Nell’arco di pochi mesi, tra il 2020 e il 2021, la Corte di giustizia dell’Unione europea si è pronunciata tre volte su normative inerenti la data retention, punto di “frizione” per eccellenza tra privacy e sicurezza.
L’ultima sentenza in ordine cronologico è del 2 marzo 2021, causa C-746/18; la Corte, nel passare al vaglio alcune disposizioni normative dell’Estonia, pur seguendo un filo logico delineato nel 2014 con la dichiarazione di invalidità della Direttiva 2006/24/CE (conosciuta anche come direttiva Frattini), approfondisce un aspetto che in precedenza era stato oggetto solo di indicazioni di carattere generale.
Infatti, se si ribadisce ulteriormente che il diritto dell’Unione è contrario ad una conservazione generalizzata e indifferenziata dei dati di traffico e che sussiste la necessità che i dati esterni alle comunicazioni siano utilizzati, a differenza di quanto previsto dal diritto Estone, solo per il perseguimento dei reati gravi (con la precisazione, rispetto alle due sentenze emesse in materia di data retention il 6 ottobre 2020, che ciò vale anche se l’accesso riguarda un quantitativo limitato di dati relativi al traffico o all’ubicazione, oppure l’accesso è relativo ad un breve periodo), la parte che maggiormente caratterizza la sentenza riguarda la competenza del pubblico ministero ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico ai fini di un’istruttoria penale.
Conservazione dati di traffico da parte degli operatori tlc: i paletti della Corte di Giustizia UE
Indice degli argomenti
Data retention: la posizione della Corte di Giustizia UE
La Corte, anche in questa occasione, ritiene essenziale che l’accesso delle autorità nazionali competenti ai dati di traffico conservati sia subordinato ad un controllo preventivo, effettuato da un giudice o da un’entità amministrativa indipendente, a garanzia della legittimità dell’acquisizione, conformemente a quanto stabilito dall’art. 8, comma 3, della Carta dei diritti fondamentali dell’Unione europea.
Il pubblico ministero estone, conformemente al diritto nazionale, è tenuto a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge e al suo convincimento, esaminando gli elementi a carico e quelli a discarico nel corso del procedimento istruttorio; inoltre, rappresenta la pubblica accusa nel processo.
È caratterizzato dall’essere un organo di nomina governativa, rientrante nella sfera di attribuzioni del Ministero della Giustizia estone (v. Prosecutor’s Office Act – Art. 1: “Prosecutor’s office: The prosecutor’s office is a government agency within the area of government of the Ministry of Justice”).
Secondo la Corte, il requisito dell’indipendenza, in questo contesto, implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale; ciò non si verifica nel caso di un pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale.
Infatti, secondo la Corte, «il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l’azione penale (par. 55)».
La circostanza che il pubblico ministero sia tenuto a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente a conferirgli lo status di terzo e, pertanto, la Corte non ha ritenuto compatibili con la normativa europea le disposizioni legislative dell’Estonia che regolano l’autorizzazione all’accesso di un’autorità pubblica ai dati relativi al traffico.
Accesso ai dati di traffico: il caso italiano
Pochi giorni dopo la pronuncia della Corte, in un procedimento aperto presso il Tribunale di Rieti per delitti contro il patrimonio in cui erano stati acquisiti dati ricavati da tabulati telefonici, le difese ne hanno eccepito l’inutilizzabilità processuale alla luce della sentenza in argomento.
Il Tribunale, in merito, ha ritenuto che i principi elaborati nella sentenza non potessero costituire presupposto per una diretta disapplicazione della normativa nazionale in ipotesi contrastante; tuttavia, ha ravvisato una possibile assimilazione “funzionale” tra il pubblico ministero estone e quello italiano e, pertanto, ha proposto una questione pregiudiziale alla Corte di Giustizia dell’Unione europea per chiarire se il PM, come disegnato dall’ordinamento italiano, offra sufficienti garanzie di giurisdizionalità per continuare a essere titolare in proprio del potere di acquisizione dei tabulati (v. art. 132, comma 3, del decreto legislativo n. 196/2003, “Codice Privacy”).
Nell’ordinanza con cui si chiede la pronuncia pregiudiziale, oltre ai profili comuni (sono chiamati entrambi a raccogliere le prove anche a favore dell’indagato e, in caso, ad esercitare l’azione penale conducendo l’istruttoria) sono tuttavia chiaramente delineate le differenze tra le due figure di PM per quanto riguarda lo status e le garanzie che lo connotano: mentre il pubblico ministero estone è organo di nomina governativa, soggetto alla sfera di attribuzioni del Ministero della Giustizia, «l’organo dell’accusa italiano è, al contrario, assistito da numerose garanzie di autonomia e indipendenza già nella fase “genetica” dell’immissione nell’incarico e non solo nell’esercizio della funzione. Trattasi peraltro di previsioni garantistiche scolpite addirittura in diverse norme della Costituzione italiana, quale Legge Fondamentale dello Stato, gerarchicamente sovraordinata a tutte le altre fonti interne di diritto».
Il pubblico ministero, quindi, si distingue dal giudice solo per la diversa funzione esercitata, con differenze “strutturali” rispetto all’organo di accusa dell’Estonia.
Una questione pregiudiziale alla Corte di Giustizia UE
Il Tribunale di Rieti rappresenta nell’ordinanza che la nostra Corte di Cassazione ha già esaminato la questione della legittimità del potere attribuito al pubblico ministero (v. Corte di Cassazione, Sez. 2 Penale, Sentenza n. 5741 del 10/12/2019) e ha sempre ravvisato la compatibilità della disciplina italiana di acquisizione dei tabulati rispetto alla normativa sovranazionale fissata con le direttive n.2002/58/CE e 2006/24/CE in tema di tutela della privacy, per come interpretate dalla giurisprudenza della Corte di Giustizia dell’Unione Europea, «poiché la deroga stabilita dalla norma alla riservatezza delle comunicazioni è prevista per un periodo di tempo limitato, ha come esclusivo obiettivo l’accertamento e la repressione dei reati ed è “subordinata alla emissione di un provvedimento da parte di un’autorità giurisdizionale”, ossia il PM».
Peraltro, come richiesto dalla Corte di Giustizia, le persone sospettate di atti di criminalità sono in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova, in quanto il provvedimento motivato di acquisizione del p.m. è successivamente sottoposto al vaglio del giudice, che, a norma dell’art. 495 codice di procedura penale, ammette le prove solo dopo avere sentito le parti, che hanno prima facoltà di esaminare i documenti prodotti.
Un punto critico anche per l’ordinamento italiano
Va sottolineato che questo può costituire un punto critico anche per l’ordinamento italiano qualora il p.m. non sia considerato supportato da sufficienti garanzie di giurisdizionalità dalla Corte di giustizia, la quale, rifacendosi a quanto precisato nella sentenza del 6 ottobre 2020 La Quadrature du Net, ritiene che la valutazione dell’acquisizione debba avere luogo previamente a qualsiasi accesso ai dati, salvo situazioni di urgenza debitamente giustificate, nel qual caso il controllo deve comunque avvenire entro termini brevi.
Molto opportunamente, il Tribunale di Rieti ha chiesto di modulare gli effetti della sentenza in chiave irretroattiva e limitandoli ai giudizi tuttora pendenti, per non pregiudicare fondamentali esigenze di certezza del diritto e rendere possibile un intervento del legislatore nazionale in materia.
Data retention: considerazioni sull’accesso ai dati di traffico
Al di là di ogni valutazione di carattere strettamente giuridico, merita alcune considerazioni l’episodio che ha portato la Corte europea ad esaminare la disciplina della conservazione dei dati esterni in Estonia e i poteri attribuiti al pubblico ministero.
Tutto nasce da sentenze di condanna, in primo grado e in appello, di un malvivente, scaturite principalmente per aver questi utilizzato fraudolentemente una carta di debito bancaria del legittimo proprietario, causandogli un danno di quasi quattromila euro.
In sostanza, aveva utilizzato dati personali del legittimo intestatario della carta commettendo più reati ed era stato individuato grazie a tabulati relativi a più schede e apparati telefonici utilizzati in pochi mesi, perché evidentemente, a differenza della generalità delle persone, non riteneva opportuno rispondere dalla stessa numerazione telefonica o dallo stesso apparato, in modo da rendere più difficile la sua individuazione.
Ebbene, questo utilizzatore di dati personali altrui, davanti alla Cassazione estone, che poi ha investito la Corte di Giustizia UE, si doleva del fatto che erano stati utilizzati dei tabulati in base ad una normativa che era da ritenersi non conforme ai principi formulati dal giudice europeo in materia data retention, peraltro sulla base di un’autorizzazione, a suo dire, non proveniente da un soggetto terzo.
La Corte, pur utilizzando argomentazioni formalmente rigorose nell’accogliere le sue doglianze, si è trovata così a tutelare la privacy del malvivente invece che quella della sua vittima, in una logica che sembra però travisare i reali equilibri esistenti tra privacy e sicurezza.
