Lo scenario

Data Retention a fini di giustizia, perché il Garante privacy chiede una riforma

Il Garante privacy italiano ha chiesto al Governo di valutare se sia possibile attuare una riforma della disciplina sulla conservazione dei dati di traffico telefonico e telematico: la normativa al momento prevede la possibilità di conservare fino a 72 mesi tali informazioni

06 Ago 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Disallineamento con le regole europee e problemi di ordine pratico nelle norme italiane sulla data retention: il Garante privacy italiano a inizio agosto ha dato atto di aver chiesto al Parlamento e al Governo di valutare l’opportunità di una riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia.

La normativa, che oggi è contenuta nell’art. 132 del Codice privacy e nell’art. 24 della Legge 20 novembre 2017, n. 167 (che spinge fino a 72 mesi il termine di conservazione dei dati di traffico telefonico e telematico) è ritenuta inadeguata dall’Autorità Garante, che ne ha più volte sollecitato la modifica.

Data retention, la pronuncia della CGUE

Quest’ultima richiesta del Garante poggia però su un significativo precedente giurisprudenziale, ovvero la Sentenza della Corte di Giustizia dell’Unione europea nella causa C-746/18, resa lo scorso 2 marzo che, con riferimento ad un procedimento penale celebrato in Estonia, ha affermato che non può essere il P.M che dirige le indagini ad “autorizzare” (o, meglio, ad “autorizzarsi”) ad accedere ai dati conservati dagli operatori, ma tale autorizzazione deve essere decisa da un soggetto terzo rispetto a quello che chiede l’accesso ai dati, di modo che venga esercitato un controllo obiettivo ed imparziale (al riparo da influenze esterne) circa la legittimità e proporzionalità dell’accesso rispetto ai fini perseguiti.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

E la normativa italiana, ad oggi, non prevede -come quella estone- questo controllo da parte di un soggetto terzo ed imparziale rispetto al richiedente (l’accesso avviene con decreto motivato del P.M.). Oltre a questo problema c’è quello del tempo di conservazione dei dati di traffico.

Conservazione dati di traffico da parte degli operatori tlc: i paletti della Corte di Giustizia UE

La sentenza Digital Rights Ireland

Come ricorda infatti il Garante nella segnalazione, già nel 2014 la Corte di Giustizia UE aveva esplicitamente manifestato la propria rigida interpretazione dei principi comunitari in tema di data retention, ed infatti nella sentenza Digital Rights Ireland dell’8 aprile 2014 (cause riunite C-293/12 e C-594/12), la Corte di giustizia ha dichiarato l’illegittimità della direttiva 2006/24/Ce per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza.

Allora il problema della direttiva, censurato dalla Corte, era proprio quello della previsione di misure di conservazione dei dati applicabili in via indifferenziata e generalizzata a tutti i cittadini, peraltro in difetto di garanzie sufficienti ad arginare potenziali abusi.

La normativa italiana sulla data retention

Alla luce della giurisprudenza europea i problemi della normativa italiana sono quindi plurimi ed evidenti. Da un lato è previsto dall’art. 132 del Codice privacy che il P.M. può autorizzare in autonomia (con decreto motivato) l’accesso ai tabulati, mentre sarebbe necessario prevedere il potere di concedere l’accesso in capo ad un’autorità indipendente rispetto a quella che sta effettuando le indagini, come ad esempio il G.I.P. ovvero (meglio) un’autorità amministrativa indipendente.

Dall’altro lato i termini della data retention hanno subìto una inedita espansione nel 2017. Mentre l’art. 132 del Codice privacy prescrive un termine di conservazione dei dati di 24 mesi per il traffico telefonico, di 12 mesi per il traffico telematico e di soli 30 giorni per i dati relativi alle chiamate senza risposta, l’art. 167 della Legge 167/2017 ha enormemente esteso questi termini, portandoli a ben 72 mesi (6 anni) sia che si tratti di traffico telefonico, sia che si tratti di traffico telematico, sia infine che si tratti di dati relativi alle chiamate senza risposta.

L’accesso ai dati conservati oltre i termini “ordinari” di cui all’art. 132 Cod. privacy è però possibile solamente se l’indagine riguardi reati particolarmente gravi, come quelli di competenza delle Procure distrettuali (criminalità organizzata, mafia, terrorismo). Il problema è che, per consentire l’accesso ai P.M. ai tabulati nei casi di reati particolarmente gravi, gli operatori devono conservare i tabulati di tutti per sei anni.

Il legame con il contrasto al terrorismo

Ma qual è il motivo dietro questo ampliamento temporale della conservazione dei tabulati? La ragione è (o, meglio, dovrebbe essere) l’art. 20 della Direttiva UE n. 2017/541 sulla lotta al terrorismo. L’articolo in esame però non prescrive certo una simile estensione della conservazione dei tabulati, ma anzi dice solo che dli Stati membri devono adottare le misure necessarie affinché le persone, le unità o i servizi incaricati delle indagini o dell’azione penale per i reati di terrorismo dispongano di strumenti di indagine efficaci, “quali quelli utilizzati contro la criminalità organizzata o altre forme gravi di criminalità”.

La normativa europea chiedeva quindi, in sostanza, all’Italia di parificare gli strumenti di indagine per terrorismo a quelli a disposizione degli inquirenti per il contrasto alla criminalità organizzata, ma il legislatore nostrano ne ha approfittato per estendere il tempo di conservazione dei tabulati ad un termine ben poco giustificabile di sei anni (e che in realtà non discende dalla necessità di fornire strumenti di indagine efficaci, ma piuttosto di sopperire ai cronici ritardi della giustizia italiana anche nella fase di indagine) sia per i reati di terrorismo, che per quelli di stampo mafioso, che per quelli di criminalità organizzata, arrivando quindi ad un cortocircuito logico in cui la richiesta del legislatore comunitario di portare le indagini contro il terrorismo a livello di quelle contro la criminalità organizzata diventa l’occasione per creare un nuovo pervasivo strumento di indagine, senza precedenti e senza reale fondamento giuridico.

La posizione della Cassazione sulla conservazione dei dati

Le richieste del Garante al Governo e al Parlamento non hanno mai fatto breccia anche perché le disposizioni di cui al Codice privacy ed alla Legge 167/2017 hanno trovato nella Suprema Corte di Cassazione uno strenuo difensore. Gli ermellini hanno infatti in più occasioni (ad es. Cass. 273892/2018, Cass. 36380/2019, Cass. 5741/2020) affermato la legittimità della normativa in tema di data retention nonché la compatibilità fra la stessa e le pronunce della CGUE che si sono espresse sul tema.

In particolare, nella sentenza n. 5741/2020 la Cassazione afferma che:

“Non può ritenersi che la disciplina italiana di conservazione dei dati di traffico (c.d. data retention) sia in contrasto con le pronunce della Corte di giustizia datate 8 aprile 2014 e 21 dicembre 2016 poiché la suddetta normativa prevede la conservazione dei dati per un periodo limitato pari a 24 mesi, subordina la possibilità di acquisizione degli stessi soltanto per finalità di accertamento e repressione dei reati, prevede che l’utilizzazione degli stessi dati sia sottoposta al provvedimento di acquisizione emesso da parte del Pubblico Ministero e cioè di un organo giurisdizionale che procede nell’ambito di una attività di indagine preliminare. Ne deriva quindi che la legislazione italiana non prevede la facoltà delle autorità pubbliche di accesso indiscriminato ai dati sensibili bensì la limita ai soli casi di indagini per fatti di reato svolte entro un determinato arco temporale di 24 mesi (elevati a 72 solo per fatti di reato di particolare allarme sociale) e la subordina alla autorizzazione proveniente da un organo giurisdizionale.”

Secondo la Suprema Corte quindi:

“Va pertanto ribadita la legittimità della normativa nazionale di riferimento costituita dall’art. 132 Codice della privacy, poiché la deroga al diritto alla riservatezza delle comunicazioni è prevista per un periodo limitato, ha come esclusivo obiettivo l’accertamento e la repressione dei reati è subordinato alla emissione di un provvedimento da parte di un’autorità giurisdizionale”

La ricostruzione della Cassazione (che, precisiamo, si è trovata nella condizione di giudicare la normativa italiana a valle dell’attività di indagine e quindi a dover decidere se “salvare” o meno un’attività di indagine già compiuta e rivelatasi fruttuosa) presta il fianco a numerose critiche, specie per il fatto che trascura la portata degli interventi della Corte di Giustizia UE specie laddove queste censurano con chiarezza l’indiscriminata conservazione dei dati di tutti i cittadini per un lungo periodo di tempo. A maggior ragione poi la posizione della Cassazione cede di fronte all’ultima pronuncia riportata dal Garante (sentenza 02.03.2021 causa C-746/18), che stabilisce a chiare lettere l’illegittimità di un accesso ai dati conservati se manca la valutazione di un’autorità terza e imparziale rispetto a quella che effettua le indagini.

Data retention, le richieste del Garante privacy

Il Garante quindi, per evitare che la normativa italiana sia stroncata dalla giurisprudenza europea, suggerisce al legislatore di intervenire per tempo correggendo la normativa. Secondo il Garante due sono gli interventi minimi necessari per correggere la disciplina italiana in tema di data retention:

  1. subordinare l’acquisizione dei dati all’autorizzazione di un soggetto terzo (il G.I.P. o un’autorità amministrativa), individuando una procedura ad hoc che consenta di verificare la sussistenza di una valida motivazione a sostegno della richiesta. Il Garante propone inoltre di fare salva, nei casi d’urgenza, la possibilità per il P.M. di disporre l’accesso con decreto, decreto però soggetto a successiva convalida (come accade ad esempio nel caso delle intercettazioni di cui all’art. 267 co. 2 c.p.p.).
  2. differenziare condizioni, limiti e termini di conservazione dei dati di traffico telefonico e telematico in ragione della particolare gravità del reato per cui si proceda, comunque entro periodi massimi compatibili con il principio di proporzionalità (con quest’ultimo inciso il Garante chiede una riduzione del periodo massimo di conservazione dei dati di traffico, difficilmente conciliabili, allo stato attuale, con il principio di proporzionalità per come lo stesso è inteso dalla Corte di Giustizia UE).

I problemi pratici delle norme italiane sulla data retention

Il Garante segnala inoltre come la normativa necessiti di una revisione anche a causa di ulteriori problematiche di ordine pratico emerse.

Sarebbe infatti necessario prevedere una tutela remediale specifica nel caso di omesso o inidoneo riscontro, da parte del fornitore (che custodisce i tabulati), alla richiesta di acquisizione formulata dal difensore dell’imputato o indagato, dei tabulati relativi alle utenze intestate al proprio assistito. Ad oggi, infatti, l’inerzia del fornitore ha in più occasioni pregiudicato (talvolta irrimediabilmente) le esigenze probatorie della difesa e l’unico rimedio previsto dalla normativa (quello di cui all’art. 391 quater c.p.p., ovvero la richiesta al P.M. di provvedere in tal senso) si è dimostrato in più occasioni inefficace.

Il Garante si è trovato infatti in più occasioni a decidere questioni relative all’inerzia del fornitore, scontando anche la problematica derivante dal fatto che la sua competenza a conoscere di simili controversie è stata in alcuni casi contestata dai fornitori. Il Garante sul punto afferma che, sebbene in via interpretativa si possa affermare che siamo di fronte ad una forma, sia pur peculiare, di accesso ai dati personali da parte dell’interessato ai sensi dell’articolo 15 del GDPR (sussistendo quindi la competenza del Garante) sarebbe opportuno riconoscere tale competenza con previsione normativa espressa, idonea a fugare ogni dubbio in merito.

Conclusione

È chiaro però che, ove il legislatore dovesse rimanere inerte di fronte a questa ennesima richiesta di intervento dell’Autorità privacy, la normativa italiana in tema di data retention rischia di infrangersi davanti ai giudici del Lussemburgo, essendo che la Corte di Giustizia UE ha già in più occasioni chiarito la propria posizione in merito a normative assai simili a quella italiana.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA