LA SENTENZA CGUE

Data retention per i tabulati del traffico telefonico e telematico: le nuove regole

Home Norme e adeguamenti
Indirizzo copiato

La Corte di Giustizia UE esamina la normativa italiana sull’autorizzazione all’acquisizione dei tabulati del traffico telefonico e telematico: pur ritenendo conforme al diritto UE l’art. 132 del Codice privacy, la CGUE ha posto una condizione che attribuisce al GIP un ulteriore potere di valutazione relativo alla non gravità del reato

Pubblicato il 5 set 2024
Andrea Rossi

RPD / DPO, Consulente Privacy & Data Protection

Data retention regole per tabulati telefonici

Una vita tormentata quella dell’art 132 del Codice in materia di protezione dei dati personali: in poco più di due decenni, le note a margine evidenziano già sei modifiche, a cui vanno aggiunte quelle intervenute in sede di conversione di alcuni decreti legge, i regimi temporanei non più in vigore e le variazioni concernenti norme strettamente collegate.

Il motivo risiede nelle opposte esigenze da bilanciare all’interno di una disposizione che riveste un ruolo cruciale in ambito investigativo: sicurezza – che implica necessità di avere rapido accesso ad informazioni utili all’accertamento delle responsabilità ed alla prevenzione degli illeciti – e tutela dei dati personali.

A monte, incombe la produzione normativa dell’Unione europea declinata in numerose e incisive sentenze della Corte di giustizia dell’Unione, la più recente delle quali ha esaminato, nella causa C-178/22, proprio l’ultima modifica che ha interessato nel 2021 l’art 132.

Per comprendere meglio le ripercussioni della pronuncia, è fondamentale approfondire l’articolato e talvolta contraddittorio contesto in cui si inserisce.

Data retention: quando e come imprese e PA devono distruggere o anonimizzare i dati personali

La conservazione dei dati esterni alle comunicazioni

La norma europea cardine per la conservazione di tutti i dati personali è l’art. 5.1 lett. e) del GDPR, ma per i dati esterni alle comunicazioni si deve far riferimento alla Direttiva 2002/58; in particolare:

  • l’art 5 prevede l’obbligo per gli Stati membri di assicurare la riservatezza delle comunicazioni, nonché dei relativi dati sul traffico;
  • l’art.6 prevede in linea generale la loro cancellazione o anonimizzazione quando non più necessari ai fini della trasmissione di una comunicazione, facendo salvi:
    • i trattamenti ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento;
    • i trattamenti fatti per la commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto per cui sia stato prestato un consenso informato;
  • l’art 9 estende le previsioni dell’art 6 ai dati relativi all’ubicazione diversi dai dati relativi al traffico, rendendo necessaria per il trattamento l’anonimizzazione o la prestazione di un consenso informato;
  • l’art 15, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]» recita, al paragrafo 1: «Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative, le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto [dell’Unione], compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea»

Nel nostro ordinamento, le disposizioni del DL n. 196/2003 (Codice privacy) coinvolte nella conservazione di questi metadati sono fondamentalmente due:

  • l’art.123 attua il dettato dell’art.6 della Direttiva 2002/58, precisando che il trattamento ai fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento è consentito per un periodo non superiore a sei mesi;
  • l’art 132, commi 1 e 1 bis, fermo restando quanto previsto dall’articolo 123, co. 2, indica, per le finalità di accertamento e repressione dei reati, un periodo di conservazione diverso a seconda della tipologia di dati esterni:
  • il traffico telefonico deve essere conservato per un periodo complessivo di 24 mesi;
  • il traffico telematico è conservato per un periodo complessivo di 12 mesi;
  • le chiamate senza risposta sono conservate per trenta giorni.

Per completare il quadro, occorre considerare che il comma 5 bis dell’art 132 fa salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017 n. 167 e, quindi, il periodo di conservazione di tutte le predette tipologie di metadati si estende in realtà a 72 mesi per le fattispecie di reato – per lo più mirate al contrasto del terrorismo, delle associazioni mafiose, del traffico di droga e della pedopornografia – indicate negli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale; al di fuori di queste ipotesi, il termine di conservazione (rectius, di acquisizione) di riferimento è quello ordinariamente previsto per ogni tipologia di metadati.

Una rilevante modifica ha riguardato nel 2021 il comma 3 dell’art 132 cod. privacy, in cui sono precisati i limiti all’acquisizione dei metadati; si ne riporta integralmente il testo, essendo oggetto della sentenza sulla causa C-178/22 che ci accingiamo a commentare:

«Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’ articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private».

Il percorso della CGUE in materia di data retention

Ritengo sia opportuno anticipare le argomentazioni seguite dalla Corte di giustizia nell’esame dell’art 132, co 3, inserendole nel quadro logico scaturito dalle principali sentenze emesse in materia di data retention.

Lo schema complessivo, desumibile in modo lineare dalla sentenza della Grande Sezione del 5 aprile 2022, causa C‑140/20, è il seguente:

La possibilità di conservazione generalizzata e indifferenziata

L’articolo 15, paragrafo 1, della direttiva 2002/58/CE, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta a misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. La possibilità della conservazione generalizzata e indifferenziata sussiste solo se finalizzata a fronteggiare una grave minaccia per la sicurezza nazionale – quale quella terroristica – che si riveli reale e attuale o prevedibile (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18).

I dati disponibili, però, non possono essere acquisiti per fini diversi: il fatto che «i dati relativi al traffico e i dati relativi all’ubicazione siano stati legittimamente conservati per salvaguardare la sicurezza nazionale è irrilevante per la legittimità della loro conservazione ai fini della lotta contro la criminalità grave» (punto 64 della sentenza del 5 aprile 2022).

Va tuttavia sottolineata una incongruenza: il rischio di abusi connessi alla semplice detenzione dei metadati non diminuisce se sono conservati in maniera generalizzata per fronteggiare solo una grave minaccia per la sicurezza nazionale, con l’esclusione di un’acquisizione relativa a fattispecie che sanzionano la criminalità grave o semplice: i dati conservati, la durata della conservazione e gli interessati a cui si riferiscono sono sempre gli stessi, anche se saranno utilizzabili solo in maniera limitata.

Misure legislative aggiuntive

Sono invece ammesse misure legislative che prevedano, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica:

  1. la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario. È una misura che, però, è di scarsa utilità nella quasi totalità dei casi in cui non c’è l’attribuzione ad un soggetto di un ip fisso se, oltre all’IP, non è disponibile il log di accesso che permette di risalire all’utente (o meglio all’apparato che ha utilizzato);
  2. la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica;
  3. il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e all’ubicazione di cui dispongono tali fornitori di servizi, nel rispetto delle relative condizioni sostanziali e procedurali e di garanzie effettive contro il rischio di abusi.
  4. la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile.

Conservazione mirata

A proposito della conservazione mirata, (l’unica che sembrerebbe ammissibile in relazione ai metadati prodotti da comunicazioni telefoniche), lascia interdetti quanto riportato nella sentenza del 5 aprile 2022 dalla Grande Sezione al punto 79 per sostenerne una valida modalità di attuazione: «Dall’altro lato, una misura di conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione può, a seconda della scelta del legislatore nazionale e nel rigoroso rispetto del principio di proporzionalità, essere fondata anche su un criterio geografico qualora le autorità nazionali competenti ritengano, sulla base di elementi oggettivi e non discriminatori, che sussista, in una o più zone geografiche, una situazione caratterizzata da un rischio elevato di preparazione o di commissione di atti di criminalità grave. Tali zone possono essere, in particolare, luoghi caratterizzati da un numero elevato di atti di criminalità grave, luoghi particolarmente esposti alla commissione di atti di criminalità grave, quali luoghi o infrastrutture frequentati regolarmente da un numero molto elevato di persone, o ancora luoghi strategici, quali aeroporti, stazioni o aree di pedaggio».

In verità, una simile conservazione mirata sembra integrare, di per sé, una misura discriminatoria basata su un pregiudizio, che ghettizza i soggetti che frequentano le aree selezionate e può creare sacche di impunità al loro esterno.

Va precisato che l’assetto della data retention sopra descritto è il risultato di un filo logico seguito dalla Corte a partire dalla dichiarazione di invalidità nel 2014 della Direttiva 2006/24/CE (conosciuta anche come Direttiva Frattini), con una importante estensione della sua portata con la successiva sentenza del 21 dicembre 2016 Tele2 Sverige/Watson.

Quest’ultima, infatti, è incentrata, essendo caduta, per intero, la Direttiva Frattini, sulla precedente Direttiva 2002/58/CE: lì però è del tutto assente la limitazione, nell’accesso ai dati esterni conservati, alla sola criminalità “grave” che caratterizzava, invece, proprio la direttiva invalidata, ma la Corte ne ribadisce la sussistenza, al di là del dato testuale, giustificandola genericamente con la “gravità dell’ingerenza nei diritti fondamentali che tale accesso determina”.

C’è un punto cruciale per comprendere i ragionamenti della Corte: il concetto di sicurezza utilizzato per la valutazione della proporzionalità. Si afferma, infatti (vedi, in particolare, la sentenza “La quadrature du net”, C-511/18) che l’articolo 5 della CEDU, che sancisce il “diritto alla libertà” e il “diritto alla sicurezza”, «mira, secondo la giurisprudenza della Corte europea dei diritti dell’uomo, a proteggere l’individuo da qualsiasi privazione arbitraria o ingiustificata della libertà».

In questo modo le deroghe alla privacy possono essere minime: la sicurezza viene ridotta ad un ambito limitato, cioè la mera protezione dalla privazione ingiustificata della libertà, invece di assurgere, come in effetti dovrebbe, a precondizione per la pratica fruizione di tutti i diritti, compreso il diritto alla riservatezza.

La responsabilizzazione resa possibile dalla data retention, invece, ha un ruolo cruciale per la sicurezza e, di conseguenza, per l’esercizio delle libertà.

A tal proposito, dobbiamo chiederci che valenza ha un diritto se non è possibile individuare il responsabile della sua violazione.

La sentenza sulla conformità del diritto estone e la modifica del Codice privacy

Un’altra pronuncia significativa per comprendere i canoni interpretativi della Corte di giustizia è la sentenza relativa alla causa C-746/18: in quest’ultima, la Corte non ha ritenuto compatibili con la normativa europea le disposizioni legislative dell’Estonia che regolano l’autorizzazione all’accesso di un’autorità pubblica ai dati relativi al traffico, in quanto il pubblico ministero estone, che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale, non può essere considerato giudice indipendente.

L’esito della causa non poteva non interessare anche il nostro ordinamento, che prevede un potere di accesso ai dati conferito proprio al pubblico ministero, qualificato da caratteristiche simili a quello dell’Estonia, tanto che il Tribunale di Rieti, pur sottolineando alcune sostanziali differenze, ha ravvisato tra le due figure una possibile assimilazione “funzionale” e, pertanto, ha proposto in merito una questione pregiudiziale ai giudici di Strasburgo.

Ben presto si è intuito che non era opportuno aspettare la pronuncia della CGUE, anche perchè non sarebbe sfuggito un ulteriore elemento di evidente contrasto con i suoi canoni interpretativi: la legislazione italiana, infatti, non limitava l’acquisizione dei dati esterni alla finalità di lotta contro la criminalità grave, prevedendo solo un prolungato periodo di conservazione per alcune tipologie di reato.

Il nuovo testo dell’articolo 132 del Codice privacy

Si è quindi scelto di modificare nel senso sopra indicato il testo dell’art 132, co 3, Codice privacy, circoscrivendo nel nostro ordinamento le fattispecie da qualificarsi “criminalità grave” attraverso un criterio qualitativo collegato al tipo di pena prevista – ergastolo o reclusione – e, in seconda battuta, utilizzando un criterio quantitativo, relativo alla durata della reclusione – non inferiore nel massimo a tre anni – integrato da due eccezioni per fattispecie che sarebbero rimaste altrimenti escluse: si tratta del reato di minaccia e della contravvenzione di cui all’art. 660 c.p., cioè la molestia o il disturbo alle persone col mezzo del telefono, in entrambi i casi se valutati come gravi dal giudice.

A fare le spese di una modifica tesa ad adeguarsi ai rigorosi canoni di difesa della riservatezza è però stata proprio una fattispecie che sanziona il trattamento di dati personali illecito per eccellenza, cioè la sostituzione di persona, vera e propria fattispecie “spia”, in Internet, di ulteriori reati in corso di preparazione.

La valutazione della CGUE del nuovo testo del Codice privacy

Fatta questa premessa per comprendere appieno i criteri di bilanciamento utilizzati dalla CGUE, esaminiamo la sentenza riguardante l’art. 132 comma 3, del Codice privacy nella parte in cui sono definiti i reati la cui gravità è tale da consentire l’acquisizione dei tabulati, sia telefonici che telematici.

La vicenda che origina il rinvio alla CGUE del procedimento

La descrizione della vicenda consente di valutare meglio i diritti di riservatezza coinvolti: nell’ottobre e nel novembre 2021 si verificano due furti di telefono cellulare e, dalle querele sporte a carico di ignoti per i reati di furto aggravato, scaturiscono due procedimenti penali. Il pubblico ministero, al fine di identificare gli autori del furto, ha chiesto al Giudice delle indagini preliminari presso il Tribunale di Bolzano, nel successivo mese di dicembre, l’autorizzazione ad acquisire presso le compagnie telefoniche i tabulati degli apparati, dalla data del furto fino alla data di elaborazione della richiesta (meno di due mesi).

I dati richiesti, in particolare, erano le utenze e i codici IMEI dei dispositivi chiamati o chiamanti, i siti visitati e raggiunti, l’orario e la durata delle chiamate e delle connessioni, l’indicazione delle celle o dei ripetitori interessati nonché le utenze e i codici IMEI dei dispositivi mittenti e destinatari degli SMS o MMS.

Il furto è un reato punito con una pena non inferiore nel massimo a tre anni di reclusione, tale quindi da essere qualificabile come reato grave ai sensi dell’art. 132, comma 3, del d.l.vo n. 196/2003; tuttavia, secondo il GIP a cui è stata sottoposta la richiesta, questa soglia dei tre anni è tale che detti tabulati potrebbero essere comunicati alle autorità pubbliche per perseguire reati puniti a querela di parte che destano solo scarso allarme sociale, come il furto di beni di scarso valore quali sono un telefono cellulare o una bicicletta. Per risolvere il dubbio sulla conformità all’articolo 15, comma 1 della direttiva 2002/58 della norma italiana che stabilisce quali reati siano qualificabili come gravi, si decide pertanto di sospendere il procedimento e di sottoporre alla Corte europea una questione pregiudiziale.

L’impatto sulla vita privata della vittima a cui viene sottratto un apparato

Sono necessarie alcune considerazioni sull’impatto che subisce la vittima a cui sono sottratti gli apparati mobili, a confronto con l’intromissione nella vita privata causata dall’acquisizione dei tabulati delle comunicazioni successive al furto dei cellulari, considerato dal Gip presso il Tribunale di Bolzano reato che desta solo scarso allarme sociale.

Credo sia evidente come, al di là del valore del telefono cellulare, il danno di gran lunga più rilevante subito dalla vittima sia connesso alla perdita della disponibilità di dati raccolti nel corso di anni e memorizzati nell’apparato, dati spesso non più recuperabili: numeri telefonici, immagini e filmati propri, di familiari e amici, registrazioni audio, documenti di lavoro, applicazioni che danno quotidianamente accesso a servizi quali posta elettronica, social network, pagamenti in formato elettronico e identificazione a due fattori, solo per citarne alcuni. Oltre a questo, bisogna considerare che, anche in caso di blocco con salvaschermo, molte notifiche, anche relative a dati sensibili, compaiono ugualmente sullo schermo e sono visibili a chi ha sottratto l’apparato: nel complesso, un impatto considerevole – e in molti casi irreversibile – su contenuti (e non solo dati esterni) relativi ad un ampio arco temporale.

Esaminiamo ora quale invasione della vita privata si realizza con la richiesta di acquisizione di dati fatta nel caso in questione.

In primo luogo, in osservanza dei limiti imposti dal nostro ordinamento, i dati richiesti:

  1. sono solo quelli esterni alle comunicazioni, è escluso qualsiasi tipo di contenuto;
  2. sono circoscritti a quelli necessari a risalire al responsabile del furto;
  3. l’arco temporale interessato è estremamente ridotto.

Inoltre, le comunicazioni successive al furto in cui è presente il numero dell’utenza e/o l’IMEI elaborano in realtà dati riferibili alla vittima e non all’utilizzatore abusivo e, pertanto, sono da qualificarsi, con poche eccezioni, come trattamenti illeciti: ne consegue che si tratta di risalire, oltre al responsabile del furto, ad ulteriori violazioni subite dalla vittima nella sua sfera privata.

Tali elementi non sembrano però essere stati opportunamente valutati dalla Corte europea, che pur essendo consapevole che le richieste di accesso coinvolgessero dati di traffico circoscritti ad un periodo limitato, ha ritenuto che l’insieme di tali dati fosse comunque idoneo a fornire informazioni precise sulla vita privata delle persone che utilizzavano i telefoni cellulari di cui trattasi.

Dichiarazione di conformità condizionata al diritto europeo dell’art 132 Codice privacy

Nel valutare il nuovo testo dell’art 132, co. 3, codice privacy, la Grande Sezione della Corte di giustizia dell’Unione europea, anche in questa occasione, ha ribadito il quadro logico sviluppatosi nelle precedenti pronunce sulla conformità delle normative nazionali a quella europea, pertanto ha ritenuto l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della CEDU causata dall’accesso ai tabulati dei dati di traffico qualificabile come grave e ciò a prescindere dal fatto che sia limitata ai soli dati esterni alle comunicazioni intercorse in un ristretto periodo temporale e sia finalizzata solo ad individuare l’autore di un reato concretizzatosi in una considerevole invasione della vita privata della vittima.

Ne consegue che tali ingerenze, in osservanza del principio di proporzionalità, possono essere giustificate solo dagli obiettivi di lotta contro le forme gravi di criminalità o di prevenzione di gravi minacce alla sicurezza pubblica.

Occorre, quindi, delimitare i reati qualificabili come gravi; se questo è un compito affidato al legislatore nazionale, tuttavia «gli Stati membri non possono snaturare la nozione di «reato grave» e, per estensione, quella di «grave criminalità», includendovi, ai fini dell’applicazione di tale articolo 15, paragrafo 1, reati che manifestamente non sono gravi, alla luce delle condizioni sociali esistenti nello Stato membro interessato».

Con riferimento specifico all’art 132, co 3 del codice privacy, la disposizione subordina l’accesso ai dati alla duplice condizione che sussistano «sufficienti indizi di reati» e che tali dati siano «rilevanti per l’accertamento dei fatti»; definisce quindi i reati per il cui perseguimento può essere autorizzato tale accesso, con due sole eccezioni, con riferimento alla pena della reclusione non inferiore nel massimo a tre anni.

In merito a quest’ultimo criterio, teso a delimitare la gravità del reato, la Corte ritiene che «una soglia fissata con riferimento alla pena della reclusione non inferiore nel massimo a tre anni non appare, al riguardo, eccessivamente bassa»; tuttavia, poiché non è escluso che un accesso a dati possa essere richiesto al fine di perseguire reati che non rientrano, in realtà, nella criminalità grave «il giudice o l’entità amministrativa indipendente, che interviene nell’ambito di un controllo preventivo effettuato a seguito di una richiesta motivata di accesso, deve poter negare o limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali che un tale accesso costituirebbe è grave, mentre risulta evidente che il reato in questione non rientra effettivamente nella criminalità grave.»

Sulla base di queste premesse, la CGUE ha ritenuto che l’art 132, co 3 cod privacy può considerarsi compatibile con la normativa europea, a condizione che, nel valutare una richiesta di acquisizione di dati «idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica», il giudice «abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato».

Si ritiene, tuttavia, che l’attribuzione del potere discrezionale non possa limitarsi alla manifesta non gravità del reato, ma, proprio per applicare correttamente il principio di proporzionalità, il giudice debba procedere a verificare in concreto se i dati di cui si chiede l’acquisizione siano «idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica», come riportato nel dispositivo della sentenza. In questo modo, si potrebbe, proprio nel caso che ha dato origine al rinvio alla Corte, assicurare un maggior equilibrio nel valutare il possibile impatto (limitato forse ad una singola comunicazione o localizzazione) nella vita privata del soggetto o dei soggetti coinvolti in comunicazioni successive al furto, rispetto a quello già subito, con certezza, dalla vittima.

Conclusioni

In definitiva, la recente pronuncia della Grande Sezione ha ulteriormente ristretto la possibilità di accesso ai dati esterni alle comunicazioni, attribuendo al giudice un potere di valutazione discrezionale relativo alla gravità del reato anche quando la fattispecie è sanzionata con la reclusione non inferiore nel massimo a tre anni.

Si introduce, così, un elemento di incertezza per i reati la cui reclusione massima coincide o è vicina alla soglia dei tre anni di reclusione, con il concreto pericolo di future decisioni contraddittorie.

Va segnalato, come, ancora una volta, l’esito del giudizio di conformità alla normativa europea in materia di data retention svolto dalla CGUE si discosti dalla lettera della norma per indirizzarsi verso una ricostruzione ritenuta più conforme ai principi generali. Il risultato dell’operazione comporta inesorabilmente un’ulteriore restrizione dei dati di cui sia possibile l’acquisizione, favorendo l’anonimato di molti autori di reato.

In questa specifica vicenda, la tempistica del procedimento ha prodotto anche un altro effetto negativo: gli operatori di comunicazione elettronica interessati non potranno consegnare i tabulati richiesti per individuare gli autori dei furti, in quanto, sospeso il procedimento in Italia in attesa della decisione dei giudici in Lussemburgo, la sentenza in commento è intervenuta dopo oltre due anni dalla realizzazione delle comunicazioni, quindi oltre il termine massimo entro cui è legittima l’acquisizione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

R
Andrea Rossi
RPD / DPO, Consulente Privacy & Data Protection

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • GUIDA ALLA NORMATIVA

    Metadati: regole pratiche per titolari del trattamento e fornitori di servizi di posta elettronica

    02 Lug 2024

    di Pasquale Mancino

    Condividi

  • STRATEGIA DIGITALE EUROPEA

    Data spaces: come l’Europa favorisce e incoraggia la condivisione dei dati all’interno degli spazi europei

    30 Ott 2023

    di Andrea Michinelli e Carlotta Galbusera

    Condividi

  • DOCUMENTO DI INDIRIZZO

    E-mail dei dipendenti, dal Garante privacy nuove indicazioni sulla conservazione dei metadati: gli impatti

    12 Feb 2024

    di Chiara Ponti

    Condividi

  • RESILIENZA OPERATIVA

    DORA: come creare un processo automatico di selezione e valutazione dei fornitori

    11 Apr 2024

    di Riccardo Massaro

    Condividi

Prossimo

Metadati: regole pratiche per titolari del trattamento e fornitori di servizi di posta elettronica

Articolo 1 di 5