A seguito dell'approvazione del D.L. n. 132/2021, la c.d. Data retention ha incontrato una riforma
Indice
Introduzione
Data retention: il disordine ante riforma
Data retention: cosa ha stabilito la CGUE
Data retention: no al tracciamento indiscriminato per finalità generali
La Cassazione sulla questione della retroattività della L. 178/2021
Introduzione
A seguito dell'approvazione del D.L. n. 132 del 2021, la c.d. Data retention ha incontrato una riforma che merita attenzione per le questioni irrisolte ancora in via di definizione. All’indomani della Sentenza della Corte di Giustizia Europea, acr. CGUE, sulla causa C-746/18 “H.K”, restano invariate le statuizioni concernenti le modalità di accesso ai dati personali degli utenti relativi alla ubicazione degli stessi e al traffico telefonico correlato per le finalità di contrasto alla criminalità.
Il riferimento normativo delle novità sulla conservazione dei dati personali dell'utente, riportato nel medesimo decreto, prende le mosse dalla decisione della Corte CGUE ed è stato convertito con alcune modifiche in L. 178/2021. Con l'espressione "Data retention" s'intende far riferimento al lasso temporale di conservazione dei dati personali dell'utenza. Si tratta di un argomento complesso e di non facile gestione, specie per gli attori preposti alla memorizzazione delle informazioni, i quali spesso raggirano le prescrizioni del legislatore a riguardo.
Data retention: il disordine ante riforma
Il mese di giugno del 2021 è stato segnato dalla pubblicazione sul sito istituzionale del Governo del nuovo decreto concernente i temi della Data retention. La nuova approvazione ha mutato un po' l'assetto normativo e concettuale iniziale, troppo vagheggiato nel testo emanato dal Governo precedente.
Anzitutto, è stata abrogata la compressione dei diritti civili sulle modalità di conservazione e utilizzo dei dati personali, che sono stati reintrodotti integralmente nella c.d. L. 178/221 e successive modifiche. I due provvedimenti, che hanno applicato le prescrizioni previste nelle relative disposizioni, son bellamente contestati da parte dell'UE, restando apertissime le questioni relative alla qualificazione degli apparati relazionali come utenti a rischio e non solo.
Nell'occhio del mirino sono finite, dunque, le conservazioni di tutti i dati generali dell'utenza registrata a servizi di fornitura di comunicazione elettronica, inclusa la modalità di acquisizione e il trattamento degli stessi. Restano sul tavolo delle nuove disposizioni normative i disordini sul difficile bilanciamento tra esigenze di investigazione giudiziaria e tutela della privacy.
Data retention: cosa ha stabilito la CGUE
In un’ articolata relazione sulla causa oggetto del presente articolo, la Corte di Giustizia Europea ha confermato le statuizioni precedenti sul senso della distinzione tra:
- ubicazione e traffico telefonico di informazioni personali, da un lato;
- dati afferenti alla identità civile dell’utenza, dall’altro.
In aggiunta a tale conferma, però, la CGUE se da un lato ha colto l’occasione per ribadire l’importanza della conservazione dei dati personali relativi all’identità civile ai fini della lotta generale alla criminalità; dall’altro ha stabilito nuove più rigide imposizioni sulla conservazione di informazioni relative al traffico telefonico e alla ubicazione degli utenti.
In effetti, i dati di natura identitaria civile possono dare utili indicazioni circa una precisa individuazione dell’autore di un reato. I dati di traffico telefonico e posizione, al contrario, possono conferire informazioni più allargate sulla persona, fino a ricomprendere tutte quelle azioni o altri elementi che potrebbero veicolare conclusioni affrettate sulla vita privata degli utenti osservati.
Ecco perché la Corte di Giustizia UE ha preferito tracciare in maniera più puntuale il perimetro delle acquisizioni delle informazioni dell'utenza ai fini di contrasto della criminalità.
Data retention: no al tracciamento indiscriminato per finalità generali
Le dichiarazioni della CGUE sembrano essere inequivocabili: è vietata ogni forma di acquisizione e conservazione indiscriminata di dati di traffico telefonico e ubicazione dell’utenza, se giustificati da semplice lotta generale alla criminalità.
Affinché si possa procedere ad un tracciamento in tal senso è necessaria la presenza di un prerequisito: minaccia alla sicurezza pubblica o rischio di forme di criminalità grave. In aggiunta a tale osservazione, la Corte ha ricordato l’importanza del limitato periodo di tempo per il quale si deve intendere attiva la conservazione dei dati e l’essenziale limitazione alle sole informazioni strettamente necessarie all’indagine.
La Cassazione sulla questione della retroattività della L. 178/2021
La decisione della CGUE ha modificato in maniera piuttosto evidente l’art. 132 del Codice della Privacy, concernente la captazione di informazioni relative al traffico telematico e telefonico nel processo penale. In parole semplici, si è colta l’occasione di rendere più stringenti i casi di Data retention, giustificandone la presenza solo per motivate ragioni di urgenza e per reati particolarmente gravi. Come accade in molte ipotesi di innovazione giuridica, si apre il problema della loro applicazione retroattiva, specie se rivolta a casi (non ancora conclusi) nati durante il passaggio da una vecchia a una nuova statuizione.
Sulla questione della Data retention, in particolare, e sui dati precedentemente acquisiti rispetto all’entrata in vigore della L.178/2021, la Corte di Cassazione si è espressa come riporta Filodiritto.com:
"I dati acquisiti in violazione delle disposizioni dei commi 3 e 3-bis non possono essere utilizzati” e che (art. 1, comma 1-bis, della Legge n.178/2021) “I dati relativi al traffico telefonico, al traffico telematico e alle chiamate senza risposta, acquisiti nei procedimenti penali in data precedente alla data di entrata in vigore del presente decreto, possono essere utilizzati a carico dell’imputato solo unitamente ad altri elementi di prova ed esclusivamente per l’accertamento dei reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e dei reati di minaccia e di molestia o disturbo alle persone con il mezzo del telefono, quando la minaccia, la molestia o il disturbo sono gravi”.
Da queste parole deriva una chiara delimitazione del nuovo regime ai soli casi di incrocio delle prove già acquisite con eventuali nuovi elementi di prova, ai fini di una valutazione più chiara del giudice, grazie alla derivata potenziata efficacia. Alla luce delle nuove forme di comunicazione telefonica, attraverso smartphone, social network, computer, l'acquisizione di una prova informatica, specie in ambito giuridico, può considerarsi un elemento strategico di fondamentale importanza per il corretto sviluppo di un processo civile o penale.
Per questa ragione, noi di bitCorp abbiamo esteso le nostre competenze al campo della Digital Forensics, conducendo investigazioni informatiche con tecnologie d'avanguardia. Contattaci per saperne di più!
Grazie,
bitCorp team