CORTE DI GIUSTIZIA E ACCESSO AI DATI DEGLI SMARTPHONE: NUOVI PROBLEMI DI (IN)COMPATIBILITÀ TRA DIRITTO INTERNO E DIRITTO DELL’UNIONE EUROPEA – DI STEFANO DE FRANCESCO
DE FRANCESCO – CORTE DI GIUSTIZIA E ACCESSO AI DATI DEGLI SMARTPHONE.PDF
CORTE DI GIUSTIZIA E ACCESSO AI DATI DEGLI SMARTPHONE: NUOVI PROBLEMI DI (IN)COMPATIBILITÀ TRA DIRITTO INTERNO E DIRITTO DELL’UNIONE EUROPEA
di Stefano De Francesco*
Un primo commento alla sentenza n° 171/2024 del 4 ottobre 2024 della Corte di Giustizia dell’Unione Europea, nella causa C-548/21[1]
SOMMARIO: 1. La vicenda – 2. Tre interessanti aspetti di carattere preliminare – 3. Le questioni pregiudiziali – 4. Possibili riflessi della sentenza nel diritto interno.
- La vicenda.
A seguito del rinvenimento e sequestro, da parte dei funzionari dell’Ufficio delle Dogane di Innsbruck, di 85 grammi di cannabis contenuti all’interno di un pacco indirizzato all’interessato, la Polizia procedeva alla perquisizione della sua abitazione e al suo interrogatorio. In tale sede, gli agenti di polizia chiedevano i codici di accesso (accéder aux données de connexion) del telefono cellulare e, a seguito del rifiuto, procedevano al sequestro: dapprima il Comando di Polizia del locale distretto e successivamente l’Ufficio Federale di polizia giudiziaria di Vienna provavano (senza esito) a sbloccare lo smartphone, al fine di leggere i dati in esso contenuti. Di siffatto tentativo di analisi o di estrazione di dati l’interessato non veniva in alcun modo informato: ne veniva a conoscenza solo a seguito della testimonianza dell’agente di polizia che aveva eseguito il sequestro e aveva successivamente avviato l’analisi forense. Il tentativo di analisi, peraltro, non risultava neppure documentato in alcun atto della polizia giudiziaria.
Il Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria) decideva di procedere ad un rinvio pregiudiziale ex art. 267 TFUE, ponendo alla Corte di Giustizia le questioni di seguito riportate.
- Tre interessanti aspetti di carattere preliminare.
Prima di procedere all’analisi dei quesiti pregiudiziali sottoposti al vaglio della Corte lussemburghese, appare opportuno soffermarsi brevemente su tre interessanti profili affrontati dalla sentenza in via preliminare.
Il primo di essi ha riguardato il corretto riferimento alla normativa dell’Unione Europea da applicare nella vicenda in esame: a fronte del richiamo, operato nel rinvio pregiudiziale del Tribunale nazionale, alla Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva relativa alla vita privata e alle comunicazioni elettroniche), i Giudici di Lussemburgo hanno ritenuto invece pertinente la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati: la Corte di Giustizia ha chiarito che l’accesso ai dati personali contenuti in un telefono cellulare rientra nella Direttiva 2002/58/CE solo laddove vi sia un intervento da parte di un fornitore di servizi di comunicazione elettronica, dovendosi altrimenti e come nel caso di specie (cfr. punto 58: «È pacifico che la controversia di cui al procedimento principale verte sul tentativo, da parte delle autorità di polizia, di accedere direttamente ai dati personali contenuti in un telefono cellulare, senza che sia stato richiesto l’intervento di un fornitore di servizi di comunicazione elettronica») fare riferimento alla Direttiva (UE) 2016/680.
Quanto precede ha comportato la necessità di rispondere alla conseguente obiezione che voleva l’esame della Corte di Giustizia precluso dall’errore di inquadramento giuridico del Tribunale nazionale: nei punti da 60 a 64, la sentenza evidenzia (anche con richiamo a precedenti) che nella procedura di cui all’articolo 267 TFUE, la Corte di Lussemburgo, al fine di fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia di cui è investito, può, se del caso, «riformulare le questioni che le sono sottoposte» e può «prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nel formulare le sue questioni», posto che «spetta alla Corte trarre dall’insieme degli elementi forniti dal giudice nazionale e, in particolare, dalla motivazione della decisione di rinvio, gli elementi del diritto dell’Unione che richiedano un’interpretazione, tenuto conto dell’oggetto della controversia». Ciò però, aggiunge il provvedimento in esame, fermo restando il diritto al contraddittorio tra le parti, cui non deve essere preclusa «la possibilità di presentare osservazioni»: merita registrare come, sul punto, il diritto al contraddittorio sia stato ritenuto rispettato in considerazione del fatto che, su espressa sollecitazione della Corte, il Giudice del rinvio aveva confermato che la direttiva 2016/680 era applicabile al procedimento principale, con la conseguenza che le parti avevano «potuto esprimersi, nelle loro osservazioni scritte, sull’interpretazione di tale direttiva e sulla sua pertinenza nel procedimento principale. Inoltre, in vista dell’udienza, il Tribunale ha invitato le parti della fase orale del procedimento a rispondere, nel corso di tale udienza, a taluni quesiti relativi a tale direttiva». È stata pertanto ritenuta possibile la «riformulazione delle questioni sollevate dal giudice del rinvio alla luce delle disposizioni pertinenti per la presente causa».
Sempre in via preliminare, infine, la Corte di Giustizia ha dovuto rispondere all’eccezione di inapplicabilità della Direttiva 2016/680 al procedimento principale (cfr. punti da 69 a 77): la circostanza che i tentativi di sblocco del telefonino e di accesso ai dati in esso contenuti erano falliti avrebbe precluso, nella prospettazione governativa, di ravvisare quel «trattamento di dati personali» (a fini di prevenzione, accertamento, indagine e perseguimento di reati) che definisce l’ambito di applicazione ratione materiae di tale direttiva (art. 2, paragrafo 1 della stessa). Secondo la Corte, invece, il «tentativo da parte delle autorità di polizia di accedere ai dati contenuti in un telefono cellulare ai fini di un’indagine penale… rientra… nell’ambito di applicazione della direttiva 2016/680» (punto 77), perché comporta già l’avvio di un «trattamento» ricompreso nel perimetro di protezione della normativa europea (punto 72): l’articolo 3, paragrafo 2, della direttiva 2016/680, invero, definisce la nozione di «trattamento» in maniera ampia e non esaustiva, così da ricomprendente «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come… l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione». Pertanto, «quando le autorità di polizia sequestrano un telefono e lo manipolano ai fini dell’estrazione e della consultazione dei dati personali in esso contenuti, esse avviano un trattamento» (punti 70 e 72). Siffatta interpretazione – chiosa la Corte – è peraltro l’unica che soddisfa l’obiettivo di «garantire un livello elevato di protezione dei dati personali delle persone fisiche», posto che, altrimenti, si esporrebbero le persone interessate dal tentativo di accesso al rischio che «una violazione dei principi stabiliti da tale direttiva non possa più essere evitata» (punti 74 e 75)[2].
- Le questioni pregiudiziali.
Il Giudice austriaco aveva «precisato che le disposizioni nazionali alle quali faceva riferimento nella decisione di rinvio consentivano di tentare di accedere ai dati contenuti in un telefono cellulare a fini di prevenzione, indagine, accertamento e perseguimento di reati, senza limitare tale possibilità alle sole finalità di lotta contro i reati gravi, senza subordinare tale tentativo di accesso al previo controllo di un giudice o di un organo amministrativo indipendente e senza prevedere che gli interessati siano informati di tale tentativo, al fine, in particolare, di potervi opporsi in sede giudiziaria» (punto 50 della sentenza).
A prescindere dall’erroneo riferimento alla Direttiva applicabile, pertanto, egli si rivolgeva ex art. 267 TFUE alla Corte di Giustizia per porre le seguenti questioni pregiudiziali:
1) Se… l’accesso delle autorità pubbliche ai dati conservati nei telefoni cellulari comporta un’ingerenza nei diritti fondamentali sanciti da detti articoli della Carta che presenta una gravità tale che il suddetto accesso deve essere limitato, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave.
2) Se… [la normativa UE] osta a una normativa nazionale… in forza della quale le autorità preposte alla sicurezza si procurano autonomamente, nel corso di un’indagine penale, un accesso completo e non controllato a tutti i dati digitali conservati in un telefono cellulare, senza l’autorizzazione di un giudice o di un’entità amministrativa indipendente.
3) Se… [la normativa UE] osta a una normativa di uno Stato membro… la quale consenta di analizzare digitalmente un telefono cellulare senza che l’interessato ne sia informato preventivamente o, almeno, successivamente all’esecuzione della misura.
Nell’esaminare congiuntamente la prima e la seconda questione, la Corte di Giustizia ha ritenuto, innanzitutto, di dover fare riferimento al principio di proporzionalità, imposto non solo, in via generale, dall’articolo 52, paragrafo 1 (in relazione agli artt. 7 e 8) della Carta dei Diritti Fondamentali, ma anche, nello specifico, dall’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, secondo il quale «gli Stati membri dispongono che i dati personali siano… adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati» (punti 79-80 della sentenza). Pertanto, possono essere apportate limitazioni al diritto alla protezione dei dati personali (art. 8 della Carta) e al diritto al rispetto della vita privata e familiare (art. 7 della Carta) solo laddove dette limitazioni siano necessarie e rispondano effettivamente a finalità di interesse generale e nella misura dello stretto necessario (punti 84-85).
Si tratta di valutazione da effettuarsi attraverso la ponderazione di tutti gli elementi pertinenti del caso di specie (punto 89): «Tra tali elementi figurano, in particolare, la gravità della restrizione così imposta all’esercizio dei diritti fondamentali di cui trattasi, che dipende dalla natura e dalla sensibilità dei dati ai quali le autorità di polizia competenti possono avere accesso, l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione, il nesso tra il proprietario del telefono cellulare e il reato di cui trattasi e la pertinenza dei dati di cui trattasi per stabilire i fatti» (punto 90).
Orbene, per quanto riguarda la «gravità della restrizione», la Corte di Lussemburgo riconosce che l’accesso ai dati contenuti nel telefonino comporta una «ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta… [che] deve… essere considerata grave, se non particolarmente grave», perché detti dati (relativi al traffico e all’ubicazione, ma anche fotografie, cronologia delle navigazioni su Internet, messaggi conservati) consentono di trarre conclusioni molto precise sulla vita privata della persona interessata, quali le sue abitudini quotidiane, i suoi luoghi di soggiorno permanenti o temporanei, i suoi spostamenti quotidiani o di altro tipo, le attività svolte, le relazioni sociali di tale persona e gli ambienti sociali da essa frequentati o rivelare financo l’origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche (punti da 91 a 95).
Di valore ponderale opposto, nel giudizio di proporzionalità, è ovviamente «l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione», requisito che conduce il percorso argomentativo della Corte alla prima delle questioni sottopostele («la gravità del reato oggetto dell’indagine costituisce uno dei parametri centrali nell’ambito dell’esame della proporzionalità dell’ingerenza»: punto 96). Ebbene, nonostante il riconoscimento della particolare gravità dell’ingerenza, la sentenza in esame non avalla i dubbi del tribunale austriaco sulla delimitazione dell’accesso a reati che abbiano il medesimo connotato della gravità perché ciò limiterebbe indebitamente i poteri di indagine delle autorità competenti, aumentando il rischio di impunità per i reati in generale e quindi un rischio per la creazione di uno spazio di libertà, sicurezza e giustizia nell’Unione (punto 97).
Si badi, però, che tali considerazioni non pregiudicano il requisito, derivante dall’articolo 52, paragrafo 1, della Carta, secondo cui qualsiasi limitazione all’esercizio di un diritto fondamentale deve essere «prevista dalla legge», requisito che implica la necessità, per il legislatore nazionale, di «definire in modo sufficientemente preciso… la natura o le categorie dei reati pertinenti» (punti 98-99).
Sia consentito prospettare il possibile cortocircuito logico sotteso al raffronto tra le due affermazioni: da un lato in ogni selezione di reati per i quali è consentito l’accesso non può che essere immanente un vulnus all’efficacia delle indagini – e un rischio di impunità – per quei reati che non rientrino nella natura o nelle categorie dei reati pertinenti (vulnus e rischio evidentemente ineludibili nel contemperamento di interessi sotteso al giudizio di proporzionalità tra lesione del diritto e interesse pubblico); dall’altro lato, una volta posta la necessità che il legislatore circoscriva il catalogo («la natura o le categorie») dei reati per i quali l’accesso ai dati è consentito, non è dato di comprendere sulla base di quale criterio detta delimitazione debba avvenire se non quello che tenga conto della gravità dell’illecito.
Criterio della gravità, peraltro, che è stato valorizzato più volte dalla stessa Corte di Giustizia in pregresse pronunce, esplicite nell’evidenziare che «conformemente al principio di proporzionalità, solo la lotta alle forme gravi di criminalità e la prevenzione di minacce gravi alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione. Pertanto, solo le ingerenze in tali diritti fondamentali che non presentano un carattere grave possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale (sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C-140/20, EU:C:2022:258, punto 59 e giurisprudenza ivi citata)»[3]; nella stessa fondamentale sentenza della Grande Sezione 2.3.2021, H.K., c. Prokuratuur, Causa C-746/18 (su cui si tornerà oltre) la Corte Giustizia ha evidenziato che la «l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche… letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione… senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo» (punto 45). Principio ribadito anche in pronunce successive[4].
Vi è di più.
Sempre in materia di acquisizione dei tabulati ai sensi del riformato art. 132, co. 3, D.L.vo n° 196/2003, la Corte di Giustizia ha chiarito che la stessa astratta previsione normativa dei reati pertinenti potrebbe non essere sufficiente alla salvaguardia in concreto del diritto: una volta stabilito che a una grave ingerenza deve fare da contraltare la gravità del reato perseguito, i Giudici di Lussemburgo hanno infatti aggiunto che – pur spettando la definizione di “reato grave” allo Stato membro in base alle proprie tradizioni giuridiche – non è possibile snaturare siffatta nozione «includendovi…reati che manifestamente non sono gravi, alla luce delle condizioni sociali esistenti nello Stato membro interessato», per cui, ad esempio, in assenza della individuazione, da parte del legislatore, del minimo edittale del reato (come è nel caso dell’art. 132, co. 3°, D.L.vo n° 196/2003) «non è escluso che un accesso a dati, costitutivo di una grave ingerenza nei diritti fondamentali, possa essere richiesto al fine di perseguire reati che non rientrano, in realtà, nella criminalità grave». Ecco perché «il giudice o l’entità amministrativa indipendente, che interviene nell’ambito di un controllo preventivo effettuato a seguito di una richiesta motivata di accesso, deve poter negare o limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali che un tale accesso costituirebbe è grave, mentre risulta evidente che il reato in questione non rientra effettivamente [in concreto] nella criminalità grave… Infatti, il giudice o l’entità incaricata del controllo deve essere in grado di garantire un giusto equilibrio tra, da un lato, gli interessi legittimi connessi alle esigenze dell’indagine nell’ambito della lotta alla criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso [sentenza odierna, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione), C-470/21, punto 125 nonché giurisprudenza ivi citata].In particolare, allorché esamina la proporzionalità dell’ingerenza nei diritti fondamentali della persona interessata causata dalla richiesta di accesso, tale giudice o tale entità deve essere in grado di escludere detto accesso qualora quest’ultimo sia richiesto nell’ambito di un’azione penale diretta a perseguire un reato manifestamente non grave, ai sensi del punto 50 della presente sentenza»[5].
Ad ogni modo, una volta imposto il rispetto del principio di proporzionalità, diviene conseguenziale per la Corte (in risposta al secondo quesito pregiudiziale) rimarcare la necessità di un controllo preventivo (o, in casi di urgenza debitamente giustificati, entro un breve termine) effettuato da un organo giurisdizionale o quantomeno da un organo amministrativo indipendente, che siano dotati di tutti i poteri necessari (compreso quello di negare o limitare l’accesso) per contemperare i contrapposti interessi della lotta contro la criminalità e della tutela dei diritti del singolo, evitando che l’autorizzazione all’accesso ai dati ecceda i limiti dello stretto necessario e risulti sproporzionata, quindi non giustificata (punti da 102 a 106). Si badi che, in materia di accesso ai dati, il carattere necessariamente preventivo (salvi, ovviamente, i casi di urgenza) del controllo giudiziario costituisce principio già altre volte rimarcato dalla Corte di Lussemburgo, posto che «un controllo successivo non consentirebbe di rispondere all’obiettivo del controllo preventivo, che consiste nell’impedire che venga autorizzato un accesso ai dati in questione eccedente i limiti dello stretto necessario [v., in tal senso, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 189, nonché del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche),C‑746/18, EU:C:2021:152, punto 58]»[6].
Questa la conclusione sulle prime due questioni pregiudiziali:
«L’articolo 4, paragrafo 1, lettera c), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016… letto alla luce degli articoli 7 e 8 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso non osta a una normativa nazionale che riconosca alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, indagine, accertamento e perseguimento di reati in generale, qualora tale normativa:
– definisca in modo sufficientemente preciso la natura o le categorie delle infrazioni di cui trattasi,
– garantisca il rispetto del principio di proporzionalità, e
– subordini l’esercizio di tale possibilità, salvo in casi di urgenza debitamente giustificati, al controllo preventivo di un giudice o di un organo amministrativo indipendente».
Veniamo, dunque, alla terza questione pregiudiziale.
Essa (in conseguenza della sopra evidenziata modifica della direttiva pertinente) viene così riparametrata dalla Corte lussemburghese (punto 114): «…con la sua terza questione, il giudice del rinvio chiede, in sostanza, se gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, debbano essere interpretati nel senso che ostano a una normativa nazionale che consente alle autorità penali competenti di tentare di accedere ai dati contenuti in un telefono cellulare senza informare l’interessato».
La questione viene quindi ricollegata al diritto a un ricorso effettivo: diritto che «esige, in linea di principio, che l’interessato sia in grado di conoscere i motivi sui quali si fonda la decisione adottata nei suoi confronti, al fine di poter difendere i propri diritti nelle migliori condizioni possibili e di decidere, con piena cognizione di causa, se sia utile adire il giudice competente, e al fine di mettere quest’ultima in grado di controllare pienamente la legittimità di tale decisione» (punto 118) ed il cui riconoscimento viene individuato dalla Corte non solo – e in primis – nell’articolo 47 della Carta, ma altresì negli artt. 13 («Informazioni da rendere disponibili o da fornire all’interessato», tra cui «il diritto di proporre reclamo a un’autorità di controllo e i dati di contatto di detta autorità») e 54 («Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento») della direttiva 2016/680 (punti 111 e 112).
Diritto a un ricorso effettivo, precisa la Corte, che pur non essendo una prerogativa assoluta, può subire limitazioni solo se «previste dalla legge» e se da un lato non incidano sul «contenuto essenziale dei diritti e delle libertà di cui trattasi», dall’altro lato rispettino il principio di proporzionalità di cui all’articolo 52, paragrafo 1, della Carta (considerando 104 della direttiva 2016/680) in particolare in relazione al contrapposto interesse di non ostacolare le indagini o compromettere la prevenzione, l’accertamento, l’indagine o il perseguimento di reati o l’esecuzione di sanzioni penali (punti da 113 a 119).
L’esito cui tali premesse conducono appare obbligato: al fine di poter esercitare il proprio diritto al ricorso – e salvo che ciò possa compromettere le indagini – le persone interessate devono essere informate dei motivi sui quali l’autorizzazione all’accesso ai dati del proprio telefonino è fondata (punto 120) e una normativa nazionale che escluda, in generale, qualsiasi diritto di ottenere tali informazioni non sarebbe conforme al diritto dell’Unione (punti 121 e 123).
Queste, dunque, le conclusioni della Corte di Giustizia in merito alla terza questione pregiudiziale:
«Gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, devono essere interpretati nel senso che:
essi ostano a una normativa nazionale che autorizza le autorità competenti a tentare di accedere ai dati contenuti in un telefono cellulare senza informare la persona interessata, nell’ambito delle procedure nazionali applicabili, dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente, a partire dal momento in cui la comunicazione di tali informazioni non sia più suscettibile di compromettere i doveri che incombono a tali autorità ai sensi della presente direttiva»
- Possibili riflessi della sentenza nel diritto interno.
La sentenza appare idonea a incidere in maniera pervasiva sul diritto interno italiano.
Come anticipato, l’ambito di disciplina da prendere in considerazione è quello dell’accesso ai dati personali contenuti in un telefono cellulare, senza che sia stato richiesto l’intervento di un fornitore di servizi di comunicazione elettronica (Direttiva 2016/680): si tratta, dunque, delle frequentissime ipotesi in cui lo smartphone viene sottoposto a sequestro probatorio, con successiva duplicazione dei dati in esso contenuti (la c.d. “copia forense”) e restituzione al proprietario.
Orbene, è noto che nell’ordinamento giuridico italiano:
- il sequestro probatorio può essere disposto per qualsivoglia reato (senza alcuna preventiva selezione di «natura» o «categorie» di «reati pertinenti» da parte del legislatore);
- l’accesso alla memoria dello smartphone e la sua clonazione, tramite estrazione della c.d. copia forense, vengono eseguiti dal Pubblico Ministero in assenza di ogni necessità di previa autorizzazione da parte di un organo giurisdizionale;
- detto accesso viene generalmente effettuato senza necessità che l’interessato ne venga preventivamente informato (spesso con le forme di cui all’art. 359 c.p.p., se non dalla stessa polizia giudiziaria[7]);
- esiste certamente un “ricorso effettivo” contro il sequestro probatorio (la richiesta di riesame), ma sia consentito quantomeno revocare in dubbio che tale impugnazione possa atteggiarsi a ricorso effettivo anche avverso il provvedimento di estrazione dei dati dal device, estrazione che, anzi, può essere il presupposto per la successiva valutazione di quale materiale sottoporre a sequestro (non si dimentichi che per la Corte di Lussemburgo è già lo stesso tentativo di accesso al telefonino – anche se infruttuoso – a integrare un “trattamento di dati personali” sottoposto al regime di tutela della direttiva).
Si tratta di profili che sono tutti fonte di frizione, se non di vero e proprio insanabile contrasto, con la normativa europea: non è chi non veda la portata dirompente della sentenza della Corte di Giustizia se essa importa che – per non entrare in conflitto con il diritto comunitario – l’accesso ai dati sensibili degli smartphone debba essere necessariamente autorizzato da un giudice, in relazione a reati previamente selezionati dal legislatore, informandone preventivamente l’interessato per porlo in condizioni di ricorrere contro la decisione che autorizzi quell’accesso ed estrazione dei dati.
Si consideri, del resto, che la Corte di Giustizia adotta una accezione molto ampia di ciò che, all’interno della memoria dello smartphone, deve essere considerato come “dato personale”, da porre conseguentemente sotto l’egida della Carta dei diritti fondamentali (cfr., in particolare, punto 92 della sentenza).
In primo luogo, ma non solo, viene considerato tale tutto ciò che riguardi il traffico e l’ubicazione («non seulement sur des données relatives au trafic et à la localisation»): si rammenti che, come detto, all’attenzione della Corte era l’acquisizione non già dei tabulati dal gestore esterno (acquisizione rientrante nel fuoco di tutela di altra direttiva), ma dei dati contenuti all’interno del telefono cellulare («données contenues dans un téléphone portable»: punto 91), con la conseguenza che, in relazione alla memoria dello smartphone, i dati relativi al traffico possono essere costituiti dalle chiamate effettuate e ricevute (che l’accesso alla memoria consente, evidentemente, di consultare). Non è chi non veda la portata innovativa della sentenza rispetto allo stato dell’arte della giurisprudenza domestica, che vede nella individuazione dei numeri chiamati o chiamanti un telefono sotto sequestro una operazione liberamente eseguibile dalla stessa polizia giudiziaria, non necessitante di autorizzazione alcuna (non del pubblico ministero e ancor meno del giudice), né di particolari formalità[8].
Altro “dato personale” che la pronuncia di Lussemburgo considera meritevole di tutela è la cronologia di navigazione in Internet («l’historique de navigation sur Internet effectuée avec ce téléphone»): si tratta di accertamento dal diffuso impiego investigativo[9] e che, peraltro, attinge l’utilizzo non solo dello smartphone ma anche del computer (se il principio è che si tratti di dato personale ricollegato alla vita privata della persona, non si vede perché la tutela europea non dovrebbe essere estensibile). Ancora una volta, la giurisprudenza italiana non ha mai posto in dubbio la possibilità di accedere liberamente alla memoria dello smartphone o del computer in sequestro (anche) per trarre da essa i dati della cronologia di navigazioni in internet: acquisizione che pare pertanto destinata ad una generale riconsiderazione a seguito delle indicazioni della Corte di Giustizia.
Non privo di interesse, poi, è il richiamo (sempre al punto 92 della sentenza in esame) alle fotografie contenute nella memoria del telefonino («accès… sur des photographies»): non è revocabile in dubbio che si tratti di una acquisizione prettamente documentale e spiazza non poco il giurista (e, si confessa, la stessa mentalità garantista dell’avvocato) italiano ipotizzare che siffatto accesso debba passare dalla previa autorizzazione di un giudice. Non è chi non veda, però, il pungolo e lo stimolo di cui la giurisprudenza europea è spesso foriera, per la sua capacità di interrogare le Corti domestiche con prospettive inusuali e spesso antesignane di sviluppi futuri: impossibile mettere in dubbio la premessa del ragionamento lussemburghese, secondo cui anche (e, in alcuni casi, forse soprattutto) l’accesso alle fotografie «può consentire di trarre conclusioni molto precise sulla vita privata dell’interessato, come le sue abitudini quotidiane, i luoghi di residenza permanente o temporanea, gli spostamenti quotidiani o di altro tipo, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati dall’interessato» (punto 93 della sentenza); così come, può rivelare «dati particolarmente sensibili», come l’«origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche» del soggetto in esse ritratto (punto 94)[10].
Evidente, poi, la portata pervasiva, rispetto alla tutela della vita privata, insita nell’accesso a quei dati, contenuti nel telefono cellulare, che sono costituiti da «anche solo una parte del contenuto delle comunicazioni effettuate con il suddetto telefono, in particolare consultando i messaggi in esso memorizzati» («voire sur une partie du contenu des communications opérées avec ledit téléphone, notamment en consultant les messages qui y sont conservés»).
Si apre, al riguardo, uno dei capitoli più gravido di implicazioni, perché quanto mai paradigmatico di un dialogo che coinvolge entrambe le Corti europee (sia Lussemburgo, sia Strasburgo) e tutte quelle italiane (non solo la Cassazione, ma financo la Corte Costituzionale).
Dialogo dagli sviluppi ancora incerti.
È noto, invero, che l’indirizzo prevalente della nostra giurisprudenza di legittimità propendeva, fino a tempi recenti, per la natura meramente documentale dei messaggi, come tali acquisibili senza l’adozione di particolari formalità[11].
Solo da ultimo la situazione è significativamente modificata, grazie all’intervento del Giudice delle Leggi: con la importantissima sentenza n° 170/2023 del 22.6.2023 -dep. 27.7.2023, la Corte Costituzionale ha riconosciuto la natura di “corrispondenza” posseduta dalle e-mail e dai messaggi whatsapp, estendendo, così, in maniera significativa l’egida dell’art. 15 Cost. (e, in quel caso, dell’art. 68 co. 3° Cost. rispetto all’acquisizione di corrispondenza di un senatore)[12].
Corte Costituzionale che, a sua volta, ha recepito sollecitazioni provenienti anche dai Consessi europei, in particolare dalla Corte E.D.U.[13].
L’inversione di tendenza ha quindi iniziato a produrre i suoi frutti anche in seno alla giurisprudenza di legittimità, che ha registrato le prime prese di posizione in favore della natura di “corrispondenza” dei messaggi custoditi nella memoria di dispositivi elettronici[14].
Ma, sia pur nell’evidente e radicale cambio di passo, la soluzione di continuità esistente tra la giurisprudenza europea e quella domestica appare ancora ben lungi dall’essere colmata e la pronuncia della Corte di Giustizia, in questa sede in analisi, ne è sintomatica riprova.
In primo luogo, pare ancora foriero di futuri sviluppi (meritevole di approfondimento, se non di ripensamento) il profilo della qualificazione giuridica dell’acquisizione di messaggistica dallo smartphone: il riferimento alla “corrispondenza” operato dalla Corte Costituzionale è certamente, come detto, un notevole passo in avanti sul piano delle garanzie, ma sia consentito dubitare che il richiamo alla disciplina delle intercettazioni sia da considerare del tutto sopito e superato; pur nella assoluta autorevolezza della indicazione di segno contrario[15] (di cui, allo stato, non può non prendersi atto), invero, stimoli e sollecitazioni continuano a pervenire dal contesto europeo, ove è dato, ad esempio, di leggere che «l’infiltrazione in apparecchiature terminali volta ad estrarre dati di comunicazione [chat], ma anche dati relativi al traffico o all’ubicazione [tabulati], a partire da un servizio di comunicazione basato su Internet costituisce un’«intercettazione di telecomunicazioni» ai sensi dell’articolo 31 della direttiva 2014/41 [in tema di Ordine di Indagine Europeo]»[16]. Del resto, in disparte l’etichetta utilizzata ed anche a voler condividere che nel significato letterale della parola “intercettazione” siano insite le due caratteristiche enucleate dalle Sezioni Unite e poi riprese dalla successiva giurisprudenza di legittimità e dalla stessa Corte Costituzionale (l’apprensione della comunicazione sia quando essa è ancora in corso, sia in modo occulto), se si guarda – come l’Europa ci ha insegnato a fare – alla sostanza della tutela dei diritti, è arduo cogliere effettive differenze (e potrebbe essere conseguentemente incongruo riconoscere differenti livelli di tutela) tra la captazione di un messaggio sms o whatsapp nel momento in cui viene spedito (prima caratteristica) e la sua apprensione dalla memoria dello smartphone, magari immediatamente dopo la sua ricezione; così come se la focalizzazione dell’attenzione della giurisprudenza italiana sul carattere occulto della apprensione (seconda caratteristica) pare ricollegarsi alla maggiore intrusività di una captazione che avvenga all’insaputa del soggetto interessato – portato conseguentemente a esprimersi con maggiore libertà, esponendo senza o con poche remore i propri dati personali – non è chi non veda come siffatta caratteristica sia insita anche nel messaggio contenuto nello smartphone, anche se appreso dall’autorità giudiziaria in un momento successivo al suo invio.
Ma, a prescindere da quanto precede, il punto di maggiore frizione – se non di rottura – tra la giurisprudenza europea e quella domestica appare senza dubbio rappresentato dalla individuazione dell’Autorità pubblica legittimata a comprimere il diritto del singolo disponendo l’accesso alla memoria del suo smartphone.
E a rendere il corto circuito ancor più dirompente è la massima autorevolezza della Corte italiana (il Giudice delle Leggi) che ha di recente affermato principi che la Corte di Giustizia ha dopo pochi mesi reputato incompatibili con il quadro delle tutele apprestato dalla Carta dei diritti fondamentali!
Non conciliabili, invero, appaiono gli approdi di Corte Costituzionale n° 170/2023 e di Corte di Giustizia in causa C-171/2024: il richiamo, operato dalla prima, all’art. 15 Cost. comporta, applicando il principio alla materia dei sequestri, che l’autorizzazione all’acquisizione della messaggistica debba (o, a seconda della prospettiva, possa) provenire dal pubblico ministero, ricompreso nel perimetro semantico del sintagma “autorità giudiziaria”[17]; per la seconda, invece, la possibilità di accedere ai dati contenuti in un telefono cellulare è subordinata «al controllo preventivo di un giudice o di un organo amministrativo indipendente». Ed è noto che la Corte lussemburghese ha con vigore escluso che al pubblico ministero possa essere riconosciuto lo statuto di organo terzo e indipendente attraverso un percorso esegetico[18] giunto a maturazione nella fondamentale Sentenza Grande Sezione Corte Giustizia 2.3.2021, proc. pen. contro H.K., c. Prokuratuur (Causa C-746/18)[19], i cui principi costituiscono approdo da cui appare difficile che la giurisprudenza possa in futuro prendere il largo: «…il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare… impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica… che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale. Ciò non si verifica nel caso di un pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale. Infatti, il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l’azione penale. La circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco» (punti da 54 a 57 della sentenza).
È noto che, a seguito della appena richiamata sentenza della Grande Camera del 2021, il legislatore italiano è intervenuto sulla formulazione dell’art. 132 del c.d. Codice della privacy (D.L.vo 30.6.2003, n° 196) con il Decreto Legge 30 settembre 2021, n° 132, convertito, con modificazioni, dalla Legge 23 novembre 2021 n° 178[20].
Ci si può interrogare su quale debba essere l’esito, per il diritto interno, del più recente intervento della Corte di Giustizia, in questa sede in commento, essendo difficilmente contestabile che da esso – tanto più ove letto congiuntamente con la precedente pronuncia del 2.3.2021 – consegua la necessità di sottoporre l’acquisizione della memoria dello smartphone al preventivo controllo autorizzativo del giudice. Questo rende, d’un sol colpo, vetusta e superata anche la giurisprudenza iniziatasi a formare dopo la sentenza n° 170/2023 della Corte Costituzionale e che ai principi di quest’ultima si era informata [21].
Si è, pertanto, in attesa degli sviluppi, per verificare quali anticorpi verranno azionati per risolvere il contrasto: muovendo dall’obbligo di interpretazione conforme quale meccanismo naturale e privilegiato di adattamento del diritto interno al diritto dell’Unione[22], non può escludersi che detti sviluppi possano essere anche soltanto giurisprudenziali. Invero, se si considera che il “giudice” rientra certamente – con un rapporto di specie a genere – nell’alveo della “autorità giudiziaria” di cui all’art. 15 Cost. (e di cui all’art. 254 c.p.p.), potrebbe sostenersi che l’interpretazione della Corte di Giustizia non risulti incompatibile con il dettato normativo domestico. O, meglio, potrebbe sostenersi l’esistenza di una interpretazione (restrittiva) del diritto interno che sia compatibile con il diritto dell’Unione Europea, perché capace di cesellare, all’interno della più ampia nozione di “autorità giudiziaria” cui fa riferimento il dettato costituzionale (e codicistico), solo il giudice (escludendo il pubblico ministero) quale soggetto legittimato a disporre l’acquisizione del contenuto degli smartphone[23].
Per il vero, una conclusione di tal fatta lascerebbe comunque aperte le altre questioni poste dalla Corte di Lussemburgo, posto che la normativa domestica da un lato non definirebbe «in modo sufficientemente preciso la natura o le categorie delle infrazioni» che legittimano l’accesso alla memoria dello smartphone, dall’altro lato consentirebbe di «accedere ai dati contenuti in un telefono cellulare senza informare la persona interessata… dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente», al fine di garantire il diritto a un ricorso effettivo[24]: su tali profili una interpretazione del diritto interno che sia unitariamente conforme pare difficilmente prospettabile.
Un ultimo profilo, in chiusura, risulta degno di menzione, perché fortemente impattante sulla situazione esistente: ove la strada da seguire fosse quella della interpretazione conforme al diritto unitario, rischierebbe di ingenerarsi un nient’affatto trascurabile sommovimento tellurico in relazione a tutti i provvedimenti di sequestro o estrapolazione del contenuto di smartphone fino ad oggi posti in essere in procedimenti ancora pendenti.
Dopo la riscrittura dell’art. 132 co. 3° D.L.vo 30 giugno 2003, n° 196 ad opera del Decreto Legge 30 settembre 2021, n° 132 (come sopra detto, al fine di adeguare la disciplina nazionale ai principi enunciati dalla Grande Sezione della Corte di giustizia nella sentenza del 2 marzo 2021, causa C-746/18) si evidenziò la mancanza di una disciplina transitoria in relazione ai dati di traffico telefonico e telematico già acquisiti nel corso di procedimenti pendenti alla data di entrata in vigore del decreto-legge, con conseguenti incertezze interpretative[25]: a ciò pose riparo la legge di conversione n° 178 del 2021, con l’inserimento del comma 1-bis all’interno dell’art. 1 del D.L. n. 132 del 2021[26] che, «in deroga al principio del tempus regit actum, ha “convalidato” la pregressa modalità acquisitiva dei tabulati del traffico telefonico, effettuata attraverso il decreto motivato del pubblico ministero, prevedendo che gli stessi possano essere utilizzati come prova a carico dell’imputato solo se rientrano nella categoria già delineata “per il futuro” dal D.L. n. 132 del 2021 ed “unitamente ad altri elementi di prova”. Con questa disposizione il legislatore ha, dunque, sancito una regola di inutilizzabilità del mero dato esterno della comunicazione acquisito con decreto motivato dal pubblico ministero sulla base della disciplina previgente, introducendo una deroga al libero convincimento del giudice e, in particolare, delineando una regola legale di valutazione della prova mutuata dall’art. 192, comma 3, cod. proc. pen., in tema di chiamata di correo»[27].
Orbene, non è chi non veda come, nel caso oggi in esame, una riconciliazione tra i diritti europeo e italiano che venisse realizzata in via ermeneutica avrebbe, sulle situazioni pregresse, esiti radicali almeno pari a quelli di una riforma normativa priva di disposizioni transitorie, andando a cristallizzare l’erroneità della interpretazione pregressa. Con evidenti conseguenze in punto di invalidità degli atti già compiuti.
*Avvocato, componente dell’Osservatorio Europa dell’Unione Camere Penali Italiane
[1] Disposizioni di diritto dell’Unione Europea rilevanti: Carta dei Diritti Fondamentali dell’Unione Europea: Articolo 7 (Rispetto della vita privata e della vita familiare), Articolo 8 (Protezione dei dati di carattere personale), Articolo 47 (Diritto a un ricorso effettivo), Articolo 52 (Portata dei diritti garantiti); Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati
[2] Il passaggio in esame potrebbe non essere scevro di conseguenze concrete per il diritto interno: ci si chiede, invero, se l’affermazione che la tutela del diritto unitario si estende, in via anticipata, allo stesso tentativo di apprensione dei dati contenuti nello smartphone risulti compatibile con il carattere meramente strumentale che – secondo la Cassazione – l’apprensione della memoria avrebbe rispetto alla successiva selezione dei dati rilevanti. In tale ottica, per la giurisprudenza domestica «l’estrazione di copia integrale dei dati… contenuti» in telefonini o computer realizzerebbe «solo una copia-mezzo, che consente la restituzione del dispositivo» a seguito della successiva selezione delle informazioni «pertinenti al reato per cui si procede» e sarebbe pertanto legittima – sia pur «a condizione che il sequestro non assuma una valenza meramente esplorativa e che il pubblico ministero adotti una motivazione che espliciti le ragioni per cui è necessario disporre un sequestro esteso e onnicomprensivo, in ragione del tipo di reato per cui si procede, della condotta e del ruolo attribuiti alla persona titolare dei beni, e della difficoltà di individuare “ex ante” l’oggetto del sequestro» (Cass. Sez. 6, Sentenza n. 34265 del 22/09/2020 -dep. 02/12/2020, Rv. 279949-01 e Rv. 279949-02; nello stesso senso, anche Cass. Sez. 6, Sentenza n. 53168 del 11/11/2016 -dep. 15/12/2016, Rv. 268489-01: «In tema di acquisizione della prova, l’Autorità giudiziaria, al fine di esaminare un’ampia massa di dati i cui contenuti sono potenzialmente rilevanti per le indagini, può disporre un sequestro dai contenuti molto estesi, provvedendo, tuttavia, nel rispetto del principio di proporzionalità ed adeguatezza, alla immediata restituzione delle cose sottoposte a vincolo non appena sia decorso il tempo ragionevolmente necessario per gli accertamenti»; nonché Cass. Sez. 2, Sentenza n. 17604 del 23/03/2023 -dep. 27/04/2023, Rv. 284393-01).
[3] Corte di Giustizia, Prima Sezione, Sentenza 7 settembre 2023, A.G. c. Lituania, causa C-162/22, punto 37.
[4] Cfr., da ultimo, Corte Giustizia -Grande Sezione, Sentenza 30.4.2024, Causa C-178/22; punto 43: l’accesso ai dati in possesso dei fornitori di servizi di comunicazione elettronica «può, in linea di principio, essere concesso, in relazione all’obiettivo di lotta contro la criminalità, soltanto per i dati di persone sospettate di essere implicate in un reato grave».
[5] Corte di Giustizia-Grande Sezione, Sentenza 30.4.2024, Causa C-178/22; punti da 50 a 62. Queste le conclusioni della Corte sulla questione pregiudiziale prospettatale nel caso concreto: «…l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio [c.d. “direttiva e-privacy”]… non osta a una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un’autorità nazionale competente nell’ambito di un’indagine penale – di autorizzare tale accesso qualora quest’ultimo sia richiesto ai fini dell’accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l’accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato».
[6] Corte di Giustizia-Grande Sezione, Sentenza 5.4.2022, Causa C-140/20; punto 110. Negli stessi termini anche Corte di Giustizia-Grande Sezione, Sentenza 30.4.2024, Causa C-140/20; punto 43: «Al fine di garantire concretamente il pieno rispetto di tali condizioni, le quali assicurino che l’ingerenza sia limitata allo stretto necessario, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato, salvo in caso di urgenza debitamente giustificata, ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente [v., in tal senso, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C-746/18, EU:C:2021:152, punti da 48 a 51]».
[7] Cfr, p.e., Cass. Sez. 1, Sentenza n. 38909 del 10/06/2021 -dep. 28/10/2021, Rv. 282072-01 («L’estrazione di dati archiviati in un supporto informatico, quale è la memoria di un telefono cellulare, non costituisce accertamento tecnico irripetibile, e ciò neppure dopo l’entrata in vigore della legge 18 marzo 2008, n. 48, che ha introdotto unicamente l’obbligo di adottare modalità acquisitive idonee a garantire la conformità dei dati informatici acquisiti a quelli originali, con la conseguenza che né la mancata adozione di tali modalità, né, a monte, la mancata interlocuzione delle parti al riguardo comportano l’inutilizzabilità dei risultati probatori acquisiti, ferma la necessità di valutare, in concreto, la sussistenza di eventuali alterazioni dei dati originali e la corrispondenza ad essi di quelli estratti»).
[8] Cfr., p.e., Cass. Sez. 1, Sentenza n. 24219 del 13/03/2013 – dep. 04/06/2013, Rv. 255973-01 («La rilevazione del numero di una utenza contattata, conservato nella memoria di un apparecchio di telefonia mobile, è una operazione non assimilabile all’acquisizione dei dati di traffico conservati presso il gestore dei servizi telefonici e non necessita, quindi, del decreto di autorizzazione dell’autorità giudiziaria, potendo conseguire ad una mera attività di ispezione del telefono da parte della polizia giudiziaria»); nonché Cass. Sez. 6, Sentenza n. 20247 del 27/03/2018 – dep. 08/05/2018, Rv. 273273-01 («L’acquisizione da parte della polizia giudiziaria del numero di utenza telefonica mobile attraverso l’esame, all’insaputa dell’indagato, dell’apparecchio cellulare a lui in uso rientra tra gli atti urgenti e “innominati” demandati agli organi di polizia giudiziaria, ai sensi degli artt. 55 e 348 cod. proc. pen., e, come tale, non è soggetta ad una preventiva autorizzazione dell’Autorità giudiziaria e neppure alla necessaria documentazione prevista dall’art. 357 cod. proc. pen., che non fa riferimento alle attività ed operazioni di cui all’art. 348 cod. proc. pen.»; in motivazione la Corte ha aggiunto che detta attività non è qualificabile come perquisizione, non essendo finalizzata alla ricerca del corpo del reato o di cose pertinenti al reato, né come ispezione di cose, atteso che l’utenza non è qualificabile come traccia o altro effetto materiale del reato, né è assimilabile alla acquisizione dei dati del traffico telefonico). Interessante appare anche Cass. Sez. 3, Sentenza n. 31745 del 21/10/2020 -dep. 12/11/2020, Rv. 280022-01, per la quale «in tema di attività di polizia giudiziaria, è legittimo, una volta ottenuto con il sequestro la disponibilità di un telefono cellulare costituente mezzo per la commissione del reato, che l’operatore di polizia giudiziaria risponda alle telefonate che pervengono all’apparecchio ed utilizzi le notizie così raccolte per l’assunzione di sommarie informazioni dagli interlocutori, ai sensi dell’art. 351 cod. proc. pen., non venendo in rilievo in tale ipotesi né le disposizioni sulle intercettazioni telefoniche né la tutela costituzionale della segretezza delle comunicazioni di cui all’art. 15 Cost., trattandosi di attività rientrante nelle funzioni proprie della polizia giudiziaria, volta ad assicurare le fonti di prova e raccogliere ogni elemento utile per la ricostruzione del fatto e l’individuazione del colpevole».
[9] Si pensi alle indagini in tema di pedopornografia; ma anche alla ricerca del dolo e della sua intensità per reati che apparentemente nulla hanno a che vedere con internet (paradigmatico è il caso di recenti e noti episodi omicidiari, nei quali a supporto del dolo e della premeditazione è stata addotta la navigazione internet su siti che, ad esempio, spiegavano come avvelenare o uccidere “a mani nude” le persone); o l’accesso alla cronologia anche solo per dimostrare cosa l’utente stesse facendo in un determinato momento.
[10] Interessante è, a tal riguardo, ricordare che per la giurisprudenza di Lussemburgo la tutela dei dati particolarmente sensibili si estende anche ai «dati che svelano indirettamente, al termine di un’operazione intellettuale di deduzione o di raffronto, informazioni di tale natura» (sentenza della Corte di Giustizia -Grande Sezione, 5.6.2023 -Causa C-204/21 Commissione / Polonia, punto 344 (espressamente richiamata al punto 94 della pronuncia in commento); nonché Sentenza della Corte (Grande Sezione) del 1.8.2022, Vyriausioji tarnybinės etikos komisija, C-184/20, punto 123.
[11] Cfr. Cass. Sez. 6, Sentenza n. 1822 del 12/11/2019 -dep. 17/01/2020, Rv. 278124-01 («In tema di mezzi di prova, i messaggi “whatsapp” e gli sms conservati nella memoria di un telefono cellulare hanno natura di documenti ai sensi dell’art. 234 cod. proc. pen., sicché è legittima la loro acquisizione mediante mera riproduzione fotografica, non trovando applicazione né la disciplina delle intercettazioni, né quella relativa all’acquisizione di corrispondenza di cui all’art.254 cod.proc.pen.»; in motivazione, la Corte ha precisato che nel caso di acquisizione di un messaggio conservato nella memoria del cellulare non si è in presenza della captazione di un flusso di comunicazioni in corso, bensì della mera documentazione “ex post” di detti flussi). In senso conforme, Cass. Sez. 6, Sentenza n. 22417 del 16/03/2022-dep. 08/06/2022, Rv. 283319-01; nonché Cass. Sez. 5, Sentenza n. 1822 del 21/11/2017 – dep. 16/01/2018, Rv. 272319-01).
[12] Nella parte motiva della sentenza si legge: «Posto che quello di “corrispondenza” è concetto ampiamente comprensivo, atto ad abbracciare ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza, questa Corte ha ripetutamente affermato che la tutela accordata dall’art. 15 Cost. – che assicura a tutti i consociati la libertà e la segretezza “della corrispondenza e di ogni altra forma di comunicazione”, consentendone la limitazione “soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge” – prescinde dalle caratteristiche del mezzo tecnico utilizzato ai fini della trasmissione del pensiero, “aprendo così il testo costituzionale alla possibile emersione di nuovi mezzi e forme della comunicazione riservata” (sentenza n. 2 del 2023). La garanzia si estende, quindi, ad ogni strumento che l’evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici, ignoti al momento del varo della Carta costituzionale (sentenza n. 20 del 2017; già in precedenza, con riguardo agli apparecchi ricetrasmittenti di debole potenza, sentenza n. 1030 del 1988; sulla libertà del titolare del diritto di scegliere liberamente il mezzo con cui corrispondere, sentenza n. 81 del 1993). Posta elettronica e messaggi inviati tramite l’applicazione WhatsApp (appartenente ai sistemi di cosiddetta messaggistica istantanea) rientrano, dunque, a pieno titolo nella sfera di protezione dell’art. 15 Cost., apparendo del tutto assimilabili a lettere o biglietti chiusi. La riservatezza della comunicazione, che nella tradizionale corrispondenza epistolare è garantita dall’inserimento del plico cartaceo o del biglietto in una busta chiusa, è qui assicurata dal fatto che la posta elettronica viene inviata a una specifica casella di posta, accessibile solo al destinatario tramite procedure che prevedono l’utilizzo di codici personali; mentre il messaggio WhatsApp, spedito tramite tecniche che assicurano la riservatezza, è accessibile solo al soggetto che abbia la disponibilità del dispositivo elettronico di destinazione, normalmente protetto anch’esso da codici di accesso o altri meccanismi di identificazione».
Tra i commenti alla sentenza si richiamano F.R. Dinacci, I modi acquisitivi della messaggistica chat o e-mail: verso letture rispettose dei principi, in Archivio Penale, 2024, n° 1; G. Guzzetta, La nozione di comunicazione e altre importanti precisazioni della Corte costituzionale sull’art. 15 della Costituzione nella sentenza n. 170 del 2023, in Federalismi. Rivista di diritto pubblico italiano, comparato ed europeo, consultabile all’indirizzo internet www.federalismi.it.; A. Chelo, Davvero legittimo il sequestro di messaggi e-mail e WhatsApp già letti?, in Giurisprudenza Costituzionale, 2023, fasc.4, p. 1746.
[13] Si legge nel corpo della motivazione della sentenza n° 170/2023: «La nozione di “corrispondenza” – utilizzata anche nell’art. 68, terzo comma, Cost. senza ulteriore specificazione – appare, tuttavia, sufficientemente ampia da ricomprendere le forme di scambio di pensiero a distanza che qui vengono in rilievo, costituenti altrettante “versioni contemporanee” della corrispondenza epistolare e telegrafica… Soccorre, peraltro, nella direzione considerata anche la giurisprudenza della Corte europea dei diritti dell’uomo, la quale non ha avuto incertezze nel ricondurre sotto il cono di protezione dell’art. 8 CEDU – ove pure si fa riferimento alla “corrispondenza” tout court – i messaggi di posta elettronica (Corte EDU, grande camera, sentenza 5 settembre 2017, Barbulescu contro Romania, paragrafo 72; Corte EDU, sezione quarta, sentenza 3 aprile 2007, Copland contro Regno Unito, paragrafo 41), gli SMS (Corte EDU, sezioni quinta, sentenza 17 dicembre 2020, Saber contro Norvegia, paragrafo 48) e la messaggistica istantanea inviata e ricevuta tramite internet (Corte EDU, Grande Camera, sentenza Barbulescu, paragrafo 74)». E, ancora: «La Corte europea dei diritti dell’uomo non ha avuto, d’altro canto, esitazioni nel ricondurre nell’alveo della «corrispondenza» tutelata dall’art. 8 CEDU anche i messaggi informatico-telematici nella loro dimensione “statica”, ossia già avvenuti (con riguardo alla posta elettronica, Corte EDU, sentenza Copland, paragrafo 44; con riguardo alla messaggistica istantanea, Corte EDU, sentenza Barbulescu, paragrafo 74; con riguardo a dati memorizzati in floppy disk, Corte EDU, sezione quinta, sentenza 22 maggio 2008, Iliya Stefanov contro Bulgaria, paragrafo 42). Indirizzo, questo, recentemente ribadito anche in relazione a una fattispecie del tutto analoga a quella oggi in esame, ossia al sequestro dei dati di uno smartphone, che comprendevano anche SMS e messaggi di posta elettronica (Corte EDU, sentenza Saber, paragrafo 48)».
Particolarmente interessanti, nella lettura delle pronunce innanzi richiamate, risultano il paragrafo 44 della sentenza Copland («Accordingly, the Court considers that the collection and storage of personal information relating to the applicant’s telephone, as well as to her e-mail and Internet usage, without her knowledge, amounted to an interference with her right to respect for her private life and correspondence within the meaning of Article 8») e il paragrafo 48 della sentenza Saber («The Court observes at the outset that it is undisputed between the parties that the search of the applicant’s smartphone and/or the mirror image copy of it, entailed an interference with his right to respect for his correspondence under the first paragraph of Article 8 of the Convention, and considers that this cannot be called into question (see for example, mutatis mutandis, Laurent v. France, no. 28798/13, § 36, 24 May 2018)»).
[14] Cfr., Cass. Sez. 2, Sentenza n. 25549 del 15/05/2024 – dep. 28/06/2024, Rv. 286467-01: «In tema di mezzi di prova, i messaggi di posta elettronica, i messaggi “whatsapp” e gli sms custoditi nella memoria di un dispositivo elettronico conservano natura giuridica di corrispondenza anche dopo la ricezione da parte del destinatario… salvo che, per il decorso del tempo o altra causa, essi non perdano ogni carattere di attualità, in rapporto all’interesse alla riservatezza, trasformandosi in un mero documento “storico”».
[15] Già per le Sez. U, Sentenza n. 36747 del 28/05/2003 -dep. 24/09/2003, Rv. 225465-01 «le intercettazioni regolate dagli artt. 266 e segg. cod. proc. pen. consistono nella captazione occulta e contestuale di una comunicazione o conversazione tra due o più soggetti che agiscano con l’intenzione di escludere altri e con modalità oggettivamente idonee allo scopo, attuata da soggetto estraneo alla stessa mediante strumenti tecnici di percezione tali da vanificare le cautele ordinariamente poste a protezione del suo carattere riservato». Si tratta di indirizzo rimasto sostanzialmente stabile nel tempo, così da poter essere citato dalla Corte Costituzionale nella sentenza 170/2023 («…le sezioni unite penali della Corte di cassazione hanno chiarito che per «intercettazione» – fattispecie che il codice di procedura penale non definisce – deve intendersi (in conformità, peraltro, alla comune accezione del vocabolo) l’“apprensione occulta, in tempo reale, del contenuto di una conversazione o di una comunicazione in corso tra due o più persone da parte di altri soggetti, estranei al colloquio” (Corte di cassazione, sezioni unite penali, sentenza 28 maggio-24 settembre 2003, n. 36747). Affinché si abbia intercettazione debbono quindi ricorrere, per quanto qui più interessa, due condizioni. La prima è di ordine temporale: la comunicazione deve essere in corso nel momento della sua captazione da parte dell’extraneus; questa deve cogliere, cioè, la comunicazione nel suo momento “dinamico”, con conseguente estraneità al concetto dell’acquisizione del supporto fisico che reca memoria di una comunicazione già avvenuta (dunque, nel suo momento “statico”). La seconda condizione attiene alle modalità di esecuzione: l’apprensione del messaggio comunicativo da parte del terzo deve avvenire in modo occulto, ossia all’insaputa dei soggetti tra i quali la comunicazione intercorre») e dalla più recente giurisprudenza di legittimità (cfr., p.e., Cass. Sez. 2, Sentenza n. 25549 del 15/05/2024 -dep. 28/06/2024, Rv. 286467-01, in motivazione).
[16] Così al punto 114 della famosa Sentenza Encrochat – Grande Sezione Corte Giustizia 30.4.2024 (Causa C-670/22); siffatta interpretazione viene fondata sulla formulazione della norma (punto 111: «il termine “telecomunicazioni” rinvia, nel suo significato comune, all’insieme dei procedimenti di trasmissione di informazioni a distanza»), oltre che su dati sistematici (punto 112: «…sotto la rubrica “Oggetto dell’intercettazione”, il punto B, III, di tale allegato [l’allegato C] menziona sia un numero di telefono sia un indirizzo di protocollo Internet («numero IP») o ancora un indirizzo di posta elettronica») e sugli obiettivi della direttiva stessa (punto 113: «…relativamente all’obiettivo dell’articolo 31 della direttiva 2014/41, dal considerando 30 di quest’ultima risulta che le possibilità di cooperare sulla base di tale direttiva in materia di intercettazione delle telecomunicazioni non dovrebbero essere limitate al contenuto delle telecomunicazioni, ma dovrebbero anche riguardare la raccolta di dati relativi al traffico e all’ubicazione associate a tali telecomunicazioni»).
[17] L’«interrogativo… se l’acquisizione, da parte della Procura della Repubblica di Firenze, dei materiali di cui si discute sia effettivamente riconducibile al paradigma del “sequestro di corrispondenza”» è stato affrontato dalla Consulta al fine di risolvere il «conflitto di attribuzione tra poteri dello Stato sorto a seguito dell’acquisizione di plurime comunicazioni del senatore Matteo Renzi, disposta dalla Procura della Repubblica… in assenza di una previa autorizzazione da parte del Senato della Repubblica». Non era, quindi, in discussione la astratta possibilità per il pubblico ministero di disporre o meno l’acquisizione della messaggistica, ma la possibilità di procedere a detta acquisizione nei confronti di un membro del Parlamento, in assenza dell’autorizzazione della Camera di appartenenza prescritta dall’art. 68 co. 3° Cost.. È pertanto in tale ottica che la Corte Costituzionale (riconosciuto che si fosse «al cospetto di sequestri di corrispondenza rientranti nell’ambito della guarentigia di cui all’art. 68, terzo comma, Cost.») ha dichiarato che «non spettava alla Procura della Repubblica… acquisire agli atti del procedimento penale…, sulla base di decreti di perquisizione e sequestro…, corrispondenza riguardante il senatore Matteo Renzi, costituita da messaggi di testo scambiati tramite l’applicazione WhatsApp …, nonché da posta elettronica». Laddove non venga in gioco la guarentigia riconosciuta dalla Costituzione ai membri del Parlamento, invece, il richiamo alla disciplina della “corrispondenza” comporta, evidentemente, la possibilità dell’acquisizione da parte della «autorità giudiziaria» (art. 15 Cost. e art. 254 c.p.p.), pacificamente (fino ad oggi) interpretata come ricomprendente anche il pubblico ministero.
[18] Già Corte giust. UE, Grande sezione, 08 aprile 2014, Digital Rights Ireland LTD e Kartner Landesregierung,,Michel Seitlinger, Christof Tschall e altri, cause riunite C-293/12 e C-594/12, aveva dichiarato l’invalidità della direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006 (riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione), tra l’altro, perché la stessa «non prevede alcun criterio oggettivo che permetta di limitare il numero di persone che dispongono dell’autorizzazione di accesso e di uso ulteriore dei dati conservati a quanto strettamente necessario alla luce dell’obiettivo perseguito. Soprattutto, l’accesso ai dati conservati da parte delle autorità nazionali competenti non è subordinato ad un previo controllo effettuato da un giudice o da un’entità amministrativa indipendente la cui decisione sia diretta a limitare l’accesso ai dati e il loro uso a quanto strettamente necessario per raggiungere l’obiettivo perseguito».
[19] Come noto, la pronuncia ha ritenuto che «l’articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale». Si badi che, anche se il rinvio pregiudiziale proveniva da un giudice estone, la situazione, in punto di diritto interno, appare speculare a quella italiana, posto che anche in quel diritto nazionale «il pubblico ministero estone è tenuto, conformemente al diritto nazionale, ad agire in modo indipendente, è soggetto soltanto alla legge e deve esaminare gli elementi a carico e quelli a discarico nel corso del procedimento istruttorio»; inoltre è la «stessa autorità [chiamata] a rappresentare la pubblica accusa nel processo, ed essa dunque sarebbe altresì parte nel procedimento» (punto 47 della sentenza).
Tra i numerosi commenti della dottrina si richiamano P. Di Stefano, La corte di giustizia interviene sull’accesso ai dati di traffico telefonico e telematico e ai dati di ubicazione a fini di prova nel processo penale: solo un obbligo per il legislatore o una nuova regola processuale?, in Cass. Pen., 2021, fasc.7-8, pag. 2563; A. Malacarne, Corte di Giustizia e data retention: ultimo atto?, in Cass. Pen., 2021, fasc.12, , pag. 4105; E. Andolina, Acquisizione dei dati esterni, in P. Maggio (a cura di), La nuova disciplina delle intercettazioni, Giappichelli Editore, 2023, in part. pp. 411 ss..
[20] Per effetto del decreto-legge l’acquisizione dei tabulati telefonici e informatici è stata subordinata a un previo controllo giurisdizionale sulla richiesta del pubblico ministero (o a una convalida successiva, in caso di acquisizione operate in via di urgenza dal pubblico ministero) e il potere di acquisire i tabulari è stato conferito all’autorità giudiziaria solo per reati tassativamente indicati e ritenuti gravi dal legislatore. La tesi del non pieno adeguamento del diritto interno a quello europeo, nonostante l’intervento normativo, è sostenuta da E. Andolina, Acquisizione dei dati esterni, cit., pp. 416-417.
[21] Cfr., p.e. Cass. Sez. 2, Sentenza n. 25549 del 15/05/2024 .dep. 28/06/2024, Rv. 286467-01: «In tema di mezzi di prova, i messaggi di posta elettronica, i messaggi “whatsapp” e gli sms custoditi nella memoria di un dispositivo elettronico conservano natura giuridica di corrispondenza anche dopo la ricezione da parte del destinatario, sicché la loro acquisizione deve avvenire secondo le forme previste dall’art. 254 cod. proc. pen. per il sequestro della corrispondenza, salvo che, per il decorso del tempo o altra causa, essi non perdano ogni carattere di attualità, in rapporto all’interesse alla riservatezza, trasformandosi in un mero documento “storico”» (fattispecie in cui la Corte ha ritenuto che non si fosse determinata alcuna violazione del disposto dell’art. 254 cod. proc. pen. sul rilievo che la polizia giudiziaria si era limitata a sequestrare il telefono cellullare, mentre l’accesso al contenuto della corrispondenza era avvenuto successivamente ad opera del pubblico ministero con il proprio consulente).
[22] Come noto, l’obbligo di interpretazione conforme non trova un espresso riconoscimento nel testo convenzionale. Ciononostante, «l’esigenza di un’interpretazione conforme del diritto nazionale è inerente al sistema del Trattato, in quanto permette al giudice nazionale di assicurare, nel contesto delle sue competenze, la piena efficacia delle norme comunitarie quando risolve la controversia ad esso sottoposta (v., in questo senso, sentenza 15 maggio 2003, causa C‑160/01, Mau, Racc. pag. I‑4791, punto 34)» (Grande Sezione della Corte di Giustizia, Sentenza 5 ottobre 2004, cause riunite da C-397/01 a C-403/01, Bernhard Pfeiffer e altri; punto 114); «Nell’applicare il diritto interno, il giudice nazionale chiamato ad interpretare quest’ultimo è quindi tenuto a farlo, quanto più possibile, alla luce della lettera e dello scopo di detta decisione quadro al fine di conseguire il risultato da essa perseguito. Tale obbligo di interpretazione conforme del diritto nazionale è insito nel sistema del Trattato FUE, in quanto permette ai giudici nazionali di assicurare, nell’ambito delle rispettive competenze, la piena efficacia del diritto dell’Unione quando risolvono le controversie ad essi sottoposte (sentenza dell’8 novembre 2016, Ognyanov, C-554/14, EU:C:2016:835, punto 59 e giurisprudenza citata)» (Sentenza della Corte – Prima Sezione del 08 dicembre 2022, C-492/22 PPU, CJ; punto 63). Pertanto, «nell’applicare il diritto interno, i giudici nazionali devono interpretarlo per quanto possibile alla luce del testo e dello scopo della direttiva in questione, onde conseguire il risultato perseguito da quest’ultima e conformarsi pertanto all’articolo 288, terzo comma, TFUE (sentenza del 4 luglio 2006, Adeneler e a., C 212/04, EU:C:2006:443, punto 108 e giurisprudenza ivi citata)» (Sentenza della Corte – Seconda Sezione del 19 marzo 2020, cause riunite C-103/18 e C-429/18, Domingo Sánchez Ruiz e a.; punto 121). Per la dottrina, cfr., tra gli altri, G. Tesauro, Manuale di diritto dell’Unione europea, P. De Pasquale, F. Ferraro (a cura di), Napoli, 2021, Vol. I, III ed., pp. 317 ss.; R. Dinacci, Interpretazione “europeisticamente” orientata: tra fonti normative e resistenze giurisprudenziali, in Cass. Pen., 2016, fasc.7-8, p. 3055. Nello specifico settore penalistico, per il divieto di interpretazione conforme per «legittimare l’integrazione della norma penale interna quando una simile operazione si traduca in una interpretazione in “malam partem”», cfr. Sez. U, Sentenza n. 38691 del 25/06/2009 – dep. 06/10/2009, Rv. 244191-01).
[23] La Carta dei Diritti Fondamentali dell’Unione Europea non può ledere o limitare, ma può accrescere il livello di protezione dei diritti e delle libertà fondamentali (art. 53 CDFUE).
[24] La recentissima Cass. Sez. 2, Sentenza n. 25549 del 15/05/2024 -dep. 28/06/2024, Rv. 286467-01 (pur prestando ossequio alla sentenza della Corte Cost. n° 170/2023, richiedendo l’intervento dell’Autorità giudiziaria) continua a mantenere nella segretezza delle indagini l’estrazione del contenuto dello smartphone, cui il pubblico ministero può provvedere tramite polizia giudiziaria o proprio consulente tecnico, ma con le forme di cui all’art. 359 c.p.p.: nel caso di specie, la Cassazione ha ritenuto che non si fosse determinata alcuna violazione del disposto dell’art. 254 cod. proc. pen. sul rilievo che la polizia giudiziaria si era limitata a sequestrare il telefono cellullare, mentre l’accesso al contenuto della corrispondenza era avvenuto successivamente ad opera del pubblico ministero con il proprio consulente.
[25] Con sentenza precedente alla legge di conversione del decreto (anche se con motivazione depositata successivamente), la Cassazione precisò che «in tema di acquisizione dei dati esterni del traffico telefonico e telematico, la disciplina introdotta dall’art. 1 del d.l. 30 settembre 2021, n. 132, conv. in l. 23 novembre 2021, n. 178 – che ne limita la possibilità di acquisizione, ai fini di indagine penale, ai reati più gravi, o comunque commessi col mezzo del telefono, attraverso il filtro del provvedimento motivato del giudice – non è applicabile ai dati già acquisiti nei procedimenti pendenti alla data di entrata in vigore del decreto, trattandosi di disciplina di natura processuale» (Cass. Sez. 5, Sentenza n. 1054 del 06/10/2021 -dep. 13/01/2022, Rv. 282532-01).
[26] Secondo il quale «possono essere utilizzati a carico dell’imputato solo unitamente ad altri elementi di prova ed esclusivamente per l’accertamento dei reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’art. 4 c.p.p. e dei reati di minaccia e di molestia o disturbo alle persone con il mezzo del telefono, quando la minaccia, la molestia o il disturbo sono gravi».
[27] Così, Cass. Sez. 6, Sentenza n. 40 del 22/09/2022 -dep. 03/01/2023, Rv. 284104-01, in motivazione.