Diritto di Difesa – La rivista dell'Unione delle Camere Penali - Sito Ufficiale

Enter your keyword

LA DISCIPLINA ITALIANA DEI TABULATI TELEFONICI E TELEMATICI CONTRASTA CON IL DIRITTO U.E. – DI LEONARDO FILIPPI

LA DISCIPLINA ITALIANA DEI TABULATI TELEFONICI E TELEMATICI CONTRASTA CON IL DIRITTO U.E. – DI LEONARDO FILIPPI

FILIPPI – LA DISCIPLINA ITALIANA DEI TABULATI TELEFONICI E TELEMATICI CONTRASTA CON IL DIRITTO UE.PDF

LA DISCIPLINA ITALIANA DEI TABULATI TELEFONICI E TELEMATICI CONTRASTA CON IL DIRITTO U.E.

THE ITALIAN LEGISLATION ON TRAFFIC AND ELECTRONIC DATA ENCROACHES UPON E.U. LAW

di Leonardo Filippi*

Sommario: 1. La sentenza; 2. Le direttive U.E. in materia di conservazione e accesso ai dati; 3. Il principio di proporzionalità e il divieto di una conservazione “generalizzata e indifferenziata” dei dati relativi al traffico e all’ubicazione; 4. Solo “regole chiare e precise” possono imporre l’acquisizione dei dati “strettamente necessari” a fini di indagine; 5. La regola è che possono essere acquisiti soltanto i dati di persone sospettate di reato; l’eccezione è l’acquisizione dei dati di altre persone; 6. La mancanza di legittimazione all’acquisizione da parte del P.M.; 7. La regola è l’autorizzazione preventiva del giudice; l’eccezione è la convalida del decreto del P.M.; 8. I principi dell’“autonomia procedurale” nazionale, di “equivalenza”, di “effettività” e l’inutilizzabilità dell’acquisizione illegittima; 9. La disciplina italiana sui tabulati; 10. L’assenza di una disciplina italiana sulla localizzazione satellitare tramite GPS; 10. Considerazioni conclusive.

  1. La sentenza.

La Grande Camera della Corte di giustizia U.E. con sentenza 2.3.2021 ha affermato il contrasto rispetto al diritto dell’Unione europea della disciplina legislativa estone, che, come quella italiana, consente una conservazione generalizzata e indifferenziata dei dati relativi al traffico telefonico/informatico e dei dati relativi all’ubicazione, riservando al pubblico ministero il potere di acquisizione. La pronuncia è emblematica per la tutela della riservatezza, della protezione dei dati di carattere personale, della libertà di espressione e d’informazione, nonché del principio di proporzionalità delle limitazioni a tali diritti e libertà.

Infatti, la Grande Camera della Corte giust. U.E. ha precisato che l’art. 15, § 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12.7.2002, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni (Direttiva sulla vita privata e le comunicazioni elettroniche), letta alla luce degli artt. 7 (tutela della riservatezza), 8 (protezione dei dati di carattere personale) e 11 (libertà di espressione e d’informazione) nonché dell’art. 52, § 1 (principio di proporzionalità delle limitazioni ai diritti e alle libertà), della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico telefonico/informatico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.

La Grande Camera ha aggiunto che lo stesso art. 15, § 1, deve essere interpretato nel senso che esso osta ad una normativa nazionale che renda il pubblico ministero competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale, dato che il compito del pubblico ministero è quello di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento[1].

La sentenza della Grande Camera del 2 marzo scorso ribadisce, peraltro, principi già perentoriamente affermati in passato in diverse sue pronunce[2].

  1. Le direttive U.E. in materia di conservazione e accesso ai dati.

Due sono le direttive in materia di conservazione e accesso ai dati.

La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva relativa alla vita privata e alle comunicazioni elettroniche) ha ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull’ubicazione. La direttiva 2002/58/CE all’art. 15, § 1, consente agli Stati membri di derogare a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l’adozione legislativa di misure restrittive, purché la restrizione costituisca “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica.

La direttiva è stata oggetto di due sentenze della Grande Camera della Corte giust. U.E.[3].

Invece, la direttiva 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, si è posta l’obiettivo di armonizzare le disposizioni degli Stati membri in punto, non di divieto, ma di obbligo a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, o di una rete di comunicazione, di raccogliere e conservare, per un periodo di tempo determinato, dati ivi generati o trattati, allo scopo di cui all’art. 1, § 1, “di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”.

Anche la direttiva 2006/24/CE è stata oggetto di una pronuncia della Grande Camera della Corte giust. U.E.[4].

 

  1. Il principio di proporzionalità e il divieto di una conservazione “generalizzata e indifferenziata” dei dati relativi al traffico e all’ubicazione.

Con la sentenza del 2 marzo scorso la Corte giust. U.E. afferma, anzitutto, il principio per cui l’obiettivo della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati è ammesso, conformemente al principio di proporzionalità, soltanto per la lotta contro “le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica”, le quali solamente sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e all’ubicazione. Infatti, come già rilevato in passato, l’accesso a un insieme di dati relativi al traffico o all’ubicazione “può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati”. Pertanto, è vietata una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione e “soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l’accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o all’ubicazione, i quali sono suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali utilizzate da quest’ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate”.

La Corte aggiunge che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l’accesso a tali dati, non possono avere come effetto quello di giustificare l’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale. Essa osserva che, indubbiamente, maggiore è la durata del periodo per il quale viene richiesto l’accesso o le categorie di dati richiesti, più grande è, in linea di principio, la quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall’utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente. Pertanto, il principio di proporzionalità, che consente le deroghe alla protezione dei dati personali e le limitazioni di quest’ultima, impone che tanto la categoria o le categorie di dati interessati, quanto la durata per la quale è richiesto l’accesso a questi ultimi, siano, in funzione delle circostanze del caso di specie, limitate a “quanto è strettamente necessario” ai fini dell’indagine in questione.

La Corte chiarisce che l’autorizzazione all’accesso concessa dal giudice o dall’autorità indipendente competente deve intervenire necessariamente prima che i dati e le informazioni che ne derivano possano essere consultati. Pertanto, “la valutazione della gravità dell’ingerenza costituita dall’accesso si effettua necessariamente in funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile”.

  1. Solo “regole chiare e precise” possono imporre l’acquisizione dei dati “strettamente necessari” a fini di indagine.

Come già affermato in passato, la Corte riconosce che è vero che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l’accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere “regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi”. Tale normativa deve inoltre essere “legalmente vincolante nell’ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l’ingerenza sia limitata allo stretto necessario”[5].

In particolare, una normativa nazionale che disciplini l’accesso delle autorità competenti a dati conservati e relativi al traffico e all’ubicazione, adottata ai sensi dell’art. 15, § 1, della Direttiva 2002/58, non può limitarsi a esigere che l’accesso delle autorità ai dati risponda alla finalità perseguita da tale normativa, ma deve altresì prevedere “le condizioni sostanziali e procedurali che disciplinano tale utilizzo”[6].

Pertanto, poiché un accesso generalizzato a tutti i dati conservati, indipendentemente da un qualche collegamento, almeno indiretto, con la finalità perseguita, non può considerarsi “limitato allo stretto necessario”, ogni normativa nazionale “deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati in questione”.

 

  1. La regola è che possono essere acquisiti soltanto i dati di persone sospettate di reato; l’eccezione è l’acquisizione dei dati di altre persone.

La Corte precisa, inoltre, che “un accesso siffatto può, in linea di principio, essere consentito, in relazione con l’obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un’altra in un illecito del genere”.

Soltanto eccezionalmente, “in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l’accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo”[7].

  1. La mancanza di legittimazione all’acquisizione da parte del P.M.

Un altro cardinale principio, già affermato in passato dalla Corte[8], ed ora ribadito, nega al pubblico ministero la competenza, ai fini di un’indagine penale, ad autorizzare l’accesso di un’autorità pubblica sia ai dati di traffico, sia ai dati sulla posizione.

Invero, la grande Camera precisa che il controllo preventivo richiede, tra l’altro, che il giudice o l’entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire un contemperamento dei diversi valori e diritti in gioco. Per quanto riguarda, più in particolare, un’indagine penale, “tale controllo preventivo richiede che detto giudice o detta entità sia in grado di garantire un giusto equilibrio, da un lato, tra gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso”; qualora tale controllo venga effettuato non da un giudice bensì da un’entità amministrativa indipendente, quest’ultima deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna.

La Corte ribadisce perciò che il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare impone che tale autorità abbia la “qualità di terzo rispetto a quella che chiede l’accesso ai dati”, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, “il requisito di indipendenza implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale”. Tali caratteri non sono riscontrabili nel pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale, giacché “il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l’azione penale”.

Né la circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento “non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco”, nel senso che non dispone di tutte le attribuzioni e non presenta tutte le garanzie necessarie per garantire una armonizzazione dei diversi valori e diritti contrapposti. Pertanto, la Corte conclude categoricamente che il pubblico ministero non è in grado di effettuare tale controllo preventivo sulla richiesta delle autorità nazionali competenti di accesso ai dati conservati.

Secondo la Corte, il pieno rispetto delle condizioni per l’accesso delle autorità nazionali competenti ai dati conservati può essere assicurato soltanto se sia subordinato ad “un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente”.

Essa inoltre esclude autorizzazioni d’ufficio ed esige che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette, presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate.

Ma in Italia, l’indirizzo giurisprudenziale consolidato ritiene rispettosa del diritto U.E. la disciplina nazionale che legittima il pubblico ministero, anziché il giudice, all’acquisizione dei dati.

Si argomenta, al riguardo, che le sentenze europee, nelle versioni in francese e in inglese, fanno riferimento al necessario intervento di un’autorità giudiziaria, non prescrivendo esclusivamente l’intervento del giudice. Nella traduzione italiana delle sentenze in esame, invece, si richiede “un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente”. Pertanto, si ritiene che il termine “giudice” non vada inteso in senso stretto, ma possa essere esteso sino al concetto di “autorità giudiziaria”, che pacificamente ricomprende anche la figura del pubblico ministero, con una interpretazione che valorizza il principio di indipendenza istituzionale, che nel sistema italiano, a differenza di quanto accade in altri ordinamenti europei, caratterizza tutta la magistratura, anche quella requirente, e risulta avallata dall’accostamento del “giudice” alla “autorità amministrativa indipendente”[9].

  1. La regola è l’autorizzazione preventiva del giudice; l’eccezione è la convalida del decreto del P.M.

La Corte ritiene che il controllo indipendente debba essere, di regola, preventivo, cioè debba intervenire prima di qualsiasi accesso. Solo in via di eccezione, individuata in “situazioni di urgenza debitamente giustificate”, il controllo può essere successivo all’accesso, ma “deve avvenire entro termini brevi”[10], tenendo presente che un controllo successivo è sempre inadeguato perché non consente di impedire un accesso ai dati in questione eccedente i limiti dello “stretto necessario”.

Per tutte tali considerazioni la Corte conclude dichiarando che l’art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, § 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.

  1. I principi dell’“autonomia procedurale” nazionale, di “equivalenza”, di “effettività” e l’inutilizzabilità dell’acquisizione illegittima.

La giurisprudenza della Corte di giustizia U.E. è granitica nel riconoscere il “principio dell’autonomia procedurale”, per cui, in assenza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro, stabilire le regole di procedura applicabili ai ricorsi giurisdizionali destinati a garantire la tutela dei diritti riconosciuti ai singoli dal diritto dell’Unione. Tuttavia, la stessa giurisprudenza, afferma che tale principio di autonomia procedurale dello Stato opera soltanto alla duplice condizione che le regole processuali nazionali in tema di utilizzabilità della prova illegittima non siano meno favorevoli di quelle disciplinanti nel diritto interno situazioni analoghe (principio di equivalenza) e che le regole nazionali non rendano impossibile in pratica o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività)[11].

La Corte sottolinea che la necessità di escludere informazioni ed elementi di prova ottenuti in violazione delle prescrizioni del diritto dell’Unione deve essere valutata alla luce, in particolare, del rischio che l’ammissibilità di informazioni ed elementi di prova siffatti comporta per il rispetto del principio del contraddittorio e, pertanto, del diritto ad un “processo equo”.

La Corte ribadisce pertanto anche un vero e proprio “divieto di utilizzazione” della acquisizione illegittima, perché afferma che “un organo giurisdizionale, il quale consideri che una parte non è in grado di svolgere efficacemente le proprie osservazioni in merito a un mezzo di prova rientrante in una materia estranea alla conoscenza dei giudici e idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova al fine di evitare una violazione siffatta”. In altre parole, il principio di effettività impone al giudice penale nazionale, a causa della mancanza di contraddittorio, di escludere informazioni ed elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione incompatibile con il diritto dell’Unione, od anche mediante un accesso dell’autorità competente a tali dati in violazione del diritto dell’Unione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti di criminalità, “qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova suddetti, riconducibili ad una materia estranea alla conoscenza dei giudici e idonei ad influire in maniera preponderante sulla valutazione dei fatti”[12] .

Ma in caso di accesso illegittimo ai dati, a causa di una conservazione generalizzata e indifferenziata, o in ragione dell’ acquisizione da parte del pubblico ministero, anziché del giudice, è difficile ravvisare la violazione del principio del contraddittorio, in quanto i dati, sia pure illegittimamente acquisiti, sono successivamente posti a disposizione delle parti e su di essi può quindi liberamente svolgersi il “contraddittorio postumo”, per cui, nella fattispecie specifica, non sembra ravvisabile alcun vulnus all’ “equo processo”.

In caso di acquisizione dei tabulati in violazione delle regole individuate dalla Corte di giustizia U.E., il “principio di equivalenza”, sul fronte interno, potrebbe indurre a riconoscere l’inutilizzabilità di tale prova. Infatti, poiché il diritto nazionale italiano non presenta alcuna regola processuale nazionale in tema di utilizzabilità dei dati del traffico o di localizzazione acquisiti in violazione degli artt. 7 (tutela della riservatezza), 8 (protezione dei dati di carattere personale) e 11 (libertà di espressione e d’informazione) nonché dell’art. 52, § 1 (principio di proporzionalità delle limitazioni ai diritti e alle libertà) della Carta dei diritti fondamentali U.E., l’applicazione delle norme disciplinanti l’“analoga situazione” di un’intercettazione avvenuta illegittimamente, cioè in violazione della riserva di legge e di giurisdizione, potrebbe comportare, in applicazione del “principio di equivalenza”, l’applicazione della sanzione dell’inutilizzabilità, che l’art. 271 c.p.p. riserva ai casi di esecuzione delle intercettazioni al di fuori dei casi previsti dalla legge o di mancata autorizzazione del giudice.

9.La disciplina italiana sui tabulati.

In Italia, com’è noto, la disciplina legislativa è distinta a seconda della finalità di conservazione o di acquisizione.

Per quanto riguarda la conservazione l’art. 132 d.lgs. 30.6.2003, n. 196, Codice in materia di protezione dei dati personali (c.d. Codice della privacy), in nome dell’habeas data tutelato dall’art. 15 Cost., contiene la disciplina ordinaria, la quale prevede che, fermo restando quanto previsto dall’art. 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione (comma 1). La stessa disposizione stabilisce che, entro tali termini, i dati siano “acquisiti presso il fornitore con decreto motivato del pubblico ministero” (comma 2).

  Inoltre, una disciplina speciale è dettata dall’art. 24 l. 20.11.2017, n. 167, che, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli artt. 51, comma 3-quater, e 407, comma 2, lettera a), c.p.p., ha innalzato a 72 mesi (3 anni) il periodo di conservazione dei dati di traffico telefonico e telematico, in deroga a quanto previsto dall’art. 132, commi 1 e 1-bis, del Codice privacy.

Il quadro complessivo della disciplina della data retention, pertanto, si articola secondo una sorta di quadruplice binario a seconda del tipo di reato perseguito. I tempi di conservazione sono di regola scanditi nei ventiquattro mesi, dodici mesi e trenta giorni previsti dall’art. 132 d.lgs. n. 196 del 2003; nei casi in cui vengono in rilievo reati a matrice terroristica o previsti dall’art. 407, comma 2, lett. a), i tempi di conservazione sono dettati dall’art. 24 l. n. 1677/2017. Ma è ovvio che il fornitore dei servizi, non potendo prevedere le richieste che gli perverranno in futuro, per adempiere ai suoi obblighi di conservazione, deve custodire in ogni caso tutti i dati di traffico per il termine massimo di settantadue mesi. Naturalmente il soggetto titolare del rapporto contrattuale con l’ente gestore della telefonia è legittimato ad ottenere la documentazione dei dati memorizzati, che riguardano le proprie comunicazioni con i suoi interlocutori, senza la necessità di un provvedimento dell’autorità giudiziaria.

Per quanto attiene invece all’acquisizione dei dati l’art. 254-bis c.p.p.[13] disciplina il sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni, stabilendo che l’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali. Tale sequestro ha ad oggetto i dati detenuti da fornitori di servizi telematici e non riguarda un flusso di comunicazioni in atto (quale è quello che si realizza con le chat, anche se non contestuali, le mail e i social network), che invece danno luogo ad un flusso di comunicazioni relativo a sistemi telematici, per la cui intercettazione opera il disposto dell’art. 266-bis c.p.p.[14].

Su questa disciplina legislativa la Corte costituzionale non ha mai avuto il coraggio di incidere. Essa infatti dichiarò inammissibile la questione di costituzionalità, sollevata con riferimento all’art.267 c.p.p., nella parte in cui non prescrive l’adozione di un provvedimento autorizzativo del giudice per l’acquisizione dei tabulati telefonici. Secondo questa decisione, è ragionevole la previsione di diversi gradi di tutela, in quanto per le intercettazioni, riguardando queste il contenuto del flusso delle comunicazioni, vi è la necessità dell’autorizzazione del giudice, mentre per l’acquisizione dei tabulati, concernente i soli dati esterni delle comunicazioni, si è ritenuto sufficiente l’adozione di un provvedimento motivato dell’autorità giudiziaria, e quindi anche del pubblico ministero[15].

E tale affermazione è rimasta immutata nel tempo, anche se successivamente la Consulta ebbe occasione di sottolineare “la notevole capacità intrusiva” di un’attività investigativa che coinvolga i tabulati[16], confermando che per ogni cittadino il ricorso a tale strumento di indagine deve necessariamente essere soggetto alle garanzie previste dall’art. 15 Cost.[17].

Da parte loro, le Sezioni Unite della Corte di cassazione si sono adeguate all’interpretazione della Consulta, affermando che l’intercettazione dei flussi di comunicazione telefonica, informatica o telematica, con la captazione dei contenuti del dialogo in corso all’insaputa di almeno uno degli interlocutori, debba avvenire con un controllo giurisdizionale preventivo o, in caso di urgenza, immediatamente successivo, come previsto dall’art. 267 c.p.p., mentre per quanto attiene ai tabulati telefonici, per acquisire i dati esterni concernenti i soli contatti, possa essere sufficiente il decreto motivato del pubblico ministero[18].

Ovviamente il decreto di acquisizione del pubblico ministero deve essere motivato ex artt. 253 c.p.p. e 132, comma 2, d.lgs. 30.6.2003, n. 196 e la motivazione deve indicare la necessità investigativa che impone di compiere l’atto. Ma, secondo l’orientamento giurisprudenziale consolidato, poiché si ritiene modesto il livello di intrusione nella sfera di riservatezza delle persone, ai fini dell’acquisizione dei tabulati relativi al traffico telefonico, telematico o di ubicazione, l’obbligo di motivazione del decreto acquisitivo sarebbe soddisfatto anche con espressioni sintetiche, nelle quali si sottolinei la necessità dell’investigazione, in relazione al proseguimento delle indagini ovvero all’individuazione dei soggetti coinvolti nel reato, o si richiamino, con espressione indicativa della loro condivisione da parte dell’autorità giudiziaria, le ragioni esposte da quella di polizia[19].

Inoltre, come conseguenza dell’inquadramento dell’acquisizione dei tabulati come mezzo di ricerca della prova diverso dall’intercettazione di comunicazioni o conversazioni, la giurisprudenza ritiene che, ai fini dell’acquisizione di tabulati relativi al traffico telefonico da altro procedimento, non è necessaria la procedura richiesta per le intercettazioni dall’art. 270 c.p.p.[20].

Tuttavia la Corte di cassazione si è spinta ad affermare che il rispetto dei termini di conservazione dei dati rileva ai fini della loro utilizzabilità e, di conseguenza, sono stati ritenuti inutilizzabili i dati contenuti nei tabulati telefonici acquisiti dall’autorità giudiziaria senza rispettare i termini di cui all’art. 132 d.lgs. n. 196/2003[21]. Si soggiunge che l’art. 132, comma 1, Codice privacy, contiene un divieto di conservazione dei dati da parte del gestore oltre il periodo normativamente predeterminato[22], per cui i dati conservati oltre i termini indicati, se acquisiti agli atti, costituiscono una prova vietata dalla legge e la cui utilizzazione è dunque esclusa in maniera assoluta.

Secondo la Corte di cassazione, la normativa nazionale rispetterebbe gli standard di tutela dei dati personali richiesti dalla normativa europea. Essa, infatti, enuncia la finalità di repressione dei reati; delimita sul piano temporale l’attività di conservazione; prevede l’intervento preventivo dell’autorità giudiziaria, funzionale all’effettivo controllo della stretta necessità dell’accesso ai dati nonché al rispetto del principio di proporzionalità in concreto.

 In realtà, la disciplina ordinaria italiana non limita l’accesso ai dati “strettamente necessari” ai fini dell’indagine nella lotta contro le “forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica”, non distingue tra reati più o meno gravi, né tra i soggetti sospettati di reato o meno, come esige la Corte di giustizia U.E.

Inoltre, il Codice della privacy attribuisce al P.M. la legittimazione esclusiva ad acquisire i dati telefonici o telematici – competenza censurata dalla Corte di giustizia U.E. – mentre in precedenza la legge italiana stabiliva che i dati erano acquisiti presso il fornitore con decreto motivato del giudice, su istanza delle parti. In altre parole, in Italia la conservazione dei dati è ordinariamente generalizzata e indifferenziata ed inoltre è attribuito al P.M. il “monopolio a disporre l’acquisizione dei dati”, anche nel caso di istanza del difensore dell’imputato, dell’indagato, della persona offesa e delle altre parti private. La normativa riesuma la previgente prassi processuale, per cui il P.M. acquisiva il tabulato telefonico con proprio decreto ex art. 256 c.p.p., ma segna un pericoloso revirement in rotta di collisione con il sistema accusatorio, come ripetutamente affermato dalla Grande Camera della Corte di giustizia U.E., dal momento che si riconoscono al P.M. poteri incidenti sulla vita privata e sull’ “inviolabile” libertà di comunicazione che il diritto U.E. e l’art. 15 Cost. affidano al giudice.

La disciplina appare ancora più negativa se si pensa che, a norma dell’art. 132, comma 3, Codice privacy, il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore, soltanto i dati relativi alle utenze intestate al proprio assistito (e non di terze persone) con le modalità indicate dall’art. 391-quater c.p.p., ferme restando inoltre per il traffico entrante le condizioni di cui all’art. 8, comma 2 lett. f), dello stesso d.lgs. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata “può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo”, cioè tramite il Garante con le modalità di cui all’art. 160.

Nonostante l’evidente contrasto con le direttive europee, la Corte di cassazione ha sempre escluso che l’art. 132 Codice privacy confligga con il diritto dell’Unione[23].

  1. L’assenza di una disciplina italiana sulla localizzazione satellitare tramite GPS.

La disciplina di conservazione e acquisizione dei dati telefonici, informatici e di ubicazione non può ovviamente estendersi a regolamentare l’impiego dell’apparato mobile GPS, che in Italia, a differenza di altri Paesi, è privo di qualsiasi normativa e tale carenza lo priva di una base legale che ne legittimi l’uso.

La Corte europea dei diritti dell’uomo, nei casi Uzun c. Germania[24] e Ben Faiza c. Francia[25], ha riconosciuto che l’uso del G.P.S. per monitorare gli spostamenti di un soggetto interferisce con il diritto alla vita privata, tutelato dall’art. 8 § 2 C.E.D.U. D’altra parte, secondo la stessa Corte, è inevitabile che le persone sacrifichino qualcosa della loro privacy quando escono dalla propria abitazione o utilizzano determinati servizi; tuttavia, ciò non significa che esse siano disposte a diventare “trasparenti”. In questo caso, la rinuncia alla privacy deve ritenersi “soltanto parziale”, poiché riguarda solo alcune, frammentarie informazioni e avviene per specifiche finalità. Di conseguenza – stando al medesimo orientamento – il pedinamento tramite G.P.S. può ritenersi legittimo soltanto se osservi le condizioni di cui al § 2 dell’art. 8 cit.; cioè, se il suo uso sia previsto dalla legge e rappresenti una misura che, “in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del Paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui”. In altre parole, secondo la Corte, il potere d’ingerenza nella vita privata è legittimamente conferito all’autorità pubblica in quanto sia disciplinato dalla legge, e sempre che ogni atto intrusivo debba uniformarsi ai criteri di stretta necessità e di proporzionalità. In conclusione, siccome la Corte europea considera il “pedinamento satellitare” come un’invasione nel diritto alla vita privata tutelata dall’art. 8 C.E.D.U., il legislatore italiano deve dettare finalmente una disciplina di questa tecnica investigativa, indicando tassativamente i casi, cioè i reati per i quali l’uso del G.P.S. è consentito, le rispettive modalità preparatorie ed esecutive, l’autorità pubblica legittimata ad adottare la misura, la forma della corrispondente documentazione e la durata dell’ingerenza. Sarebbe pure opportuno che il legislatore prevedesse le sanzioni processuali per l’eventuale violazione dei presupposti legittimanti l’uso dello strumento de quo. La Corte e.d.u., nelle citate sentenze Uzun c. Germania e Ben Faiza c. Francia, ha evidenziato come l’attività di monitoraggio, attuale e continuativa, offra un dato di portata diversa da quello ottenuto attraverso l’osservazione occasionale degli spostamenti di un individuo; difatti, un controllo sistematico non può svolgersi senza perpetrare un’ingerenza nella vita privata personale, anche se di entità minore rispetto a quella determinata dall’uso di altre tecniche investigative, quale, ad esempio, quella delle intercettazioni. Inoltre, più in generale, i giudici di Strasburgo hanno stabilito che, data l’impossibilità di definire esaustivamente il concetto di vita privata, la presenza di un soggetto in luoghi pubblici non può essere considerata come un’automatica rinuncia, da parte del medesimo, alla privacy. Quindi, l’attività di osservazione di comportamenti altrui, anche se svolto in luogo pubblico, si configura come un’ingerenza nella sfera privata, se “si protrae senza limiti di durata, in modo persistente e continuativo”. In sostanza, – secondo la Corte – occorre riconoscere il diritto al rispetto della vita privata anche in un contesto pubblico, laddove si tratti di assicurare una delle condizioni per il pieno sviluppo della personalità umana[26].

In Italia, nel silenzio del legislatore, la giurisprudenza ritiene che non sussistano limiti di condizione, tempo o modo quanto all’ammissibilità e all’esecuzione del “pedinamento satellitare”[27], quando questa operazione riguardi persone o cose che si trovino in luogo pubblico od aperto al pubblico. La giurisprudenza, considerando l’attività d’indagine volta a localizzare e a seguire, attraverso rilevamento satellitare, gli spostamenti di un soggetto, una modalità, tecnologicamente avanzata, di pedinamento, ritiene simile operazione ammissibile in quanto attività atipica di ricerca della prova, rientrante quindi nelle attribuzioni della polizia giudiziaria, in base al combinato disposto degli artt. 55, 347 e 370 c.p.p.[28] e l’esito di tale geo-localizzazione utilizzabile come prova nel processo penale con l’acquisizione della testimonianza dell’ufficiale di polizia giudiziaria che ha eseguito il rilevamento[29]. Si può discutere se il G.P.S. rispetti le condizioni di ammissibilità dettate dall’art. 189 c.p.p. al fine di ritenere utilizzabile ai fini della decisione il dato probatorio ottenuto. Ma, anzitutto, tale risultato probatorio dovrebbe risultare “idoneo ad assicurare l’accertamento dei fatti”, mentre di recente si è appreso dell’esistenza di un dispositivo capace di svolgere un’attività di “disorientamento” (c.d. GNSS spoofing) del tracker G.P.S., inducendolo ad elaborare dati di ubicazione dalle coordinate errate e, perciò, “non corrispondenti al vero”. Quindi, mentre ex ante non pare discutibile l’attendibilità della tecnica G.P.S., ex post occorrerà pur sempre verificare se l’oggettività della rilevazione sia stata o no compromessa tramite strumentazioni esterne. Secondo la giurisprudenza, poiché l’attività di polizia giudiziaria consiste nella semplice trasposizione di un dato oggettivo (cioè, nella specie, quello costituito dalle coordinate ottenute dal G.P.S.) nelle annotazioni della stessa polizia giudiziaria o nelle sue relazioni di servizio, si dovrebbe escludere che la mancanza del supporto informatico contenente gli originali dei tracciati possa in alcun modo inficiare l’attendibilità e la oggettiva valenza probatoria dei medesimi dati, concernenti le suddette coordinate[30]. Ma la presenza del supporto informatico è invece essenziale per verificare che la annotazione o la relazione di servizio non contenga errori, non potendosi prestar fede ciecamente in una documentazione di un’attività senza il controllo della fonte, almeno quando è possibile. Ma, soprattutto ci si deve domandare se tale tecnica investigativa possa o no implicare – talora – una compressione del diritto alla riservatezza, rectius “al rispetto della vita privata2 tutelato dall’art. 8 C.e.d.u. Infatti, la privacy – in cui è compreso il concetto di riservatezza – ha due componenti fondamentali: la facoltà di trattenere nella propria sfera privata determinate notizie personali e quella di controllare la rivelazione e l’uso pubblico di tali dati. Pertanto, laddove la localizzazione satellitare implichi un monitoraggio occulto, anche di comportamenti tenuti in pubblico, eseguito attimo per attimo, in modo continuativo, per un ampio periodo di tempo, e i dati acquisiti, in esito a tale attività, vengano registrati nonché trattati sistematicamente, tale specifica ipotesi d’indagine potrà determinare una violazione della privacy; sia questa intesa come diritto al riserbo sulle proprie vicende individuali oppure come facoltà di “autodeterminazione informativa” quanto ai propri dati personali.

  1. Considerazioni conclusive.

Si discute sugli effetti della pronuncia della Corte giust. U.E. che dichiara invalida la direttiva europea. In Italia, la Corte di cassazione ha affermato che i principi enunciati dalle sentenze della Corte di giustizia U.E. non avrebbero effetto sulla disciplina italiana della conservazione e dell’acquisizione dei tabulati del traffico telefonico, perché esse riguarderebbero Stati privi di una disciplina legislativa sulla conservazione e sull’accesso ai dati, mentre l’Italia dispone di una specifica disciplina[31].

A nostro parere, anche se le sentenze della Corte di giustizia U.E. non sono immediatamente operanti nell’ordinamento interno, giacché esse incidono soltanto sugli atti dell’Unione, a norma dell’art. 267 T.F.U.E., tuttavia, una serie di pronunce, tutte dello stesso tenore, che evidenziano un così eclatante contrasto della legislazione italiana con il diritto U.E., non possono essere più ignorate.

È vero che le disposizioni dei Trattati non specificano gli effetti delle pronunce pregiudiziali, ma è ovvio che il rinvio pregiudiziale comporti anzitutto un effetto endoprocessuale, nel senso che la decisione della Corte di giustizia U.E. è certamente vincolante sul giudice del rinvio, che è tenuto a conformarsi all’interpretazione resa dalla Corte per la risoluzione della controversia sub iudice, anche se la vincolatività della sentenza interpretativa non può impedire comunque al giudice nazionale di sollevare un nuovo rinvio alla Corte, anche al fine di provocarne un mutamento interpretativo. Tuttavia, non può negarsi alle sentenze interpretative della Corte giust. U.E. anche un effetto extraprocessuale, cioè al di fuori del giudizio principale. Tali sentenze, infatti, pur originando da una specifica controversia, hanno carattere astratto, essendo volte a chiarire l’interpretazione e la portata delle disposizioni del diritto U.E. Anzi, la finalità del rinvio pregiudiziale è proprio quello di assicurare l’uniforme applicazione del diritto U.E. e tale finalità sarebbe frustrata se le sentenze interpretative della Corte dispiegassero i propri effetti soltanto nella causa a qua[32].

In conclusione, l’interpretazione dell’art. 15, § 1, della direttiva 2002/58 data dalla Corte di giustizia U.E. nel caso estone, assume rilievo anche per valutare la conformità della normativa italiana alla disciplina dell’Unione europea[33].

   Il legislatore italiano deve quindi necessariamente adeguarsi al diritto dell’Unione e introdurre finalmente una duplice riserva (di legge e di giurisdizione), prevedendo, con “regole chiare e precise”, il divieto di una conservazione “generalizzata e indifferenziata” dei dati relativi al traffico e all’ubicazione, le “garanzie minime”, cioè “i casi e i modi” per l’accesso ai dati.

   Il legislatore nazionale deve perciò individuare i “casi”, che devono riguardare esclusivamente la lotta contro “forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica”, per i quali soltanto è consentito l’accesso ai dati.

   Inoltre devono essere legislativamente individuati anche i “soggetti” perché, di regola, l’accesso è ammesso soltanto ai dati di chi è sospettato di reato e solo eccezionalmente in “situazioni particolari” (come ad esempio quelle in cui gli interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo), può ammettersi l’accesso ai dati di persone non sospettate, ma a condizione che esistano “elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo”.

   Infine, è necessario il previo controllo effettuato da “un giudice o da un’entità amministrativa indipendente”, e che, in ossequio al principio della domanda, la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. Solo eccezionalmente, in “caso di urgenza, debitamente giustificata”, il controllo può essere successivo all’accesso ai dati, ma deve intervenire “entro termini brevi”.

Se il legislatore italiano non dovesse sollecitamente adeguarsi alle indicazioni della giurisprudenza europea, sarà inevitabile sollevare questione di legittimità costituzionale in rapporto all’art. 117 Cost., che vincola la potestà legislativa dello Stato al rispetto, tra l’altro, dei vincoli derivanti dall’ordinamento comunitario e dagli obblighi internazionali.

Infine non può non osservarsi che se la Corte di giustizia U.E. esige requisiti così stringenti per l’acquisizione dei dati esterni della comunicazione, almeno gli stessi caratteri devono essere necessari per procedere ad un’ingerenza molto più invasiva come l’intercettazione del contenuto della comunicazione o conversazione.

*Professore emerito di diritto processuale penale, Università di Cagliari

[1] Corte giust. U.E., Grande Camera, 2.3.2021, H. K./Prokuratuur, causa C‑746/18.

[2] Corte giust. U.E., Grande Camera, 8.4.2014, cause riunite C-293/12 e C-594/12; Corte giust. U.E., Grande Camera, 21.12.2016, cause riunite C‑203/15 e C‑698/15; Corte giust. U.E., Grande Camera, 2.10.2018, Ministerio Fiscal, C‑207/16; Corte giust. U.E., Grande Camera, 6.10.2020, C-623/17; Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18.

[3] La Grande Camera della Corte giust. U.E. affermò che l’art. 15, § 1, della Direttiva 2002/58/CE, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, § 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica. L’art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, § 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione (Corte. giust. U.E., Grande Camera, 21.12.2016, Tele2 Sverige AB c/Post Och Telestyrelsen e Secretary of State for the home Department c/ Watson e al., cause riunite C‑203/15 e C‑698/15). Infine, sempre in riferimento alla Direttiva 2002/58/CE la Corte di giustizia U.E., Grande Camera, con sentenza 6.10.2020, confermò che il diritto dell’Unione si oppone ad una normativa nazionale che impone a un fornitore di servizi di comunicazione elettronica, a fini di lotta contro le infrazioni in generale o di salvaguardia della sicurezza nazionale, “la trasmissione o la conservazione generalizzata e indifferenziata di dati relativi al traffico e alla localizzazione”. Si tratta di “metadati”, ovvero informazioni di dettaglio su numero del chiamante, numero del ricevente, data e durata della conversazione, frequenza delle chiamate e altro, mentre quanto alla navigazione Internet viene registrato ogni elemento della navigazione (indirizzo IP, siti visitati, device usato, durata della consultazione, pagine visionate, traffico e-mail). Tuttavia, la Corte consentì molte deroghe, ma solo per periodi limitati. Infatti, secondo la Corte, nelle situazioni in cui uno Stato membro si trova ad affrontare una grave minaccia per la sicurezza nazionale che si rivela autentica, presente o prevedibile, lo Stato membro può derogare all’obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche richiedendo, mediante misure legislative, la conservazione generale e indiscriminata di tali dati per un periodo limitato nel tempo a quanto strettamente necessario, ma che può essere esteso se la minaccia persiste. Per quanto riguarda la lotta contro la criminalità grave e la prevenzione di gravi minacce alla sicurezza pubblica, uno Stato membro può anche prevedere la conservazione mirata di tali dati nonché la loro conservazione accelerata. Tale interferenza con i diritti fondamentali, concluse la Corte di Giustizia U.E., deve essere accompagnata da garanzie efficaci ed essere esaminata da un tribunale o da un’autorità amministrativa indipendente. Allo stesso modo, uno Stato membro può effettuare una conservazione generale e indiscriminata sia degli indirizzi IP assegnati alla fonte di una comunicazione laddove il periodo di conservazione sia limitato a quanto strettamente necessario; sia anche per effettuare una conservazione generale e indiscriminata di dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica, e in quest’ultimo caso la conservazione non è soggetta ad uno specifico termine. La sentenza aggiunse che l’art. 1, § 3, l’art. 3 e l’art. 15, § 1, della Direttiva 2002/58/CE devono essere interpretati nel senso che la legislazione nazionale che consente a un’autorità statale di richiedere ai fornitori di servizi di comunicazione elettronica di inoltrare dati sul traffico e dati sull’ubicazione alle agenzie di sicurezza e di intelligence allo scopo di salvaguardare la sicurezza nazionale rientra nell’ambito di applicazione di tale Direttiva. La stessa sentenza precisò inoltre che l’ art. 15, § 1, della Direttiva 2002/58, letto alla luce dell’art. 4, § 2, TUE e degli artt. 7, 8 e 11 e dell’art. 52, § 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che preclude una legislazione nazionale che consente a un’autorità statale di richiedere ai fornitori di servizi di comunicazione elettronica di effettuare la trasmissione generale e indiscriminata dei dati sul traffico e dei dati sull’ubicazione alle agenzie di sicurezza e di intelligence allo scopo di salvaguardare la sicurezza nazionale. Alla luce delle considerazioni che precedono, la Corte chiarì che l’art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, § 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo (Corte giust. U.E., Grande Camera, 6.10.2020, Privacy International c/ Secretary of State for Foreign and Commonwealth Affairs e al., cause riunite C-623/17).

[4] La Grande Camera della Corte giust. U.E. dichiarò invalida la Direttiva 2006/24/CE sulla conservazione dei dati, in rapporto ai valori del rispetto della vita privata e della vita familiare, della protezione dei dati di carattere personale e per violazione del principio di proporzionalità. La Corte affermò che la direttiva 2006/24/CE comportava un’ingerenza di vasta portata e di particolare gravità nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, non limitata allo “stretto necessario”. A tale riguardo, la Corte osservò che, in considerazione, da un lato, dell’importante ruolo svolto dalla protezione dei dati personali nei confronti del diritto fondamentale al rispetto della vita privata e, dall’altro, della portata e della gravità dell’ingerenza in tale diritto che la direttiva comporta, il potere discrezionale del legislatore risulta ridotto e che occorre quindi procedere a un controllo rigoroso. Anche se la conservazione dei dati imposta dalla Direttiva può essere considerata idonea a raggiungere l’obiettivo perseguito dalla medesima, l’ingerenza vasta e particolarmente grave di tale direttiva nei menzionati diritti fondamentali non fu ritenuta sufficientemente regolamentata in modo da essere effettivamente limitata allo “stretto necessario”. In primo luogo, infatti, la Direttiva trovava applicazione generalizzata all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venisse operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi. In secondo luogo, la Direttiva non prevedeva alcun criterio oggettivo che consentisse di garantire che le autorità nazionali competenti avessero accesso ai dati e potessero utilizzarli solamente per prevenire, accertare e perseguire penalmente reati che possano essere considerati, tenuto conto della portata e della gravità dell’ingerenza nei diritti fondamentali summenzionati, sufficientemente gravi da giustificare una simile ingerenza. Al contrario, la Direttiva si limitava a fare generico rinvio ai «reati gravi» definiti da ciascuno Stato membro nella propria legislazione nazionale. Inoltre, la Direttiva non stabiliva i presupposti materiali e procedurali che consentivano alle autorità nazionali competenti di avere accesso ai dati e di farne successivo uso. L’accesso ai dati, in particolare, non era subordinato al previo controllo di un giudice o di un ente amministrativo indipendente. In terzo luogo, quanto alla durata della conservazione dei dati, la Direttiva imponeva che essa non fosse inferiore a sei mesi, senza operare distinzioni tra le categorie di dati a seconda delle persone interessate o dell’eventuale utilità dei dati rispetto all’obiettivo perseguito. Inoltre, tale durata era compresa tra un minimo di sei ed un massimo di ventiquattro mesi, senza che la direttiva precisasse i criteri oggettivi in base ai quali la durata della conservazione doveva essere determinata, in modo da garantire la sua limitazione allo stretto necessario. La Corte constatò peraltro che la Direttiva non prevedeva garanzie sufficienti ad assicurare una protezione efficace dei dati contro i rischi di abusi e contro qualsiasi accesso e utilizzo illeciti dei dati. Essa rilevò, tra l’altro, che la Direttiva autorizzava i fornitori di servizi a tenere conto di considerazioni economiche in sede di determinazione del livello di sicurezza da applicare (in particolare per quanto riguarda i costi di attuazione delle misure di sicurezza) e non garantiva la distruzione irreversibile dei dati al termine della loro durata di conservazione. La Corte censurò, infine, il fatto che la Direttiva non imponeva che i dati fossero conservati sul territorio dell’Unione. In definitiva, la Direttiva non garantiva il pieno controllo da parte di un’autorità indipendente del rispetto delle esigenze di protezione e di sicurezza, come è invece espressamente richiesto dalla Carta; concludendo che siffatto controllo, compiuto sulla base del diritto dell’Unione, costituisce un elemento essenziale del rispetto della protezione delle persone con riferimento al trattamento dei dati personali (Corte giust. U.E., Grande Camera, 8.4.2014, Digital Rights, cause riunite C-293/12 e C-594/12).

[5] Come già avevano precisato Corte giust. U.E., Grande Camera, 21.12.2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15; Corte giust. U.E., Grande Camera, 6.10.2020, Privacy International, C‑623/17, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18 e la giurisprudenza ivi citata.

[6] Il principio era stato già enunciato da Corte giust. U.E., Grande Camera, 6.10.2020, Privacy International, C‑623/17, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, e C‑512/18, e a., e la giurisprudenza ivi citata.

[7] In tal senso, Corte giust. U.E., Grande Camera, 21.12.2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18.

[8] Come già affermato da Corte giust. U.E., Grande Camera, 9.3.2010, Commissione/Germania, C‑518/07.

[9] Cass., sez. V, 24.4.2018 (dep. 19.7.2018), M., n. 33851, Rv. 273892; Cass., sez. III, 19.4.2019 (dep. 23.8.2019), D’Addiego e altro, n. 36380.

[10] In tal senso, si era già pronunciata Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18 e la giurisprudenza ivi citata.

[11] Imponente la giurisprudenza sul punto; tra le tante, v. Corte giust. U.E., Grande Camera, 19.12.2019. Deutsche Umwelthilfe e a./ Freistaat Bayern, C‑752/18; Corte giust. U.E., sez. VIII, 26.6. 2019, Kuhar, C‑407/18, e giurisprudenza ivi citata.

[12] In tal senso v. già Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, cit.

[13] L’art. 254-bis è stato introdotto nel codice di rito penale dall’art. 8 l. 18 marzo 2008, n. 48, Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica.

[14] Secondo la giurisprudenza, l’estrazione dei dati archiviati in un computer non dà luogo ad accertamento tecnico irripetibile, trattandosi di operazione meramente meccanica, riproducibile per un numero indefinito di volte, come si desume, del resto, dalla disciplina introdotta dalla l. 18 marzo 2008, n. 48 (Cass., sez. II, 1.7.2015, n. 29061, p.c. in proc. Artergiani e altro, in Guida dir., 2015, n. 32, p. 91).

[15] Corte cost. 7.7.1998, n. 281.

[16] Corte cost. 26.5.2010, n. 188.

[17] Corte cost. 23.1.2019, n. 38.

[18] Cass., Sez. un., 23.2.2000, n. 6, D’Amuri, Rv. 215841.

[19] È stato ritenuto sufficientemente motivato il provvedimento acquisitivo che si limita a richiamare l’assoluta necessità dell’acquisizione ai fini del proseguimento delle indagini (Cass., sez. I, 28.4.2014, n. 37212, Rv. 260589; Cass., sez. I, 26.9.2007, n. 46086, Rv. 238170).

[20] Cass., sez. II, 18.10.2007 (dep. 22.11.2007), n. 43329, Rv. 238834.

[21] Cass., sez, V 5.12.2014 (dep. 15.4.2015), n. 15613, in CED Cass., Rv. 263805.

[22] Cass. sez. V, 25.1.2016 (dep.24.2.2016), n. 7265, in CED Cass. Rv. 267144.

[23] Cass., sez. II, 10.12.2019, Dedej e altri, n. 5741/2020; Cass., sez. III, 19.4.2019, n. 36380/2019; Cass., sez. V, 24.4.2018, n. 33851, Rv. 273892.

[24] Corte e.d.u., sez. V, 2. 9. 2010, Uzun c. Germania, in Cass. pen., 2011, 395.

[25] Corte e.d.u., sez. V, 8.2.2018, Ben Faiza c/Francia.

[26] Per una comparazione v. pure la sentenza della Corte suprema federale U.S.A., che ha affermato che la collocazione da parte della polizia giudiziaria di un apparecchio GPS sull’auto intestata alla moglie dell’imputato, sospettato di far parte di un’associazione finalizzata al grosso traffico di cocaina, è da considerare una perquisizione e quindi, se disposta in assenza di warrant, contrasta con il IV Emendamento (1791) alla Costituzione degli Stati Uniti, che, com’è noto, stabilisce che “il diritto dei cittadini a godere della sicurezza per quanto riguarda la loro persona, la loro casa, le loro carte e i loro effetti, contro perquisizioni e sequestri irragionevoli, non potrà essere violato; e nessun mandato giudiziario potrà essere emesso, se non in base a probable cause, appoggiata da un giuramento o da una dichiarazione sull’onore e con descrizione specifica del luogo da perquisire, e delle persone da arrestare o delle cose da sequestrare” (Supreme Court of the United States, 23 gennaio 2012, U.S. v. Jones). Ancora più recentemente, v. il caso Carpenter v. U.S. del 2018 (Carpenter v. U.S., 585 U.S. ­2018).

[27] Si tratta di una procedura denominata “tailing”, cioè “coda”, “residuo”, oppure “shadowing”, che significa “affiancamento” o “osservazione da vicino”.

[28] Cass., sez. V, 2.5.2002, Bresciani e altri, n. 16130, in Dir. pen. e proc., 2003, 93. Più di recente, in questo stesso senso, v. Cass., sez. V, 10.3.2010, Z.B., n. 9667, in Dir. pen. e proc., 2010, 1464; Cass., sez. I, 28.5. 2008, Stefanini, in CED, 240092; Cass., sez. VI, 11.12.2007, Sitzia, n. 15396, in Cass. pen., 2009, 2534; Cass., sez. IV, 29.1. 2007, Navarro Mongort, n. 8871, in CED, 236112.

[29] Cass., sez. V, 2.5. 2002, n. 16130, Bresciani e altri, in Dir. pen. e proc., 2003, 93, cit.

[30] Cass., sez. IV, 27.11.2012, n. 48279, in Giust. pen., 2013, III, 434; Cass., sez. I, 7.1. 2010, Congia, n. 9416, in Cass. pen., 2012, 1062.

[31] Cass., sez. V, 24.4.2018 (dep. 19.7.2018), n. 33851; Cass., sez. III, 19.4.2019 (dep. 23.8.2019), n. 36380).

[32] In questo senso cfr. R. MASTROIANNI, Pregiudiziale comunitaria, in Digesto discipline penalistiche, 2010.

[33] V. in generale Corte giust. U.E., sez. I, 17.3.2021, c/ An Taire Talmhaíochta, Bia agus Mara, Éire, An Tard-Aighne, causa C-64/2, che ha stabilito che l’art. 288 T.F.U.E. dev’essere interpretato nel senso che osta a che un giudice nazionale il quale, nell’ambito di un procedimento previsto a tal fine dal diritto interno, constati che lo Stato membro al quale appartiene non ha adempiuto il proprio obbligo di recepire correttamente la direttiva 2001/82/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai medicinali veterinari, come modificata dalla direttiva 2004/28/CE del Parlamento europeo e del Consiglio, del 31 marzo 2004, rifiuti di adottare, per il motivo che la normativa nazionale gli sembra conforme al regolamento (UE) 2019/6 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, relativo ai medicinali veterinari e che abroga la direttiva 2001/82 – regolamento che abroga tale direttiva e che sarà applicabile a decorrere dal 28 gennaio 2022 – una dichiarazione giurisdizionale secondo la quale tale Stato membro non ha correttamente recepito detta direttiva ed è tenuto a rimediarvi.