La nuova (e incompleta) disciplina dei tabulati telefonici in Italia
Il 17 novembre 2021 è stato convertito con modificazioni il d.l. 30 settembre 2021, n. 132, recante “Misure urgenti in materia di giustizia e di difesa, nonche’ proroghe in tema di referendum, assegno temporaneo e IRAP”.
Nell’articolato normativo in parola, il legislatore adegua la disciplina nazionale in materia di tabulati telefonici alle istanze europee, per cui anche con riferimento a tale atto di indagine è necessario indicare i “casi” e i “modi” dell’acquisizione, attribuendo la legittimazione a procedere all’organo giurisdizionale già a partire dal 30 settembre 2021.
Per meglio comprendere i termini del dibattito occorre partire dalla pronuncia della Corte di Lussemburgo che sembra aver stimolato l’intervento urgente del legislatore nazionale.
Più precisamente, con una pronuncia del 2 marzo 2021 (Corte giust. U.E. (Grande Camera) 2.3.2021, H. K. c. /Prokuratuur, C 746/18), i giudici di Lussemburgo, seguendo analoghe pronunce precedenti, hanno affermato il contrasto rispetto al diritto dell’Unione europea della disciplina estone, che, come quella italiana, consentiva una conservazione generalizzata e indifferenziata dei dati relativi al traffico telefonico/informatico e dei dati relativi all’ubicazione, riservando al pubblico ministero il potere di acquisizione, era ormai indifferibile un intervento legislativo.
Concretamente, la Corte, da una parte, ha ritenuto doverosa la determinazione delle circostanze che consentono l’acquisizione dei tabulati telefonici, dall’altro, ha ridimensionato il ruolo del procuratore quale organo deputato al rilascio dell’autorizzazione all’acquisizione dei tabulati telefonici di una persona sottoposta alle indagini.
In questi casi, sul presupposto per cui i tabulati delle conversazioni telefoniche consentono di apprendere e individuare tutti i contatti con altre utenze e la loro collocazione temporale, l’incidenza rispetto alle libertà individuali è così tanto evidente da dover riservare tale facoltà all’autorità giudiziaria solo in seguito a vaglio o autorizzazione di un giudice terzo e imparziale.
Sulla scorta di tale insegnamento il legislatore nazionale, rinvenendo una similitudine tra la normativa italiana e quella estone, interviene per modificare la disciplina esistente.
In Italia, com’è noto, le disposizioni legislative sulla conservazione dei dati personali si incentrano sull’art. 132 d.lgs. 30.6.2003, n. 196, Codice in materia di protezione dei dati personali (cd. Codice della privacy), che, in nome dell’habeas data tutelato dall’art. 15 Cost., contiene la disciplina ordinaria. Essa prevede che, fermo restando quanto previsto dall’art. 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione (comma 1). I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni (comma 1-bis). La stessa disposizione stabilisce che, entro tali termini, i dati siano “acquisiti presso il fornitore con decreto motivato del pubblico ministero” (comma 2).
Inoltre, una disciplina speciale è dettata dall’art. 24 l. 20.11.2017, n. 167, che, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalità dell’accertamento e della repressione dei reati di cui agli artt. 51, comma 3-quater, e 407, comma 2, lettera a), c.p.p., ha innalzato a 72 mesi (6 anni) il periodo di conservazione dei dati di traffico telefonico e telematico, in deroga a quanto previsto dall’art. 132 commi 1 e 1-bis del Codice Privacy.
Il quadro complessivo della disciplina della data retention, pertanto, si articola secondo una sorta di “quadruplice binario” (L. Filippi, La nuova disciplina dei tabulati: il commento “a caldo” del Prof. Filippi, in Penale. Diritto e Procedura, 1 ottobre 2021) a seconda del tipo di reato perseguito. I tempi di conservazione sono di regola scanditi nei ventiquattro mesi, dodici mesi e trenta giorni previsti dall’art. 132 d.lgs. n. 196 del 2003; nei casi in cui vengono in rilievo reati a matrice terroristica o previsti dall’art. 407, comma 2, lett. a), i tempi di conservazione sono dettati dall’art. 24 l. n. 1677/2017. Ma il fornitore dei servizi, non potendo prevedere le richieste che gli perverranno in futuro, per adempiere ai suoi obblighi di conservazione, deve custodire in ogni caso tutti i dati di traffico per il termine massimo di settantadue mesi. Naturalmente il soggetto titolare del rapporto contrattuale con l’ente gestore della telefonia è legittimato ad ottenere la documentazione dei dati memorizzati, che riguardano le proprie comunicazioni con i suoi interlocutori, senza la necessità di un provvedimento dell’autorità giudiziaria.
Senza voler in questa sede ripercorrere le modifiche intervenute in sede di conversione, può genericamente dirsi che la nuova normativa – attuata riscrivendo il contenuto dell’art. 132 cod. privacy – è così strutturata:
1) il legislatore interno tipizza i casi e i modi dell’ingerenza. In relazione al primo aspetto, la normativa prevede che l’acquisizione può avvenire solo sulla base di un fumus delicti, ossia sufficienti indizi che giustificano l’intrusione nella sfera privata del soggetto (e, dunque, l’acquisizione dei tabulati telefonici non può rappresentare il primo atto di indagine), allorquando tale investigazione sia rilevante ai fini delle indagini. Con riguardo alle modalità, la novella prevede che l’autorizzazione all’esecuzione dell’attività spetti al G.I.P. su richiesta del P.M. ovvero del difensore delle parti private. Solo “quando ricorrono ragioni d’urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati con decreto motivato che è comunicato immediatamente, e comunque non oltre quarantotto ore, al giudice competente per il rilascio dell’autorizzazione in via ordinaria. Il giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati” (art. 132, comma 3-bis). L’autorizzazione del GIP – espressa mediante decreto motivato – legittima le parti (P.M. e difensore) ad attivarsi per richiedere al fornitore di servizi i tabulati relativi al traffico telefonico e telematico.
2) il legislatore estende la sanzione dell’inutilizzabilità dei risultati appresi ultra vis. Per porre poi rimedio ad un ulteriore profilo di incertezza della norma originaria sollevata dai primi commentatori, in sede di conversione il legislatore ha inoltre chiarito, con l’introduzione del nuovo art. 132, comma 3-quater, D.L. n. 196/2003, come il divieto di utilizzazione dei dati acquisiti in violazione delle nuove previsioni riguardi sia la procedura autorizzatoria ordinaria da parte del giudice (comma 3), sia quella di acquisizione in via d’urgenza da parte del P.M. (comma 3-bis). Nella originaria formulazione della norma, infatti, la sanzione dell’inutilizzabilità era stata introdotta solo per il caso della mancata conversione, da parte del giudice, del decreto d’urgenza emesso dal P.M. ed aveva quindi portato i primi commentatori ad interrogarsi, non senza difficoltà, sull’estensibilità della medesima sanzione anche all’ipotesi in cui ad essere violati fossero stati i presupposti di operatività della norma (sufficienza indiziaria, limiti edittali e rilevanza dell’acquisizione) o la disciplina acquisitiva ordinaria (decreto autorizzativo del giudice).
Con la nuova formulazione della norma il legislatore risolve i problemi ingenerati dall’originaria scrittura della norma, estendendo così per tabulas il meccanismo invalidante a tutte le ipotesi di acquisizione dei dati avvenute in violazione della nuova normativa.
3) le modifiche sulle intercettazioni a mezzo Trojan. Con una previsione del tutto eccentrica rispetto all’oggetto dell’originario decreto-legge, in sede di conversione è stata introdotta una modifica anche alla disciplina dell’intercettazione tra presenti mediante inserimento di captatore informatico su dispositivi elettronici portatili (c.d. trojan).
Il nuovo art. 1, comma 1-ter, D.L. n. 132/2021, introdotto in sede di conversione, è invero intervenuto a novellare l’art. 267, comma 1, c.p.p., stabilendo che il decreto autorizzativo del giudice debba indicare (non già le ragioni, ma) le «specifiche ragioni» che rendono necessaria tale modalità intercettiva per lo svolgimento delle indagini.
Nonostante l’importanza della scelta di normare le attività de quibus, sono ancora tanti i dubbi cui si dovrà confrontare l’interprete nella attuazione della disciplina.
Intanto, permangono ancora difficoltà interpretative in relazione ai tempi di conservazione dei dati: la disciplina non viene ritoccata, consentendo de facto la conservazione sine die degli stessi da parte dei gestori di servizi.
In secondo luogo, la novella non chiarisce la modalità con cui l’acquisizione debba avvenire: resta infatti inespresso e lasciato alle valutazioni dell’interprete il quomodo in cui dovrà provvedersi a tale acquisizione, vale a dire se si debba o meno procedere a notificare al gestore dei servizi, in forma integrale o eventualmente “omissata”, anche il decreto autorizzativo del giudice, con il potenziale ripetersi dei medesimi profili critici sopra indicati.
Inoltre, si sarebbero dovuti legislativamente individuare anche i “soggetti” perché, di regola, l’accesso è ammesso soltanto ai dati di chi è sospettato di reato e solo eccezionalmente in “situazioni particolari” (come ad esempio quelle in cui gli interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo), può ammettersi l’accesso ai dati di persone non sospettate, ma a condizione che esistano “elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo”. Invece nulla al riguardo è stato precisato nel decreto-legge. Pertanto, sul punto, sarà inevitabile sollevare questione di legittimità costituzionale in rapporto all’art. 117 Cost., che vincola la potestà legislativa dello Stato al rispetto, tra l’altro, dei vincoli derivanti dall’ordinamento comunitario e dagli obblighi internazionali.
In ultimo, non possono non sollevarsi dubbi sul complesso coordinamento con il disposto di cui all’art. 226 disp. Att. c.p.p.: la norma in parola, consentendo i controlli sulle comunicazioni, ammette che in fase preventiva possono essere acquisiti anche i dati relativi al traffico telefonico e telematico. In questi casi, come noto, è il P.M. del capoluogo del distretto in cui si trova il “soggetto” da monitorare ovvero, se non è determinabile, del luogo in cui emergono le esigenze di prevenzione ad autorizzare il compimento delle operazioni. Quid iuris se l’autorizzazione proviene dal P.M. e non dall’autorità giudiziaria come dovrebbe avvenire in fase procedimentale?
Bibliografia essenziale
L. Filippi, La nuova disciplina dei tabulati: il commento “a caldo” del Prof. Filippi, in Penale. Diritto e Procedura, 1 ottobre 2021
G. Pestelli, Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, in Il quotidiano giuridico, 18 novembre 2021.
Scarica il Decreto Legge 30 settembre 2021 n. 132
Scarica la conversione in legge DL 132/2021