Il Garante per la protezione dei dati personali ha inviato una segnalazione al Parlamento e al Governo con la quale ha suggerito di valutare l’opportunità di una riforma della disciplina della conservazione dei dati di traffico telefonico e telematico a fini di giustizia (c.d. “data retention“).
La modifica più volte sollecitata dall’Autorità si è resa ora ulteriormente necessaria a seguito della sentenza della CGUE del 2 marzo scorso (causa C-746/18).
Nel caso di specie, nell’aprile 2017 l’imputata era stata condannata dal Tribunale di primo grado estone a una pena detentiva di due anni per aver commesso vari furti di beni (di valore compreso tra i 3 e i 40 euro) nonché di somme di denaro, per aver utilizzato la carta bancaria di un terzo causando a quest’ultimo un danno di 4.000 euro.
Ai fini della condanna, il Tribunale si era fondato, tra l’altro, su vari processi verbali redatti in base a dati relativi a comunicazioni elettroniche, che l’autorità incaricata dell’indagine aveva raccolto presso un fornitore di servizi di telecomunicazioni elettroniche nel corso del procedimento istruttorio, dopo aver ottenuto, ai sensi del codice di procedura penale, varie autorizzazioni dalla procura distrettuale di Viru. Tali autorizzazioni riguardavano i dati relativi a vari numeri di telefono dell’imputata e diversi codici internazionali di identificazione di apparecchiatura di telefonia mobile di quest’ultima.
Altra questione, soggetto allo scrutinio della Corte UE, era quella se poteva considerarsi il pubblico ministero estone come un’autorità amministrativa indipendente, soggetto che può autorizzare l’accesso dell’autorità incaricata dell’indagine a dati relativi alle comunicazioni elettroniche come quelli di cui all’articolo della legge estone relativa alle comunicazioni elettroniche.
La pronuncia della Corte UE, sciogliendo tali riserve, ha sviluppato e precisato un indirizzo già consolidato, a partire dalla sentenza Digital Rights Ireland dell’8 aprile 2014 con cui la Corte di Giustizia ha dichiarato l’illegittimità della direttiva 2006/24/Ce in materia di data retention per violazione del principio di proporzionalità nel bilanciamento tra protezione dati ed esigenze di pubblica sicurezza.
Per i giudici l’accesso ai dati del traffico telefonico deve essere circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.
Una carenza di proporzionalità che nel caso italiano è stata ulteriormente accentuata dalla legge 167/2017 che ha esteso a sei anni il termine massimo di conservazione dei tabulati (prima stabilito in due anni per i tabulati telefonici, in un anno per i telematici e in un mese per le chiamate senza risposta). Ed anche se i dati raccolti possono essere acquisiti solo per reati particolarmente gravi, come quelli di competenza delle Procure distrettuali (criminalità organizzata, mafia, terrorismo), ciò comporta comunque la conservazione generalizzata dei tabulati di tutti gli utenti per sei anni.
Il Garante ha invitato quindi il Parlamento a riflettere sull’opportunità di una riforma della disciplina della data retention, tale da differenziare condizioni, limiti e termini di conservazione dei dati di traffico telefonico e telematico in base alla particolare gravità del reato per cui si procede, e comunque entro periodi massimi compatibili con il principio di proporzionalità, come interpretato dalla Corte di giustizia dell’Unione europea.
Secondo il Garante, inoltre, occorrerebbe valutare l’opportunità di subordinare l’acquisizione dei dati di traffico telefonico e telematico all’autorizzazione del gip, ferma restando, nei casi d’urgenza, la possibilità per il pubblico ministero di provvedervi con proprio decreto, da convalidare in una fase successiva.
A fronte poi, della diversità di posizioni già espresse in alcune sentenze successive a quella della CGUE e dell’esigenza di rendere il quadro normativo interno pienamente conforme alla disciplina europea, come interpretata dalla Corte di giustizia dell’Unione europea, è dunque auspicabile – ad avviso del Garante – un intervento chiarificatore del legislatore, che assicuri quel bilanciamento, tra esigenze investigative e protezione dei dati personali, più volte invocato dalla giurisprudenza europea.
