IP, IT e Data protection
L'importanza dei dati e la loro gestione da parte dell'autorità
Un case study in tema di accesso dell'autorità ai c.d. dati esterni: la sentenza C-746/18 della Corte di Giustizia europea del 2 marzo 2021
Vedi tutti i contenuti su
Privacy e data protection
La sentenza H.K. della Corte di Giustizia europea del 2 Marzo 2021. Un case study in tema di accesso dell'autorità ai c.d. dati esterni.
 GDPR e Normativa Privacy Commentario, A cura di: Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale.Scarica gratuitamente l'estratto |
1. Il contesto di riferimento
Prima di analizzare in modo approfondito il contenuto della decisione ed i suoi potenziali risvolti nel diritto nazionale, è opportuno effettuare alcune precisazioni di carattere generale sulla disciplina relativa al tema delle intercettazioni in Italia ed al suo massiccio uso nell'ambito delle indagini, quale fondamentale “mezzo di ricerca della prova1.
La storia giudiziaria di tale strumento è costellata da molteplici elementi di criticità relativi, in particolar modo, ad un uso assai elastico e poco rispettoso dei canoni tassativi tipici della fattispecie penale. L'enorme mole di dati prodotti fin dalla sua introduzione, hanno generato conflitti di difficile risoluzione circa la corretta conduzione delle indagini da parte di procure poco attente al rispetto del segreto istruttorio e, probabilmente, eccessivamente permeabili al naturale interesse pubblicitario della cronaca giudiziaria, comprensibilmente più attenta all'effetto mediatico di alcune inchieste, il più delle volte, in virtù delle personalità pubbliche coinvolte.
Costanti disattenzioni al delicato tema hanno generato effetti distorsivi e poco attenti alle necessarie garanzie costituzionali e convenzionali proprie del diritto di difesa, quale specifico corollario del più generale principio del giusto processo. Da ultimo, non per minore importanza, è opportuno porre l'attenzione sul rischio di condotte mediatiche, poco inclini al garantismo ed anticipatorie del giudizio di colpevolezza, frutto, soprattutto, di una eradicazione decontestualizzata del contenuto istruttorio e, per ovvie ragioni, fortemente lesive delle opportune riserve in attesa del giudicato, fondamentali in uno stato di diritto consolidato.
Invero, la naturale evoluzione del fenomeno criminale, sempre più sofisticato nella sua articolazione ed espressione, nello scorrere del tempo, ha, però, reso necessario un intervento di implementazione di strumenti normativi adeguati al progresso tecnologico permettendo l'uso, con le dovute limitazioni e garanzie, di strumenti essenziali all'anticipazione, perseguimento e repressione di alcune tipologie di reati dal carattere fluido ed extraterritoriale, dalla forte connotazione criminogena, poco suscettibili ad attività di indagine basate esclusivamente sul metodo classico di ricerca della prova.
Recenti provvedimenti legislativi, espressi nella forma della decretazione d'urgenza, poi convertiti dal consesso parlamentare nei termini previsti con emendamento dallo scarso valore innovativo ed in linea con l'impianto originario di politica criminale securitaria, hanno, però, segnato l'ennesimo tentativo di configurazione normativa emergenziale in linea al consolidato processo di eterointegrazione emotiva del diritto penale2.
La necessaria soddisfazione della richiesta di maggiore sicurezza della società civile, anche in virtù della costante spinta mediatica verso narrazioni in chiave cinematografica dell'attività di indagine e di repressione dei reati da parte di alcune procure e degli organi di polizia giudiziaria, ha reso vantaggioso l'intervento del legislatore nella veste di deus ex machina dell'eterno conflitto manicheo tra buoni e cattivi in chiave giustizialista e panpenalista, senza alcun riguardo ai pilastri del garantismo tipico del diritto penale liberale.
La legittimazione dell'impiego di uno strumento di investigazione speciale estremamente intrusivo come il captatore informatico (trojan), anche per tipologie di reati non rientranti nelle categorie tipiche della criminalità organizzata (mafia o terrorismo ecc.)3, ha, di fatto, segnato uno sconfinamento verso territori inesplorati di difficile definizione, tanto da sollecitare i sussulti peristaltici di innumerevoli studiosi della materia. Un tema da maneggiare con estrema cura nella cosiddetta società del controllo totale, in cui lo Stato deve assumere il ruolo di filtro ed argine alle derive securitarie poco rispettose dei principi di riservatezza della vita privata4 e non porsi nella veste di ariete di sfondamento, nel caso specifico quale cavallo di troia, del sistema di garanzie essenziali di diritti fondamentali posti alla base del moderno stato di diritto. Il rischio, del tutto evidente, è la legittimazione arbitraria di pratiche invasive e tendenti ad abusi, in nome dell'esclusivo interesse nazionale e collettivo ad un ordine pubblico dalle forti connotazioni della ragion di stato, che tutto giustifica e nulla tutela.
Un rischio, già paventato da dottrina e giurisprudenza5 tale per cui l'importanza della recente pronuncia della Corte di giustizia europea pone i principi stabiliti dalla stessa in forte contrapposizione con l'inquadramento normativo di riferimento spingendo ad un necessario intervento del legislatore interno in funzione correttiva onde evitare potenziali contrasti con la disciplina unitaria e, di conseguenza, porre in sufficiente condizioni di armonia interpretativa le future decisioni dei giudici nazionali.
2. La decisione dalla Corte
La sentenza relativa alla causa C‑746/18, Corte di giustizia europea, ha ad oggetto la “domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Riigikohus (Corte suprema, Estonia)”, la quale, dopo una attenta disamina del tema decidendi, ha stabilito i seguenti principi di diritto unitario:
- l’accesso, per fini penali, ad un insieme di dati di comunicazioni elettroniche relativi al traffico o all’ubicazione, che permettano di trarre precise conclusioni sulla vita privata, è autorizzato soltanto allo scopo di lottare contro gravi forme di criminalità o di prevenire gravi minacce alla sicurezza pubblica;
- il diritto dell’Unione osta, peraltro, ad una normativa nazionale che attribuisca al pubblico ministero la competenza ad autorizzare l’accesso di un’autorità pubblica ai dati suddetti al fine di condurre un’istruttoria penale.
Più nello specifico, Il giudizio della Corte, chiamata a pronunciarsi sul caso estone, riunita nella grande sezione, ha riguardato l'accesso della pubblica autorità ai dati personali relativi al traffico o all'ubicazione «idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica». Inoltre, secondo la corte, sia la durata di accesso a tali dati che la natura degli stessi non hanno alcuna rilevanza e la Direttiva vita privata e comunicazioni elettroniche letta alla luce della Carta fondamentale dei diritti, osta ad una normativa nazionale che consenta al pubblico ministero di disporre l'autorizzazione all'accesso di tali dati senza il controllo di un giudice terzo ed indipendente.
La corte, richiamando la sua precedente pronuncia sulla direttiva nella sentenza Quadrature du Net e a.6 ribadisce la posizione per cui, in base alla direttiva, gli stati nazionali sono autorizzati ad adottare misure legislative che consentano l' accesso ai dati per finalità di prevenzione, ricerca, accertamento e perseguimento dei reati unicamente a condizione, però, che vengano rispettati i principi generali del diritto dell'unione tra cui, in particolar modo, il principio di proporzionalità e, più in generale, i principi fondamentali della carta7.
Secondo la Corte, in tale contesto «la direttiva osta a misure legislative che impongano ai fornitori di servizi di comunicazione elettronica, in via preventiva, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione». Più nel dettaglio, affinché venga rispettato il principio di proporzionalità la Corte riconosce come legittimi soltanto di obiettivi della lotta a gravi forme di criminalità e di prevenzione delle minacce alla sicurezza pubblica, gli unici idonei a giustificare l'accesso delle autorità pubbliche al traffico dei dati da cui poter trarre indicazioni sul traffico o sull'ubicazione dei destinatari.
Altri fattori incidenti in astratto sul giudizio di proporzionalità, quali la durata di accesso, non hanno rilevanza nel giudizio di legittimità. Sempre secondo la corte, «spetta al diritto nazionale stabilire i presupposti in presenza dei quali i fornitori di servizi di comunicazioni elettroniche devono concedere alle autorità nazionali competenti l’accesso ai dati di cui essi dispongono»8.
Per soddisfare il requisito di proporzionalità, la normativa nazionale deve prevedere regole chiare e precise che disciplinino portata e applicazione della misura fissando dei requisiti minimi che consentano alle persone interessate dall'accesso ai dati di fruire delle garanzie sufficienti ad una protezione efficace contro i rischi di abusi. Tale normativa «deve essere legalmente vincolante nell’ordinamento interno e precisare in quali circostanze e a quali condizioni sostanziali e procedurali possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l’ingerenza sia limitata allo stretto necessario».
Il fulcro centrale del ragionamento, funzionale al rispetto dei requisiti indicati dalla corte, è costituito dalla garanzia di terzietà dell'autorità disponente l'accesso ai dati mediante un controllo di un giudice indipendente sulla richiesta motivata delle autorità coinvolte nell'attività di prevenzione o perseguimento di reati o azioni penali già instaurate9. Nei casi di urgenza, opportunamente giustificati, tale controllo deve intervenire tempestivamente. Il controllo preventivo del giudice deve poggiare sul principio di ragionevolezza10, in modo da contemperare i diversi interessi e diritti in gioco.
Nell'indagine penale, tale requisito si esplica quando tale entità sia «in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso». Affinché sia rispettato il requisito d'indipendenza dell'autorità disponente, in ambito penale, è necessario, da un lato, che la stessa non sia coinvolta nell'indagine interessata dal provvedimento, dall'altro, che si trovi in una posizione di neutralità rispetto alle parti coinvolte.
Tutto ciò non si verifica nel caso in cui sia il pubblico ministero a dirigere l'indagine ed eserciti l'azione penale con la logica conseguenza di non consentire allo stesso di poter effettuare il controllo preventivo.
3. Gli elementi di novità
Alcuni punti della recente pronuncia meritano una trattazione più approfondita, in virtù della loro portata innovatrice e della ratio decidendi mediante cui è stata risolta la questione pregiudiziale posta all'attenzione della Corte.
Nel considerando 4 della sentenza, richiamando l'articolo 2 della direttiva 2002/58, la Corte riprende alcune definizioni molto importanti ai fini della risoluzione della controversia tra cui: a) “utente”, inteso come qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; b) “dati relativi al traffico”, intesi come qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; c) “dati relativi all’ubicazione”, intesi come ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico; d) “comunicazione”, intesa come ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico, tramite una rete di comunicazione elettronica, salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato.
Nel considerando 5, ancora, la Corte richiama l'art 5 della medesima direttiva dedicato alla “riservatezza delle comunicazioni”, il quale, al comma 1, recita che «gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite una rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare, essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza». Segue al comma 3 affermando che «gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l’altro, sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».
Nel considerando 7, invece, la Corte, arricchisce la ricostruzione normativa relativa ai dati sull'ubicazione ed il traffico richiamando l'art. 9 della direttiva 2002/58, il quale, sulla scia di quanto già predefinito, afferma che «Se i dati sull'ubicazione diversi dai dati relativi al traffico, relativi agli utenti o abbonati di reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico possono essere sottoposti a trattamento, essi possono esserlo soltanto a condizione che siano stati resi anonimi o che l’utente o l’abbonato abbiano dato il loro consenso, e sempre nella misura e per la durata necessaria per la fornitura di un servizio a valore aggiunto. Prima di chiedere il loro consenso, il fornitore del servizio deve informare gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti a trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto(...)».
Infine, nel considerando 8, la Corte chiude il percorso sistematico di ricostruzione normativa richiamando l'art 15 paragrafo 1 della direttiva dedicato all'applicazione della medesima ,ribadendo che gli stati membri possono sì adottare disposizioni legislative volte a limitare i diritti e gli obblighi tutelati dai richiamati art., ma allo stesso tempo, in virtù dell'art. 13 paragrafo1 della Direttiva 95/56, tale restrizione è possibile solo qualora assuma la condizione di «misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica». Nel perseguire tale fine, gli stati membri possono adattare misure che prevedano la conservazione dei dati necessari alla prevenzione, ricerca, accertamento e perseguimento dei reati, ma, a condizione che ciò avvenga per un tempo limitato.
4. L'oggetto del contendere ed i principi stabiliti dalla Corte
Le questioni pregiudiziali poste al vaglio della corte dal giudice estone sono state essenzialmente tre.
La prima ha chiesto se alla luce degli articoli 7, 8, 11, 52, paragrafo 1, della Carta, l'art. 15 della medesima debba essere letto nel senso che «nell'ambito un procedimento penale l’accesso di autorità nazionali a dati che consentano di rintracciare e identificare la fonte e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile del sospettato, di determinare la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il materiale di comunicazione mobile utilizzato, costituisce un’ingerenza nei diritti fondamentali sanciti dai suddetti articoli della Carta di gravità tale che detto accesso debba essere limitato, nel contesto della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo al quale si riferiscono i dati conservati cui le autorità nazionali hanno accesso».
La seconda, se, sulla base del principio di proporzionalità enunciato nella sentenza del 2 ottobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788)11, l'art. 15 della direttiva 2002/58 debba essere letto nel senso che «qualora la quantità dei dati menzionati nella prima questione, ai quali le autorità nazionali hanno accesso, non sia grande (sia per il tipo di dati che per la loro estensione nel tempo), la conseguente ingerenza nei diritti fondamentali può essere giustificata, in generale, dall’obiettivo della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, e che quanto più notevole è la quantità di dati cui le autorità nazionali hanno accesso, tanto più gravi devono essere i reati perseguiti mediante tale ingerenza».
Ultima, ma non per importanza, se «il requisito indicato nel secondo punto del dispositivo della sentenza del 21 dicembre 2016, Tele2 (C-203/15 e C-698/15, EU:C:2016:970)12..., implichi che l’articolo 15, paragrafo 1, della direttiva 2002/58 deve essere interpretato nel senso che può considerarsi come un’autorità amministrativa indipendente il pubblico ministero, il quale dirige il procedimento istruttorio e che, per legge, è tenuto ad agire in modo indipendente, restando soggetto soltanto alla legge e verificando, nell’ambito del procedimento istruttorio, sia gli elementi a carico sia quelli a discarico relativi all’indagato, ma che successivamente, nel procedimento giudiziario, rappresenta la pubblica accusa».
Dopo una attenta ricostruzione della disciplina interna estone relativa alla possibilità per le autorità pubbliche interne di accedere alla serie di dati in oggetto, la Corte ha statuito che il citato art. 15, letto alla luce degli articoli interessati e, richiamando la nota sentenza, Quadrature du Net, osta alla possibilità di istituire una disciplina interna che consenta, ai fini preventivi, una conservazione generalizzata ed indifferenziata dei dati relativi all'ubicazione ed al traffico del soggetto interessato dall'indagine.
Tra gli obiettivi idonei a giustificare tale accesso, sulla base della Giurisprudenza della Corte medesima, esso può essere giustificato soltanto da un interesse di carattere generale tale per cui i servizi di fornitura ne hanno garantito la conservazione. Una limitazione ai diritti ed agli obblighi previsti dagli articoli 5, 6 e 9 della direttiva 2002/58 deve essere singolarmente valutata mediante un giudizio di ragionevolezza che ne misuri proporzionalmente l'intensità dell'ingerenza in rapporto all'obiettivo di interesse generale perseguito e della sua gravità13.
Tale proporzionalità, nell'ambito di un procedimento avviato per finalità di prevenzione, ricerca, accertamento e perseguimento dei reati si deve rinvenire solo ed esclusivamente nella lotta alle gravi forme di criminalità e nella attività di prevenzione contro gravi forme di minacce alla sicurezza pubblica. Solo un siffatto contesto criminale, ad avviso della Corte, può giustificare una ingerenza dell'autorità pubblica nei diritti fondamentali previsti dalla carta14. A tale fine, è stato statuito che le misure legislative volte ad autorizzare l'accesso ai dati sull'identità degli utenti e la loro conservazione al solo fine di identificare l'utente stesso, senza, però, rendere possibile la sua associazione ad una serie di informazioni relative alle comunicazioni effettuate, rientrano nell'ambito di legittimità previste dalla direttiva, in virtù della loro inidoneità a fornire indicazioni sulla vita privata o sull'ubicazione degli interessati15.
Da tali premesse se ne desume il principio secondo cui ad avviso della Corte, «soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l’accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali utilizzate da quest’ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate...senza che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l’accesso a tali dati, possano avere come effetto che l’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale sia idoneo a giustificare tale accesso16».
Una nota del giudice di rinvio, suggerisce di porre l'attenzione sul collegamento tra durata dell'accesso ai dati e la «quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall’utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente». Il soddisfacimento del requisito di proporzionalità, secondo la corte, è garantito dalla condizione di controllo dell'autorità tanto sulla tipologia di dati interessati quanto dalla durata del tempo di accesso agli stessi, da compiersi entro lo stretto necessario17.
Tuttavia, e qui la Corte ci tiene a precisarlo, l'ingerenza nei diritti fondamentali statuti dalla Carta, indipendentemente dalla durata del tempo di accesso o dalla natura e quantità di dati interessati, avviene in caso in cui l'insieme di dati sia tale per cui se ne possa trarre informazioni precise relative alla vita privata degli interessati. Poiché le circostanze relative alla vita privata di ciascuno possono essere ricavate solo dopo una consultazione dei dati ottenuti, il momento della potenziale ingerenza in violazione dei diritti fondamentali si compie già nel momento dell'autorizzazione del giudice o dell'autorità indipendente tale per cui la gravità dell'ingerenza in oggetto deve essere necessariamente compiuta in «funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile». Sulla base di quanto in precedenza affermato, la Corte conclude che in linea di principio, allo stato attuale del diritto unitario, secondo anche una consolidata giurisprudenza, spetta al diritto nazionale stabilire le regole procedurali applicabili ai ricorsi giurisdizionali «destinati a garantire la tutela dei diritti riconosciuti ai singoli dal diritto dell’Unione, a condizione però che le regole suddette non siano meno favorevoli di quelle disciplinanti situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano impossibile in pratica o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività)18». Ne discende che spetta al diritto nazionale stabilire regole relative all’ammissibilità e alla valutazione, «nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti criminali, di informazioni e di elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati in questione, contraria al diritto dell’Unione...od anche mediante un accesso delle autorità nazionali ai dati suddetti, contrario a tale diritto dell’Unione19».
Nel rispetto del principio di effettività, la disciplina nazionale, relativa ad ammissibilità ed utilizzabilità di informazioni ed elementi di prova raccolta nell'ambito dell'indagine, deve porsi come obiettivo prioritario l'assenza di pregiudizio in capo al sospettato di reato mediante la raccolta di informazioni ed elementi di prova raccolti in modo illegittimo20.
A giudizio della Corte, tale obiettivo può essere raggiunto non solo mediante una chiara e precisa disciplina nazionale che limiti l'utilizzabilità di tale materiale, ma, soprattutto, mediante una serie di norme e prassi idonee a determinare una valutazione ed una ponderazione dello stesso con l'estrema conseguenza di tenere conto di tali fattori, eventualmente, anche in sede di determinazione della pena21. Tutto ciò, in ossequio al rispetto del diritto al contraddittorio e, più in generale, ad un equo processo.
Al riguardo, la Corte è molto specifica nella constatazione che «un organo giurisdizionale, il quale consideri che una parte non è in grado di svolgere efficacemente le proprie osservazioni in merito a un mezzo di prova rientrante in una materia estranea alla conoscenza dei giudici e idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova al fine di evitare una violazione siffatta». In tal senso, il principio di effettività “impone” al giudice penale nazionale di escludere l'ammissibilità ed utilizzabilità di informazioni ed elementi di prova raccolti mediante un accesso ed una conservazione “generalizzata” ed “indifferenziata” di dati idonei relativi all'ubicazione od alle comunicazioni di soggetti sospettati di atti di criminalità «qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova suddetti, riconducibili ad una materia estranea alla conoscenza dei giudici e idonei ad influire in maniera preponderante sulla valutazione dei fatti»22.
La terza ed ultima questione pregiudiziale, avente ad oggetto la lettura dell'art. 15, paragrafo 1, della direttiva 2002/58 nel rispetto degli articoli 7,8, 11 e 52, paragrafo 1, della Carta, pone il delicato tema della compatibilità di una disciplina nazionale che attribuisca il potere di disporre l'accesso ai dati relativi al traffico ed all'ubicazione di un soggetto, sottoposto ad indagini, alla figura del pubblico ministero, il cui compito, in linea teorica, è solo quello di dirigere l'istruttoria penale e di esercitare, eventualmente, l'azione penale nell'ambito del procedimento dibattimentale dinanzi al giudice.
Lo stesso giudice del rinvio, ponendo l'attenzione sulla specificità del caso estone, solleva la criticità della configurazione di un soggetto pubblico, il quale, seppur conformemente al diritto nazionale tenuto ad una condizione di indipendenza e soggezione alla legge in funzione istruttoria, sarebbe in ogni caso idoneo a rappresentare la pubblica accusa nell'ambito del processo e, di conseguenza, divenire parte avversa. Di conseguenza, una normativa nazionale che disciplini l'accesso di tale autorità ai dati relativi al traffico ed alla ubicazione del soggetto interessato deve altresì prevedere condizioni sostanziali e procedurali di tale utilizzo23.
Poiché un accesso generale non può considerarsi limitato allo stretto necessario, in linea di principio, esso può essere consentito solo con l'obiettivo della lotta alla grave criminalità e soltanto nei confronti di soggetti sospettati di progettare, commettere, o aver commesso un simile reato. Solo in situazioni particolari e funzionali alla salvaguardia di interessi vitali per la sicurezza nazionale, la difesa o la sicurezza pubblica, legate allo svolgimento di attività di terrorismo, l'accesso ai dati di altre persone potrebbe essere concesso qualora sussistano elementi oggettivi che lascino intravedere una possibilità concreta di aiuto allo svolgimento dell’attività di prevenzione, ricerca e perseguimento di simili reati24.
Il rispetto di tali condizioni, a giudizio della Corte può essere garantito solo mediante un controllo sull'accesso ai dati esercitato da un giudice od una entità amministrativa indipendente e che tale decisione avvenga nelle more di una richiesta motivata dell'autorità richiedente nell'ambito di un procedimento di prevenzione e accertamento ovvero durante l'esercizio dell'azione penale25. II casi di urgenza, debitamente giustificati devono essere sottoposto a controllo entro brevi termini26.
Ulteriore requisito per un controllo preventivo è che il giudice o l'autorità incaricata disponga delle attribuzioni e delle garanzie necessarie ad una “conciliazione” dei diversi interessi in gioco27, da concretizzarsi, nell'ambito del contesto penale, mediante il giusto equilibrio tra interessi «connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso». Nel caso in cui tale controllo non venga effettuato dal giudice ma da un'autorità amministrativa indipendente, la stessa deve essere caratterizzata dalla condizione di uno status che le permetta di espletare il proprio compito in condizioni di imparzialità ed indipendenza, al riparo da influenze esterne28.
Il requisito di indipendenza dell'autorità incarica è garantito qualora la stessa abbia la qualità di terzo rispetto al soggetto richiedente l'accesso ai dati e, in particolar modo, in ambito penale, rileva soprattutto che essa non sia coinvolta nella conduzione delle indagini ed abbia una posizione di neutralità rispetto alle parti29.
Ciò non si verifica quando il pubblico ministero ha il compito di dirigere le indagini ed esercitare l'azione penale in quanto tale autorità, non avendo il compito di dirimere una controversia ha di converso quello di sottoporla eventualmente al vaglio del giudice competente.
Ad avviso della Corte, infatti, «la circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco nel senso descritto al punto 52 della presente sentenza». La naturale conseguenza è che il pubblico ministero non possa esercitare il necessario controllo preventivo e tale controllo deve intervenire previamente a qualsiasi richiesta di accesso ed in caso di urgenza debitamente motivate, comunque entro un breve termine30.
Alla luce di quanto precedentemente espresso la Corte conclude affermato che l'art. 15, paragrafo 1 della direttiva deve essere interpretato nel senso che osta ad una disciplina nazionale che inquadri il pubblico ministero, il cui compito è quello di dirigere le indagini ed eventualmente esercitare l'azione penale, quale figura competente ad autorizzare l'accesso ai dati relativi al traffico ed all'ubicazione di un soggetto sottoposto ad indagini.
5. Note critiche ed elementi di perplessità
Il tema della ricerca della prova mediante tecniche di investigazione speciale, ritenute, dai più, formalmente adeguate al naturale contesto tecnologico di riferimento nell'architettura di politica criminale, ha reso quantomeno difficoltoso il ruolo del giurista, chiamato a vagliare i meccanismi normativi di riferimento nelle loro rispettive criticità.
La costante ricerca di un equilibrio tra le esigenze di tutela della sicurezza collettiva ed il rispetto delle libertà fondamentali, nel teatro di una società iperconnessa, pone in estrema tensione il perdurante conflitto tra le istanze di tipo securitario delle masse nei confronti del legislatore sempre più interventista e le necessarie garanzie processuali dello stato di diritto spettanti agli esecutori materiali del processo di prevenzione, ricerca, repressione e perseguimento dei reati dal particolare allarme sociale.
In un simile contesto si inserisce la pronuncia della Corte di Giustizia Europea, la quale, nella sua portata erga omnes, valida per tutti gli ordinamenti nazionali, ha stabilito un principio di diritto unitario dalla portata dirompente e di cui sia il legislatore che gli operatori del diritto hanno necessariamente tenuto conto.
Il primo, per non incorrere in una procedura di infrazione, i secondi, nel dovuto adempimento al meccanismo di applicazione diretta della disciplina unitaria, come stabilito anche dalla costante giurisprudenza, prima fra tutte quella relativa alla sentenza “Granital”.
Rimane dubbia la regola di applicazione diretta dei principi contenuti nella Carta nel caso di doppia pregiudizialità, in situazioni di conflitto del diritto interno sia con valori costituzionali che con principi contenuti nella carta stessa, anche alla luce della recente pretesa di supremazia della Corte costituzionale31 in ordine ad una sua preventiva evocazione.
Una possibile risoluzione risiede nel riconoscimento di un principio di diritto stabilito dalla Corte di giustizia nella sentenza in commento non in rifermento all'applicazione diretta del testo della carta di Nizza, bensì di una lettura della direttiva vita privata e comunicazioni alla luce dei principi fondamentali stabiliti dalla stessa, riconducendone così il valore vincolante al testo dei trattati, di cui il giudice comune deve rispettarne prioritariamente la diretta applicazione in caso di contrasto con la disciplina nazionale senza necessità di controllo della Corte costituzionale.
La recente disciplina interna, avendo legittimato la possibilità dell'uso di strumenti estremamente intrusivi nella vita privata come il “trojan”, anche per il contrasto a fenomeni corruttivi commessi da pubblici ufficiali ed incaricati di pubblico servizio, si pone in netto contrasto col principio in esame e, d' altro canto, anche l'uso smodato ed indiscriminato dei tabulati da parte delle procure, in moltissimi casi conservati nelle more di indagini della durata di anni, si integra perfettamente nel ragionamento sanzionatorio della Corte, tale per cui il potenziale generato dalla pronuncia in esame, ad avviso dello scrivente, impegnerà discussioni e riflessioni di studiosi ed operatori del diritto per molto tempo ancora.
Qualche elemento di maggiore incertezza, circa la rilevanza della censura rispetto al sistema interno, può essere sollevato sul tema della terzietà dell'autorità disponente in virtù della presenza, nel nostro ordinamento, di una figura come il G.I.P., almeno sulla carta posta a garanzia delle parti nell'ambito delle indagini, il cui vaglio od autorizzazione è sempre richiesta nel caso di operazioni intrusive e potenzialmente lesive delle garanzie processuali chieste o esercitate dal P.M.
La consolidata prassi organizzativa delle procure, nonché la mancata separazione delle carriere di entrambe le figure, il più delle volte poste in uffici adiacenti, rende, però, quantomeno aleatoria tale configurazione normativa e, probabilmente, renderà necessari ulteriori interventi correttivi.
6. Risposte giurisprudenziali e correttivi normativi a livello nazionale
Il
Questo simbolo indica la disponibilità del documento su One LEGALE
Clicca il link verde per accedere alla piattaforma
D.L. n. 132/2021, in vigore dal 30 settembre 2021 e convertito con la L. n. 178/2021, ha innovato profondamente la disciplina prevista dall’art. 132 del D. Lgs. n. 196/2003 in materia di data retention, prevedendo sia una catalogazione dei reati per cui è consentita l’acquisizione dei tabulati sia la competenza autorizzativa del Giudice su richiesta del pubblico ministero.
Secondo la pronuncia della
Questo simbolo indica la disponibilità del documento su One LEGALE
Clicca il link verde per accedere alla piattaforma
Corte di Cassazione, sez. V penale, 9 dicembre 2021 (ud. 26 ottobre 2021), n. 45278, Pres. Palla – Rel. Borrelli, «pure a seguito della nota sentenza della Corte di Giustizia dell’Unione Europea del 2 marzo 2021, la disciplina italiana di conservazione dei dati di traffico di cui all’art. 132, Codice privacy antecedente alle recenti modifiche operate dal D.L. n. 132/2021 era compatibile con le direttive n. 2002/58/CE e 2006/24/CE in tema di tutela della “privacy”, come interpretate dalla giurisprudenza della Corte di Giustizia dell’Unione Europea (CGUE 8 aprile 2014, Digital Rights, C-293/12 e C-594/12; CGUE 21 dicembre 2016, Tele 2, C-203/15 e C-698/15).
Ciò in funzione del fatto che la deroga prevista dalla norma sulla riservatezza delle comunicazioni contenuta nella relativa disciplina era riservata ad un periodo di tempo limitato e, soprattutto, trovava la sua ratio giustificatrice “nell’accertamento e la repressione dei reati”, con l'ulteriore requisito di essere «subordinata all’emissione di un provvedimento da parte di un'autorità giurisdizionale, quale è il pubblico ministero»32.
Il legislatore, nella sua opera di conversione del provvedimento di urgenza, ha teso il suo intervento prioritariamente verso una migliore definizione degli aspetti critici in merito ai presupposti quantitativi e qualitativi per l'applicazione della nuova disciplina nonché ad un migliore inquadramento delle figure gestionali nelle differenti fasi processuali, nel rispetto delle garanzie di imparzialità e terzietà specificate dalla decisione della Corte di giustizia.
La pronuncia H.K., seppur afferente a dinamiche non riconducibili direttamente al sistema processuale italiano, in funzione della sua portata vincolante nel quadro dell'integrazione normativa europea, ha generato fin da subito una notevole fermento sia da parte di operatori del diritto che del legislatore, entrambi intenzionati a delineare immediatamente un quadro di riferimento il più possibile dettagliato ed univoco, nell'ottica di una sempre ricercata certezza del diritto33.
In effetti, l'intento del legislatore è chiaro anche nel preambolo al testo del decreto, laddove si può leggere che l'emanazione dello stesso nasce poiché è stata «ritenuta la straordinaria necessità ed urgenza di garantire la possibilità di acquisire dati relativi al traffico telefonico e telematico per fini di indagine penale nel rispetto dei principi enunciati dalla Grande sezione della Corte di giustizia dell’Unione europea nella sentenza del 2 marzo 2021, causa C-746/18, e in particolare di circo-scrivere le attività di acquisizione ai procedimenti penali aventi ad oggetto forme gravi di criminalità e di garantire che dette attività siano soggette al controllo di un’autorità giurisdizionale».
Prima dell'entrata in vigore della nuova disciplina, l'art. 132 cod. priv. prevedeva la possibilità per il pubblico ministero di acquisizione diretta dei tabulati telefonico da parte degli operatori di servizio, senza l'attuale limitazione alle gravi forme di criminalità34.
Nonostante la pronuncia della corte, come affermato anche da autorevole dottrina, non potesse considerarsi come un qualcosa di inedito, poiché, i giudici europei avevano già «richiesto che le intrusioni significative nella sfera privata fossero regolate da norme di legge, di modo che l'acquisizione dei dati personali per fini di prevenzione o di accertamento processuale fosse circoscritta al ricorrere di reati sufficientemente gravi»35, l'incertezza generata, anche in recenti pronunce giurisprudenziali, ha spinto il legislatore all'elaborazione di un quadro normativo più dettagliato, anche in ottica precauzionale nel sistema delle garanzie processual penalistiche36.
L'interrogativo circa la diretta applicabilità nel nostro ordinamento della decisione in questione ha interessato l'attività giurisprudenziale fin dal subito, generando differenti impostazioni culminate nella pronuncia dei giudici di legittimità e, da ultimo, nell'intervento normativo d'urgenza.
Da un primo orientamento, sostenuto in verità anche dalla cassazione, nell'assenza, da parte della Corte di giustizia, di una elencazione di parametri e criteri sufficientemente precisi per delimitare l'elencazione delle casistiche in cui si possa procedere direttamente all'acquisizione dei dati esterni precisione deve, comunque, intendersi consentita l’acquisizione di tali dati, rappresentando tale circostanza, di fatto, un vero e proprio ostacolo affinché la pronuncia europea possa considerarsi con efficacia diretta ed immediata37.
Dall'altro lato, una consistente parte della giurisprudenza di merito, ha inteso gli effetti della pronuncia nella direzione di mancata considerazione delle generecità suddette in quanto le stesse non avrebbero alcun effetto sull'applicabilità diretta della sentenza, richiamando l'assunto per cui le «forme gravi di criminalità» richiamate dalla Corte di giustizia sarebbero riconducibili al richiamo integrale delle ipotesi contenute all'art. 266 c.p.p38.
Sul ruolo del Pubblico ministero e la sua rilevanza quale figura terza ed imparziale ha avuto modo di pronunciarsi il tribunale di Rieti in sede di rinvio ex art. 267 TFUE39 , il quale ha negato l'assimilazione tra l'ordinamento italiano ed estone, sulla base sia delle garanzie costituzionali di indipendenza e terzietà della magistratura inquirente presenti nel nostro paese ex artt. 101, 104 e 106 Cost.
Altre pronunce, invece, hanno ritenuto di attribuire maggiore valore al requisito inedito ed ulteriore della «terzietà e neutralità», da considerare, alla luce della lettura data dalla Corte di Giustizia, quale elemento ulteriore rispetto ai requisiti classici di imparzialità ed indipendenza40.
Alle luce delle vicessitudini brevemente elencate, il legislatore ha ritenuto opportuno un intervento chiarificatore nell'intenzione di limitare l'attività di data retention, così come indicato dalla corte, ai gravi casi di criminalità ed, allo stesso tempo di creare un quadro normativo di garanzie processuali, rappresentate dalla previa autorizzazione di una autorità giurisdizionale41.
Nel recepire anche le indicazioni critiche della dottrina più autorevole sul tema42, il legislatore ha inteso definire un quadro normativo per fattispecie di reato sulla base di criteri quantitativi e qualitativi di legittimazione all'accesso sui dati di traffico.
Più nello specifico si tratta di «reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi»43.
Per quanto attiene, invece, ai presupposti di legittimità sottoposti al vaglio dell'autorità di controllo, i criteri stabiliti dalla nuova normativi di «sufficienti indizi di reato» e «rilevanza ai fini della prosecuzione delle indagini», hanno sicuramente introdotto un quadro di riferimento meno stringente rispetto a quello previsto per le intercettazioni44, definendo maggiormente l'intenzione del legislatore verso una differenziazione delle due discipline, nonostante, come si vedrà, il gradiente di maggior pericolosità, per certi aspetti, nella gestione di alcune tipologie di dati c.d. “esteriori”.
Come sostenuto da autorevole dottrina, per indizi di reato deve intendersi il «nesso tra l’utenza oggetto di controllo e l’ipotesi criminosa astrattamente ipotizzata e qualificabile in termini di mera probabilità di reato, senza la necessità di una preventiva individuazione soggettiva dell’autore dello stesso»45.
Per quanto riguarda il potere autorizzatorio del provvedimento, nonostante le iniziali incertezze derivanti dal testo del decreto d'urgenza riguardo alla circostanza per cui ci si trovasse dinanzi ad un atto disposto od autorizzato dal Giudice, il legislatore, nel testo di conversione ha inteso affrancarsi da tali incertezze semantiche, ma di notevole rilevanza teoretica, definendo meglio le competenze di pubblico ministero e G.I.P.
Mentre dalla decretazione del governo era attribuito il potere dispositivo dell'atto di acquisizione dei tabulati del giudice per indagini preliminari con la locuzione discutibile “ il giudice dispone su richiesta del P.M”, nel nuovo testo di conversione è stato chiarito tale aspetto con la specificazione che il giudice “autorizza” il procedimento di data retention su richiesta del P.M., riportandone l'inquadramento entro i canoni classici di attribuzione delle prerogative di iniziativa e gestione negli atti di indagine da parte del pubblico ministero, nonché di controllo nella legittimità dei presupposti da parte del giudice46.
La nuova disciplina, intervenendo sul contenuto dell'art. 132 cod. priv., è intervenuta sulla platea di soggetti legittimati, garantendo al difensore dell'imputato, della persona indagato od offesa, nonché alle parti privati, la possibilità di richiedere il provvedimento di acquisizione dei dati.
Il novellato art., infatti, prevede che «i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private». Come sostenuto dal Procuratore della repubblica di Firenze, Giacomo Pastelli, sul quotidiano giuridico, le disposizioni normative hanno chiarito i dubbi circa le modalità pratiche di acquisizione dei dati, ovvero, «se i tabulati potessero (o addirittura dovessero) essere acquisiti direttamente presso il fornitore dei servizi mediante notifica del decreto autorizzativo del giudice oppure con un provvedimento ad hoc del P.M. (o del difensore)»47.
Le principali ragioni di incerta come affermato dal magistrato vertevano sul fatto che «tale acquisizione dovesse avvenire notificando o meno lo stesso decreto motivato del giudice – con conseguenti quanto evidenti rischi di fuga di notizie riservate – e se l’attività esecutiva, finalizzata a tale esibizione, dovesse essere materialmente compiuta dal giudice che emetteva il decreto motivato, piuttosto che dal P.M. o dal difensore che ne avessero richiesto l’emissione».
Considerato il rischio di disvelare informazioni attinenti alle personalità dei soggetti indagati, con tutto ciò che ne concerne in termini di compromissione delle esigenze del segreto investigativo, come anticipato, in sede di conversione la norma è stata modificata con la chiara indicazione di natura autorizzatoria del provvedimento con eliminazione di un limite al potere dell'istante, sia esso P.M. o difensore, di esercitare direttamente la richiesta presso il fornitore dei servizi dopo l'ottenimento del decreto.
Con la novella è stata esclusa la possibilità di richiesta diretta dei tabulati ai fornitori di servizi da parte del difensore ex art. 391-quater c.p.p. In base al quale «Ai fini delle indagini difensive, il difensore può chiedere i documenti in possesso della pubblica amministrazione e di estrarne copia a sue spese.», evidentemente nel tentativo di rimediare al dibattito sorto sulla precedente disciplina del d.l. 354/2003.
La disciplina in questione, infatti, prevedeva tale possibilità per il difensore, diversamente da quanto previsto per il pubblico ministero, spingendo parte della dottrina a sollevare riserve sul rispetto del principio di parità delle parti48, anche se, come poi sottolineato da altro fronte, tale criticità interpretativa era facilmente superabile dall'assunto per cui quello del difensore era nient'altro che il legittimo esercizio delegato della facoltà conoscitiva in capo al soggetto indagato secondo i canoni di trasparenza dell'attività dei fornitori circa le modalità di esercizio delle proprie attività di comunicazione, poiché come fatto notare «l’abbonato – e, per estensione, il suo difensore – non [potrebbe] violare la segretezza delle comunicazioni di cui sia [stato] parte»49.
Anche nella novella è stata garantita per gli organi inquirenti la possibilità di una acquisizione diretta nei casi di urgenza, debitamente motivati, con successiva convalida del giudice nella 48 ore successive, venendo incontro anche ai riferimenti della stessa Corte di giustizia circa la possibilità che sia legittimo un «controllo successivo da parte di un giudice ovvero un’autorità amministrativa indipendente in presenza di situazioni di urgenza debitamente motivate, purché tale controllo postumo avvenga entro termini brevi»50.
Per espressa previsione della nuova disciplina, all'art. 132 cod. priv. è stabilito il divieto di utilizzazione dei dati acquisiti in violazione delle norme sulla procedura ordinaria (comma 3), sia quella di acquisizione in via d’urgenza ad opera del Pubblico Ministero (comma 3-bis).
Qualche elemento di novità dell'intervento legislativo ha riguardato anche la disciplina relativa all'impiego del captatore informatico, andando ad aggiungere ai requisiti già previsti ex art. 267, comma 1, c.p.p. l'ulteriore e, ad avviso del legislatore stesso più pregnante, elemento costituito dalla necessità che il decreto di autorizzazione del giudice debba indicare le «specifiche ragioni» per cui si renda necessario svolgere le indagini mediante tale strumento investigativo.
7. Questioni rimaste aperte (file di log IP e pedinamento GPS)
Il legislatore, non ha, però, preso in considerazione alcuni aspetti critici di notevole importanza, soprattutto per gli addetti ai lavori, circa le modalità, modi e situazioni di acquisizione dei c.d. “files di log IP”, nonché, delle modalità di pedinamento mediante GPS e c.d. “positioning”. Per la natura pervasiva degli strumenti di indagine in questione, circa sia la notevole possibilità acquisitiva di dati dei primi che di monitoraggio real time del soggetto per i secondi, sarebbe stato di cruciale importanza un riferimento esplicito del legislatore con la novella per non incorrere nella possibilità concreta di incorrere nella esclusione del campo applicativo di tali situazioni.
I Files di log Ip non sono altro che registri informatici di accesso da dispositivi digitali alla rete internet, da cui, sulla base del codice alfa numerico di riferimento, è possibile risalire al soggetto associato. Come stabilito dall'art. 18, comma 3, Convenzione di Budapest sul Cybercrime del 2001, ratificata con L. 18 marzo 2008, n. 48, i dati ricavati dai file di log ip rientrano nella categoria dei c.d. “ubscriber information”, (dati di sottoscrizione), rilasciati dall'utente al momento della sottoscrizione del contratto o dell'accesso ad un servizio (indirizzo, recapiti telefonici e mail, tipo di servizio utilizzato, ecc.) i quali, a loro volta possono essere suddivisi nell'ulteriore classificazioni di c.d. “traffic data”, ovvero i dati inerenti una specifica comunicazione (origine, destinatario, percorso utilizzato, data, orario e durata della comunicazione), oppure, nei c.d. “content data”, riguardanti il contenuto specifico delle comunicazioni (messaggi, mail, files, foto, video, ecc.).
Come si può leggere nella relazione esplicativa della Convenzione di Budapest del 2001, (v. par. 177 ss.) il significato di subscriber information riguarda i dati dai quali si possano identificare i servizi e tecniche impiegate dall'utente utente, nonché una serie di informazioni da cui si possa risalire alla sua identità. Le varie informazioni sull’uso di un servizio da parte di un utente, diversi dai dati sul traffico o sul contenuto, consentono di individuare la tipologia di servizio impiegato e di relativi parametri tecnici (numero di telefono, indirizzo del sito, nome di dominio, indirizzo di posta elettronica, ecc.), le tempistiche d’iscrizione al servizio, nonché la registrazione degli strumenti di comunicazione utilizzati dall’utente (tipologia di dispositivi telefonici, call center, LAN) (par. 179).
La Relazione specifica, inoltre, che i subscriber information sono «anche qualsiasi informazione, diversa dai dati sul traffico o sul contenuto, tramite cui si possa stabilire l’identità dell’utente, l’indirizzo postale o geografico, il numero di telefono e qualsiasi altro numero d’accesso» (par. 180) aggiungendo che «per esempio, sulla base della fornitura di un determinato nome (...) può essere richiesto un determinato numero di telefono associato o indirizzo di posta elettronica privato», e «sulla base di un determinato numero di telefono o indirizzo mail, è possibile ordinare [l’acquisizione] del nome e dell’indirizzo dell’utente interessato» (par. 182). da ciò ne deriva che i «c.d. “files di log IP”, consentendo di rintracciare ed identificare il soggetto registrato presso un servizio di accesso o di comunicazione e la fonte da cui ha avuto origine una comunicazione (identificativo unico, indirizzo di protocollo internet IP, numero telefonico assegnato, nome e indirizzo dell’abbonato o dell’utente, data e ora del log-in), esulano dal novero tanto dei “dati di traffico” quanto dei “dati di contenuto”, giacché nulla dicono in merito alla dinamica o al contenuto di una comunicazione e all’identità dei soggetti coinvolti in essa (identificativo, numero, nome e indirizzo dell’utente destinatario, data, ora e durata di una comunicazione, numeri telefonici chiamanti e chiamati, IMSI e IMEI degli stessi)»51.
La stessa Corte di giustizia nella sentenza H.K. Ha precisato che «le misure legislative riguardanti il trattamento dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica come tali, e segnatamente la conservazione di tali dati e l’accesso agli stessi, al solo scopo di identificare l’utente interessato, e senza che tali dati possano essere associati ad informazioni relative alle comunicazioni effettuate, possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale, al quale fa riferimento l’articolo 15, paragrafo 1, prima frase, della Direttiva 2002/58. Infatti, tali dati non consentono, di per sé soli, di conoscere la data, l’ora, la durata e i destinatari delle comunicazioni effettuate, né i luoghi in cui tali comunicazioni sono avvenute o la frequenza delle stesse con determinate persone nel corso di un dato periodo, cosicché essi non forniscono, a parte le coordinate degli utenti dei mezzi di comunicazione elettronica, quali i loro indirizzi, alcuna informazione sulle comunicazioni effettuate e, di conseguenza, sulla loro vita privata. Pertanto, l’ingerenza causata da una misura riguardante questi dati non può, in linea di principio, essere qualificata come grave»52.
Dunque, a conti fatti, la Corte distingue tra dati che consentono l'identificazione dell’utente (subscriber information), dati sul traffico (trafficdata) e dati di contenuto (content data), laddove i dati identificati possono essere acquisiti anche per le attività di indagine afferenti alla generalità dei reati e non solamente nei casi di grave criminalità organizzata. Anche il novellato art. 132 cod. priv. fa riferimento alla sola acquisizione dei “dati di traffico” (telefonico e telematico) e non ai c.d. subscriber information53.
Come sostenuto dal procuratore Pastelli, «Il fatto che le norme che disciplinano l’ambito e le modalità di acquisizione dei dati di traffico ai fini delle indagini penali (
Questo simbolo indica la disponibilità del documento su One LEGALE
Clicca il link verde per accedere alla piattaforma
artt. 121 e 132 D.Lgs. n. 196/2003) parlino solo dei dati relativi alla “trasmissione” delle comunicazioni sulla rete – e, dunque, dei dati che attengono alla dinamica della comunicazione (che implica un’interazione tra due soggetti) – e non ricomprendano invece anche i dati che consentono di risalire alla mera identificazione dell’utente registrato che ha generato quell’attività sulla rete, induce a ritenere che a questi ultimi non si applichi la nuova disciplina in materia di acquisizione di tabulati dettata dall’art. 132 D.Lgs. n. 196/2003, esulando appunto dal suo raggio d’azione.
Se ciò è vero, allora, ne consegue che l’acquisizione dei files di log IP deve ritenersi tuttora consentita al P.M. mediante l’emanazione di un semplice decreto di esibizione ex art. 256 c.p.p., da notificarsi direttamente al fornitore dei servizi di comunicazione»54.
Per quanto attiene, invece, ai sistemi di pedinamento GPS, secondo giurisprudenza consolidata, sia nel caso in cui lo stesso si esplichi nella individuazione del soggetto da remoto o quando serva ad effettuare un controllo a distanza in un certo luogo, tale pratica rientra nell'ambito delle cosiddette attività investigative atipiche, perfettamente compatibili con il contenuto dell'art. 15 Cost., senza che si renda necessario un preventivo atto autorizzativo dell'autorità giudiziaria ed, anzi, rientrando nell'alveo delle iniziative della polizia giudiziaria quale mezzo atipico di ricerca della prova55.
Tale procedura può concretizzarsi sia nell'installazione di apposita strumentazione sul bersaglio che nello sfruttamento dei sistemi di monitoraggio GPS contenuti sui moderni dispositivi mobili. Il c.d. “positioning”, sfruttando il sistema di aggancio alle celle telefoniche per stabilire mediante triangolazione la posizione approssimativa in un determinato luogo coperto dagli apparati di comunicazione, senza, però, fornire informazioni sui dati di traffico, secondo la giurisprudenza di legittimità, tale tecnica di investigazione non necessita di autorizzazione giudiziale, «risolvendosi in una sorta di pedinamento satellitare e non interferendo sulla libertà e segretezza delle comunicazioni»56. Da ciò ne deriva come, anche in questo caso, non sarà necessario un atto di autorizzazione del giudice, ma basterà un mero decreto del P.M od anche la semplice iniziativa della P.g. procedente.
Per concludere, anche se il principio stabilito dalla Corte di Giustizia nella sentenza in oggetto potrebbe sembrare alquanto generico, col rischio di generare interpretazioni eccessivamente rivolte ad una maggiore tutela delle libertà fondamentali a scapito delle esigenze di tutela della sicurezza collettiva, l'espressione fumosa secondo cui la facoltà di accesso ai dati di traffico dovrebbe essere riservata solo ai «sospettati di progettare, di commettere o di aver commesso un illecito grave o anche di essere implicati in una maniera o in un’altra in un illecito del genere» è ragionevole considerare condivisibile la scelta di non predeterminare normativamente la tipizzazione dei soggetti nei confronti dei quali si possa disporre l’acquisizione dei dati e ciò soprattutto in funzione non solo della sensibilità della materia, ma, soprattutto delle innumerevoli situazioni con cui dovrà confrontarsi la prassi investigativa.
8. Conclusioni
Le criticità derivanti dall'uso dei dati esterni non rappresentano un elemento assoluto di novità. L' attività ermeneutica eurounitaria in tema di cd. “data retention”, iniziata con la nota sentenza della Corte nel caso “Digital Rights Ireland “, ha intensificato sempre di più l'interesse verso una adeguata garanzia nella gestione dei dati di traffico detenuti dalle società di telecomunicazione, rispetto alle costanti intrusioni nella sfera privata da parte della forza pubblica, nella sua, pur legittima, attività di contrasto alla criminilità organizzata. Il rigoroso processo intrapreso dai giudici della Corte ha condotto ad una serie articolata di pronunce attraverso cui, nel rispetto del ruolo di interprete unico del diritto eurounitario, è stato ridefinito in modo sempre più rigoroso il margine di discrezionalità concesso al legislatore nazionale nella definizione della disciplina di recepimento del diritto unitario sulla protezione dei dati, fornendo, allo stesso tempo, indicazioni sempre più specifiche per la gestione del conflitto tra gli opposti interessi di sicurezza collettiva e tutela delle libertà fondamentali, nel tentativo di assicurarne un corretto equilibrio.
La sentenza H.K., come noto, ha condotto il legislatore italiano, sul fronte interno, alla modifica dell'art 132 del codice della privacy, col fine di adeguarsi velocemente ai requisiti imposti dalle statuizioni della Corte, circoscrivendo la facoltà di acquisizione dei dati esterni alle sole attività di contrasto delle forme gravi di criminalità organizzata, sempre nel rispetto di una serie di criteri prestabiliti.
Non sono mancate nel tempo altre conferme all'orientamento intrapreso dai giudici lussemburghesi, come nel recente caso francese in cui, la Corte, nelle cause riunite C-339/20 e C-397/20, aventi ad oggetto le domande di pronuncia pregiudiziale proposte alla Corte, ai sensi dell’articolo 267 TFUE, dalla Cour de cassation (Corte di cassazione, Francia), ha stabilito il divieto di una conservazione generalizzata ed indiscriminata delle comunicazioni elettroniche nella disponibilità dei gestori per finalità connesse all’accertamento e prevenzione dei reati.
Ne deriva, allo stato attuale, una impossibilità a carico degli investigatori di accesso ai dati senza il rispetto dei requisiti espressi dalla Corte, nonché l'impossibilità per il giudice chiamato a decidere di applicare il diritto interno non conforme. Il corollario logico giuridico dovrebbe essere rappresentato dall'inutilizzabilità, nell'ambito dell'eventuale processo, del materiale probatorio acquisito in contrasto ai parametri di legittimità fissati dalla giurisprudenza unitaria.
Per quanto il tema dei dati esterni sia percepito dal comune interlocutore come poco problematico, anche alla luce delle estreme criticità emerse in altri ambiti della tecnica investigativa molto più avvezzi all'onor delle cronache, quali l' uso improprio delle intercettazioni giudiziarie e preventive, è bene tenere a mente come, il più delle volte, l'enorme mole di dati posti nella disponibilità degli inquirenti con l'accesso a tutte le attività svolte nel contesto digitale da ciascun individuo, invece, possa rappresentare un grimaldello assai subdolo nel limitato e vulnerabile spazio di riservatezza della propria personalità, oramai ridotta alla manifestazione ideale di un microcosmo in perpetua violazione, consapevole e non.
Le posizioni assunte dalla Corte di Giustizia, prima fra tutte la H.K. del marzo 2022, hanno invaso, nonostante le dovute perplessità iniziali, il terreno fertile delle aule di giustizia, particolarmente suscettibili alle contestazioni di inadeguatezza ai parametri eurounitari nel rispetto delle libertà fondamentali. Il legislatore, dal canto suo, non ha fatto attendere le risposte utili ad una migliore gestione delle statuizioni in tema di accesso ai dati esterni del traffico telematico.
L'applicazione concreta sul campo dei nuovi principi da parte degli addetti ai lavori fungerà da cartina al tornasole per una verifica dei risultati auspicati dalle parti in gioco.
One LEGALE | Experta Privacy Tutta la normativa in tema di privacy, gli orientamenti di organi giudicanti e Autorità garante, tanti strumenti per garantire di essere in regola con tutti gli adempimenti: guide pratiche, commentari, riviste, action plan, check list, formule, news.
1. Il tema oggetto della sentenza avrà presumibilmente ripercussioni non solo sulla parte più specifica del capo IV, art. 266 ss. del c.p.p., relativa alle intercettazioni vere e proprie, bensì, anche sulla seconda parte del capo III art. 254 ss. c.p.p. relativo alle forme del sequestro di corrispondenza e dati informatici, anche presso gestori di servizi.
2. D.L. 30 dicembre 2019, n. 161, convertito, con modificazioni, dalla L. 28 febbraio 2020, n. 7.
3. L'art 266, comma 2-bis c.p.p. consente l' 'intercettazione di comunicazioni tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile è sempre consentita nei procedimenti per i delitti di cui all'articolo 51, commi 3-bis e 3-quater, e, previa indicazione delle ragioni che ne giustificano l'utilizzo anche nei luoghi indicati dall'articolo 614 del codice penale, per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell'articolo 4.
4. Art. 25 cost.; Art. 7 ed art. 8 della carta europea dei diritti fondamentali; art. 8 convenzione europea dei diritti fondamentali; art. 17 patto internazionale sui diritti civili e politici. l'articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
5. Cassazione penale, S.U., sentenza 2 gennaio 2020, n. 51 è intervenuta sul tema delle intercettazioni e della loro utilizzabilità solo nell'ambito del procedimento per il quale sono state autorizzate per la prova dei reati che siano connessi ex art. 12 c.p.p. e non anche per quelli che siano semplicemente collegati ex art. 371 c.p.p. a quelli che hanno legittimato l’ascolto. La corte è andata oltre aggiungendo al principio di diritto che ciò è permesso sempreché (i reati connessi) rientrino nei limiti di ammissibilità previsti dalla legge.
6. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, punti da 166 a 169; v. anche comunicato stampa n. 123/20
7. Art. 52 comma 1 ed art 53 della Carta.
8. L'art. 52 comma 5 della Carta stabilisce che «le disposizioni della presente Carta che contengono dei principi possono essere attuate da atti legislativi e esecutivi adottati da istituzioni, organi e organismi dell’Unione e da atti di Stati membri allorché essi danno attuazione al diritto dell’Unione, nell’esercizio delle loro rispettive competenze. Esse possono essere invocate dinanzi a un giudice solo ai fini dell’interpretazione e del controllo di legalità di detti atti».
9. Art. 47 comma secondo, prima parte, della Carta: «Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge».
10. Il principio di ragionevolezza è un pilastro nella costruzione normativa unitaria e costituzionale. Da esso ne discente l'intero impianto del giudizio di proporzionalità mediante contemperamento di interessi in gioco. Tecnica prioritariamente adottata dalle corti è il bilanciamento, da alcuna dottrina aspramente criticata in quanto tendente alla integrazione normativa poco rispettosa della separazione dei poteri tra giudice e legislatore. Alcune tipologie di elaborazioni teoriche sono state adottate nel tentativo di superare il dibattito ancora acceso. Prime fra tutte spicca il postulato della identità da cui ne discende il corollario della specificazione. Per ulteriori approfondimenti si veda A. Tesauro, Interpretazione convenzionale conforme e bilanciamento, in Diritto penale contemporaneo, rivista trimestrale, 04/2020.
11. Il dispositivo della sentenza recita quanto segue: «L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che l’accesso delle autorità pubbliche ai dati che mirano all’identificazione dei titolari di carte SIM attivate con un telefono cellulare rubato, come il cognome, il nome e, se del caso, l’indirizzo di tali titolari, comporta un’ingerenza nei diritti fondamentali di questi ultimi, sanciti dai suddetti articoli della Carta dei diritti fondamentali, che non presenta una gravità tale da dover limitare il suddetto accesso, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave».
12. secondo cui l’accesso ai dati da parte delle autorità nazionali competenti dev’essere soggetto ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente.
13. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 131 e la giurisprudenza ivi citata.
14. v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punti 140 nonché 146.
15. v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punti 157 e 158 nonché la giurisprudenza ivi citata.
16. v., in tal senso, sentenza del 2 ottobre 2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, punto 54).
17. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 130 nonché la giurisprudenza ivi citata.
18. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 223 nonché la giurisprudenza ivi citata.
19. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 222.
20. Art. 271 c.p.p. Sul divieto di utilizzazione:
1. I risultati delle intercettazioni non possono essere utilizzati qualora le stesse siano state eseguite fuori dei casi consentiti dalla legge o qualora non siano state osservate le disposizioni previste dagli articoli 267 e 268 commi 1 e 3.
1-bis. Non sono in ogni caso utilizzabili i dati acquisiti nel corso delle operazioni preliminari all'inserimento del captatore informatico sul dispositivo elettronico portatile e i dati acquisiti al di fuori dei limiti di tempo e di luogo indicati nel decreto autorizzativo.
2. Non possono essere utilizzate le intercettazioni relative a conversazioni o comunicazioni delle persone indicate nell'articolo 200 comma 1, quando hanno a oggetto fatti conosciuti per ragione del loro ministero, ufficio o professione, salvo che le stesse persone abbiano deposto sugli stessi fatti o li abbiano in altro modo divulgati.
21. Sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 225.
22. v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punti 226 e 227.
23. Sentenze del 6 ottobre 2020, Privacy International, C-623/17, EU:C:2020:790, punto 77, nonché del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, e C-512/18, e a., punto 176 e la giurisprudenza ivi citata.
24. v., in tal senso, sentenze del 21 dicembre 2016, Tele2, C-203/15 e C-698/15, EU:C:2016:970, punto 119, nonché del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 188.
L'art. 266 c.p.p. Italiano sui limiti di ammissibilità all'impiego delle intercettazioni prevede al comma 2 e 2 bis l'ipotesi dell'impiego del captatore informatico in situazioni poco compatibili con il principio istituito dalla corte. Nello specifico: l'intercettazione di comunicazioni tra presenti, che può essere eseguita anche mediante l'inserimento di un captatore informatico su un dispositivo elettronico portatile. Tuttavia, qualora queste avvengano nei luoghi indicati dall'articolo 614 del Codice penale, l'intercettazione è consentita solo se vi è fondato motivo di ritenere che ivi si stia svolgendo l'attività criminosa. 2-bis. L'intercettazione di comunicazioni tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile è sempre consentita nei procedimenti per i delitti di cui all'articolo 51, commi 3-bis e 3-quater, e, previa indicazione delle ragioni che ne giustificano l'utilizzo anche nei luoghi indicati dall'articolo 614 del codice penale, per i delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell'articolo 4.
25. Art. 267 comma 1 c.p.p. Italiano: Il pubblico ministero richiede al giudice per le indagini preliminari l'autorizzazione a disporre le operazioni previste dall'art. 266. L'autorizzazione è data con decreto motivato quando vi sono gravi indizi di reato e l'intercettazione è assolutamente indispensabile ai fini della prosecuzione delle indagini. Il decreto che autorizza l'intercettazione tra presenti mediante inserimento di captatore informatico su dispositivo elettronico portatile indica le ragioni che rendono necessaria tale modalità per lo svolgimento delle indagini; nonché, se si procede per delitti diversi da quelli di cui all'articolo 51, commi 3-bis e 3-quater, e dai delitti dei pubblici ufficiali o degli incaricati di pubblico servizio contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni, determinata a norma dell'articolo 4, i luoghi e il tempo, anche indirettamente determinati, in relazione ai quali è consentita l'attivazione del microfono.
26. v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 189 e la giurisprudenza ivi citata; Art. 267 comma 2 c.p.p. Italiano: Nei casi di urgenza, quando vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone l'intercettazione con decreto motivato, che va comunicato immediatamente e comunque non oltre le ventiquattro ore al giudice indicato nel comma 1. Il giudice, entro quarantotto ore dal provvedimento, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non viene convalidato nel termine stabilito, l'intercettazione non può essere proseguita e i risultati di essa non possono essere utilizzati.
27. Rilievo esercitato dall'avvocato generale al paragrafo 105 delle sue conclusioni.
28. v., in tal senso, sentenza del 9 marzo 2010, Commissione/Germania, C-518/07, EU:C:2010:125, punto 25, nonché parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punti 229 e 230.
29. Rilievo dell'avvocato generale al paragrafo 126 delle sue conclusioni.
30. Come rilevato dall’avvocato generale al paragrafo 128 delle sue conclusioni, un siffatto controllo successivo non consentirebbe di rispondere all’obiettivo di un controllo preventivo, consistente nell’impedire che venga autorizzato un accesso ai dati in questione eccedente i limiti dello stretto necessario.
31. Al riguardo si veda G.Scacci, Corte costituzionale e doppia pregiudizialità: la priorità del giudizio incidentale oltre la Carta dei diritti? , in Quaderni Costituzionali, rivista , 12 maggio 2020.
32. Rassegna bimestrale di novità in materia di diritto e processo penale e nuove tecnologie in sistema penale, rivista, 9 febbraio 2022. per ulteriori approfondimenti si veda Malacarne A., La decretazione d’urgenza del Governo in materia di tabulati telefonici: breve commento a prima lettura del d.l. 30 settembre 2021, n. 132, in Sistema Penale, rivista online, 8 ottobre 2021; Leo G., Le indagini sulle comunicazioni e sugli spostamenti delle persone: prime riflessioni riguardo alla recente giurisprudenza europea su geolocalizzazione e tabulati telefonici, in Sistema Penale, rivista online, 31 maggio 2021; Tondi V., La disciplina italiana in materia di data retention a seguito della sentenza della Corte di giustizia UE: il Tribunale di Milano nega il contrasto con il diritto sovranazionale, in Sistema Penale, rivista online, 7 maggio 2021; Malacarne A., Ancora sulle ricadute interne della sentenza della Corte di Giustizia in materia di acquisizione di tabulati telefonici: il G.i.p. di Roma dichiara il “non luogo a provvedere” sulla richiesta del p.m., in Sistema Penale, rivista online, 5 maggio 2021; Della Torre J., L'acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma, in Sistema Penale, rivista online, 29 aprile 2021; Neroni Rezende I.,Dati esterni alle comunicazioni e processo penale: questioni ancora aperte in tema di data retention, in Sistema Penale, rivista online, 2020, n. 5, p. 183 ss.; Luparia L., Data retention e processo penale. Un’occasione mancata per prendere i diritti davvero sul serio, in Dir. di Internet, 2019, n. 4, p. 762 ss. (M.P.).
33. Al riguardo, si veda Andolina, La raccolta dei dati relativi alla localizzazione del cellulare ed al traffico telefonico tra inerzia legislativa e supplenza giurisprudenziale, in www.archiviopenale.it, 17 dicembre 2020; Id., L’acquisizione nel processo penale dei dati “esteriori” delle comunicazioni telefoniche e telematiche, Padova, 2018, passim; Iovene, Data retention e giudice di merito penale. Una discutibile pronuncia, in Cass. pen., 2017, 2483.
34. Al comma 3 dell'art. 132 cod. priv. È previsto che «entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente, i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo».
35. Così Rafaraci, Verso una law of evidence dei dati, cit., 854.
36. Al riguardo, si veda Trib. Milano, 22 aprile 2021, in Sistemapenale Rivista, 7 maggio 2021, con nota di Tondi, La disciplina italiana in materia di data retention a seguito della sentenza della Corte di giustizia UE: il Tribunale di Milano nega il contrasto con il diritto sovranazionale; G.i.p. Roma, 25 aprile 2021, in Sistema Penale, rivista online, 29 aprile 2021, con commento di Della Torre, L’acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma; G.i.p. Roma, giudice Savio, in Sistema Penale, rivista Online, 5 maggio 2021, con scheda di presentazione di Malacarne, Ancora sulle ricadute interne della sentenza della Corte di Giustizia in materia di acquisizione di tabulati telefonici: il G.i.p. di Roma dichiara il “non luogo a provvedere” sulla richiesta del p.m.
Si vedano anche le ulteriori pronunce, fra le quali, G.i.p. Bari, 1° maggio 2021, in www.ilpenalista.it, con commento critico di Cusano, Tabulati telefonici: ulteriori ricadute della sentenza della CGUE del 2 marzo 2021 sul piano della utilizzabilità degli esiti di prova; G.i.p. Tivoli, 10 giugno 2021, in www.giurisprudenzapenale.com, 14 giugno 2021; Ass. Napoli, in www.giurisprudenzapenale.com, 17 giugno 2021.
37. Trib. Milano, 22 aprile 2021, cit.; G.i.p. Tivoli, 10 giugno 2021, cit.; G.i.p. Roma, giudice Savio, cit.; Ass. Napoli, cit.; G.i.p. Roma, 28 aprile 2021, cit.
38. «a) delitti non colposi per i quali è prevista la pena dell'ergastolo o della reclusione superiore nel massimo a cinque anni determinata a norma dell'articolo 4; b) delitti contro la pubblica amministrazione per i quali è prevista la pena della reclusione non inferiore nel massimo a cinque anni determinata a norma dell'articolo 4; c) delitti concernenti sostanze stupefacenti o psicotrope; d) delitti concernenti le armi e le sostanze esplosive; e) delitti di contrabbando; f) reati di ingiuria, minaccia, usura, abusiva attività finanziaria abuso di informazioni privilegiate, manipolazioni del mercato molestia o disturbo alle persone col mezzo del telefono. f-bis) delitti previsti dall'articolo 600-ter, terzo comma, del Codice penale, anche se relativi al materiale pornografico di cui all'articolo 600-quater.1 del medesimo codice, nonché dall'art. 609-undecies; f-ter) delitti previsti dagli articoli 444, 473, 474, 515, 516, 517-quater e 633, secondo comma, del Codice penale; f-quater) delitto previsto dall'articolo 612-bis del codice penale. f-quinquies) delitti commessi avvalendosi delle condizioni previste dall'articolo 416-bis del Codice penale ovvero al fine di agevolare l'attività delle associazioni previste dallo stesso articolo».
39. Trib. Rieti, 4 maggio 2021, in Giurisprudenza Penale, rivista online, del 13 maggio 2021.
40. Così Cfr. G.i.p. Roma, 25 aprile 2021, cit.; G.i.p. Roma, giudice Savio, cit.; G.i.p. Bari, 1° maggio 2021; G.i.p. Roma, 25 aprile 2021, cit..
41. «Nelle sentenze di legittimità in argomento, infatti, si era soliti leggere che la compatibilità della normativa nazionale con i canoni enucleati dalla giurisprudenza europea discendesse dalla circostanza per cui l’apprensione dei dati esteriori era rimessa ad un «provvedimento […] emesso da parte del pubblico ministero e cioè di un organo giurisdizionale» (cfr. Cass. pen., 10 dicembre 2019, n. 5741, cit., par. 2.2)». Così A. Malacarne, la decretazione d’urgenza del Governo in materia di tabulati telefonici: breve commento a prima lettura del d.l. 30 settembre 2021, n. 132, su sistemapenale, rivista online, 8 ottobre 2021.
42. Andolina, La raccolta dei dati relativi alla localizzazione del cellulare ed al traffico telefonico tra inerzia legislativa e supplenza giurisprudenziale, in www.archiviopenale.it, 17 dicembre 2020; Id., L’acquisizione nel processo penale dei dati “esteriori” delle comunicazioni telefoniche e telematiche, Padova, 2018, passim; Iovene, Data retention e giudice di merito penale. Una discutibile pronuncia, in Cass. pen., 2017, 2483; Luparia, Data retention e processo penale. Un’occasione mancata per prendere i diritti davvero sul serio, in Diritto di internet, 2019, 753 ss.; Marcolini, L’istituto della data retention dopo la sentenza della Corte di Giustizia del 2014, in Cybercrime a cura di Cadoppi – Canestrari – Manna, Torino, 2019, 1590; ID., Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 2015, 778.
43. Art. 1 comma 3 del decreto.
44. Come stabilito, infatti all'art. 266 c.p.p. In caso di intercettazioni è necessario che vi siano gravi indizi di reato e le attività di indagine mediante tale strumento siano indispensabili ai fini della prosecuzione delle indagini.
45. Andolina, L’acquisizione nel processo penale dei dati “esteriori” delle comunicazioni, cit., p. 103
46. Si veda Pestelli, D.L. 132/2021: un discutibile e inutile aggravio di procedura per tabulati telefonici e telematici, cit. ; Come sottolineato anche da Malacarne, «la questione richiama alla mente le numerose ordinanze di rimessione di alcuni giudici di merito che, all’indomani dell’entrata in vigore del d.l. 24 dicembre 2003, n. 354 (convertito in l. 26 febbraio 2004, n. 45), avevano criticato proprio quella previsione normativa che obbligava il pubblico ministero ad ottenere un preventivo provvedimento giudiziale di autorizzazione all’acquisizione dei dati esteriori. La Corte costituzionale, com’è noto, restituì gli atti ai giudici a quibus in ragione della sopravvenienza del d.l. 27 luglio 2005, n. 144 che modificò il previgente regime, attribuendo nuovamente un ruolo centrale in capo all’organo d’accusa nel corso dell’intera fase acquisitiva». Così in la decretazione d’urgenza del Governo in materia di tabulati telefonici: breve commento a prima lettura del d.l. 30 settembre 2021, n. 132, su Sistema Penale, rivista online, 8 ottobre 2021.
47. P. Giacomo, Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, del 18 Novembre 2021, su Quotidiano Giuridico, rivista online.
48. Così Cantone, Le modifiche processuali introdotte con il «decreto antiterrorismo» (d.l. n. 144/05 conv. in l. n. 155/05), in Cass. pen., 2005, p. 2512; Amato, Dati conservabili solo per due anni, in Guida dir., 2004, n. 10, p. 55 ss.
49. Così, infatti, Camon, L’acquisizione dei dati di traffico delle comunicazioni, in Riv. it. dir. proc. pen., 2005, p. 609. Conformemente, Pinna, Garanzie giurisdizionali nell’acquisizione dei tabulati telefonici, cit., p. 1408-1409.
50. Corte giust. UE, 2 marzo 2021, H.K., cit., par. 58.
51. Così G. Pastelli.
52. Pag. 34
53. «In tal senso deve leggersi anche l’art. 121, comma 1-bis, lett. h), D.Lgs. n. 196/2003 che, nel fornire la definizione di «dati relativi al traffico», ai fini dello stesso titolo in cui è inserito anche il successivo art. 132, fa riferimento unicamente a «qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica» e non anche, invece – come faceva, al contrario, l’art. 1, comma 1, lett. b), D.Lgs. n. 109/2008, di attuazione della Direttiva 2006/24/CE sugli obblighi di conservazione dei dati da parte dei fornitori dei servizi, dichiarata invalida dalla C.G.U.E. con la sentenza “Digital Rights Ireland” del 2014 – a «i dati necessari per identificare l’abbonato o l’utente», in cui veniva espressamente compreso anche l’indirizzo IP, quale dato che consente l’identificazione diretta dell’abbonato o utente che effettua la comunicazione [cfr. art. 1, comma 1, lett. g) D.Lgs. n. 109/2008]». Così P. Giacomo, Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, del 18 Novembre 2021, su Quotidiano Giuridico, rivista online.
54. Sempre così P. Giacomo, Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, del 18 Novembre 2021, su Quotidiano Giuridico, rivista online.
55. Cass. pen., Sez. II, 04/04/2019, n. 23172, rv. 276966 e Cass. pen., Sez. II, 13/02/2013, n. 21644, rv. 255542.
56. Cass. pen., Sez. I, 13/05/2008, n. 21366, rv. 240092.
Scopri tutti i corsi
e master in tema di
IP, IT e Data protection
e master in tema di
IP, IT e Data protection
Più Letti
- Ordini degli avvocati
- Avvocato specialista
- ISEE precompilato: come scorporare titoli di Stato, buoni fruttiferi e libretti postali
- Illegittima l’acquisizione dell’immobile per inottemperanza dell’ordine di demolizione in una sentenza penale
- ATECO 2025: nuovi codici anche per escort e prostituzione
- La riforma che nel silenzio fa rumore: il Decreto PA 2025
- Eredità: tutto quello che devi sapere sulle successioni ereditarie
- Fatture per operazioni inesistenti: i pagamenti tracciabili non bastano come prova contraria
- Ufficio per il processo: stabilizzazione per 3000 addetti dal 1° luglio 2026
- ABF, estesa la disciplina ai gestori dei crediti in sofferenza
