CORTE DI GIUSTIZIA DELL’UNIONE EUROPEA: IL “DATE RETENTION” È CONSENTITO SOLO PER FINALITÀ DI LOTTA ALLA CRIMINALITÀ O DI PREVENZIONE DI GRAVI MINACCE ALLA SICUREZZA PUBBLICA (CGUE 2 MARZO 2021, C-746/18).

Autore: Avv. Teresa Aloi

 

Importante sentenza della Corte di Giustizia dell’Unione Europea pronunciata il 2 marzo scorso, nella quale si è affermato il principio secondo cui l’accesso, per fini penali, ai dati relativi a comunicazioni elettroniche inerenti al traffico telefonico o all’ubicazione, che permettono di trarre precise conclusioni sulla vita privata di un utente, è consentito solo allo scopo di perseguire gravi forme di criminalità o per prevenire gravi minacce alla sicurezza pubblica.

La questione, nota come “data retention” (conservazione dei dati esterni alle comunicazioni sul traffico telefonico e telematico effettuato dall’utenza per un determinato periodo di tempo) ha sempre sollevato notevoli discussioni tra organismi giudiziari ed autorità di controllo in quanto evidenzia la contrapposizione tra tutela della privacy e finalità di giustizia.

La Corte europea si è più volte pronunciata sul tema, dalla sentenza “Digital Rights” (CGUE 8 aprile 2014) e “Tele 2 Sverige” (CGUE 21 dicembre 2016) fino alla sentenza “Schrems” (CGUE 16 luglio 2020) ed a quella in commento.

Per i gestori, la memorizzazione dei dati costituisce un vero e proprio obbligo di legge. Tale attività, infatti, serve a rintracciare ed identificare la fonte e la destinazione di una comunicazione, determinandone la data, l’ora e la durata, il tipo di connessione, le attrezzature utilizzate dagli utenti per comunicare e la loro ubicazione. Nessun dato circa il contenuto delle comunicazioni, però, può essere conservato e solo alcuni soggetti determinati, le autorità nazionali competenti, possono accedere a tali quantità di dati, in casi specifici ed in conformità alle normative nazionali.

Il tema riveste una particolare importanza in riferimento a quello che viene definito “tracing” o “tracciamento”, ossia quel percorso inverso diretto ad individuare l’origine della condotta di reato posta in essere con l’aiuto di strumenti digitali, attraverso l’individuazione e la conservazione di informazioni esterne ai contenuti delle comunicazioni degli utenti (c.d. metadati), ma legate ad esse, come accade per i tabulati telefonici[1].

Il contesto normativo di riferimento è la direttiva 2006/24/CE, in Italia recepita con la riforma dell’art. 132 del Codice della Privacy, normativa che negli anni è stata modificata completamente nell’ottica dell’attuazione della disciplina europea in materia di protezione dei dati personali, disposta dal Regolamento UE 2016/679 (GDPR entrato in vigore dal 25 maggio 2018) e dalla Direttiva UE 2016/680 (in Italia il tempo di conservazione di tali informazioni è di 6 anni).

La conservazione dei c.d. metadati costituisce un importante aiuto per la prevenzione e la repressione dei reati, in particolare, rispetto al traffico telematico, gli inquirenti, grazie anche alla collaborazione degli Internet Service Provider, possono identificare un certo utente attivo in rete e ricostruirne l’attività on line.

Va sottolineato, come spesso ai fini dell’indagine, tali dati rappresentano le prime informazioni indispensabili (si pensi a reati come le truffe telematiche, la diffamazione e la pedopornografia on line).

Il tema, tuttavia, pone l’attenzione sulla relazione di diretta proporzionalità esistente tra la conservazione dei metadati ed il rischio di ledere alcuni diritti fondamentali degli utenti, come il diritto alla privacy. La “data retention” rappresenta una limitazione del diritto alla tutela della sfera privata e dei dati personali, garantiti rispettivamente dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione europea in quanto, anche se la conservazione dei dati non riguarda il contenuto delle comunicazioni, essi, tuttavia, offrono informazioni sulla vita privata di un soggetto ed il loro utilizzo può consentire di creare veri e propri profili della personalità dei soggetti interessati, in quanto i dati digitali permettono di tracciare i movimenti degli stessi; da qui la necessità di realizzare un compromesso tra le due esigenze.

Un riferimento normativo in tal senso è rappresentato dall’art. 52, c.1, della Carta dei Diritti Fondamentali dell’Unione Europea, secondo cui è richiesta una riserva di legge per giustificare l’ingerenza pubblica nella sfera privata, la quale deve, in ogni caso, rispettare il nucleo essenziale dei diritti e delle libertà coinvolti e deve, nel rispetto del principio di proporzionalità, apportare limitazioni solo dove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

La Corte di Giustizia dell’Unione europea, con la sentenza pronunciata il 2 marzo scorso, interviene sul tema a seguito della domanda di pronuncia pregiudiziale avente ad oggetto l’interpretazione dell’art. 15, paragrafo 1, della Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche.[2]

Tale domanda è stata presentata nell’ambito di un procedimento penale istaurato in Estonia a carico di un soggetto per le imputazioni di furto, di uso della carta bancaria di un terzo e di violenza nei confronti di persone partecipanti ad un procedimento giudiziario.

La Direttiva 2002/58/CE mira a far rispettare i diritti fondamentali e si attiene ai principi riconosciuti dalla Carta UE, in particolare, a quelli di cui agli artt. 7 e 8, secondo i quali, ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, inoltre, ha diritto alla protezione dei dati personali che la riguardano, che devono essere trattati secondo il principio di lealtà, per determinate finalità ed in base al consenso della persona interessata.

La Direttiva non affronta le questioni relative alla tutela ed alle libertà fondamentali inerenti a attività che non siano disciplinate dal diritto dell’Unione, lasciando, pertanto, inalterato l’equilibrio esistente tra il diritto dei cittadini alla propria vita privata e la possibilità per gli Stati membri di adottare i provvedimenti di cui all’art. 15, paragrafo 1, della Direttiva stessa, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato e l’applicazione della legge penale.

Il procedimento penale a carico del cittadino estone si era concluso in appello con una condanna a due anni di reclusione. I verbali su cui si fondava la constatazione dei reati attribuitagli erano stati redatti sulla base di dati personali generati nel quadro della fornitura di servizi di comunicazioni elettroniche. La Corte Suprema, davanti alla quale il condannato aveva proposto ricorso, aveva sollevato dei dubbi riguardo alla compatibilità con il diritto dell’Unione, in particolare con l’art. 15, paragrafo 1, della direttiva 2002/58/CE, dei presupposti in presenza dei quali gli organi inquirenti avevano avuto accesso ai dati suddetti.

Tali dubbi riguardavano, in primo luogo, la questione se la durata del periodo per il quale gli organi inquirenti avevano avuto accesso ai dati costituisse un criterio idoneo a valutare la gravità dell’ingerenza che tale accesso determina nei diritti fondamentali delle persone interessate. Così, per il caso in cui questo periodo fosse assai limitato, il giudice del rinvio si era chiesto se l’obiettivo della lotta contro la criminalità in generale e non solo contro le forme gravi, fosse idoneo a giustificare una tale ingerenza.

In secondo luogo, il giudice del rinvio aveva sollevato dubbi in ordine alla possibilità di considerare il pubblico ministero estone, alla luce dei diversi compiti che gli sono attribuiti dalla normativa nazionale, come un’autorità amministrativa indipendente idonea ad autorizzare l’accesso dell’autorità incaricata dell’indagine, ai dati in questione.

Con la sua sentenza, la Corte di Giustizia dell’Unione europea, riunita in Grande Sezione, ritiene che la Direttiva 2002/58/CE, letta alla luce della Carta dei Diritti Fondamentali dell’UE, osti ad una normativa nazionale che permetta l’accesso delle autorità pubbliche a dati relativi al traffico o all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate ed a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia limitato a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica. Secondo la Corte, la durata del periodo per il quale l’accesso a tali dati è stato richiesto e la quantità o la natura dei dati disponibili per tale periodo non hanno alcuna incidenza. Inoltre, essa considera che questa stessa Direttiva è di ostacolo ad una normativa nazionale che renda il pubblico ministero competente ad autorizzare l’accesso ad un’autorità pubblica ai dati relativi al traffico o all’ubicazione al fine di condurre un’istruttoria penale.

La Direttiva indicata, secondo l’interpretazione della Corte di Giustizia, autorizza gli Stati membri ad adottare, tra l’altro, agli scopi suddetti, misure legislative dirette a limitare la portata dei diritti e degli obblighi previsti dalla Direttiva stessa e, in particolare, l’obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico, solo a condizione che vengano rispettati i principi generali del diritto dell’Unione, tra i quali figura il principio di proporzionalità ed i diritti fondamentali garantiti dalla normativa europea. In tale contesto, la Direttiva si pone in contrasto con misure legislative che impongono ai fornitori di servizi di comunicazione elettronica, in via preventiva, una conservazione generalizzata ed indifferenziata dei dati relativi al traffico ed all’ubicazione.

Per quanto riguarda l’obiettivo della prevenzione, della ricerca, dell’accertamento e del perseguimento di reati, oggetto della normativa in questione, in conformità con il principio di proporzionalità, la Corte europea ritiene che solo gli obiettivi di lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica possono giustificare l’accesso delle autorità pubbliche ad un insieme di dati suscettibili di consentire di trarre precise conclusioni sulla vita privata delle persone senza che altri fattori attinenti alla proporzionalità di una domanda di accesso, come, per esempio, la durata del periodo per il quale tale accesso ai dati viene richiesto, possano giustificare una tale ingerenza.

Per quanto attiene alla competenza conferita al pubblico ministero ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico ed all’ubicazione, al fine di dirigere un’istruttoria penale, la Corte UE sottolinea che spetta al diritto nazionale stabilire i presupposti in presenza dei quali i fornitori di servizi di comunicazioni elettroniche devono concedere alle autorità nazionali competenti l’accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e stabiliscano dei requisiti minimi, consentendo alle persone i cui dati personali vengono in discussione di disporre di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi. Tale normativa deve essere legalmente vincolante nell’ordinamento interno e precisare in quali circostanze ed a quali condizioni sostanziali e procedurali possa essere adottata una misura che preveda il trattamento di dati di tale natura, in modo da garantire che l’ingerenza sia limitata allo stretto necessario.

Secondo i giudici di Lussemburgo, per garantire il pieno rispetto di queste condizioni, è essenziale che l’accesso ai dati conservati da parte delle autorità nazionali competenti sia subordinato ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, la cui decisione deve intervenire a seguito di una richiesta motivata delle autorità, presentata nell’ambito di procedure volte alla prevenzione o all’accertamento di reati o di azioni penali instaurate.

Il controllo deve avvenire entro breve termine, in caso di urgenza, debitamente giustificato. Tale controllo preventivo esige che il giudice o l’entità incaricata di effettuarlo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie al fine di assicurare una conciliazione dei diversi interessi e diritti in gioco.

Nell’ipotesi in cui tale controllo venga effettuato nell’ambito di un’indagine penale è necessario che il giudice o l’entità incaricata di effettuarlo sia in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata ed alla protezione dei dati personali delle persone i cui dati siano interessati dall’accesso. Qualora tale controllo sia effettuato non da un giudice ma da un’entità amministrativa indipendente, quest’ultima deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo ed imparziale e, a tale scopo, deve essere al riparo da qualsiasi influenza esterna.

A giudizio della Corte, da quanto considerato, ne discende che il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare impone che essa abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, in modo che la prima sia in grado di esercitare tale controllo in modo obiettivo ed imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale.

Tutto questo non si verifica nel caso di un pubblico ministero che, come nel caso esaminato, diriga l’indagine ed eserciti l’azione penale. Ne consegue che in tale ipotesi il pubblico ministero non è in grado di effettuare il suddetto controllo preventivo.

La decisione della Corte di Giustizia UE è particolarmente significativa perché affronta in maniera decisa il tema al fine di risolvere una questione molto delicata, secondo alcuni disponendo anche oltre le proprie competenze con suggerimenti operativi rivolti all’autorità giudiziaria di ogni singolo Stato membro. Per esempio, tale sentenza ha delle implicazioni notevoli sulla disciplina del Regno Unito  in tema di “data retention”. Dopo il completamento della c.d. Brexit  infatti, la Gran Bretagna non potrà mantenere il flusso di dati esistente in entrata ed in uscita dall’Unione europea, ma per farlo avrà bisogno di un’autorizzazione mediante una decisione di adeguamento in tema di protezione dei dati personali ad opera della Commissione europea. Anche per altri Stati membri la sentenza ha avuto un riscontro negativo che necessita di un adeguamento nazionale.

Secondo la Corte di Giustizia, infatti, le leggi nazionali in materia di privacy della Gran Bretagna sono incompatibili con le normative europee, ma questo vale anche per la Francia ed il Belgio, indicati nella stessa sentenza, ed anche per l’Italia. La Corte, con la sentenza in commento, infatti, mette in dubbio la legittimità del modo in cui le acquisizioni di tabulati telefonici sono fatte nel nostro Paese, cioè con una semplice richiesta del pubblico ministero. Nella sentenza si stabilisce che per acquisire i tabulati servirebbe, invece, la richiesta di un’autorità terza rispetto alle indagini. Se per motivi di urgenza si procede all’acquisizione con la richiesta di un P.M., l’autorità terza deve comunque poi convalidarla.

I giuristi italiani commentando la sentenza della Corte di Giustizia europea ne evidenziano i riflessi sulle attività giudiziarie italiane. Secondo la Corte, per la normativa europea anche le acquisizioni di tabulati dovrebbero seguire la disciplina che in Italia si applica alle intercettazioni, sempre convalidata da un GIP, ossia un giudice terzo rispetto alle indagini. Le intercettazioni sono acquisizioni dei contenuti effettivi delle conversazioni e per questo motivo il legislatore italiano ha previsto garanzie rafforzate. Alcuni giuristi italiani evidenziano proprio la portata della pronuncia per l’attività giudiziaria italiana, nell’ambito della quale un avvocato potrebbe chiedere al giudice di non tenere conto dei tabulati. Il giudice, a quel punto, potrebbe disapplicare la norma che ha consentito l’acquisizione degli stessi oppure sollevare la questione costituzionale e sottoporla alla Corte Costituzionale, con conseguente blocco dei processi.

La norma in questione è il Codice della Privacy, in particolare, l’art. 132 che consente acquisizioni di tabulati con la semplice richiesta da parte del P.M.

Tale articolo è finito altre volte all’esame della Corte di Giustizia dell’Unione europea che ne ha dichiarato l’incompatibilità rispetto alle norme ed ai principi comunitari posti a tutela dei diritti e delle libertà dei cittadini. La Corte ha, quindi, bocciato la “data retention” italiana, considerandola raccolta indiscriminata di dati, lesiva dei diritti degli interessati, del principio di proporzionalità nell’acquisizione e dell’equilibrio tra diritto alla privacy e facoltà di indagine.

E’ chiaro, pertanto, che l’attuale prassi italiana sia in contrasto con la visione di matrice europea prevalente, che afferma la necessità di rispettare tempi di conservazione il più possibili ridotti. Il diritto alla riservatezza, anche se diritto fondamentale, va, però, contemperato con altre esigenze da garantire altrettanto al massimo grado, come l’accertamento dei reati ed il diritto alla difesa, poiché tali dati esterni alle comunicazioni, come tabulati telefonici ed indirizzi IP, possono essere utilizzati anche per provare l’innocenza degli indagati.

In questa cornice, la disciplina della “data retention” rappresenta un problema che ha alla sua base la necessità di contemperare due realtà, la prima investigativa e la seconda difensiva, ogni possibile riforma sul tema dovrebbe auspicabilmente assicurare la conservazione dei dati per un tempo limitato, anche se individuare un tempo ideale di conservazione non è facile.

 

Avv. Teresa Aloi,  Foro di Catanzaro

 

[1] Il risultato del tracciamento è l’individuazione di un indirizzo IP (Internet Protocol) di connessione dell’hardware da cui si suppone abbia avuto origine la condotta che costituisce reato o che serva all’accertamento dei fatti, cioè un numero di telefonico relativo alla richiesta di connessione; come un determinato numero telefonico identifica una certa linea telefonica, allo stesso modo un indirizzo IP identifica uno specifico dispositivo di rete o una rete.

[2] L’art. 15 della Direttiva 2002/58/CE osta ad una normativa nazionale che consenta all’autorità pubblica l’accesso ad un insieme di dati relativi al traffico o all’ubicazione, idonei a fornire le informazioni sulle comunicazioni effettuate da un utente a mezzo di comunicazione elettronica al fine di trarre precise conclusioni sulla sua vita privata per finalità di prevenzione, ricerca, accertamento e di perseguimento di reati senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica.