Accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica: il parere della CGUE

Massima

In caso di controllo preventivo a seguito di una richiesta motivata di accesso ai dati relativi al traffico o relativi all'ubicazione, conservati dai fornitori di servizi di comunicazione elettronica, ex art. 132, d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), il giudice può autorizzare l'accesso qualora sia richiesto per l'accertamento di reati puniti con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di reato e i dati siano rilevanti per l'accertamento dei fatti, a condizione, tuttavia, che il giudice abbia la possibilità di negare l'accesso qualora si tratti di un'indagine vertente su un reato non grave, alla luce delle condizioni sociali esistenti nello Stato.

Il caso

Il quesito sottoposto alla Corte di giustizia trae origine da una questione interpretativa sollevata in via pregiudiziale ex art. 267 TFUE dal giudice per le indagini preliminari di Bolzano, il quale nutriva dubbi sulla compatibilità dell'art. 132, comma 3, d. lgs. 30 giugno 2003, n. 196 con l'art. 15, par. 1, direttiva 2002/58/CE, così come interpretato dalla Corte di giustizia.

In particolare, il giudice segnalava come la Corte di giustizia, nella celebre sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18, ECLI:EU:C:2021:152, avesse giustificato l'ingerenza nella sfera privata della persona – a causa dell'accesso delle autorità pubbliche all'insieme di dati relativi al traffico ed all'ubicazione delle comunicazioni informatiche – solamente quando le informazioni sono destinate a perseguire gravi reati, quali minacce gravi alla sicurezza pubblica, intesa quale quella allo Stato, e altre gravi forme di criminalità.

A seguito di tale orientamento, il legislatore italiano modificava l'art. 132, comma 3, d. lgs. 30 giugno 2003, n. 196, rendendo acquisibili i tabulati telefonici per i reati puniti con la reclusione non inferiore nel massimo a tre anni.

La soglia individuata per la gravità dei reati era considerata non congrua dal giudice rimettente siccome è tale da ricomprendere anche reati che destano scarso allarme sociale e che sono puniti solo a querela di parte.

Tale circostanza avrebbe quale effetto la violazione del principio di proporzionalità di cui all'art. 52, par. 1, Carta dei diritti fondamentali dell'Unione europea, il quale impone un bilanciamento tra la gravità del reato perseguito e i diritti fondamentali che si sacrificano per il suo perseguimento.

Di conseguenza, i giudici non disporrebbero di un margine di valutazione relativo alla concreta gravità del reato oggetto di indagine, poiché la norma cristallizzerebbe un criterio oggettivo.

La questione

In estrema sintesi, la Corte di giustizia è stata chiamata a rispondere al seguente quesito: se l'art. 15, par. 1, direttiva 2002/58/CE, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, par. 1, della Carta dei diritti fondamentali dell'Unione europea, debba essere interpretato nel senso che esso osta a una disposizione nazionale con la quale si impone al giudice nazionale di autorizzare l'accesso ai dati relativi al traffico o ai dati relativi all'ubicazione, qualora quest'ultimo sia richiesto ai fini dell'accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni.

La soluzione giuridica

L'art. 15, par. 1, direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, letto alla luce degli artt. 7, 8 e 11 nonché dell'art. 52, par. 1, Carta dei diritti fondamentali dell'Unione europea, dev'essere interpretato nel senso che esso non osta a una disposizione nazionale che impone al giudice nazionale - allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell'utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un'autorità nazionale competente nell'ambito di un'indagine penale - di autorizzare tale accesso qualora quest'ultimo sia richiesto ai fini dell'accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l'accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest'ultimo è richiesto nell'ambito di un'indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato.

Secondo la Corte di giustizia, la grave ingerenza nei diritti fondamentali relativi al rispetto della vita privata e familiare nonché della protezione dei dati di carattere personale, di cui agli artt. 7 e 8 della Carta dei diritti fondamentali dell'Unione europea derivante dall'accesso delle autorità pubbliche ai dati relativi al traffico o all'ubicazione si giustifica soltanto qualora gli elementi conoscitivi siano richiesti ed ottenuti per fini di lotta contro le gravi forme di criminalità o di prevenzione di gravi minacce alla sicurezza pubblica.

Tali dati permettono di trarre precise conclusioni sulla vita privata delle persone interessate e, pertanto, non ne è consentita una conservazione generalizzata e indifferenziata, né può incidere il periodo per il quale viene richiesto l'accesso o altri fattori attinenti alla proporzionalità della domanda.

I singoli Stati membri sono tenuti a prevedere una disciplina chiara e precisa che individui le condizioni alle quali i fornitori di servizi di comunicazione elettronica devono trasmettere alle autorità nazionali competenti i dati di cui dispongono.

È, inoltre, indispensabile che l'accesso ai dati sia subordinato a un controllo preventivo effettuato o da un giudice o da un'entità amministrativa indipendente, salvo in casi di urgenza.

Per quanto attiene alla gravità del reato, la Corte osserva come la definizione dei reati varia non solo nel tempo, ma anche tra Stati membri: nella determinazione dei reati considerati gravi rivestono una indubbia importanza sia le realtà sociali sia le tradizioni giuridiche.

Pur considerando tali fattori, gli Stati membri sono comunque chiamati ad individuare i reati gravi nel rispetto dei dettami dei Trattati e delle regole di diritto derivato dell'Unione europea.

In particolare, non è consentito snaturare il concetto di “reato grave” mediante l'inclusione di fattispecie non gravi alla luce delle condizioni sociali esistenti nello Stato membro interessato – sebbene il legislatore di tale Stato membro abbia previsto di punirli con la pena della reclusione non inferiore nel massimo a tre anni – né è consentito individuare una soglia eccessivamente bassa.

Per tale via, si perviene alla conclusione che, con il riferimento alla pena della reclusione non inferiore nel massimo a tre anni, l'Italia non ha individuato una soglia eccessivamente bassa.

Tuttavia, seppure non contraria al principio di proporzionalità, da sola, tale soglia non è indice di reati rientranti nell'alveo della criminalità grave.

Di conseguenza, il giudice deve poter svolgere una valutazione in concreto in merito alla gravità del reato. Ciò consente di poter negare o limitare l'accesso ai dati qualora si constati che l'ingerenza nei diritti fondamentali che un tale accesso costituirebbe è grave, mentre risulta evidente che il reato non rientri effettivamente nella criminalità grave.

Osservazioni

Ancora una volta, la Corte di giustizia è chiamata a pronunciarsi sulla corretta interpretazione dell'art. 15, par. 1, direttiva 2002/58/CE, al fine di individuare il giusto equilibrio tra interessi contrapposti: le esigenze di accertamento dei reati, da una parte; il rispetto dei diritti fondamentali, quale il diritto alla vita privata ed alla protezione dei dati personali, dall'altra.

La Corte di Lussemburgo ha maturato una discreta sensibilità nei confronti di tali tipologie di dati di comunicazione conservati e prodotti dai prestatori di servizi, in quanto sia i dati relativi al traffico sia i dati relativi all'ubicazione sono idonei a permettere di trarre precise conclusioni sulla vita privata di un utente di un mezzo di comunicazione elettronica.

Ai sensi dell'art. all'art. 1, lett. d) della Convenzione sulla criminalità informatica, per dato informatico si intende «qualunque rappresentazione di fatti, informazioni o concetti in forma suscettibile di essere utilizzata in un sistema computerizzato, incluso un programma in grado di consentire ad un sistema computerizzato di svolgere una funzione».

Del tutto evidente il loro impatto nel processo penale – che ne risulta influenzato dagli aspetti telematici – a causa della rilevanza probatoria che possono assumere.

Sul punto, la “Guida alla prova digitale” del Consiglio d'Europa definisce prove digitali le «informazioni generate, memorizzate o trasmesse mediante dispositivi elettronici che possono essere utilizzate in giudizio».

In linea con quanto stabilito dall'art. 4, par. 1, n. 1, Regolamento (UE) 2016/679, rappresentano un dato personale, atteso che si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Nell'ottica di un bilanciamento tra diritti contrapposti si apprezza l'approdo a cui è pervenuta la Corte, la quale insiste nel proporre all'Italia un metodo di interpretazione non affatto di secondo ordine.

Il riferimento è alla valutazione in concreto a cui è chiamato il giudice in merito alla gravità del reato, da compiere alla luce delle condizioni sociali esistenti nello Stato.

Con ciò si evita l'appiattimento sul criterio oggettivo individuato ex ante dal legislatore e rappresentato dall'insieme di reati puniti con la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, nonché dai reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono.

Così, per l'autorizzazione all'ostensione dei dati di cui all'art. 132, d.lgs. 30 giugno 2003, n. 196, sarebbe necessaria la sussistenza di quattro presupposti: tre di matrice legislativa, uno di creazione giurisprudenziale.

Per poter ritenere rispettata la disciplina europea, alla valutazione relativa alla sufficienza degli indizi di reati, alla rilevanza per l'accertamento dei fatti ed al criterio oggettivo, si affianca la verifica della grave forma di criminalità, da svolgere in concreto, alla luce delle condizioni sociali esistenti nello Stato.

Si tratta di un approdo che consente fecondi spunti di riflessione sull'attuale significato assunto dal principio di legalità, sulla discrezionalità dei giudici, sulla giurisprudenza creativa, sui nuovi paradigmi e sull'etica del giudizio, sull'assetto dei diritti fondamentali nel settore delle comunicazioni e delle nuove tecnologie.

Riferimenti

CGUE, Grande Sezione, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18, EU:C:2021:152

CGUE, Grande Sezione, sentenza del 21 marzo 2023, Mercedes-Benz Group (Responsabilità dei produttori di veicoli muniti di impianti di manipolazione), C‑100/21, EU:C:2023:229

CGUE, Nona Sezione, sentenza del 14 dicembre 2023, Getin Noble Bank (Termine di prescrizione delle azioni di restituzione), C‑28/22, EU:C:2023:992

CGUE, Prima Sezione, sentenza del 14 dicembre 2023, Sparkasse Südpfalz, C‑206/22, EU:C:2023:984

CGUE, Quinta Sezione, sentenza del 17 novembre 2022, Harman International Industries, C‑175/21, EU:C:2022:895

CGUE, Grande Sezione, sentenza del 26 febbraio 2019, Rimšēvičs e BCE/Lettonia, C‑202/18 e C‑238/18, EU:C:2019:139

CGUE, Grande Sezione, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258

CGUE, Grande Sezione, sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491