Il legislatore deve urgentemente riformare la disciplina dell’acquisizione dei tabulati relativi al traffico e all’ubicazione
15 Marzo 2021
Premessa
La Grande Camera della Corte di giustizia U.E. con sentenza 2.3.2021 ha affermato il contrasto rispetto al diritto dell'Unione europea della disciplina legislativa estone, che, come quella italiana, consente una conservazionegeneralizzata e indifferenziata dei dati relativi al traffico telefonico/informatico e dei dati relativi all'ubicazione, riservando al pubblico ministero il potere di acquisizione. La pronuncia è emblematica per la tutela della riservatezza, della protezione dei dati di carattere personale, della libertà di espressione e d'informazione, nonché del principio di proporzionalità delle limitazioni a tali diritti e libertà. Infatti, la Grande Camera della Corte giust. U.E. ha precisato che l'art. 15, § 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12.7.2002, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni (Direttiva sulla vita privata e le comunicazioni elettroniche), letta alla luce degli artt. 7 (tutela della riservatezza), 8 (protezione dei dati di carattere personale) e 11 (libertà di espressione e d'informazione) nonché dell'art. 52, § 1 (principio di proporzionalità delle limitazioni ai diritti e alle libertà), della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico telefonico/informatico o di dati relativi all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo. La Grande Camera ha aggiunto che lo stesso art. 15, § 1, deve essere interpretato nel senso che esso osta ad una normativa nazionale che renda il pubblico ministero competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico e ai dati relativi all'ubicazione ai fini di un'istruttoria penale, dato che il compito del pubblico ministero è quello di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l'azione penale in un successivo procedimento (Corte giust. U.E., Grande Camera, 2.3.2021, H. K./Prokuratuur, causa C‑746/18). La sentenza della Grande Camera del 2 marzo scorso ribadisce, peraltro, principi già perentoriamente affermati in passato in diverse sue pronunce (Corte giust. U.E., Grande Camera, 8.4.2014,cause riunite C-293/12 e C-594/12; Corte giust. U.E., Grande Camera, 8.4.2014,cause riunite C-293/12 e C-594/12; Corte. giust. U.E., Grande Camera, 21.12.2016, cause riunite C‑203/15 e C‑698/15; Corte giust. U.E., Grande Camera, 2.10.2018, Ministerio Fiscal, C‑207/16; Corte giust. U.E., Grande Camera, 6.10.2020, C-623/17; Corte giust. U.E., Grande Camera,6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18). Il principio di proporzionalità e il divieto di una conservazione “generalizzata e indifferenziata” dei dati relativi al traffico e all'ubicazione
Con tale sentenza la Corte giust. U.E. afferma, anzitutto, il principio per cui l'obiettivo della prevenzione, della ricerca, dell'accertamento e del perseguimento dei reati è ammesso, conformemente al principio di proporzionalità, soltanto per la lotta contro “le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica”, le quali solamente sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e all'ubicazione. Infatti, come già rilevato in passato, l'accesso a un insieme di dati relativi al traffico o all'ubicazione “può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati”. Pertanto, è vietata una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione e “soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l'accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o all'ubicazione, i quali sono suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali utilizzate da quest'ultimo e tali da permettere di “trarre precise conclusioni sulla vita privata delle persone interessate”. La Corte aggiunge che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l'accesso a tali dati, non possono avere come effetto quello di giustificare l'obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale. Essa osserva che, indubbiamente, maggiore è la durata del periodo per il quale viene richiesto l'accesso o le categorie di dati richiesti, più grande è, in linea di principio, la quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall'utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente. Pertanto, il principio di proporzionalità, che consente le deroghe alla protezione dei dati personali e le limitazioni di quest'ultima, impone che tanto la categoria o le categorie di dati interessati, quanto la durata per la quale è richiesto l'accesso a questi ultimi, siano, in funzione delle circostanze del caso di specie, limitate a “quanto è strettamente necessario” ai fini dell'indagine in questione. La Corte chiarisce che l'autorizzazione all'accesso concessa dal giudice o dall'autorità indipendente competente deve intervenire necessariamente prima che i dati e le informazioni che ne derivano possano essere consultati. Pertanto, “la valutazione della gravità dell'ingerenza costituita dall'accesso si effettua necessariamente in funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile”. Alla luce delle considerazioni che precedono, la Corte chiarisce che l'art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, § 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico o all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo. Solo “regole chiare e precise” possono imporre l'acquisizione dei dati “strettamente necessari” a fini di indagine
Come già affermato in passato, la Corte riconosce che è vero che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l'accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere “regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi”. Tale normativa deve inoltre essere “legalmente vincolante nell'ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l'ingerenza sia limitata allo stretto necessario” (Corte giust. U.E., Grande Camera, 21.12.2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15; Corte giust. U.E., Grande Camera, 6.10.2020, Privacy International, C‑623/17, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18 e la giurisprudenza ivi citata). In particolare, una normativa nazionale che disciplini l'accesso delle autorità competenti a dati conservati e relativi al traffico e all'ubicazione, adottata ai sensi dell'art. 15, § 1, della Direttiva 2002/58, non può limitarsi a esigere che l'accesso delle autorità ai dati risponda alla finalità perseguita da tale normativa, ma deve altresì prevedere “le condizioni sostanziali e procedurali che disciplinano tale utilizzo” (il principio era stato già enunciato da Corte giust. U.E., Grande Camera, 6.10.2020, Privacy International, C‑623/17, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, e C‑512/18, e a., e la giurisprudenza ivi citata). Pertanto, poiché un accesso generalizzato a tutti i dati conservati, indipendentemente da un qualche collegamento, almeno indiretto, con la finalità perseguita, non può considerarsi “limitato allo stretto necessario”, ogni normativa nazionale “deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l'accesso ai dati in questione”. La Corte precisa, inoltre, che “un accesso siffatto può, in linea di principio, essere consentito, in relazione con l'obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un'altra in un illecito del genere”. Soltanto eccezionalmente, “in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l'accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo” (Corte giust. U.E., Grande Camera, 21.12.2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15, nonché Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18). Un altro cardinale principio, già affermato in passato dalla Corte (Corte giust. U.E., Grande Camera, 9.3. 2010, Commissione/Germania, C‑518/07), ed ora ribadito, nega al pubblico ministero la competenza, ai fini di un'indagine penale, ad autorizzare l'accesso di un'autorità pubblica sia ai dati di traffico, sia ai dati sulla posizione. Invero, la grande Camera precisa che il controllo preventivo richiede, tra l'altro, che il giudice o l'entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire un contemperamento dei diversi valori e diritti in gioco. Per quanto riguarda, più in particolare, un'indagine penale, “tale controllo preventivo richiede che detto giudice o detta entità sia in grado di garantire un giusto equilibrio, da un lato, tra gli interessi connessi alle necessità dell'indagine nell'ambito della lotta contro la criminalità e, dall'altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall'accesso”; qualora tale controllo venga effettuato non da un giudice bensì da un'entità amministrativa indipendente, quest'ultima deve godere di uno status che le permetta di agire nell'assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna. La Corte ribadisce perciò che il requisito di indipendenza che l'autorità incaricata di esercitare il controllo preventivo deve soddisfare impone che tale autorità abbia la “qualità di terzo rispetto a quella che chiede l'accesso ai dati”, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, “il requisito di indipendenza implica che l'autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell'indagine penale di cui trattasi e, dall'altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale”. Tali caratteri non sono riscontrabili nel pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l'azione penale, giacché “il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l'azione penale”. Né la circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento “non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco”, nel senso che non dispone di tutte le attribuzioni e non presenta tutte le garanzie necessarie per garantire una armonizzazione dei diversi valori e diritti contrapposti. Pertanto, la Corte conclude categoricamente che il pubblico ministero non è in grado di effettuare tale controllo preventivo sulla richiesta delle autorità nazionali competenti di accesso ai dati conservati. Secondo la Corte, il pieno rispetto delle condizioni per l'accesso delle autorità nazionali competenti ai dati conservati può essere assicurato soltanto se sia subordinato ad “un controllo preventivo effettuato o da un giudice o da un'entità amministrativa indipendente". Essa inoltre esclude autorizzazioni d'ufficio ed esige che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette, presentata, in particolare, nell'ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. La Corte ritiene che il controllo indipendente debba essere, di regola, preventivo, cioè debba intervenire prima di qualsiasi accesso. Solo in via di eccezione, individuata in “situazioni di urgenza debitamente giustificate”, il controllo può essere successivo all'accesso, ma “deve avvenire entro termini brevi” (Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18 e la giurisprudenza ivi citata), tenendo presente che un controllo successivo è sempre inadeguato perché non consente di impedire un accesso ai dati in questione eccedente i limiti dello “stretto necessario”. Per tutte tali considerazioni la Corte conclude dichiarando che l'art. 15, § 1, della Direttiva 2002/58, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, § 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l'azione penale in un successivo procedimento, competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico e ai dati relativi all'ubicazione ai fini di un'istruttoria penale. La giurisprudenza della Corte di giustizia U.E. è granitica nel riconoscere il “principio dell'autonomia procedurale”, per cui, in assenza di norme dell'Unione in materia, spetta all'ordinamento giuridico interno di ciascuno Stato membro stabilire le regole di procedura applicabili ai ricorsi giurisdizionali destinati a garantire la tutela dei diritti riconosciuti ai singoli dal diritto dell'Unione. Tuttavia, la stessa giurisprudenza, afferma che tale principio di autonomia procedurale dello Stato opera soltanto alla duplice condizione che le regole processuali nazionali in tema di utilizzabilità della prova illegittima non siano meno favorevoli di quelle disciplinanti nel diritto interno situazioni analoghe (principio di equivalenza) e che le regole nazionali non rendano impossibile in pratica o eccessivamente difficile l'esercizio dei diritti conferiti dal diritto dell'Unione (principio di effettività) (Corte giust. U.E., Grande Camera, 19.12.2019. Deutsche Umwelthilfe e a./ Freistaat Bayern, C‑752/18; Corte giust. U.E., sez. VIII, 26.6. 2019, Kuhar, C‑407/18, e giurisprudenza ivi citata). La Corte sottolinea che la necessità di escludere informazioni ed elementi di prova ottenuti in violazione delle prescrizioni del diritto dell'Unione deve essere valutata alla luce, in particolare, del rischio che l'ammissibilità di informazioni ed elementi di prova siffatti comporta per il rispetto del principio del contraddittorio e, pertanto, del diritto ad un “processo equo”. La Corte ribadisce pertanto anche un vero e proprio “divieto di utilizzazione” della acquisizione illegittima, perché afferma che “un organo giurisdizionale, il quale consideri che una parte non è in grado di svolgere efficacemente le proprie osservazioni in merito a un mezzo di prova rientrante in una materia estranea alla conoscenza dei giudici e idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova al fine di evitare una violazione siffatta”. In altre parole, il principio di effettività impone al giudice penale nazionale, a causa della mancanza di contraddittorio, di escludere informazioni ed elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione incompatibile con il diritto dell'Unione, od anche mediante un accesso dell'autorità competente a tali dati in violazione del diritto dell'Unione, nell'ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti di criminalità, “qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova suddetti, riconducibili ad una materia estranea alla conoscenza dei giudici e idonei ad influire in maniera preponderante sulla valutazione dei fatti” (Corte giust. U.E., Grande Camera, 6.10.2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, cit.). Ma in caso di accesso illegittimo ai dati, a causa di una conservazione generalizzata e indifferenziata, o in ragione dell' acquisizione da parte del pubblico ministero, anziché del giudice, è difficile ravvisare la violazione del principio del contraddittorio, in quanto i dati, sia pure illegittimamente acquisiti, sono successivamente posti a disposizione delle parti e su di essi può quindi liberamente svolgersi il “contraddittorio postumo”, per cui, nella fattispecie specifica, non sembra ravvisabile alcun vulnus all' “equo processo”. In caso di acquisizione dei tabulati in violazione delle regole individuate dalla Corte di giustizia U.E., il “principio di equivalenza”, sul fronte interno, potrebbe indurre a riconoscere l'inutilizzabilità di tale prova. Infatti, poiché il diritto nazionale italiano non presenta alcuna regola processuale nazionale in tema di utilizzabilità dei dati del traffico o di localizzazione acquisiti in violazione degli artt. 7 (tutela della riservatezza), 8 (protezione dei dati di carattere personale) e 11 (libertà di espressione e d'informazione) nonché dell'art. 52, § 1 (principio di proporzionalità delle limitazioni ai diritti e alle libertà) della Carta dei diritti fondamentali U.E., l'applicazione delle norme disciplinanti l' “analoga situazione” di un'intercettazione avvenuta illegittimamente, cioè in violazione della riserva di legge e di giurisdizione, potrebbe comportare, in applicazione del “principio di equivalenza”, l'applicazione della sanzione dell'inutilizzabilità, chel'art. 271 c.p.p. riserva ai casi di esecuzione delle intercettazioni al di fuori dei casi previsti dalla legge o di mancata autorizzazione del giudice. La disciplina italiana sui tabulati
In Italia, com'è noto, l'art. 132 d.lgs. n. 196/2003, Codice in materia di protezione dei datipersonali (c.d. Codice della privacy), in nome dell'habeas data tutelato dall'art. 15 Cost., contiene la disciplina ordinaria, la quale prevede che, fermo restando quanto previsto dall'art. 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione (comma 1). La stessa disposizione stabilisce che, entro tali termini, i dati siano "acquisiti presso il fornitore con decreto motivato del pubblico ministero" (comma 2). Inoltre, una disciplina speciale è dettata dall'art. 24 l. n. 167/2017, che, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell'accertamento e della repressione dei reati di cui agli artt. 51, comma 3-quater, e 407,comma2,letteraa), c.p.p., ha innalzato a 72 mesi (6 anni) il periodo di conservazione dei dati di traffico telefonico e telematico, in deroga a quanto previsto dall'art. 132 commi 1 e 1-bis del Codice Privacy. La disciplina ordinaria italiana quindi non limita l'accesso ai dati “strettamente necessari” ai fini dell'indagine nella lotta contro le “forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica”, non distingue tra reati più o meno gravi, né tra i soggetti sospettati di reato o meno, come esige la Corte di giustizia U.E. Inoltre, il Codice privacy attribuisce al P.M. la legittimazione esclusiva ad acquisire i dati telefonici o telematici - competenza censurata dalla Corte di giustizia U.E. - mentre in precedenza la legge italiana stabiliva che i dati erano acquisiti presso il fornitore con decreto motivato del giudice, su istanza delle parti. In altre parole, in Italia la conservazione dei dati è ordinariamente generalizzata e indifferenziata ed inoltre è attribuito al P.M. il “monopolio a disporre l'acquisizione dei dati”, anche nel caso di istanza del difensore dell'imputato, dell'indagato, della persona offesa e delle altre parti private. La normativa riesuma la previgente prassi processuale, per cui il P.M. acquisiva il tabulato telefonico con proprio decreto ex art. 256 c.p.p., ma segna un pericoloso revirement in rotta di collisione con il sistema accusatorio, come ripetutamente affermato dalla Grande Camera della Corte di giustizia U.E., dal momento che si riconoscono al P.M. poteri incidenti sulla vita privata e sull' “inviolabile” libertà di comunicazione che il diritto U.E. e l'art. 15 Cost. affidano al giudice. La disciplina appare ancora più negativa se si pensa che, a norma dell'art. 132, comma 3, Codice privacy, il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore, soltanto i dati relativi alle utenze intestate al proprio assistito (e non di terze persone) con le modalità indicate dall'art. 391-quater c.p.p., ferme restando inoltre per il traffico entrante le condizioni di cui all'art. 8, comma 2 lett. f), dello stesso d.lgs. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata “può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all'articolo 2-undecies, comma 3, terzo, quarto e quinto periodo”, cioè tramite il Garante con le modalità di cui all'art. 160. Nonostante l'evidente contrasto con le Direttive europee, la Corte di cassazione ha sempre escluso che l'art. 132 Codice privacy confligga con il diritto dell'Unione (Cass. pen., sez. II, n. 5741/2020; Cass. pen., sez. III, n. 36380/2019; Cass. pen., sez. V, n. 33851/2018). In riferimento ai dati di ubicazione, in Italia, a differenza di altri Paesi, manca qualsiasi disciplina sull'impiego del G.P.S. e tale carenza lo priva di una base legale che ne legittimi l'uso. La Corte europea dei diritti dell'uomo, nei casi Uzun c. Germania (C.e.d.u., sez. V, 2. 9. 2010, Uzun c. Germania, in Cass. pen., 2011, 395) e Ben Faiza c. Francia (Corte e.d.u., sez. V, 8.2.2018, Ben Faiza c/Francia), ha riconosciuto che l'uso del G.P.S. per monitorare gli spostamenti di un soggetto interferisce con il diritto alla vita privata, tutelato dall'art. 8 § 2 C.E.D.U. D'altra parte, secondo la stessa Corte, è inevitabile che le persone sacrifichino qualcosa della loro privacy quando escono dalla propria abitazione o utilizzano determinati servizi; tuttavia, ciò non significa che esse siano disposte a diventare “trasparenti”. In questo caso, la rinuncia alla privacy deve ritenersi “soltanto parziale”, poiché riguarda solo alcune, frammentarie informazioni e avviene per specifiche finalità. Di conseguenza – stando al medesimo orientamento – il pedinamento tramite G.P.S. può ritenersi legittimo soltanto se osservi le condizioni di cui al § 2 dell'art. 8 cit.; cioè, se il suo uso sia previsto dalla legge e rappresenti una misura che, «in una società democratica, è necessaria per la sicurezza nazionale, l'ordine pubblico, il benessere economico del Paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui». In altre parole, secondo la Corte, il potere d'ingerenza nella vita privata è legittimamente conferito all'autorità pubblica in quanto sia disciplinato dalla legge, e sempre che ogni atto intrusivo debba uniformarsi ai criteri di stretta necessità e di proporzionalità. In conclusione, siccome la Corte europea considera il “pedinamento satellitare” come un'invasionenel diritto alla vita privata tutelata dall'art. 8 C.E.D.U., il legislatore italiano deve dettare finalmente una disciplina di questa tecnica investigativa, indicando tassativamente i casi, cioè i reati per i quali l'uso del G.P.S. è consentito, le rispettive modalità preparatorie ed esecutive, l'autorità pubblica legittimata ad adottare la misura, la forma della corrispondente documentazione e la durata dell'ingerenza. Sarebbe pure opportuno che il legislatore prevedesse le sanzioni processuali per l'eventuale violazione dei presupposti legittimanti l'uso dello strumento de quo. La Corte e.d.u., nelle citate sentenze Uzun c. Germania e Ben Faiza c. Francia, ha evidenziato come l'attività di monitoraggio, attuale e continuativa, offra un dato di portata diversa da quello ottenuto attraverso l'osservazione occasionale degli spostamenti di un individuo; difatti, un controllo sistematico non può svolgersi senza perpetrare un'ingerenza nella vita privata personale, anche se di entità minore rispetto a quella determinata dall'uso di altre tecniche investigative, quale, ad esempio, quella delle intercettazioni. Inoltre, più in generale, i giudici di Strasburgo hanno stabilito che, data l'impossibilità di definire esaustivamente il concetto di vita privata, la presenza di un soggetto in luoghi pubblici non può essere considerata come un'automatica rinuncia, da parte del medesimo, alla privacy. Quindi, l'attività di osservazione di comportamenti altrui, anche se svolto in luogo pubblico, si configura come un'ingerenza nella sfera privata se “si protrae senza limiti di durata, in modo persistente e continuativo”. In sostanza, – secondo la Corte – occorre riconoscere il diritto al rispetto della vita privata anche in un contesto pubblico, laddove si tratti di assicurare una delle condizioni per il pieno sviluppo della personalità umana (per una comparazione, Supreme Court of the United States, 23 gennaio 2012, U.S. v. Jones; ancora più recentemente, Carpenter v. U.S., 585 U.S., 2018). In Italia, nel silenzio del legislatore, la giurisprudenza ritiene che non sussistano limiti di condizione, tempo o modo quanto all'ammissibilità e all'esecuzione del “pedinamento satellitare” (c.d. “tailing”, cioè “coda”, “residuo”, oppure “shadowing”, che significa “affiancamento” o “osservazione da vicino”), quando questa operazione riguardi persone o cose che si trovino in luogo pubblico od aperto al pubblico. La giurisprudenza, considerando l'attività d'indagine volta a localizzare e a seguire, attraverso rilevamento satellitare, gli spostamenti di un soggetto, una modalità, tecnologicamente avanzata, di pedinamento, ritiene simile operazione ammissibile in quanto attività atipica di ricerca della prova, rientrante quindi nelle attribuzioni della polizia giudiziaria, in base al combinato disposto degli artt. 55, 347 e 370 c.p.p. (Cass. pen., sez. V, 2.5.2002, n. 16130; Cass. pen., sez. V, 10.3.2010, n. 9667; Cass. pen., sez. VI, 11.12.2007, n. 15396; Cass. pen., sez. IV, 29.1. 2007, n. 8871) e l'esito di tale geo-localizzazione utilizzabile come prova nel processo penale con l'acquisizione della testimonianza dell'ufficiale di polizia giudiziaria che ha eseguito il rilevamento (Cass. pen., sez. V, 2.5.2002, n. 16130). Si può discutere se il G.P.S. rispetti le condizioni di ammissibilità dettate dall'art. 189 c.p.p. al fine di ritenere utilizzabile ai fini della decisione il dato probatorio ottenuto. Ma, anzitutto, tale risultato probatorio dovrebbe risultare “idoneo ad assicurare l'accertamento dei fatti”, mentre di recente si è appreso dell'esistenza di un dispositivo capace di svolgere un'attività di “disorientamento” (c.d. GNSS spoofing) del tracker G.P.S., inducendolo ad elaborare dati di ubicazione dalle coordinate errate e, perciò, “non corrispondenti al vero”. Quindi, mentre ex ante non pare discutibile l'attendibilità della tecnica G.P.S., ex post occorrerà pur sempre verificare se l'oggettività della rilevazione sia stata o no compromessa tramite strumentazioni esterne. Secondo la giurisprudenza, poiché l'attività di polizia giudiziaria consiste nella semplice trasposizione di un dato oggettivo (cioè, nella specie, quello costituito dalle coordinate ottenute dal G.P.S.) nelle annotazioni della stessa polizia giudiziaria o nelle sue relazioni di servizio, si dovrebbe escludere che la mancanza del supporto informatico contenente gli originali dei tracciati possa in alcun modo inficiare l'attendibilità e la oggettiva valenza probatoria dei medesimi dati, concernenti le suddette coordinate (Cass. pen., sez. IV, 27.11.2012, n. 48279; Cass. pen., sez. I, 7.1.2010, n. 9416). Ma la presenza del supporto informatico è invece essenziale per verificare che la annotazione o la relazione di servizio non contenga errori, non potendosi prestar fede ciecamente in una documentazione di un'attività senza il controllo della fonte, almeno quando è possibile. Ma, soprattutto ci si deve domandare se tale tecnica investigativa possa o no implicare – talora – una compressione del diritto alla riservatezza, rectius «al rispetto della vita privata» tutelato dall'art. 8 C.E.D.U. Infatti, la privacy – in cui è compreso il concetto di riservatezza – ha due componenti fondamentali: la facoltà di trattenere nella propria sfera privata determinate notizie personali e quella di controllare la rivelazione e l'uso pubblico di tali dati. Pertanto, laddove la localizzazione satellitare implichi un monitoraggio occulto, anche di comportamenti tenuti in pubblico, eseguito attimo per attimo, in modo continuativo, per un ampio periodo di tempo, e i dati acquisiti, in esito a tale attività, vengano registrati nonché trattati sistematicamente, tale specifica ipotesi d'indagine potrà determinare una violazione della privacy; sia questa intesa come diritto al riserbo sulle proprie vicende individuali oppure come facoltà di “autodeterminazione informativa” quanto ai propri dati personali. In conclusione
Anche se, come noto, le sentenze della Corte di giustizia U.E. non sono immediatamente operanti nell'ordinamento interno, giacché esse incidono soltanto sugli atti dell'Unione, a norma dell'art. 267 T.F.U.E., tuttavia, una serie di pronunce, tutte dello stesso tenore, che evidenziano un così eclatante contrasto della legislazione italiana con il diritto U.E., non possono essere più ignorate. Il legislatore italiano deve quindi necessariamente adeguarsi al diritto dell'Unione e introdurre finalmente una duplice riserva (di legge e di giurisdizione), prevedendo, con “regole chiare e precise”, il divieto di una conservazione “generalizzata e indifferenziata” dei dati relativi al traffico e all'ubicazione, le “garanzie minime”, cioè “i casi e i modi” per l'accesso ai dati. Il legislatore nazionale deve perciò individuare i “casi”, che devono riguardare esclusivamente la lotta contro “forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica”, per i quali soltanto è consentito l'accesso ai dati. Inoltre devono essere legislativamente individuati anche i “soggetti” perché, di regola, l'accesso è ammesso soltanto ai dati di chi è sospettato di reato e solo eccezionalmente in “situazioni particolari” (come ad esempio quelle in cui gli interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo), può ammettersi l'accesso ai dati di persone non sospettate, ma a condizione che esistano “elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo”. Infine, è necessario il previo controllo effettuato da “un giudice o da un'entità amministrativa indipendente”, e che, in ossequio al principio della domanda, la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell'ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. Solo eccezionalmente, in “caso di urgenza, debitamente giustificata”, il controllo può essere successivo all'accesso ai dati, ma deve intervenire “entro termini brevi”. Se il legislatore italiano non dovesse sollecitamente adeguarsi alle indicazioni della giurisprudenza europea, sarà inevitabile sollevare questione di legittimità costituzionale in rapporto all'art. 117 Cost., che vincola la potestà legislativa dello Stato al rispetto, tra l'altro, dei vincoli derivanti dall'ordinamento comunitario e dagli obblighi internazionali. |