla tutela dei diritti umani. Cfr. Amnesty International, Uncovering the Iceberg: The Digital Surveillance Crisis Wrought by States and the Private Sector, 23 luglio 2021, DOC 10/4491/2021.

[13] Sulla distinzione tra diritto alla privacy e protezione dei dati personali, cfr. S. Ricci, Il trattamento dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, 2019, p. 1130 ss.

[14] Sulla nozione di sicurezza nell’era digitale e sul tema dell’equilibrio tra riservatezza e finalità di sicurezza, cfr. G. De Vergottini, Una rilettura del concetto di sicurezza nell’era digitale e delle emergenza normalizzata, in Rivista AIC, 4, 2019, p. 66 ss.

[15] Tale Comitato, istituito nell’ambito dell’Organizzazione delle Nazioni Unite, ha il compito di vigilare sul rispetto da parte degli Stati del Patto del 1966 sui diritti civili e politici.

[16] CCPR General Comment No. 16: Article 17 (Right to Privacy), The Right to Respect of Privacy, Family, Home and Correspondence, and Protection of Honour and Reputation, 8 aprile 1988, par. 7.

[17] Id, parr. 3 e 4.

[18] Corte EDU, Libert v. France, Application no. 588/13, sentenza del 22 febbraio 2018, divenuta definitiva il 2 luglio 2018, § 40-42.

[19] Corte EDU, Szabó and Vissy v. Hungary , Application no. 37138/14, sentenza del 12 gennaio 2016, divenuta definitiva il 6 giugno 2016, § 40-42.

[20] Id, § 53.

[21] Ad esempio, nel caso delle intercettazioni, le normative devono prevedere le seguenti garanzie minime contro gli abusi di potere: la definizione della natura dei reati che possono dare luogo a un decreto di intercettazione; le specificazione delle categorie di persone le cui utenze telefoniche possono essere intercettate; un espresso limite di durata per l’applicazione della misura; la procedura da rispettare per l’esame, l’utilizzo, e la memorizzazione dei dati raccolti; le precauzioni da adottare nella comunicazione dei dati ad altre parti; le circostanze in cui le registrazioni possono o devono essere cancellate o distrutte. Cfr. Corte EDU, Roman Zakharov v. Russia, Application no. 47143/06, sentenza del 4 dicembre 2015, § 231.

[22] In più di un caso, la Corte EDU ha condannato Stati che impiegavano determinate tecnologie per fini di sorveglianza segreta, senza tuttavia averne espressamente previsto e regolamentato l’utilizzo nell’ambito delle proprie normative nazionali. In proposito, cfr. Corte EDU, Bykov v. Russia, Application no.  4378/02, sentenza del 10 marzo 2009.

[23] Corte EDU, Weber and Saravia v. Germania, Application no. 54934/00, sentenza del 29 giugno 2006, § 231, § 78 e 106.

[24] Corte EDU, Szabó and Vissy v. Hungary, cit., § 72-73; Corte EDU, Klass and Others v. Germany, Application no. 5029/71, sentenza del 6 settembre 1978, § 42.

[25] Ex multis Corte EDU, Liberty et al. v. The United Kingdom, Application no. 58243/00, sentenza dell’1 luglio 2008, § 63; Corte EDU, Uzun v. Germany, 2 settembre 2010, Application no. 35623/05, § 43-52.

[26] Ex multis Corte EDU, Kennedy v. The United Kingdom, sentenza del 18 maggio 2010, Application no. 26839/05, § 118-120.

[27] Ex multis Corte EDU, Copland v. The United Kingdom, Application no. 6261700/00, sentenza del 3 aprile 2007, § 41.

[28] Corte EDU, Szabó and Vissy v. Hungary , Application no. 37138/14, cit.

[29] Consiglio d’Europa, Convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale (c.d. Convenzione n. 108), Strasburgo, 28 gennaio 1981; Consiglio d’Europa, Protocollo di emendamento alla Convenzione n. 108, Strasburgo, 10 ottobre 2018.

[30] Corte EDU, Vukota-Bojic v. Switzerland, Application no. 61838/10, cit.

[31] Giova altresì precisare che l’art. 1 GDPR non prevede, nel proprio campo di applicazione, la tutela dei dati della persone giuridiche.

[32] Parlamento e Consiglio europeo, Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), 27 aprile 2016, art. 2.2, lett. d), e considerando 15, riguardante l’art. 2.2, lett. a).

[33] Sulla difficoltà di distinguere, ai fini della qualificazione del trattamento, la nozione di “sicurezza nazionale” dai concetti limitrofi di “pubblica sicurezza”, “sicurezza dello Stato” e “difesa”, cfr. Garante europeo della protezione dei dati (GEPD), Executive summary EDPS Opinion on the data protection reform package, 7 marzo 2012.

[34] Con la recente sentenza del 5 aprile 2022, pronunciata nella controversia C-140/20, la Grande Camera della Corte di Giustizia dell’Unione europea, esprimendosi sull’illegittimità della normativa irlandese in materia di conservazione di dati di traffico e ubicazione (Communications (Retention of Data) Act del 2011), ha evidenziato come l’art. 15, par. 1, della Direttiva 2002/58/CE rappresenta un limite all’introduzione – da parte dei legislatori dei Paesi membri – di misure preventive che contemplino, per finalità di contrasto alla criminalità o di tutela della pubblica sicurezza, la conservazione generalizzata e indifferenziata dei dati inerenti al traffico e all’ubicazione dei cittadini.

[35] Sul contenuto della direttiva 2016/680/UE, v. la scheda di sitenti predisposta dall’UE e disponibile al link https://eur-lex.europa.eu/legal-content/IT/LSU/?uri=uriserv:OJ.L_.2016.119.01.0089.01.ITA.

[36] Per la definizione di “autorità competenti”, cfr. Parlamento e Consiglio europeo, Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, 27 aprile 2016, art. 3.7.

[37] Id, considerando 9; in proposito, cfr. anche GEPD, Opinion 6/2015 – EDPS recommendations on the Directive for data protection in the police and justice sectors, 28 ottobre 2015, p. 6.

[38] A seguito dell’approvazione del Protocollo n. 11 dell’11 maggio 1994 (in vigore dall’11 novembre 1998) e dell’abolizione della Commissione europea dei diritti dell’uomo (unico organo cui inizialmente potevano riferirsi i cittadini, previa dichiarazione di accettazione di competenza da parte dello Stato interessato), le persone fisiche possono rivolgersi direttamente alla Corte EDU per ottenere la tutela sul piano internazionale dei diritti convenzionali, anche contro il proprio Paese e senza necessità di una preliminare dichiarazione ad hoc di riconoscimento della giurisdizione. La proposizione di un giudizio innanzi alla Corte di Strasburgo è subordinata alla regola del previo esaurimento delle vie di ricorso interne. Ciò significa che, per adire la Corte EDU, occorre aver preliminarmente e infruttuosamente esperito tutte le azioni giudiziali innanzi agli organi di giustizia statali. Per effetto della modifica apportata all’art. 35 CEDU dal Protocollo n. 15 del 24 giugno 2013 (entrato in vigore di recente), il ricorso alla Corte deve essere necessariamente proposto, a pena di decadenza, entro quattro mesi – non più sei – dalla «decisione interna definitiva».

[39] Secondo quanto previsto dall’art. 34 CEDU, la Corte può essere adita da singole persone fisiche, organizzazioni non governative o gruppi di privati che sostengano di essere vittime di violazioni da parte di uno Stato contraente dei diritti riconosciuti nella Convenzione o nei suoi Protocolli.

[40] Corte EDU, sentenza dell’11 gennaio 2022, Ekimdzhiev and Others v. Bulgaria, 70078/12, § 10.

[41] Si tratta di un’Amministrazione statale incaricata di vigilare sull’utilizzo degli strumenti di sorveglianza, insieme ad una Commissione parlamentare ad hoc e al giudice che ha emesso il mandato.

[42] I sistemi di sorveglianza e le informazioni conseguentemente acquisite possono essere utilizzati da enti che fanno capo al Ministero degli Affari Interni (tra cui le forze di polizia), i pubblici ministeri e alcune altre agenzie militari e di sicurezza.

[43] Id, § 18,

[44] Si tratta della Commissione per la protezione dei dati personali, ossia la Commission per Personal Data Protection ( CPDP ) o Комисията за защита на личните данни (КЗЛД). Il sito ufficiale della CDPD della Repubblica della Bulgaria è consultabile al seguente link: https://www.cpdp.bg/en/index.php?p=news_view&aid=1759.

[45] Secondo quanto stabilito dall’art. 34 CEDU, il ricorso può essere proposto solo da chi sostiene di essere vittima di una violazione della Convenzione e dei suoi Protocolli, da parte di un determinato Stato contraente che – attraverso un’azione o un’omissione – nega il riconoscimento dei diritti convenzionali a persone fisiche o giuridiche sottoposte alla sua giurisdizione.

[46] Cfr., ex multis, Corte EDU, Klass and Others v. Germany, Application no. 5029/71, sentenza del 6 settembre1978, § 36; Corte EDU, Roman Zakharov v. Russia, Application no.  47143/06, sentenza del 4 dicembre 2015, § 171. In quest’ultima sentenza, la Corte ha enucleato i fattori da considerare per decidere se il ricorrente possa essere o meno considerato vittima (anche in senso potenziale).

[47] Corte EDU, sentenza dell’11 gennaio 2022, Ekimdzhiev and Others v. Bulgaria, 70078/12, § 276-277 e 383-384.

[48] Cfr. D. Dimitrova, Ekimdzhiev and Others v. Bulgaria: secret surveillance and electronic communications surveillance only with adeguate safeguards, or nothing new under the sun, in StrasbourgObservers, 2 marzo 2022.

[49] Cfr. Corte EDU, Ekimdzhiev and Others v. Bulgaria, cit., § 291-293 e 395.

[50] Id, § 296.

[51] Id, § 303.

[52] Id, § 305.

[53] Id, § 326-332.

[54] Id, § 333.

[55] Id, § 311-313.

[56] Id, § 318-320.

[57] In particolare, secondo quanto osservato dalla Corte, i giudici bulgari non hanno poteri di ispezione rispetto all’impiego delle tecnologie di sorveglianza e, peraltro, soffrono il sovraccarico di lavoro.

[58] Corte EDU, Ekimdzhiev and Others v. Bulgaria, cit., § 291-293 e 395.

[59] Cfr. Corte EDU, Roman Zakharov v. Russia, cit.

[60] Corte EDU, Ekimdzhiev and Others v. Bulgaria, cit., § 350.

[61] Artt. 12-13 direttiva 2016/680.

[62] Art. 14 direttiva 2016/680.

[63] Corte EDU, Ekimdzhiev and Others v. Bulgaria, cit., § 352-355.

[64] Id, § 396-398.

[65] Id, § 408-409.

[66] Id, § 401-405.

[67] Id, § 410-415.

[68] Anche in questo caso, la normativa prevede la notifica per le sole ipotesi in cui non sussista il rischio di pregiudicare le indagini e sempre che sia stato accertato un accesso illegittimo o comunque non autorizzato, da parte delle forze dell’ordine, ai dati trattati dai fornitori di servizi di comunicazioni.

[69] Corte EDU, Ekimdzhiev and Others v. Bulgaria, cit., § 416-418.

[70] Id, 420.

[71] Id, 426.

[72] Id, 428.

[73] Corte EDU, Big Brother watch and others v. the United Kingdom, Application no. 58170/13, 62322/14 e 24960/15, sentenza del 25 maggio 2021.

[74] M. Crosston, Cyber Colonization: The Dangerous Fusion of Artificial Intelligence and Authoritarian Regimes, in Cyber, Intelligence and Security, 1/2022, 149-171.