Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

scenario

Smartphone e indagini penali, i nuovi limiti sull’accesso ai dati

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’accesso ai dati personali sugli smartphone entra in una fase nuova, segnata dalla sentenza della Corte di giustizia UE e dalla delega al Governo. Al centro ci sono proporzionalità, minimizzazione dei dati e controllo preventivo sull’attività investigativa

Pubblicato il 19 mar 2026
Marco Cartisano

Studio Polimeni.legal

privacy digital omnibus; convenzioni Consip; ISO/IEC 27701; BIM delete act california; formazione whistleblowing
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

 La Direttiva EU 2016/680 relativa al “Trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali” ha fissato le linee guida in ordine al trattamento dei dati personali per finalità di polizia o di giustizia; pertanto il legislatore, con D.lgs. 151/2018, ne dava attuazione recependo le disposizioni ivi enunciate.

Successivamente, la Corte di giustizia dell’Unione europea (Grande Camera) -con la sentenza del 4 ottobre 2024, Causa C-548/21- ha determinato un quid pluris rispetto alla direttiva di cui sopra in ragione della tutela della dignità della persona nel corso delle indagini dell’AG che, per loro natura, possono essere assai pervasive.

Cloud sovrano, cos’è e perché sceglierlo: la guida completa per aziende e PA

Proporzionalità e minimizzazione dei dati sugli smartphone

La Corte, dopo un’articolata premessa, ha statuito che l’accesso ai dispositivi telematici per fini di polizia debba essere necessariamente accompagnato da un criterio di proporzionalità rispetto allo scopo prefissato, che non può non risolversi che nella “minimizzazione” del trattamento, ossia nell’acquisizione selettiva dei dati già nella fase di ricerca e successiva acquisizione forense.

Il sacrificio rispetto alla pur superiore finalità di giustizia va bilanciato con la previsione del controllo preventivo da parte di un giudice terzo o di un’autorità amministrativa indipendente.

Parafrasando le parole dei Giudici EU, “eventuali limitazioni all’esercizio di detti diritti fondamentali, conformemente all’articolo 52, paragrafo 1, della Carta, deve essere prevista dalla legge e rispettare il contenuto essenziale dei medesimi diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta le limitazioni controverse deve prevedere norme chiare e precise che ne disciplinano la portata e l’applicazione”.

Le nuove garanzie sui dati personali sugli smartphone

L’articolo 5 della Legge di delegazione europea (approvata l’11 marzo 2026) conferisce al Governo la delega per aggiornare il D.lgs. 151/2018 e il codice di procedura penale; le modifiche mirano a coordinare l’ordinamento interno con la sentenza richiamata e con le tutele previste dall’art. 10 della Direttiva 2016/680 in materia di dati sensibili nell’ambito penale.

Nello specifico, il legislatore europeo consente il trattamento, solo se strettamente necessario, dei « ..dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale.. ».

Il trattamento può essere effettuato solo in presenza di adeguate garanzie per i diritti e le libertà dell’interessato, se autorizzato dal diritto EU o dello Stato membro e per salvaguardare la vita dello stesso o di altri, oppure, in via residuale, se l’interessato ha reso pubblici i dati.

I tre criteri della delega

La delega prevede l’adozione di regole precise per consentire alle autorità l’acquisizione dati digitali dai dispositivi informatici: l’obiettivo è quello di potenziare la prevenzione e il perseguimento dei reati mediante tre specifiche linee guida:

  • definizione in modo sufficientemente preciso la natura e le categorie delle infrazioni rilevanti;
  • rispetto del principio di proporzionalità;
  • subordinazione relativa all’esercizio della possibilità di accesso ai dati – salvo che per i casi di urgenza debitamente giustificati e salvo che per i reati di cui agli articoli 371-bis, comma 4-bis, e 406, comma 5-bis, del codice di procedura penale e all’articolo 629, terzo comma, del codice penale – al controllo preventivo di un giudice o di un organo amministrativo indipendente.

Sostanzialmente, il decreto legislativo dovrà individuare analiticamente i reati per i quali è ammessa la compressione del diritto alla riservatezza, assicurando che tale deroga sia sempre improntata ai criteri di proporzionalità precedentemente delineati.

Dal punto di vista tecnico, l’accesso ai dati sarà autorizzato da un Giudice o da un’autorità amministrativa indipendente, a meno che non si tratti di indagini relative a criminalità organizzata, terrorismo, tratta di esseri umani, immigrazione clandestina, stupefacenti, tutela delle comunicazioni informatiche dei dati, estorsione aggravata, ossia per reati gravi.

Informativa, urgenza e controllo preventivo

In ogni caso, il PM potrà procedere solo nei casi di urgenza debitamente motivati; pertanto sarà auspicabile la previsione di un’autorizzazione ex post da parte del GIP, anche in chiave di utilizzabilità del materiale probatorio acquisito.

Fra l’altro, la richiamata sentenza EU impone l’obbligo di notiziare l’interessato in merito alle ragioni dell’accesso ai dati, introducendo tuttavia una clausola di salvaguardia per le fattispecie in cui l’informativa possa pregiudicare alle indagini: sarà, quindi, necessaria anche una modifica normativa che tenga conto di questa statuizione, anche perché tale aspetto è stato espressamente marcato dal Garante Privacy nel corso dell’audizione sul DDL 1737 innanzi al Senato.

Equilibrio tra privacy e indagini penali

È senza dubbio un fatto positivo il fatto che il legislatore abbia affrontato il problema della gestione dei dati personali per finalità di prevenzione e repressione dei reati sulla scorta dei criteri di proporzionalità e minimizzazione sopra citati.

Non resta dunque che attendere l’intervento del legislatore delegato entro i sei mesi previsti, auspicando che il futuro decreto determini un giusto equilibrio fra l’esigenza di tutela della persona e l’efficacia dell’azione penale, definendo in modo rigoroso e oggettivo i reati per i quali sarà possibile l’analisi forense delle apparecchiature e dei dispositivi elettronici in relazione alla specifica categoria di dati elencati dalla direttiva EU 2016/680.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Marco Cartisano
Studio Polimeni.legal
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cybersecurity italia

  • Browser e privacy

    Il consenso online diventa automatico: cosa cambia in Europa

    19 Feb 2026

    di Francesca Niola

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • eIDAS 2

  • guida

    eIDAS 2: tutto su identità digitale europea, IT wallet, servizi fiduciari

    23 Apr 2025

    di Giovanni Manca

    Condividi
0
Lascia un commento, la tua opinione conta.x