La data retention italiana viola la privacy, la conferma della Corte di Giustizia europea | Agenda Digitale

analisi della sentenza

La data retention italiana viola la privacy, la conferma della Corte di Giustizia europea

Con la sentenza di ieri, la Corte di giustizia sollecita una riforma della disciplina della data retention. Vanno garantiti il coinvolgimento del giudice e l’acquisibilità dei tabulati solo per gravi reati

03 Mar 2021
Federica Resta

Dirigente presso il Garante privacy*

La sentenza del 2 marzo della Corte di giustizia europea, resa nella causa C-746/18, aggiunge – a soli cinque mesi da quella resa nel caso Privacy International – un ulteriore, importante, tassello nel “mosaico” dell’interpretazione giurisprudenziale del rapporto tra esigenze investigative e privacy.

L’occasione è, ancora una volta, la data retention: tema sul quale la Cgue ha fondato una giurisprudenza particolarmente innovativa sulla protezione dati ma, direi più in generale, appunto, sul bilanciamento che ogni democrazia deve garantire tra sicurezza (cui l’accertamento dei reati è indubbiamente funzionale) e diritti individuali.

Bilanciamento che la normativa e la conseguente disciplina italiana continua a non rispettare.

Violato principio di proporzionalità nella data retention italiana

L’avvio a quest’indirizzo pretorio è stato fornito dalla sentenza Digital Rights dell’8 aprile 2014 (cause riunite C-293/12 e C-594/12), con cui Corte di giustizia ha dichiarato l’illegittimità della direttiva “Frattini” (2006/24/Ce) per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

La violazione del principio di proporzionalità era, in quel caso, ravvisata, in particolare: nella previsione di misure di conservazione dei dati applicabili in via indifferenziata e generalizzata “all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, in assenza di differenziazione, limitazione o eccezione in ragione dell’obiettivo del contrasto ai serious crimes; nell’omessa adozione di criteri oggettivi idonei a limitare l’accesso a tali dati per sole esigenze di accertamento di reati sufficientemente gravi da giustificare una simile ingerenza”; nell’omessa previsione dei parametri sostanziali e procedurali per l’accesso, da parte delle competenti autorità nazionali, ai dati in esame, in particolare non richiedendo in ogni caso il previo controllo dell’autorità giudiziaria o di un’autorità amministrativa indipendente; nell’omessa introduzione di parametri idonei a differenziare la durata della conservazione dei dati.

La Corte ha, in quella sede, precisato anche che il principio di stretta proporzionalità tra limitazioni dei diritti fondamentali ed esigenze di pubblica sicurezza esige una differenziazione specificamente modulata in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato. E questo, comunque nel rispetto di alcune garanzie essenziali, quali, in particolare, la subordinazione di tali limitazioni all’autorizzazione di un’autorità terza quale l’autorità giudiziaria o comunque un’autorità amministrativa indipendente.

Sentenza Tele2

Con la sentenza resa nel caso Tele2 Sverige (cause riunite C 203/15 e C 698/15) il 21 dicembre 2016, la Corte di giustizia ha dichiarato incompatibile con la direttiva 2002/58 (lette retroattivamente alla luce della Carta di Nizza e riespansa a seguito dell’invalidazione della 2006/24 ad opera della sentenza Digital Rights) ogni previsione interna che, per fini di contrasto dei reati: a) imponga la conservazione, generale e indiscriminata, di tutti i dati di traffico e relativi all’ubicazione degli utenti dei mezzi; b) legittimi l’accesso delle autorità nazionali competenti ai dati conservati per finalità ulteriori rispetto a quelle di contrasto dei “serious crimes”, in assenza di un previo vaglio giurisdizionale o comunque di un’autorità amministrativa indipendente e di garanzie relative alla conservazione dei dati nella Ue.

Le discipline interne sulla data retention devono pertanto prevedere- osserva la Corte- l’accessibilità dei dati conservati solo da parte dell’autorità giudiziaria o di un’autorità amministrativa indipendente, in base a circostanze e procedure disciplinate dalla legge per esigenze di accertamento di gravi reati, notificando  la misura all’interessato (come già affermato dalla Corte EDU nella sentenza Zakharov del 4.12.15), non appena le esigenze investigative lo consentano.

Necessario che la conservazione tabulati sia selettiva e mirata

Ma l’aspetto maggiormente innovativo della pronuncia concerne l’esigenza di rendere selettiva e mirata la stessa conservazione dei tabulati, limitandola in ragione del tipo di dato, del mezzo di comunicazione considerato, della durata della ritenzione, delle persone coinvolte (che devono avere un collegamento almeno indiretto con la commissione di gravi reati), finanche di criteri geografici che limitino la conservazione ad aree caratterizzate da rischi specifici. Si tratta di criteri che finiscono con il mutare profondamente la natura stessa della data retention come misura preventiva e come tale applicabile massivamente, in vista di un’acquisizione, soltanto eventuale e retrospettiva, in sede giudiziaria.

Gli interventi vani del Garante privacy

I principi affermati dalla Corte hanno indotto il Garante per la protezione dei dati personali a invitare più volte il legislatore (con una segnalazione e i pareri resi sugli schemi di decreti legislativi di adeguamento al Gdpr e, rispettivamente, di recepimento della direttiva 2016/680) a riformare la disciplina interna sulla conservazione dei tabulati, che non limita (né limitava allora) l’acquisizione ai soli reati gravi, né subordina (né subordinava) tale acquisizione al vaglio del giudice.

La carenza di proporzionalità della disciplina interna è risultata poi aggravata dalla novella di cui alla l. 167/2017, che ha esteso a sei anni il termine massimo di conservazione dei tabulati, con acquisibilità dei dati, in questo caso, limitata tuttavia ai procedimenti per reati distrettuali o per i quali la durata delle indagini preliminari è ampliata a due anni. E naturalmente, benché l’acquisibilità dei dati raccolti oltre due anni prima (per i tabulati telefonici, un anno prima per i telematici e un mese per le chiamate senza risposta) sia limitata a tale categoria di reati particolarmente gravi, proprio la natura retrospettiva di questo strumento investigativo implica la conservazione generalizzata dei dati di traffico per sei anni, salvo poi limitarne l’utilizzabilità processuale ai soli casi considerati.

L’incidenza della misura sulla privacy dei cittadini è, dunque, particolarmente forte, a fronte di un’utilizzabilità processuale dei dati così massivamente raccolti, in fondo limitata, con implicazioni probabilmente poco coerenti con il principio di proporzionalità tra esigenze investigative e privacy.

La Cassazione supporta la data retention italiana

Tuttavia, più volte la Corte di Cassazione (Cass., Sez. V, 24 aprile 2018, 273892 e Sez. III, 23 agosto 2019, n. 36380 ) ha ritenuto la disciplina interna compatibile con il canone di proporzionalità in quanto delimita temporalmente la durata della conservazione; demanda al pubblico ministero l’effettivo controllo della stretta necessità dell’acquisizione dei dati. Ad avviso della Corte, l’attribuzione di tale vaglio al pubblico ministero non contrasta con le indicazioni della Corte di giustizia relative al controllo rimesso al “giudice” o ad una autorità amministrativa indipendente, in quanto tale nozione dovrebbe, secondo la Cassazione, essere equiparata a quella di “autorità giudiziaria” idoneo a ricomprendere anche la magistratura requirente.

La sentenza 13 febbraio 2020, n. 5741 della Corte di Cassazione ha, inoltre, affermato che “non può ritenersi che la disciplina italiana di conservazione dei dati di traffico (c.d. data retention) sia in contrasto con le pronunce della Corte di giustizia datate 8 aprile 2014 e 21 dicembre 2016 poiché la suddetta normativa prevede la conservazione dei dati per un periodo limitato pari a 24 mesi, subordina la possibilità di acquisizione degli stessi soltanto per finalità di accertamento e repressione dei reati, prevede che l’utilizzazione degli stessi dati sia sottoposta al provvedimento di acquisizione emesso da parte del Pubblico Ministero e cioè di un organo giurisdizionale che procede nell’ambito di una attività di indagine preliminare.

Ne deriva quindi affermare che la legislazione italiana non prevede la facoltà delle autorità pubbliche di accesso indiscriminato ai dati sensibili bensì la limita ai soli casi di indagini per fatti di reato svolte entro un determinato arco temporale di 24 mesi (elevati a 72 solo per fatti di reato di particolare allarme sociale) e la subordina alla autorizzazione proveniente da un organo giurisdizionale. […] Va pertanto ribadita la legittimità della normativa nazionale di riferimento costituita dall’art. 132 Codice della privacy, poiché la deroga al diritto alla riservatezza delle comunicazioni è prevista per un periodo limitato, ha come esclusivo obiettivo l’accertamento e la repressione dei reati è subordinato alla emissione di un provvedimento da parte di un’autorità giurisdizionale”.

Con la sentenza del 6 ottobre scorso resa nel caso Privacy International (C 623-17), la Corte di giustizia ha poi chiarito come alla conservazione dei dati di traffico funzionale al successivo utilizzo per fini di sicurezza nazionale si applichi comunque la disciplina di protezione dati e, quindi, anche il canone di proporzionalità. Si è trattata di un’affermazione importante, che ha escluso che l’esimente della funzionalità del trattamento a fini di sicurezza nazionale possa “coprire” anche la conservazione dei dati ad esso finalizzata.

La sentenza 2 marzo della Corte di Giustizia europea

Con la sentenza del 2 marzo, la Corte ha invece chiarito due aspetti essenziali: da un lato la necessaria limitazione dell’acquisibilità dei dati di traffico ai soli procedimenti per gravi reati o per gravi minacce per la sicurezza pubblica e, dall’altro, la necessaria subordinazione dell’acquisizione  dei dati all’autorizzazione di un’autorità terza rispetto all’autorità pubblica richiedente ( la Corte precisa che l’accesso delle autorità nazionali competenti ai dati conservati dev’essere “subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente e (…) la decisione di tale giudice o di tale entità [deve] interven[ire] a seguito di una richiesta motivata delle autorità suddette”) .

Anche questa sentenza, come le altre, ha riflessi importanti sulla disciplina interna, che considera i gravi reati come criterio idoneo a modulare diversamente la profondità cronologica dell’acquisizione, senza tuttavia limitarne in via generale l’ammissibilità. Inoltre, merita qualche riflessione la compatibilità con la sentenza della procedura interna che legittima all’acquisizione il pubblico ministero – che vi provvede con decreto motivato – non esigendo, diversamente da quanto previsto per le intercettazioni, il vaglio del gip (in disparte la disciplina del freezing di cui al comma 4-ter dell’art. 132 dlgs 196/2003)..

Tale diversità di regime e il conseguente diverso ruolo svolto dal giudice nell’ambito delle due discipline è stata ritenuta conforme dalla Corte costituzionale che, accogliendo la teoria tedesca delle “sfere” concentriche lungo le quali si articolerebbe, con diversa intensità, la tutela dei diritti fondamentali, già con la sentenza n. 81 del 1993, ha ravvisato nell’acquisizione dei tabulati un’incidenza solo marginale sul diritto alla libertà e segretezza delle comunicazioni di cui all’art. 15 Cost.

Come sottolinea Carlotta Conti, infatti, la natura emergente o periferica del diritto inciso è il parametro che induce la Corte a ritenere, secondo i principi di adeguatezza e proporzionalità, non indispensabile il rispetto della riserva di giurisdizione, considerando sufficiente un modello di tutela più tenue, costituito da un provvedimento del pubblico ministero adeguatamente motivato. La Corte allora delineava, dunque, parallelamente alle prove incostituzionali (e come tali inammissibili) perché, appunto, lesive di diritti costituzionalmente tutelati, la categoria delle prove (allora atipiche) “rafforzate” perché incisive su diritti di libertà, ammettendo per lesioni solo periferiche di tali diritti un bilanciamento “attenuato” che moduli le tutele in ragione dell’entità solo marginale della compressione del diritto.

Nella stessa prospettiva si muovono le sentenze su richiamate della Corte di cassazione del 2018, nonché quella del 23 agosto 2019, n. 36380, secondo cui “la soluzione italiana è coerente con il sistema di tipo accusatorio, nel quale, nel corso delle indagini preliminari, è il pubblico ministero l’autorità giudiziaria che procede, e con il sistema processuale che prevede, mediante le indagini difensive ed i poteri riconosciuti ai difensori anche in tema di acquisizione del dato, l’estensione, anche se parziale, del potere investigativo alla difesa. E ciò in una situazione in cui l’acquisizione del dato genera una compromissione decisamente inferiore rispetto a quella relativa alla captazione delle conversazioni, sia telefoniche che ambientali, la cui tutela è affidata invece al controllo del giudice per le indagini preliminari”.

Corte di Giustizia: data retention invasiva e richiede autorità terza

La ricostruzione della Corte costituzionale e quella, ad essa allineata, della stessa Corte di cassazione- pur in linea di principio condivisibile in quanto tesa a modulare le garanzie in misura proporzionale all’incidenza dello strumento investigativo sul diritto costituzionalmente tutelato- sembra tuttavia oggi molto distante dalla ricostruzione della Corte di giustizia. Essa, infatti, sottolinea sia l’invasività della data retention nella vita privata dei cittadini, sia l’esigenza di un vaglio sulla richiesta di acquisizione da parte di un’autorità terza: non tanto e non solo, dunque, “giudiziaria” (equiparandovi anche le autorità amministrative indipendenti), quanto piuttosto terza.

E se il pubblico ministero è certamente autorità (giudiziaria) indipendente per statuto costituzionale, esso non è però anche terzo, tale essendo soltanto il giudice.

E’ probabilmente questa diversità di posizioni la ragione sottesa alla difficoltà che si registra, da noi, nell’adeguamento della disciplina della data retention ai principi sanciti dalla Corte di giustizia.

Il giorno dopo la pubblicazione della sentenza Digital Rights il Sen. Casson presentò un’interrogazione relativa alle sue ricadute nel nostro ordinamento, in cui si chiedeva al Governo se intendesse proporre o comunque sostenere una rivisitazione della disciplina vigente in tema di data retention, tale da differenziare condizioni, limiti e termini di conservazione dei dati di traffico telefonico e telematico in ragione della particolare gravità del reato per cui si proceda  e che eventualmente subordinasse anche (magari con la sola eccezione dei “delitti distrettuali” o comunque di criminalità organizzata per i quali può ammettersi la sola richiesta del pubblico ministero) la conservazione dei dati all’autorizzazione del gip, ferma restando, ovviamente, nei casi d’urgenza, la possibilità per il pubblico ministero di disporre la conservazione con proprio decreto, soggetto a convalida solo in fase successiva, sul modello dell’art. 267, c.2, cpp.

La soluzione proposta dal sen. Casson coglieva già i punti essenziali che andrebbero oggi riconsiderati alla luce della sentenza del 2 marzo, in una prospettiva di riforma che ricordi come, nell’art. 6 della Carta dei diritti fondamentali dell’UE, il diritto alla libertà e quello alla sicurezza sono complementari, mai concepiti come un gioco a somma zero.

Tabulati telefonici per indagini, dubbi di legittimità dopo sentenza Corte di Giustizia Ue

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 3