ISSN 2704-8098
logo università degli studi di Milano logo università Bocconi
Con la collaborazione scientifica di

  Scheda  
07 Maggio 2021


La disciplina italiana in materia di data retention a seguito della sentenza della Corte di giustizia Ue: il Tribunale di Milano nega il contrasto con il diritto sovranazionale

Trib. Milano, VII Sez. penale, ord. 22 aprile 2021, Pres. Malatesta



1. Si segnala all’attenzione dei lettori un ulteriore, recente provvedimento, che si inserisce nel novero delle decisioni della giurisprudenza di merito concernenti gli effetti, nell’ordinamento interno, della più recente pronuncia della Corte di giustizia dell’Unione europea in materia di data retention (C. Giust. UE, G.S., 2 marzo 2021, C‑746/18, H. K.).

Quest’ultima, in particolare, ha ritenuto che l’art. 15, § 1, della direttiva 2002/58/CE, letto alla luce degli artt. 7, 8 e 11, nonché dell’articolo 52, § 1, della Carta dei diritti fondamentali dell’Unione europea, osti a una normativa nazionale la quale, in primo luogo, non limiti la possibilità di accesso a dati “esterni” concernenti le comunicazioni, idonei a fornire indicazioni precise sulla vita privata degli utenti, a finalità di accertamento e repressione di «forme gravi di criminalità», o di «prevenzione di gravi minacce alla sicurezza pubblica»; e, in secondo luogo, preveda la competenza del pubblico ministero, «il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento», ad autorizzare l’accesso ai dati stessi.

 

2. L’ordinanza del Tribunale di Milano in esame, nel rigettare l’eccezione difensiva di inutilizzabilità dei tabulati telefonici la cui acquisizione era stata richiesta dall’organo dell’accusa, ha adottato un approccio nettamente diverso da quello, ben più garantista, accolto nei decreti, di poco successivi, del g.i.p. di Roma, già commentati in questa Rivista (v. J. Della Torre, L’acquisizione dei tabulati telefonici nel processo penale dopo la sentenza della Grande Camera della Corte di Giustizia UE: la svolta garantista in un primo provvedimento del g.i.p. di Roma, 29 aprile 2021; A. Malacarne, Ancora sulle ricadute interne della sentenza della Corte di Giustizia in materia di acquisizione di tabulati telefonici: il G.i.p. di Roma dichiara il “non luogo a provvedere” sulla richiesta del p.m., 5 maggio 2021).

Questi ultimi, in particolare, hanno riconosciuto il contrasto con il diritto dell’Unione, nell’interpretazione fornitane dalla Corte di giustizia, della normativa italiana in materia di data retention, pur essendo giunti a conclusioni opposte in ordine alla possibilità di applicare in via diretta, in luogo dell’art. 132, d.lgs. 30 giugno 2003, n. 196, la disciplina eurounitaria, nella lettura che ne è stata data dalla Corte di Lussemburgo.

Per contro, il giudice milanese si è attestato sull’indirizzo, tradizionalmente accolto dalla giurisprudenza italiana, di merito e di legittimità, volto a escludere profili di conflitto della normativa interna in materia di data retention con la disciplina europea, pur a seguito dei dirompenti effetti della sentenza Digital Rights Ireland del 2014, in materia di validità della direttiva 2006/24/CE (Corte giust. UE, G.S., 8 aprile 2014, C‑293/12 e C‑594/12., Digital Rights Ireland Ltd e a.), nonché dell’affermazione di analoghi principi di diritto in successive pronunce, rese a seguito di rinvii pregiudiziali aventi ad oggetto l’art. 15 della citata direttiva 2002/58 (Corte giust. UE, G.S., 21 dicembre 2016, C‑203/15 e C‑698/15, Tele2 Sverige AB e Watson; Corte giust. UE, G.S., 6 ottobre 2020, C‑623/17, Privacy International; Corte giust. UE, G.S., 6 ottobre 2020, C-511/18, C-512/18 e C-520/18, La Quadrature du Net e a.).

 

3. Il Tribunale di Milano ha disatteso le censure difensive con riguardo a entrambi i profili oggetto dell’ultima sentenza della Corte di giustizia, ossia il perseguimento di finalità di contrasto di reati gravi e l’attribuzione al pubblico ministero del potere di disporre l’acquisizione dei dati.

Con riguardo al primo di essi, il collegio ha adottato un approccio tale da ritenere rispettato, in concreto, il requisito sancito dalla pronuncia, alla luce della gravità del reato oggetto del procedimento, rientrante nel catalogo di cui all’art. 407, comma 2, lett. a), c.p.p.

Si tratta di un ragionamento sviluppato anche in altre occasioni dalla giurisprudenza di merito: si può, in particolare, richiamare un’ordinanza che, similmente, aveva ritenuto infondata un’eccezione difensiva di inutilizzabilità dei tabulati. Essa, più specificamente, aveva considerato congruo il bilanciamento individuato, nella sede del procedimento in considerazione, tra le esigenze proprie della giustizia penale e la tutela dei diritti fondamentali dei soggetti coinvolti, in considerazione delle caratteristiche del reato contestato (Trib. Padova, ord. 15 marzo 2017, in Dir. pen. cont., 29 marzo 2017, con nota di R. Flor, Data retention ed art. 132 cod. privacy: vexata quaestio (?); v. anche, tra gli altri, F. Ruggieri, Data retention e giudice di merito penale. Una discutibile pronuncia, in Cass. pen., 2017, 6, 2483 ss.).

Simili argomentazioni, peraltro, sono state sviluppate dalla Suprema Corte, la quale ha escluso il contrasto dell’art. 132, d.lgs. n. 196 del 2003 – in ragione della mancata limitazione della data retention a determinate fattispecie criminose gravi – con la normativa sovranazionale, da cui deriverebbe unicamente «la necessità della proporzione tra la gravità dell'ingerenza nel diritto fondamentale alla vita privata, che l’accesso ai dati comporta, e quella del reato oggetto di investigazione, in base ad una verifica che il giudice di merito deve compiere in concreto» (Cass., Sez. III, 25 settembre 2019, n. 48737, in C.E.D. Cass., rv. 277353).

Occorre, inoltre, ricordare sul punto che – come si è accennato – i citati, recenti provvedimenti del g.i.p. di Roma sono pervenuti a esiti interpretativi opposti, in merito alla necessità che i “reati gravi”, le cui esigenze di accertamento possono giustificare l’accesso ai dati, siano individuati per effetto di un intervento del legislatore. Uno di essi, infatti (G.i.p. Roma, decreto 25 aprile 2021, giud. Sabatini), ha ritenuto che, in applicazione diretta dei principi affermati in sede europea, possa farsi riferimento alle fattispecie criminose elencate dagli artt. 266 e 266-bis c.p.p.

Nondimeno, indipendentemente da ogni giudizio su tale soluzione, appare, in primo luogo, chiaro come la mancata limitazione della facoltà di apprensione dei dati alla finalità di accertare determinati illeciti, rispondenti ai requisiti sanciti dalla Corte di giustizia, configuri un profilo di contrasto della normativa italiana con il diritto eurounitario, correttamente rilevato dal giudice romano, ma non dal provvedimento in esame.

Con riguardo alla limitazione normativa della data retention a reati gravi, alcune incertezze sono, invero, derivate dalla pronuncia sul caso Ministerio Fiscal (Corte giust. UE, G.S., 2 ottobre 2018, C-207/16, Ministerio Fiscal), che, tra l’altro, ha limitato l’operatività di tale requisito ai casi in cui l’accesso a determinate categorie di dati sia idonea a fornire indicazioni precise sulla vita privata degli utenti interessati.

Prima di tale sentenza, si era posta in luce in dottrina (v., in particolare, R. Flor, Data retention, cit.; F. Ruggieri, Data retention, cit., 2486), la non condivisibilità dell’impostazione sopra illustrata, caratterizzata da un bilanciamento operato in concreto dallo stesso giudice. E difatti, una caratteristica fondamentale della citata giurisprudenza della Corte di giustizia è stata individuata nella delineazione del ruolo da riconoscere alla disciplina normativa della materia, in considerazione della sua incidenza sulle situazioni soggettive sancite dagli artt. 7, 8 e 11 della Carta di Nizza. Esse, a norma dell’art. 52 della stessa Carta, possono essere, invero, limitate solo per effetto di apposite previsioni di legge, rispettose del contenuto essenziale di tali diritti e libertà, nonché del principio di proporzionalità. La riserva di legge, rinvenibile anche nell’art. 8 della Carta e nell’art. 8 CEDU, secondo quanto si è rilevato (v. F. Ruggieri, Data retention, cit., 2486), non è da intendersi in senso meramente formale, in quanto, come chiarito dalla Corte di Lussemburgo, le norme regolatrici della materia devono rispettare essenziali requisiti di natura sostanziale. Sebbene non si possa approfondire, in questa sede, l’evoluzione giurisprudenziale della Corte di giustizia sul punto, può farsi cenno al fatto che la stessa sentenza del 2021, già menzionata, sembra aver ribadito la necessità di «regole chiare e precise» che delineino i presupposti della data retention e le relative garanzie anche procedurali, nel rispetto dei canoni suindicati.

 

4. Anche con riferimento al ruolo del pubblico ministero nell’acquisizione dei tabulati, il collegio ha escluso l’esistenza di un conflitto della disciplina interna con il diritto dell’Unione, in ragione delle peculiari caratteristiche riferibili all’organo dell’accusa nell’ordinamento italiano, considerate tali da rispettare il requisito di «indipendenza» imposto dalla giurisprudenza già citata. In particolare, l’ordinanza richiama il dovere del pubblico ministero stesso di acquisire e di valutare elementi di prova tanto a carico, quanto a discarico della persona sottoposta alle indagini e dell’imputato, nonché la previsione, quale alternativa all’esercizio dell’azione penale, della richiesta di archiviazione.

Il provvedimento pone, inoltre, una distinzione rispetto alle caratteristiche attribuite all’organo dell’accusa nell’ordinamento estone, oggetto della sentenza del marzo 2021 sul caso H.K.: mentre quest’ultimo è autorità «soggetta alla sfera di competenza del Ministero della Giustizia che partecipa alla pianificazione delle misure necessarie per la lotta e l’accertamento dei reati», il pubblico ministero italiano gode di uno status di indipendenza, che si esprime anche nella sua configurazione come parte “pubblica”, e non “privata”.

A sostegno di tale tesi, il collegio richiama anche l’orientamento accolto dalla giurisprudenza di legittimità, la quale, in forza dei caratteri di indipendenza di cui gode l’intera magistratura, ha ritenuto possibile estendere all’organo dell’accusa il riferimento al “giudice”, quale soggetto abilitato, unitamente a una “autorità amministrativa indipendente”, ad autorizzare l’accesso ai dati delle comunicazioni ad opera di autorità pubbliche. La nozione di “giudice” dovrebbe, infatti, essere intesa, più ampiamente, nel senso di “autorità giudiziaria”, e di conseguenza come tale da comprendere il pubblico ministero, in ragione delle peculiari caratteristiche di cui esso è dotato nell’ordinamento italiano (Cass., Sez. V, 24 aprile 2018, n. 33851, M., in C.E.D. Cass., rv. 273892, richiamata dall’ordinanza in commento; analogamente, Cass., Sez. III, 19 aprile 2019, n. 36380, D’A. e a., in questa Rivista, con nota di I. Neroni Rezende, 13 maggio 2020; in Dir. internet, 2019, 4, 753, con commento di L. Luparia, Data retention e processo penale. Un’occasione mancata per prendere i diritti davvero sul serio).

Nondimeno, l’ordinanza in considerazione, nel porre l’accento sulle garanzie di indipendenza riferibili a quest’ultimo sotto i profili tanto di status, quanto funzionale, sembra trascurare alcune rilevanti indicazioni che possono trarsi dalle pronunce della Corte di Lussemburgo in materia. Dalla sentenza del 2021 più volte menzionata, invero, appare emergere un requisito, ulteriore rispetto a quello dell’indipendenza, e che dovrebbe assicurare l’obiettività del controllo sulla richiesta di accesso ai dati: quello dell’imparzialità, declinata nelle forme della terzietà e della «neutralità» rispetto alle parti e alla stessa autorità richiedente (Corte giust. UE, G.S., 2 marzo 2021, H. K., cit., § 48, 54 e 55). Caratteristica, questa, difficilmente riferibile al pubblico ministero, che nell’esercizio del proprio potere di direzione delle indagini può disporre l’acquisizione dei dati in assenza di qualsivoglia potere di controllo del giudice terzo.

E difatti, la stessa Corte di giustizia ha espressamente escluso che un organo il quale sia titolare di tale prerogativa di direzione delle investigazioni, oltre che del potere di esercitare l’azione penale, possa soddisfare lo standard suindicato, con considerazioni che non sembrano potersi ritenere estranee all’organo dell’accusa italiano: neanche il dovere di acquisire e ponderare gli elementi tanto a carico, quanto a discarico è stata considerata sufficiente a superare il ruolo di “parte” dell’autorità di cui si tratta.

Pertanto, tali chiare indicazioni possono ritenersi idonee a superare – oltre ai margini di incertezza sulla rilevanza del requisito dell’imparzialità nella precedente giurisprudenza europea – anche le argomentazioni della citata giurisprudenza di legittimità, che avevano fatto leva, tra l’altro, su alcune ritenute ambiguità linguistiche delle pronunce della Corte di Lussemburgo, pur in presenza di alcune perplessità manifestate in dottrina (v. L. Luparia, Data retention e processo penale, cit., 263 ss.).

Per tali ragioni, non appare sufficiente a rassicurare sulla conformità della normativa italiana alle pronunce della Corte stessa il richiamo, operato dal giudice milanese, delle differenti garanzie procedurali previste dalla legislazione italiana, in confronto con quella estone, nelle forme dell’onere di motivazione del decreto dell’autorità giudiziaria, nonché del potere di iniziativa dell’imputato e di altri soggetti del procedimento penale.

 

5. Merita, infine, accennare al fatto che l’ordinanza in esame esclude, in via residuale, che la disapplicazione della disciplina interna, nella parte in cui consente al pubblico ministero di acquisire i tabulati con decreto motivato, in assenza di un controllo del giudice, possa comportare l’inutilizzabilità dei dati, ex art. 191 c.p.p., trattandosi di violazione concernente le formalità prescritte nell’ambito del procedimento di acquisizione. Invero, si richiama, quale unica causa di inutilizzabilità riconosciuta dalla Suprema Corte in materia, il superamento dei limiti temporali entro cui è prevista la conservazione dei dati ad opera del prestatore di servizi (Cass., Sez. V, 24 febbraio 2016, n. 7265, N., richiamata nel provvedimento).

Pur non potendosi approfondire, in questa sede, tale controverso profilo, si deve dare atto di un difforme orientamento interpretativo, sostenuto in dottrina, e che ha considerato possibile attribuire rilevanza, ai fini della configurazione di divieti probatori, alla stessa violazione degli artt. 7 e 8 della Carta (in questo senso, L. Luparia, Data retention e processo penale, cit., 763; S. Marcolini, L’istituto della data retention dopo la sentenza della Corte di giustizia del 2014, in Cybercrime, diretto da A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Torino, 2019, 1594).

Per contro, la Suprema Corte ha avuto modo di negare la derivazione, dall’eventuale disapplicazione dell’art. 132, d.lgs. n. 196 del 2003, della conseguenza dell’inutilizzabilità, venendo in considerazione un atto compiuto in assenza di legge ordinaria, ma coerentemente con i principi fondamentali dell’ordinamento, e in particolare con l’art. 15 Cost. (Cass., Sez. V, 24 aprile 2018, n. 33851, cit.).

 

6. In definitiva, l’ordinanza che si presenta, in confronto ad altre recenti pronunce di merito, non appare cogliere adeguatamente l’impatto, sull’ordinamento interno, della recente pronuncia della Corte di giustizia, ribadendo l’orientamento tradizionalmente sostenuto dalla giurisprudenza italiana, che tuttavia – anche alla luce di alcune precisazioni contenute nella citata sentenza – si rivela sempre meno sostenibile.