La più autorevole dottrina “togata” da tempo ha posto la questione su cosa debba intendersi per “indicazioni” e “vigilanza”, concetti desumibili dall'art. 268 c.p.p., esecuzione delle operazioni di intercettazione, questione assai rilevante anche alla luce delle recenti prese di posizione del Ministro della Giustizia, Carlo Nordio, in tema di intercettazioni.
Il Ministro della Giustizia, Carlo Nordio, intervenendo il 6 dicembre 2022 al Senato e poi il successivo 7 dicembre presso la Commissione Giustizia della Camera, ha avuto il merito di aver riacceso il dibattito sulle intercettazioni. Secondo il Ministro «non si è vigilato abbastanza per evitare che persone che non c'entrano nulla con le indagini o non sono nemmeno indagate vengono delegittimate sulla stampa». Si tratta di affermazioni da ricondursi al disposto di cui all'art. 268 Codice di Procedura Penale – Esecuzione delle operazioni – che al comma 2-bis prevede: Il pubblico ministero dà indicazioni e vigila affinché nei verbali non siano riportate espressioni lesive della reputazione delle persone o quelle che riguardano dati personali definiti sensibili dalla legge, salvo che risultino rilevanti ai fini delle indagini. Se il Ministro, nella sua interlocuzione, ha preso in considerazione la violazione della reputazione, ritenendola evidentemente sfuggita al dovere di vigilanza gravante sul PM, tuttavia, la norma citata pone sullo stesso piano la violazione di quelli che sono definiti dati sensibili dalla legge. Ed è proprio questo l'ambito di interesse di questo contributo.
Occorre ripercorrere il “percorso” che ha condotto all'attuale formulazione dell'art. 268 Codice di Procedura Penale.
L'art. 2, comma 1, lett. d), n.1), d.lgs. 29 dicembre 2017, n. 216 ha dapprima disposto l'inserimento del comma 2-bis. Ai sensi dell'art. 9, comma 1, d.lgs. n. 216, cit., come da ultimo modificato dall'art. 1, comma 1, lett. a) d.l. 30 aprile 2020, n. 28, conv., con modif., in l. 25 giugno 2020, n. 70, tale disposizione si applica «ai procedimenti penali iscritti dopo il 31 agosto 2020» (in precedenza l'art. 1, comma 1, n. 1) d.l. 30 dicembre 2019, n. 161, conv. con modif. in l. 28 febbraio 2020, n. 7, aveva modificato il suddetto art. 9 comma 1 d.lgs. n. 216, cit., disponendo che la disposizione si applicasse «ai procedimenti penali iscritti dopo il 30 aprile 2020»; lo stesso art. 1, comma 1, n. 1) d.l. n. 161, cit., anteriormente alla conversione in legge, aveva invece stabilito che la suddetta disposizione si applicasse «ai procedimenti penali iscritti dopo il 29 febbraio 2020»). Il termine di applicabilità originariamente previsto dal suddetto art. 9 comma 1 d.lgs. n. 216, cit., ovvero «alle operazioni di intercettazione relative a provvedimenti autorizzativi emessi dopo il centottantesimo giorno successivo alla data di entrata in vigore del presente decreto», era stato già differito dall'art. 2 comma 1 d.l. 25 luglio 2018, n. 91, conv., con modif. in l. 21 settembre 2018, n. 108, sostituendolo con il termine «dopo il 31 marzo 2019», poi dall'art. 1 comma 1139 lett. a) n. 1) l. 30 dicembre 2018, n. 145, Legge di bilancio 2019, sostituendolo con il termine «dopo il 31 luglio 2019» e dall'art. 9 comma 2 lett. a) d.l. 14 giugno 2019, n. 53, conv., con modif., in l. 8 agosto 2019, n. 77, sostituendolo con il termine «dopo il 31 dicembre 2019».
Successivamente L'art. 2, comma 1, lett. e), n. 1), d.l. 30 dicembre 2019, n. 161, conv., con modif., in l. 28 febbraio 2020, n. 7, ha così sostituito il presente comma 2-bis. A norma dell'art. 2, comma 8, d.l. n. 161, cit., conv. con modif. in l. 28 febbraio 2020, n. 7, come da ultimo modificato dall'art. 1, comma 2, d.l. 30 aprile 2020, n. 28, conv., con modif., in l. 25 giugno 2020, n. 70, le disposizioni del citato articolo si applicano «ai procedimenti penali iscritti successivamente al 31 agosto 2020, ad eccezione delle disposizioni di cui al comma 6 che sono di immediata applicazione».
Il testo del comma, nella formulazione prevista dall'art. 2, comma 1, lett. d), n. 1), d.lgs. 29 dicembre 2017, n. 216, era il seguente: "E' vietata la trascrizione, anche sommaria, delle comunicazioni o conversazioni irrilevanti ai fini delle indagini, sia per l'oggetto che per i soggetti coinvolti, nonché di quelle, parimenti non rilevanti, che riguardano dati personali definiti sensibili dalla legge. Nel verbale delle operazioni sono indicate, in tali casi, soltanto la data, l'ora e il dispositivo su cui la registrazione è intervenuta".
Come è agevole constatare, la norma ha avuto un iter alquanto tormentato, eppure il risultato appare piuttosto insoddisfacente: nei verbali non dovrebbero essere riportate espressioni che riguardano dati personali definiti sensibili dalla legge, oltre che quelli lesivi della reputazione delle persone.
Tuttavia, seri dubbi possono nutrirsi sulla effettiva capacità di rassicurazione della norma.
Basti pensare che assai più netta è la disposizione di cui all' art. 103 c.p.p. – Garanzie di libertà del difensore – comma 5. Non è consentita l'intercettazione relativa a conversazioni o comunicazioni dei difensori, degli investigatori privati autorizzati e incaricati in relazione al procedimento, dei consulenti tecnici e loro ausiliari, né a quelle tra i medesimi e le persone da loro assistite.
Il chiaro tenore della norma – Non è consentita… – è però seriamente compromesso dalla costante applicazione giurisprudenziale che ha trasformato il divieto apparentemente “assoluto” in “relativo”. Da ultimo si veda Cass. pen., sez. IV, (ud. 10/02/2021) 01-03-2021, n. 7942: «…Le conclusioni rassegnate dai giudici del merito, peraltro, risultano coerenti con i principi più volte affermati dal giudice di legittimità, secondo cui il divieto di intercettazioni relative a conversazioni o comunicazioni dei difensori non riguarda indiscriminatamente tutte le conversazioni di chi riveste tale qualifica, e per il solo fatto di possederla, ma solo le conversazioni che attengono alla funzione esercitata, in quanto la ratio della regola posta dall'art. 103 c.p.p. va rinvenuta nella tutela del diritto di difesa»(cfr. Cass. pen., sez. V, n. 42854/2014, Galati, Rv. 261081; Cass. pen., sez. IV, n. 55253/2016, Marceraj, Rv. 268618).
Se così è occorre domandarsi quale possa essere la capacità dissuasiva da pratiche non conformi discendente dalla norma di cui all'art. 268 c.p.p. dal momento che essa evoca il divieto di trattamento, nell'ambito delle intercettazioni dei dati personali definiti sensibili dalla legge, salvo, però, che risultino rilevanti ai fini delle indagini.
È evidente che la formula assai ampia – rilevanti ai fini delle indagini – presti il fianco ad ogni forma di elusione: ed in questo caso torna in rilievo proprio il tema posto dal Ministro Nordio, ovvero il dovere di vigilanza del PM rispetto alla PG.
Fin dalla delibera del 29 luglio 2016del Consiglio superiore della magistratura – Ricognizione di buone prassi in materia di intercettazione di conversazioni – veniva rilevatal'opportunità che gli uffici valutino di fornire una chiara indicazione alla polizia giudiziaria di non trascrivere il contenuto di intercettazioni non utilizzabili o “manifestamente irrilevanti” o “private relative a dati sensibili” che non sopravvivrebbero al vaglio di cui al co. 6 dell'art. 268 cpp, risolvendosi in una ingiustificata lesione della riservatezza. Come si è detto in tali casi appare sufficiente procedere alla “mera indicazione” dei dati estrinseci identificativi delle conversazioni. Va altresì precisato che appare in ogni caso opportuna e utile l'indicazione della persona degli interlocutori al fine di garantire un livello minimo di “completezza e trasparenza” dei c.d. brogliacci, nel pieno rispetto della previsione dell'art. 268 comma 2 c.p.p., la cui ratio si fonda anche sulla necessità di consentire alla difesa di avere contezza della rilevanza di conversazioni che eventualmente la polizia giudiziaria ed il pubblico ministero non abbiano colto.
Nuovamente sul tema è tornato il Consiglio superiore della magistratura nella delibera 20 ottobre 2022 – Prassi virtuose all'esito del monitoraggio in materia di intercettazioni –: La gran parte dei dirigenti gli uffici di Procura ha richiamato tale previsione legislativa raccomandando a tutti i magistrati dell'Ufficio di operare una costante attività di verifica sugli atti della polizia giudiziaria nei quali si riferisce dell'esito delle intercettazioni, accertandosi in particolare che tali atti riportino solo gli elementi rilevanti ai fini delle indagini che emergono dalle intercettazioni; analogamente si raccomanda che le richieste di autorizzazione o proroga riportino, in forma sintetica, solo i passi realmente rilevanti delle conversazioni e comunicazioni captate.
Anche la Procura Generale della Corte di Cassazione, circolare – “orientamenti in tema di applicazione della nuova disciplina delle intercettazioni di conversazioni o comunicazioni” 16926/20/uai/int- – non ha mancato di rilevare come Tutte le direttive evidenziano nella materia de quo una specifica funzione di vigilanza, alla stregua della quale l'autorità giudiziaria inquirente deve, in generale, assicurare che la polizia giudiziaria effettui una rigorosa selezione delle intercettazioni rilevanti ed utilizzabili a fini processuali e, in particolare, evitare, secondo la disposizione di cui al novellato art. 268, comma 2, c.p.p., che nei verbali di trascrizione siano riportate espressioni lesive della reputazione delle persone o riguardanti dati personali definiti sensibili dalla legge, salvo che si tratti di intercettazioni rilevanti ai fini delle indagini. É condivisa la necessità, ai fini sopra indicati, di un'interlocuzione costante, anche informale (secondo quanto solitamente avviene nella fase delle indagini preliminari, ossia in una fase per sua natura non inquadrabile in rigidi e schematici protocolli), del pubblico ministero con gli organi di polizia giudiziaria delegati alle operazioni, onde evitare che nei c.d. "brogliacci" di ascolto o verbali di trascrizione sommaria sia documentato il contenuto di conversazioni manifestamente irrilevanti o inutilizzabili. Viene altresì evidenziata l'opportunità di adozione di direttive generali che impongano alla polizia giudiziaria di sottoporre i casi dubbi alla tempestiva valutazione del pubblico ministero, cui spetta di vagliarne il contenuto e di decidere se inserirle, o non, nei verbali e/ o nelle annotazioni, a seconda della loro utilizzabilità ed effettiva rilevanza.
Accanto a questi contributi “istituzionali” anche la migliore dottrina “togata” è intervenuta sul tema: In concreto, è stato, eliminato il generale divieto per la P.G. di trascrivere le comunicazioni o conversazioni irrilevanti ai fini delle indagini sia per l''oggetto sia per i soggetti coinvolti, nonché di quelle, parimenti non rilevanti, aventi a oggetto dati personali definiti sensibili dalla legge. Il perno del nuovo sistema deve essere individuato nel menzionato obbligo per il P.M. di dare indicazioni e vigilare affinché nei verbali non siano riportate espressioni lesive della reputazione delle persone o quelle e che riguardano dati personali definiti sensibili dalla legge, salvo che si tratti di intercettazioni rilevanti ai fini delle indagini. Una modifica che indubbiamente consente di superare le criticità connesse al precedente testo, eliminando il divieto di trascrizione, anche sommaria, delle comunicazioni o conversazioni irrilevanti ai fini delle indagini, ma che pone a carico del P.M. una non semplice attività di vigilanza, la cui concreta attuazione potrà rivelarsi particolarmente complessa, specie nei procedimenti di maggiori dimensioni. L'art. 268 comma 2 c.p. recupera un dato centrale del ruolo del P.M., chiamato a un non semplice duplice ruolo. Da un lato fornire indicazioni alla P.G. e quindi vigilare sull'applicazione delle stesse. Di quali indicazioni stiamo parlando? Sul concetto generale di “lesione della reputazione” o di dati sensibili – concetti che dovrebbero far parte del bagaglio culturale degli operatori di p.g. - o indicazioni “mirate” sulla tipologia di contesto o di reato oggetto delle investigazioni? O indicazioni preventive, a fronte di specifiche richieste degli u.p.g.? E ancora, la vigilanza impone una lettura preventiva dei verbali prima del deposito degli stessi? O di una bozza dei verbali, considerando che dopo il deposito formale sarebbe difficile espungere dagli atti gli stessi? In concreto, l'indicazione del d.l. 161/2019 è apprezzabile e interessante, ma necessita è un forte timore, che confidiamo possa essere infondato- di una lunga e non semplice fase di “metabolizzazione” da parte dei soggetti coinvolti nel sistema (Parodi, 2020).
L'attività di vigilanza del PM è richiamata ancora da un Giudice: Il pubblico ministero è, quindi, tenuto ad una prima “selezione” delle conversazioni e comunicazioni intercettate secondo il criterio della rilevanza delle stesse ai fini della richiesta di misura cautelare, mettendo a disposizione del Gip quelle di cui intende avvalersi e che, al contempo, dovranno confluire nell'archivio destinato a custodirle. È il primo “filtro” che la riforma legislativa (improntata all'attuazione ed alla tutela del principio della riservatezza) introduce nel sistema nel caso di utilizzo, e quindi di disvelamento, delle conversazioni e comunicazioni intercettate. La dottrina ha evidenziato come tale disposizione costituisca attuazione del comma 84 lett. a) nr. 1 della legge delega 103/2017 che prevede che ai fini della selezione del materiale da inviare al giudice a sostegno della richiesta di misura cautelare il P.m., oltre che per necessità di prosecuzione delle indagini, assicuri la riservatezza anche degli atti contenenti registrazioni di conversazioni o comunicazioni informatiche o telematiche inutilizzabili a qualunque titolo ovvero contenenti dati sensibili ai sensi dell'art. 4 comma 1 lett. d) d.lgs. 196/2003 e che non siano pertinenti all'accertamento delle responsabilità per i reati per cui si procede o per altri reati emersi nello stesso procedimento o nel corso delle indagini, ovvero irrilevanti ai fini delle indagini in quanto riguardanti esclusivamente fatti o circostanze ad esse estranei. Il legislatore delegato ha, pertanto, ritenuto che il criterio della “rilevanza”, rendesse superflua la formula ben più ampia prevista dalla legge, essendo quest'ultima assorbita dalla possibilità per il P.m. di selezionare il materiale posto a supporto della richiesta cautelare e quindi dal suo “dovere” di non produrre, in prima battuta, intercettazioni inutilizzabili o non pertinenti o attinenti a dati “sensibili” (Pio, 2022).
Le pur pregevoli considerazioni sopra esposte paiono, però, non avere preso atto della mutata nozione di “dati sensibili”.
Effettivamente essa era disciplinata dagli artt. 4 e 26 d.lgs. n. 196/2003.
All'art. 4 – Definizioni – così erano definiti i “dati sensibili”: 1. Ai fini del presente codice si intende per:…d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;…e all'art. 26 – Garanzie per i dati sensibili – dopo essere stata posta la regola del trattamento solo previo consenso scritto dell'interessato e autorizzazione del Garante, erano stabilite le eccezioni tra cui, per quanto di interesse in questa sede, c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; trattamento, questo, ammesso senza il consenso, ferma restando l'autorizzazione del Garante.
Tanto l'art. 4 che l'art. 26 sono stati espressamente abrogati dal d.lgs. 10 agosto 2018, n. 101.
Sicché ora per desumere la nozione di “dati sensibili”, occorre fare riferimento a quello di “dati particolari”, da rivenirsi all'Articolo 9 Regolamento UE 2016/679 che pone un divieto assoluto di trattamento per quanto riguarda i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Tale regola subisce, però, eccezioni tra cui assai rilevante in questa sede è quella posta alla lettera f) laddove il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
Nonostante il Regolamento europeo rechi la data del 2016 e sia entrato in vigore nel 2018, ancora nel 2022 si continua a parlare di una categoria, quella dei “dati sensibili”, ormai non più esistente per come sin qui conosciuta e sostituita ed integrata da quella dei “dati particolari”.
Il problema non pare meramente formale, o nominalistico, dal momento che si pone la questione di conciliare due disposizioni, l'art. 268 c.p.p. - Esecuzione delle operazioni, che al comma 2-bis prevede: Il pubblico ministero dà indicazioni e vigila affinché nei verbali non siano riportate espressioni lesive della reputazione delle persone o quelle che riguardano dati personali definiti sensibili dalla legge, salvo che risultino rilevanti ai fini delle indagini, e l'art. 9 GDPR: f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
Apparentemente la disposizione contenuta nel codice di rito potrebbe apparire financo più garantista rispetto a quella prevista nel GDPR, sennonché, per quanto sopra esposto a riguardo delle garanzie di libertà del difensore, seri dubbi possono nutrirsi su un'applicazione giurisprudenziale altrettanto prudente di questa norma nella parte in cui dispone salvo che risultino rilevanti ai fini delle indagini.
Per una più compiuta comprensione della nozione di dati personali definiti sensibili dalla legge di cui al comma 2-bis dell'art. 268 Codice di Procedura Penale occorre aver riguardo alla giurisprudenza della Corte di Giustizia dell'UE che pare avere maggior dimestichezza con il Regolamento UE 2016/679.
In data 1 agosto 2022, la Grande Sezione della Corte di Giustizia dell'UE Sentenza del 1° agosto 2022, OT contro Vyriausioji tarnybinės etikos komisija, C184/20‑, ECLI:EU:C:2022:601 ha pronunciato una sentenza di assoluto rilievo con la quale ha stabilito che il trattamento di dati personali idonei a divulgare indirettamente delle informazioni sensibili relative a una o più persone (come, ad esempio, l'orientamento sessuale) costituisce un trattamento di categorie particolari di dati e, in quanto tale, deve essere disciplinato ai sensi dell'art. 9 GDPR.
Da ciò discende che anche i dati personali da cui sia possibile dedurre informazioni sensibili devono essere qualificati come rientranti nelle categorie particolari di dati.
Il caso ha preso le mosse da una controversia sorta tra il direttore di un ente di diritto lituano percettore di fondi pubblici (attivo nel settore della tutela ambientale) e la commissione superiore per la prevenzione dei conflitti di interessi nel servizio pubblico in Lituania (Vyriausioji tarnybinės etikos komisija), in merito a una decisione di quest'ultima con la quale si contestava l'inadempimento da parte del direttore del suo obbligo di presentare una dichiarazione di interessi privati.
Difatti, la legge n. VIII‑371 della Repubblica di Lituania sulla conciliazione degli interessi pubblici e privati nel servizio pubblico del 2 luglio 1997 prevede la necessità di conciliare gli interessi privati delle persone che lavorano nel servizio pubblico e gli interessi pubblici della società, di assicurare la prevalenza dell'interesse pubblico al momento dell'adozione di decisioni, di garantire l'imparzialità delle decisioni adottate e di prevenire il verificarsi e il diffondersi della corruzione nel servizio pubblico.
L'articolo 4 della suddetta legge dispone che “chiunque lavori nel servizio pubblico, e chiunque si candidi a ricoprire incarichi nel servizio pubblico, è tenuto a dichiarare i propri interessi privati presentando una dichiarazione di interessi privati secondo le modalità previste dalla presente legge e da altri atti”.
Tuttavia, il direttore dell'ente pubblico in questione si rifiutava di effettuare tale dichiarazione di interessi privati, affermando che le informazioni in essa contenute avrebbero violato non solo il proprio diritto al rispetto della vita privata, ma anche quello delle persone menzionate all'interno della dichiarazione.
Pertanto, con decisione del 7 febbraio 2018, la commissione superiore contestava il fatto che il direttore, avendo omesso di presentare una dichiarazione di interessi privati, aveva agito in violazione dell'articolo 3, par. 2 e dell'articolo 4, par. 1 della sopracitata legge lituana sulla conciliazione degli interessi.
Così, il 6 marzo 2018, il direttore proponeva dinanzi al giudice del rinvio un ricorso di annullamento contro tale decisione.
Nutrendo dei dubbi sulla compatibilità tra la normativa lituana e gli artt. 6 e 9 del GDPR, il Tribunale amministrativo regionale di Vilnius (Vilniaus apygardos administracinis teismas) sospendeva il procedimento e presentava un rinvio pregiudiziale alla Corte di Giustizia dell'Ue, sottoponendole le seguenti questioni pregiudiziali:
Sulla prima questione pregiudiziale, la Corte ha ricordato che i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (la cui violazione è stata contestata nel caso in esame) non sono diritti assoluti, ma vanno considerati alla luce della loro funzione sociale e contemperati con altri diritti fondamentali, nel rispetto del principio di proporzionalità (art. 52 Carta di Nizza).
È necessario, quindi, comprendere se la pubblicazione sul sito Internet della commissione superiore di dati personali contenuti nelle dichiarazioni di interessi privati sia idonea a raggiungere gli obiettivi di interesse generale definiti all'articolo 1 della legge lituana, ossia prevenire i conflitti di interessi e la corruzione, accrescere la responsabilità degli attori del settore pubblico, rafforzare la fiducia dei cittadini nell'azione pubblica.
I giudici lussemburghesi constatano, però, che«dal fascicolo di cui dispone la Corte non risulta che il legislatore lituano abbia verificato, al momento dell'adozione di tale disposizione, se la pubblicazione su Internet, senza alcuna limitazione di accesso, di tali dati sia strettamente necessaria o se invece gli obiettivi perseguiti dalla legge sulla conciliazione degli interessi non potrebbero essere raggiunti in modo altrettanto efficace pur limitando il numero di persone che possono consultare tali dati».
Infatti, è necessario conformarsi al principio di minimizzazione dei dati sancito all'articolo 5, par. 1, lettera c) GDPR, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
La Corte aggiunge, poi, che anche presupponendo che la pubblicazione su Internet dei dati di carattere privato di cui al procedimento principale sia necessaria per raggiungere gli obiettivi perseguiti dalla legge sulla conciliazione degli interessi, comunque tali dati potrebbero essere consultati da un numero potenzialmente illimitato di persone.
Non solo: i dati inseriti nella dichiarazione di interessi privati (dati nominativi relativi al coniuge, partner o convivente del dichiarante o ai parenti o conoscenti del dichiarante che possono dar luogo a un conflitto di interessi, nonché l'indicazione dell'oggetto delle operazioni il cui valore sia superiore a 3.000 euro) possono rivelare informazioni su taluni aspetti sensibili della vita privata delle persone interessate, compreso, ad esempio, il loro orientamento sessuale.
La Corte ha aggiunto che la gravità di una simile ingerenza è incrementata dall'effetto cumulativo dei dati personali oggetto di una pubblicazione, dal momento che la loro combinazione consente di tracciare un ritratto particolarmente dettagliato della vita privata delle persone interessate.
Date queste premesse, la Corte ha ritenuto che la pubblicazione in rete della maggior parte dei dati personali contenuti nella dichiarazione di interessi privati di qualsiasi direttore di un ente percettore di fondi pubblici, come quella di cui al procedimento principale, non soddisfi i requisiti di un bilanciamento equilibrato.
Simile trattamento genera, secondo i giudici, un'ingerenza grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali degli interessati.
Con la seconda questione pregiudiziale, il tribunale del rinvio ha chiesto alla Corte di Giustizia di appurare se la pubblicazione dei dati contenuti nella dichiarazione di interessi privati – elencati al punto 100 della sentenza – dia luogo o meno a un trattamento di categorie particolari di dati ex art. 9 GDPR.
La Corte ha dichiarato di ritenere necessaria un'interpretazione ampia delle nozioni di "categorie particolari di dati personali" e di "dati sensibili", dal momento che «l'interpretazione contraria contrasterebbe con la finalità dell'articolo 9, par. 1 GDPR, consistente nel garantire una protezione maggiore contro i trattamenti che, a causa della natura particolarmente sensibile dei dati che ne sono oggetto, possono costituire […] un'ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali».
Da tale interpretazione, la Corte constata che l'atto di pubblicazione sul sito internet dell'autorità incaricata a raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto di dati personali idonei a divulgare indirettamente informazioni di carattere sensibile di una persona fisica costituisca un trattamento di categorie particolari di dati personali.
Minimizzazione, pertinenza rispetto alle finalità e proporzionalità paiono essere i cardini della giurisprudenza europea nel disciplinare la questione del trattamento dei dati personali cd. particolari.
Ma, a ben vedere, il principio di proporzionalità funge da “guida” anche rispetto alla materia delle comunicazioni elettroniche.
Con la sentenza 2 marzo 2021 la Grande Camera della Corte giust. U.E. (C-748/18) afferma, anzitutto, il principio per cui l'obiettivo della prevenzione, della ricerca, dell'accertamento e del perseguimento dei reati è ammesso, conformemente al principio di proporzionalità, soltanto per la lotta contro “le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica”, le quali solamente sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e all'ubicazione. Infatti, come già rilevato in passato, l'accesso a un insieme di dati relativi al traffico o all'ubicazione “può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati”. Pertanto, è vietata una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione.
In passato la Corte aveva già chiarito che l'accesso ai dati relativi al traffico e all'ubicazione può essere concesso soltanto se e in quanto tali dati siano stati conservati da detti fornitori in un modo conforme al citato art. 15, § 1, il quale, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, § 1, della Carta, osta a misure legislative che prevedano, per finalità siffatte, a titolo preventivo, la “conservazione generalizzata e indifferenziata” dei dati relativi al traffico e all'ubicazione.
Sulla scorta di tali precedenti, i giudici di Lussemburgo ribadiscono che soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l'accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o all'ubicazione, i quali sono suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali utilizzate da quest'ultimo e tali da permettere di «trarre precise conclusioni sulla vita privata delle persone interessate». La Corte aggiunge che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l'accesso a tali dati, non possono avere come effetto quello di giustificare l'obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale. Essa osserva che, indubbiamente, maggiore è la durata del periodo per il quale viene richiesto l'accesso o le categorie di dati richiesti, più grande è, in linea di principio, la quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall'utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente. Pertanto, il principio di proporzionalità, che consente le deroghe alla protezione dei dati personali e le limitazioni di quest'ultima, impone che tanto la categoria o le categorie di dati interessati, quanto la durata per la quale è richiesto l'accesso a questi ultimi, siano, in funzione delle circostanze del caso di specie, limitate a “quanto è strettamente necessario” ai fini dell'indagine in questione. Ma la Corte precisa che l'ingerenza nei diritti fondamentali del rispetto della vita privata e familiare e della protezione dei dati di carattere personale, sanciti dagli artt. 7 e 8 della Carta, provocata dall'accesso dell'autorità pubblica ad un insieme di dati relativi al traffico o all'ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da esso utilizzate, «presenta in ogni caso un carattere grave indipendentemente dalla durata del periodo per il quale è richiesto l'accesso a tali dati e dalla quantità o dalla natura dei dati disponibili per un periodo siffatto», qualora questo insieme di dati sia tale da permettere di trarre precise conclusioni sulla vita privata della persona o delle persone interessate. Sotto tale profilo, anche l'accesso a un quantitativo limitato di dati relativi al traffico o all'ubicazione, oppure l'accesso a dati per un breve periodo, possono essere idonei a fornire precise informazioni sulla vita privata di un utente di un mezzo di comunicazione elettronica. Inoltre, non si può trascurare che sia la quantità dei dati disponibili, sia le informazioni concrete sulla vita privata della persona interessata che ne derivano sono entrambe circostanze che possono essere valutate solo dopo la consultazione dei dati suddetti. La Corte chiarisce che l'autorizzazione all'accesso concessa dal giudice o dall'autorità indipendente competente deve intervenire necessariamente prima che i dati e le informazioni che ne derivano possano essere consultati. Pertanto, «la valutazione della gravità dell'ingerenza costituita dall'accesso si effettua necessariamente in funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile». Alla luce delle considerazioni che precedono, la Corte chiarisce che l'art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, § 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico o all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo. Come già affermato in passato, la Corte riconosce che è vero che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l'accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere «regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi». Tale normativa deve inoltre essere «legalmente vincolante nell'ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l'ingerenza sia limitata allo stretto necessario».
In particolare, una normativa nazionale che disciplini l'accesso delle autorità competenti a dati conservati e relativi al traffico e all'ubicazione, adottata ai sensi dell'art. 15, § 1, della Direttiva 2002/58, non può limitarsi a esigere che l'accesso delle autorità ai dati risponda alla finalità perseguita da tale normativa, ma deve altresì prevedere «le condizioni sostanziali e procedurali che disciplinano tale utilizzo». Pertanto, poiché un accesso generalizzato a tutti i dati conservati, indipendentemente da un qualche collegamento, almeno indiretto, con la finalità perseguita, non può considerarsi “limitato allo stretto necessario”, ogni normativa nazionale «deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l'accesso ai dati in questione». La Corte precisa, però, che «un accesso siffatto può, in linea di principio, essere consentito, in relazione con l'obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un'altra in un illecito del genere».
Soltanto eccezionalmente, «in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l'accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo».
Proprio il dibattito sopra riportato in merito alla “rilevanza” ai fini delle indagini pone seri dubbi circa l'esistenza nell'ordinamento italiano di criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l'accesso alla vita privata delle persone interessate, senza che peraltro rilevi, secondo la giurisprudenza della Corte europea, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile.
Tali considerazioni risultano per altro confermate da quella che è la migliore dottrina “togata”:Nello specifico, il limite alla trascrizione si pone per le espressioni lesive della reputazione o persone o riguardanti dati personali definiti sensibili dalla legge, salvo che si tratti di intercettazioni rilevanti ai fini delle indagini. Una formula che pone alcuni problemi, rilevanti nel caso di specie, in quanto proprio in ambito familiare possono essere oggetto di captazioni riferimenti a dati personali sensibili che pure potrebbero assumere una valenza probatorio per le indagini. Telefonate relative a una relazione extraconiugale, del tutto (verosimilmente) irrilevanti in un'indagine per reati contro la p.a. o societari, possono indubbiamente assumere grande rilievo in un'ipotesi di maltrattamenti. Nella materia de quo, la ricostruzione dei rapporti personali, nelle loro varie sfaccettature, difficilmente potrebbe essere ritenuta non rilevante (es. rapporti familiari e interpersonali). Esiste, per altro, un rischio – a fronte di una non particolare utilità probatoria- di andare incontro, con trascrizioni troppo ampie, a rilevanti lesioni alla riservatezza delle persone coinvolte? Di certo, alcune questioni devono essere affrontate. In primo luogo, se le espressioni sono comunque riportate nei verbali, non vi sono sanzioni processuali, in assenza di una specifica previsione di nullità o inutilizzabilità; si tratta di mera irregolarità processuale, in quanto tale non produttiva di effetti in ordine alla validità dell'acquisizione probatoria, eventualmente rilevante solo sotto il profilo disciplinare ai sensi dell'art. 124, comma 1, c.p.p. La prova acquisita mediante le intercettazioni è quella documentata con la registrazione: il contenuto della trascrizione non può inficiare il valore probatorio del dato registrato. In secondo luogo, cosa si deve intendere per espressioni lesive della reputazione delle persone o relative a dati personali sensibili? Le espressioni sono le formule espressive utilizzate (e allora il contenuto potrebbe essere riportato, in altro modo) oppure anche il contenuto in senso stretto? Per la relazione dell'Ufficio del Massimario della Corte di Cassazione, appare preferibile un'interpretazione logico-sistematica dell'art.268, comma 2-bis, c.p.p., sulla base della quale ritenere che la selezione vada operata in considerazione del contenuto della conversazione e non già con riguardo alle mere espressioni impiegate. In terzo luogo, occorre precisare il significato del termine rilevanza: si tratta di un bilanciamento tra l'esigenza alla riservatezza e quella alla completezza delle indagini preliminari, che porta a dare prevalenza a quest'ultima esigenza in caso di conflitto. In questo senso, tuttavia, la rilevanza dell'art. 268 comma 2 bis non può identificarsi tout court con quelle dell'art. 268 comma 6 c.p.p.? (Parodi, 2022).
Forse i dubbi tanto autorevolmente espressi potrebbero essere dissipati con una maggiore valorizzazione degli elementi che si possono trarre dal GDPR in una con la lettura delle sentenze della Corte europea di giustizia.
Se si applicassero i principi desumibili dalla giurisprudenza europea al tema di questo contributo – il divieto del trattamento dei dati particolari nell'ambito delle intercettazioni, salvo rilevanti esigenze investigative – se ne potrebbero trarre le seguenti indicazioni: queste potrebbero sussistere solo rispetto all'esigenza di perseguire gravi reati, mentre, rispetto alle ulteriori ipotesi i dati particolari, nella interpretazione particolarmente estesa fornita dalla sentenza sopra rammentata, non potrebbero essere oggetto di trattamento. Per intendersi: un'indagine per delitti particolarmente gravi quali pedopornografia o sfruttamento sessuale di minori ben potrebbero giustificare il trattamento dei dati particolari degli indagati quali ad esempio l'orientamento sessuale degli stessi. Ma se in un'indagine per reati contro la pubblica amministrazione si volessero svolgere indagini volte ad accertare l'orientamento sessuale degli indagati questo accertamento potrebbe apparire del tutto sfornito di una base giuridica legittimante, che non potrebbe essere rinvenuta nelle preminenti esigenze investigative, per motivi di proporzionalità, oltre che carenza di definizione dei criteri oggettivi in grado di consentirle.
Tuttavia, proprio la denuncia del Ministro Nordio deve indurre ad una riflessione sulla possibile carenza di vigilanza dell'organo preposto rispetto alla polizia giudiziaria. Ed allora, in attesa degli interventi correttivi promessi, occorre domandarsi se le esigenze individuali di tutela della riservatezza siano sforniti di qualsivoglia forma di protezione.
Il Garante per la protezione dei dati personali ha recentemente adottato un provvedimento sanzionatorio nei confronti del Ministero dell'interno per l'illecito trattamento di dati personali da parte di una questura, a seguito della divulgazione nelle pagine Facebook e Twitter di due video – contraddistinti dal logo della Polizia di Stato – originariamente realizzati dai trasgressori sulle atroci sevizie subite da un uomo, in occasione della comunicazione alla stampa delle avvenute operazioni di arresto di 8 giovani.
Dall'istruttoria è emerso che la diffusione dei video era stata effettuata per la prevenzione dei reati, non rilevando, secondo il Garante, la circostanza che la Procura della Repubblica competente avesse autorizzato verbalmente il Ministero alla divulgazione agli organi di stampa dei menzionati video. Tale autorizzazione ha consentito soltanto di escludere che la divulgazione di tali immagini fosse di per sé in violazione di legge o in grado di incidere negativamente sui procedimenti penali in corso (cfr. artt. 114 e 329 c.p.p.).
Seppur la finalità sottesa al trattamento in esame, ovvero quella della prevenzione dei reati, doveva ritenersi legittima, la divulgazione in questione è risultata illecita, in violazione degli artt. 3, comma 1, lett. a) e c) e 5, d.lgs. n. 51/2018 nonché 14, d.P.R. n. 15/2018, non solo perché non necessaria per la finalità di prevenzione dei reati, ma anche perché in pregiudizio della dignità dell'interessato, la cui tutela deve essere garantita anche dopo il decesso. In conseguenza, l'Autorità ha ingiunto al Ministero dell'interno, in qualità di titolare del trattamento, di pagare la somma di euro 75.000 a titolo di sanzione amministrativa pecuniaria (provv. 10 giugno 2021, n. 289, doc. web n. 9701975).
Il provvedimento sanzionatorio del Garante appare assai rilevante in quanto, se da un lato sembra fornire sostegno alle parole del Ministro Nordio, ovvero che l'alta funzione di vigilanza che dovrebbero esercitare le Procure su indebite diffusioni di dati personali non sempre raggiunge quell'elevato grado di controllo pur auspicato dalla più autorevole espressione della Magistratura, tuttavia, rassicura in merito all'esistenza di un'Autorità in grado di assicurare uno standard europeo di tutela rispetto ai dati personali anche di fronte ad indebite ingerenze delle Autorità preposte all'accertamento e repressione dei reati.