Articolo 132 del codice privacy: Arlecchino servitore di due padroni?
Articolo di Andrea Rossi
Le continue modifiche alla data retention nazionale
Commentare l’articolo 132 del Codice in materia di protezione dei dati personali è una questione complicata dalla sua anomala e tormentata variabilità testuale: dalla sua pubblicazione nella Gazzetta ufficiale della Repubblica, infatti, non sono passati neanche 19 anni e le note a margine dell’ultima versione dell’articolo evidenziano già 6 modifiche, a cui vanno aggiunte quelle intervenute in sede di conversione di alcuni decreti legge, i regimi temporanei non più in vigore e le variazioni concernenti norme strettamente collegate.
Il motivo di questa peculiarità, che richiama alla mente la celebre commedia di Goldoni che vede Arlecchino protagonista, risiede nelle opposte esigenze da bilanciare all’interno della disposizione: sicurezza – che implica necessità di avere ampio e rapido accesso ad informazioni utili all’accertamento delle responsabilità ed alla prevenzione degli illeciti - e tutela dei dati personali. Si è così assistito ad una legislazione a “strappi”, con l’alternarsi di prescrizioni normative finalizzate alla tutela della riservatezza con altre, invece, orientate a garantire maggiori strumenti a disposizione degli apparati investigativi e di sicurezza. A monte, incombe la produzione normativa dell’Unione europea declinata attraverso numerose ed incisive pronunce della Corte di giustizia dell’Unione (la più recente delle quali ha ribadito lo scorso 4 aprile i limiti entro cui è ammessa la conservazione dei metadati, dichiarando l’invalidità di talune disposizioni irlandesi del 2011 ritenute non conformi al diritto dell’Unione).
In ultima analisi, un approfondimento sulla data retention rischia concretamente di essere valido pochi mesi o addirittura pochi giorni e per questo motivo ho atteso un po’ prima di fare il punto della situazione, interessata negli ultimi tre mesi del 2021 da ben quattro provvedimenti normativi (2 decreti legge con le relative leggi di conversione, l’ultima delle quali datata 3 dicembre 2021.
La pronuncia della Corte di giustizia dell’UE sul potere di acquisizione del pubblico ministero estone
Se l’ultima modifica in ordine cronologico dell’art 132 del Codice privacy ha riguardato solo il tipo di provvedimento con il quale il Garante prescrive le misure e gli accorgimenti da adottare nella conservazione dei dati esterni alle comunicazioni, ben più incisivo è quanto prescrive il decreto-legge n. 132/2021, in vigore dal 30 settembre 2021, poi convertito, con modificazioni, dalla legge 23 novembre 2021, n. 178.
Come di frequente accade in materia di privacy, tale intervento del legislatore è strettamente connesso a quanto enunciato dalla Grande Sezione della C.G.U.E. nella sentenza del 2 marzo 2021, causa C-746/18, con la quale si è ribadito che:
- in linea generale, il diritto dell’Unione è contrario ad una conservazione generalizzata e indifferenziata dei dati di traffico, a tutela del principio di riservatezza;
- è ammissibile una deroga a tale principio solo per salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica e per finalità di lotta contro la criminalità grave (oltre all'uso non autorizzato del sistema di comunicazione elettronica);
- l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato ad un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente, a garanzia della legittimità dell’acquisizione.
Si tratta di un filo logico seguito dalla Corte a partire dalla dichiarazione di invalidità nel 2014 della Direttiva 2006/24/CE (conosciuta anche come Data retention directive o Direttiva Frattini) con una importante estensione della sua portata con la successiva sentenza del 21 dicembre 2016 Tele2 Sverige/Watson.
Quest’ultima, infatti, è incentrata, essendo caduta la Direttiva Frattini, sulla precedente Direttiva 2002/58/CE: lì però è assente la limitazione, nell’accesso ai dati esterni conservati, alla sola criminalità “grave” che caratterizzava, invece, proprio la direttiva invalidata, ma la Corte ne ribadisce la sussistenza al di là del dato testuale, giustificandola genericamente con la “gravità dell’ingerenza nei diritti fondamentali che tale accesso determina”.
Fatta questa premessa, nella sentenza relativa alla causa C-746/18 la Corte, nel passare al vaglio alcune disposizioni normative dell'Estonia, approfondisce un aspetto che in precedenza era stato oggetto solo di indicazioni di carattere generale, cioè la competenza del pubblico ministero ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico ai fini di un’istruttoria penale.
Il requisito dell’indipendenza, in questo contesto, implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale; secondo la Corte il pubblico ministero estone, che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale, non ha queste caratteristiche.
La circostanza che il pubblico ministero sia tenuto a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente a conferirgli lo status di terzo e, pertanto, la Corte non ha ritenuto compatibili con la normativa europea le disposizioni legislative dell’Estonia che regolano l’autorizzazione all’accesso di un’autorità pubblica ai dati relativi al traffico.
La pronuncia della Corte di giustizia dell’UE C-746/18 e i riflessi sull’accesso ai metadati in Italia
L’esito della causa non poteva non interessare anche il nostro assetto normativo, che prevede un potere di accesso ai dati conferito proprio al pubblico ministero, cosicché, pochi giorni dopo la pronuncia, in un procedimento aperto presso il Tribunale di Rieti per delitti contro il patrimonio in cui erano stati acquisiti dati ricavati da tabulati telefonici, le difese ne hanno eccepito l’inutilizzabilità processuale.
Va segnalato che la nostra Corte di Cassazione aveva già esaminato in precedenza la questione della legittimità del potere attribuito al pubblico ministero ed ha sempre ravvisato la compatibilità della disciplina italiana di acquisizione dei tabulati rispetto alla normativa sovranazionale fissata con le direttive n.2002/58/CE e 2006/24/CE in tema di tutela della privacy, per come interpretate dalla giurisprudenza della Corte di Giustizia dell'Unione Europea.
Il Tribunale di Rieti, oltre a richiamare il citato indirizzo della Corte di Cassazione, ha sottolineato alcune sostanziali differenze tra le due figure di p.m., ma ha ravvisato una possibile assimilazione “funzionale” tra il pubblico ministero estone e quello italiano e, pertanto, ha proposto una questione pregiudiziale alla Corte di Giustizia dell’Unione europea per chiarire se il p.m., come disegnato dall’ordinamento italiano, offra sufficienti garanzie di giurisdizionalità per continuare ad essere titolare in proprio del potere di acquisizione dei tabulati.
Ben presto si è intuito che non era opportuno aspettare la pronuncia sulla questione pregiudiziale, con il rischio di conseguenze negative sui numerosissimi procedimenti penali in corso caratterizzati da tabulati acquisiti a seguito di decreto del p.m., anche perché era presente un ulteriore elemento di evidente contrasto con indicazioni della Corte di giustizia europea; la legislazione italiana infatti non limitava l’acquisizione dei dati esterni alle comunicazioni alle sole finalità di lotta contro la criminalità grave, prevedendo solo un prolungato periodo di conservazione (rectius: di acquisizione) per alcune più gravi tipologie di reato.
Il nuovo testo dell’art. 132 comma 3 del codice privacy
Si è così giunti a riformulare con d.l n. 132/2021 e la sua legge di conversione, il comma 3 dell’art. 132, che attualmente statuisce:
“3. Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell' articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l'accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell'imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private”.
È stata inoltre inserita al comma 3-bis una procedura d’urgenza, ovvero la possibilità per il pubblico ministero, quando ricorrono ragioni di urgenza, di disporre l'acquisizione dei dati con decreto motivato comunicato entro quarantotto ore al giudice competente per il rilascio dell’autorizzazione in via ordinaria.
Nel complesso, le nuove modalità di acquisizione non sono molto dissimili da quelle previste per le intercettazioni, anche se, in virtù della più penetrante intrusione nella sfera privata dell’interessato, queste ultime riguardano un più ristretto novero di fattispecie, sono ammesse solo in presenza di gravi indizi di reato (invece dei “sufficienti indizi” richiesti per l’acquisizione) e le intercettazioni devono essere assolutamente indispensabili ai fini della prosecuzione delle indagini (invece che solo “rilevanti per l'accertamento dei fatti.”).
Il tipo di provvedimento adottato dal GIP ai sensi dell’art 132 co. 3 codice privacy e la sua comunicazione al fornitore dei servizi telefonici e telematici
La formula adottata in sede di conversione ha chiarito che il provvedimento del giudice è di tipo autorizzatorio, teso quindi a rimuovere un limite ad un potere di acquisizione che viene esercitato nei confronti del fornitore dei servizi direttamente dal pubblico ministero o dal difensore con autonoma richiesta; con essa è da escludere la notifica in forma integrale del decreto autorizzativo emesso dal G.I.P., il cui contenuto potrebbe rivelare ai dipendenti del fornitore dei servizi telefonici e telematici l’identità degli indagati e le attività investigative in corso ed, anzi, è da ritenersi sufficiente la mera indicazione del numero del provvedimento autorizzatorio del G.I.P.
Le critiche alla soluzione adottata per rendere conforme l’acquisizione dei metadati al quadro normativo comunitario come interpretato dalla Corte di giustizia dell’UE.
Non sono mancate critiche alla soluzione adottata dal legislatore, sia per un vizio di costituzionalità per mancanza di omogeneità del nuovo decreto-legge, sia per l’aggravio di procedura che inevitabilmente deriva dalla modifica introdotta, dettata, come affermato nel preambolo del provvedimento, proprio allo scopo rispettare i principi enunciati dalla Grande Sezione della C.G.U.E. nella sentenza C-746/18 del 2 marzo 2021, che forse dovevano essere vagliati con maggiore attenzione. La Corte, infatti, anche in questa occasione ha messo in primo piano la tutela della riservatezza, sottovalutando l’esigenza di sicurezza ed il ruolo cruciale di questi dati per l’accertamento delle responsabilità, al punto che, pur seguendo argomentazioni formalmente rigorose, si è trovata a tutelare la privacy del malvivente, individuato grazie ai tabulati telefonici acquisiti dal p.m., invece che quella della sua vittima (che pure aveva subito un danno rilevante a seguito del trattamento illecito dei dati personali della propria carta di credito).Peraltro, la delimitazione alla sola criminalità “grave” delle ipotesi in cui è possibile acquisire i dati esterni alle comunicazioni non riduce affatto il numero di dati conservati e gli interessati a cui si riferiscono (non possono prevedersi in anticipo i legami reato - comunicazione e i soggetti coinvolti, dovranno conseguentemente essere conservati i metadati di tutte le comunicazioni) e quindi non ci sono minori rischi di perdita o trattamento illecito; la capacità di ricerca della prova, invece, viene considerevolmente ridotta e, con essa, la possibilità di individuazione del responsabile della violazione.
Fattispecie qualificabili come “criminalità grave” e criticità conseguenti ai limiti di acquisizione dei dati esterni alle comunicazioni.
Ad ogni modo, per circoscrivere nel nostro ordinamento le fattispecie da qualificarsi “criminalità grave” è stato utilizzato, in primo luogo, un criterio qualitativo che fa riferimento al tipo di pena prevista - ergastolo o reclusione – ed, in seconda battuta, un criterio quantitativo, relativo alla durata della reclusione - non inferiore nel massimo a tre anni. Sono state fatte due eccezioni per fattispecie che sarebbero rimaste altrimenti escluse utilizzando i criteri generali: si tratta dei reati di minaccia (un delitto che nella forma grave è sanzionato con un massimo di un anno di reclusione) e della contravvenzione di cui all’art. 660 c.p., cioè la molestia o il disturbo alle persone col mezzo del telefono, solo però quando la minaccia, la molestia e il disturbo sono gravi.
Chiarito dal legislatore il criterio di distinzione da utilizzare, è possibile approfondire quali conseguenze comporta l’esclusione di molte fattispecie dalla possibilità di accesso ai dati.
In primo luogo, a causa della diversa tipologia di sanzione che le caratterizza (arresto o ammenda) è evidente che non sono più ammessi tabulati per accertamenti concernenti le contravvenzioni, con la sola parziale eccezione dell’art 660 c.p. sopra citato. Ad esse vanno poi aggiunti diversi delitti: si tratta di un cospicuo numero di condotte per le quali l’individuazione del responsabile diventa sicuramente più complessa o, più realisticamente, è un’ipotesi remota se ci si è avvalsi della rete, come spesso accade, per realizzare la violazione.
Emblematico è il caso di un trattamento di dati personali illecito per eccellenza, cioè la sostituzione di persona, vera e propria fattispecie spia in Internet di ulteriori reati in corso di preparazione: la nuova formulazione dell’art. 132 cod privacy farà sì che innumerevoli violazioni all’art 494 c.p., come quelle relative di profili o account a nome altrui, saranno destinate quasi certamente a rimanere impunite, a meno che il responsabile utilizzi ulteriormente i dati di terzi in un contesto criminoso che presenti i requisiti minimi per acquisire i tabulati.
Ritengo particolarmente grave l’impossibilità di ottenere i metadati in caso di accesso intenzionale e senza giustificato motivo a materiale pornografico realizzato utilizzando minori degli anni diciotto (Art. 600-quater comma 2), in quanto la possibilità di ottenerli ipotizzando anche la presenza della più grave fattispecie prevista dal primo comma, per quanto in alcuni casi sia realistica, non può certo ricorrere in ogni occasione.
Argomentazioni analoghe possono essere fatte per molti delitti che vedono nella rete il principale terreno d’azione, come le rivelazioni colpose di segreti d’ufficio realizzate, per esempio, inviando informazioni a soggetto di cui non si è vagliata con attenzione la reale identità (art. 326, comma 2 c.p.) o quelle dolose se il fine è un ingiusto profitto non patrimoniale o il cagionare un danno ingiusto (art. 326 comma 3), il rifiuto o l’omissione di atti d’ufficio (art. 328 c.p.), l’interruzione di un servizio pubblico o di pubblica necessità (art. 331) le diffamazioni non aggravate di cui all’art. 595 c.p. (ad es. attraverso l’invio di mail a più destinatari), la diffusione di programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (l’art. 615-quinquies c.p.).
L’elenco delle fattispecie interessate è ampio ed include perfino delitti contro la personalità dello Stato come la rivelazione colposa di notizie di cui sia stata vietata la divulgazione (art.262 c.p.) o l’assistenza ai partecipi di cospirazione o di banda armata (art. 307 c.p.).
Quali modalità di acquisizione per le subscriber information?
È stato ipotizzato che esulino dal novero dei dati di traffico tutti i dati che consentono di risalire alla mera identificazione dell’utente registrato che ha generato quell’attività sulla rete e che, a questi ultimi, non si applichi la nuova disciplina in materia di acquisizione di tabulati dettata dall’art. 132 D.Lgs. n. 196/2003, con la conseguenza che l’acquisizione dei files di log IP sia tuttora consentita al P.M. mediante l’emanazione di un semplice decreto di esibizione ex art. 256 c.p.p. Si tratterebbe delle subscriber information che consentono di rintracciare e identificare il soggetto registrato presso un servizio di accesso o di comunicazione e la fonte da cui han avuto origine una comunicazione (identificativo unico, indirizzo di protocollo interne IP, numero telefonico assegnato, nome e indirizzo dell’abbonato o dell’utente, data e ora del log-in). A tal proposito, la C.G.U.E. ha precisato, in più occasioni (compresa la sentenza 2 marzo 2021, causa C-746/18, H.K., che ha dato origine alla riforma dell’art. 132 D.Lgs. n. 196/2003 ad opera proprio del D.L. n.132/2021) che «le misure legislative riguardanti il trattamento dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica come tali, e segnatamente la conservazione di tali dati e l’accesso agli stessi, al solo scopo di identificare l’utente interessato, e senza che tali dati possano essere associati ad informazioni relative alle comunicazioni effettuate, possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale, al quale fa riferimento l’articolo 15, paragrafo 1, prima frase, della Direttiva 2002/58.”
Se tuttavia si vuole risalire all’identità di un utilizzatore di un servizio di accesso o di comunicazione nella quasi totalità dei casi si avrà a disposizione un IP “dinamico” – cioè un ip assegnato ad ogni accesso in maniera casuale tra quelli di cui dispone il provider – ed inevitabilmente, per conoscere l’identità dell’utente in questione, sarà necessario far riferimento ad una determinata comunicazione alla quale è stato abbinato l’IP, con l’ovvia conseguenza che, ricorrendone i presupposti, sarà necessario un provvedimento autorizzatorio del GIP per l’acquisizione. Soltanto se all’abbonato sia stato assegnato un ip “fisso”, non modificabile quindi ad ogni connessione, sarà ammissibile una semplice decreto del p.m. per conoscere il relativo intestatario. Un'altra ipotesi in cui non sarà necessario ricorrere alla procedura indicata dall'articolo 132 del codice privacy, sarà quella in cui si voglia acquisire i nominativi di uno o più contraenti di un provider che fornisce accesso alla rete; ad ogni modo, in entrambi i casi si tratta di informazioni raramente determinanti in ambito investigativo.
Il diverso indirizzo interpretativo della Corte di giustizia dell’UE a tutela delle vittime di violazioni in materia di diritto d’autore
Una volta chiariti i ristretti limiti in cui è ammessa l’acquisizione, ne consegue che, come chiarito in un provvedimento del Garante Privacy del 19 settembre 2007, i fornitori di servizi su una rete pubblica di comunicazione non dovranno dar corso a richieste relative a dati esterni alle comunicazioni, anche se provenienti da un’autorità giudiziaria, volte a perseguire ulteriori scopi, quali quelli legati ad esigenze probatorie nel processo civile, del lavoro, amministrativo e tributario.
Pur considerando le ulteriori possibilità di conservazione di cui all’art 123 cod. privacy, queste limitazioni hanno un notevole impatto negativo in un mondo che vede un continuo ampliamento delle comunicazioni digitali, a tal punto che la stessa CGUE già dal 2017 ha sostanzialmente modificato la sua tendenza ad una rigorosa difesa della privacy al fine di tutelare più efficacemente le vittime di violazioni in materia di diritto d’autore, arrivando, più di recente, a ribaltare il divieto di monitoraggio da parte dei privati e l’impossibilità di acquisizione dai provider di dati personali (migliaia di indirizzi IP dinamici clienti di un access provider che avevano condiviso illegittimamente, su una rete peer-to-peer, film facenti parte del proprio catalogo).
Si tratta di un notevole passo in direzione di valutazioni più equilibrate delle esigenze di utilizzo dei metadati, tuttavia in materia è sempre più sentita l’esigenza di una nuova direttiva europea atta a sgomberare le incertezze derivanti da interpretazioni limitate alle singole questioni poste all’esame della CGUE e ad evitare difformità nelle normative nazionali.
Andrea Rossi