La negletta privacy: se la Cassazione dimentica il GDPR…

Su questa Rivista sono state recentemente esposte le ragioni per cui il cd. diritto alla privacy non è un diritto assoluto, ma “cedevole” rispetto a istanze ritenute meritevoli di maggior tutela di ordine costituzionale, il diritto alla salute in particolare nella sua declinazione collettiva, ovvero di istanze quanto meno di “pari grado”, quali la sicurezza sul lavoro di cui è portatore il TU 81/2008, dedicato alla sicurezza sul lavoro, diretta espressione di quella dimensione collettiva del diritto alla salute appena menzionata: esigenza particolarmente avvertita in un momento come l'attuale, dominato dalla pandemia del COVID-19.

In questo contesto al giurista s'impone un atteggiamento “consapevole”, sia pure nel rispetto della dignità della funzione che gli compete di “sentinella” del diritto.

La “consapevolezza” non può tuttavia tradursi nell'accantonamento del diritto alla privacy nella sua più attuale configurazione, anche da parte di autorevoli interpreti quali i giudici di legittimità. Appare opportuno ricordare che il codice della privacy, d.lgs. 196/2003, come riformato dal d.lgs. 101/2018, di adeguamento al cd. GDPR, ovvero il Regolamento europeo 27 aprile 2016, è stato contraddistinto dall'abrogazione degli articoli da 3 a 45 e dal contestuale rinvio ai corrispondenti articoli del GDPR.

In questo rinnovato quadro, sono tuttavia intervenute alcune pronunce del Supremo collegio che hanno sorprendentemente “mantenuto in vita” norme del codice della privacyormai abrogate.

Da ultimo, questa “reviviscenza” è stato perpetuata anche nella autorevole Relazione, La legge 28 febbraio 2020, n. 7, conversione in legge con modificazioni del decreto-legge 30 dicembre 2019, n. 161, Modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni, della Corte Suprema di Cassazione, Ufficio del Massimario e del Ruolo, servizio Penale, del 23 marzo 2020.

Appare dunque opportuno far cenno proprio a quelle sentenze della Cassazione penale che, nonostante l'abrogazione, hanno consentito la “sopravvivenza” di alcune queste norme abrogate.

È questo il caso di Cass. pen., Sez. V, 24 aprile 2019, n. 35095, che ha escluso qualsivoglia rilievo scriminante della normativa privacy in caso di distruzione di atti relativi a un concorso pubblico.

Per il commento alla sentenza si rinvia al contributo pubblicato su questa Rivista, mentre qui occorre concentrarsi sulla parte motiva della sentenza che ha consentito questo inedito fenomeno di “reviviscenza”.

Si fa riferimento in particolare alle seguenti argomentazioni: «la normativa sul trattamento dei dati personali comporta obblighi specifici di riservatezza, che non fanno venir meno il generale principio della trasparenza amministrativa, come si evince dalle disposizioni di cui al d.lgs. 30 giugno 2003 n.196 contenente il "Codice in materia di protezione dei dati personali"».

Da detto impianto normativo discenderebbe, secondo i supremi giudici, che, «anche a norma dell'art. 16 d.lgs. 196/2003, la cancellazione di dati, su richiesta dell'interessato, o in occasione della cessazione del trattamento, deve essere equiparata alla distruzione dei documenti, e come tale va autorizzata dalla Soprintendenza archivistica, a norma degli art. 22, comma 5, d.lgs. 196/2003 e 21, comma 1, lett. d), d.lgs. 42/2004)».

Entrambi gli articoli menzionati in sentenza, 16 e 22 del d.lgs. n. 196/2003 sono inclusi tra quelli espressamente abrogati dal d.lgs. 101/2018.

Se era scontato che i giudici di merito – GUP Verona sentenza 16 dicembre 2015, Corte d'appello Venezia sentenza 18 maggio 2017 – facessero riferimento alle norme in allora vigenti, allo stesso modo era da attendersi che quelli di legittimità si confrontassero con il rinnovato quadro normativo: i ricorsi avverso la sentenza di appello erano stati presentati nel dicembre 2017 e, quindi, il rinvio ivi contenuto alle previgenti norme del d.lgs. n. 196/2003 era senz'altro coerente ratione temporis, essendo stato approvato il d.lgs. 101/2018 solo in data 10 agosto 2018.

La sentenza della Corte di Cassazione, decisa all'udienza del 29 aprile 2019, non poteva che confrontarsi con il mutato quadro normativo, ovvero il d.lgs. 196/2013 come modificato dal d.lgs. 101/2018, di adeguamento al GDPR.

Proprio per tale motivo, il riferimento contenuto nella sentenza della Cassazione alle pregresse disposizioni ora abrogate è venuto attribuendo loro una ultrattività che non pare autorizzata da alcuna previsione normativa.

Purtroppo, non si tratta di un caso isolato

Anche in Cass. pen., Sez. VI, 26 aprile 2019, n. 31576 e Cass. pen., Sez. VI, 26 aprile 2019, n.31579 si può trovare un acritico riferimento agli art. 21, 27 e 45del d.lgs. 30 giugno 2003, n. 196, asseritamente richiamati dall'art. 167, comma 2.

Fermo restando quanto già detto in merito all'abrogazione degli artt. da 3 a 45, la nuova formulazione dell'art. 167, comma 2, prevede il fatto di chi, «al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies, arrechi nocumento all'interessato».

Nessun riferimento compare, dunque, agli artt. 21, 27 e 45 del d.lgs. 30 giugno 2003, n. 196.

Dunque, nelle sentenze passate in rassegna si è fatto luogo all'applicazione della sanzione penale nonostante la stessa fosse stata interpellata, per quanto concerne la sua applicazione, dal rinnovato quadro normativo in tema di privacy: si tratta di modifiche non solo formali, ma sostanziali, come reso palese, nel secondo gruppo di sentenze dalla completa riformulazione della norma penale.

Ma anche nel primo caso, se i giudici di legittimità avessero fatto riferimento al d.lgs. 101/2018 avrebbero sicuramente rafforzato la propria motivazione in quanto con esso si introduce, nel d.lgs. 196/2003, l'art. 2-sexies Trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante. Si considera rilevante l'interesse pubblico a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri, tra l'altro, in materia di instaurazione, gestione ed estinzione di qualunque tipo anche non retribuito o onorario. Invece i giudici di legittimità hanno evocato la nozione di interesse pubblico, ma sotto altro profilo, quello della trasparenza amministrativa.

Non può, per altro, sfuggire che le sentenze da ultimo citate, Cass. pen., Sez. VI, 26 aprile 2019, n. 31576 e Cass. pen., Sez. VI, 26 aprile 2019, n. 31579, hanno riguardato la nota vicenda Exodus, afferente alla delicata questione del captatore informatico, oggetto della recentissima riforma delle intercettazioni telefoniche.

Anche in questo caso si rinvia ai contributi pubblicati da Il Penalista.

Pur senza entrare nello specifico della riforma, giova soffermarsi su un particolare aspetto della Relazione del Massimario della Cassazione del 23 marzo 2020, che compendia il novum normativo.

Nel documento si sostiene che la previsione di un registro elettronico e di un archivio per le intercettazioni risponde all'esigenza di adeguare gli uffici giudiziari delle Procure della Repubblica al provvedimento del Garante della privacy in materia di misure di sicurezza nelle attività di intercettazione del 18 luglio 2013, intitolato “misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica”.

In questo provvedimento,il Garante aveva prescritto misure e accorgimenti volti al rafforzamento della sicurezza nel trattamento dei dati personali e dei sistemi nell'attività di intercettazione di conversazioni o comunicazioni elettroniche, anche informatiche o telematiche, nonché di controllo preventivo, svolta presso le Procure della Repubblica.

Si legge testualmente nella Relazione che, «in premessa, nel provvedimento, si ribadisce che, in relazione all'insieme dei trattamenti di dati personali e delle strutture ove tali attività vengono svolte, i titolari dei trattamenti sono tenuti al rispetto degli obblighi di sicurezza di cui all'art. 31 del Codice della privacy; devono, pertanto, valutare l'idoneità delle misure di sicurezza in essere e di quelle che potranno essere adottate alla luce di un'analisi dei rischi incombenti sui dati. In esso, poi, sono prescritte misure tecniche e organizzative da adottare presso le Procure della Repubblica concernenti misure di sicurezza fisica ed informatica finalizzate ad assicurare l'integrità del dato, la conservazione dello stesso, e a conservare traccia di tutti i soggetti che con esso entrano in contatto a vari fini. Tra le misure di sicurezza informatica appare utile menzionare quelle che dispongono: accessi ai sistemi consentiti solo da postazioni preventivamente abilitate e censite, connesse a reti protette dotate di sistemi di protezione perimetrale (firewall); accessi ai sistemi consentiti, sia per scopi di configurazione delle intercettazioni, che per ascolto o riascolto, ad operatori abilitati e autenticati tramite procedure di strong authentication, qualunque sia la modalità, locale o remota, con cui venga realizzato l'accesso al sistema di elaborazione utilizzato per il trattamento; applicazione della strong authentication anche agli addetti tecnici (amministratori di sistema, di rete, di data base) che possano materialmente accedere ai dati delle intercettazioni in ragione delle mansioni loro attribuite; l'annotazione in registri informatici, con tecniche che ne assicurino la inalterabilità, con indicazione dei riferimenti temporali relativi alle attività svolte e al personale operante, dell'esecuzione delle operazioni (quali l'ascolto, la consultazione, registrazione, masterizzazione, archiviazione e duplicazione delle informazioni, la trascrizione delle intercettazioni, la manutenzione e la gestione dei sistemi, la distruzione dei supporti, dei verbali, delle registrazioni e di ogni altra documentazione attinente alle intercettazioni) svolte nell'ambito delle attività di intercettazione sia presso i C.I.T., sia presso gli Uffici di polizia giudiziaria delegati (artt. 266 e ss. c.p.p.; art. 226 disp. att. c.p.p.; d.m. 30 settembre 1989; d.m. 17 dicembre 1999). L'iniziale termine di diciotto mesi per l'adozione delle misure prescritte è stato più volte prorogato fino al 31 dicembre 2017».

Mentre il Garante aveva giustamente citato l'art. 31 del Codice della privacy, norma in allora pienamente vigente, il mutato quadro normativo, che ne ha determinato l'abrogazione, avrebbe imposto una rivisitazione delle indicazioni dell'Autorità.

Chi leggesse la Relazione del Massimario potrebbe ritenere, del tutto fondatamente, tutt'ora vigente l'art. 31 Codice della privacy, norma invece abrogata dal d.lgs. 101/2018: forse sarebbe stato più opportuno dar atto della corretta indicazione del Garante nel provvedimento del 2013, ma allo stesso tempo rinviare alla norma che lo ho ha sostituito, da individuarsi nell'art. 32 GDPR, sempre dedicato alle misure di sicurezza, e verificare se le indicazioni fornite dall'Autorità nel 2013 fossero ancora con esso coerenti.

Si tratta dunque di un rilievo con impatto non meramente formale, ma sostanziale: allo stesso modo sostanziali appaiono i rilievi del Garante che già nel provvedimento del 2013 anticipava quei principi di accountability poi fatti propri dal GDPR, sia pur diversamente declinati: il Garante esortava i titolari dei trattamenti al rispetto degli obblighi di sicurezza di cui all'art. 31 del Codice della privacy e alla valutazione dell'idoneità delle misure di sicurezza. Si tratta proprio di quegli accorgimenti, che, laddove correttamente applicati avrebbero, probabilmente, scongiurato il verificato della vicenda Exodus.

Proprio per tale motivo, sarebbe stato ancora più opportuno un ulteriore approfondimento volto a verificare la rispondenza della riforma al ben più recente comunicato del Garante per la privacy al Parlamento e al Governo, in data 30 aprile 2019, successivo non solo al GDPR, ma anche alla vicenda Exodus, e dedicato proprio alla questione del captatore informatico.

Eppure, al Massimario, l'argomento della riforma introdotta dal GDPR è ben noto: prova ne sia che, trattando delle categorie di intercettazioni non acquisibili, salvo che ne sia dimostrata la rilevanza, si fa riferimento alle “categorie particolari di dati personali” di cui agli artt. 268, comma 6, c.p.p. e 89 disp. att. c.p.p.. L'impiego di tale espressione, in luogo di quella “dati sensibili” è stata ritenuta conforme all'espressione adottata dall'art. 9 del Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016 che, come precisato dal Dossier dell'Ufficio Studi del Senato, qualifica come “categorie particolari di dati personali” quelli che un tempo erano i dati sensibili. La norma prevede, infatti, che “È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.”

Se il Massimario si è limitato a prender atto di questa modifica “formale” concernente le “categorie particolari di dati personali” la delibera 13 febbraio 2020, del Consiglio Superiore della Magistratura: Parere sul Disegno di Legge n. 1659 AS di conversione del Decreto Legge n. 161/2019 recante modifiche urgenti alla disciplina delle intercettazioni di conversazioni o comunicazioni (GU Serie generale n. 305 del 31.12.2019), ne ha esaminato gli aspetti sostanziali proprio in riferimento al registro elettronico e all'archivio per le intercettazioni.

Secondo l'organo di autogoverno, la digitalizzazione dell'archivio di cui all'art. 269, comma 1, c.p.p. e 89-bis disp. att. c.p.p. renderebbe agevole la conservazione delle registrazioni anche senza limiti temporali e peraltro con modalità tali da assicurare “la segretezza della documentazione relativa alle intercettazioni non necessarie per il procedimento, ed a quelle irrilevanti o di cui è vietata l'utilizzazione, ovvero riguardanti categorie particolari di dati personali come definiti dalla legge o dal regolamento in materia”.

Assai acuta è l'osservazione del CSM secondo cui problematicità nell'applicazione della norma potrebbero emergere proprio con riferimento all'uso della locuzione “particolari categorie di dati personali”, la cui eccessiva genericità rende ancora più gravoso il compito del Procuratore ove si consideri la mole e la varietà dei dati intercettati e, in ogni caso, la difficoltà di effettuare un equilibrato bilanciamento tra la tutela della privacy e le esigenze probatorie delle parti processuali: a tanto dovrebbe ovviarsi mediante il decreto, di natura “non regolamentare”, del Ministro della Giustizia, da adottarsi sentito il Garante per la protezione dei dati personali, che dovrebbe contenere i criteri a cui il Procuratore della Repubblica deve attenersi per garantire la riservatezza degli “atti custoditi” nell'archivio. Poiché la decisione circa le richieste di accesso o di copia delle intercettazioni e degli atti relativi costituisce una prerogativa degli organi giurisdizionali, è evidente che tale decreto dovrà contenere solo disposizioni di carattere organizzativo riguardanti le modalità di accesso all'archivio.

A sommesso avviso di chi scrive il CSM coglie nel segno.

Ogni Procuratore, per ogni intercettazione, dovrebbe consultare “religiosamente” l'articolo 9 del Regolamento europeo e quindi verificare se l'esito captativo sia da ascriversi alla nozione di di categorie particolari di dati personali, con espresso divieto di trattare quelli che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l'appartenenza sindacale. A ciò si aggiunga l'ulteriore divieto espresso di trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica e dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Siamo in presenza, quindi, di una sorta di “regola generale” che vieta il trattamento di tale tipo di dati.

Effettivamente non bisogna essere degli esperti investigatori per comprendere che, se è questa l'interpretazione della norma che fa espresso riferimento a categorie particolari di dati personali come definiti dalla legge o dal regolamento in materia,la gestione di tale archivio risulta alquanto ardua.

Nondimeno l'autorevole consesso coglie nel segno nel rilevare la problematicità di definire quale sia l'ampiezza da attribuire alla nozione di “riservatezza” in un settore, come quello delle intercettazioni, in cui fisiologicamente, e legittimamente, la privacy dei soggetti intercettati è sacrificata.

Il concetto assume un carattere estremamente vago tale da renderne impossibile distinguere i contorni.

Ad esempio viene impiegato con riferimento al limite temporale previsto per la conservazione delle registrazioni, individuato dall'art. 269, co. 2 c.p.p. nella sentenza non più soggetta a impugnazione: ad avviso del CSM, l'esperienza investigativa e giudiziaria insegna, infatti, che l'intercettazione di una conversazione può rivelarsi, anche dopo molti anni, fonte di prova preziosa e indispensabile, in ipotesi anche a favore dell'indagato e/o imputato, cosicché non appare opportuno procedere alla distruzione delle registrazioni in assenza di motivate e pregnanti esigenze di “riservatezza” poste a fondamento di una istanza proveniente da un soggetto interessato.

Effettivamente risulta incomprensibile a cosa possano corrispondere tali esigenze, soprattutto se “calate” nel rinnovato quadro normativo delineato dalla Cassazione civile, Sez. I, sentenza 29 maggio 2018, n. 21362: viene qui richiamato il d.P.R. 15 gennaio 2018, n. 15, recante il regolamento per il trattamento dei dati effettuato per finalità di polizia per evidenziare che, all'art. 10 d.P.R. 15/2018, si prevede che il periodo di conservazione non debba essere superiore a quello necessario per il conseguimento delle finalità di polizia e precisa che i dati personali soggetti a trattamento automatizzato, trascorsa la metà del tempo massimo di conservazione, se uguale o superiore ai quindici anni, sono accessibili ai soli operatori a ciò abilitati e designati, incaricati del trattamento secondo profili di autorizzazione predefiniti: le norme in questione sono il risultato di un difficile bilanciamento tra l'interesse collettivo all'esercizio dei compiti di prevenzione e repressione dei reati e di tutela dell'ordine e della sicurezza pubblica, sotteso all'acquisizione e al trattamento di informazioni da parte delle forze di polizia e quello individuale alla tutela della propria sfera di riservatezza che trova espressione non solo nell'esigenza di garantire la correttezza, la completezza e l'aggiornamento dei dati trattati, vi è inoltre l'esigenza di assicurare che l'acquisizione, la comunicazione e la diffusione degli stessi abbiano luogo conformemente alle finalità del trattamento, conservando la possibilità di ottenere la cancellazione allorché debbano ritenersi venute meno le finalità che ne giustificano la conservazione. In conclusione, l'art. 10, comma 3, lettera f), del d.P.R. 15/2018, che si occupa specificamente delle informazioni relative ad attività di polizia giudiziaria nel caso di specie conclusasi con provvedimento di archiviazione, fissa in venti anni dell'emissione di tale provvedimento il termine per la conservazione dei dati. Mentre trascorsa la metà del predetto periodo l'accessibilità dei dati è limitata ai soli operatori a ciò abilitati.

Non è chi non veda come l'articolato argomentare seguito dai giudici di legittimità civili, “coniugato” con il parere del CSM, siano in grado di “smascherare” l'approssimazione di un testo legislativo che non riesce a coniugare le norme emanate ad appena due anni di distanza tanto in materia di privacy che di intercettazioni telefoniche.

Chi scrive fa proprie le parole di un ben più autorevole giurista che ha così commentato l'attuale momento storico: Non si rischia forse di assomigliare ai padri conciliari della leggenda, che vuole impegnati a discutere del sesso degli angeli mentre Bisanzio sta per cadere assediata dai Turchi, o – peggio ancora – non si rischia di far la fine del don Ferrante manzoniano che, tentando arguti sillogismi aristotelici, finisce per morire di peste prendendosela con le stelle come un eroe di Metastasio mentre la sua famosa libreria è dispersa su per i muriccioli? Io credo che, proprio quando la “nuda vita” entra in gioco e si affaccia nel diritto l'irrazionalismo della paura, il diritto sembra eclissarsi e, per dirla con Benjamin, rischia di diventare “violenza pura”, i giuristi, la classe forense e tutti gli operatori giuridici non solo “possono”, ma “devono” parlare. Il problema è il “modo” in cui parlare: esso deve essere adeguato al contesto in cui interviene questa decretazione d'urgenza (legislativa e amministrativa) e la cui analisi, se trattata con le ordinarie categorie giuridiche, finirebbe per apparire autoreferenziale e forse un poco vacua.

I giuristi, dunque, la classe forense e tutti gli operatori giuridici, in primis i giudici di ogni ordine e grado, non solo “possono”, ma “devono” parlare. Il problema è il “modo” in cui parlare, rendendolo adeguato al contesto.

Il “contesto” attuale è quello del necessitato sacrificio della privacy a favore del diritto collettivo alla salute, in nome del contrasto alla pandemia del COVID-19.

Il dibattito, in queste settimane, verte sulla possibilità di utilizzare app di monitoraggio atte a contenere il diffondersi dell'epidemia, come è avvenuto – in forme più o meno stringenti – nei Paesi asiatici che meglio degli altri hanno saputo limitare il contagio. Cina e Corea, in primo luogo. Il nodo che si frappone all'utilizzo di queste tecnologie, nei paesi occidentali, è rappresentato dalla restrizione al diritto alla tutela dei dati personali.

La decisione politica di adottare una soluzione piuttosto che un'altra deve essere necessariamente adottata dal Governo, in accordo con le altre istituzioni coinvolte, a partire dal Garante per la Privacy.

Le scelte che saranno adottate oggi avranno un effetto futuro soprattutto sul nostro approccio alle emergenze e ai dati.

Le future decisioni si inseriscono in un panorama già piuttosto attivo quanto allo sviluppo di autonome applicazioni, peraltro alcune già disponibili su Google Play e App Store, sebbene carenti di qualsivoglia vaglio istituzionale o delle Autorità preposte.

Autorevole dottrina specializzata ha rilevato come sia il caso, ad esempio, dell'applicazione “Lazio doctor per Covid”, lanciata dalla Regione Lazio come strumento con cui informarsi e poter comunicare i propri sintomi al medico che sarà a sua volta in grado di “monitorare la situazione a distanza, in totale sicurezza”: la relativa policy privacy però lascia adito a molti dubbi sin dalle prime righe.

Al “penalista” non può sfuggire che proprio il Garante, nel comunicato al Parlamento e al Governo, in data 30 aprile 2019, successivo alla vicenda Exodus, aveva denunciato che la delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell'azione investigativa. Il ricorso a tali due tipologie di sistemi (app o comunque software che non siano inoculati direttamente sul dispositivo-ospite, ma scaricati da piattaforme liberamente accessibili a tutti e, per altro verso, archiviazione mediante sistemi cloud in server posti fuori dal territorio nazionale) dovrebbe, dunque, essere oggetto di un apposito divieto.

Dunque pare opportuno che il “penalista”, qual esso sia, apporti il proprio contributo sul punto per evitare che, anche in settore tanto delicato quale quello della tutela dei dati “particolari” oggetto di trattamento in conseguenza della pandemia COVID-19, possano ripetersi i guasti già verificatisi nell'ambito del captatore informatico.

Ferdinando Brizzi, La tutela dei dati personali ai tempi del coronavirus: pandemia vs gdpr, Il Penalista, 19 marzo 2020

Ferdinando Brizzi, Distruzione di atti relativi a un concorso pubblico: la normativa privacy può avere rilievo scriminante?, Il Penalista 14 ottobre 2019

Ferdinando Brizzi, Il captatore informatico: un exodus verso buone pratiche?, Il Penalista 4 settembre 2019

Ferdinando Brizzi, G.D.P.R.: la minimizzazione del trattamento di dati. Quali possibili ricadute in ambito giudiziario?, Il Penalista 23 gennaio 2019

Cesare Parodi, Convertito il d.l. 161/2019 in materia di intercettazioni: le correzioni di rotta, Il Penalista 26 Febbraio 2020

Tomaso Epidendio, Il diritto nello “stato di eccezione” ai tempi dell'epidemia da Coronavirus, in Giustizia insieme, 30 marzo 2020

Barbara Calderini, Fermare il Covid-19 con le tecnologie è possibile: tutte le sfide privacy e come superarle, in www.agendadigitale.uu, 31 marzo 2020