Una vita tormentata quella dell’art 132 del Codice in materia di protezione dei dati personali: in poco più di due decenni, le note a margine evidenziano già sei modifiche, a cui vanno aggiunte quelle intervenute in sede di conversione di alcuni decreti legge, i regimi temporanei non più in vigore e le variazioni concernenti norme strettamente collegate.
Il motivo risiede nelle opposte esigenze da bilanciare all’interno di una disposizione che riveste un ruolo cruciale in ambito investigativo: sicurezza – che implica necessità di avere rapido accesso ad informazioni utili all’accertamento delle responsabilità ed alla prevenzione degli illeciti – e tutela dei dati personali.
A monte, incombe la produzione normativa dell’Unione europea declinata in numerose e incisive sentenze della Corte di giustizia dell’Unione, la più recente delle quali ha esaminato, nella causa C-178/22, proprio l’ultima modifica che ha interessato nel 2021 l’art 132.
Per comprendere meglio le ripercussioni della pronuncia, è fondamentale approfondire l’articolato e talvolta contraddittorio contesto in cui si inserisce.
Indice degli argomenti
La conservazione dei dati esterni alle comunicazioni
La norma europea cardine per la conservazione di tutti i dati personali è l’art. 5.1 lett. e) del GDPR, ma per i dati esterni alle comunicazioni si deve far riferimento alla Direttiva 2002/58; in particolare:
- l’art 5 prevede l’obbligo per gli Stati membri di assicurare la riservatezza delle comunicazioni, nonché dei relativi dati sul traffico;
- l’art.6 prevede in linea generale la loro cancellazione o anonimizzazione quando non più necessari ai fini della trasmissione di una comunicazione, facendo salvi:
- i trattamenti ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento;
- i trattamenti fatti per la commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto per cui sia stato prestato un consenso informato;
- l’art 9 estende le previsioni dell’art 6 ai dati relativi all’ubicazione diversi dai dati relativi al traffico, rendendo necessaria per il trattamento l’anonimizzazione o la prestazione di un consenso informato;
- l’art 15, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]» recita, al paragrafo 1: «Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative, le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto [dell’Unione], compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea»
Nel nostro ordinamento, le disposizioni del DL n. 196/2003 (Codice privacy) coinvolte nella conservazione di questi metadati sono fondamentalmente due:
- l’art.123 attua il dettato dell’art.6 della Direttiva 2002/58, precisando che il trattamento ai fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento è consentito per un periodo non superiore a sei mesi;
- l’art 132, commi 1 e 1 bis, fermo restando quanto previsto dall’articolo 123, co. 2, indica, per le finalità di accertamento e repressione dei reati, un periodo di conservazione diverso a seconda della tipologia di dati esterni:
- il traffico telefonico deve essere conservato per un periodo complessivo di 24 mesi;
- il traffico telematico è conservato per un periodo complessivo di 12 mesi;
- le chiamate senza risposta sono conservate per trenta giorni.
Per completare il quadro, occorre considerare che il comma 5 bis dell’art 132 fa salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017 n. 167 e, quindi, il periodo di conservazione di tutte le predette tipologie di metadati si estende in realtà a 72 mesi per le fattispecie di reato – per lo più mirate al contrasto del terrorismo, delle associazioni mafiose, del traffico di droga e della pedopornografia – indicate negli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale; al di fuori di queste ipotesi, il termine di conservazione (rectius, di acquisizione) di riferimento è quello ordinariamente previsto per ogni tipologia di metadati.
Una rilevante modifica ha riguardato nel 2021 il comma 3 dell’art 132 cod. privacy, in cui sono precisati i limiti all’acquisizione dei metadati; si ne riporta integralmente il testo, essendo oggetto della sentenza sulla causa C-178/22 che ci accingiamo a commentare:
«Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’ articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private».
Il percorso della CGUE in materia di data retention
Ritengo sia opportuno anticipare le argomentazioni seguite dalla Corte di giustizia nell’esame dell’art 132, co 3, inserendole nel quadro logico scaturito dalle principali sentenze emesse in materia di data retention.
Lo schema complessivo, desumibile in modo lineare dalla sentenza della Grande Sezione del 5 aprile 2022, causa C‑140/20, è il seguente:
La possibilità di conservazione generalizzata e indifferenziata
L’articolo 15, paragrafo 1, della direttiva 2002/58/CE, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta a misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. La possibilità della conservazione generalizzata e indifferenziata sussiste solo se finalizzata a fronteggiare una grave minaccia per la sicurezza nazionale – quale quella terroristica – che si riveli reale e attuale o prevedibile (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18).
I dati disponibili, però, non possono essere acquisiti per fini diversi: il fatto che «i dati relativi al traffico e i dati relativi all’ubicazione siano stati legittimamente conservati per salvaguardare la sicurezza nazionale è irrilevante per la legittimità della loro conservazione ai fini della lotta contro la criminalità grave» (punto 64 della sentenza del 5 aprile 2022).
Va tuttavia sottolineata una incongruenza: il rischio di abusi connessi alla semplice detenzione dei metadati non diminuisce se sono conservati in maniera generalizzata per fronteggiare solo una grave minaccia per la sicurezza nazionale, con l’esclusione di un’acquisizione relativa a fattispecie che sanzionano la criminalità grave o semplice: i dati conservati, la durata della conservazione e gli interessati a cui si riferiscono sono sempre gli stessi, anche se saranno utilizzabili solo in maniera limitata.
Misure legislative aggiuntive
Sono invece ammesse misure legislative che prevedano, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica:
- la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario. È una misura che, però, è di scarsa utilità nella quasi totalità dei casi in cui non c’è l’attribuzione ad un soggetto di un ip fisso se, oltre all’IP, non è disponibile il log di accesso che permette di risalire all’utente (o meglio all’apparato che ha utilizzato);
- la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica;
- il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e all’ubicazione di cui dispongono tali fornitori di servizi, nel rispetto delle relative condizioni sostanziali e procedurali e di garanzie effettive contro il rischio di abusi.
- la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile.
Conservazione mirata
A proposito della conservazione mirata, (l’unica che sembrerebbe ammissibile in relazione ai metadati prodotti da comunicazioni telefoniche), lascia interdetti quanto riportato nella sentenza del 5 aprile 2022 dalla Grande Sezione al punto 79 per sostenerne una valida modalità di attuazione: «Dall’altro lato, una misura di conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione può, a seconda della scelta del legislatore nazionale e nel rigoroso rispetto del principio di proporzionalità, essere fondata anche su un criterio geografico qualora le autorità nazionali competenti ritengano, sulla base di elementi oggettivi e non discriminatori, che sussista, in una o più zone geografiche, una situazione caratterizzata da un rischio elevato di preparazione o di commissione di atti di criminalità grave. Tali zone possono essere, in particolare, luoghi caratterizzati da un numero elevato di atti di criminalità grave, luoghi particolarmente esposti alla commissione di atti di criminalità grave, quali luoghi o infrastrutture frequentati regolarmente da un numero molto elevato di persone, o ancora luoghi strategici, quali aeroporti, stazioni o aree di pedaggio».
In verità, una simile conservazione mirata sembra integrare, di per sé, una misura discriminatoria basata su un pregiudizio, che ghettizza i soggetti che frequentano le aree selezionate e può creare sacche di impunità al loro esterno.
Va precisato che l’assetto della data retention sopra descritto è il risultato di un filo logico seguito dalla Corte a partire dalla dichiarazione di invalidità nel 2014 della Direttiva 2006/24/CE (conosciuta anche come Direttiva Frattini), con una importante estensione della sua portata con la successiva sentenza del 21 dicembre 2016 Tele2 Sverige/Watson.
Quest’ultima, infatti, è incentrata, essendo caduta, per intero, la Direttiva Frattini, sulla precedente Direttiva 2002/58/CE: lì però è del tutto assente la limitazione, nell’accesso ai dati esterni conservati, alla sola criminalità “grave” che caratterizzava, invece, proprio la direttiva invalidata, ma la Corte ne ribadisce la sussistenza, al di là del dato testuale, giustificandola genericamente con la “gravità dell’ingerenza nei diritti fondamentali che tale accesso determina”.
C’è un punto cruciale per comprendere i ragionamenti della Corte: il concetto di sicurezza utilizzato per la valutazione della proporzionalità. Si afferma, infatti (vedi, in particolare, la sentenza “La quadrature du net”, C-511/18) che l’articolo 5 della CEDU, che sancisce il “diritto alla libertà” e il “diritto alla sicurezza”, «mira, secondo la giurisprudenza della Corte europea dei diritti dell’uomo, a proteggere l’individuo da qualsiasi privazione arbitraria o ingiustificata della libertà».
In questo modo le deroghe alla privacy possono essere minime: la sicurezza viene ridotta ad un ambito limitato, cioè la mera protezione dalla privazione ingiustificata della libertà, invece di assurgere, come in effetti dovrebbe, a precondizione per la pratica fruizione di tutti i diritti, compreso il diritto alla riservatezza.
La responsabilizzazione resa possibile dalla data retention, invece, ha un ruolo cruciale per la sicurezza e, di conseguenza, per l’esercizio delle libertà.
A tal proposito, dobbiamo chiederci che valenza ha un diritto se non è possibile individuare il responsabile della sua violazione.
La sentenza sulla conformità del diritto estone e la modifica del Codice privacy
Un’altra pronuncia significativa per comprendere i canoni interpretativi della Corte di giustizia è la sentenza relativa alla causa C-746/18: in quest’ultima, la Corte non ha ritenuto compatibili con la normativa europea le disposizioni legislative dell’Estonia che regolano l’autorizzazione all’accesso di un’autorità pubblica ai dati relativi al traffico, in quanto il pubblico ministero estone, che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale, non può essere considerato giudice indipendente.
L’esito della causa non poteva non interessare anche il nostro ordinamento, che prevede un potere di accesso ai dati conferito proprio al pubblico ministero, qualificato da caratteristiche simili a quello dell’Estonia, tanto che il Tribunale di Rieti, pur sottolineando alcune sostanziali differenze, ha ravvisato tra le due figure una possibile assimilazione “funzionale” e, pertanto, ha proposto in merito una questione pregiudiziale ai giudici di Strasburgo.
Ben presto si è intuito che non era opportuno aspettare la pronuncia della CGUE, anche perchè non sarebbe sfuggito un ulteriore elemento di evidente contrasto con i suoi canoni interpretativi: la legislazione italiana, infatti, non limitava l’acquisizione dei dati esterni alla finalità di lotta contro la criminalità grave, prevedendo solo un prolungato periodo di conservazione per alcune tipologie di reato.
Il nuovo testo dell’articolo 132 del Codice privacy
Si è quindi scelto di modificare nel senso sopra indicato il testo dell’art 132, co 3, Codice privacy, circoscrivendo nel nostro ordinamento le fattispecie da qualificarsi “criminalità grave” attraverso un criterio qualitativo collegato al tipo di pena prevista – ergastolo o reclusione – e, in seconda battuta, utilizzando un criterio quantitativo, relativo alla durata della reclusione – non inferiore nel massimo a tre anni – integrato da due eccezioni per fattispecie che sarebbero rimaste altrimenti escluse: si tratta del reato di minaccia e della contravvenzione di cui all’art. 660 c.p., cioè la molestia o il disturbo alle persone col mezzo del telefono, in entrambi i casi se valutati come gravi dal giudice.
A fare le spese di una modifica tesa ad adeguarsi ai rigorosi canoni di difesa della riservatezza è però stata proprio una fattispecie che sanziona il trattamento di dati personali illecito per eccellenza, cioè la sostituzione di persona, vera e propria fattispecie “spia”, in Internet, di ulteriori reati in corso di preparazione.
La valutazione della CGUE del nuovo testo del Codice privacy
Fatta questa premessa per comprendere appieno i criteri di bilanciamento utilizzati dalla CGUE, esaminiamo la sentenza riguardante l’art. 132 comma 3, del Codice privacy nella parte in cui sono definiti i reati la cui gravità è tale da consentire l’acquisizione dei tabulati, sia telefonici che telematici.
La vicenda che origina il rinvio alla CGUE del procedimento
La descrizione della vicenda consente di valutare meglio i diritti di riservatezza coinvolti: nell’ottobre e nel novembre 2021 si verificano due furti di telefono cellulare e, dalle querele sporte a carico di ignoti per i reati di furto aggravato, scaturiscono due procedimenti penali. Il pubblico ministero, al fine di identificare gli autori del furto, ha chiesto al Giudice delle indagini preliminari presso il Tribunale di Bolzano, nel successivo mese di dicembre, l’autorizzazione ad acquisire presso le compagnie telefoniche i tabulati degli apparati, dalla data del furto fino alla data di elaborazione della richiesta (meno di due mesi).
I dati richiesti, in particolare, erano le utenze e i codici IMEI dei dispositivi chiamati o chiamanti, i siti visitati e raggiunti, l’orario e la durata delle chiamate e delle connessioni, l’indicazione delle celle o dei ripetitori interessati nonché le utenze e i codici IMEI dei dispositivi mittenti e destinatari degli SMS o MMS.
Il furto è un reato punito con una pena non inferiore nel massimo a tre anni di reclusione, tale quindi da essere qualificabile come reato grave ai sensi dell’art. 132, comma 3, del d.l.vo n. 196/2003; tuttavia, secondo il GIP a cui è stata sottoposta la richiesta, questa soglia dei tre anni è tale che detti tabulati potrebbero essere comunicati alle autorità pubbliche per perseguire reati puniti a querela di parte che destano solo scarso allarme sociale, come il furto di beni di scarso valore quali sono un telefono cellulare o una bicicletta. Per risolvere il dubbio sulla conformità all’articolo 15, comma 1 della direttiva 2002/58 della norma italiana che stabilisce quali reati siano qualificabili come gravi, si decide pertanto di sospendere il procedimento e di sottoporre alla Corte europea una questione pregiudiziale.
L’impatto sulla vita privata della vittima a cui viene sottratto un apparato
Sono necessarie alcune considerazioni sull’impatto che subisce la vittima a cui sono sottratti gli apparati mobili, a confronto con l’intromissione nella vita privata causata dall’acquisizione dei tabulati delle comunicazioni successive al furto dei cellulari, considerato dal Gip presso il Tribunale di Bolzano reato che desta solo scarso allarme sociale.
Credo sia evidente come, al di là del valore del telefono cellulare, il danno di gran lunga più rilevante subito dalla vittima sia connesso alla perdita della disponibilità di dati raccolti nel corso di anni e memorizzati nell’apparato, dati spesso non più recuperabili: numeri telefonici, immagini e filmati propri, di familiari e amici, registrazioni audio, documenti di lavoro, applicazioni che danno quotidianamente accesso a servizi quali posta elettronica, social network, pagamenti in formato elettronico e identificazione a due fattori, solo per citarne alcuni. Oltre a questo, bisogna considerare che, anche in caso di blocco con salvaschermo, molte notifiche, anche relative a dati sensibili, compaiono ugualmente sullo schermo e sono visibili a chi ha sottratto l’apparato: nel complesso, un impatto considerevole – e in molti casi irreversibile – su contenuti (e non solo dati esterni) relativi ad un ampio arco temporale.
Esaminiamo ora quale invasione della vita privata si realizza con la richiesta di acquisizione di dati fatta nel caso in questione.
In primo luogo, in osservanza dei limiti imposti dal nostro ordinamento, i dati richiesti:
- sono solo quelli esterni alle comunicazioni, è escluso qualsiasi tipo di contenuto;
- sono circoscritti a quelli necessari a risalire al responsabile del furto;
- l’arco temporale interessato è estremamente ridotto.
Inoltre, le comunicazioni successive al furto in cui è presente il numero dell’utenza e/o l’IMEI elaborano in realtà dati riferibili alla vittima e non all’utilizzatore abusivo e, pertanto, sono da qualificarsi, con poche eccezioni, come trattamenti illeciti: ne consegue che si tratta di risalire, oltre al responsabile del furto, ad ulteriori violazioni subite dalla vittima nella sua sfera privata.
Tali elementi non sembrano però essere stati opportunamente valutati dalla Corte europea, che pur essendo consapevole che le richieste di accesso coinvolgessero dati di traffico circoscritti ad un periodo limitato, ha ritenuto che l’insieme di tali dati fosse comunque idoneo a fornire informazioni precise sulla vita privata delle persone che utilizzavano i telefoni cellulari di cui trattasi.
Dichiarazione di conformità condizionata al diritto europeo dell’art 132 Codice privacy
Nel valutare il nuovo testo dell’art 132, co. 3, codice privacy, la Grande Sezione della Corte di giustizia dell’Unione europea, anche in questa occasione, ha ribadito il quadro logico sviluppatosi nelle precedenti pronunce sulla conformità delle normative nazionali a quella europea, pertanto ha ritenuto l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della CEDU causata dall’accesso ai tabulati dei dati di traffico qualificabile come grave e ciò a prescindere dal fatto che sia limitata ai soli dati esterni alle comunicazioni intercorse in un ristretto periodo temporale e sia finalizzata solo ad individuare l’autore di un reato concretizzatosi in una considerevole invasione della vita privata della vittima.
Ne consegue che tali ingerenze, in osservanza del principio di proporzionalità, possono essere giustificate solo dagli obiettivi di lotta contro le forme gravi di criminalità o di prevenzione di gravi minacce alla sicurezza pubblica.
Occorre, quindi, delimitare i reati qualificabili come gravi; se questo è un compito affidato al legislatore nazionale, tuttavia «gli Stati membri non possono snaturare la nozione di «reato grave» e, per estensione, quella di «grave criminalità», includendovi, ai fini dell’applicazione di tale articolo 15, paragrafo 1, reati che manifestamente non sono gravi, alla luce delle condizioni sociali esistenti nello Stato membro interessato».
Con riferimento specifico all’art 132, co 3 del codice privacy, la disposizione subordina l’accesso ai dati alla duplice condizione che sussistano «sufficienti indizi di reati» e che tali dati siano «rilevanti per l’accertamento dei fatti»; definisce quindi i reati per il cui perseguimento può essere autorizzato tale accesso, con due sole eccezioni, con riferimento alla pena della reclusione non inferiore nel massimo a tre anni.
In merito a quest’ultimo criterio, teso a delimitare la gravità del reato, la Corte ritiene che «una soglia fissata con riferimento alla pena della reclusione non inferiore nel massimo a tre anni non appare, al riguardo, eccessivamente bassa»; tuttavia, poiché non è escluso che un accesso a dati possa essere richiesto al fine di perseguire reati che non rientrano, in realtà, nella criminalità grave «il giudice o l’entità amministrativa indipendente, che interviene nell’ambito di un controllo preventivo effettuato a seguito di una richiesta motivata di accesso, deve poter negare o limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali che un tale accesso costituirebbe è grave, mentre risulta evidente che il reato in questione non rientra effettivamente nella criminalità grave.»
Sulla base di queste premesse, la CGUE ha ritenuto che l’art 132, co 3 cod privacy può considerarsi compatibile con la normativa europea, a condizione che, nel valutare una richiesta di acquisizione di dati «idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica», il giudice «abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato».
Si ritiene, tuttavia, che l’attribuzione del potere discrezionale non possa limitarsi alla manifesta non gravità del reato, ma, proprio per applicare correttamente il principio di proporzionalità, il giudice debba procedere a verificare in concreto se i dati di cui si chiede l’acquisizione siano «idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica», come riportato nel dispositivo della sentenza. In questo modo, si potrebbe, proprio nel caso che ha dato origine al rinvio alla Corte, assicurare un maggior equilibrio nel valutare il possibile impatto (limitato forse ad una singola comunicazione o localizzazione) nella vita privata del soggetto o dei soggetti coinvolti in comunicazioni successive al furto, rispetto a quello già subito, con certezza, dalla vittima.
Conclusioni
In definitiva, la recente pronuncia della Grande Sezione ha ulteriormente ristretto la possibilità di accesso ai dati esterni alle comunicazioni, attribuendo al giudice un potere di valutazione discrezionale relativo alla gravità del reato anche quando la fattispecie è sanzionata con la reclusione non inferiore nel massimo a tre anni.
Si introduce, così, un elemento di incertezza per i reati la cui reclusione massima coincide o è vicina alla soglia dei tre anni di reclusione, con il concreto pericolo di future decisioni contraddittorie.
Va segnalato, come, ancora una volta, l’esito del giudizio di conformità alla normativa europea in materia di data retention svolto dalla CGUE si discosti dalla lettera della norma per indirizzarsi verso una ricostruzione ritenuta più conforme ai principi generali. Il risultato dell’operazione comporta inesorabilmente un’ulteriore restrizione dei dati di cui sia possibile l’acquisizione, favorendo l’anonimato di molti autori di reato.
In questa specifica vicenda, la tempistica del procedimento ha prodotto anche un altro effetto negativo: gli operatori di comunicazione elettronica interessati non potranno consegnare i tabulati richiesti per individuare gli autori dei furti, in quanto, sospeso il procedimento in Italia in attesa della decisione dei giudici in Lussemburgo, la sentenza in commento è intervenuta dopo oltre due anni dalla realizzazione delle comunicazioni, quindi oltre il termine massimo entro cui è legittima l’acquisizione.