Con la sentenza del 2 marzo 2021 (C 746/18) la Corte di Giustizia dell’Unione Europea ha chiarito i limiti tra il diritto alla riservatezza e l’esigenza di contrastare la criminalità attraverso l’accesso e la conservazione dei dati di traffico (c.d. data retention).
Il caso riguardava un procedimento penale instaurato nei confronti di un cittadino estone, condannato anche grazie ai dati raccolti durante le indagini presso i fornitori di servizi di telecomunicazioni.
Quindi, è stato richiesto alla Corte di chiarire in quali casi e a quali condizioni sia consentito alle autorità nazionali di accedere ai dati relativi al traffico e, in particolare, a quelli che consentono alle autorità di trarre precise conclusioni sulla vita privata del soggetto, come i dati sulla fonte e la destinazione di una comunicazione telefonica, i dati che consentono di determinare la data, l’ora, la durata e la natura della comunicazione o quelli che permettono di identificare e localizzare il dispositivo utilizzato.
L’accesso a questo insieme di dati, infatti, si pone in contrasto con il diritto al rispetto della vita privata e familiare, oltre che con il diritto alla protezione dei dati personali, riconosciuti rispettivamente dagli art. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea.
La Corte ha risposto interpretando l’art. 15 della Direttiva 2002/58 (relativa alla vita privata e alle comunicazioni elettroniche) affermando che «soltanto la lotta contro le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione».
La Corte ha poi chiarito che, al fine di garantire il rispetto delle cautele imposte dalla normativa comunitaria, è essenziale subordinare l’accesso ai dati da parte delle autorità nazionali al controllo preventivo di un giudice o di un’entità amministrativa indipendente.
Ed è riguardo al requisito dell’indipendenza che è sopravvenuto un contrasto tra la normativa italiana e la Direttiva europea, così come interpretata nella sentenza in commento.
Secondo la Corte l’autorità incaricata di esercitare il controllo preventivo deve avere la qualità di terzo rispetto a quella che chiede l’accesso ai dati. Con particolare riguardo all’ambito penale, la Corte precisa che l’autorità incaricata di tale controllo preventivo non deve essere coinvolta nella conduzione dell’indagine penale di cui trattasi e deve avere una posizione di neutralità nei confronti delle parti del procedimento.
L’interpretazione si pone dunque in contrasto con l’art. 132, comma 3, del D.Lgs. 196/2003, che riconosce al Pubblico Ministero la competenza ad emettere il decreto motivato di acquisizione dei dati relativi al traffico telefonico.
Il Pubblico Ministero, infatti, non solo dirige il procedimento istruttorio, ma rappresenta anche la pubblica accusa nel processo e, dunque, difetta del requisito di indipendenza ritenuto essenziale dal Giudice Europeo.
Nell’attesa di un intervento del legislatore che adegui il Codice in materia di protezione dei dati personali, alcuni giudici nazionali hanno già recepito l’orientamento della Corte e con decreto del 26 aprile 2021 il G.I.P. di Roma ha ritenuto di disapplicare l’art. 132, comma 3, del D.Lgs. 196/2003, in ragione del sopravvenuto contrasto la recente sentenza interpretativa della Corte di Giustizia.