La Corte di Giustizia sull'acquisizione dei tabulati telefonici: la normativa europea osta ad una disciplina nazionale che riconosca la competenza del P.M.

L'art. 15, par. 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, deve essere interpretato nel senso che tale norma osta ad una normativa nazionale, la quale riconosca al pubblico ministero la competenza ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico telefonico e ad a quelli concernenti l'ubicazione dell'utenza ai fini di un'istruttoria penale.

Il Tribunale di Viru, Estonia, ha condannato l'imputata a una pena detentiva di due anni per aver commesso, nel periodo tra il 17 gennaio 2015 e il 1° febbraio 2016, vari furti di prodotti alimentari e di altri beni materiali, di valore compreso tra € 3 e € 40 e di somme di denaro di importi compresi tra € 5,2 e € 2100 euro e per aver utilizzato la carta bancaria di un'altra persona al fine di prelevare denaro da un distributore automatico di banconote, causando a tale persona un danno di circa € 4000 nonché per aver commesso atti di violenza nei confronti di una parte di un procedimento giudiziario. La condanna si fondava, tra l'altro, sui dati relativi a comunicazioni elettroniche, acquisiti dall'Autorità incaricata dell'indagine presso il fornitore di servizi di telecomunicazioni elettroniche nel corso del procedimento istruttorio in forza di varie autorizzazioni concesse dal Viru Ringkonnaprokuratuur (Procura distrettuale di Viru, Estonia) in base ad una previsione del codice di procedura penale estone.

La Corte di appello di Tartu, Estonia, ha confermato la condanna.

L'imputata ha proposto ricorso per cassazione.

Nel corso del giudizio di legittimità è stata sollevata questione pregiudiziale alla Corte di Giustizia dell'Unione ex art. 267 TFUE.

La Corte estone, in particolare, ha dubitato dell'ammissibilità come prova dei tabulati relativi alle comunicazioni, ritenendo che la norma del codice di rito nazionale, che ne permette la raccolta, non sia conforme all'art. 15 della direttiva 2002/52.

Questa disposizione, in particolare, ha ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull'ubicazione, consentendo agli Stati membri di derogare a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l'adozione legislativa di misure restrittive, purché la restrizione costituisca “una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica) e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica”.

Essa, allora, secondo il giudice del rinvio permette “un'ingerenza nei diritti fondamentali in questione di gravità tale che tale accesso dovrebbe essere limitato alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo per il quale le autorità nazionali hanno richiesto l'accesso ai dati conservati”. Inoltre, quanto più ampia è la quantità di dati cui le autorità nazionali hanno accesso, tanto più gravi devono essere i reati perseguiti mediante tale ingerenza.

La Corte estone, inoltre, ha espresso dubbi sulla possibilità di considerare il pubblico ministero estone come un'autorità indipendente, che può autorizzare l'accesso dell'autorità incaricata dell'indagine a dati relativi alle comunicazioni elettroniche, come richiesto dalla stessa giurisprudenza della Corte di Giustizia dell'Unione nella sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970), che ha aveva ad oggetto proprio la norma della direttiva dapprima citata.

Le questioni poste al vaglio della Corte europea possono essere così sintetizzate:

1) l'art. 15, par. 1, della direttiva 2002/58 va interpretato nel senso che, in un procedimento penale, l'accesso di autorità nazionali ai dati delle comunicazioni telefoniche, costituendo una rilevante ingerenza nei diritti fondamentali sanciti dalla Corta dei diritti fondamentali dell'Unione, debba essere limitato alla lotta contro le forme gravi di criminalità?

2) la stessa norma va interpretata nel senso che tanto più grande è la quantità di dati cui le autorità nazionali hanno accesso, tanto più gravi devono essere i reati perseguiti mediante tale ingerenza?

3) ed ancora, la medesima norma va interpretata nel senso che può considerarsi come un'autorità amministrativa indipendente, che può autorizzare la raccolta dei suddetti dati delle comunicazioni, il pubblico ministero, il quale dirige il procedimento istruttorio e che, sebbene, per legge, sia tenuto ad agire in modo indipendente, raccogliendo anche gli elementi a carico sia quelli a discarico, nel procedimento giudiziario, rappresenta la pubblica accusa nel processo?

1. Sulla prima e sulla seconda questione la Corte ha risposto affermando che l'art. 15, par. 1, della direttiva 2002/58, letto alla luce degli art. 7, 8 e 11 nonché dell'art. 52, par. 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica.

Tale conclusione è indipendente dalla durata del periodo per il quale l'accesso ai dati suddetti nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.

In particolare:

• l'accesso delle autorità pubbliche ai dati conservati dai fornitori di servizi di comunicazione elettronica può essere giustificato soltanto dall'obiettivo di interesse generale per il quale tale conservazione è stata imposta ai suddetti fornitori di servizi;
• la possibilità di uno Stato membro dell'Unione di limitare i diritti dei cittadini va valutata misurando la gravità della ingerenza e l'importanza dell'obiettivo perseguito mediante la limitazione;
• tra gli obiettivi generali il cui perseguimento permette la limitazione delle prerogative individuali vi è anche la prevenzione e l'accertamento dei reati;
• conformemente al principio di proporzionalità, tuttavia, soltanto la lotta contro le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all'ubicazione, sia questa generalizzata e indifferenziata oppure mirata;
• soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l'accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all'ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali utilizzate da quest'ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate.

Tanto premesso, secondo la Corte di giustizia “il principio di effettività impone al giudice penale nazionale di escludere informazioni ed elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all'ubicazione incompatibile con il diritto dell'Unione, od anche mediante un accesso dell'autorità competente a tali dati in violazione del diritto dell'Unione, nell'ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti di criminalità, qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova”.

2. Sulla terza questione, la Corte ha premesso che il pubblico ministero estone, sulla base del diritto nazionale, è tenuto ad agire in modo indipendente, raccogliendo gli elementi a carico, ma anche quelli a discarico dell'indagato, ed è soggetto solo alla legge. Lo stesso pubblico ministero, inoltre rappresenta la pubblica accusa nel processo.

Ha poi aggiunto che è il diritto nazionale a dover prevedere le condizioni alle quali le compagnie che gestiscono i servizi di comunicazioni debbono consentire all'autorità l'accesso ai dati in loro possesso. La legge deve prevedere e condizioni sostanziali e procedurali, offrendo ai cittadini garanzie sufficienti contro i rischi di abuso.

A questo proposito, l'accesso ai dati delle comunicazioni può essere consentito soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un'altra in un illecito del genere. Tuttavia, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l'accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo.

È essenziale che l'accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato da un giudice o da un'entità amministrativa indipendente e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell'ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate.

In caso di urgenza debitamente giustificata, il controllo deve intervenire entro termini brevi.

Tale controllo preventivo richiede, tra l'altro, che il giudice o l'entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in gioco.

Qualora tale controllo venga effettuato non da un giudice bensì da un'entità amministrativa indipendente, quest'ultima deve godere di uno status che le permetta di agire nell'assolvimento dei propri compiti in modo obiettivo e imparziale.

Il requisito di indipendenza che l'autorità incaricata di esercitare il controllo preventivo deve soddisfare impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l'accesso ai dati, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna.

In ambito penale, il requisito di indipendenza implica che l'autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell'indagine penale di cui trattasi e, dall'altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale.

Ciò non si verifica nel caso di un pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l'azione penale. Infatti, il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l'azione penale.

La circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco.

Ne consegue che il pubblico ministero non è in grado di effettuare il controllo preventivo.

In conclusione, l'art. 15, par. 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli articoli 7, 8 e 11 nonché dell'art. 52, par. 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l'azione penale in un successivo procedimento, competente ad autorizzare l'accesso di un'autorità pubblica ai dati relativi al traffico telefonico e ad a quelli relativi all'ubicazione dell'utenza ai fini di un'istruttoria penale.

1. La sentenza illustrata, seppur relativa ad un rinvio pregiudiziale della Corte di cassazione estone, pare in grado di avere implicazioni molto rilevanti anche nel nostro ordinamento, in particolare nella parte in cui ha escluso che il pubblico ministero che autorizza l'acquisizione dei dati delle comunicazioni presso i fornitori dei servizi possa rappresentare l'autorità “che abbia la qualità di terzo rispetto a quella che chiede l'accesso ai dati”, presentando “una posizione di neutralità nei confronti delle parti del procedimento penale”, come richiesto dalla direttiva europea. Per cogliere la portata della decisione, pertanto, appare opportuno illustrare la normativa nazionale.

2. Questa materia, invero, è stata disciplinata dal d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali. L'art. 132, comma 1, di tale d.lgs. stabiliva che i dati relativi al traffico telefonico dovessero essere conservati dal fornitore per ventiquattro mesi, per finalità di accertamento e repressione di reati. Il comma successivo prevedeva che, decorso tale termine, i dati relativi al traffico telefonico fossero conservati dal fornitore per ulteriori ventiquattro mesi per esclusive finalità di accertamento e repressione dei delitti più gravi elencati nell'art. 407, comma 2, lett. a), c.p.p. nonché dei delitti in danno di sistemi informatici o telematici.

L'acquisizione dei dati presso il fornitore era regolata dai successivi commi 3 e 4 della stessa norma, che prevedevano l'adozione di un decreto motivato del giudice su istanza del pubblico ministero o del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

Nel diritto nazionale, dunque, era previsto che fosse il giudice per le indagini preliminari ad autorizzare l'acquisizione dei “tabulati”, pur se era già chiara la differenza tra tale acquisizione e l'autorizzazione di intercettazioni.

3. Il tema della conservazione dei dati relativi al traffico telefonico o a quello telematico e della loro eventuale acquisizione nel processo penale, infatti, era già stato oggetto di diverse decisioni del giudice delle leggi e della giurisprudenza di legittimità.

Limitando l'illustrazione agli interventi più recenti, la Corte costituzionale, con la sentenza 17 luglio 1998, n. 281, ha dichiarato inammissibile, la questione di costituzionalità sollevata con riferimento all'art. 267 c.p.p., nella parte in cui non prevede l'adozione di un provvedimento autorizzativo del giudice per l'acquisizione dei tabulati telefonici. Secondo questa decisione, è ragionevole la previsione di diverse tutele, in quanto per le intercettazioni, riguardando queste il contenuto del flusso delle comunicazioni, vi era la necessità dell'autorizzazione del giudice, mentre per l'acquisizione dei tabulati, concernente i soli dati esterni delle comunicazioni, era sufficiente l'adozione di un provvedimento motivato dell'autorità giudiziaria, tra cui va compreso il pubblico ministero.

Le Sezioni Unite della Corte di cassazione, poi, hanno confermato l'interpretazione del giudice delle leggi, affermando che l'intercettazione dei flussi di comunicazione telefonica, informatica o telematica, con la captazione dei contenuti del dialogo in corso all'insaputa di almeno uno degli interlocutori, debba avvenire con un controllo giurisdizionale preventivo o, in caso di urgenza, immediatamente successivo, come previsto dall'art. 267 c.p.p., mentre per quanto attiene ai tabulati telefonici, per acquisire i dati esterni concernenti i soli contatti, possa essere sufficiente il decreto motivato del pubblico ministero (Cass. pen., Sez. Unite, n. 6 del 23/02/2000, Rv. 215841). È stato altresì osservato che il soggetto titolare del rapporto contrattuale con l'ente gestore della telefonia è legittimato a chiedere e ad ottenere la documentazione dei dati memorizzati, che riguardano i suoi interlocutori, senza la necessità della richiesta di un provvedimento dell'autorità giudiziaria

4. Il decreto legge 27 luglio 2005 n. 144, convertito nella legge 31 luglio 2005 n. 155, in materia di misure contro il terrorismo internazionale, ha modificato la disciplina appena illustrata.

In particolare, in forza dell'art. 132, comma 1, del codice della privacy, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione di reati. Per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. Alla scadenza di tale termine i dati non sono più conservati e comunque non sarebbe più utilmente acquisibili al procedimento penale.

L'art. 132, comma 3, della medesima disposizione, infatti, prevede che, entro il termine di ventiquattro mesi, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private.

Il potere di disporre l'acquisizione dei tabulati, quindi, è stato affidato al pubblico ministero.

Il difensore dell'imputato o della persona sottoposta alle indagini, invece, secondo la medesima disposizione del Codice della privacy, può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo 391-quater c.p.p.

Successivamente, è stato introdotto dall'art. 2, comma 1, lett. b), del d.lgs. 30 maggio 2008, n. 109, l'art. 132, comma 1-bis, codice della privacy, in base al quale i dati delle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.

5. L'art. 11 del d.lgs. 10 agosto 2018 n. 101, più di recente, ha modificato i commi 3 e 5 ed ha inserito un nuovo comma 5-bis nell'art. 132 citato. Il nuovo comma 5-bis dell'art. 132 prevede che è “fatta salva la disciplina di cui all'articolo 24 della legge 20 novembre 2017, n. 1677” (cd. legge europea 2017). Al fine di contrasto al terrorismo, quest'ultima norma prevede che, in deroga all'art. 132 codice privacy, il termine di conservazione dei dati di traffico telefonico, telematico e relativo alle chiamate senza risposte sia di settantadue mesi in rapporto all'accertamento ed alla repressione, da un lato, dei delitti consumati o tentati con finalità di terrorismo (art. 51, comma 3-quater, cod. proc. pen.) e, dall'altro, dei reati ricompresi nell'elenco fissato all'art. 407, comma 2, lett. a), c.p.p.

6. Il quadro complessivo della disciplina della data retention, pertanto,si articola secondo una sorta di doppio binario a seconda del tipo di reato perseguito. I tempi di conservazione sono di regola scanditi nei ventiquattro mesi, dodici mesi, trenta giorni previsti dall'art. 132 d.lgs. n. 196 del 2003; nei casi in cui vengono in rilievo reati a matrice terroristica o previsti dall'art. 407, comma 2, lett. a), i tempi di conservazione sono dettati dall'art. 24 della legge n. 1677 del 2017 in settantadue mesi.

È stato opportunamente rilevato, peraltro, che il fornitore dei servizi, per adempiere ai suoi obblighi, non può fare altro che conservare in ogni caso tutti i dati di traffico per settantadue mesi, a meno che la richiesta di trasmissione di dati gli giunga entro i termini previsti dal codice privacy ed attenga alla repressione di un reato non previsto dalla legge europea 2017. È stato realizzato, pertanto, un sistema complesso nel quale va distinto il tempo di conservazione del dato da quello entro il quale è legittima l'acquisizione processuale degli stessi (cfr. S. Signorato, Novità in tema di data retention. La riformulazione dell'art. 132 codice privacy da parte del d.lgs. 10 agosto 2018, n. 101, in Dir. pen. contemp. 28/11/2018).

7. Secondo l'indirizzo giurisprudenziale consolidato, il rispetto dei termini entro i quali i dati debbono essere conservati rileva ai fini della loro utilizzabilità. Sono inutilizzabili, infatti, i dati contenuti nei tabulati telefonici acquisiti dall'Autorità giudiziaria senza rispettare i termini di cui all'art. 132 del d.lgs. n. 196 del 2003 (Cass., Sez. V, n. 15613 del 5/12/ 2014, dep. 2015, in CED Cass. Rv. 263805). L'art. 132, comma 1, Codice della privacy, invero, disciplina un divieto di conservazione degli stessi da parte del gestore al fine di consentire l'accertamento dei reati oltre il periodo normativamente predeterminato (Cass. pen., Sez. V, n. 7265 del 25/01/2016, in CED Cass. Rv. 267144). I dati conservati oltre i termini indicati, se acquisiti agli atti, costituiscono una prova illegale in quanto vietata dalla legge e la cui utilizzazione è dunque esclusa in maniera assoluta.

8. Il provvedimento di acquisizione del pubblico ministero, comunque, deve essere motivato e questa motivazione consiste nell'indicazione della necessità investigativa che suggerisce di compiere l'atto.

Al riguardo, secondo l'orientamento giurisprudenziale consolidato, ai fini dell'acquisizione dei tabulati relativi al traffico telefonico, l'obbligo di motivazione del provvedimento acquisitivo, stante il modesto livello di intrusione nella sfera di riservatezza delle persone, è soddisfatto anche con espressioni sintetiche, nelle quali si sottolinei la necessità dell'investigazione, in relazione al proseguimento delle indagini ovvero all'individuazione dei soggetti coinvolti nel reato, o si richiamino, con espressione indicativa della loro condivisione da parte dell'autorità giudiziaria, le ragioni esposte da quella di polizia. È stato sufficientemente motivato, ad esempio, il provvedimento acquisitivo con richiamo alla assoluta necessità dell'acquisizione ai fini del proseguimento delle indagini (Cass. pen., Sez. I, n. 37212 del 28/04/2014, Rv. 260589; Cass. pen., Sez. I, n. 46086 del 26/09/2007, Rv. 238170).

9. È il caso anche di aggiungere che, per l'acquisizione di tabulati relativi al traffico telefonico da altro procedimento, inoltre, non è necessaria la procedura richiesta, per le intercettazioni telefoniche, dall'art. 270 c.p.p. (Cass. pen., Sez. II, n. 43329 del 18/10/2007, Rv. 238834). Questo orientamento costituisce il diretto portato dell'affermazione secondo cui l'acquisizione dei tabulati è mezzo di ricerca della prova diverso dall'intercettazione di comunicazioni o conversazioni.

10. Così illustrata la disciplina della conservazione e dell'acquisizione dei dati relativi al traffico telefonico, deve rilevarsi che, in questa materia, sono intervenute le direttive 2002/58/CE e 2006/24/CE.

La prima direttiva ha ad oggetto i diritti alla riservatezza delle comunicazioni, dei dati sul traffico e di quelli sull'ubicazione.

L'art. 15, par. 1, della normativa europea consente agli Stati membri di derogare a prescrizioni, divieti ed obblighi fissati per la tutela di quei diritti, con l'adozione legislativa di misure restrittive, purché la restrizione costituisca “una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica”.

La portata di tale statuizione è stata puntualizzata con riguardo all'attività di conservazione dei dati (c.d. data retention): la memorizzazione da parte di persone diverse dagli utenti o senza il loro consenso è ammessa solo ai fini e per il tempo strettamente necessario alla trasmissione della comunicazione, nonché, a date condizioni, per l'attività di fatturazione; diversamente, ogni dato è destinato alla distruzione o "anonimizzazione".

La direttiva 2006/24/CE, di modifica della precedente, si è posta l'obiettivo di armonizzare le disposizioni degli Stati membri in punto, non di divieto, ma di obbligo a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, o di una rete di comunicazione, di raccogliere e conservare, per un periodo di tempo determinato, dati ivi generati o trattati, allo scopo di cui all'art. 1, par. 1, “di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale".

11. A distanza di otto anni dall'adozione della direttiva, la Corte di Giustizia, affrontando il tema del bilanciamento tra i diritti fondamentali dell'individuo e l'esigenza di accertamento e repressione dei reati mediante acquisizione di dati e informazioni presso service providers, ha giudicato invalido il provvedimento europeo.

La Grande Sezione, nelle cause riunite C-293/12 e C-594/12, in data 8 aprile 2014 Digital Rights Ireland Ldt contro Minister for Communications, Marine and Natural Resources e a. e Karntner Landesregierung e a., su domande di pronuncia pregiudiziale proposte dalla High Court irlandese e dalla Verfassungsgerichtshof austriaca, si è occupata della legittimità della direttiva 2006/24/CE sul presupposto che già solo la previsione di un obbligo, in capo al provider, di conservare i dati, nonché della possibilità di accesso agli stessi da parte delle autorità nazionali, rappresentano un'interferenza nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta, al rispetto della vita privata e familiare.

Imprescindibile, quindi, il passaggio attraverso l'art. 52, par. 1, della Carta, ai sensi del quale eventuali limitazioni all'esercizio dei diritti e delle libertà da essa riconosciuti devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà; in altri termini, resistere al vaglio di proporzionalità e di stretta necessità con riguardo a finalità di interesse generale.

La Corte di Giustizia ha ritenuto che - nonostante l'oggettivo e meritevole interesse di "lotta alla criminalità grave", essenziale alla sicurezza pubblica e reso, certamente, efficace dal largo uso di moderne tecnologie - la direttiva non rispettasse i canoni di proporzionalità nella parte in cui non pone regole chiare e precise sull'applicazione della data retention, affidata ad un regime generalizzato ed indifferenziato, per utenti e mezzi di comunicazione.

È stata censurata, in particolare, l'assenza nella direttiva, con conseguente assoluta libertà sul punto degli Stati membri, di limiti oggettivi, sostanziali o procedurali, all'accesso e al successivo utilizzo dei dati da parte delle competenti autorità nazionali: per un verso, è generico il riferimento a "gravi reati, quali definiti da ciascuno Stato membro nella propria legislazione nazionale"; per altro verso, affinchè proporzionalità e stretta necessità possano essere effettivamente assicurate, si sarebbe dovuto imporre agli Stati membri di subordinare l'accesso al previo esame di un giudice o di un'autorità amministrativa indipendente.

12. Invalidata la direttiva 2006/24/CE per non aver prescritto standard minimi di garanzia legittimanti un obbligo di conservazione di dati finalizzato alla prevenzione e repressione di reati, la Corte di Giustizia è tornata sul tema con la sentenza del 21 dicembre 2016 c.d. Tele2 per rispondere al quesito se, dall'individuazione giurisprudenziale di tali standard, possa o meno dedursi l'imperatività degli stessi all'interno delle legislazioni nazionali, tenute comunque al rispetto dell'art. 15, par. 1, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. La Corte ha fornito una risposta affermativa, che fa discendere da un'interpretazione dell'art. 15, par. 1, alimentata, ancora una volta, dagli artt. 7, 8, 11 e 52 della Carta dei diritti fondamentali dell'Unione Europea: l'art. 15, par. 1 osta da una parte "ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione (...)"; dall'altra "ad una normativa nazionale la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all'ubicazione, e segnatamente l'accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell'ambito della lotta alla criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell'Unione".

13. È sorto, a questo punto, un vivace dibattito sulla sorte delle discipline nazionali che regolavano la materia, una volta invalidata la direttiva europea.

In questo contesto, la Corte di cassazione, ha affermato che i principi enunciati dalle sentenze della corte di Giustizia non hanno un particolare impatto sulla disciplina nazionale della conservazione e dell'acquisizione dei tabulati del traffico telefonico. Esse, infatti, hanno riguardato Stati privi di una regolamentazione dell'accesso e della conservazione dei dati (Cass. pen., Sez. V, n. 33851 del 24/04/2018; Cass. pen., Sez. III, 19/4/2019, n. 36380).

Lo Stato italiano, invece, si è dotato di una specifica disciplina.

L'art. 132 del d.lgs. n. 196 del 2003, attuativo della direttiva 2002/58/CE, prescrive che i dati di traffico telefonico e telematico siano conservati dai fornitori dei relativi servizi, per finalità di accertamento e di repressione dei reati, entro scadenze predeterminate e diversificate; il pubblico ministero può acquisirli presso il fornitore con decreto motivato, d'ufficio o su istanza.

Secondo la Corte di cassazione, la normativa nazionale rispetta gli standard di tutela delle prerogative individuali richiesti dalla normativa europea. Essa, infatti, enuncia la finalità di repressione dei reati; delimita sul piano temporale l'attività di memorizzazione; prevede l'intervento preventivo dell'autorità giudiziaria, funzionale all'effettivo controllo della stretta necessità dell'accesso ai dati nonché al rispetto del principio di proporzionalità in concreto.

15. L'indirizzo giurisprudenziale consolidato, inoltre, ritiene pienamente rispondente ai precetti sovranazionali la disciplina nazionale che assegna il potere di acquisizione dei dati al pubblico ministero e non al giudice (Cass. pen., Sez. V, n. 33851 del 24/04/2018; Cass. pen., Sez. III, 19/4/2019, n. 36380).

Sul punto, è stato rilevato che le sentenze europee, nelle versioni in francese e in inglese, fanno riferimento al necessario intervento di un'autorità giudiziaria, non prescrivendo esclusivamente l'intervento del giudice. Nella traduzione italiana delle sentenze in esame, invece, si richiede "un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente".

Deve ritenersi, pertanto, che il termine "giudice" non vada inteso in senso stretto, ma possa essere esteso sino al concetto di "autorità giudiziaria", che pacificamente ricomprende anche la figura del pubblico ministero.

Tale interpretazione valorizza in maniera adeguata il principio di indipendenza istituzionale, che nel sistema italiano, a differenza di quanto accade in altri ordinamenti Europei, caratterizza tutta la magistratura, anche quella requirente, e risulta avallata dall'accostamento del "giudice" alla "autorità amministrativa indipendente".

16. La sentenza della Corte di Giustizia, che è stata illustrata, mette in forte discussione le conclusioni della giurisprudenza nazionale circa la compatibilità della disciplina nazionale con le previsioni delle norme europee.

La Corte di giustizia, infatti, ha affermato che l'art. 15 della direttiva osta ad una normativa nazionale, la quale consenta l'accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull'ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica.

Tale conclusione è indipendente dalla durata del periodo per il quale l'accesso ai dati suddetti nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.

L'art. 132 del Codice della privacy, invece, non circoscrive la possibilità dell'acquisizione dei tabulati alle indagini relative alle gravi forme di criminalità, semmai, come si è visto, prevedendo un doppio regime di conservazione dei dati quanto alla gravità dei reati oggetto di investigazione.

Inoltre, la stessa disposizione del Codice della privacy, come pure è stato illustrato, assegna al pubblico ministero, “anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private”, il compito di disporre con decreto motivato detto acquisizione.

La Corte di Giustizia, invece, nonostante le garanzie di indipendenza del pubblico ministero estone (che, invero, non appaiono diverse da quelle riconosciuto allo stesso soggetto nel nostro ordinamento), ha ritenuto che tale organo non presenti il tratto della neutralità che permette di compiere il controllo sulle finalità perseguite con l'accesso ai dati delle comunicazioni.

Va solo rimarcato che nel nostro ordinamento il difensore dell'imputato o della persona sottoposta alle indagini possono richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'art. 391-quater c.p.p. Dunque, viene garantita la parità di accesso al mezzo di prova, ma comunque non è previsto che la raccolta dei dati sia autorizzata da una autorità “che abbia la qualità di terzo rispetto a quella che chiede l'accesso ai dati”, presentando “una posizione di neutralità nei confronti delle parti del procedimento penale”, come richiesto dalla direttiva europea. Tale tratto, secondo la sentenza in commento, non è ravvisabile nel pubblico ministero, autorità “coinvolta nella conduzione delle indagini”.

Le disposizioni dei Trattati non specificano gli effetti delle pronunce pregiudiziali. Se non si vuole mettere in discussione l'utilità del rinvio, deve ritenersi che la decisione della Corte di giustizia abbia portata vincolante sul giudice del rinvio. Questi è tenuto a conformarsi all'interpretazione resa dalla Corte per la risoluzione della lite principale (c.d. effetti endoprocessuali).

La vincolatività della sentenza interpretativa, inoltre, non impedisce comunque al giudice nazionale di sollevare un nuovo rinvio alla Corte, anche al fine di provocarne un mutamento.

L'efficacia delle sentenze interpretative, tuttavia, si estende anche al di fuori del giudizio principale (c.d. effetti extraprocessuali). Tali sentenze, infatti, pur originando da una specifica controversia, hanno carattere astratto, essendo volte a chiarire l'interpretazione e la portata delle disposizioni comunitarie. Uno degli scopi fondamentali del rinvio pregiudiziale è quello di assicurare l'uniforme applicazione del diritto dell'Unione. Tale scopo sarebbe frustrato se le sentenze interpretative della Corte dispiegassero i propri effetti soltanto nella causa a qua (cfr. R. Mastroianni, Pregiudiziale comunitaria, in Digesto discipline penalistiche, 2010).

Ne deriva, pertanto, che l'interpretazione dell'art. 15, par. 1, della direttiva 2002/58 fornita dalla Corte di Giustizia nella causa illustrata, sebbene concerna una vicenda estone, assume rilievo anche per valutare la conformità della normativa italiana alla disciplina comunitaria.