Ho già parlato dei termini di conservazione dei dati di traffico telefonico e telematico, e di come i periodi di tempo individuati nella normativa generale (artt. 132 comma 1 e 123 comma 2 del Codice della privacy) abbiano subito diverse variazioni e proroghe, l’ultima in ordine di tempo grazie  all’articolo 4-bis del decreto legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43 (come modificato dal decreto legge 30 dicembre 2015, n. 210, convertito con modificazioni dalla legge 25 febbraio 2016, n. 21), le cui disposizioni speciali però, come previsto nel medesimo articolo (che reca ben impressa la propria “data di scadenza”), hanno cessato di applicarsi a decorrere dal 1° luglio 2017.

Pertanto, da tale data, sono tornati in vigore i termini generali previsti dal Codice della privacy, e i provider hanno dovuto cancellare i dati conservati per un tempo superiore a quello ivi fissato, conservando solo i dati che non eccedessero gli ordinari termini di legge, ovvero:

• traffico telefonico: 24 mesi dalla data della comunicazione (art. 132 comma 1 del Codice della privacy), ma attenzione: 6 mesi per le chiamate senza risposta (art. 123 comma 2 del Codice della privacy);

• traffico telematico: 12 mesi dalla data della comunicazione (art. 132 comma 1 del Codice della privacy).

Il 19 luglio 2017, tuttavia, è stata approvata dalla Camera dei deputati la legge di recepimento delle norme comunitarie, ove è stato inserito, ed è passato nell’indifferenza generale dell’Assemblea, un articolo (ART. 12-bis. -Disposizioni per l’integrale attuazione della direttiva 2014/33/UE relativa agli ascensori e ai componenti di sicurezza degli ascensori nonché per l’esercizio degli ascensori – sic!) relativo alla conservazione dei dati di traffico telefonico e telematico che porta a 72 mesi (6 anni!) indistintamente tutti i termini di conservazione, senza distinguere tra chiamate, chiamate senza risposta e traffico telematico.

La norma è stata prontamente denunciata dall’avvocato Stefano Aterno (qui è possibile leggere il commento a caldo sul suo blog), ed ha sortito subito un forte dibattito tra giuristi ed attivisti (qui una esaustiva raccolta operata da HERMES CENTER FOR TRANSPARENCY AND DIGITAL HUMAN RIGHTS, alla quale attingerò a piene mani nel prosieguo al fine di poter dare atto delle varie argomentazioni senza approfondirle direttamente), registrando anche l’intervento preoccupato dell’Autorità Garante per la protezione dei dati personali.

Aspre critiche si sono riversate sia sul merito del provvedimento che sul “metodo” (qui e qui, ad esempio), stigmatizzandone l’inopportuno inserimento in un articolato riferito a tutt’altra materia (ascensori) e per di più nel periodo estivo. Anche le ragioni di urgenza addotte a sostegno della proposta di legge sono state abilmente smontate dall’avvocato Aterno (nell’articolo già citato) sotto il profilo tecnico (sia in relazione allo strumento legislativo impropriamente impiegato, sia con riguardo alla successione di norme, che non impedisce la cancellazione dei dati raccolti sulla scorta della normativa già “scaduta”).

In ordine al merito, si solleva unanimemente il contrasto con la Giurisprudenza della Corte di giustizia, evidenziando per dirla con il Garante, che “per un verso la disciplina della data retention per fini commerciali è contenuta nel regolamento e-privacy attualmente in discussione, che regola tipologia di dati (e metadati) suscettibili di conservazione, modalità e condizioni.

Per altro verso, la conservazione dei dati di traffico per finalità investigative è legittima unicamente nel rispetto della direttiva 680/2016 e dei principi sanciti dalla Corte di giustizia con le sentenze Digital Rights del 2014 e Tele2 dello scorso dicembre: proporzionalità tra privacy ed esigenze investigative; limitazione delle categorie di dati, dei tempi di conservazione e dei soggetti interessati dalla misura a quanto strettamente necessario per esigenze di contrasto di gravi reati.

Con la sentenza Tele2, peraltro, la data retention è stata ritenuta illegittima proprio in quanto massiva, dovendo invece essere applicata, secondo la Corte, in modo da rivolgersi ad ambiti oggettivi, soggettivi (persino territoriali) caratterizzati da specifici fattori di rischio.

Da generalizzata e “a strascico” quale è sempre stata concepita, la conservazione dei dati di traffico dovrà dunque divenire mirata, selettiva.

Anche la parificazione della durata della conservazione dei dati di traffico telefonico e telematico (….), se non giustificata da specifiche esigenze investigative, potrebbe risultare incompatibile con l’interpretazione forte del principio di proporzionalità sancita dalla Corte”.

(Questo intervento del Garante, pertinente al tema anche se reso in diversa occasione, è stato opportunamente accostato alla materia da Dario Centofanti e può essere visto qui: https://popinga.it/dalla-sicurezza-degli-ascensori-alla-sorveglianza-di-massa-4eac2144c6d7?gi=dcf44f519448).

Per chi volesse approfondire la posizione della Corte di giustizia su data retention e sorveglianza di massa, consiglio la lettura dell’articolo dell’avvocato Bruno Saetta su “Valigia Blu” (compresi gli altri contenuti in esso linkati).

Le critiche all’operato del legislatore non finiscono qui: vi è un altro aspetto da considerare, e riguarda la normativa contro il terrorismo richiamata  e posta come base giuridica della novella sulla data retention; come nota l’avvocato Stefano Aterno (nell’articolo già citato): “il richiamo, che sostanzialmente giustifica l’emendamento nonché l’approvazione in quella sede, all’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio del 15 marzo 2017 sulla lotta contro il terrorismo è assolutamente inconferente e inappropriato, visto che l’art. 20 nel parlare di strumenti di indagine e confisca dispone che gli Stati membri “adottino le misure necessarie affinché le persone, le unità o i servizi incaricati delle indagini o dell’azione penale per i reati di cui agli articoli da 3 a 12 dispongano di strumenti di indagine efficaci, quali quelli utilizzati contro la criminalità organizzata o altre forme gravi di criminalità”. Esso non cita assolutamente i dati di traffico telefonico e telematico sui quali, come dimostrano diverse pronunce della Corte Giustizia d’Europa e altre direttive europee, occorre una disciplina ad hoc proveniente dall’Europa con una espressa delega a legiferare sul tema.”

Si tratta di un rilievo importante, perché toglie ogni parvenza di legittimazione all’intervento del legislatore: la norma che si tenta di introdurre è pertanto priva di base giuridica ed in aperto contrasto, come hanno notato tanti autorevoli commentatori,  con il portato della Corte di giustizia, ovvero lesiva di diritti fondamentali sanciti agli articoli 7 e 8 della Carta Dei Diritti Fondamentali dell’Unione Europea.

Non è scopo del presente scritto tentare una disamina delle criticità della norma. Basti quanto scritto da altri (si segnala, a tal proposito, anche lo scritto preciso e puntuale dell’avvocato Monica A. Senor).

Dando, dunque, per assodato che sussista il rilevato contrasto con la giurisprudenza della Corte di Giustizia -e giocoforza sussista il contrasto con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea- è lecito domandarsi quale sorte avrebbe la norma sulla data retention ove venisse approvata così come è stata scritta.

Universi paralleli: se la norma sulla data retention entrasse in vigore

Se le critiche sollevate restassero inascoltate, il Senato confermasse il testo approvato alla Camera e la norma venisse promulgata ed entrasse in vigore così com’è, cosa accadrebbe?

Per rispondere a questa domanda occorre fare una breve introduzione, spiegando, seppure per sommi capi, cosa sia una pronuncia pregiudiziale della Corte di giustizia, e che valore abbia.

Il rinvio pregiudiziale

Il rinvio pregiudiziale è la procedura che consente ad una giurisdizione nazionale di interrogare la Corte di giustizia dell’Unione Europea sull’interpretazione o sulla validità del diritto europeo nell’ambito di un contenzioso in cui tale giurisdizione venga coinvolta. Questa procedura è aperta ai giudici nazionali degli Stati membri, i quali possono adire la Corte per interrogarla sull’interpretazione o sulla validità del diritto europeo nell’ambito di una causa pendente. Che la causa sia pendente è un requisito molto importante: si vuole infatti evitare che la Corte venga chiamata a pronunciarsi su questioni immaginarie o astratte: la Corte dunque partirà dal giudizio pendente, concreto, ma la sua pronuncia avrà una portata più generale e astratta; perciò da una parte, la sentenza pregiudiziale sarà certamente vincolante per il giudice del rinvio (ossia quello chiamato a giudicare la controversia nazionale e che ha chiesto l’intervento della Corte di giustizia) -questo effetto si chiama “efficacia endoprocessuale”-, ma, dall’altra, come vedremo, i suoi effetti non potranno restare confinati negli angusti limiti del caso che l’ha originata.

Si ribadisce che, comunque per ottenere una pronuncia pregiudiziale occorre, innanzi tutto, avere un caso concreto, pendente innanzi a un giudice nazionale, e che questo giudice disponga il rinvio.

In particolare, qualsiasi giurisdizione nazionale, investita di una controversia in cui l’applicazione di una norma di diritto europeo solleva dei quesiti (controversia principale), può decidere di rivolgersi alla Corte di giustizia per risolverli. Esistono due tipi di rinvio pregiudiziale:

•il rinvio per l’interpretazione della norma europea (diritto primario e diritto secondario): il giudice nazionale chiede alla Corte di giustizia di formulare un parere sull’interpretazione del diritto europeo per poter applicare la norma correttamente;

•il rinvio per l’esame di validità di una norma europea di diritto secondario: il giudice nazionale chiede alla Corte di giustizia di verificare la validità di un atto di diritto europeo.

Il rinvio pregiudiziale costituisce quindi un rinvio da giudice a giudice. Anche se può essere richiesto da una delle parti della controversia, spetta alla giurisdizione nazionale prendere la decisione di rimettersi alla Corte di giustizia

A differenza delle altre procedure giurisdizionali che competono alla Corte di giustizia, il rinvio pregiudiziale non è un ricorso contro un atto europeo o nazionale, bensì un quesito sull’applicazione del diritto europeo.

Il rinvio pregiudiziale favorisce quindi la cooperazione attiva tra le giurisdizioni nazionali e la Corte di giustizia, nonché l’applicazione uniforme del diritto europeo in tutta l’UE.

La decisione della Corte di giustizia (che è una sentenza passata in giudicato) sarà  obbligatoria, quindi, non solo per la giurisdizione nazionale che ha avviato il rinvio pregiudiziale, ma anche per tutte le giurisdizioni nazionali degli Stati membri.

Nel quadro del rinvio pregiudiziale per l’esame di validità, se l’atto europeo è dichiarato non valido  lo è anche l’insieme degli atti adottati sulla sua base (e questo è quello che è avvenuto con la  sentenza 8 aprile 2014, quando la CGUE ha dichiarato invalida l’intera direttiva Frattini – quella sulla data retention, per intenderci). Spetta quindi alle istituzioni europee competenti adottare un nuovo atto per porre rimedio alla situazione.

Poiché il rinvio pregiudiziale offre un mezzo per garantire la sicurezza giuridica tramite un’applicazione uniforme del diritto dell’Unione Europea, occorre, come abbiamo anticipato più sopra, che la pronuncia possa spiegare i propri effetti oltre gli angusti confini del caso concreto sottoposto al suo esame: in questo caso si parla di efficacia extraprocessuale.

Come ha chiarito la Corte Costituzionale (Corte cost., sentenza n. 113/1985) “La normativa comunitaria (…) entra e permane in vigore, nel nostro territorio, senza che i suoi effetti siano intaccati dalla legge ordinaria dello Stato; e ciò tutte le volte che essa soddisfa il requisito dell’immediata applicabilità. Questo principio (…) vale non soltanto per la disciplina prodotta dagli organi della C.E.E.  mediante regolamento, ma anche per le statuizioni risultanti, come nella specie, dalle sentenze interpretative della Corte di giustizia”.

L’effetto extraprocessuale non si dispiega solo sui giudici, ma avendo le pronunce efficacia erga omnes, grava anche sulle amministrazioni, concretandosi per entrambi nell’obbligo di disapplicare le norme in contrasto con la sentenza della Corte di giustizia e, infine, sul legislatore, il quale sarà tenuto non a disapplicare, ma ad abrogare e sostituire le predette norme, in modo da garantire la corretta applicazione del diritto dell’Unione.

Questo effetto si inscrive nella più ampia materia del primato del diritto dell’Unione sul diritto nazionale, e il meccanismo della disapplicazione (che non è l’unico rimedio che abbiamo per risolvere le antinomie, ce ne sono anche altri, ad esempio il criterio dell’interpretazione conforme, ma non è questa la sede per trattare la materia in modo troppo approfondito) si estende a tutti gli atti dotati di efficacia diretta, ovvero Trattati istitutivi, regolamenti, direttive d’immediata applicabilità e sentenze della Corte di giustizia.

Cosa succede se, però, siamo in presenza di un atto dell’Unione non dotato di efficacia diretta?

Secondo la Corte costituzionale (Corte cost. 28 gennaio 2010, n. 28), l’impossibilità di disapplicare la legge interna in contrasto con una direttiva comunitaria non munita di efficacia diretta non significa che questa sia immune dal controllo di conformità al diritto dell’Unione. In questo caso, il sindacato spetta alla Consulta, davanti alla quale il giudice può sollevare questione di legittimità costituzionale per violazione dell’art. 11 e 117, comma 1, Cost. Insomma “in caso di contrasto con una norma UE priva di efficacia diretta, nell’impossibilità di risolvere tale antinomia in via interpretativa, il giudice deve sollevare la questione di legittimità costituzionale, spettando alla Consulta valutare l’esistenza di un contrasto insanabile in via interpretativa e, eventualmente, annullare la legge incompatibile con il diritto dell’Unione” (così G. Grasso “La disapplicazione della norma interna contrastante con le sentenze della Corte di giustizia dell’U.E.” cui si rinvia per ulteriori approfondimenti).

Tanto premesso, vediamo dunque cosa accadrebbe se la normativa sulla data retention in commento entrasse in vigore così com’è.

Primo scenario: novella sulla data retention e rinvio pregiudiziale

Si è molto parlato del contrasto della normativa sulla data retention con le pronunce rese dalla Corte di giustizia, nonostante il periodo estivo e nonostante la norma sia stata generata in maniera del tutto sorprendente e inattesa.

Pare a chi scrive abbastanza scontato che il dibattito si andrà arricchendo e che non appena la norma farà la sua comparsa in tribunale, immediatamente i difensori si attiveranno per farla rimuovere (come è possibile che anche i giudici si attivino autonomamente in tal senso).

Ma come andrà rimossa?

Abbiamo visto che il principale motivo di censura, per la norma in commento, è il contrasto con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea, contrasto che ha portato la Corte di giustizia a rendere almeno due pronunce pregiudiziali in tema di data retention.

Abbiamo anche visto che la pronuncia pregiudiziale importa la disapplicazione delle norme in contrasto con i principi che statuisce, di per sé, senza bisogno di una nuova pronuncia, ma che nulla impedisce di sottoporre questioni simili alla C.G.U.E., se sorgono altri dubbi interpretativi.

Se riteniamo che tutte le sentenze pregiudiziali della Corte di giustizia siano dotate di efficacia diretta, potremmo già concludere che il giudice potrebbe disapplicare la norma in contrasto, e quindi la novella rimarrebbe lettera morta, e non rivestirebbe alcuna utilità.

Gli stessi provider, per sottrarsi in tempi brevi agli oneri di conservazione, potrebbero provocare giudizi al fine di chiedere che il giudice ne dichiari l’inapplicabilità.

Non tutti in realtà concordano con una tale impostazione, e il dibattito dottrinale sul punto meriterebbe più attenta disamina, pertanto basti qui dire che le statuizioni della Corte di giustizia dell’Unione Europea hanno, al pari delle norme comunitarie direttamente applicabili cui ineriscono, operatività immediata negli ordinamenti interni, ovvero hanno “la stessa immediata efficacia delle disposizioni interpretate”: sono quindi dotate di efficacia diretta solo le sentenze pregiudiziali della Corte di giustizia che hanno ad oggetto atti dell’U.E. dotati di efficacia diretta.

Qui si inserisce un nuovo tema: il contrasto della norma nazionale con articoli della Carta dei diritti fondamentali dell’Unione, il cui ambito di applicazione potrebbe essere circoscritto al solo ambito di applicazione del diritto dell’Unione Europea. Il diritto dell’Unione non abbraccia tutta la vita di una nazione, alcuni aspetti, ad esempio in tema di sicurezza nazionale, possono restarne fuori e i diritti fondamentali sanciti dalla Carta di Nizza dovrebbero, tuttavia, poter presidiare anche questi (sul punto potrebbe rivestire grande interesse questa pronuncia, se emessa).

Tale ultima argomentazione, tuttavia, in ragione della formulazione letterale della norma (si veda più sopra il rimando alle critiche mosse dall’avvocato Stefano Aterno) e della recente pronuncia sul caso Tele2 anch’essa richiamata più sopra, cade di lato: non sembrano sussistere ostacoli a una pronuncia della C.G.U.E. basata sulla Carta di Nizza.

Resterebbe semmai da stabilire, ma questo è appannaggio di interpreti ben più qualificati di chi scrive, se la Carta di Nizza, espressamente richiamata all’articolo 6 TUE che le conferisce efficacia pari a quella dei trattati, possa considerarsi atto dotato di efficacia diretta: in tal caso, infatti, al giudice nazionale sarebbe possibile, come detto, disapplicare direttamente la norma.

Nulla, comunque, impedisce di adire nuovamente la Corte di giustizia in via pregiudiziale.

E nulla fa dubitare che la Corte non seguirebbe la via già tracciata con le precedenti pronunce.

Infatti, per una curiosa alchimia del diritto, più o meno nello stesso periodo in cui il legislatore nazionale si avviava ad estendere il periodo di conservazione dei dati di traffico telefonico e telematico, la Corte di giustizia ribadiva il proprio orientamento in tema di data retention.

Si tratterebbe, allora, incardinati i processi, solo di attendere i tempi fisiologici del giudizio, affinché sia disposto il rinvio, ferma la discrezionalità di cui godono i giudici nazionali sul punto.

L’articolo 267 del trattato sul funzionamento dell’U.E. (TFUE) precisa, al riguardo, che le giurisdizioni nazionali di ultima istanza, le cui decisioni non possono essere oggetto di ricorso, hanno l’obbligo di adire la Corte di giustizia per la richiesta di un rinvio pregiudiziale, salvo nel caso in cui esista già una giurisprudenza della Corte in materia o nel caso in cui l’interpretazione della norma di diritto dell’U.E. in questione sia evidente.

Per contro, le giurisdizioni nazionali che non si pronunciano in ultima istanza non hanno l’obbligo di esercitare tale rinvio, anche se lo richiedesse una delle parti.

In qualsiasi caso, tutte le giurisdizioni nazionali possono spontaneamente adire la Corte di giustizia se nutrono dubbi sull’interpretazione di una disposizione europea. Per contro, esse devono obbligatoriamente rivolgere alla Corte una richiesta di decisione pregiudiziale nel momento in cui abbiano dei dubbi sulla validità di un atto che emana da un’istituzione, da un organo o da un organismo dell’Unione.

Attenzione però: la scelta discrezionale che si riconosce in capo ai giudici di ultima istanza non è se discostarsi o meno dalla corretta interpretazione del diritto dell’Unione offerta in precedenza dalla Corte di giustizia: non conformarsi al portato di una sentenza pregiudiziale espone a procedura di infrazione (v. oltre). La scelta per i giudici, in un caso come quello che ci occupa, sarebbe quindi tra disapplicare direttamente le norme in contrasto con il diritto dell’U.E. (e le indicazioni offerte dalla C.G.U.E.), provvedendo ad interpretarle da soli se l’interpretazione appare scontata, oppure rimettere il quesito nuovamente alla Corte di giustizia. Il dubbio non incide sulla sostanza (la norma, infatti, è in palese contrasto con il diritto dell’U.E.): esso riguarda solo il mezzo attraverso cui questa patologia potrà essere rimossa, ossia se sarà o meno necessario invocare nuovamente l’intervento della C.G.U.E.

Rinvio pregiudiziale e attuale disciplina della conservazione dei dati di traffico

C’è un altro aspetto da non sottovalutare: la novella si innesterebbe su una norma preesistente. Siamo sicuri che l’attuale formulazione dell’articolo 132 del Codice della Privacy sia immune da censure?

La risposta è negativa. Come si è notato da più parti, la formulazione attuale non soddisfa i parametri elaborati dalla Corte di giustizia, (oltre al fatto macroscopico che costituisce attuazione della direttiva sulla data retention, che la CGUE ha spazzato via).

Vi è, sul tema, un ottimo articolo di Roberto Flor, su Penale Contemporaneo, dal titolo DATA RETENTION ED ART. 132 COD. PRIVACY: VEXATA QUAESTIO; si tratta di una nota a Trib. Padova, ord. 15 marzo 2017, Pres. Marassi, ove si commenta un’ordinanza  che “merita di essere segnalata in quanto si tratta di uno dei rari casi, ad oggi noti, in cui l’avvocato della difesa ha chiesto al giudice (ex art. 121 c.p.p.) di dichiarare l’inutilizzabilità nel processo di tutti i dati esterni del traffico telefonico, a chiunque intestati, acquisiti in fase di indagini dalla pubblica accusa ex art. 132 d.lgs n. 196 del 2003 (Cod. priv.), a seguito della ormai nota sentenza della Corte di giustizia dell’Unione Europea sulla c.d. data retention.

In subordine, è stato chiesto al medesimo giudice di voler, ai sensi dell’art. 267 TFUE, sospendere il procedimento e sottoporre alla Corte di giustizia la seguente questione pregiudiziale: «se gli artt. 7, 8 e 52, par. 1 della Carta dei diritti fondamentali dell’Unione Europea ostino ad una normativa nazionale, quale l’art. 132 Cod. priv., che consente l’acquisizione e la conservazione dei dati esterni del traffico telefonico e telematico per qualsiasi tipo di reato»” (ibidem).

Il Tribunale ha rigettato le istanze, ma l’ordinanza presta il fianco a numerose critiche (in primis in ordine all’argomentazione che nega che l’art.132 del Codice della privacy abbia dato attuazione alla direttiva Frattini). Rilievi puntualmente sviluppati da Flor nel succitato articolo al quale, per economia, si rinvia, riportando qui solo alcuni spunti: “In primo luogo è vero che l’originaria formulazione dell’art. 132 Cod. priv. era antecedente alla direttiva 24/2006, ma non è assolutamente vero che esso non dia attuazione alla direttiva europea. Il decreto legislativo 30 maggio 2008, n. 109, infatti, “di attuazione della direttiva 2006/24/Ce riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce”, ha apportato modifiche all’art. 132 Cod. priv. proprio per attuare la disciplina europea.

In secondo luogo, è condivisibile sostenere che l’annullamento della direttiva potrebbe non aver effetto rispetto alla normativa interna, di attuazione o meno della stessa direttiva. Ciò varrebbe solo, però, se la disciplina nazionale non fosse caratterizzata dagli stessi “vizi” della direttiva, ovvero se il nostro legislatore avesse attuato la fonte europea adottando gli standard di garanzia ora richiesti dalla Corte di giustizia.”

Si riportano altresì le conclusioni di Flor, che chi scrive condivide in toto, per agevolare il lettore: “L’insanabile contrasto dell’art. 132 Cod. priv. con gli artt. 7, 8 e 52, par. 1 della Carta dei diritti fondamentali dell’Unione Europea non può certo essere sanato dal giudice, come pretende di fare il Tribunale di Padova, affermando che il reato per cui si procede deve ritenersi grave. Dalla sentenza della Corte si dovrebbe ricavare l’insegnamento, valido per ogni mezzo di indagine, secondo cui per incidere nella riservatezza della vita privata dei cittadini «occorre la previa fondamentale mediazione del legislatore, che stabilisca i contorni ed i limiti della [nuova] attività, nel cruciale rispetto del principio di proporzionalità». Pertanto l’attività prevista dall’odierno art. 132 Cod. priv., non dovrebbe essere compiuta e, se compiuta, dovrebbe essere considerata in contrasto con gli artt. 7, 8 e 52 della citata Carta dei diritti fondamentali ed «i suoi esiti non [potrebbero] essere utilizzati nel processo penale».

L’art. 132 Cod. priv. dovrebbe dunque essere disapplicato. Non essendovi precedenti diretti è evidente che, ove il giudice nazionale avesse dei dubbi sulla compatibilità della disposizione con il diritto europeo ed il rispetto dei diritti fondamentali, restano aperte le vie del vaglio di costituzionalità o del rinvio pregiudiziale alla Corte di giustizia ex art. 267 TFUE”.

La novella che si vorrebbe introdurre e che qui si commenta, quindi, non sposterebbe di una virgola questa impostazione dato che, da una parte, viene genericamente esteso il termine di conservazione per alcune tipologie di reato (ma senza rispettare i parametri fissati dalla C.G.U.E.), dall’altra non si intacca e non si emenda la traballante base su cui poggia l’intera struttura, ovvero la formulazione originaria dell’articolo 132 del Codice della Privacy, che resta inficiata dalle medesime criticità evidenziate da Flor.

Secondo scenario: data retention e inutilizzabilità

In ordine all’inutilizzabilità, varrà la pena spendere qualche altra parola.

Nel processo penale, l’inutilizzabilità è sancita dall’articolo 191 del Codice di procedura penale, il quale prevede che “Le prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate”.

Senza ripetere quanto già detto da Flor nell’articolo sopra citato, abbiamo già appurato che le prove assunte sulla base della conservazione ultra quinquennale dei dati come normata dalla novella in approvazione potrebbero incappare nell’inutilizzabilità, come già la precedente formulazione del Codice della Privacy sulla quale si innesta.

E la Cassazione ha già avuto modo di precisare che “Sono patologicamente inutilizzabili i dati relativi al traffico telefonico contenuti nei tabulati acquisiti dall’Autorità giudiziaria dopo i termini previsti dall’art. 132 d.l.vo 30 giugno 2003 n. 196, atteso il divieto di conservazione degli stessi da parte del gestore al fine di consentire l’accertamento dei reati oltre il periodo normativamente predeterminato. (Fattispecie in cui la richiesta di utilizzare i tabulati era stata formulata dalla difesa di un imputato)” Cass. Pen. n. 15613/2015.

Ciò sta a significare (al netto delle critiche mosse nel paragrafo che precede) che non dovrebbero verificarsi storture come quella prontamente rilevata dall’avvocato Carlo Blengino, e i dati conservati più a lungo per i reati individuati nella approvanda novella non dovrebbero poter essere acquisiti come prova per altre tipologie di reato, una volta che sia scaduto l’ordinario termine di conservazione.

Sarà compito dei difensori vigilare affinché nei processi le prove siano assunte ritualmente, sia ponendo attenzione ai tempi di conservazione in relazione alle fattispecie di reato, sia evidenziando, in ogni caso, il contrasto delle norme sulla conservazione dei dati con i diritti sanciti dagli articoli 7 e 8 della Carta di Nizza e con il portato della Corte di giustizia.

Terzo scenario: la procedura di infrazione

Vi è un ultimo aspetto da tenere in considerazione, sul quale si spenderanno pochissime parole, dato che non si vuole abusare della pazienza del lettore che abbia avuto la compiacenza di giungere sino a questo punto.

Non rispettare i trattati U.E., gli atti U.E. e le pronunce pregiudiziali espone lo Stato a procedure di infrazione.

La procedura di infrazione può essere sollecitata anche da cittadini e imprese i quali possono adire la Commissione compilando appositi moduli online, precisando se lo Stato sia venuto meno agli obblighi fissati dalla Carta di Nizza

Sebbene la Commissione non sia obbligata ad avviare la procedura dopo aver ricevuto la segnalazione, è facile immaginare che, in un caso come quello in commento, potrebbero essere innumerevoli le segnalazioni portate all’attenzione della Commissione da associazioni e privati, dato l’attivismo che contraddistingue le tematiche afferenti la privacy.

Lo Stato pertanto, adottando una norma come quella in commento, offre incautamente il fianco anche a questo tipo di procedure.

L’opportunità di adottare la novella

L’eventuale adozione della novella, come formulata, espone lo stato a diverse conseguenze negative, non solo in termini di utilità (la norma potrebbe essere direttamente disapplicata, oppure spazzata via attraverso un nuovo rinvio alla C.G.U.E., o, ancora, vanificata nell’applicazione processuale attraverso lo stigma dell’inutilizzabilità) ma anche perché espone lo Stato a procedure di infrazione, per il contrasto con gli articoli 7 e 8 della Carta di Nizza, oltre che con le precedenti pronunce pregiudiziali della Corte di giustizia dell’Unione Europea.

Non è dato sapere se il legislatore persevererà nell’adozione di una norma tanto criticata, ma certamente, più aumenta il dibattito intorno alla norma, più i rischi sopra segnati crescono esponenzialmente, senza contare che prima o poi, comunque, l’utilità che legislatore si attende di trarre dall’approvanda norma verrà incenerita sulla scorta della giurisprudenza della C.G.U.E.

Siamo sicuri che il gioco valga la candela?

AGGIORNAMENTO: Nella seduta dell’8 novembre, la Camera dei deputati ha approvato definitivamente, in seconda lettura, la legge europea 2017 (C.4505-B) L’articolo 24 fissa in settantadue mesi il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta.

La norma è stata pubblicata in Gazzetta Ufficiale Serie Generale n. 277 del 27.11.2017, ed è entrata in vigore il 12 dicembre 2017.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017

Blog e segreto sulla fonte della notizia
09/05/2017