home / Archivio / Fascicolo / La sentenza della Corte di giustizia UE nel caso H.K. c. Prokuratuur: un punto di non ritorno nella ..
indietro stampa articolo indice fascicolo articolo
La sentenza della Corte di giustizia UE nel caso H.K. c. Prokuratuur: un punto di non ritorno nella lunga querelle in materia di data retention?
di Elena Andolina, Professore associato di Diritto processuale penale - Università degli Studi Magna Graecia di Catanzaro
Con la pronuncia in commento - i cui princìpi di diritto appaiono suscettibili di incidere oltre l’àmbito dell’attività acquisitiva dei dati esteriori delle comunicazioni telefoniche e telematiche -, la Corte di Lussemburgo, riaffermata la gravità dell’ingerenza nella sfera privata individuale, conseguente all’accesso ai dati di traffico, ne trae con fermezza i dovuti corollari garantistici in punto sia di scopo legittimo idoneo a giustificare siffatta ingerenza entro i limiti di stretta necessità, sia di organo indipendente competente ad autorizzare detto accesso. Anche con riguardo a tali profili, risulta, pertanto, confermato in modo definitivo - se mai residuassero ancora dubbi al riguardo - il perdurante contrasto dell’assetto normativo interno con il diritto UE, come interpretato dal costante diritto vivente eurounitario a partire dal caso Digital Rights, e l’indifferibilità di un intervento legislativo riformatore lungo le coordinate segnate non solo dai principi di legalità e proporzione, ma anche dalla riserva di giurisdizione.
With the ruling in question - whose principles of law appear likely to affect beyond the scope of the acquisition of external data of telephone and telematic communications - the Court of Luxembourg, reaffirmed the seriousness of the interference in the individual private sphere, consequent to the ‘access to traffic data, firmly draws, from this finding, the necessary guarantee corollaries in terms of both a legitimate purpose capable of justifying such interference within the limits of strict necessity, and an independent body competent to authorize said access. Also with regard to these profiles, therefore it is definitively confirmed - if there are still any doubts in this regard - the continuing contrast of the internal regulatory framework with EU law, as interpreted by the constant Euro-unit living law starting from the Digital Rights case, and the non-postponement of a reform legislative intervention along the coordinates marked not only by the principles of legality and proportion, but also by the reserve of jurisdiction.
Articoli Correlati: data retention - tabulati telefonici
Ancora una pronuncia della Grande Camera della Corte di Giustizia UE in tema di condizioni di accesso ai traffic data
L’articolo 15, paragrafo 1, della direttiva 2002/58, osta sia ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo; sia ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
[Omissis]
Procedimento principale e questioni pregiudiziali
16. Con decisione del 6 aprile 2017, H.K. è stata condannata dal ViruMaakohus (Tribunale di primo grado di Viru, Estonia) a una pena detentiva di due anni per aver commesso, tra il 17 gennaio 2015 e il 1° febbraio 2016, vari furti di beni (di valore compreso tra EUR 3 e EUR 40) nonché di somme di denaro (per importi compresi tra EUR 5,20 e EUR 2 100, per aver utilizzato la carta bancaria di un terzo, causando a quest’ultimo un danno di EUR 3 941,82, e per aver compiuto atti di violenza nei confronti di persone partecipanti ad un procedimento giudiziario a suo carico.
17. Ai fini della condanna di H.K. per tali reati, il ViruMaakohus (Tribunale di primo grado di Viru) si è fondato, tra l’altro, su vari processi verbali redatti in base a dati relativi a comunicazioni elettroniche, ai sensi dell’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche, che l’autorità incaricata dell’indagine aveva raccolto presso un fornitore di servizi di telecomunicazioni elettroniche nel corso del procedimento istruttorio, dopo aver ottenuto, ai sensi dell’articolo 901 del codice di procedura penale, varie autorizzazioni a tal fine dal ViruRingkonnaprokuratuur (Procura distrettuale di Viru, Estonia). Tali autorizzazioni, concesse il 28 gennaio e il 2 febbraio 2015, il 2 novembre 2015, nonché il 25 febbraio 2016, riguardavano i dati relativi a vari numeri di telefono di H.K. e diversi codici internazionali di identificazione di apparecchiatura di telefonia mobile di quest’ultima, per il periodo dal 1º gennaio al 2 febbraio 2015, per il giorno 21 settembre 2015, nonché per il periodo dal 1º marzo 2015 al 19 febbraio 2016.
18. H.K. ha proposto appello contro la sentenza del ViruMaakohus (Tribunale di primo grado di Viru) dinanzi alla Tartu Ringkonnakohus (Corte d’appello di Tartu, Estonia), che ha respinto tale appello con decisione del 17 novembre 2017.
19. H.K. ha proposto un ricorso per cassazione avverso quest’ultima decisione dinanzi alla Riigikohus (Corte suprema, Estonia), contestando, tra l’altro, l’ammissibilità dei processi verbali redatti in base ai dati ottenuti presso il fornitore di servizi di comunicazioni elettroniche. A suo avviso, risulterebbe dalla sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970; in prosieguo: la «sentenza Tele2»), che le disposizioni dell’articolo 1111 della legge relativa alle comunicazioni elettroniche che prevedono l’obbligo dei fornitori di servizi di conservare dati relativi alle comunicazioni, nonché l’utilizzazione di tali dati ai fini della sua condanna, sono contrari all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11, nonché dell’articolo 52, paragrafo 1, della Carta.
20. Secondo il giudice del rinvio, si pone la questione se i processi verbali redatti in base ai dati contemplati dall’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche possano essere considerati come costituenti elementi di prova ammissibili. Detto giudice fa osservare che l’ammissibilità dei processi verbali in discussione nel procedimento principale quali elementi di prova impone di stabilire in quale misura la raccolta dei dati in base ai quali i suddetti processi verbali sono stati redatti sia stata conforme all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11, nonché dell’articolo 52, paragrafo 1, della Carta.
21. Detto giudice considera che la risposta a tale questione presuppone di stabilire se il suddetto articolo 15, paragrafo 1, letto alla luce della Carta, debba essere interpretato nel senso che l’accesso delle autorità nazionali a dati che consentano di identificare la fonte e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile di un sospettato, di determinare la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il materiale di comunicazione mobile utilizzato, costituisce un’ingerenza nei diritti fondamentali in questione di gravità tale che tale accesso dovrebbe essere limitato alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo per il quale le autorità nazionali hanno richiesto l’accesso ai dati conservati.
22. Il giudice del rinvio ritiene tuttavia che la durata di tale periodo costituisca un elemento essenziale per valutare la gravità dell’ingerenza consistente nell’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione. Pertanto, qualora detto periodo sia molto breve o la quantità di dati raccolti sia molto limitata, occorrerebbe chiedersi se l’obiettivo della lotta contro la criminalità in generale, e non soltanto della lotta contro le forme gravi di criminalità, possa giustificare una siffatta ingerenza.
23. Infine, il giudice del rinvio nutre dubbi quanto alla possibilità di considerare il pubblico ministero estone come un’autorità amministrativa indipendente, ai sensi del punto 120 della sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970), che può autorizzare l’accesso dell’autorità incaricata dell’indagine a dati relativi alle comunicazioni elettroniche come quelli di cui all’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche.
24. Il pubblico ministero dirigerebbe il procedimento istruttorio, garantendo al contempo la legalità e l’efficacia di quest’ultimo. Poiché l’obiettivo di tale procedimento è, in particolare, la raccolta di prove, l’autorità incaricata dell’indagine e il pubblico ministero verificherebbero gli elementi a carico e gli elementi a discarico raccolti contro qualsiasi persona sospettata o indagata. Se il pubblico ministero è convinto che siano state raccolte tutte le prove necessarie, esso eserciterebbe l’azione penale nei confronti dell’accusato. Le competenze del pubblico ministero verrebbero esercitate in suo nome da un procuratore che agisce in modo indipendente, così come risulterebbe dall’articolo 30, paragrafi 1 e 2, del codice di procedura penale, nonché dagli articoli 1 e 2 della legge relativa al pubblico ministero.
25. In tale contesto, il giudice del rinvio rileva che i suoi dubbi riguardo all’indipendenza richiesta dal diritto dell’Unione sono principalmente dovuti al fatto che il pubblico ministero non solo dirige il procedimento istruttorio, ma rappresenta anche la pubblica accusa nel processo, essendo tale autorità, ai sensi del diritto nazionale, parte nel procedimento penale.
26. Alla luce di tali circostanze, il Riigikohus (Corte suprema) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 15, paragrafo 1, della direttiva [2002/58] debba essere interpretato, alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della [Carta], nel senso che, in un procedimento penale, l’accesso di autorità nazionali a dati che consentano di rintracciare e identificare la fonte e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile del sospettato, di determinare la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il materiale di comunicazione mobile utilizzato, costituisce un’ingerenza nei diritti fondamentali sanciti dai suddetti articoli della Carta di gravità tale che detto accesso debba essere limitato, nel contesto della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo al quale si riferiscono i dati conservati cui le autorità nazionali hanno accesso.
1) Se l’articolo 15, paragrafo 1, della direttiva [2002/58] debba essere interpretato, sulla scorta del principio di proporzionalità enunciato nella [sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788)], punti da 55 a 57, nel senso che, qualora la quantità dei dati menzionati nella prima questione, ai quali le autorità nazionali hanno accesso, non sia grande (sia per il tipo di dati che per la loro estensione nel tempo), la conseguente ingerenza nei diritti fondamentali può essere giustificata, in generale, dall’obiettivo della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, e che quanto più notevole è la quantità di dati cui le autorità nazionali hanno accesso, tanto più gravi devono essere i reati perseguiti mediante tale ingerenza.
2) Se il requisito indicato nel secondo punto del dispositivo della [sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970)], secondo cui l’accesso ai dati da parte delle autorità nazionali competenti dev’essere soggetto ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, implichi che l’articolo 15, paragrafo 1, della direttiva [2002/58] deve essere interpretato nel senso che può considerarsi come un’autorità amministrativa indipendente il pubblico ministero, il quale dirige il procedimento istruttorio e che, per legge, è tenuto ad agire in modo indipendente, restando soggetto soltanto alla legge e verificando, nell’ambito del procedimento istruttorio, sia gli elementi a carico sia quelli a discarico relativi all’indagato, ma che successivamente, nel procedimento giudiziario, rappresenta la pubblica accusa».
Sulle questioni pregiudiziali
Sulla prima e sulla seconda questione
27. Con le sue questioni pregiudiziali prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità e dalla natura dei dati disponibili per tale periodo.
28. A questo proposito, risulta dalla domanda di pronuncia pregiudiziale che, come confermato dal governo estone all’udienza, i dati ai quali l’autorità nazionale incaricata dell’indagine ha avuto accesso nella causa di cui al procedimento principale sono quelli indicati ai sensi dell’articolo 1111, paragrafi 2 e 4, della legge relativa alle comunicazioni elettroniche, i quali impongono ai fornitori di servizi di comunicazioni elettroniche un obbligo di conservare in maniera generalizzata e indifferenziata i dati relativi al traffico e i dati relativi all’ubicazione per quanto riguarda la telefonia fissa e mobile, per un periodo di un anno. Tali dati consentono, in particolare, di rintracciare e di identificare la fonte e la destinazione di una comunicazione a partire dal telefono fisso o mobile di una persona, di stabilire la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il telefono mobile senza che una comunicazione sia necessariamente trasmessa. Inoltre, i dati suddetti offrono la possibilità di accertare la frequenza delle comunicazioni dell’utente con determinate persone in un dato periodo. Peraltro, come confermato dal governo estone all’udienza, l’accesso ai dati suddetti può, quando si tratti di lotta contro la criminalità, essere richiesto per qualsiasi tipo di reato.
29. Per quanto riguarda le condizioni alle quali l’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione conservati dai fornitori di servizi di comunicazioni elettroniche può, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, essere concesso ad autorità pubbliche, in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, la Corte ha statuito che tale accesso può essere concesso soltanto se e in quanto tali dati siano stati conservati da detti fornitori in un modo conforme al citato articolo 15, paragrafo 1 (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 167).
30. A questo proposito, la Corte ha altresì statuito che il citato articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, osta a misure legislative che prevedano, per finalità siffatte, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 168).
31. Quanto agli obiettivi idonei a giustificare un accesso delle autorità pubbliche ai dati conservati dai fornitori di servizi di comunicazione elettronica in applicazione di una misura conforme alle disposizioni sopra menzionate, risulta, da un lato, dalla giurisprudenza della Corte che un siffatto accesso può essere giustificato soltanto dall’obiettivo di interesse generale per il quale tale conservazione è stata imposta ai suddetti fornitori di servizi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 166).
32. Dall’altro lato, la Corte ha statuito che la possibilità per gli Stati membri di giustificare una limitazione ai diritti e agli obblighi previsti, segnatamente, dagli articoli 5, 6 e 9 della direttiva 2002/58 deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito mediante questa limitazione sia correlata alla gravità dell’ingerenza suddetta (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 131 e la giurisprudenza ivi citata).
33. Per quanto riguarda l’obiettivo, cui mira la normativa in discussione nel procedimento principale, della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, conformemente al principio di proporzionalità, soltanto la lotta contro le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione, sia questa generalizzata e indifferenziata oppure mirata. Pertanto, soltanto ingerenze nei suddetti diritti fondamentali che non presentino un carattere grave possono essere giustificate dall’obiettivo, cui mira la normativa in discussione nel procedimento principale, della prevenzione, della ricerca, dell’accertamento e del perseguimento di reati in generale (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 140 nonché 146).
34. A questo proposito, è stato statuito, in particolare, che le misure legislative riguardanti il trattamento dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica come tali, e segnatamente la conservazione di tali dati e l’accesso agli stessi, al solo scopo di identificare l’utente interessato, e senza che tali dati possano essere associati ad informazioni relative alle comunicazioni effettuate, possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale, al quale fa riferimento l’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58. Infatti, tali dati non consentono, di per sé soli, di conoscere la data, l’ora, la durata e i destinatari delle comunicazioni effettuate, né i luoghi in cui tali comunicazioni sono avvenute o la frequenza delle stesse con determinate persone nel corso di un dato periodo, cosicché essi non forniscono, a parte le coordinate degli utenti dei mezzi di comunicazione elettronica, quali i loro indirizzi, alcuna informazione sulle comunicazioni effettuate e, di conseguenza, sulla loro vita privata. Pertanto, l’ingerenza causata da una misura riguardante questi dati non può, in linea di principio, essere qualificata come grave (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 157 e 158 nonché la giurisprudenza ivi citata).
35. Date tali circostanze, soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l’accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali utilizzate da quest’ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate (v., in tal senso, sentenza del 2 ottobre 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punto 54), senza che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l’accesso a tali dati, possano avere come effetto che l’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale sia idoneo a giustificare tale accesso.
36. Occorre rilevare che l’accesso a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, come quelli conservati sul fondamento dell’articolo 1111 della legge relativa alle comunicazioni elettroniche, può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 117).
37. Certamente, come suggerisce il giudice del rinvio, maggiore è la durata del periodo per il quale viene richiesto l’accesso, più grande è, in linea di principio, la quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall’utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente. Una constatazione analoga può essere effettuata anche per quanto riguarda le categorie di dati richiesti.
38. Mira dunque a soddisfare il requisito di proporzionalità, in virtù del quale le deroghe alla protezione dei dati personali e le limitazioni di quest’ultima devono compiersi entro i limiti dello stretto necessario (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 130 nonché la giurisprudenza ivi citata), il fatto che le autorità nazionali competenti siano tenute a garantire, in ciascun caso di specie, che tanto la categoria o le categorie di dati interessati, quanto la durata per la quale è richiesto l’accesso a questi ultimi, siano, in funzione delle circostanze del caso di specie, limitate a quanto è strettamente necessario ai fini dell’indagine in questione.
39. Tuttavia, l’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, derivante dall’accesso, da parte di un’autorità pubblica, a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da esso utilizzate, presenta in ogni caso un carattere grave indipendentemente dalla durata del periodo per il quale è richiesto l’accesso a tali dati e dalla quantità o dalla natura dei dati disponibili per un periodo siffatto, qualora, come nella fattispecie di cui al procedimento principale, questo insieme di dati sia tale da permettere di trarre precise conclusioni sulla vita privata della persona o delle persone interessate.
40. A tale riguardo, anche l’accesso a un quantitativo limitato di dati relativi al traffico o di dati relativi all’ubicazione, oppure l’accesso a dati per un breve periodo, possono essere idonei a fornire precise informazioni sulla vita privata di un utente di un mezzo di comunicazione elettronica. Inoltre, la quantità dei dati disponibili e le informazioni concrete sulla vita privata della persona interessata che ne derivano sono circostanze che possono essere valutate solo dopo la consultazione dei dati suddetti. Orbene, l’autorizzazione all’accesso concessa dal giudice o dall’autorità indipendente competente interviene necessariamente prima che i dati e le informazioni che ne derivano possano essere consultati. Pertanto, la valutazione della gravità dell’ingerenza costituita dall’accesso si effettua necessariamente in funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile.
41. Infine, tenuto conto del fatto che il giudice del rinvio è investito di una domanda con cui viene dedotta l’inammissibilità dei processi verbali redatti in base ai dati relativi al traffico e ai dati relativi all’ubicazione, in quanto le disposizioni dell’articolo 1111 della legge relativa alle comunicazioni elettroniche sarebbero contrarie all’articolo 15, paragrafo 1, della direttiva 2002/58 sotto il profilo sia della conservazione dei dati sia dell’accesso a questi ultimi, occorre ricordare che, allo stato attuale del diritto dell’Unione, spetta, in linea di principio, al solo diritto nazionale stabilire le regole relative all’ammissibilità e alla valutazione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti criminali, di informazioni e di elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati in questione, contraria al diritto dell’Unione (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 222), od anche mediante un accesso delle autorità nazionali ai dati suddetti, contrario a tale diritto dell’Unione.
42. Infatti, secondo una consolidata giurisprudenza, in assenza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro, in virtù del principio dell’autonomia procedurale, stabilire le regole di procedura applicabili ai ricorsi giurisdizionali destinati a garantire la tutela dei diritti riconosciuti ai singoli dal diritto dell’Unione, a condizione però che le regole suddette non siano meno favorevoli di quelle disciplinanti situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano impossibile in pratica o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 223 nonché la giurisprudenza ivi citata).
43. Per quanto riguarda più in particolare il principio di effettività, occorre ricordare che le norme nazionali relative all’ammissibilità e all’utilizzazione delle informazioni e degli elementi di prova hanno come obiettivo, in virtù delle scelte operate dal diritto nazionale, di evitare che informazioni ed elementi di prova ottenuti in modo illegittimo arrechino indebitamente pregiudizio a una persona sospettata di avere commesso dei reati. Orbene, tale obiettivo può, a seconda del diritto nazionale, essere raggiunto non solo mediante un divieto di utilizzare informazioni ed elementi di prova siffatti, ma anche mediante norme e prassi nazionali che disciplinino la valutazione e la ponderazione delle informazioni e degli elementi di prova, o addirittura tenendo conto del loro carattere illegittimo in sede di determinazione della pena (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 225).
44. La necessità di escludere informazioni ed elementi di prova ottenuti in violazione delle prescrizioni del diritto dell’Unione deve essere valutata alla luce, in particolare, del rischio che l’ammissibilità di informazioni ed elementi di prova siffatti comporta per il rispetto del principio del contraddittorio e, pertanto, del diritto ad un processo equo. Orbene, un organo giurisdizionale, il quale consideri che una parte non è in grado di svolgere efficacemente le proprie osservazioni in merito a un mezzo di prova rientrante in una materia estranea alla conoscenza dei giudici e idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova al fine di evitare una violazione siffatta. Pertanto, il principio di effettività impone al giudice penale nazionale di escludere informazioni ed elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione incompatibile con il diritto dell’Unione, od anche mediante un accesso dell’autorità competente a tali dati in violazione del diritto dell’Unione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti di criminalità, qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova suddetti, riconducibili ad una materia estranea alla conoscenza dei giudici e idonei ad influire in maniera preponderante sulla valutazione dei fatti (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 226 e 227).
45. Alla luce delle considerazioni che precedono, occorre rispondere alla prima e alla seconda questione dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.
Sulla terza questione.
46. Con la sua terza questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
47. Il giudice del rinvio precisa al riguardo che, se è pur vero che il pubblico ministero estone è tenuto, conformemente al diritto nazionale, ad agire in modo indipendente, è soggetto soltanto alla legge e deve esaminare gli elementi a carico e quelli a discarico nel corso del procedimento istruttorio, l’obiettivo di tale procedimento resta nondimeno quello di raccogliere elementi di prova nonché di pervenire al soddisfacimento degli altri presupposti necessari per lo svolgimento di un processo. Sarebbe questa stessa autorità a rappresentare la pubblica accusa nel processo, ed essa dunque sarebbe altresì parte nel procedimento. Inoltre, risulta dal fascicolo a disposizione della Corte, come confermato anche dal governo estone e dal Prokuratuur all’udienza, che il pubblico ministero estone è organizzato in modo gerarchico e che le domande di accesso ai dati relativi al traffico e ai dati relativi all’ubicazione non sono soggette ad un requisito di forma particolare e possono essere presentate dal procuratore stesso. Infine, le persone ai cui dati può essere accordato l’accesso non sarebbero soltanto quelle sospettate di essere coinvolte in un reato.
48. È vero, come già dichiarato dalla Corte, che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l’accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi. Tale normativa deve essere legalmente vincolante nell’ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l’ingerenza sia limitata allo stretto necessario (v., in tal senso, sentenze del 21 dicembre 2016, Tele2, C‑203/15 e C‑698/15, EU:C:2016:970, punti 117 e 118; del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 68, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 132 e la giurisprudenza ivi citata).
49. In particolare, una normativa nazionale che disciplini l’accesso delle autorità competenti a dati relativi al traffico e a dati relativi all’ubicazione conservati, adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, non può limitarsi a esigere che l’accesso delle autorità ai dati risponda alla finalità perseguita da tale normativa, ma deve altresì prevedere le condizioni sostanziali e procedurali che disciplinano tale utilizzo (sentenze del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 77, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, e C‑512/18, e a., punto 176 e la giurisprudenza ivi citata).
50. Pertanto, e poiché un accesso generale a tutti i dati conservati, indipendentemente da un qualche collegamento, almeno indiretto, con la finalità perseguita, non può considerarsi limitato allo stretto necessario, la normativa nazionale in questione deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati in questione. A questo proposito, un accesso siffatto può, in linea di principio, essere consentito, in relazione con l’obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un’altra in un illecito del genere. Tuttavia, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l’accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo (v., in tal senso, sentenze del 21 dicembre 2016, Tele2, C‑203/15 e C‑698/15, EU:C:2016:970, punto 119, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 188).
51. Al fine di garantire, in pratica, il pieno rispetto di tali condizioni, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. In caso di urgenza debitamente giustificata, il controllo deve intervenire entro termini brevi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 189 e la giurisprudenza ivi citata).
52. Tale controllo preventivo richiede, tra l’altro, come rilevato, in sostanza, dall’avvocato generale al paragrafo 105 delle sue conclusioni, che il giudice o l’entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in gioco. Per quanto riguarda, più in particolare, un’indagine penale, tale controllo preventivo richiede che detto giudice o detta entità sia in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso.
53. Qualora tale controllo venga effettuato non da un giudice bensì da un’entità amministrativa indipendente, quest’ultima deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna [v., in tal senso, sentenza del 9 marzo 2010, Commissione/Germania, C‑518/07, EU:C:2010:125, punto 25, nonché parere 1/15 (Accordo PNR UE‑Canada), del 26 luglio 2017, EU:C:2017:592, punti 229 e 230].
54. Dalle considerazioni che precedono risulta che il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare, ricordato al punto 51 della presente sentenza, impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica, come rilevato in sostanza dall’avvocato generale al paragrafo 126 delle sue conclusioni, che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale.
55. Ciò non si verifica nel caso di un pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale. Infatti, il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l’azione penale.
56. La circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco nel senso descritto al punto 52 della presente sentenza.
57. Ne consegue che il pubblico ministero non è in grado di effettuare il controllo preventivo di cui al punto 51 della presente sentenza.
58. Poiché il giudice del rinvio ha sollevato, peraltro, la questione se si possa supplire all’assenza di un controllo effettuato da un’autorità indipendente mediante un controllo successivo, da parte di un giudice, della legittimità dell’accesso di un’autorità nazionale ai dati relativi al traffico e ai dati relativi all’ubicazione, occorre rilevare che il controllo indipendente deve intervenire, come richiesto dalla giurisprudenza richiamata al punto 51 della presente sentenza, previamente a qualsiasi accesso, salvo situazioni di urgenza debitamente giustificate, nel qual caso il controllo deve avvenire entro termini brevi. Come rilevato dall’avvocato generale al paragrafo 128 delle sue conclusioni, un siffatto controllo successivo non consentirebbe di rispondere all’obiettivo di un controllo preventivo, consistente nell’impedire che venga autorizzato un accesso ai dati in questione eccedente i limiti dello stretto necessario.
59. In tali circostanze, occorre rispondere alla terza questione pregiudiziale dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
Sulle spese.
60. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.
2) L’articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
Corte di Giustizia, Grande Sezione, sent. 2 marzo 2021, causaC-746/18, H.K. c. Prokuratuur
Sommario:
1. Premessa - 2. I precedenti della Corte di giustizia in materia di data retention: dalla sentenza Digital Rights Ireland e Seitlinger alle sentenze nelle cause riunite C-623/17, C-520/18, C-511/18 eC-512-/18 - 3. I princìpi di diritto della Grande Camera nel caso H.K. c. Prokuratuur - 4. Il contrasto della disciplina interna con gli standard garantistici enucleati dalla Corte di giustizia: la scelta di esautorare l’organo giurisdizionale dalla procedura di accesso ai tabulati telefonici e telematici - 5. (Segue). Le altre criticità dello jus conditum nei momenti della conservazione e della acquisizione - 6. Quali prospettive? - NOTE
1. Premessa
Seppur destinata a proiettare definitive, ed incontrovertibili, ombre sulla legittimità dell’art. 132 d.lgs. 30 giugno 2003, n. 196 (cd. codice Privacy), in tema di archiviazione ed acquisizione dei metadati di traffico telefonico e telematico ai fini della prevenzione e repressione di reati, la sentenza della Grande Camera della Corte di giustizia UE, relativa al caso H.K. c. Prokuratuur [1], non giunge del tutto inattesa; costituendo il coerente sviluppo di un percorso esegetico di definizione dei termini del delicato, e quanto mai cruciale, bilanciamento tra istanze di sicurezza e di difesa sociale, da un canto, e diritto al rispetto della vita privata con riguardo alla protezione dei dati personali, nella sua declinazione di privacy digitale, dall’altro. Cionondimeno, la pronuncia in esame non si limita a ribadire i princìpi di diritto enunciati nella storica sentenza Digital RightsIreland e Seitlinger, e confermati dal caso Tele2Sverige [2] in poi; ma, intervenendo lungo binari garantistici già tracciati, approfondisce profili non sufficientemente esplorati nei precedenti dicta, così da aggiungere ulteriori, fondamentali, tasselli allo Statuto europeo degli strumenti investigativi preposti alla raccolta automatizzata dei dati esterni ai contenuti comunicativi, oggetto di progressiva elaborazione da parte del formante giurisprudenziale della Corte di Lussemburgo. In un contesto storico e politico in cui, [continua ..]
» Per l'intero contenuto effettuare il login inizio
2. I precedenti della Corte di giustizia in materia di data retention: dalla sentenza Digital Rights Ireland e Seitlinger alle sentenze nelle cause riunite C-623/17, C-520/18, C-511/18 eC-512-/18
La puntuale analisi della sentenza in commento non può prescindere da una breve ricognizione della precedente giurisprudenza della Corte di Lussemburgo in subiecta materia, con cui sono stati progressivamente definiti i limiti entro i quali il legislatore europeo, e quelli nazionali, possono imporre obblighi di conservazione, e consentire l’accesso, per fini di giustizia, ai metadati generati dalle comunicazioni elettroniche. Va, anzitutto, ricordato come l’assetto istituzionale post-Lisbona, con il riconoscimento ex art. 6 TUE della natura giuridicamente vincolante della Carta dei diritti fondamentali UE come fonte primaria, abbia contribuito all’evoluzione dell’Unione come Europa dei diritti, innescando una mutazione nel ruolo della Corte di Lussemburgo, sempre più incline ad operare come “human rights adjudicator” [3] e ad indossare le vesti di giudice costituzionale. Di questa inedita vocazione costituzionale sono testimonianza le pronunce in tema di privacy digitale. È proprio in questo àmbito che il rinvio pregiudiziale (di validità e di interpretazione), di cui all’art. 267 TFUE, ha offerto alla Corte di giustizia l’occasione, prima, per esercitare uno scrutinio ex post sulla validità di un atto di diritto derivato UE; poi, per fornire un’interpretazione conforme al Bill rights europeo sia della stessa normativa di diritto derivato UE sia delle normative nazionali o, [continua ..]
» Per l'intero contenuto effettuare il login inizio
3. I princìpi di diritto della Grande Camera nel caso H.K. c. Prokuratuur
Ultimo atto della querelle in materia di conservazione ed accesso ai traffic data è la sentenza resa dalla Corte di giustizia il 2 marzo 2021 nella causa H.K. c. Prokuratuur. Con riguardo ai primi due quesiti pregiudiziali sottoposti al suo esame, le statuizioni della Grande Camera si pongono in linea di pressoché totale continuità con i precedenti dicta, limitandosi a richiamarne i principi di diritto già enucleati in materia e a svilupparne le logiche implicazioni. Postulato di fondo della trama argomentativa alla base dell’interpretazione costituzionale dell’art. 15, par. 1, Direttiva e-privacy è ancora una volta il principio di proporzione, criterio cardine del vaglio di legittimità delle ingerenze nella sfera dell’individuo, formalizzato nel Titolo VII della Carta UE (art. 52, par. 1), alla stregua del quale calibrare il grado di comprimibilità dei diritti fondamentali [19], come quelli di cui agli artt. 7, 8 e 11 di detta Carta, coinvolti dalla data retention [20]. Proprio prendendo l’abbrivio dal test tripartito (cd. “a tre gradini”) in cui si declina detto principio, la Grande Camera ribadisce, quanto alle ragioni legittimanti l’accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica, da un canto, che detto accesso «può essere giustificato soltanto dall’obiettivo di interesse generale per il quale tale conservazione [continua ..]
» Per l'intero contenuto effettuare il login inizio
4. Il contrasto della disciplina interna con gli standard garantistici enucleati dalla Corte di giustizia: la scelta di esautorare l’organo giurisdizionale dalla procedura di accesso ai tabulati telefonici e telematici
Innegabili, e dirompenti, sono le ripercussioni della sentenza H.K. c. Prokuratuur sull’assetto normativo interno - risultante all’esito della riforma operata con il d.lgs. 30 maggio 2008, n. 109, attuativo della direttiva 2006/24/CE, ed in parte riformulato dal d.lgs. 10 agosto 2018, n. 101 - di cui viene confermata, sia pure indirettamente, l’incompatibilità con il diritto UE, anche, sotto il profilo specifico della legittimazione esclusiva del pubblico ministero a disporre l’acquisizione dei dati relativi al traffico telefonico e telematico, oltreché motu proprio, «anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private» (art. 132, comma 3, codice Privacy). La Grande Camera ha, infatti, definitivamente sconfessato, ribaltandolo, l’assunto tradizionale ed ormai tralatizio, alla luce del crescente ed inarrestabile progresso tecnologico, della modesta capacità invasiva della metodologia di indagine de qua. Assunto, prima, recepito dal Giudice delle leggi [40] ed assecondato fino alle estreme conseguenze dalla successiva giurisprudenza di legittimità [41]; poi, addotto dal legislatore a presupposto giustificativo del regime di tutela soft e meno garantista confluito nell’art. 132 codice Privacy. Proprio sulla base dell’asserita ridotta aggressività dell’archiviazione ed accesso ai [continua ..]
» Per l'intero contenuto effettuare il login inizio
5. (Segue). Le altre criticità dello jus conditum nei momenti della conservazione e della acquisizione
Ulteriori sono i profili di attrito della normativa interna, tutt’ora recepita dall’art. 132 codice Privacy, con il diritto UE, nella lettura datane dalla Corte di Lussemburgo, sia sul versante del regime sistematico ed indiscriminato di archiviazione, sia su quello delle modalità e dei limiti teleologici all’acquisizione dei dati relativi al traffico telefonico e di quelli di ubicazione. Per quanto attiene il momento della conservazione, si pone in evidente attrito con il canone di proporzione non solo la raccolta generalizzata (a “random”) di tutti i dati di traffico e di ubicazione generati dalle comunicazioni via telefono, da internet o dalle chiamate senza risposta, estesa a tutti gli abbonati e/o utenti registrati, senza limiti o eccezioni di sorta, dei quali viene così presunta la pericolosità e, dunque, tale da innescare un deprecabile automatismo; ma, altresì, l’esorbitante innalzamento dei tempi di conservazione previsto, in deroga alle cornici temporali fissate dall’art. 132, commi 1 e 1-bis, codice Privacy, dal comma 5-bis dello stesso articolo, come interpolato dall’art. 11 del d.lgs. n. 101 del 2018, che ha «fatt[o] salva la disciplina di cui all’art. 24 della legge 20 novembre 2017, n. 167» (cd. legge europea 2017). Sotto quest’ultimo profilo, vero è che intenzione del legislatore era quella di introdurre un regime binario di [continua ..]
» Per l'intero contenuto effettuare il login inizio
6. Quali prospettive?
Solo un intervento novellatore del legislatore rivolto a colmare i vuoti normativi e a sanare i profili di frizione della disciplina interna con il diritto europeo, in aderenza agli standard garantistici enucleati - e ribaditi in ben cinque pronunce - dalla Corte di giustizia, può arginare siffatte interpretazioni antiformalistiche del canone di proporzione elusive del principio di legalità processuale [61]. Un ripensamento dell’istituto, non più procastinabile, in seguito all’ultimo approdo del diritto vivente eurounitario, che ha ratificato indirettamente ma in modo definitivo - se mai residuassero ancora dubbi al riguardo - l’illegittimità dell’art. 132 codice Privacy. Nel contesto di un complessivo riordino della materia, lungo le coordinate segnate dai princìpi di legalità, proporzione e giurisdizione, sarebbe, poi, opportuno predisporre non solo un più corretto inquadramento sistematico di questa metodologia di indagine all’interno dei mezzi di ricerca e assicurazione della prova [62]; ma, altresì, un assetto normativo unitario in materia di strumenti di captazione dei dati di traffico e di ubicazione, uniformando al regime relativo all’acquisizione ex post dei dati in questione quello dell’acquisizione dinamica dei dati relativi all’ubicazione del dispositivo di telefonìa mobile (o tracciamento dell’utenza telefonica mobile), ancora [continua ..]
» Per l'intero contenuto effettuare il login inizio
NOTE
Ventuno