Sequestro di dati informatici: chi può provvedere?

Massima

In tema di sequestro di dati informatici non è necessario un provvedimento del giudice, essendo sufficiente quello del P.M. che in quanto “organo amministrativo indipendente” svolge le indagini in modo da garantire anche i diritti dell'indagato.

Il caso

Il Tribunale del riesame rigettava l'istanza proposta dall'indagato avverso il decreto di perquisizione e sequestro di dati informatici emesso dal P.M.

Proposto ricorso in cassazione, il ricorrente si doleva della mancata convalida da parte del giudice con violazione dell'art. 355, comma 2, c.p.p.

I giudici di legittimità hanno rigettato questo specifico motivo sul rilievo che l'accesso ai dati informatici non è subordinato ad un controllo preventivo del giudice, essendo sufficiente quello del PM che in quanto “organo amministrativo indipendente” svolge le indagini in modo da garantire anche i diritti dell'indagato.

La questione

La questione in esame è la seguente: il sequestro di dati informatici deve essere sottoposto al controllo esclusivo del giudice?

Le soluzioni giuridiche

L'iter motivazionale seguito dalla pronuncia in commento si sviluppa secondo i principi affermati: --a) dalla Corte costituzionale con la sentenza n. 170/2023, a mente della quale in tema di mezzi di prova, i messaggi di posta elettronica, i messaggi whatsapp e gli sms custoditi nella memoria di un dispositivo elettronico conservano natura giuridica di corrispondenza anche dopo la ricezione da parte del destinatario, sicché la loro acquisizione deve avvenire secondo le forme previste dall'art. 254 c.p.p. per il sequestro della corrispondenza, salvo che, per il decorso del tempo o altra causa, essi non perdano ogni carattere di attualità, in rapporto all'interesse alla riservatezza, trasformandosi in un mero documento “storico”; --b) dalla Corte di Giustizia 4 ottobre 2024, causa C-548/21 che ha affermato che l'accesso da parte della polizia, nell'ambito di un'indagine penale, ai dati personali conservati in un telefono cellulare può costituire un'ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali dell'interessato. Tuttavia, esso non è necessariamente limitato alla lotta contro i reati gravi. Il legislatore nazionale deve definire gli elementi da prendere in considerazione ai fini di tale accesso, quali la natura o le categorie dei reati pertinenti. Per garantire il rispetto del principio di proporzionalità in ciascun caso concreto, il cui esame implica una ponderazione di tutti gli elementi rilevanti del caso di specie, tale accesso deve, inoltre, essere subordinato a una previa autorizzazione da parte di un giudice o di un'autorità indipendente, salvo in casi di urgenza debitamente comprovati. L'interessato deve essere informato dei motivi dell'autorizzazione non appena la comunicazione di tali informazioni non rischi più di compromettere le indagini; --b) dalle Sezioni Unite nn. 23756 e 23755 del 2024 che hanno precisato che la tutela prevista dall'art. 15 Cost. non richiede che l'acquisizione al procedimento penale dei dati informatici avvenga attraverso un provvedimento del giudice, in quanto il sintagma “autorità giudiziaria” indica una categoria comprensiva tanto del giudice quanto del pubblico ministero.

Invero, l'accesso all'insieme dei dati contenuti in un telefono cellulare può costituire un'ingerenza grave, se non addirittura particolarmente grave, nei diritti fondamentali della persona interessata: tali dati, che possono includere messaggi, foto e la cronologia di navigazione su Internet, possono, se del caso, consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone, essendo taluni di essi particolarmente sensibili.

Un simile insieme di dati permette di trarre precise conclusioni sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini di vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati, sicché tanto per la Corte costituzionale quanto per la Corte di Giustizia per garantire il rispetto del principio di proporzionalità in ciascun caso concreto, il cui esame implica una ponderazione di tutti gli elementi rilevanti del caso di specie, l'accesso deve essere subordinato a una previa autorizzazione da parte di un giudice o di un'autorità indipendente, salvo in casi di urgenza debitamente comprovati.

Il Giudice delle leggi (par. 4.2 del Considerato in diritto) si è così espresso: in linea generale, che lo scambio di messaggi elettronici - e-mail, sms, WhatsApp e simili - rappresenti, di per sé, una forma di corrispondenza agli effetti degli artt. 15 e 68, comma 3, Cost. non può essere revocato in dubbio. Posto che quello di “corrispondenza” è concetto ampiamente comprensivo, atto ad abbracciare ogni comunicazione di pensiero umano (idee, propositi, sentimenti, dati, notizie) tra due o più persone determinate, attuata in modo diverso dalla conversazione in presenza, questa Corte ha ripetutamente affermato che la tutela accordata dall'art. 15 Cost. - che assicura a tutti i consociati la libertà e la segretezza “della corrispondenza e di ogni altra forma di comunicazione”, consentendone la limitazione «soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge» - prescinde dalle caratteristiche del mezzo tecnico utilizzato ai fini della trasmissione del pensiero, «aprendo così il testo costituzionale alla possibile emersione di nuovi mezzi e forme della comunicazione riservata» (sentenza n. 2 del 2023). La garanzia si estende, quindi, ad ogni strumento che l'evoluzione tecnologica mette a disposizione a fini comunicativi, compresi quelli elettronici e informatici, ignoti al momento del varo della Carta costituzionale (sentenza n. 20 del 2017; già in precedenza, con riguardo agli apparecchi ricetrasmittenti di debole potenza, sentenza n. 1030 del 1988; sulla libertà del titolare del diritto di scegliere liberamente il mezzo con cui corrispondere, sentenza n. 81 del 1993).

Anche la giurisprudenza della Corte europea dei diritti dell'uomo non ha avuto incertezze nel ricondurre sotto il cono di protezione dell'art. 8 CEDU - ove pure si fa riferimento alla “corrispondenza” tout court - i messaggi di posta elettronica (Corte EDU, grande camera, sentenza 5 settembre 2017, Barbulescu contro Romania, paragrafo 72; Corte EDU, sezione quarta, sentenza 3 aprile 2007, Copland contro Regno Unito, paragrafo 41), gli SMS (Corte EDU, sezione quinta, sentenza 17 dicembre 2020, Saber contro Norvegia, paragrafo 48) e la messaggistica istantanea inviata e ricevuta tramite Internet (Corte EDU, Grande Camera, sentenza Barbulescu, paragrafo 74).

Osservazioni

Il rapido sviluppo tecnologico e l'aumento dell'uso degli smartphone come strumenti primari di comunicazione e archiviazione di informazioni personali, espressione della propria identità digitale, portano con sé delicati problemi relativi al bilanciamento tra la protezione dei diritti fondamentali e le esigenze di prevenzione e repressione dei reati da parte delle autorità di polizia.

A tal riguardo, l'art. 15, par. 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in G.U.C.E., 31 luglio 2002, prevede che “[g]li Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all'articolo 8, paragrafi da 1 a 4, e all'articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell'articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l'altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto eurounitario, compresi quelli di cui all'articolo 6, paragrafi 1 e 2, del trattato sull'Unione europea”.

La Grande Sezione della Corte di giustizia UE, nella sentenza del 2 marzo 2021, H.K., C-746/18, in tema di tabulati telefonici e telematici, rispondendo a un rinvio pregiudiziale sollevato dalla Corte suprema estone, ha precisato la già articolata giurisprudenza in materia di data retention (basti pensare solo alle celebri sentenze Corte giust., Grande Sezione, 8 aprile 2014, cause riunite C/293/12 e C-594/12, Digital Rights Ireland e Grande Sezione, 21 dicembre 2016, cause riunite C-203/15 e C-698/15, Tele2 Sverige AB), stabilendo che il diritto UE (e in particolare l'art. 15 della direttiva 2002/58/UE, letto alla luce degli artt. 7,8,11 e 52 della Carta di Nizza) osta a una disciplina nazionale che: 1) non circoscriva l'accesso di autorità pubbliche a dati idonei a fornire informazioni su comunicazioni effettuate da un utente «a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica»; 2) affidi nel corso di un rito penale al pubblico ministero e non a un soggetto terzo (come un giudice) la competenza ad autorizzare l'accesso a tali dati.

La Grande Camera ribadisce alcuni chiari principi di diritto, peraltro già affermati in passato nella sua giurisprudenza, a tutela della riservatezza, della protezione dei dati di carattere personale, della libertà di espressione e d'informazione, nonché del principio di proporzionalità delle limitazioni a tali diritti e libertà. Infatti, con sentenza del 2 marzo 2021 la Grande Camera della Corte giust. U.E. ha precisato che l'art. 15, § 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni (Direttiva sulla vita privata e le comunicazioni elettroniche), letta alla luce degli artt. 7 (tutela della riservatezza), 8 (protezione dei dati di carattere personale) e 11 (libertà di espressione e d'informazione) nonché dell'art. 52, § 1 (principio di proporzionalità delle limitazioni ai diritti e alle libertà), della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico telefonico/informatico o di dati relativi all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo. La Grande Camera ha aggiunto che lo stesso art. 15, § 1, deve essere interpretato nel senso che esso osta ad una normativa nazionale che renda il pubblico ministero competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico e ai dati relativi all'ubicazione ai fini di un'istruttoria penale, dato che il compito del pubblico ministero è quello di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l'azione penale in un successivo procedimento.

Con la pronuncia in commento, i giudici di legittimità hanno ritenuto sufficiente la preventiva autorizzazione all'acquisizione dei dati informatici da parte del PM, quale organo indipendente in quanto nel suo statuto è prevista la tutela dei diritti dell'indagato.

Tuttavia, la Corte di giustizia ha negato al pubblico ministero la competenza, ai fini di un'indagine penale, ad autorizzare l'accesso di un'autorità pubblica sia ai dati di traffico, sia ai dati sulla posizione, in quanto in ambito penale, «il requisito di indipendenza implica che l'autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell'indagine penale di cui trattasi e, dall'altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale».

Tali caratteri non sono riscontrabili nel pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l'azione penale, giacché il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l'azione penale.

Né la circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco, nel senso che non dispone di tutte le attribuzioni e non presenta tutte le garanzie necessarie per garantire una armonizzazione dei diversi valori e diritti contrapposti.

La Cassazione ha ritenuto che la figura del pubblico ministero, per come disciplinata nell'ordinamento italiano, rappresenti un organo sufficientemente indipendente da soddisfare la normativa europea (Cass. pen., n. 36380/2019).

Tuttavia, se la scelta dell'individuazione dell'Autorità giudiziaria ricadesse sul pubblico ministero, ci troveremmo indubbiamente dinanzi ad una situazione che pone non poche frizioni con i principi convenzionali se si considera che l'organo della pubblica accusa, cui è certamente devoluto l'obbligo (se non di “prevenire” quanto meno) di perseguire e “reprimere i reati”, verrebbe in maniera del tutto arbitraria ad accentrare in sé anche il potere di valutare se le esigenze investigative possano comportare, caso per caso, una violazione della libertà e della segretezza della corrispondenza.

In tale situazione, ad usare un'espressione eufemistica, ci troveremmo dinanzi ad un organo non completamente sereno per valutare le esigenze e l'interesse relativi alla segretezza delle conversazioni dell'indagato o dell'imputato. Già questo giustificherebbe ampiamente la necessità che sull'acquisizione dei dati informatici si esprimesse un giudice terzo che, al contrario dell'organo della pubblica accusa, si trovi in una situazione di equidistanza tra il principio della libertà e della segretezza delle comunicazioni da una parte e quello della persecuzione e repressione dei reati dall'altra.

In altri termini, l'autorità chiamata ad autorizzare l'acquisizione dei dati informatici deve essere terza e neutrale (ovverosia caratteristiche intrinsecamente estranee alla parte pubblica): allorquando nell'attività di ricerca della prova si debba necessariamente incorrere in limitazioni di diritti fondamentali sanciti dalla nostra Costituzione, l'intervento del giudice appare invero necessario, dovendosi contemperare la coesistenza di due contrastanti interessi di pari dignità.

Dunque, in ossequio ad una più rigorosa osservanza dei ruoli processuali, si ritiene necessario che anche l'acquisizione dei dati informatici sia acquisito solo dopo un vaglio giurisdizionale che decida sulla necessità del verificarsi di limitazioni di diritti fondamentali.

Del resto, lo stesso legislatore conscio di tali frizioni con il d.l. 30 settembre 2021, n. 132 ha modificato l'art. 132 cod. privacy ha attribuito al giudice (organo indipendente, terzo e imparziale) del potere di apprensione delle informazioni di traffico telefonico e telematico, salvi i casi di urgenza la possibilità dell'acquisizione da parte del P.M. da dover poi convalidare.

Ed ancora sul presupposto che il sequestro dei dati contenuti nel telefono cellulare costituisce una grave ingerenza nei diritti fondamentali della persona interessata, il Senato ha approvato un disegno di legge che mira ad apportare modifiche al codice di procedura penale proprio in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali, tra i quali anche lo smartphone.

Si tratta del disegno di legge A.S. n. 806, che prevede l'introduzione dell'art. 254-ter c.p.p., intitolato “Modifiche al codice di procedura penale in materia di sequestro di dispositivi, sistemi informatici o telematici o memorie digitali”.

È previsto un percorso procedurale piuttosto articolato, che, a seguito di provvedimenti del giudice per le indagini preliminari, conduce all'accesso da parte della polizia giudiziaria e del pubblico ministero ai dati contenuti nell'apparecchio telefonico.

Il giudice per le indagini preliminari, in un primo momento, su richiesta del pubblico ministero, dispone il sequestro del dispositivo o del sistema informatico o di memorie digitali “necessari per la prosecuzione delle indagini”, “nel rispetto del criterio di proporzione”.

Entro 5 giorni dal deposito del verbale di sequestro, il pubblico ministero conferisce l'incarico per la duplicazione del contenuto del dispositivo informatico.

Effettuata l'analisi del duplicato informatico, quindi, il pubblico ministero procede con decreto motivato al sequestro dei dati, delle informazioni e dei programmi “strettamente pertinenti al reato in relazione alle circostanze di tempo e di luogo del fatto e le modalità della condotta, nel rispetto dei criteri di necessità e proporzione”.

Qualora, però, il pubblico ministero intenda sequestrare dati inerenti a comunicazioni, è tenuto ad avanzare una richiesta al giudice per le indagini preliminari il quale provvede con decreto motivato in presenza dei presupposti di cui agli artt. 266, comma 1, e 267, comma 1, c.p.p.

In conclusione, è il giudice terzo e imparziale, in funzione del corretto equilibrio del rapporto fra accusa e difesa secondo i principi di quello che oggi si qualifica come il “giusto processo” ex art. 111, comma 2, Cost.

Gli interventi normativi intervenuti e quelli in cantiere sono espressione della convinzione che sarebbe logicamente contraddittorio pretendere che l'azione del pubblico ministero sia improntata ai caratteri della imparzialità e della terzietà, come prefigurati per l'attività del giudice: al pubblico ministero non s'addice l'attributo di parte imparziale, da qui la necessità che atti di indagine invasivi delle libertà dell'indagato siano debitamente autorizzati dal giudice.