Con la pronuncia in commento – i cui princìpi di diritto appaiono suscettibili di incidere oltre l’àmbito dell’attività acquisitiva dei dati esteriori delle comunicazioni telefoniche e telematiche –, la Corte di Lussemburgo, riaffermata la gravità dell’ingerenza nella sfera privata individuale, conseguente all’accesso ai dati di traffico, ne trae con fermezza i dovuti corollari garantistici in punto sia di scopo legittimo idoneo a giustificare siffatta ingerenza entro i limiti di stretta necessità, sia di organo indipendente competente ad autorizzare detto accesso. Anche con riguardo a tali profili, risulta, pertanto, confermato in modo definitivo – se mai residuassero ancora dubbi al riguardo – il perdurante contrasto dell’assetto normativo interno con il diritto UE, come interpretato dal costante diritto vivente eurounitario a partire dal caso Digital Rights, e l’indifferibilità di un intervento legislativo riformatore lungo le coordinate segnate non solo dai principi di legalità e proporzione, ma anche dalla riserva di giurisdizione.

Ancora una pronuncia della Grande Camera della Corte di Giustizia UE in tema di condizioni di accesso ai traffic data L’articolo 15, paragrafo 1, della direttiva 2002/58, osta sia ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo; sia ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale. [Omissis] Procedimento principale e questioni pregiudiziali 16. Con decisione del 6 aprile 2017, H.K. è stata condannata dal ViruMaakohus (Tribunale di primo grado di Viru, Estonia) a una pena detentiva di due anni per aver commesso, tra il 17 gennaio 2015 e il 1° febbraio 2016, vari furti di beni (di valore compreso tra EUR 3 e EUR 40) nonché di somme di denaro (per importi compresi tra EUR 5,20 e EUR 2 100, per aver utilizzato la carta bancaria di un terzo, causando a quest’ultimo un danno di EUR 3 941,82, e per aver compiuto atti di violenza nei confronti di persone partecipanti ad un procedimento giudiziario a suo carico. 17. Ai fini della condanna di H.K. per tali reati, il ViruMaakohus (Tribunale di primo grado di Viru) si è fondato, tra l’altro, su vari processi verbali redatti in base a dati relativi a comunicazioni elettroniche, ai sensi dell’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche, che l’autorità incaricata dell’indagine aveva raccolto presso un fornitore di servizi di telecomunicazioni elettroniche nel corso del procedimento istruttorio, dopo aver ottenuto, ai sensi dell’articolo 901 del codice di procedura penale, varie autorizzazioni a tal fine dal ViruRingkonnaprokuratuur (Procura distrettuale di Viru, Estonia). Tali autorizzazioni, concesse il 28 gennaio e il 2 febbraio 2015, il 2 novembre 2015, nonché il 25 febbraio 2016, riguardavano i dati relativi a vari numeri di telefono di H.K. e diversi codici internazionali di identificazione di apparecchiatura di telefonia mobile di quest’ultima, per il periodo dal 1º gennaio al 2 febbraio 2015, per il giorno 21 settembre 2015, [continua..]

SOMMARIO:

1. Premessa - 2. I precedenti della Corte di giustizia in materia di data retention: dalla sentenza Digital Rights Ireland e Seitlinger alle sentenze nelle cause riunite C-623/17, C-520/18, C-511/18 eC-512-/18 - 3. I princìpi di diritto della Grande Camera nel caso H.K. c. Prokuratuur - 4. Il contrasto della disciplina interna con gli standard garantistici enucleati dalla Corte di giustizia: la scelta di esautorare l’organo giurisdizionale dalla procedura di accesso ai tabulati telefonici e telematici - 5. (Segue). Le altre criticità dello jus conditum nei momenti della conservazione e della acquisizione - 6. Quali prospettive? - NOTE

1. Premessa

Seppur destinata a proiettare definitive, ed incontrovertibili, ombre sulla legittimità dell’art. 132 d.lgs. 30 giugno 2003, n. 196 (cd. codice Privacy), in tema di archiviazione ed acquisizione dei metadati di traffico telefonico e telematico ai fini della prevenzione e repressione di reati, la sentenza della Grande Camera della Corte di giustizia UE, relativa al caso H.K. c. Prokuratuur [1], non giunge del tutto inattesa; costituendo il coerente sviluppo di un percorso esegetico di definizione dei termini del delicato, e quanto mai cruciale, bilanciamento tra istanze di sicurezza e di difesa sociale, da un canto, e diritto al rispetto della vita privata con riguardo alla protezione dei dati personali, nella sua declinazione di privacy digitale, dall’altro. Cionondimeno, la pronuncia in esame non si limita a ribadire i princìpi di diritto enunciati nella storica sentenza Digital RightsIreland e Seitlinger, e confermati dal caso Tele2Sverige [2] in poi; ma, intervenendo lungo binari garantistici già tracciati, approfondisce profili non sufficientemente esplorati nei precedenti dicta, così da aggiungere ulteriori, fondamentali, tasselli allo Statuto europeo degli strumenti investigativi preposti alla raccolta automatizzata dei dati esterni ai contenuti comunicativi, oggetto di progressiva elaborazione da parte del formante giurisprudenziale della Corte di Lussemburgo. In un contesto storico e politico in cui, nell’àmbito degli ordinamenti nazionali, le istanze securitarie tendono a rafforzarsi e premono per una sorveglianza massiva e indiscriminata, rischiando di degenerare in derive antigarantiste, la Corte, in controtendenza, mette il punto; confermando di voler aderire ad un modello forte di protezione della privacy digitale, così da riaffermare il proprio ruolo di custode della Carta dei diritti fondamentali UE e di centro dell’enforcement del diritto de quo. In estrema sintesi, la sentenza in esame trae origine da un rinvio pregiudiziale presentato dalla Riigikohus (Corte suprema, Estonia), nel contesto di un procedimento penale promosso a carico di H.K., poi condannata per i reati contestati sulla base di verbali di dati relativi alle comunicazioni elettroniche, raccolti dall’autorità inquirente su autorizzazione della procura distrettuale estone. Una volta respinto l’appello, H.K. esperiva ricorso dinanzi alla Corte suprema eccependo [continua ..]

2. I precedenti della Corte di giustizia in materia di data retention: dalla sentenza Digital Rights Ireland e Seitlinger alle sentenze nelle cause riunite C-623/17, C-520/18, C-511/18 eC-512-/18

La puntuale analisi della sentenza in commento non può prescindere da una breve ricognizione della precedente giurisprudenza della Corte di Lussemburgo in subiecta materia, con cui sono stati progressivamente definiti i limiti entro i quali il legislatore europeo, e quelli nazionali, possono imporre obblighi di conservazione, e consentire l’accesso, per fini di giustizia, ai metadati generati dalle comunicazioni elettroniche. Va, anzitutto, ricordato come l’assetto istituzionale post-Lisbona, con il riconoscimento ex art. 6 TUE della natura giuridicamente vincolante della Carta dei diritti fondamentali UE come fonte primaria, abbia contribuito all’evoluzione dell’Unione come Europa dei diritti, innescando una mutazione nel ruolo della Corte di Lussemburgo, sempre più incline ad operare come “human rights adjudicator” [3] e ad indossare le vesti di giudice costituzionale. Di questa inedita vocazione costituzionale sono testimonianza le pronunce in tema di privacy digitale. È proprio in questo àmbito che il rinvio pregiudiziale (di validità e di interpretazione), di cui all’art. 267 TFUE, ha offerto alla Corte di giustizia l’occasione, prima, per esercitare uno scrutinio ex post sulla validità di un atto di diritto derivato UE; poi, per fornire un’interpretazione conforme al Bill rights europeo sia della stessa normativa di diritto derivato UE sia delle normative nazionali o, in altri termini, per una loro rilettura sotto la lente costituzionale dei diritti fondamentali garantiti dagli artt. 7 e 8, nonché del principio cardine di cui all’art. 52 della Carta [4]. Punto di partenza è l’ormai storica sentenza Digital RightsIreland e Seitlinger [5], con cui i Giudici di Lussemburgo interpellati dalle Corti irlandese e austriaca in merito alla validità della direttiva 2006/24/CE (cd. direttiva Frattini) – riguardante la conservazione, ad opera dei providers dei servizi di telefonìa, dei dati esterni delle comunicazioni telefoniche ed elettroniche a fini di prevenzione e repressione di gravi reati – hanno annullato per la prima volta un atto di diritto derivato, per la grave ingerenza nella sfera privata individuale eccedente i limiti imposti dal canone di proporzione. Muovendo dal riconoscimento della natura per così dire «qualificat[a] – o «in un certo qual modo, [continua ..]

3. I princìpi di diritto della Grande Camera nel caso H.K. c. Prokuratuur

Ultimo atto della querelle in materia di conservazione ed accesso ai traffic data è la sentenza resa dalla Corte di giustizia il 2 marzo 2021 nella causa H.K. c. Prokuratuur. Con riguardo ai primi due quesiti pregiudiziali sottoposti al suo esame, le statuizioni della Grande Camera si pongono in linea di pressoché totale continuità con i precedenti dicta, limitandosi a richiamarne i principi di diritto già enucleati in materia e a svilupparne le logiche implicazioni. Postulato di fondo della trama argomentativa alla base dell’interpretazione costituzionale dell’art. 15, par. 1, Direttiva e-privacy è ancora una volta il principio di proporzione, criterio cardine del vaglio di legittimità delle ingerenze nella sfera dell’individuo, formalizzato nel Titolo VII della Carta UE (art. 52, par. 1), alla stregua del quale calibrare il grado di comprimibilità dei diritti fondamentali [19], come quelli di cui agli artt. 7, 8 e 11 di detta Carta, coinvolti dalla data retention [20]. Proprio prendendo l’abbrivio dal test tripartito (cd. “a tre gradini”) in cui si declina detto principio, la Grande Camera ribadisce, quanto alle ragioni legittimanti l’accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica, da un canto, che detto accesso «può essere giustificato soltanto dall’obiettivo di interesse generale per il quale tale conservazione è stata imposta» ai server; e, dall’altro canto, in conformità con la propria giurisprudenza costante, che la legittimità della restrizione della sfera privata «deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito mediante [la prima] sia correlata alla gravità dell’ingerenza» [21]. Pertanto, ai fini della legittimità dell’ingerenza statale nella sfera dell’individuo non basta, in aderenza al sotto-criterio di idoneità, la strumentalità, o rispondenza, in astratto della raccolta dei dati relativi al traffico rispetto all’obiettivo legittimo perseguito – coincidente con uno degli «specifici fini di ordine pubblico» di cui all’elencazione tassativa dell’art. 15, par. 1 –; idoneità, peraltro, implicita nella [continua ..]

4. Il contrasto della disciplina interna con gli standard garantistici enucleati dalla Corte di giustizia: la scelta di esautorare l’organo giurisdizionale dalla procedura di accesso ai tabulati telefonici e telematici

Innegabili, e dirompenti, sono le ripercussioni della sentenza H.K. c. Prokuratuur sull’assetto normativo interno – risultante all’esito della riforma operata con il d.lgs. 30 maggio 2008, n. 109, attuativo della direttiva 2006/24/CE, ed in parte riformulato dal d.lgs. 10 agosto 2018, n. 101 – di cui viene confermata, sia pure indirettamente, l’incompatibilità con il diritto UE, anche, sotto il profilo specifico della legittimazione esclusiva del pubblico ministero a disporre l’acquisizione dei dati relativi al traffico telefonico e telematico, oltreché motu proprio, «anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private» (art. 132, comma 3, codice Privacy). La Grande Camera ha, infatti, definitivamente sconfessato, ribaltandolo, l’assunto tradizionale ed ormai tralatizio, alla luce del crescente ed inarrestabile progresso tecnologico, della modesta capacità invasiva della metodologia di indagine de qua. Assunto, prima, recepito dal Giudice delle leggi [40] ed assecondato fino alle estreme conseguenze dalla successiva giurisprudenza di legittimità [41]; poi, addotto dal legislatore a presupposto giustificativo del regime di tutela soft e meno garantista confluito nell’art. 132 codice Privacy. Proprio sulla base dell’asserita ridotta aggressività dell’archiviazione ed accesso ai traffic data rispetto alle captazioni di conversazioni telefoniche sullo stesso valore inviolabile della segretezza delle comunicazioni, il legislatore ha ritenuto di poter graduare le guarentigie accordate dall’art. 15 Cost., operando – in modo speculare a quanto operato in relazione all’art. 13 Cost. – una scelta differenziata con riguardo alla riserva di giurisdizione motivata. Reputandosi sufficiente ai fini dell’acquisizione dei dati stessi, configurata, a differenza delle intercettazioni, come atto solo limitativo e non privativo della segretezza, il decreto motivato, prima – nella versione originaria dell’art. 132, comma 3, risalente al d.l. 24 dicembre 2003, n. 354 – dell’«autorità giudiziaria», in aderenza al nucleo minimo di garanzie enucleato dalla Consulta [42]; poi – nella versione ancora vigente dello stesso articolo, risultante dal d.lgs. n. 109 del 2008 – del solo [continua ..]

5. (Segue). Le altre criticità dello jus conditum nei momenti della conservazione e della acquisizione

Ulteriori sono i profili di attrito della normativa interna, tutt’ora recepita dall’art. 132 codice Privacy, con il diritto UE, nella lettura datane dalla Corte di Lussemburgo, sia sul versante del regime sistematico ed indiscriminato di archiviazione, sia su quello delle modalità e dei limiti teleologici all’acqui­sizione dei dati relativi al traffico telefonico e di quelli di ubicazione. Per quanto attiene il momento della conservazione, si pone in evidente attrito con il canone di proporzione non solo la raccolta generalizzata (a “random”) di tutti i dati di traffico e di ubicazione generati dalle comunicazioni via telefono, da internet o dalle chiamate senza risposta, estesa a tutti gli abbonati e/o utenti registrati, senza limiti o eccezioni di sorta, dei quali viene così presunta la pericolosità e, dunque, tale da innescare un deprecabile automatismo; ma, altresì, l’esorbitante innalzamento dei tempi di conservazione previsto, in deroga alle cornici temporali fissate dall’art. 132, commi 1 e 1-bis, codice Privacy, dal comma 5-bis dello stesso articolo, come interpolato dall’art. 11 del d.lgs. n. 101 del 2018, che ha «fatt[o] salva la disciplina di cui all’art. 24 della legge 20 novembre 2017, n. 167» (cd. legge europea 2017). Sotto quest’ultimo profilo, vero è che intenzione del legislatore era quella di introdurre un regime binario di conservazione-acquisizione, differenziato sulla base del reato perseguito; rinviandosi, per l’accertamento e repressione dei reati comuni, all’articolata tempistica – di ventiquattro mesi, di dodici mesi e di trenta giorni – di cui al citato art. 132, commi 1 e 1-bis, e prevedendosi, per analoghe finalità relative alla criminalità grave di stampo terroristico, di cui agli artt. 51, comma 3, quater e 407, comma 2, lett. a), c.p.p., un termine omogeneo di conservazione pari a settantadue mesi, a prescindere dalla provenienza dei dati trattati. Purtuttavia, attesa l’impossibilità di attuare sul piano concreto una divaricazione dei tempi di conservazione con riguardo allo scopo legittimo perseguito – non potendo il gestore sapere ex ante per quale tipologia di reati i dati verranno, ipoteticamente, richiesti dal pubblico ministero [52] –, il termine di archiviazione dei dati telefonici-telematici, alla stregua del combinato disposto dei commi [continua ..]

6. Quali prospettive?

Solo un intervento novellatore del legislatore rivolto a colmare i vuoti normativi e a sanare i profili di frizione della disciplina interna con il diritto europeo, in aderenza agli standard garantistici enucleati – e ribaditi in ben cinque pronunce – dalla Corte di giustizia, può arginare siffatte interpretazioni antiformalistiche del canone di proporzione elusive del principio di legalità processuale [61]. Un ripensamento dell’istituto, non più procastinabile, in seguito all’ultimo approdo del diritto vivente eurounitario, che ha ratificato indirettamente ma in modo definitivo – se mai residuassero ancora dubbi al riguardo – l’illegittimità dell’art. 132 codice Privacy. Nel contesto di un complessivo riordino della materia, lungo le coordinate segnate dai princìpi di legalità, proporzione e giurisdizione, sarebbe, poi, opportuno predisporre non solo un più corretto inquadramento sistematico di questa metodologia di indagine all’interno dei mezzi di ricerca e assicurazione della prova [62]; ma, altresì, un assetto normativo unitario in materia di strumenti di captazione dei dati di traffico e di ubicazione, uniformando al regime relativo all’acquisizione ex post dei dati in questione quello dell’acquisizione dinamica dei dati relativi all’ubicazione del dispositivo di telefonìa mobile (o tracciamento dell’utenza telefonica mobile), ancora sprovvista di apposita regolamentazione, seppur incidente sulla stessa cornice di diritti fondamentali della persona. Sta di fatto che, nelle more dell’auspicata riforma normativa, attesa la vincolatività ed efficacia erga omnes nell’àmbito dell’Unione europea delle sentenze interpretative della Corte di giustizia [63], l’in­ter­prete è stato chiamato a confrontarsi con le ricadute, sul piano operativo, dei princìpi sanciti dalla pronuncia del 2 marzo scorso e, dunque, ad interrogarsi sui rimedi esperibili nella prassi avverso una siffatta normativa incompatibile con il diritto UE. Immediate sono state, infatti, le reazioni della nostra giurisprudenza di merito già all’indomani della pronuncia in esame. Accanto a soluzioni ermeneutiche conservatrici che, in sostanziale continuità con il tradizionale indirizzo della nostra giurisprudenza, hanno escluso il contrasto dell’art. 132 [continua ..]

NOTE