L'acquisizione dei tabulati telefonici e il diritto sovranazionale in tema di tutela della privacy

In tema di acquisizione di dati contenuti in tabulati telefonici, la disciplina prevista dall'art. 132 del d.lgs. n. 196 del 2003, è compatibile con il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/CE e 2006/24/CE), come interpretate dalla giurisprudenza della Corte di Giustizia dell'Unione Europea.

La Corte di Appello di Bologna, in parziale riforma della sentenza del Tribunale di Ravenna, ha dichiarato estinto per intervenuta prescrizione uno dei reati ascritti ad uno dei due imputati, confermando la condanna per entrambi con riferimento agli altri delitti di cessione di stupefacenti e rideterminando la relativa pena.

Avverso questa decisione, gli imputati hanno proposto ricorso per Cassazione.

Uno di essi, tra l'altro, ha lamentato che l'unico indizio posto a fondamento della decisione di condanna è rappresentato dalla presenza dell'imputato sul luogo del delitto, desunta dalla disponibilità di un'utenza mobile. Tale elemento non sarebbe sufficiente per addivenire alla responsabilità penale dell'imputato. In ogni caso, l'utenza mobile è stata localizzata sulla base dei dati ricavabili dai tabulati telefonici acquisiti in forza dell'art. 132 del d.lgs. n. 196 del 2003. Questa disposizione, tuttavia, sarebbe in contrasto con gli artt. 7, 8 e 52 par. 1 della Carta dei diritti fondamentali UE, come interpretati dalla Corte di Giustizia dell'Unione Europea con la sentenza del 8/04/2014, in relazione alla direttiva 2006/24/CE in materia di data retention, con conseguente inutilizzabilità dei dati acquisiti.

Più in particolare, l'inutilizzabilità ex art. 191 cod. proc. pen. deriverebbe dalla lesione dei diritti fondamentali della persona, arrecata dall'art. 132 citato, per la mancanza dell'indicazione dei reati al cui accertamento è volta l'acquisizione del dato e per la scelta di attribuire ad una parte del procedimento penale, cioè, al pubblico ministero, la decisione di acquisire i dati. La direttiva 2006/24/CE, agli art. 3, 4 e 6, inoltre, prevederebbe la conservazione dei dati derivanti dalle comunicazioni telefoniche e telematiche solo per il perseguimento di gravi reati e ai soli fini di indagine.

In subordine, il medesimo ricorrente ha chiesto il rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia dell'Unione Europea affinché accerti se gli artt. 7, 8 e 52 par. 1 della Carta dei diritti fondamentali UE ostino ad una normativa nazionale, come quella dell'art. 132 del d.lgs. n. 196 del 2003, che consente l'acquisizione e la conservazione del traffico telematico per qualsiasi tipo di reato e senza un previo controllo della richiesta da parte di un'autorità indipendente.

La sentenza si segnala perché ritorna su una questione di notevole rilievo.

La disciplina dell'art. 132 del d.lgs. 30/06/2003, n. 196, Codice in materia di protezione dei dati personali, nella parte in cui prevede che i dati relativi al traffico telefonico, conservati dal fornitore per ventiquattro mesi dalla data della comunicazione per finalità di accertamento e repressione di reati, sono acquisiti presso il fornitore con decreto motivato del pubblico ministero, anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, è conforme alle regole unionali? In particolare, essa rispetta la direttiva 2006/24/CE in materia di data retention, come interpretata dalla Corte di Giustizia?

1. La Corte ha ravvisato il vizio della motivazione della sentenza di merito, ritenendo che la conclusione a cui è giunta la Corte di appello per affermare la penale responsabilità di uno degli imputati fosse contraddittoria.

Al riguardo, oltre a evidenziare i limiti circa i criteri adoperati per l'attribuzione dell'utenza mobile all'imputato, è stato rilevato che l'elemento di prova costituito della presenza di un telefono in una determinata “cella” dimostra, solo ed esclusivamente, che l'utilizzatore di quel telefono si trova in una data zona. Questa zona, peraltro, è piuttosto grande, perché le celle telefoniche “agganciate” dall'utenza mobile non identificano un luogo preciso, ma un'area di copertura della rete telefonica di grandezza variabile.

Nel caso in esame, per giunta, la dimensione dell'area non è stata neanche indicata.

L'utilizzatore del cellulare, pertanto, si sarebbe potuto trovare anche in un luogo differente da quello in cui era presente colui che è stato ritenuto il complice che ha ceduto la sostanza stupefacente.

Secondo la Corte, più precisamente, «la presenza del possessore di un telefono cellulare in una data zona, più o meno ampia rispetto alla grandezza della cella, può essere qualificato quale indizio, ma di per sé non dimostra nulla, anche se l'utenza è precisamente attribuita ad una determinata persona: per avere una valenza probatoria, tale da poter portare ad una sentenza di condanna, occorrono altri indizi, ugualmente gravi e precisi, ed infine tutti concordanti, che possano consentire di affermare che il possessore dell'utenza ha commesso il reato».

2. La Corte, invece, ha ritenuto infondato il motivo relativo all'inutilizzabilità dei tabulati telefonici in base ai quali è stata desunta l'area in cui si trovava la predetta utenza mobile.

Al riguardo, è stato ribadito quanto già affermato dal giudice di legittimità (Cass., Sez. V, 24/04/2018, n. 33851), secondo cui, in tema di acquisizione di dati contenuti in tabulati telefonici, la disciplina prevista dall'art. 132 del d.lgs. n. 196 del 2003, è compatibile con il diritto sovranazionale in tema di tutela della privacy (direttive 2002/58/CE e 2006/24/CE), come interpretate dalla giurisprudenza della Corte di Giustizia dell'Unione Europea.

L'art. 15, par. 1, della direttiva 2002/58/CE, avente ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull'ubicazione, infatti, consente agli Stati membri di derogare a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l'adozione legislativa di misure restrittive, purché la restrizione costituisca “una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica) e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica”.

La memorizzazione e la conservazione dei dati (cd. data retention) da parte di persone diverse dagli utenti o senza il loro consenso, inoltre, è ammessa solo ai fini e per il tempo strettamente necessario alla trasmissione della comunicazione nonché, a date condizioni, per l'attività di fatturazione; diversamente, ogni dato è destinato alla distruzione o ad essere reso anonimo.

La successiva direttiva 2006/24/CE, di modifica della direttiva 2002/58/CE, inoltre, ha perseguito l'obiettivo di armonizzare le disposizioni degli Stati membri quanto all'obbligo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, o di una rete di comunicazione, di raccogliere e conservare, per un periodo determinato, dati ivi generati o trattati, allo scopo, indicato nell'art. 1, par. 1, “di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”.

3. Il tema del bilanciamento tra i diritti fondamentali dell'individuo e l'esigenza di accertamento e repressione dei reati mediante acquisizione di dati e informazioni presso service providers, invero, è stato affrontato da due sentenze della Grande Sezione della Corte di Giustizia.

La prima di esse, emessa nelle cause riunite C-293/12 e C594/12, decisa in data 8 aprile 2014, Digital Rights Ireland Ldt contro Minister for Communications, Marine and Natural Resources e a. e Karntner Landesregierung e a., a seguito di domande di pronuncia pregiudiziale proposte dalla High Court irlandese e dalla Verfassungsgerichtshof austriaca, si è occupata della legittimità della direttiva 2006/24/CE sul presupposto che già solo la previsione di un obbligo, in capo al provider, di conservare i dati nonché della possibilità di accesso agli stessi da parte delle autorità nazionali, rappresenta un'interferenza nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta, al rispetto della vita privata e familiare. Ne consegue che è imprescindibile il rispetto dell'art. 52, par. 1, della Carta, ai sensi del quale eventuali limitazioni all'esercizio dei diritti e delle libertà da essa riconosciuti devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà, resistendo al vaglio di proporzionalità e di stretta necessità con riguardo a finalità di interesse generale.

La Corte di Giustizia ha ritenuto che - nonostante l'oggettivo e meritevole interesse di "lotta alla criminalità grave", essenziale alla sicurezza pubblica e reso, certamente, efficace dal largo uso di moderne tecnologie - la direttiva non rispettasse i canoni di proporzionalità nella parte in cui non pone regole chiare e precise sull'applicazione della data retention, che, invece, è affidata ad un regime generalizzato ed indifferenziato, per utenti e mezzi di comunicazione.

Oggetto di censura, in particolare, è stata l'assenza nella direttiva, con conseguente assoluta libertà sul punto degli Stati membri, di limiti oggettivi, sostanziali o procedurali, all'accesso e al successivo utilizzo dei dati da parte delle competenti autorità nazionali: per un verso, è generico il riferimento a “gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”; per altro verso, affinché proporzionalità e stretta necessità possano essere effettivamente assicurate, si sarebbe dovuto imporre agli Stati membri di subordinare l'accesso al previo esame di un giudice o di un'autorità amministrativa indipendente.

La Corte di Giustizia, pertanto, ha invalidato la direttiva 2006/24/CE per non aver prescritto standard minimi di garanzia legittimanti un obbligo di conservazione di dati finalizzato alla prevenzione e repressione di reati.

4. Con la sentenza del 21 dicembre 2016, nelle cause riunite C-203/15 e C698/15, del 21 dicembre 2016, Tele2 Sverige AB contro Post-och telestyrelsen e Secretary of State for the Home Department contro Tom Watson e a., su domande di pronuncia pregiudiziale proposte dal Kammarratten i Stockholm svedese e dalla Court of Appeal britannica, poi, la Corte di Giustizia ha affermato che gli standard individuati dalla giurisprudenza della Corte europea hanno una valenza imperativa all'interno delle legislazioni nazionali, tenute comunque al rispetto dell'art. 15, par. 1, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE, in forza di un'interpretazione della norma appena citata collegata agli artt. 7, 8, 11 e 52 della Carta dei diritti fondamentali dell'Unione Europea.

In particolare, secondo questa, l'art. 15, par. 1,della direttiva 2002/58/CE osta, sia “ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione (...)”, sia “ad una normativa nazionale la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all'ubicazione, e segnatamente l'accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell'ambito della lotta alla criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell'Unione".

5. La Corte di cassazione, a questo punto, ha ribadito che i principi enunciati dalle sentenze della Corte di Giustizia riguardano gli Stati membri dell'Unione che sono privi di una regolamentazione dell'accesso e della conservazione dei dati del traffico telefonico.

Lo Stato italiano, invece, si è dotato di una specifica disciplina. L'art. 132 del d.lgs. n. 196 del 2003, attuativo della direttiva 2002/58/CE, difatti, prescrive che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d'ufficio o su istanza.

Nella disciplina nazionale, pertanto, si rinvengono l'enunciazione della finalità di repressione dei reati; la delimitazione temporale dell'attività di memorizzazione; l'intervento preventivo dell'autorità giudiziaria, funzionale all'effettivo controllo della stretta necessità dell'accesso ai dati nonché al rispetto del principio di proporzionalità in concreto. Ciò già vale ad escludere il contrasto prospettato tra la disciplina nazionale e quella europea.

6. Secondo la sentenza in esame, inoltre, la normativa europea non osta a che il potere di acquisire i dati sia attribuito al pubblico ministero.

Nella traduzione italiana delle sentenze della corte di Giustizia, infatti, si riporta la frase “un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente”. Questa traduzione non è del tutto fedele al testo della sentenza della Corte di Giustizia, perché nella versione francese delle sentenze, è stato adoperato il termine juridiction, riferibile quindi alla magistratura francese nel suo complesso, composta da giudici e da pubblici ministeri (magistrats du parquet).

Nella versione inglese delle sentenze viene adottato il termine "Court", anch'esso promiscuo, considerato che la funzione giudiziaria è, in via generale, indicata con la formula "Court clerk", mentre termini precisi designano il giudice (judge) e il pubblico ministero britannico (prosecutor), quest'ultimo privo della prerogativa italiana dell'indipendenza.

Pertanto, più che al giudice, deve farsi riferimento all'autorità giudiziaria, locuzione che pacificamente ricomprende anche la figura del pubblico ministero.

L'indipendenza istituzionale garantita al pubblico ministero italiano, che rientra nell'ambito dell'autorità giudiziaria, del resto, è garanzia di sufficiente tutela, posto per altro che le sentenze della Corte di Giustizia consentirebbero l'acquisizione del dato anche ad una autorità amministrativa indipendente.

7. Secondo la sentenza in commento, la soluzione offerta è coerente con il sistema di tipo accusatorio, nel quale, nel corso delle indagini preliminari, è il pubblico ministero l'autorità giudiziaria che procede, e con il sistema processuale che prevede, mediante le indagini difensive ed i poteri riconosciuti ai difensori anche in tema di acquisizione del dato, l'estensione, anche se parziale, del potere investigativo alla difesa. E ciò in una situazione in cui l'acquisizione del dato genera una compromissione decisamente inferiore rispetto a quella relativa alla captazione delle conversazioni, sia telefoniche che ambientali, la cui tutela è affidata invece al controllo del giudice per le indagini preliminari.

8. La questione, per come proposta nel caso de quo, peraltro, è irrilevante, sia per l'assenza di elementi di prova nei confronti dell'imputato, anche utilizzando il dato emergente dai tabulati, sia perché il reato per cui si procede è punito con la pena da 6 a 20 anni di reclusione ed il contrasto alla criminalità collegata al mercato degli stupefacenti rientra tra le finalità indicate dalla giurisprudenza europea che legittimano la compressione della riservatezza individuale.

1. Il tema della conservazione dei dati relativi al traffico telefonico o a quello telematico e della loro eventuale acquisizione nel processo penale è stato oggetto di diversi pronunciamenti del giudice delle leggi e della giurisprudenza di legittimità.

Limitando l'illustrazione agli interventi più recenti, la Corte Costituzionale, con la sentenza 17 luglio 1998, n. 281, aveva dichiarato inammissibile, la questione di costituzionalità sollevata con riferimento all'art. 267 cod. proc. pen., nella parte in cui non prevede l'adozione di un provvedimento autorizzativo del giudice per l'acquisizione dei tabulati telefonici. Secondo questa decisione, è ragionevole la previsione di diverse tutele, in quanto per le intercettazioni, riguardando queste il contenuto del flusso delle comunicazioni, vi era la necessità dell'autorizzazione del giudice, mentre per l'acquisizione dei tabulati, concernente i soli dati esterni delle comunicazioni, era sufficiente l'adozione di un provvedimento motivato dell'autorità giudiziaria, tra cui va compreso il pubblico ministero.

Le Sezioni Unite della Corte di cassazione, hanno confermato l'interpretazione del giudice delle leggi, affermando che l'intercettazione dei flussi di comunicazione telefonica, informatica o telematica, con la captazione dei contenuti del dialogo in corso all'insaputa di almeno uno degli interlocutori, debba avvenire con un controllo giurisdizionale preventivo o, in caso di urgenza, immediatamente successivo, come previsto dall'art. 267 cod. proc. pen., mentre per quanto attiene ai tabulati telefonici, per acquisire i dati esterni concernenti i soli contatti, possa essere sufficiente il decreto motivato del pubblico ministero (Cass. pen., Sez. U, n. 6 del 23/02/2000, Rv. 215841). È stato altresì osservato che il soggetto titolare del rapporto contrattuale con l'ente gestore della telefonia è legittimato a chiedere e ad ottenere la documentazione dei dati memorizzati, che riguardano i suoi interlocutori, senza la necessità della richiesta di un provvedimento dell'autorità giudiziaria.

2. Il tema è stato disciplinato dal d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali. L'art. 132, comma 1, di tale d.lgs. stabiliva che i dati relativi al traffico telefonico dovessero essere conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione di reati. Il comma successivo prevedeva che, decorso tale termine, i dati relativi al traffico telefonico fossero conservati dal fornitore per ulteriori ventiquattro mesi per esclusive finalità di accertamento e repressione dei delitti più gravi elencati nell'art. 407, comma 2, lett. a), cod. proc. pen. nonché dei delitti in danno di sistemi informatici o telematici.

L'acquisizione dei dati presso il fornitore era regolata dai successivi commi 3 e 4 della stessa norma, che prevedevano l'adozione di un decreto motivato del giudice su istanza del pubblico ministero o del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

Il decreto legge 27 luglio 2005 n. 144, convertito nella legge 31 luglio 2005 n. 155, in materia di misure contro il terrorismo internazionale, ha modificato queste disposizioni.

In particolare, in forza dell'art. 132, comma 1, del codice della privacy, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione di reati. Per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. Alla scadenza di tale termine i dati non sono più conservati e comunque non sarebbe più utilmente acquisibili al procedimento penale.

L'art. 132, comma 3, della medesima disposizione, infatti, prevede che, entro il termine di ventiquattro mesi, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

Il potere di disporre l'acquisizione dei tabulati, quindi, è stato restituito al pubblico ministero. Il difensore dell'imputato o della persona sottoposta alle indagini, invece, può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quatercod. proc. pen.

Successivamente, è stato introdotto dall'art. 2, comma 1, lett. b), del d.lgs. 30 maggio 2008, n. 109, l'art. 132, comma 1-bis, Codice della privacy, in base al quale i dati delle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.

3. L'art. 11 del d.lgs. 10 agosto 2018 n. 101, da ultimo, ha modificato i commi 3 e 5 ed ha inserito un nuovo comma 5-bis nell'art. 132 citato. Il nuovo comma 5-bis dell'art. 132 prevede che è fatta salva la disciplina di cui all'articolo 24 della legge 20 novembre 2017, n. 1677 (c.d. legge europea 2017). Al fine di contrasto al terrorismo, quest'ultima norma prevede che, in deroga all'art. 132 codice privacy, il termine di conservazione dei dati di traffico telefonico, telematico e relativo alle chiamate senza risposte sia di settantadue mesi in rapporto all'accertamento ed alla repressione, da un lato, dei delitti consumati o tentati con finalità di terrorismo (art. 51, comma 3-quater, cod. proc. pen.) e, dall'altro, dei reati ricompresi nell'elenco fissato all'art. 407, comma 2, lett. a), cod. proc. pen.

Ne deriva che il quadro complessivo della disciplina della data retention si articola secondo una sorta di doppio binario a seconda del tipo di reato perseguito. I tempi di conservazione sono di regola scanditi nei ventiquattro mesi, dodici mesi, trenta giorni previsti dall'art. 132 d.lgs. n. 196 del 2003; nei casi in cui vengono in rilievo reati a matrice terroristica o previsti dall'art. 407, comma 2, lett. a), i tempi di conservazione sono dettati dall'art. 24 della legge n. 1677 del 2017 in settantadue mesi.

È stato opportunamente rilevato, peraltro, che il fornitore dei servizi, per adempiere ai suoi obblighi, non può fare altro che conservare in ogni caso tutti i dati di traffico per settantadue mesi, a meno che la richiesta di trasmissione di dati gli giunga entro i termini previsti dal codice privacy ed attenga alla repressione di un reato non previsto dalla legge europea 2017. È stato realizzato, pertanto, un sistema complesso nel quale va distinto il tempo di conservazione del dato da quello entro il quale è legittima l'acquisizione processuale degli stessi (cfr. S. Signorato, Novità in tema di data retention. La riformulazione dell'art. 132 codice privacy da parte del d.lgs. 10 agosto 2018, n. 101, in Dir. pen. contemp. 28/11/2018).

4. Secondo l'indirizzo giurisprudenziale consolidato, il rispetto dei termini entro i quali i dati debbono essere conservati rileva ai fini della loro utilizzabilità. Sono inutilizzabili, infatti, i dati contenuti nei tabulati telefonici acquisiti dall'Autorità giudiziaria senza rispettare i termini di cui all'art. 132 del d.lgs. n. 196 del 2003 (Cass., Sez. V, n. 15613 del 5 dicembre 2014, dep. 2015, in CED Cass. Rv. 263805). L'art. 132, comma 1, Codice della privacy, invero, disciplina un divieto di conservazione degli stessi da parte del gestore al fine di consentire l'accertamento dei reati oltre il periodo normativamente predeterminato (Cass. pen., Sez. V, n. 7265 del 25 gennaio 2016, in CED Cass. Rv. 267144). I dati conservati oltre i termini indicati, se acquisiti agli atti, costituiscono una prova illegale in quanto vietata dalla legge e la cui utilizzazione è dunque esclusa in maniera assoluta.

5. Il provvedimento di acquisizione, comunque, deve essere motivato e questa motivazione consiste nell'indicazione della necessità investigativa che suggerisce di compiere l'atto. Al riguardo, secondo l'orientamento giurisprudenziale consolidato, ai fini dell'acquisizione dei tabulati relativi al traffico telefonico, l'obbligo di motivazione del provvedimento acquisitivo, stante il modesto livello di intrusione nella sfera di riservatezza delle persone, è soddisfatto anche con espressioni sintetiche, nelle quali si sottolinei la necessità dell'investigazione, in relazione al proseguimento delle indagini ovvero all'individuazione dei soggetti coinvolti nel reato, o si richiamino, con espressione indicativa della loro condivisione da parte dell'autorità giudiziaria, le ragioni esposte da quella di polizia. È stato sufficientemente motivato, ad esempio, il provvedimento acquisitivo con richiamo alla assoluta necessità dell'acquisizione ai fini del proseguimento delle indagini (Cass. pen., Sez. I, n. 37212 del 28 aprile 2014, Rv. 260589; Cass. pen., Sez. I, n. 46086 del 26/09/2007, Rv. 238170).

6. Qualche perplessità sulla modestia dell'intrusione nella sfera di riservatezza della persona si potrebbe formulare con riferimento all'acquisizione dei dati esterni dei collegamenti IP di una determinata utenza telefonica. Al fine di individuare l'utenza da cui era stata trasmessa una mail, ad esempio, è stata ritenuta legittima l'acquisizione, con decreto motivato del pubblico ministero, dei dati esterni relativi ai collegamenti IP. In un'altra decisione è stato precisato che la verifica dell'avvenuta connessione ad un sito internet “può essere equiparata all'acquisizione di un tabulato telefonico” per il cui ottenimento basta, come è noto, solo un provvedimento dell'organo della pubblica accusa (Cass. pen., Sez. III, n. 29616 del 8 luglio 2010, in CED Cass. Rv. 248147, in una fattispecie relativa al reato di detenzione di materiale pedo-pornografico per l'accertamento del quale è stato operato dalla polizia giudiziaria l'accertamento della connessione tra un numero IP ed un certo sito; Cass. pen., Sez. III, n. 32926 del 11 aprile 2013, Rv. 257274).

I dati IP, tuttavia, possono fornire informazioni relative ad ogni “navigazione” in internet compiuta con un determinato computer collegato ad una certa utenza telefonica. E' probabile, allora, che da questi elementi si possano desumere informazioni più ampie rispetto a quelle che derivano dall'esame di un tabulato di una utenza telefonica. In quest'ultimo caso, infatti, si ricavano solo i contatti di un'utenza (oltre che la localizzazione del telefono). I dati IP non forniscono solo i dati esterni, ma anche indicazioni, più o meno precise, sui contenuti del materiale visionato nel corso dei collegamenti internet.

7. Per l'acquisizione di tabulati relativi al traffico telefonico da altro procedimento, inoltre, non è necessaria la procedura richiesta, per le intercettazioni telefoniche, dall'art. 270 cod. proc. pen. (Cass. pen., Sez. 2, n. 43329 del 18/10/2007, Rv. 238834). Questo orientamento è il diretto portato dell'affermazione secondo cui l'acquisizione dei tabulati è mezzo di ricerca della prova diverso dall'intercettazione di comunicazioni o conversazioni.

8. Così illustrata la disciplina della conservazione e dell'acquisizione dei dati relativi al traffico telefonico, deve rilevarsi che, in questa materia, sono intervenute le direttive 2002/58/CE e 2006/24/CE.

La prima direttiva ha ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull'ubicazione. L'art. 15, par. 1, della normativa europea consente agli Stati membri di derogare a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l'adozione legislativa di misure restrittive, purché la restrizione costituisca “una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica”.

La portata di tale statuizione è stata puntualizzata con riguardo all'attività di conservazione dei dati (c.d. data retention): la memorizzazione da parte di persone diverse dagli utenti o senza il loro consenso è ammessa solo ai fini e per il tempo strettamente necessario alla trasmissione della comunicazione, nonché, a date condizioni, per l'attività di fatturazione; diversamente, ogni dato è destinato alla distruzione o "anonimizzazione".

La direttiva 2006/24/CE, di modifica della precedente, si è posta l'obiettivo di armonizzare le disposizioni degli Stati membri in punto, non di divieto, ma di obbligo a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, o di una rete di comunicazione, di raccogliere e conservare, per un periodo di tempo determinato, dati ivi generati o trattati, allo scopo di cui all'art. 1, par. 1, “di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale".

9. A distanza di otto anni dall'adozione della direttiva, la Corte di Giustizia, affrontando il tema del bilanciamento tra i diritti fondamentali dell'individuo e l'esigenza di accertamento e repressione dei reati mediante acquisizione di dati e informazioni presso service providers, ha giudicato invalido il provvedimento europeo.

La Grande Sezione, nelle cause riunite C-293/12 e C-594/12, in data 8 aprile 2014 Digital Rights Ireland Ldt contro Minister for Communications, Marine and Natural Resources e a. e Karntner Landesregierung e a., su domande di pronuncia pregiudiziale proposte dalla High Court irlandese e dalla Verfassungsgerichtshof austriaca, si è occupata della legittimità della direttiva 2006/24/CE sul presupposto che già solo la previsione di un obbligo, in capo al provider, di conservare i dati, nonché della possibilità di accesso agli stessi da parte delle autorità nazionali, rappresentano un'interferenza nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta, al rispetto della vita privata e familiare.

Imprescindibile, quindi, il passaggio attraverso l'art. 52, par. 1, della Carta, ai sensi del quale eventuali limitazioni all'esercizio dei diritti e delle libertà da essa riconosciuti devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà; in altri termini, resistere al vaglio di proporzionalità e di stretta necessità con riguardo a finalità di interesse generale.

La Corte di Giustizia ha ritenuto che - nonostante l'oggettivo e meritevole interesse di "lotta alla criminalità grave", essenziale alla sicurezza pubblica e reso, certamente, efficace dal largo uso di moderne tecnologie - la direttiva non rispettasse i canoni di proporzionalità nella parte in cui non pone regole chiare e precise sull'applicazione della data retention, affidata ad un regime generalizzato ed indifferenziato, per utenti e mezzi di comunicazione.

E' stata censurata, in particolare, l'assenza nella direttiva, con conseguente assoluta libertà sul punto degli Stati membri, di limiti oggettivi, sostanziali o procedurali, all'accesso e al successivo utilizzo dei dati da parte delle competenti autorità nazionali: per un verso, è generico il riferimento a "gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale"; per altro verso, affinchè proporzionalità e stretta necessità possano essere effettivamente assicurate, si sarebbe dovuto imporre agli Stati membri di subordinare l'accesso al previo esame di un giudice o di un'autorità amministrativa indipendente.

10. Invalidata la direttiva 2006/24/CE per non aver prescritto standard minimi di garanzia legittimanti un obbligo di conservazione di dati finalizzato alla prevenzione e repressione di reati, la Corte di Giustizia è tornata sul tema con la sentenza del 21 dicembre 2016 c.d. Tele2 per rispondere al quesito se, dall'individuazione giurisprudenziale di tali standard, possa o meno dedursi l'imperatività degli stessi all'interno delle legislazioni nazionali, tenute comunque al rispetto dell'art. 15, par. 1, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. La Corte ha fornito una risposta affermativa, che fa discendere da un'interpretazione dell'art. 15, par. 1, alimentata, ancora una volta, dagli artt. 7, 8, 11 e 52 della Carta dei diritti fondamentali dell'Unione Europea: l'art. 15, par. 1 osta da una parte "ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione (...)"; dall'altra "ad una normativa nazionale la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all'ubicazione, e segnatamente l'accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell'ambito della lotta alla criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell'Unione".

11. E' sorto, a questo punto, un vivace dibattito sulla sorte delle discipline nazionali che regolavano la materia, una volta invalidata la direttiva europea. La Corte di cassazione, al riguardo, anche con la sentenza in commento, ha ribadito che i principi enunciati dalle sentenze della corte di Giustizia non hanno un particolare impatto sulla disciplina nazionale della conservazione e dell'acquisizione dei tabulati del traffico telefonico. Esse, infatti, hanno riguardato Stati privi di una regolamentazione dell'accesso e della conservazione dei dati.

Lo Stato italiano, invece, si è dotato di una specifica disciplina. L'art. 132 del d.lgs. n. 196 del 2003, attuativo della direttiva 2002/58/CE, prescrive che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d'ufficio o su istanza.

Secondo la Corte di cassazione, la normativa nazionale rispetta gli standard di tutela delle prerogative individuali pretesi dalla normativa europea. Essa, infatti, enuncia la finalità di repressione dei reati; delimita sul piano temporale l'attività di memorizzazione; prevede l'intervento preventivo dell'autorità giudiziaria, funzionale all'effettivo controllo della stretta necessità dell'accesso ai dati nonché al rispetto del principio di proporzionalità in concreto.

12. La sentenza in esame, inoltre, ha ribadito quanto affermato da Cass. pen., Sez. V, n. 33851 del 24/04/2018, sulla rispondenza ai precetti sovranazionali di una disciplina che assegna il potere di acquisizione dei dati al pubblico ministero e non al giudice.

Sul punto, è stato rilevato che le sentenze europee, nelle versioni in francese e in inglese, fanno riferimento al necessario intervento di un'autorità giudiziaria, non prescrivendo esclusivamente l'intervento del giudice. Nella traduzione italiana delle sentenze in esame, invece, si richiede "un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente".

Deve ritenersi, pertanto, che il termine "giudice" non vada inteso in senso stretto, ma possa essere esteso sino al concetto di "autorità giudiziaria", che pacificamente ricomprende anche la figura del pubblico ministero.

Tale interpretazione valorizza in maniera adeguata il principio di indipendenza istituzionale, che nel sistema italiano, a differenza di quanto accade in altri ordinamenti Europei, caratterizza tutta la magistratura, anche quella requirente, e risulta avallata dall'accostamento del "giudice" alla "autorità amministrativa indipendente".

13. Per mera completezza, appare opportuno segnalare che anche la Corte europea dei diritti dell'uomo ha ritenuto che l'ottenimento dei tabulati telefonici relativi ad utenze telefoniche non è lesivo dell'art. 8 CEDU, ove avvenuto nel rispetto di normative (nella specie, quella francese) che prevedono adeguate garanzie contro il rischio di abusi (Corte europea diritti dell'uomo Sez. V, 08/02/2018, Ben Faiza c. Francia).