g-docweb-display Portlet

Audizione del Presidente del Garante per la protezione dei dati personali sul disegno di legge AS 1659 (conversione in legge del d.l. 161/2019, in materia di intercettazioni) - 4 febbraio 2020

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Audizione del Presidente del Garante per la protezione dei dati personali sul disegno di legge AS 1659 (conversione in legge del d.l. 161/2019, in materia di intercettazioni)

Commissione 2a (Giustizia) del Senato della Repubblica

(4 febbraio 2020)

 

Ringrazio la Commissione per questa occasione di confronto.

Esaminare il tema delle intercettazioni dal punto di vista della protezione dei dati consente di valutare compiutamente l’impatto che questo mezzo di ricerca della prova ha sulla persona: modulando conseguentemente il bilanciamento tra esigenze investigative, diritto di difesa e privacy.

La necessità di una rimodulazione di questo rapporto è stata da noi sottolineata più volte e, in particolare, in una nota inviata al Presidente del Consiglio nel 2015, sullo schema di ddl delega sul processo penale.

Si rappresentava, in particolare, l’esigenza di "una più puntuale selezione del materiale investigativo assicurando, nel doveroso rispetto dei diritti della difesa, che negli atti processuali non siano riportati interi spaccati di vita privata (delle parti ma soprattutto dei terzi), del tutto estranei al tema di prova".

Auspicavamo che venissero valorizzati il principio di proporzionalità tra privacy e mezzi investigativi su cui la Corte di giustizia ha fondato la sua più lungimirante giurisprudenza, nonché le indicazioni rese dalla Corte Europea sui Diritti dell’Uomo, in particolare rispetto all’utilizzo di intercettazioni irrilevanti.

Condivisibile ci appariva l’obiettivo, sancito nella legge-delega, di rafforzare la garanzia della riservatezza anticipando l’udienza stralcio, nella cui sede eliminare le intercettazioni irrilevanti e omissando, nei brogliacci, le parti inconferenti, pur nel pieno rispetto del contraddittorio per (e sulla) prova.

Positivo, poi, appariva il canone di sobrietà contenutistica previsto in sede cautelare, con l’imposizione al pubblico ministero di un’adeguata selezione delle intercettazioni da inviare a sostegno della richiesta, non ricomprendendovi quelle irrilevanti, da destinare all’archivio riservato con il relativo regime di segretezza.

Le misure volte a limitare la circolazione endoprocessuale delle intercettazioni eccedenti le reali esigenze investigative hanno dunque rappresentato, dal nostro punto di vista, un’importante innovazione della riforma del 2017, che sul punto recepiva un’esigenza di garanzia condivisa anche dalla stessa magistratura, come dimostrano le direttive emanate da alcune Procure nel 2016, nonché le buone prassi indicate dal CSM nel luglio dello stesso anno.

E’ determinante, dunque, che il decreto in conversione risponda a quest’esigenza, pur modulando diversamente gli oneri di polizia giudiziaria e pubblico ministero rispetto alle regole da osservare in fase di trascrizione e, quindi, rendendo quello che  per la polizia giudiziaria era un divieto di trascrizione di dati irrilevanti, un dovere di vigilanza del pubblico ministero circa l’assenza, nei verbali, di tali dati.

La modifica impone alcune essenziali considerazioni  :

1. In primo luogo l’omissione dai verbali dovrebbe riguardare tutti i dati personali irrilevanti e non solo quelli sensibili contenuti in espressioni diffamatorie, pena la violazione dei principi di proporzionalità e minimizzazione applicabili espressamente anche al procedimento penale secondo il d.lgs. 51/2018;

2. In secondo luogo, proprio la derubricazione del divieto di trascrizione in dovere di vigilanza del p.m. impone, per non vanificare la portata innovativa della riforma, un vaglio attento da parte dell’organo requirente, circa l’effettivo rispetto di questo canone di minimizzazione.

3.  Questa modifica va letta, peraltro, nel contesto della rinuncia alla  precisa scansione procedimentale dello stralcio e al relativo regime di segretezza, disposti dalla riforma del 2017.

4.Un analogo affievolimento delle garanzie di riservatezza deriva dalla soppressione dell’onere, per il p.m., di selezione preventiva delle sole intercettazioni rilevanti ai fini della richiesta della misura cautelare, che avrebbe consentito di contenere, almeno in parte, il rischio di esfiltrazione di dati, particolarmente ricorrente in questa fase.

5. Ove tali scelte venissero confermate in conversione, si renderebbe dunque necessario rafforzare le garanzie di riservatezza (almeno) degli atti non acquisiti perché, in particolare, irrilevanti o inutilizzabili, contenuti nell’apposito archivio.

Sotto tale aspetto, il Garante potrà fornire il proprio contributo in sede di parere sul decreto ministeriale di disciplina dei criteri di accesso e consultazione dell’archivio, il cui oggetto potrebbe tuttavia essere esteso alla previsione delle particolari misure di sicurezza di cui dotare l’archivio stesso.

La sua sicurezza e impermeabilità è, infatti, il presupposto essenziale della riservatezza degli atti lì conservati.

Analogamente, il distinto decreto (su cui sarebbe opportuno sentire il Garante) sul deposito telematico delle intercettazioni dovrà prevedere misure di protezione adeguate alla particolare rilevanza di questi flussi informativi, che non devono presentare alcuna permeabilità o vulnerabilità, come abbiamo voluto sottolineare già con il provvedimento del luglio 2013 sulle misure di sicurezza nell’ambito delle attività di intercettazione.

6. Inoltre, se non altro a fini di deterrenza, sarà necessario chiarire le conseguenze sanzionatorie della diffusione del contenuto delle intercettazioni non acquisite, ora oggetto di un generico divieto.

Da un lato, infatti, il segreto che copre gli atti contenuti nell’archivio indurrebbe a ritenere configurabile, in caso di diffusione di tali atti e sussistendone i presupposti, il concorso nel delitto di rivelazione di segreti.

Dall’altro lato, tuttavia, si dovrebbero chiarire i termini di applicabilità dell’illecito contravvenzionale di pubblicazione arbitraria, la cui tenue comminatoria edittale sarebbe peraltro inadeguata ad esprimere la particolare offensività di tale condotta.

L’occasione potrebbe essere allora opportuna per una complessiva revisione, conforme alla giurisprudenza CEDU, della disciplina della pubblicazione illegittima di atti d’indagine.

7. Sarà poi opportuno coordinare la previsione del diritto degli interessati di chiedere al giudice la distruzione della documentazione non necessaria, a tutela della riservatezza, con l’innovativa procedura introdotta dall’art. 14 dlgs 51/2018.

Tale norma legittima infatti “chiunque vi abbia interesse a richiedere al giudice la rettifica, cancellazione o la limitazione dei dati che lo riguardano, anche durante il procedimento penale. Si tratta di una norma dalle notevoli potenzialità, che combinandosi con la procedura di distruzione di cui all’art. 269 potrebbe contribuire a rafforzare sensibilmente le garanzie di riservatezza soprattutto dei terzi, le cui conversazioni siano state indirettamente captate.

8. Per quanto invece concerne le intercettazioni mediante captatori, si dovrebbe cogliere quest’occasione per colmare le lacune normative che già  il Garante aveva rilevato in sede di parere, ma anche nell’ambito della segnalazione rivolta al Parlamento e al Governo.

Le straordinarie potenzialità intrusive di tali strumenti impongono, infatti, garanzie adeguate per impedire che essi, da preziosi ausiliari degli inquirenti, degenerino invece in mezzi di sorveglianza massiva o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, peggio, delocalizzati anche al di fuori dei confini nazionali.

La necessità di tali garanzie sembra, peraltro, asseverata dalle notizie di cronaca (si pensi al caso Exodus), relative alle particolari modalità di realizzazione delle captazioni mediante malware, da parte delle società incaricate.

Esse evidenziano (salvo smentita da parte del Procuratore di Napoli, che conduce le indagini) i rischi connessi all’utilizzo di captatori informatici con il ricorso, da parte dei privati incaricati, a tecniche di infiltrazione prive della necessaria selettività.

Ci si riferisce, in particolare, all’utilizzo, ai fini intercettativi, di software connessi ad app, che quindi non sono direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme (come Google play store) accessibili a tutti.

Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi, queste app-spia rischierebbero, infatti, di trasformarsi in pericolosi strumenti di sorveglianza massiva.

Inoltre, pericoloso è l’utilizzo – che, pure, parrebbe essere stato fatto nei casi all’esame degli inquirenti – di sistemi cloud per l’archiviazione dei dati captati, addirittura in Stati extraeuropei.

La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa.

Il ricorso a tali due tipologie di sistemi (software che non siano inoculati direttamente sul dispositivo-ospite, e, per altro verso, archiviazione mediante sistemi cloud) dovrebbe, dunque, essere oggetto di un apposito divieto.

In ogni caso, anche in ragione della rapida evoluzione delle caratteristiche e delle funzionalità dei software disponibili a fini intercettativi, sarebbe necessario vietare il ricorso a captatori idonei a cancellare le tracce delle operazioni svolte sul dispositivo ospite.

Ai fini della corretta ricostruzione probatoria e della garanzia del diritto di difesa è, infatti, indispensabile disporre di software idonei a ricostruire nel dettaglio ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto.

Si potrebbe esplicitare, in questo senso, il requisito della “affidabilità, sicurezza ed efficacia” dei software utilizzabili a fini captativi- che dovrà essere declinato nel dettaglio dal dM di cui all’art. 2, c.3, garantendo così effettivamente la completezza della “catena di custodia della prova informatica”.

Quest’esigenza è tanto più indispensabile rispetto ad operazioni investigative, quali quelle in esame, ad alto tasso di esternalizzazione e che come tali presentano maggiori vulnerabilità, essendo in larga parte affidate a privati che devono, quindi, essere adeguatamente responsabilizzati rispetto agli obblighi di sicurezza da garantire.

Sarà peraltro opportuno chiarire le conseguenze (in termini di inutilizzabilità dei contenuti captati) del ricorso a programmi informatici non conformi ai requisiti di sicurezza previsti con il dM.

E’ inoltre auspicabile chiarire i termini di applicabilità della disciplina del captatore alle intercettazioni preventive, esigendo per queste garanzie non certo minori di quelle proprie delle giudiziali.

Infine, il previsto trasferimento dei dati captati con trojan direttamente all’archivio riservato già prima della selezione (e non, invece, al server della Procura), nel determinare l’accesso all’archivio da parte della p.g. anche per fini investigativi, rappresenta un’anomalia tale da contraddire la natura stessa di tale  archivio, quale luogo di custodia di atti non processualmente rilevanti e da sottrarre alla circolazione endoprocessuale.

Ferma restando l’opportunità dell’introduzione delle su descritte cautele, la particolare invasività dei software-spia e la loro attitudine a degenerare, sia pure in ipotesi patologiche, in strumenti di controllo illecito, meriterebbe un supplemento di riflessione del Parlamento in ordine alla progressiva estensione dell’ambito applicativo di tale strumento investigativo, che dovrebbe invece restare eccezionale.

E’ significativo che la Corte costituzionale tedesca abbia censurato la disciplina delle intercettazioni (sia pur preventive) mediante trojan, per violazione non solo della riserva di giurisdizione ma anche del principio di proporzionalità, che imporrebbe la limitazione di mezzi di prova così invasivi, dal ricorso dunque eccezionale, ai soli casi nei quali siano effettivamente indispensabili per la tutela di beni giuridici primari quali la vita o l’incolumità, con l’adozione di misure tali da circoscriverne l’impatto anche sui terzi.

Nell’escludere l’applicabilità analogica della disciplina delle intercettazioni tradizionali a questi nuovi strumenti investigativi, la Corte ne sottolinea l’intrinseca diversità, propria della loro capacità invasiva e dell’attitudine a esercitare un controllo ubiquitario sull’indagato ma anche sui terzi che gli siano vicini.

Considerazioni, queste, affini a quelle svolte dalla nostra Cassazione, anche in rapporto ai riflessi che la difficile predeterminazione dello sviluppo delle captazioni, dovuta alla natura itinerante e ubiquitaria del mezzo, ha sulla riserva di giurisdizione.

La scarsa prevedibilità dello sviluppo delle captazioni rischia, infatti, di affievolire la funzione di garanzia propria del vaglio autorizzativo del gip, svuotandolo di senso.

Per questo, abbiamo più volte sottolineato l’esigenza di compensare tale indebolimento del vaglio ex ante con un maggiore dettaglio della verbalizzazione delle operazioni compiute, così da rafforzare almeno il controllo ex post sulla legittimità dell’attività svolta.

Controllo su cui insiste, a ragione, anche la Corte costituzionale tedesca, esigendo però nel complesso un più rigoroso rispetto del principio di proporzionalità, a tutela del “generale diritto alla libertà del cittadino nei confronti dello Stato”.

Questo dev’essere, anche per noi, il parametro essenziale da osservare nella disciplina di strumenti investigativi che devono poter garantire tanto la sicurezza quanto la libertà, secondo la sinergia che richiedono la normativa costituzionale e sovranazionale.

Scheda

Doc-Web
9260158
Data
04/02/20

Argomenti


Tipologie

Audizioni e memorie

Vedi anche (9)