Trattamento dei dati personali ai fini d’indagine: l’accesso completo della polizia ai dati del cellulare, previa autorizzazione, non si limita alla lotta ai reati gravi

La polizia austriaca ha sequestrato il telefono cellulare del destinatario di un pacco dopo aver accertato, nel corso di un controllo in materia di stupefacenti, che tale pacco conteneva 85 grammi di cannabis. Successivamente ha tentato invano di sbloccare il cellulare al fine di accedere ai dati in esso contenuti. Essa non disponeva di un'autorizzazione del pubblico ministero o di un giudice, non ha documentato i suoi tentativi di sblocco e non ne ha informato l'interessato.

Quest'ultimo ha contestato il sequestro del suo telefono cellulare dinanzi a un giudice austriaco e solo nell'ambito di tale procedimento è venuto a conoscenza dei tentativi di sblocco del telefono. Il giudice austriaco chiede alla Corte di giustizia se la normativa austriaca che, a suo parere, consente alla polizia di procedere in tal senso, sia compatibile con il diritto dell'Unione (Direttiva UE 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati). Esso osserva che il reato contestato all'interessato è punibile con una pena detentiva di un anno al massimo e costituisce, pertanto, solo una contravvenzione.

La Corte di giustizia precisa anzitutto che, contrariamente a quanto sostenuto da alcuni governi, la pertinente normativa dell'Unione si applica non solo in caso di accesso riuscito ai dati personali contenuti in un telefono cellulare, ma anche al tentativo di accesso.

Essa constata poi che l'accesso all'insieme dei dati contenuti in un telefono cellulare può costituire un'ingerenza grave, se non addirittura particolarmente grave , nei diritti fondamentali della persona interessata. Infatti, tali dati, che possono includere messaggi, foto e la cronologia di navigazione su Internet, possono, se del caso, consentire di trarre conclusioni molto precise riguardo alla vita privata di tale persona. Inoltre, alcuni di questi dati possono essere particolarmente sensibili.

La gravità del reato oggetto dell'indagine costituisce uno dei parametri centrali in sede di esame della proporzionalità di tale ingerenza grave. Tuttavia, ritenere che solo la lotta contro i reati gravi possa giustificare l'accesso a dati contenuti in un telefono cellulare, limiterebbe indebitamente i poteri di indagine delle autorità competenti. Ne deriverebbe un aumento del rischio di impunità per i reati in generale e quindi un rischio per la creazione di uno spazio di libertà, sicurezza e giustizia nell'Unione. Ciò premesso, tale ingerenza nella vita privata e nella protezione dei dati deve essere prevista per legge, il che implica che il legislatore nazionale debba definire in modo sufficientemente preciso gli elementi da prendere in considerazione, in particolare la natura o le categorie dei reati pertinenti.

Tale accesso deve, del resto, essere subordinato ad un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente, salvo in casi di urgenza debitamente comprovati (In tal caso, il controllo deve avvenire in tempi brevi). Tale controllo deve garantire un giusto equilibrio tra, da un lato, i legittimi interessi connessi alle esigenze dell'indagine nell'ambito della lotta alla criminalità e, dall'altro, i diritti fondamentali al rispetto della via privata e alla protezione dei dati personali.

Infine, l'interessato deve essere informato dei motivi su cui si basa l'autorizzazione ad accedere ai suoi dati non appena la comunicazione di tale informazione non rischi più di compromettere le indagini (Nel caso di specie, l'interessato sapeva che il suo telefono cellulare era stato sequestrato quando le autorità di polizia austriache hanno tentato invano di sbloccarlo al fine di accedere ai dati in esso contenuti. In tali circostanze, sembra chiaro che informarlo del fatto che tali autorità avrebbero cercato di accedere a tali dati non avrebbe rischiato di compromettere le indagini, cosicché egli avrebbe dovuto esserne preventivamente informato).