g-docweb-display Portlet

Segnalazione sulla disciplina della conservazione, a fini di giustizia, dei dati di traffico telefonico e telematico

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 2 AGOSTO 2021

 

Segnalazione sulla disciplina della conservazione, a fini di giustizia, dei dati di traffico telefonico e telematico

Illustre Sen. Maria Elisabetta Alberti Casellati
Presidente del Senato della Repubblica

Illustre On. Roberto Fico
Presidente della Camera dei deputati

Illustre Prof.ssa Marta Cartabia
Ministra della Giustizia

Illustre Sig. Vincenzo Amendola
Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri
(Affari europei)

Le scrivo al fine di sottoporre, alla Sua attenzione, l’opportunità della riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia (art. 132 d.lgs. 30 giugno 2003, n. 196 e s.m.i.; art. 24 l. 20 novembre 2017, n. 167), più volte sollecitata dall’Autorità ma ora resa ulteriormente necessaria a seguito della sentenza della Corte di giustizia dell’Unione europea del 2 marzo scorso, resa nella causa C-746/18.

Tale pronuncia sviluppa ulteriormente e precisa, non senza accenti innovativi, un indirizzo pretorio già consolidato, a partire dalla sentenza Digital Rights Ireland dell’8 aprile 2014 (cause riunite C-293/12 e C-594/12), con cui la Corte di giustizia ha dichiarato l’illegittimità della direttiva 2006/24/Ce per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza.

La violazione del principio di proporzionalità era, in quel caso, ravvisata, in particolare: nella previsione di misure di conservazione dei dati applicabili in via indifferenziata e generalizzata " a “qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché [al]l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi”; nell'omessa adozione di criteri oggettivi idonei a limitare l'accesso a tali dati per sole esigenze di accertamento di reati sufficientemente gravi; nell'omessa previsione dei parametri sostanziali e procedurali per l'accesso, da parte delle competenti autorità nazionali, ai dati in esame, in particolare non richiedendo in ogni caso il previo controllo dell'autorità giudiziaria o di un'autorità amministrativa indipendente; nell'omessa introduzione di parametri idonei a differenziare la durata della conservazione dei dati anche in ragione della loro tipologia e, quindi, dell’utilità probatoria di ciascuna di essi; nell’assenza di “garanzie sufficienti, come richieste dall’articolo 8 della Carta, che permettano di assicurare una protezione efficace dei dati conservati contro i rischi di abuso nonché contro eventuali accessi e usi illeciti dei suddetti dati”.

La Corte ha, in quella sede, precisato anche che il principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza esige una differenziazione specificamente modulata in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato. E questo, nel rispetto di alcune garanzie essenziali, quali, in particolare, la subordinazione di tali limitazioni all'autorizzazione di un'autorità terza quale l'autorità giudiziaria o comunque un'autorità amministrativa indipendente.

Con la sentenza resa nel caso Tele2 Sverige (cause riunite C 203/15 e C 698/15) il 21 dicembre 2016, la Corte di giustizia dell’Unione europea ha dichiarato incompatibile con l’articolo 15, paragrafo 1, della direttiva 2002/58 ogni previsione interna che, per fini di contrasto dei reati imponga la conservazione “generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica”, nonché legittimi l’accesso “delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione”.

Le discipline interne sulla data retention devono pertanto prevedere- ad avviso della Corte- l’accessibilità dei dati conservati solo da parte dell’autorità giudiziaria o di un’autorità amministrativa indipendente, in base a circostanze e procedure disciplinate dalla legge per esigenze di accertamento di gravi reati, notificando la misura all’interessato, non appena le esigenze investigative lo consentano.

I principi affermati dalla Corte hanno indotto il Garante per la protezione dei dati personali a invitare più volte il legislatore (in particolare con i pareri resi sugli schemi di decreti legislativi di adeguamento al Regolamento Ue 2016/679 e, rispettivamente, di recepimento della direttiva (UE) 2016/680, nn. 312 del 2018, doc web 9163359 e 99 del 2018, doc web 8005333) a riformare la disciplina interna sulla conservazione dei tabulati, che non limita (né limitava allora) l’acquisizione ai soli reati gravi, né subordina (né subordinava) tale acquisizione al vaglio del giudice.

La carenza di proporzionalità della disciplina interna è risultata poi accentuata dalla novella di cui alla legge 167 del 2017, che ha esteso a sei anni (72 mesi) il termine massimo di conservazione dei tabulati, con acquisibilità dei dati, in questo caso, limitata tuttavia ai procedimenti per reati di competenza delle Procure distrettuali o per i quali la durata delle indagini preliminari è ampliata a due anni (artt. 51, c.3-quater e 407, c.2, lett.a, c.p.p.). E benché l’acquisibilità dei dati raccolti oltre il termine ordinario (ventiquattro mesi prima per i tabulati telefonici, dodici mesi prima per i telematici e trenta giorni prima per le chiamate senza risposta) sia limitata a tale categoria di reati particolarmente gravi, proprio la natura retrospettiva di questo strumento investigativo implica la conservazione generalizzata dei dati di traffico per sei anni, salvo poi limitarne l’utilizzabilità processuale ai soli casi normativamente considerati.

Tuttavia, più volte la Corte di Cassazione (Cass., Sez. V, 24 aprile 2018, 273892 e Sez. III, 23 agosto 2019, n. 36380) ha ritenuto la disciplina interna compatibile con il canone di proporzionalità e conforme ai principi sanciti dalla Corte di giustizia in quanto, in particolare, delimita temporalmente la durata della conservazione e demanda all’autorità giudiziaria (nella specie, al pubblico ministero) l’effettivo controllo della stretta necessità dell’acquisizione dei dati.

La sentenza 13 febbraio 2020, n. 5741 della Corte di Cassazione ha, inoltre, affermato che “non può ritenersi che la disciplina italiana di conservazione dei dati di traffico (c.d. data retention) sia in contrasto con le pronunce della Corte di giustizia datate 8 aprile 2014 e 21 dicembre 2016 poiché la suddetta normativa prevede la conservazione dei dati per un periodo limitato pari a 24 mesi, subordina la possibilità di acquisizione degli stessi soltanto per finalità di accertamento e repressione dei reati, prevede che l'utilizzazione degli stessi dati sia sottoposta al provvedimento di acquisizione emesso da parte del Pubblico Ministero e cioè di un organo giurisdizionale che procede nell'ambito di una attività di indagine preliminare. Ne deriva quindi che la legislazione italiana non prevede la facoltà delle autorità pubbliche di accesso indiscriminato ai dati sensibili bensì la limita ai soli casi di indagini per fatti di reato svolte entro un determinato arco temporale di 24 mesi (elevati a 72 solo per fatti di reato di particolare allarme sociale) e la subordina alla autorizzazione proveniente da un organo giurisdizionale. […] Va pertanto ribadita la legittimità della normativa nazionale di riferimento costituita dall'art. 132 Codice della privacy, poiché la deroga al diritto alla riservatezza delle comunicazioni è prevista per un periodo limitato, ha come esclusivo obiettivo l'accertamento e la repressione dei reati è subordinato alla emissione di un provvedimento da parte di un'autorità giurisdizionale”.

Con la sentenza del 2 marzo 2021, la Corte di giustizia dell’Unione europea ha però chiarito due aspetti essenziali, che rischiano di rendere non più compatibile con la disciplina europea l’argomento utilizzato dalla Corte di Cassazione, tra l’altro nella sentenza su richiamata. Ad avviso della Corte, infatti, l’acquisibilità processuale dei dati di traffico va da un lato limitata ai soli procedimenti per gravi reati o per gravi minacce per la sicurezza pubblica e, dall’altro, va subordinata all’autorizzazione di un’autorità terza rispetto all’autorità pubblica richiedente. La Corte precisa, infatti, che l’accesso delle autorità nazionali competenti ai dati conservati dev’essere “subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente e (...) la decisione di tale giudice o di tale entità [deve] interven[ire] a seguito di una richiesta motivata delle autorità suddette.

Più precisamente, sotto il primo profilo, la Corte precisa che “l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo”.

Sotto il secondo profilo, la Corte rileva come la disciplina europea osti “ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale”.

A fronte di tali affermazioni, il valore attribuito dalla disciplina italiana alla gravità dei reati (come requisito che regola la profondità cronologica retrospettiva dell’acquisizione e non la sua ammissibilità in senso assoluto) non appare sufficiente a soddisfare il canone di proporzionalità come interpretato dalla Corte.  E alla luce di tale criterio andrebbe anche ripensato il termine di conservazione di sei anni previsto dalla disciplina vigente, considerando anzitutto che la direttiva CE 2006/24 (la quale prevedeva un termine massimo di conservazione di due anni) è stata invalidata dalla Corte per violazione, in particolare, del canone di proporzionalità.

Merita, inoltre, qualche riflessione la compatibilità, con i principi affermati dalla Corte di Giustizia europea, della procedura interna che legittima all’acquisizione dei tabulati il pubblico ministero – il quale vi provvede con decreto motivato – non esigendo il vaglio del giudice.

Anche tale previsione – ritenuta sinora legittima dalla giurisprudenza costituzionale e di legittimità- sembra di dubbia compatibilità con l’esigenza, sottolineata dalla Corte di giustizia, di un vaglio, da parte di un’autorità terza, sulla richiesta di acquisizione. L’accento posto dalla Corte nella sentenza del 2 marzo scorso è, infatti, non sulla sola imparzialità o sull’indipendenza ma, in senso proprio, sulla terzietà dell’autorità cui sia demandato il vaglio acquisitivo.

Tale rilievo supera – come osserva il Tribunale di Roma, sezione Gip-Gup, decr. 25 aprile 2021- anche l’indirizzo della giurisprudenza interna volto a ritenere il pubblico ministero autorità legittimamente deputata al vaglio acquisitivo dei tabulati in ragione della sua indipendenza, con “sopravvenuto contrasto tra l’art. 132, c.3, d.lgs. 196 del 2003 e la normativa dell’Unione europea, così interpretata dal giudice europeo, nella parte in cui attribuisce la competenza ad emettere il decreto motivato di acquisizione al pubblico ministero anziché al giudice”.

Si potrebbe, conclusivamente, riflettere sull’opportunità di una riforma della disciplina della data retention, tale da differenziare condizioni, limiti e termini di conservazione dei dati di traffico telefonico e telematico in ragione della particolare gravità del reato per cui si proceda, comunque entro periodi massimi compatibili con il su richiamato principio di proporzionalità, come interpretato dalla Corte di giustizia dell’Unione europea.

Occorrerebbe inoltre valutare – anche sulla scorta di alcuni ordini del giorno accolti dal Governo nell’ambito di recenti procedimenti legislativi- l’opportunità di subordinare l’acquisizione dei dati all'autorizzazione del gip, ferma restando, ovviamente, nei casi d'urgenza, la possibilità per il pubblico ministero di provvedervi con proprio decreto, soggetto a convalida solo in fase successiva, sul modello dell'articolo 267, comma 2, c.p.p.

L’intervento del legislatore, in senso conforme alla giurisprudenza europea, sarebbe tanto più necessario a fronte di posizioni contrastanti già registratesi in sede pretoria dopo la sentenza del 2 marzo scorso. In un caso, ad esempio, è stata sollevata questione pregiudiziale interpretativa della disciplina europea (Trib. Rieti, ord. 4.5.2021) non ritenendosi esperibile la disapplicazione della normativa interna, disposta invece da altro giudice che ha direttamente autorizzato l’acquisizione dei tabulati, ritenuta indispensabile ai fini probatori e ravvisando la concreta gravità dei reati per cui si procedeva in quanto, a fortiori, riconducibili a quelli che legittimano le intercettazioni ex artt. 266 e 266-bis c.p.p. (Trib. Roma, sez.Gip-Gup, decr.25.4.2021).

A fronte di tale diversità di posizioni e dell’esigenza di rendere il quadro normativo interno pienamente conforme alla disciplina europea, come interpretata dalla Corte di giustizia dell’Unione europea, pare dunque auspicabile un intervento chiarificatore del legislatore, che assicuri quel bilanciamento, tra esigenze investigative e protezione dei dati personali, più volte invocato dalla giurisprudenza europea.

Si potrebbe, inoltre, cogliere l’occasione dell’auspicato intervento sulla disciplina di cui all’articolo 132 del decreto legislativo n. 196 del 2003 per adeguarne pienamente il dettato- anche sotto il profilo dell’accesso della difesa ai tabulati- alle esigenze emerse in sede applicativa. Le istanze pervenute al Garante, in particolare, hanno evidenziato la necessità della previsione di una tutela remediale specifica nel caso di omesso o inidoneo riscontro, da parte del fornitore, alla richiesta di acquisizione, da parte del difensore dell’imputato o della persona sottoposta alle indagini, dei tabulati relativi alle utenze intestate al proprio assistito, avanzata ai sensi dell’articolo 132, comma 3, secondo e terzo periodo. Il solo richiamo all’articolo 391-quater c.p.p., ai fini della disciplina delle modalità della richiesta difensiva, non è, infatti, di per sé sufficiente a fornire una tutela remediale adeguata nei casi d’inerzia del fornitore, suscettibili di pregiudicare- talora  irrimediabilmente - le esigenze probatorie della difesa.

Peraltro, come dimostrano le varie istanze pervenute al Garante in tali casi, la riconducibilità di questa istanza difensiva a una forma, sia pur peculiare, di accesso dell’interessato ai propri dati personali ai sensi dell’articolo 15 del Regolamento (UE) 2016/679, radica, sia pur implicitamente, la competenza del Garante in ordine all’accertamento dell’illegittimità dell’inerzia del fornitore (cfr., per i provvedimenti del Garante, in particolare il n. 85 del 14 maggio 2020, doc. web n. 9442587). Tale attribuzione di competenza meriterebbe tuttavia – se non altro per esigenze di certezza del diritto - una più compiuta disciplina o, quantomeno, una previsione normativa espressa, tale da fugare ogni possibile dubbio interpretativo.

Tanto segnalo, ai sensi degli articoli 37, comma 2, alinea e lettera a), del d.lgs. 18 maggio 2018, n. 51, e 23, comma 1, lettera a) del decreto legislativo 10 agosto 2018, n. 101, grato, anche a nome del Collegio del Garante, per l’attenzione che vorrà riservare alle suesposte considerazioni e confermando, sin d’ora, la più ampia disponibilità dell’Autorità ad ogni collaborazione che dovesse essere ritenuta utile.

Il Presidente
Pasquale Stanzione