ISSN 2039-1676

logo università Bocconi
logo università degli studi di Milano
con la collaborazione scientifica di

ISSN 2039-1676


29 marzo 2017 |

Data retention ed art. 132 Cod. privacy: vexata quaestio (?)

Nota a Trib. Padova, ord. 15 marzo 2017, Pres. Marassi

Contributo pubblicato nel Fascicolo 3/2017

Per legerre il testo dell'ordinanza in commento, clicca in alto su "visualizza allegato".

 

1. L’ordinanza merita di essere segnalata in quanto si tratta di uno dei rari casi, ad oggi noti, in cui l’avvocato della difesa ha chiesto al giudice (ex art. 121 c.p.p.) di dichiarare l’inutilizzabilità nel processo di tutti i dati esterni del traffico telefonico, a chiunque intestati, acquisiti in fase di indagini dalla pubblica accusa ex art. 132 d.lgs n. 196 del 2003 (Cod. priv.), a seguito della ormai nota sentenza della Corte di Giustizia dell’Unione europea sulla c.d. data retention[1].

In subordine, è stato chiesto al medesimo giudice di voler, ai sensi dell’art. 267 TFUE, sospendere il procedimento e sottoporre alla Corte di Giustizia la seguente questione pregiudiziale: «se gli artt. 7, 8 e 52, par. 1 della Carta dei diritti fondamentali dell’Unione europea ostino ad una normativa nazionale, quale l’art. 132 Cod. priv., che consente l’acquisizione e la conservazione dei dati esterni del traffico telefonico e telematico per qualsiasi tipo di reato».

Tale ordinanza giunge, peraltro, in un momento storico assai complesso per i rapporti fra diritto interno e diritto europeo, anche alla luce del recente dialogo fra le Corti nel caso Taricco[2].

La decisione non è condivisbile in quanto fondata su elementi argomentativi erronei se non, in alcune sue parti, viziati da gravi “sviste” sul piano normativo.

Essa, infatti, cita solo la sentenza della Corte di Giustizia, senza però tenerne in alcun modo conto. Ne sono dimostrazione le eloquenti affermazioni, da un lato, sulla “rilevanza” di tale decisione nell’ «odierno processo», da doversi leggere più propriamente nel “nostro ordinamento”: il giudice afferma infatti che l’art. 132 Cod. priv. non è norma di attuazione della direttiva 2006/24/CE, essendo entrato in vigore antecedentemente. Dunque, secondo il medesimo giudice, «l’invalidità della direttiva non si trasmette ad esso»; dall’altro lato, sul rispetto del principio di proporzionalità sancito dall’art. 52 della Carta dei diritti fondamentali dell’Unione europea in quanto «i dati del traffico telefonico sono stati acquisiti dall’accusa ai fini dell’accertamento del reato di  tentato incendio doloso aggravato», fattispecie a tutela della pubblica incolumità e ritenuta, dal giudice, di gravità tale da consentire l’invasione nel diritto fondamentale alla riservatezza.

Infine, il Tribunale propone una ulteriore riflessione: se, nel caso di specie, sono ammissibili le intercettazioni telefoniche, che comportano una cosi forte restrizione al diritto alla riservatezza, a maggior ragione dovrebbe risultare ammissibile l’acquisizione dei tabulati telefonici.

 

2. Il percorso motivazionale seguito dal giudice è viziato da una serie di criticità assai gravi.

In primo luogo è vero che l’originaria formulazione dell’art. 132 Cod. priv. era antecedente alla direttiva 24/2006, ma non è assolutamente vero che esso non dia attuazione alla direttiva europea. Il decreto legislativo 30 maggio 2008, n. 109, infatti, “di attuazione della direttiva 2006/24/Ce riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce”, ha apportato modifiche all’art. 132 Cod. priv. proprio per attuare la disciplina europea.

In secondo luogo, è condivisibile sostenere che l’annullamento della direttiva potrebbe non aver effetto rispetto alla normativa interna, di attuazione o meno della stessa direttiva. Ciò varrebbe solo, però, se la disciplina nazionale non fosse caratterizzata dagli stessi “vizi” della direttiva, ovvero se il nostro legislatore avesse attuato la fonte europea adottando gli standard di garanzia ora richiesti dalla Corte di Giustizia.

Le disposizioni della direttiva ritenute, secondo la Corte di Giustizia, contrarie ai diritti fondamentali del rispetto della vita privata e della vita familiare, della protezione dei dati di carattere personale e della libertà di espressione e di informazione sono quelle previste in deroga agli artt. 5, 6 e 9 della direttiva 2002/58/CE, relative in particolare all’obbligo di conservazione dei dati di traffico telefonico e telematico (art. 3), alle procedure e alle garanzie inerenti all’accesso ai dati (art. 4) – che avrebbero dovuto essere definite da ogni Stato membro nel pieno rispetto delle previsioni della CEDU, secondo l’interpretazione della Corte europea dei diritti dell’uomo – nonché alle stesse categorie di dati da conservare (art. 5)[3].

La Corte ha rilevato che il trattamento di tali dati, compresa la loro archiviazione, consente di trarre precise conclusioni sulla vita privata dei cittadini europei, sulle loro abitudini giornaliere, sui luoghi di residenza permanente o temporanea, sui loro movimenti e le loro attività, così come sulle loro relazioni sociali. Pertanto, la c.d. data retention invade direttamente e specificatamente i diritti garantiti dall’art. 7 della Carta, mentre il trattamento di tali dati comprime i diritti previsti dall’art. 8 della Carta, non rispettando i requisiti di tale ultima disposizione, considerando la giurisprudenza della stessa Corte di Giustizia (vedi C-92/09 e C-93/09). Inoltre, anche se la direttiva non consente di archiviare i dati relativi ai contenuti delle comunicazioni, le sue previsioni hanno comunque un effetto sul possibile utilizzo dei mezzi di comunicazione da parte degli utenti e sull’esercizio della loro libertà di espressione (ex art. 11 della Carta), nonché permettono un possibile controllo ex post delle attività personali e professionali dei cittadini europei che, seppur esercitato soltanto a posteriori in occasione dell’impiego delle informazioni, minaccia in modo permanente, e per tutto il periodo della loro conservazione, il diritto alla riservatezza. La Corte ha evidenziato che la verifica dell’esistenza di una interferenza rispetto al diritto alla riservatezza non coinvolge necessariamente le questioni relative alla natura del dato (sensibile o meno) o al fatto che la persona coinvolta sia o meno disturbata dal trattamento delle informazioni (vedi C-465/00, C-138/01, C-139/01).

In altri termini il solo obbligo, in capo al provider, di conservare i dati per un periodo di tempo definito, nonché la previsione della possibilità di accesso a tali dati da parte delle autorità nazionali, costituiscono di per sé una interferenza nei diritti fondamentali garantiti dall’art. 7 della Carta e dall’art. 8 CEDU. Ex art. 52, par. 1, della Carta, eventuali limitazioni all’esercizio dei diritti e delle libertà da essa riconosciuti devono essere previste dalla legge e non pregiudicare il contenuto essenziale di detti diritti e libertà.

Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. La questione riguarda, dunque, la verifica relativa, da un lato, all’esistenza di una finalità di interesse generale o all’esigenza di tutelare le libertà e i diritti altrui e, dall’altro lato, al rispetto del nucleo essenziale dei diritti fondamentali in gioco. E’ vero che la direttiva non si applica al contenuto delle comunicazioni, ivi incluse le informazioni consultate utilizzando una rete di comunicazioni elettroniche. E’ altresì vero che l’art. 7 della direttiva dispone che ogni Stato membro avrebbe dovuto provvedere affinché i fornitori di servizi adottassero alcuni principi di sicurezza, ivi comprese misure tecniche e organizzative dirette ad evitare la cancellazione non solo accidentale, ma anche illecita dei dati, la loro alterazione non autorizzata o l’accesso illegale alle informazioni, nonché a garantire che essi vengano distrutti alla fine del periodo di conservazione, fatta eccezione per quelli consultati e conservati.

Sul piano dell’esistenza di un interesse generale riconosciuto dall’Unione, la Corte ha rilevato che la direttiva contribuisce alla lotta contro gravi crimini e, dunque, a tutelare la pubblica sicurezza. Essa, infatti, si propone l’obiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi, di conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale. Lo stesso art. 6 della Carta sancisce i diritti fondamentali alla libertà ed alla “sicurezza”, che possono essere minacciati da fenomeni criminali gravi, come il terrorismo internazionale o la criminalità organizzata.

Risulta pertanto incontestabile, secondo la Corte, che sussista un oggettivo interesse generale dell’Unione. Il principio di proprozionalità richiede, però, che le iniziative delle istituzioni europee siano appropriate al fine di raggiungere i legittimi obiettivi, perseguiti attraverso la disciplina giuridica in esame, purché, utilizzando le parole dei Giudici, non superino i limiti «di quanto è appropriato e necessario» per raggiungere quegli obiettivi. Le scelte discrezionali del legislatore europeo, pertanto, possono essere limitate, in quanto dipendenti da una serie di fattori, compresi quelli relativi alla natura dei diritti fondamentali in gioco, a natura, grado e gravità dell’interferenza ed agli obiettivi da raggiungere attraverso quest’ultima. La Corte ha ammesso che le tecnologie informatiche e i mezzi di comunicazione elettronica possono essere estremamente utili nell’ambito delle attività di indagine, permettendo alle autorità nazionali di avere maggiori opportunità nella lotta alla criminalità grave. In questo senso gli obblighi di conservazione dei dati dovrebbero essere considerati appropriati al raggiungimento degli obiettivi perseguiti dalla direttiva europea. La Corte, però, ha anche evidenziato che il rispetto della vita privata richiede che le deroghe e i limiti relativi alla protezione dei dati personali devono essere applicati solo ed esclusivamente in casi di stretta necessità. Anche se la lotta contro gravi crimini risulta essere essenziale per assicurare la sicurezza pubblica, e la sua efficacia può dipendere da un largo uso di moderne tecniche investigative, la “necessità” di archiviare i dati di traffico per il raggiungimento di un “interesse generale”, anche se di tale portata, non è di per sé giustificata. Il legislatore europeo avrebbe dovuto imporre chiare e precise regole relative all’applicazione della data retention, prevedendo, secondo i Giudici, standard minimi di garanzia per assicurare al cittadino europeo, o alla persona i cui dati sono archiviati, una effettiva protezione contro i rischi di abusi o di accesso illegale alle informazioni, soprattutto in casi come quello in esame, in cui il trattamento dei dati avviene in modo automatizzato ed è intrinsecamente “pericoloso”. Sulla stretta necessità della forte limitazione dei diritti fondamentali portata dalla direttiva, dunque, la Corte è giunta alle seguenti conclusioni.  I. La direttiva richiede l’applicazione della data retention a tutti i dati di traffico connessi a qualsiasi mezzo comunicativo che viene utilizzato oggi da tutti in ogni attività giornaliera. Gli stessi obblighi di archiviazione riguardano i dati di ogni utente registrato. Pertanto essa si applica, in modo generalizzato, a tutti gli utenti e a tutti i mezzi di comunicazione elettronica, così come a tutte le modalità di traffico di dati (via telefono, Internet, e-mail ecc.) senza differenziazioni, limiti o eccezioni rispetto all’obiettivo di contrastare la criminalità grave. Inoltre, tale archiviazione ha ad oggetto dati di persone che, nemmeno indirettamente, si trovano nella situazione di dare adito a procedimenti penali o di essere collegate, anche solo in modo remoto, a reati gravi, anche in situazioni in cui non sussistono prove che la loro condotta possa in qualche modo far sospettare un loro coinvolgimento. Inoltre essa non prevede alcuna eccezione, con la conseguenza che si trova ad essere applicata anche alle persone le cui comunicazioni sono soggette, in base alle norme di diritto nazionale, all’obbligo del segreto professionale. II. La direttiva non prevede alcun rapporto tra i dati oggetto dell’obbligo di conservazione e una minaccia per la sicurezza pubblica. In particolare, tale obbligo non è limitato a: a) dati relativi a un determinato periodo di tempo e/o una particolare zona geografica e/o ad un cerchio di persone che possono essere coinvolte, in un modo o nell’altro, in un crimine grave; b) a persone che potrebbero, per altri motivi, contribuire, grazie alla conservazione dei loro dati, alla prevenzione, accertamento e perseguimento di reati gravi. III. La direttiva non prevede alcun limite oggettivo, sostanziale o procedurale, per l’accesso ai dati da parte delle competenti autorità nazionali e per il successivo utilizzo a fini di prevenzione, accertamento [o nell’ambito di procedimenti penali] riguardanti reati che, in considerazione della portata e della invasività della interferenza con i diritti fondamentali di cui agli artt. 7 e 8 della Carta, siano di una gravità tale da giustificare una limitazione a questi diritti. Al contrario, la direttiva fa riferimento in modo generale, ex art. 1, par. 1, a «reati gravi» come «definiti dagli Stati membri», e non prevede che l’accesso ai dati avvenga dopo l’esame di un giudice o di una autorità amministrativa indipendente, la cui decisione possa, a seguito di una richiesta motivata presentata nel quadro delle procedure di prevenzione o accertamento di gravi reati, o nell’ambito di procedimenti penali, limitare l’accesso ai dati e il loro utilizzo a quanto è strettamente necessario ai fini del raggiungimento dell’obiettivo perseguito. Non si rinviene per gli Stati, peraltro, nessuno specifico obbligo di prevedere tali limiti. IV. Per quanto riguarda il periodo di archiviazione dei dati, la direttiva fa riferimento ad un lasso di tempo minimo (6 mesi) e massimo (24 mesi) senza distinguere le categorie di dati e la loro possibile utilità per il raggiungimento degli obiettivi perseguiti, ovvero in accordo con le persone coinvolte. Inoltre, il “periodo finestra” non è basato su criteri oggettivi al fine di assicurare che sia limitato alla stretta necessità. Ne consegue che l’interferenza con i diritti fondamentali in esame avviene senza limiti o regole precise. V. Con riferimento alla sicurezza ed alla protezione dei dati oggetto dell’obbligo di archiviazione, la direttiva non prevede misure di garanzia sufficienti – come richieste, invece, dagli artt. 7 e 8 della Carta – in specie contro il rischio di abusi, accesso illegale o uso non autorizzato, nonché in relazione alla molteplicità e diversità di dati che devono essere archiviati, alla natura dei medesimi ed ai rischi connessi alla loro integrità, confidenzialità e genuinità. La direttiva, inoltre, non prevede l’obbligo per gli Stati membri di disciplinare elevati standard di sicurezza, permettendo in tal modo ai providers di poter seguire criteri di mera economicità per assicurare la protezione delle informazioni. Infine, la direttiva non richiede che i dati in questione debbano essere conservati all’interno dell’Unione europea, con la conseguenza che non è possibile ritenere che il controllo, espressamente richiesto dall’art. 8, par. 3 della Carta, da parte di un’autorità indipendente in conformità con le esigenze di tutela e sicurezza dei dati, possa essere pienamente garantito.

 

3. Nel nostro ordinamento, l’art. 132 Cod. priv. prevede che i dati relativi al traffico telefonico siano conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, siano conservati dal fornitore per dodici mesi dalla data della comunicazione. Entro tali termini i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore, i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’art. 391-quater c.p.p., ferme restando le condizioni di cui all’art. 8, co. 2, lett. f ), per il traffico entrante. Tralasciando le disposizioni relative allo svolgimento delle investigazioni preventive previste dall’art. 226 delle norme di cui al d.lgs. n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati, il Codice Privacy prevede, ex art. 132-bis, che i fornitori istituiscano procedure interne per rispondere alle richieste effettuate in conformità alle disposizioni che disciplinano forme di accesso ai dati personali degli utenti.

Ad una prima lettura è agevole notare che, nell’ambito dello spazio discrezionale lasciato dalla direttiva ai legislatori nazionali, il legislatore italiano abbia optato, in primo luogo, per la previsione di un obbligo generale valido per l’accertamento e la repressione dei “reati”, senza individuare categorie specifiche di fattispecie penali che devono ritenersi “gravi”.

In secondo luogo, non sono previsti obblighi particolari di sicurezza nel trattamento e nell’archiviazione dei dati che possano corrispondere ad “elevati standard” in considerazione dello sviluppo tecnologico o di best practices riconosciute a livello sovranazionale. In terzo luogo, per l’acquisizione dei dati il legislatore ha previsto il decreto motivato del pubblico ministero. In quarto luogo, le procedure “interne” per rispondere alle richieste di accesso ai dati sono state lasciate sostanzialmente nelle mani del provider, anche se il Garante Privacy italiano è intervenuto in più occasioni prescrivendo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 d.lgs 196 del 2003, l’adozione di specifici accorgimenti e misure in grado di garantire un “elevato” livello di protezione dei predetti dati di traffico[4].

A questo punto appare logico chiedersi quale valore assumono i dati acquisiti presso il provider o, meglio, “consegnati” dal provider, all’interno del processo penale. Quali sono le garanzie legate alla genuinità, integrità e veridicità del dato se le stesse “procedure interne” possono essere non previste in modo chiaro e preciso dalla legge, ma lasciate alla “valutazione” dei providers o, come è avvenuto in Italia, a prescrizioni del Garante, che però possono essere attuate dai fornitori del servizio in modo diverso e con margini di discrezionalità organizzativa, tecnica ed economica? Gli stress a cui sono sottoposti gli istituti processuali coinvolti sono superabili? E qual è il destino dei procedimenti in atto – che incide sulla stessa utilizzabilità dei dati – i quali potrebbero basarsi proprio sull’acquisizione delle informazioni di traffico telefonico o telematico oggetto della data retention? Infine, è opportuno che il legislatore nazionale intervenga in tempi rapidi per adeguare la disciplina italiana ai “rilievi” di illegittimità della direttiva e di grave interferenza nei diritti fondamentali dell’individuo evidenziati dalla Corte?

 

4. Alla luce della sentenza della Corte di Giustizia queste brevi osservazioni costituiscono, anzitutto e de jure condito, questioni “aperte”, con cui l’interprete dovrà necessariamente confrontarsi, in quanto influiscono in modo determinante sulle riflessioni connesse alla “validità” della disposizione italiana in rapporto al diritto europeo ed al rispetto dei diritti fondamentali previsti dalla Carta.

Da un lato, la fonte “gerarchicamete” superiore è stata dichiarata invalida per il contrasto con i diritti fondamentali, ritenuti compromessi ben oltre il limite posto dal rispetto del loro contenuto essenziale e del principio di proporzionalità.

Dall’altro lato, la disposizione italiana, già più volte modificata, non è oggi in grado di assicurare il rispetto degli standard elaborati dalla Corte di Giustizia.

Ferme le delicate questioni sui limiti temporali della conservazione dei dati e sulle procedure di accesso e di acquisizione delle informazioni, le criticità principali riguardano, in primis, l’individuazione dei “gravi” reati “presupposto”, nonché la definizione dei presupposti oggettivi che possano giustificare la data retention.

In secondo luogo, la valutazione sull’esistenza di un fumus commissi delicti dovrebbe essere lasciata ad un organismo indipendente (giudice) attraverso la previsione di una procedura snella e “tempestiva”, che consenta comunque un accertamento concreto sulla sussistenza del reato “presupposto”, basato su elementi indiziari (provvedimento motivato dell’autorità giudiziaria su richiesta del pubblico ministero, anche su istanza del difensore dell’imputato), che può pervenire ex post, in un lasso di tempo comunqe breve, esclusivamente in ipotesi di urgenza (ad esempio quando sussistono elementi oggettivi e concordanti relativi alla preparazione di attentati terroristici), purchè vi sia una definizione: a) di un elevato livello delle “misure di sicurezza” da adottare e delle procedure da seguire per la conservazione, l’estrazione e, eventualmente, la cancellazione dei dati al termine del procedimento o del trattamento; b) di apposite sanzioni di inutilizzabilità del materiale probatorio acquisito in modo illecito o in caso di mancato rispetto del “principio di necessità” nel trattamento dei dati (ad esempio quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato o le persone a lui collegate solo in caso di indispensabilità). La soluzione più immediata, ma purtroppo ad effetto “locale”, vede come protagonista il nostro legislatore, il quale dovrebbe intervenire ed adattare l’attuale disciplina agli standard elaborati dalla Corte di Giustizia.

Sarebbe però maggiormente auspicale un intervento del legislatore europeo, nell’ambito di una più ampia politica criminale dell’Unione. La stessa individuazione dei fenomeni criminali gravi e di natura transnazionale, nonché la conseguente definizione dei “reati presupposto”, potrebbe trovare una base legale nell’art. 83, par. 1, TFUE. Il valore aggiunto riguarda, da un lato, l’efficacia, per la forza vincolante delle fonti per gli Stati membri; dall’altro lato le garanzie, che devono circondare la produzione di norme penali (legittimazione democratica e trasparenza del procedimento legislativo, controllabilita` politica, da parte dei Parlamenti nazionali durante la fase «ascendente» dei fondamentali principi di sussidiarieta` europea e di proporzionalita`, ex art. 5 TUE e Protocollo applicativo n. 2 allegato al TFUE, piena controllabilita` giudiziaria di tali presupposti da parte della Corte di Giustizia ed, indirettamente, delle giurisdizioni nazionali nella fase applicativa).

Potrebbero svolgersi molte altre riflessioni[5], ma almeno una appare dirimente ed incontestabile: l’art. 132 Cod. priv. consente l’accesso ai dati esterni del traffico «per finalità di accertamento e repressione dei reati», e non invece l’accesso a tali dati per un catalogo di specifici delitti, individuati tra quelli più gravi.

Questo principio è stato espresso da una ulteriore e più recente sentenza della Corte di Giustizia, la quale ha affermato che:  «l’art. 15, par. 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, par.o 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica». Inoltre, l’art. 15, par. 1, della medesima direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli artt. 7, 8 e 11 nonché dell’art. 52, par. 1, della Carta dei diritti fondamentali, «deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente [e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione]»[6].

L’insanabile contrasto dell’art. 132 Cod. priv. con gli artt. 7, 8 e 52, par. 1 della Carta dei diritti fondamentali dell’Unione europea non può certo essere sanato dal giudice, come pretende di fare il Tribunale di Padova, affermando che il reato per cui si procede deve ritenersi grave. Dalla sentenza della Corte si dovrebbe ricavare l’insegnamento, valido per ogni mezzo di indagine, secondo cui per incidere nella riservatezza della vita privata dei cittadini «occorre la previa fondamentale mediazione del legislatore, che stabilisca i contorni ed i limiti della [nuova] attività, nel cruciale rispetto del principio di proporzionalità». Pertanto l’attività prevista dall’odierno art. 132 Cod. priv., non dovrebbe essere compiuta e, se compiuta, dovrebbe essere considerata in contrasto con gli artt. 7, 8 e 52 della citata Carta dei diritti fondamentali ed «i suoi esiti non [potrebbero] essere utilizzati nel processo penale»[7].

L’art. 132 Cod. priv. dovrebbe dunque essere disapplicato. Non essendovi precedenti diretti è evidente che, ove il giudice nazionale avesse dei dubbi sulla compatibilità della disposizione con il diritto europeo ed il rispetto dei diritti fondamentali, restano aperte le vie del vaglio di costituzionalità o del rinvio pregiudiziale alla Corte di Giustizia ex art. 267 TFUE.[8]

 

[1]  Corte di Giustizia UE, sent. 8 aprile 2014, Digital Rights Ireland Ltd (C‑293/12 e C‑594/12), in questa rivista, 28 aprile 2014. Vedi R. Flor, La Corte di giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali. Una lunga storia a lieto fine?, in Diritto penale contemporaneo - Rivista trimestrale, 2014, fasc. 2, 178 ss.

[2] Corte di giustizia UE, sent. 8 settembre 2015 (Grande Sezione), Taricco (C-105/14). Sull’ampio dibattito, anche a seguito dell’intervento della Corte Costituzionale italiana, vedi fra i numerosi interventi quelli, in questa rivista, di Bin R., Caianiello M., Eusebi L., Lupo E., Manes V., Mastroianni R., Picotti L., Pulitanò D., Sotis C., Venegoni A., Viganò F.

[3] Vedi dettagliatamente R. Flor, La Corte di giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali, cit., 178 ss.

[4] Vedi, ad esempio, i provvedimenti del 17 gennaio 2008, 24 luglio 2008 e 29 aprile 2009, con cui il Garante ha preso atto anche delle modifiche normative intervenute dalla data di entrata in vigore del d.lgs n. 196 del 2003 e, in particolare, di quelle introdotte con la l. n. 48 del 2008, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica del 23 novembre 2001, che ha modificato l’art. 132 del Codice, prevedendo una specifica ipotesi di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati. In materia è successivamente intervenuto il d.l. 2 ottobre 2008, n. 151 (convertito con modificazioni dall’art. 1 della l. n. 186 del 2008).

[5]  Ad esempio sull’atteggiamento del nostro legislatore che, nella l. 17 aprile 2015, n. 43 di conversione, con modificazioni, del d.l.  18 febbraio 2015, n. 7 (c.d. decreto anti terrorismo) si è preoccupato di prolungare i termini di conservazione dei dati, senza apportare alcuna modifica sostanziale o ulteriore all’art. 132 Cod. priv. Vedi S. Signorato, Contrasto al terrorismo e data retention: molte ombre e poche luci, in R. E. Kostoris, F. Viganò (a cura di), Il nuovo "pacchetto" antiterrorismo, Giappichelli, 2015, pp. 75-104.

[6] Si veda Corte di Giustizia UE, sent. 21 dicembre 2016, Tele2 Sverige c. (C-203/15 e C-698/15). Risulta dalla decisione di rinvio nella causa C‑203/15 che il legislatore svedese, al fine di trasporre la direttiva 2006/24 nell’ordinamento nazionale, ha modificato la lagen (2003:389) om elektronisk kommunikation [legge (2003:389) sulle comunicazioni elettroniche [«LEK»] e il förordningen (2003:396) om elektronisk kommunikation [regolamento (2003:396) sulle comunicazioni elettroniche]. Tali testi normativi contengono entrambi, nella versione applicabile nel procedimento principale, norme sulla conservazione dei dati relativi alle comunicazioni elettroniche nonché sull’accesso a tali dati da parte delle autorità nazionali.

L’accesso ai dati suddetti è inoltre disciplinato dalla lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet [legge (2012:278) sulla comunicazione di dati relativi alle comunicazioni elettroniche nell’ambito delle attività di informazione delle autorità di repressione degli illeciti], nonché dal rättegångsbalken (codice dei procedimenti giurisdizionali) [«RB»]. Secondo le indicazioni del giudice del rinvio nella causa C‑203/15, le disposizioni di cui all’articolo 16 a del capo 6 della LEK, lette in combinato disposto con l’art. 1 del capo 2 della medesima legge, prevedono un obbligo per i fornitori di servizi di comunicazione elettronica di conservare i dati la cui conservazione era prevista dalla direttiva 2006/24. Si tratta dei dati relativi agli abbonamenti e a tutte le comunicazioni elettroniche necessari per rintracciare e identificare la fonte e la destinazione di una comunicazione, per determinarne la data, l’ora, la durata e la natura, per identificare lo strumento di comunicazione utilizzato, nonché per localizzare le apparecchiature di comunicazione mobile utilizzate all’inizio e alla fine della comunicazione. L’obbligo di conservazione dei dati riguarda i dati generati o trattati nell’ambito di un servizio di telefonia, di un servizio di telefonia tramite un punto di connessione mobile, di un sistema di messaggeria elettronica, di un servizio di accesso a Internet, nonché di un servizio di fornitura di capacità di accesso a Internet (modalità di connessione). Tale obbligo include altresì i dati relativi alle comunicazioni non riuscite. Esso non riguarda però il contenuto delle comunicazioni. Gli articoli da 38 a 43 del regolamento (2003:396) sulle comunicazioni elettroniche precisano le categorie di dati che devono essere conservati. Nell’ambito delle attività di informazione, la polizia nazionale, la Säkerhetspolisen (polizia di sicurezza, Svezia) e la Tullverket (amministrazione delle dogane, Svezia) possono, sulla base dell’art. 1 della legge 2012:278, alle condizioni prescritte da tale legge e all’insaputa del fornitore di una rete elettronica di comunicazioni o di un servizio di comunicazione elettronica autorizzato in applicazione della LEK, procedere alla raccolta di dati relativi ai messaggi trasmessi in una rete di comunicazioni elettroniche, agli strumenti di comunicazione elettronica che si trovano in una determinata zona geografica, nonché alla zona o alle zone geografiche in cui si trova o si trovava uno strumento di comunicazione elettronica. Conformemente agli artt. 2 e 3 della legge 2012:278, i dati possono, in linea di principio, essere raccolti nel caso in cui, sulla base delle circostanze, la misura risulti particolarmente necessaria per prevenire, impedire o accertare un’attività criminale implicante una o più violazioni punite con una pena detentiva di almeno due anni, ovvero uno degli atti elencati all’art. 3 della medesima legge comprendente violazioni punite con una pena detentiva inferiore a due anni. Le motivazioni che fondano tale misura devono prevalere sulle considerazioni relative alla lesione o al pregiudizio che essa comporta per la persona che ne è destinataria o per un interesse che si oppone ad essa. Conformemente all’art. 5 della legge suddetta, la durata della misura non deve eccedere un mese. Il RB disciplina la comunicazione dei dati conservati alle autorità nazionali nell’ambito di indagini preliminari. Conformemente all’art. 19 del capo 27 del RB, la «messa sotto sorveglianza di comunicazioni elettroniche» all’insaputa di soggetti terzi è, in linea di principio, autorizzata nell’ambito di indagini preliminari aventi ad oggetto, in particolare, violazioni sanzionate con una pena detentiva di almeno sei mesi. Per «messa sotto sorveglianza di comunicazioni elettroniche» occorre intendere, a norma dell’art. 19 del capo 27 del RB, l’acquisizione di dati all’insaputa di soggetti terzi relativi ad un messaggio trasmesso tramite una rete di comunicazioni elettroniche, agli strumenti di comunicazione elettronica che si trovano o si trovavano in una zona geografica determinata, nonché alla zona o alle zone geografiche in cui un determinato strumento di comunicazione elettronica si trova o si trovava. Secondo le indicazioni del giudice del rinvio nella causa C‑203/15, non è possibile ottenere informazioni sul contenuto di un messaggio sulla base dell’art. 19 del capo 27 del RB. In linea di principio, la messa sotto sorveglianza di comunicazioni elettroniche può essere ordinata, a norma dell’art. 20 del capo 27 del RB, soltanto in presenza di indizi plausibili che consentano di sospettare che una persona sia l’autore di una violazione e che la misura sia particolarmente necessaria per le necessità dell’indagine, con la precisazione che quest’ultima deve altresì vertere su una violazione punita con una pena detentiva di almeno due anni ovvero sul tentativo, sulla preparazione o sull’intesa delittuosa finalizzati a commettere una violazione siffatta. Conformemente all’art. 21 del capo 27 del RB, il pubblico ministero che procede deve, tranne nei casi di urgenza, chiedere al giudice competente l’autorizzazione a procedere alla messa sotto sorveglianza di comunicazioni elettroniche.

[7] Così S. Marcolini, Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. pen., 2015, 760 ss..

[8] Questa tesi, condivisibile, è sostenuta da una parte della dottrina processualistica, la quale aggiunge finemente che al percorso già segnalato «– secondo cui in questo modo si incorrerebbe in un divieto probatorio ex art. 191 c.p.p., la cui peculiarità è di essere contenuto in Costituzione od in un atto sostanzialmente equivalente, come la CEDU (perché si lederebbe un diritto definito inviolabile, senza la mediazione di una legge ordinaria che preveda casi e modi di quella lesione), e quindi si produrrebbe attività inutilizzabile in ogni stato e grado, rilevabile da qualunque giudice (quello della responsabilità ma anche, in indagini, quello delle cautele), percorso che peraltro, come si è già osservato, la giurisprudenza si è sempre dimostrata renitente ad imboccare – si affianca un nuovo argomento. Come la norma di legge sottesa (l’art. 132 codice privacy) è contraria al diritto comunitario, così è contraria al diritto comunitario anche l’attività di interpello e di acquisizione di dati compiuta, nel vacuum di regole, dagli organi dell’investigazione. Se questo dato non può essere negato, si ritiene che, nel ricercare quali possano essere le conseguenze della contrarietà dell’atto investigativo penale al diritto comunitario, questione che presenta degli innegabili tratti di novità, l’unica opzione che va energicamente esclusa a priori è quella dell’assenza di qualsiasi sanzione […]; non resta che aderire alla tesi dell’inutilizzabilità costituzionale che, si ricorderà, le Sezioni unite della Corte di cassazione avevano indicato per la libertà domiciliare nella vicenda Prisco». Così S. Marcolini, Le indagini atipiche, cit., 760 ss. Cfr. altresì F. Iovene, Data retention fra passato e futuro. Ma quale presente?, in Cass. pen., 2014, 808 ss. Si vedano inoltre le riflessioni di R. Flor, Dalla data retention al diritto all’oblio. Dalle paure orwelliane alla recente giurisprudenza della Corte di giustizia. Quali effetti per il sistema di giustizia penale e quali prospettive de jure condendo?, in Dir. informaz. e inform., 2014, 775 ss.;  R. Flor, La Corte di giustizia considera la direttiva europea 2006/24 sulla c.d. “data retention” contraria ai diritti fondamentali, cit., 178 ss.