Decreto legislativo - 30/06/2003 - n. 196 art. 132 - (Conservazione di dati di traffico per altre finalità) 1

Dati di traffico e termini di conservazione

Nel corso degli anni, il termine di conservazione dei dati di traffico di cui all'articolo in commento è stato oggetto di vari interventi legislativi, volti a derogarvi, ad estenderlo; tra questi, ai fini di ciò che qui rileva, si segnala il d.lgs. n. 109/2008 di recepimento della dir. 2006/24/CE sulla conservazione dei dati di traffico, e l'art. 10, comma 1, della l. n. 48/2008 di ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, che ha modificato l'art. 132 cod. privacy, contemplando al comma 4-ter soluzioni tecniche alternative come il freezing dei dati per un periodo non superiore a novanta giorni, prorogabile per una durata complessiva di sei mesi, su ordine del Ministero dell'Interno o dei soggetti da questi delegati, nonché di altri specifici organismi ed autorità di polizia giudiziaria, ai fini dello svolgimento delle investigazioni preventive (es. intercettazioni), ovvero per finalità di accertamento e repressione di specifici reati, anche su istanza di autorità investigative straniere.

Segue poi l'art. 4-bis, commi 1 e 2 del d.l. n. 7/2015, recante misure urgenti per il contrasto del terrorismo, anche di matrice internazionale, nonché proroga delle missioni internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e sostegno ai processi di ricostruzione e partecipazione alle iniziative delle Organizzazioni internazionali, per il consolidamento dei processi di pace e di stabilizzazione, convertito con modificazioni in l. n. 43/2015 (entrata in vigore il 21 aprile 2015).

Con l. n. 43/2015 è stato, infatti, imposto un obbligo di conservazione dei dati di traffico fino al 31 dicembre 2016, alla luce dei gravissimi episodi di terrorismo verificatisi all'estero in quel periodo e della straordinaria necessità ed urgenza di disporre di strumenti di prevenzione e lotta al terrorismo stesso, anche semplificando le modalità di trattamento dei dati personali da parte delle Forze di polizia.

Successivamente, tale termine è stato ulteriormente prorogato al 30 giugno 2017 dal d.l. n. 210/2015, coordinato con legge di conversione n. 21/2016, recante «Proroga di termini previsti da disposizioni legislative» (c.d. «decreto Milleproroghe»).

In deroga a quanto stabilito dall'art. 132, comma 1, cod. privacy, dunque, l'art. 4-bis del d.l. n. 7/2015 convertito con modificazioni dalla l. n. 43/2015 ha imposto fino al 30 giugno 2017 un obbligo di conservazione dei dati relativi:

– al traffico telefonico e/o telematico, esclusi comunque i contenuti delle comunicazioni, detenuti dai fornitori di servizi di comunicazione elettronica accessibile al pubblico oppure di una rete pubblica di comunicazione alla data di entrata in vigore della legge di conversione, ossia al 21 aprile 2015, nonché i dati relativi al traffico telefonico e/o telematico effettuato successivamente a tale data;

– alle chiamate senza risposta effettuate successivamente al 21 aprile 2015, non anche quelli detenuti, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibile al pubblico oppure di una rete pubblica di comunicazione;

quanto sopra a fini di accertamento e repressione dei delitti consumati o tentati con finalità di terrorismo (art. 51, comma 3-quater, c.p.p.) e dei gravi reati di cui all'art. 407, comma 2, lett. a) c.p.p.). Gli oneri correlati a tale estensione del termine di conservazione ricadono sugli operatori del settore, non coinvolgono la PP.AA. (cfr. Servizio del Bilancio Nota di lettura - n. 191 A.S. 2886: «Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea - Legge europea 2017»).

Il suddetto termine di conservazione dei dati di traffico (ossia dei dati esteriori della comunicazione, non dei contenuti) è stato ulteriormente prolungato a settantadue mesi (6 anni) con l. 20 novembre 2017, n. 167, recante disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea (c.d. «legge europea 2017»), entrata in vigore il 12 dicembre 2017. Ciò in attuazione dell'art. 20 dir. (UE) 2017/541, volta a combattere il fenomeno dei foreign fighter e del finanziamento del terrorismo, secondo quanto già da tempo compiuto sia nell'ambito delle Nazioni Unite con la risoluzione del Consiglio di Sicurezza n. 2178/2014, sia nell'ambito degli Stati che fanno parte del Consiglio d'Europa, con la Convenzione di Varsavia contro il terrorismo (2005) e con il Protocollo addizionale del 22 ottobre 2015.

La Convenzione di Varsavia diretta, in particolare, ad armonizzare le politiche della prevenzione degli Stati firmatari, ha rappresentato una risposta all'esigenza di contrastare il terrorismo ed aiutare le vittime e le loro famiglie, sia attraverso l'introduzione di nuove fattispecie di reato, volte a minare l'attività di reclutamento e proselitismo in favore del terrorismo, sia tramite il potenziamento della cooperazione internazionale (Centonze, 92).

Alla luce degli interventi normativi succedutisi nel tempo che hanno portato ad estendere sempre più i termini di conservazione dei dati di traffico, si è fatta strada l'esigenza di una revisione organica della materia, tenendo conto delle direttive europee e delle implicazioni sui diritti dei cittadini e sulle esigenze di giustizia.

Conservazione «generalizzata ed indifferenziata» dei dati di traffico: conformità del diritto interno alla disciplina UE

Il diritto dell'Unione europea riconosce espressamente come un diritto fondamentale quello alla protezione dei dati personali, sancito nell'art. 16 del Trattato sul Funzionamento dell'Unione Europea («TFUE») e nell'art. 8 della Carta dei diritti fondamentali dell'Unione Europea («Carta»). Le istituzioni dell'UE e gli Stati membri sono chiamati a rispettare e garantire questo diritto (art. 51 della Carta).

La Corte di giustizia dell'Unione europea (di seguito anche. «Corte giustizia UE» o «CGUE»), negli anni, è stata più volte adita per giudicare, in via pregiudiziale, la conformità al diritto dell'Unione di disposizioni di diritto interno, che obbligavano i fornitori di servizi di comunicazioni elettronica ad una conservazione «generalizzata ed indifferenziata» (concernente tutte le persone, tutti i mezzi di comunicazione elettronica) dei dati di traffico e di ubicazione di abbonati e utenti, per tutti i mezzi di comunicazione elettronica e per finalità di lotta contro la criminalità (cfr. art. 267 TFUE).

Ebbene, la CGUE, nei propri interventi, ha evidenziato il rischio di violazione dei diritti civili a causa della indeterminatezza delle previsioni normative, come emerge dalle sentenze del 6 ottobre 2020, Privacy International vs. Secretary of State for Foreign and Commonwealth Affairs e a. (C-623/17) e La Quadrature du Net e a. vs. Premier ministre e a. (cause riunite C-511/18, C-512/18 e C-520/18), del 21 dicembre 2016, Tele2 Sverige AB vs. Post- och telestyrelsen e Secretary of State for the Home Department vs. Tom Watson, Peter Brice, Geoffrey Lewis (cause riunite C-203/15 e C-698/15), nonché dalla precedente sentenza dell'8 aprile 2014, Digital Rights Ireland, Seitlinger e a. (CGCE cause riunite C-293/12 e C-594/12).

Nello specifico, nella causa CGCE C-623/17 e nelle cause riunite C-511/18, C-512/18 e C-520/18 la domanda di pronuncia pregiudiziale ha riguardato l'interpretazione dell'art. 1, paragrafo 3, e dell'art. 15, paragrafo 1, dir. 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. «ePrivacy Directive»), letti alla luce dell'art. 4, paragrafo 2, del Trattato sull'Unione europea («TUE») nonché degli artt. 7 e 8 e dell'arti. 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea. La domanda è stata proposta in ordine alla legittimità di una normativa nazionale che consente ad un'autorità pubblica/statale di imporre ai fornitori di servizi di comunicazione elettronica:

– la trasmissione ai servizi di sicurezza e di intelligence, dei dati di comunicazione relativi al traffico e all'ubicazione in massa, ai fini della salvaguardia della sicurezza nazionale (c.d. «bulk communications data»);

– la trasmissione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione ai servizi di sicurezza e di intelligence, ai fini della salvaguardia della sicurezza nazionale.

Con riferimento a ciò, la CGUE ha dichiarato che l'art. 15, paragrafo 1, della ePrivacy Directive, letto alla luce degli artt. 7, 8 e 11 e dell'art. 52, paragrafo 1, della Carta, deve essere interpretato nel senso che osta a:

– una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica, al fine di salvaguardare la sicurezza nazionale, la trasmissione generalizzata e indifferenziata, ai servizi di sicurezza e di intelligence dei dati relativi al traffico e all'ubicazione (C-623/17);

– misure legislative che impongono ai fornitori di servizi di comunicazione elettronica, a titolo preventivo, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all'ubicazione (cause riunite C-511/18, C-512/18 e C-520/18);

in quanto tali obblighi rappresentano gravi ingerenze nei diritti fondamentali garantiti dalla Carta «senza che il comportamento delle persone i cui dati sono interessati presenti un nesso con l'obiettivo perseguito dalla normativa di cui trattasi».

Diversa, ad avviso della CGUE, è la circostanza in cui uno Stato membro si trovi ad affrontare una grave minaccia per la sicurezza nazionale «reale e attuale o prevedibile»; in tal caso, l'ePrivacy Directive, letta alla luce della Carta, non osta al fatto di ingiungere ai fornitori di servizi di comunicazione elettronica una conservazione generalizzata e indifferenziata dei dati di traffico ed ubicazione, sempreché ciò avvenga per il periodo di tempo strettamente necessario e vi sia un giudice o un organo amministrativo indipendente ad esercitare un effettivo controllo, volto ad accertare la sussistenza della predetta circostanza, nonché il rispetto delle condizioni previste.

Parimenti, l'ePrivacy Directive, letta alla luce della Carta, non osta a «misure legislative che consentano il ricorso a una conservazione mirata, temporalmente limitata allo stretto necessario, dei dati relativi al traffico e all'ubicazione, che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico [omissis]. Inoltre, detta direttiva non osta a una misura legislativa che consente il ricorso a una conservazione rapida dei dati di cui dispongono i fornitori di servizi qualora si presentino situazioni in cui si verifichi la necessità di conservare detti dati oltre i termini legali di conservazione dei dati al fine di indagare su reati gravi o scongiurare minacce alla sicurezza nazionale, qualora tali reati o minacce siano già stati accertati o la loro esistenza possa essere ragionevolmente sospettata.»

Allo stesso modo, nelle cause riunite C-203/15 e C-698/15, è stato domandato alla CGUE, in via principale, se l'art. 15, paragrafo 1, dir. 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. «ePrivacy Directive»), gli artt. 7,8,11 e l'art. 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea, consentissero agli Stati membri di derogare al principio di riservatezza, per adottare misure necessarie, opportune e proporzionate, in una società democratica, volte a tutelare gli interessi pubblici, fra i quali la sicurezza dello Stato.

In via accessoria è stato domandato se il medesimo art. 15, paragrafo 1, della ePrivacy Directive impedisse agli Stati membri di prevedere un accesso ai dati personali da parte delle autorità nazionali competenti, senza limitarlo alle finalità di lotta alla criminalità e senza sottoporlo ad un preventivo controllo dell'autorità giudiziaria o amministrativa. Con sentenza del dicembre 2016, la CGUE ha giudicato le misure di retention eccessive, non proporzionate, generalizzate ed indifferenziate, continue e sistematiche, riguardando in modo invasivo tutti gli individui destinati ad avvalersi di servizi di comunicazione elettronica a loro insaputa, in mancanza di un nesso tra i dati conservati e l'esistenza di una minaccia per la sicurezza pubblica di rilevanza penale.

Pochi anni prima, nelle cause riunite C-293/12 e C-594/12 (Digital Rights Ireland, Seitlinger e a.) la CGUE era stata chiamata a pronunciarsi sulla validità della dir. 2006/24/CE del Parlamento europeo e del Consiglio del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la dir. 2002/58/CE (c.d. Direttiva «Frattini»), rispetto alla previsione di un obbligo indiscriminato di conservazione di dati di traffico da parte dei fornitori di servizi di comunicazione elettronica, per fini di contrasto al terrorismo e di ordine pubblico (articoli da 3 a 9).

Con sentenza dell'aprile 2014 la Corte ha dichiarato invalida la Direttiva «Frattini», per violazione del principio di proporzionalità nel bilanciamento tra un diritto fondamentale, quale quello alla protezione dei dati personali, e le esigenze di pubblica sicurezza, considerando eccessivo e non proporzionato il tempo massimo di conservazione (due anni) e generiche le condizioni/i criteri cui era subordinato; nel suo complesso la Direttiva Frattini è stata ritenuta non compatibile con gli artt. 7 e 52, paragrafo 1, della Carta (Alpa, Conte, 97 ss.).

Quanto emerge dalle richiamate sentenze è che, ad avviso della CGUE, gli Stati membri hanno facoltà di derogare al regime ordinario di tutela della riservatezza e dei dati personali solo come extrema ratio, nel rispetto della Carta dei diritti fondamentali dell'Unione europea e delle finalità di sicurezza nazionale o pubblica, di difesa e di lotta alla criminalità grave espressamente previste dal diritto. Tuttavia, con successiva sentenza del2 marzo 2021, nella causa C-746/18 (H.K., Prokuratuur), la CGUE ha dichiarato che l'art. 15, paragrafo 1, dir. 2002/58/CE, come modificata dalla dir. 2009/136/CE, letto alla luce degli artt. 7,8 e 11 nonché dell'art. 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale ammetta l'accesso ai dati relativi al traffico o all'ubicazione:

– per prevenire, ricercare, accertare e perseguire reati «senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l'accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo». Tutto ciò in considerazione del fatto che tali dati (fonte, destinazione data, ora, durata, natura e luogo delle comunicazioni telefoniche), nel loro complesso, possono fornire informazioni molto precise sulla vita privata delle persone, come ad esempio le abitudini quotidiane, i luoghi maggiormente visitati, i movimenti, le attività svolte, gli ambienti frequentati e le relazioni sociali;

– dietro autorizzazione del pubblico ministero, ai fini di un'istruttoria penale. Ad avviso della Corte, un magistrato inquirente, in quanto parte nel processo che esercita l'azione penale, ha il compito di sottoporre una controversia, se del caso, al giudice competente e, conseguentemente, non può mantenere una posizione neutrale nei confronti delle altre parti del procedimento né agire in modo obiettivo ed imparziale. Il fatto che il pubblico ministero sia tenuto «a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco [omissis].»

Con successiva sentenza del 5 aprile 2022 nella causa C-140/20 (G.D. vs The Commissioner of the Garda Síochána e a.), la CGUE ha dichiarato che l'art. 15, paragrafo 1, dir. 2002/58/CE letto alla luce degli artt. 7,8 e 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea non osta a misure legislative che prevedano, per finalità di lotta alle forme gravi di criminalità e di prevenzione di minacce gravi alla sicurezza pubblica, una conservazione:

– «generalizzata e indifferenziata» degli indirizzi IP della fonte di una connessione, ma solo per il tempo strettamente necessario; dei dati relativi all'identità «civile» degli utilizzatori di mezzi di comunicazione elettronica, come ad esempio i dati rilasciati in sede di acquisizione di una SIM prepagata). Ciò laddove la conservazione possa ritenersi giustificata dal fatto che tali dati possono rappresentare, in alcuni casi, «l'unico strumento di indagine» per risalire all'identità del reo (es. pedopornografia), cfr. punto 73 sentenza del 5 aprile 2022);

– «mirata» dei dati relativi al traffico e dei dati relativi all'ubicazione. Tale conservazione deve essere «delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile» nel rispetto della riservatezza e della vita privata (punto 83 sentenza del 5 aprile 2022);

– «rapida» dei dati relativi al traffico e dei dati relativi all'ubicazione di cui i fornitori di servizi di comunicazione elettronica dispongono. Tale misura può essere ordinata dall'autorità competente – soggetta a un controllo giurisdizionale effettivo da parte di un giudice o di un organo amministrativo indipendente (non un funzionario di polizia) – per un lasso di tempo determinato e nel rispetto dei limiti dello «stretto necessario» per rispondere a finalità determinate (c.d. quick freeze) – cfr. punto 85 sentenza del 5 aprile 2022 e punti 164-167 sentenza del 6 ottobre 2020);

sempreché siano fornite alle persone interessate «garanzie effettive» contro i rischi di abuso (es. accesso illecito) e siano rispettate le condizioni sostanziali e procedurali dettate dalle predette misure legislative (cfr. in tal senso sentenza del 6 ottobre 2020, La Quadrature du Net e a., cause riunite C-511/18, C-512/18 e C-520/18, punto 168).

I suddetti principi sono stati riaffermati e sviluppati ulteriormente con la sentenza del 20 settembre 2022 nelle cause riunite C-339/20 e 397/20 (VD e SR) e nelle cause riunite C-793/19 e 794/19 (SpaceNet AG e Telekom Deutschland GmbH). La Corte giustizia UE, confermando l'orientamento giurisprudenziale precedente, ha infatti stabilito in particolare che il diritto dell'Unione:

– «osta a misure legislative nazionali che prevedono, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla pubblica sicurezza la conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all'ubicazione», salvo in caso di minaccia grave per la sicurezza nazionale, che risulti «reale e attuale o prevedibile» (circostanze sufficientemente concrete, cfr. sentenza del 20 settembre 2022, C-793/19e 794/19,punto 93) e che il provvedimento di ingiunzione «possa essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto ad accertare l'esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie che devono essere previste, e detta ingiunzione possa essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma sia rinnovabile in caso di persistenza di tale minaccia»;

– non osta a misure legislative nazionali «che prevedono, a fini di salvaguardia della sicurezza nazionale, di lotta ai reati gravi e di prevenzione delle minacce gravi alla pubblica sicurezza, una conservazione mirata dei dati relativi al traffico e dei dati relativi all'ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile»;

– non osta a misure legislative nazionali che prevedono la conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti all'origine di una connessione «a fini di salvaguardia della sicurezza nazionale, di lotta ai reati gravi e di prevenzione delle minacce gravi alla pubblica sicurezza» per un periodo di tempo strettamente necessario;

– non osta a misure legislative nazionali «che prevedono, a fini di salvaguardia della sicurezza nazionale, di lotta alla criminalità e di salvaguardia della pubblica sicurezza, una conservazione generalizzata e indiscriminata dei dati relativi all'identità anagrafica degli utenti di mezzi di comunicazione elettronica»;

– non osta a misure legislative nazionali «che consentono, a fini di lotta ai reati gravi e, a fortiori, di salvaguardia della sicurezza nazionale, il ricorso a un'ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica, mediante un provvedimento dell'autorità competente soggetto a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all'ubicazione di cui detti fornitori di servizi dispongono» (cfr. cause riunite C-793/19 e 794/19).

A livello nazionale, la Corte di Cassazione, nell'esercizio della propria funzione nomofilattica, si è trovata ad affrontare il tema della data retention dei dati di traffico e del rapporto tra la normativa interna e quella comunitaria.

Quanto all'impatto, nel sistema normativo italiano, dei principi enunciati con le sentenze della CGUE nelle cause riunite C-293/12 e C-594/12, nonché C-203/15 e C-698/15, la Suprema Corte ha affermato che le predette sentenze hanno riguardato «Stati privi di una regolamentazione dell'accesso e della conservazione dei dati, mentre lo Stato italiano si è dotato di una specifica disciplina. L'art. 132 d.lgs. n. 196/2003 e s.m.i., attuativo della dir. 2002/58/CE, prescrive che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d'ufficio o su istanza. Nella disciplina italiana, pertanto, si rinvengono l'enunciazione della finalità di repressione dei reati; la delimitazione temporale dell'attività di memorizzazione; l'intervento preventivo dell'autorità giudiziaria, funzionale all'effettivo controllo della stretta necessità dell'accesso ai dati, nonché al rispetto del principio di proporzionalità in concreto» (cfr. Cass. pen. III, n. 36380/2019, in Diritto di Internet n. 4/2019, 762, con commento di Lupària; Cass. pen. V, n. 33851/2018, in Cass. pen., 2019, 299).

In materia di accesso ai dati di traffico (tabulati telefonici), la disciplina di cui all'art. 132 cod. privacy è, dunque, «compatibile con il diritto sovranazionale in tema di tutela della privacy (dir. 2002/58/CE e dir. 2006/24/CE), così come interpretato dalla giurisprudenza della Corte di Giustizia dell'Unione Europea.».

Ciò è stato confermato con successiva sentenza Cass. n. 48737/2019, nella quale la Corte di Cassazione ha sancito, ancora una volta, la compatibilità della disciplina di cui all'art. 132 cod. privacy con «il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/Ce e 2006/24/Ce)» come interpretato dalla CGUE, sebbene tale articolo non contenga un riferimento ad un «catalogo di reati», predeterminati per legge, la cui gravità giustifichi l'acquisizione di tabulati telefonici da parte dell'autorità giudiziaria penale. Ad avviso della Corte di Cassazione, dalla giurisprudenza della CGUE «si ricava solo la necessità della proporzione tra la gravità dell'ingerenza nel diritto fondamentale alla vita privata, che l'accesso ai dati comporta, e quella del reato oggetto di investigazione, in base ad una verifica che il giudice di merito deve compiere in concreto»; tale valutazione «non si presta ad una rigida codificazione e non può che essere rimessa al prudente apprezzamento dell'autorità giudiziaria» (cfr. Cass. pen. III, n. 48737/2019). Ai sensi dell'art. 132 spetta, dunque, all'autorità giudiziaria penale valutare la proporzionalità tra la gravità del reato e la gravità dell'ingerenza nel diritto alla riservatezza delle persone che l'accesso ai dati di traffico – conservati dai fornitori di servizi di comunicazione elettronica – determina.

Tale consolidato orientamento viene richiamato e ribadito anche nella sentenza del 2 luglio 2021 n. 331161, con cui la Suprema Corte afferma da un lato che l'interpretazione proposta dalla CGUE nella causa C-746/18 non può avere efficacia immediata e diretta nel nostro ordinamento, essendo generica nell'individuazione dei casi in cui i dati di traffico possono essere acquisiti ai fini della «lotta contro le forme gravi di criminalità» o della «prevenzione di gravi minacce alla sicurezza pubblica» e dall'altro precisa che compete al legislatore nazionale trasferire in una legge dello Stato i principi delineati dalla CGUE medesima; fino ad allora «può e deve ritenersi applicabile l'art. 132 d.lgs. 196/2003» (cfr. Cass. pen. II, n. 33116/2021).

Intervento del legislatore nazionale

Nel predetto contesto normativo e di interpretazione del diritto dell'Unione, il Governo italiano è intervenuto per adeguare la normativa nazionale a quella europea, in materia di protezione dei dati personali, sulla base della delega conferitagli dall'art. 13 della l. n. 163/2017, per l'emanazione di uno o più decreti legislativi di adeguamento del quadro normativo nazionale alle disposizioni del Reg. (UE) 2016/679 (regolamento generale sulla protezione dei dati, di seguito anche «Regolamento»).

Nel rispetto di tale delega e degli artt. 76 e 87 della Costituzione, è stato approvato dal Consiglio dei Ministri in data 8 agosto 2018, firmato dal Presidente della Repubblica il 10 agosto 2018 e pubblicato in G.U. n. 205 del 4 settembre 2018, il d.lgs. n. 101/2018 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)».

Il d.lgs. n. 101/2018 è entrato in vigore il 19 settembre 2018, successivamente alla data di applicazione del Regolamento, con l'intento di:

– abrogare espressamente le disposizioni del codice privacy incompatibili con il Regolamento;

– modificare il codice privacy per dare attuazione alle disposizioni contenute nel Regolamento non direttamente applicabili, adeguando altresì il sistema sanzionatorio penale ed amministrativo vigente tramite sanzioni «efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse» (cfr. art. 13 l. n. 163/2017);

– coordinare le disposizioni del codice privacy con il Regolamento;

– ricorrere, laddove opportuno, a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nel rispetto del Regolamento;

quanto sopra, in ossequio ai principi e criteri direttivi specifici della legge delega.

Successivamente, in Italia è stato adottato il decreto-legge 30 settembre 2021, n. 132 recante «Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP», convertito con modificazioni dalla l. n. 178/2021 (G.U. n. 284 del 29 novembre 2021). L'intervento normativo si è reso necessario per dar seguito alla sentenza del 2 marzo 2021 della CGUE nella causa C-746/18, essendo compito del legislatore nazionale trasfondere i principi interpretativi delineati dalla CGUE in una legge dello Stato, stante la mancata individuazione dei criteri oggettivi e regole chiare per l'individuazione delle categorie di reati nei quali si legittima l'ingerenza dell'autorità pubblica nella vita privata dei cittadini («lotta contro le forme gravi di criminalità» o «prevenzione di gravi minacce alla sicurezza pubblica») e si possono acquisire i tabulati di traffico conservati a fini di giustizia (cfr. Cass. pen. II, n. 28523/2021). Dunque, l'art. 1 del decreto-legge ha modificato l'art. 132 cod. privacy consentendo l'accesso ai dati di traffico, a fini di indagine penale, solo per gravi o specifici reati e sempre previa autorizzazione del giudice con decreto motivato – su richiesta del pubblico ministero o su istanza del difensore dell'imputato, dell'indagato, della persona offesa e delle altre parti private – o dietro convalida in casi di urgenza o grave pregiudizio alle indagini; è stata, altresì, sancita con l'inutilizzabilità l'acquisizione dei dati di traffico in violazione di legge (cfr. commi 3-bis e 3-quater dell'art. 132 cod. privacy).

Ulteriori presupposti per l'acquisizione dei dati di traffico in riferimento ai predetti reati sono da un lato l'acquisizione, da parte dell'autorità inquirente, di «sufficienti indizi» (da intendersi come risultanze investigative idonee a raffigurare un apprezzabile fumus commissi delicti, ossia una ragionevole probabilità della condotta delittuosa), dall'altro la «rilevanza» dei dati medesimi per l'accertamento dei fatti (non per il prosieguo delle indagini, diversamente dalle intercettazioni di cui all'art. 267 c.p.p.).

Per quanto attiene, invece, i dati di traffico telefonico, telematico e relativi alle chiamate senza risposta ottenuti prima dell'entrata in vigore del già menzionato decreto-legge (30 settembre 2021), l'art. 1, comma 1-bis, del d.l. n. 132/2021 inserito in sede di conversione in legge 23 novembre 2021, n. 178, ha introdotto una disciplina transitoria che ammette l'utilizzabilità dei dati stessi a carico dell'imputato solo unitamente ad altri elementi di prova e per l'accertamento di gravi o specifici reati quali: reati per i quali è prevista la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, reati di minaccia, di molestia o di disturbo alle persone con il mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, allorché prodromici a condotte molto più serie come ad esempio un'aggressione fisica. Si può osservare come la scelta legislativa per valutare la «gravità» di un reato sia stata quella di ricorrere al criterio astratto della comminatoria edittale (pena massima non inferiore a tre anni), in aggiunta alla previsione ad hoc dei reati di minaccia, molestia e disturbo (cfr. artt. 339 e 612, comma 2, c.p.).

Di tale disciplina transitoria non tiene conto la Corte di Cassazione nella sentenza del 13 gennaio 2022, n. 1054 (data udienza 6 ottobre 2021, dunque antecedente alla l. n. 178/2021 che ha introdotto il comma 1-bis all'art. 1 del d.l. n. 132/2021). Ad avviso del Supremo Collegio «il decreto legge n. 132/2021 non contiene una disciplina intertemporale applicabile ai dati di traffico telefonico e telematico già acquisiti nei procedimenti pendenti alla data di entrata in vigore del decreto, sicché in mancanza di diverse disposizioni deve ritenersi operante il generale principio tempus regit actum, trattandosi di disciplina di natura processuale», in base al quale ciascun fatto o atto giuridicamente rilevante deve essere assoggettato alla normativa vigente nel momento in cui si verifica. Sono, pertanto, pienamente utilizzabili in materia processuale i dati di traffico telefonico e telematico acquisiti e trasmessi in base ad un provvedimento legittimamente emesso in osservanza all'allora vigente art. 132 cod. privacy (cfr. Cass. pen. V, n. 1054/2022; Cass. S.U., n. 44895/2014, Rv. 260927).

Differentemente, nelle sentenze del 11 gennaio 2023 n. 15836, del 22 settembre 2022 n. 40 (depositata il 3 gennaio 2023) e del 24 febbraio 2022, n. 8968 la Suprema Corte ha osservato che la legge di conversione n. 178/2021, con l'inserimento del comma 1-bis all'interno dell'art. 1 del d.l. n. 132/2021, ha statuito che i dati relativi al traffico acquisiti nei procedimenti penali prima della data di entrata in vigore del d.l. n. 132/2021 «possono essere utilizzati a carico dell'imputato solo unitamente ad altri elementi di prova ed esclusivamente per l'accertamento dei reati per i quali la legge stabilisce la pena dell'ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell'articolo 4 del codice di procedura penale e dei reati di minaccia e di molestia o disturbo alle persone con il mezzo del telefono, quando la minaccia, la molestia o il disturbo sono gravi» (cfr. Cass. Relazione 2023, 206) Nonostante la norma faccia riferimento all'(in)utilizzabilità a carico dell'imputato, può ragionevolmente ritenersi che la citata previsione possa estendersi anche all'indagato in bonam partem, in forza della clausola estensiva dell'art. 61 c.p.p. «Estensione dei diritti e delle garanzie dell'imputato» (cfr. Pestelli; Cass. Relazione n. 55/2021).

Alla luce di quanto sopra, in deroga al principio tempus regit actum, dunque, i metadati quali dati esteriori relativi alle comunicazioni telefoniche diversi dal contenuto (es. fonte e destinazione di una comunicazione, posizione del dispositivo, data e ora nonché durata e tipo di comunicazione), ottenuti con decreto motivato del pubblico ministero ante 30 settembre 2021, si possono utilizzare come elemento di prova a carico dell'imputato solo «unitamente ad altri elementi di prova» e solo per l'accertamento dei reati suindicati.

Infine, sempre nella sentenza Cass. n. 8968/2022, la Suprema Corte ha chiarito che in tutti i casi in cui «il ricorrente abbia impugnato la sentenza di appello censurando la mancanza, la contraddittorietà o la manifesta illogicità della motivazione con riguardo alla idoneità dei tabulati a provare la responsabilità dell'imputato, pur senza fare specifico riferimento al principio contenuto nel citato comma 1-bis dell'art. 1 in esame [d.l. n. 132/2021 convertito con modificazioni dalla l. n. 178/2021, n.d.r.]» essa stessa deve annullare con rinvio la sentenza impugnata. Ciò in considerazione del fatto che:

- la violazione di una regola di valutazione della prova deve essere fatta valere come vizio della giustificazione del giudizio di fatto, a norma della lett. e) dell'art. 606 c.p.p. (cfr. Cass. VI, n. 4119/2019, dep. 2020, Romeo gestioni S.p.A., Rv. 278196);

- è alquanto difficile che i ricorsi proposti prima della data di entrata in vigore del d.l. n. 132/2021 «censurino una decisione per l'inosservanza di una regola valutativa all'epoca inesistente».

La costante e discussa evoluzione legislativa, che ha caratterizzato l'art. 132 cod. privacy, sottolinea il percorso tortuoso affrontato sul piano normativo e giurisprudenziale nell'attuazione o rispetto del principio di proporzionalità tra il legittimo obiettivo dell'accertamento e la repressione dei dati, la riservatezza delle comunicazioni o più in generale il diritto alla protezione dei dati personali e alla vita privata. In definitiva, i dati di traffico consentono di creare «una mappatura tanto fedele quanto esaustiva di una parte importante dei comportamenti di una persona facenti parte della sua vita privata, se non addirittura un ritratto completo della sua identità personale» (cfr. cause riunite C-293/12 e C-594/12).

 A riprova di ciò è la sentenza C-178/22 della CGUE in tema di data retention, depositata il 30 aprile 2024. La causa C-178/22, infatti, ha avuto per oggetto la domanda di pronuncia pregiudiziale proposta alla CGUE, ai sensi dell'articolo 267 TFUE, dal Giudice per le indagini preliminari presso il Tribunale di Bolzano sull'interpretazione dell'art. 15, paragrafo 1, della direttiva 2002/58/CE nel senso che esso osti a una disposizione nazionale che consente di ottenere l'accesso a dati conservati dai fornitori di servizi di comunicazione elettronica (es. utenze, codici IMEI dei dispositivi chiamati o chiamanti, orario e durata delle chiamate e delle connessioni, indicazione delle celle o dei ripetitori interessati, siti visitati/raggiunti, utenze ed IMEI dei dispositivi mittenti/destinatari degli SMS o MMS e, ove possibile, generalità dei relativi intestatari), al fine di perseguire reati manifestamente non gravi, ricompresi nell'articolo 132, comma 3, del decreto legislativo n. 196/2003 (es. furto aggravato di telefoni cellulari).

Secondo il giudice del rinvio, la soglia della reclusione «non inferiore nel massimo a tre anni» prevista dall'art. 132, per ammettere la fornitura di tabulati telefonici alle autorità pubbliche, è tale che «detti tabulati potrebbero essere comunicati a queste ultime per perseguire reati che destano solo scarso allarme sociale e che sono puniti solo a querela di parte, in particolare i furti di scarso valore come i furti di telefono cellulare o di bicicletta», dal momento che l'autorizzazione all'acquisizione dei predetti tabulati deve essere rilasciata dal giudice in presenza di risultanze investigative idonee a raffigurare una ragionevole probabilità della condotta delittuosa e laddove i dati richiesti siano «rilevanti per l'accertamento dei fatti».

Ad avviso della Corte giustizia UE (Grande Sezione) l'art. 15, paragrafo 1, della direttiva 2002/58/CE, letto alla luce degli articoli 7,8 e 11 nonché dell'art. 52, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che esso non osta «a una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell'utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un'autorità nazionale competente nell'ambito di un'indagine penale – di autorizzare tale accesso qualora quest'ultimo sia richiesto ai fini dell'accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l'accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest'ultimo è richiesto nell'ambito di un'indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato.»

Viene demandato, dunque, al giudice italiano il compito di escludere o limitare l'accesso ai tabulati qualora constati che l'ingerenza nei diritti fondamentali è grave, mentre «manifestamente» non lo è il reato da perseguire, non rientrando nelle forme gravi di criminalità o di prevenzione di gravi minacce alla sicurezza pubblica, sulla base delle condizioni sociali esistenti. Si tratta, dunque, di una previsione, volta ad ammettere valutazioni discrezionali sul fronte giurisprudenziale, che la legge nazionale avrebbe dovuto superare con la norma.

Comunicazioni telefoniche in entrata

L'art. 11 del d.lgs. n. 101/2018 rubricato «Modifiche alla parte II, titolo X, del d.lgs. n. 196/2003» è a suo tempo intervenuto sulle disposizioni dettate in materia di protezione dei dati personali nel settore delle comunicazioni elettroniche accessibili al pubblico.

Con riferimento all'art. 132 cod. privacy è venuto, innanzitutto, meno il rinvio all'art. 8, comma 2, lett. f) cod. privacy, relativo al comunicazioni telefoniche in entrata, abrogato dal d.lgs. n. 101/2018, ma è rimasta la previsione che il difensore di un imputato o di una persona sottoposta ad indagini possa avanzare richiesta diretta di accesso ai dati di traffico telefonico entrante – purché relativo ad una linea telefonica intestata al proprio assistito – nei confronti del fornitore dei servizi di comunicazione elettronica (es. operatore telefonico, Internet Service Provider) «solo quando [dal mancato accesso, n.d.r.] possa derivarne un pregiudizio effettivo e concreto [«reale e specifico», non meramente «ipotetico o potenziale» o «semplicemente utile o funzionale», n.d.r.]) per lo svolgimento delle investigazioni difensive di cui alla l. 7 dicembre 2000, n. 397», secondo le modalità indicate nell'art. 391-quater c.p.p.

Nel caso di persona offesa da reato o di altre parti private occorreva, invece, un decreto motivato del Pubblico Ministero.

Con il successivo d.l. n. 132/2021, convertito con modificazioni dalla l. n. 178/2021, il Governo è intervenuto sull'art. 132 cod. privacy per circoscrivere le attività di acquisizione dei dati relativi al traffico telefonico e telematico, nel rispetto dei principi enunciati dalla CGUE nella sentenza del 2 marzo 2021, causa C-746/18, limitandole ai procedimenti penali aventi ad oggetto forme gravi di criminalità e solo previo controllo dei presupposti effettuato da un giudice, soggetto terzo rispetto al richiedente l'accesso ed in grado di esercitare il proprio controllo in modo obiettivo ed imparziale, senza influenze esterne.

Solo in casi di urgenza, ossia quando dal ritardo nell'acquisizione dei dati possa derivarne grave pregiudizio alle indagini, è stato tuttavia ammesso che il pubblico ministero possa richiedere direttamente i dati, con proprio decreto motivato, che deve essere comunicato immediatamente e comunque non oltre quarantott'ore al giudice per la convalida nelle successive quarantott'ore con proprio decreto motivato (art. 132 cod. privacy, comma 3-bis), «analogamente» (facendo un parallelo) a quanto previsto dall'art. 267, comma 2, c.p.p., in relazione alle intercettazioni.

Il comma 3 dell'art. 132 cod. privacy, come modificato dal decreto-legge, non contempla più la possibilità per i difensori di imputati o indagati di richiedere l'accesso ai dati di traffico telefonico entrante direttamente al fornitore, con riferimento alle utenze dei propri assistiti (non di terze persone); anche in questo caso, infatti, la domanda deve essere avanzata al giudice e da questi esaminata (salvo casi di urgenza). Rispetto al previgente assetto normativo è stata, pertanto, ristabilita la parità delle parti nel contraddittorio, ai fini delle richieste probatorie, di cui all'art. 111, comma 2, Cost.

Esercizio dei diritti dell'interessato

I diritti dell'assistito (interessato), di cui al Capo III del Regolamento, sezioni da 1 a 4 (artt. da 12 a 22), ivi incluso il diritto di accesso, possono essere esercitati esclusivamente attraverso il Garante, per il tramite di un componente del Collegio designato dall'Autorità medesima. In tale circostanza è il Garante ad informare «l'interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell'interessato di proporre ricorso giurisdizionale» (art. 2-undecies, comma 3, terzo, quarto e quinto periodo cod. privacy) – cfr. comma 3-ter dell'art. 132 cod. privacy introdotto dal d.l. n. 132/2021, convertito con modificazioni dalla l. n. 178/2021; trattasi di una disposizione precedentemente contenuta nell'ultimo periodo del comma 3 dell'art. 132 cod. privacy, poi soppressa.

In applicazione dell'art. 23 Reg. (UE) 2016/679, l'art. 2-undecies cod. privacy, rubricato «Limitazioni ai diritti dell'interessato», disciplina i limiti della portata dei diritti dell'interessato di cui agli artt. da 15 a 22 Reg. (UE) 2016/679 medesimo, a salvaguardia di interessi giuridici meritevoli di tutela, già contemplati dall'art. 8 cod. privacy A-R, come quelli in materia di sostegno alle vittime di richieste estorsive o relativi: all'attività di Commissioni parlamentari d'inchiesta; alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria; alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte.

Ai sensi del comma 1 dell'art. 2-undecies cod. privacy, l'esercizio dei diritti dell'interessato di cui agli artt. da 15 a 22 Reg. (UE) 2016/679 non può avvenire con richiesta diretta al titolare del trattamento o con reclamo, qualora possa arrecare un pregiudizio effettivo e concreto ai predetti interessi giuridici meritevoli di particolare protezione. In tali casi, i diritti devono essere esercitati conformemente alla disciplina di settore (legge o regolamento), con la sola eccezione dell'attività svolta da Commissioni parlamentari inquirenti, per la quale si rinvia a quanto previsto dai regolamenti parlamentari o dalla fonte istitutiva della Commissione stessa, sia essa legge o atto parlamentare di rango non legislativo (art. 2-undecies, commi 2 e 3, cod. privacy).

Il comma 3 dell'art. 2-undecies cod. privacy precisa, poi, che l'esercizio dei diritti può subire un ritardo, una limitazione o finanche l'esclusione disposta con comunicazione motivata e resa senza dilazione, fintantoché ciò rappresenta una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e legittimi interessi dell'interessato, per salvaguardare gli interessi giuridici di cui sopra, con l'espressa esclusione di quelli relativi all'attività delle Commissioni parlamentari d'inchiesta – cfr. art. 2-undecies, comma 1, lett. a), b), d), e), f) e f-bis) come modificato dall'art. 24, commi 1 e 4, d.lgs. 10 marzo 2023, n. 24. Nei medesimi casi, i diritti dell'interessato possono essere esercitati anche tramite l'Autorità, come precedentemente descritto – cfr. relazione illustrativa allo schema di decreto legislativo «Atto Governo n. 22», recante disposizioni per l'adeguamento della normativa nazionale in materia di protezione dei dati personali alle disposizioni del Regolamento (UE) 2016/679 (trasmesso alle Camere per l'esame e sottoposto ad audizioni informali ed emendamenti, per poi giungere all'emanazione del d.lgs. n. 101/2018).

Si evidenzia che i dati di traffico, eventualmente richiesti ed ottenuti, possono essere utilizzati esclusivamente nell'ambito di un procedimento penale, non di un contenzioso civile, di volontaria giurisdizione ecc.

Freezing dei dati di traffico

Il d.lgs. n. 101/2018 non ha apportato modifiche ai commi 4-ter, 4-quater e 4-quinquies dell'art. 132 cod. privacy, come introdotti a suo tempo dall'art. 10, comma 1, l. n. 48/2008.

È stata mantenuta, infatti, la previsione di una specifica conservazione e custodia dei soli dati di traffico telematico – esclusi i contenuti delle comunicazioni – per un periodo non maggiore di novanta giorni, prorogabile per una durata complessiva sino ad un massimo di sei mesi, che può aggiungersi al termine di dodici mesi di cui al comma 1 dell'art. 132, su ordine del Ministero dell'Interno o dei soggetti da questo delegati, nonché di altri specifici organismi ed autorità di polizia giudiziaria indicati all'art. 226 del d.lgs. n. 272/1989«Norme di attuazione e coordinamento al codice di procedura penale».

Tale conservazione può essere richiesta ai fini dello svolgimento delle investigazioni preventive di cui all'art. 226 del d.lgs. n. 271/1989 (es. intercettazioni), ovvero per finalità di accertamento e repressione di specifici reati, anche in relazione alle eventuali istanze avanzate da autorità investigative straniere.

In tal caso è dovere del fornitore, al quale è diretto l'ordine (provvedimento) di conservazione, darvi esecuzione «senza ritardo», mantenere il più assoluto riserbo anche con riferimento alle attività svolte per il periodo di tempo indicato dall'autorità richiedente, nonché osservare rigorosamente le eventuali, specifiche modalità di custodia ivi indicate.

Misure ed accorgimenti a garanzia dell'interessato

Come noto tra le novità del d.lgs. n. 101/2018 vi era stata la modifica del comma 5 dell'art. 132 cod. privacy, relativo alle misure ed accorgimenti a garanzia dell'interessato, volti a garantire che i dati di traffico conservati per finalità di accertamento e repressione dei reati avessero «i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché ad indicare le modalità tecniche per la periodica distruzione dei dati di traffico, decorsi i termini di conservazione». Competeva al Garante prescrivere le predette misure ed accorgimenti, tramite provvedimenti di carattere generale adottati d'ufficio, ai sensi dell'art. 2-quinquiesdecies cod. privacy, rubricato «Trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico».

Era stato, così, eliminato il precedente rinvio all'art. 17 cod. privacy, abrogato dal d.lgs. n. 101/2018. Come noto, l'art. 17cod. privacy A-R, disciplinava l'istituto del prior checking, sulla base del quale il trattamento di dati personali, diversi da quelli di natura sensibile o giudiziaria, che presentava rischi specifici per i diritti, le libertà e la dignità delle persone fisiche era sottoposto ad una verifica preliminare del Garante (salvo esonero), su istanza di un titolare del trattamento, dietro segnalazione di un interessato o in altro modo. I rischi dovevano essere individuati rispetto alla natura dei dati, alle modalità di trattamento oppure agli effetti che ne potevano derivare.

La predetta verifica portava l'Autorità a prescrivere «misure ed accorgimenti a garanzia dell'interessato» con proprio provvedimento che, in alcuni casi, poteva avere carattere generale con riferimento a determinate categorie di titolari o di trattamenti. Tra questi, è doveroso annoverare il Provvedimento del 17 gennaio 2008 e successivo provvedimento di modifica ed integrazione del 24 luglio 2008, con cui sono state individuate elevate cautele nella formazione e conservazione dei dati di traffico telefonico e telematico per finalità di giustizia, da adottare a cura dei fornitori di servizi di comunicazione elettronica, come ad esempio: sistemi di autenticazione informatica basati su tecniche di strong authentication, attribuzione agli incaricati del trattamento di specifici profili di autorizzazione, i sistemi informatici distinti fisicamente da quelli utilizzati per gestire i dati di traffico anche per altre finalità, audit log, ecc.

Ebbene, nel mese di ottobre 2021 Il Consiglio dei Ministri ha approvato il d.l. n. 131/2021 recante «Disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali» (c.d. «Decreto capienze») le cui disposizioni sono entrate in vigore in data 11 ottobre 2021 (G.U. n. 241 del 8 ottobre 2021).

L'art. 9 del predetto decreto-legge, convertito con modificazioni della l. 3 dicembre 2021, n. 205 (G.U. n. 291 del 7 dicembre 2021) ha apportato diverse modifiche al codice privacy, tra le quali l'abrogazione del suindicato art. 2-quinquiesdecies cod. privacy e del comma 5 dell'art. 132 del cod. privacy. Alla luce di ciò, in coerenza con il quadro europeo, sono state introdotte delle semplificazioni per il trattamento di dati personali eseguito con finalità di interesse pubblico ed è venuta meno la previsione secondo cui l'Autorità Garante per la protezione dei dati personali poteva prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare era tenuto ad adottare, in caso di trattamenti posti in essere per compiti di interesse pubblico che presentavano rischi elevati ai sensi dell'art. 35 Regolamento.

Conservazione dei dati di traffico per finalità di contrasto al terrorismo

La riforma ha introdotto all'art. 132, un ultimo comma 5-bis, che fa salva la disciplina sulla conservazione dei dati di traffico per finalità di contrasto del terrorismo di cui alla predetta legge europea 2017, stabilendo in settantadue mesi «il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta», in deroga rispettivamente al termine di ventiquattro o dodici mesi piuttosto che di trenta giorni previsto dall'art. 132, commi 1 e 1-bis, cod. privacy. L'eccezione in questione è ammessa per le sole finalità di accertamento e repressione dei più gravi reati di associazione a delinquere e di terrorismo di cui agli artt. 51, comma 3-quater, e 407, comma 2, lettera a), c.p.p.).

Tale disposizione, come già ricordato, dà attuazione alla facoltà riconosciuta a ciascuno Stato membro dell'Unione europea di adottare misure legislative che limitano alcune garanzie sulla vita privata (riservatezza delle comunicazioni e dei dati sul traffico, presentazione e restrizione dell'identificazione della linea chiamante e collegata, dati sull'ubicazione diversi dai dati di traffico ai sensi degli artt. da 5 a 6, art. 8 paragrafi da 1 a 4, e art. 9 dir. 2002/58/CE) quando ciò sia necessario, opportuno e proporzionato per la salvaguardia di interessi pubblici (art. 15 dir. 2002/58/CE).

Si evidenzia che, laddove una fattispecie di reato non rientri in nessuna di quelle previste dalla l. n. 167/2017, non si applica l'estensione del termine a settantadue mesi; al contrario, «valgono gli ordinari limiti temporali di conservazione (e accesso) previsti dalla disciplina generale» (cfr. Cass. pen. III, n. 48737/2019).

Inadempimento e sanzioni

In caso di violazione delle disposizioni di cui all'art. 132, commi da 1 a 5, cod. privacy è comminabile la sanzione amministrativa pecuniaria di cui all'art. 83, paragrafo 5, Regolamento: fino a 20 Mln/€ o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 166, comma 2, cod. privacy).

Spetta al Garante per la protezione dei dati personali, quale organo competente, irrogare la sanzione amministrativa; a tal fine, il procedimento per la sua adozione può essere avviato a seguito di reclamo (art. 77 Regolamento), di attività istruttoria su propria iniziativa [propria dell'autorità nazionale, n.d.r.], nell'esercizio dei poteri di indagine (art. 58, paragrafo 1, Regolamento), per accessi, ispezioni o verifiche svolte in base a poteri di accertamento autonomi o delegati dal Garante medesimo.

Nell'adozione di un provvedimento sanzionatorio può trovare applicazione, altresì, la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante (art. 166, comma 7, cod. privacy). In aggiunta a ciò, il Decreto Capienze ha introdotto, a titolo di sanzione accessoria, la possibilità di ingiungere la realizzazione di campagne di comunicazione istituzionale per promuovere la consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell'art. 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di sensibilizzazione in materia, realizzate dal trasgressore anteriormente alla commissione della violazione, come una sorta di «attenuante». Tale intervento legislativo si muove, dunque, nel senso di promuovere la responsabilità sociale di impresa su di un'attività (in)formativa, divulgativa, educativa in ambito data protection e, quindi, di incentivare un cambio di direzione nella gestione d'impresa e nella strategia aziendale verso un orientamento socialmente responsabile, volto a migliorare progressivamente e sistematicamente l'impatto sociale della propria attività economica e, conseguentemente, la propria immagine come percepita da osservatori esterni (Rasche, Morsing, Moon, 309 ss.).

In merito alle sanzioni, occorre infine evidenziare che l'art. 15, comma 1, lett. a) del d.lgs. n. 101/2018 disciplinante «Modifiche alla parte III, titolo III, del decreto legislativo 30 giugno 2003, n. 196» è intervenuto sull'art. 166 cod. privacy «Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori» sostituendolo integralmente e prevedendo espressamente al comma 2 che sono «soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli [omissis] 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater [omissis]».