La Grande Chambre della Corte europea di Giustizia, con una sentenza pubblicata il due di marzo (causa C-746/18 -H.K./Prokuratuur) riguardante un caso estone, è ritornata, ancora una volta, sul tema dibattutissimo della conservazione dei dati di comunicazioni elettroniche relative al traffico e all’ubicazione, ai fini della prevenzione e repressione di reati.
La pronuncia, che prende le mosse dai precedenti della Corte, giunge a delle conclusioni che potranno avere delle conseguenze dirompenti anche in Italia.
Indice degli argomenti
Conservazione dei dati di traffico: cosa dice la sentenza
La Corte, infatti, in estrema sintesi, ha sancito come la Direttiva 2002/58/CE (la cd. “Direttiva e-privacy”[1]) osti a misure legislative che impongano ai fornitori di servizi di comunicazione elettronica, in via preventiva, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione e ha confermato che soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica siano idonei a giustificare l’accesso delle autorità pubbliche ai dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di permettere di trarre precise conclusioni sulla vita privata.
La Corte ha però aggiunto un ulteriore tassello, potenzialmente assai impattante. Come si legge nella efficace sintesi del comunicato-stampa, “il diritto dell’Unione osta […] ad una normativa nazionale che attribuisca al pubblico ministero la competenza ad autorizzare l’accesso di un’autorità pubblica ai dati suddetti al fine di condurre un’istruttoria penale”, come previsto, peraltro, proprio dall’art. 132 del “nostro” Codice della Privacy.
Il ragionamento della Corte di Giustizia UE sulla conservazione dei dati di traffico
Vediamo di esaminare brevemente il ragionamento della Corte, per poi andare ad analizzare le possibili conseguenze di diritto interno.
La decisione si impernia sull’interpretazione della Direttiva e-privacy, e in particolare dell’art. 15[2], e sulle norme della Carta dei diritti fondamentali dell’Unione europea (artt. 7, 8, 11 e 52) per dare risposta alle questioni pregiudiziali sottoposte, che possono essere così sintetizzate: se la norma in questione debba essere interpretata nel senso di ostare a una normativa nazionale che consenta l’accesso da parte delle autorità pubbliche ai dati di traffico o di localizzazione, in grado di fornire informazioni sulle comunicazioni effettuate da un utente o sull’ubicazione e consentire di trarre conclusioni precise sulla sua vita privata, a fini di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia limitato alla prevenzione e repressione di reati gravi, indipendentemente dalla durata del periodo per il quale si richiede l’accesso a tali dati, dalla quantità e dalla natura dei dati disponibili, e se sia compatibile con il diritto dell’Unione una normativa nazionale che attribuisca al pubblico ministero la competenza ad autorizzare l’accesso ai dati.
Le risposte date dalla Corte sono chiarissime, e si muovono nel solco delle precedenti decisioni, e, in particolare della recente sentenza del 6 ottobre 2020, La Quadrature du Net e altri, C-511/18, C – 512/18 e C – 520/18, che viene più volte richiamata: le misure legislative che limitino i diritti garantiti dalla direttiva, quali l’obbligo di riservatezza delle comunicazioni e dei dati relativi al traffico, sono lecite solo se rispettino il principio di proporzionalità e i diritti garantiti dalla Carta dei diritti fondamentali dell’Unione europea.
Di conseguenza, delle misure legislative che impongano ai fornitori di servizi di comunicazione elettronica, in via preventiva, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, sono incompatibili con il diritto dell’Unione.
Non solo: la Corte, chiarisce come soltanto la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce per la sicurezza pubblica siano idonee a giustificare l’accesso ai dati relativi al traffico o all’ubicazione, quando i dati siano suscettibili di fare inferire precise conclusioni sulla vita privata degli interessati, e ciò indipendentemente dalla durata del periodo di accesso ai dati stessi.
Questo perché l’accesso a tali dati costituisce un’interferenza particolarmente grave, perché è sempre idoneo a fornire indicazioni specifiche e circostanziate sulla vita privata, sulle abitudini quotidiane e sui luoghi di permanenza.
La Corte precisa però di non avere alcuna competenza in ordine alla declaratoria di inutilizzabilità e alla valutazione dei dati stessi all’interno dei procedimenti penali, poiché tali questioni sono rimesse al diritto nazionale.
Le regole per una corretta acquisizione dei dati
L’ultimo punto affrontato dalla Corte (e la principale novità della sentenza) potrebbe avere una portata ancora più rilevante.
Secondo il diritto estone (ma anche secondo l’articolo 132 del Codice della Privacy) l’acquisizione avviene mediante richiesta del pubblico ministero.
La Corte è chiarissima: il controllo preventivo sull’acquisizione va affidato a un tribunale o a un organo amministrativo indipendente, e questo requisito di indipendenza impone la terzietà rispetto a chi effettua la richiesta, in modo da poter effettuare un controllo obbiettivo e imparziale.
Ne consegue che non possa essere il pubblico ministero, in autonomia, a decidere l’acquisizione dei dati, poiché l’autorità incaricata del controllo preventivo non può essere la stessa che conduce l’indagine penale, in quanto deve essere in posizione di neutralità nei confronti delle parti.
E la Corte giunge a questa decisione pur sottolineando che, secondo il diritto estone, il pubblico ministero sia tenuto ad agire in modo indipendente, sia soggetto soltanto alla legge e debba esaminare sia le prove a sostegno che quelle a discarico.
Le conseguenze per il diritto italiano
Quali possono essere le conseguenze per il diritto italiano?
Il nostro articolo 132 del Codice della Privacy, più volte modificato, sembra incompatibile con quanto statuito dalla Corte.
La norma, infatti, non prevede alcuna differenziazione in ordine alle tipologie di reato (salvo che per la durata della conservazione, che è stabilita addirittura in settantadue mesi per delitti in tema di terrorismo, criminalità mafiosa e altri gravi reati, ai sensi dell’art. 24 della L. 167/2017), e consente una retention indiscriminata e generalizzata, addirittura in assenza di qualsivoglia ipotesi di reato.
E, per di più, l’acquisizione è prevista proprio con decreto motivato del pubblico ministero (tralasciamo, per brevità, le ipotesi previste dai commi 4-ter e ss. dell’art. 132 del Codice Privacy).
La giurisprudenza della Cassazione si è già confrontata con le precedenti decisioni della Corte, ritenendo, in una serie di pronunce assai discutibili, di “salvare” l’articolo 132 del Codice della Privacy, affermando la legittimità della normativa nazionale di riferimento, “poiché la deroga al diritto alla riservatezza delle comunicazioni è prevista per un periodo limitato, ha come esclusivo obiettivo l’accertamento e la repressione dei reati ed è subordinato alla emissione di un provvedimento da parte di un’autorità giurisdizionale”[3], e ritenendo lecito che la gravità dei reati possa venire accertata, caso per caso, dall’autorità procedente (pur in assenza di qualsiasi specifica indicazione normativa).
Vedremo se queste conclusioni saranno confermate, a fronte dei fortissimi richiami della Corte europea al criterio della proporzionalità, e, soprattutto, come ci si confronterà con l’inedito problema dell’assenza di controllo preventivo da parte di un’autorità indipendente, controllo che era peraltro previsto, in casi particolari, dall’abrogato comma 4 dell’art. 132 cod. privacy: è facile immaginare che il tema verrà presto affrontato, anche con riguardo alla norma italiana, dalla Corte di Giustizia, o anche dalla Corte Costituzionale, per violazione dell’art. 117, primo comma, della Costituzione.
NOTE
- La direttiva sarà peraltro presto abrogata dal tanto atteso Regolamento e-privacy: la bozza attuale disciplina la conservazione dei metadati all’art. 7, par. 4 e le ulteriori limitazioni all’art. 11, anche attraverso richiamo all’art. 23 del GDPR. ↑
- L’art. 15 prevede che “gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative, le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea”. ↑
- Così da ultimo Cass., Pen., Sez. 2, sent. 5741/2020. ↑
