1. Premessa: la data retention tra esigenze di accertamento e tutela della sfera privata dei singoli
Come è stato posto in luce già da tempo, nella società digitale “le occasioni di violazioni o di semplici interferenze nella sfera privata accompagnano quasi ogni momento della nostra vita”[1]. Buona parte delle attività umane produce oggi una “traccia” elettronica sotto forma di dati personali, i quali rappresentano una vera e propria “proiezione della persona”[2]. Se la necessità di proteggere tali dati non può dunque non essere avvertita con particolare urgenza, le esigenze di accertamento esercitano una spinta nella (opposta) direzione della raccolta sempre più estensiva delle informazioni di carattere personale[3].
Su tale terreno si colloca la data retention, che consiste, come noto, nell’imposizione ai provider di servizi di telecomunicazione di obblighi di conservazione di taluni dati personali degli utenti (c.d. dati “esteriori” delle comunicazioni, o “metadati”) in funzione di un eventuale accesso da parte delle autorità per finalità di interesse generale, tra le quali l’accertamento di reati.
I dati in questione, specialmente se esaminati nel loro insieme, sono dotati di una spiccata attitudine a rivelare informazioni sulla vita privata degli individui: essi consentono, infatti, di ricostruire un quadro dettagliato delle comunicazioni, degli spostamenti, degli interessi e, in generale, delle abitudini di vita dell’interessato[4]. Per certi versi, la misura può risultare addirittura più insidiosa di quelle attività di ricerca della prova che mirano all’acquisizione del contenuto delle comunicazioni: da un lato, come si è accennato, la produzione di “tracce” elettroniche (in particolare, di “metadati”) capaci di rivelare dettagli sulle proprie attività quotidiane è pressoché inevitabile, dall’altro, le discipline che governano la data retention tendono a prevedere una conservazione molto estesa, se non generalizzata, dei dati degli utenti, per periodi di tempo prolungati[5].
Proprio su tale ultima caratteristica – vero tratto distintivo dello strumento in discorso – si intende soffermare l’attenzione nei paragrafi che seguono. Come si dirà, in relazione ai profili “quantitativi” della misura e, nello specifico, alla legittimità di un regime di conservazione “indiscriminata” dei dati, si registrano le più marcate frizioni tra limiti europei e tendenze estensive degli ordinamenti nazionali, non ultimo quello italiano.
2. Privacy, proporzionalità e data retention “indiscriminata”: limiti sovranazionali
Com’è evidente, il rango dei beni sui quali incide la data retention è particolarmente elevato. Le istanze di protezione della privacy e dei dati personali si situano infatti nel perimetro protettivo degli artt. 8 CEDU e 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, nonché, come chiarito da tempo dalla Corte costituzionale, dell’art. 15 Cost.[6].
Per apprezzare la reale portata della misura e il conseguente livello di ingerenza nei diritti fondamentali dei singoli è essenziale porre mente ai profili connessi alla sua estensione. La questione è dunque antecedente, sul piano logico e cronologico, rispetto al regime dell’accesso ai dati, e riguarda gli obblighi di conservazione imposti ai provider.
L’efficacia della data retention dipende, in una certa misura, dalla quantità di informazioni raccolte in funzione di una successiva ed eventuale analisi. Per tale ragione, è lato sensu fisiologico che la conservazione riguardi grandi quantità di dati, che solo in parte si riveleranno effettivamente funzionali agli scopi sottesi alla retention. Normalmente, dunque, la misura coinvolge soprattutto utenti rispetto ai quali non sono riscontrabili, al momento della raccolta dei dati, indizi di un coinvolgimento, neppure indiretto, in una vicenda illecita. Le caratteristiche appena tratteggiate hanno condotto a interrogarsi sulle condizioni di legittimità dei sistemi di conservazione “massiva” di dati personali.
Una conservazione “generalizzata” dei dati degli utenti dei servizi di comunicazione era prevista dalla direttiva 2006/24/CE, adottata a seguito degli attentati terroristici di Madrid e Londra. Tale estensione quantitativa della retention – unitamente ai suoi limiti cronologici e all’insufficienza delle garanzie a corredo dell’accesso alle informazioni e del loro uso successivo – ha condotto alla storica declaratoria di invalidità, nel 2014, della richiamata direttiva, ad opera della sentenza Digital Rights Ireland della Corte di giustizia[7]. Ad avviso della Grande Sezione, una simile “ingerenza nei diritti fondamentali della quasi totalità della popolazione europea” non è tollerabile alla luce del principio di proporzionalità[8]. In particolare, il legislatore europeo non aveva elaborato alcun criterio – ad esempio, di tipo soggettivo o geografico – in grado di stabilire un legame, sia pure indiretto, con gli obiettivi di prevenzione e accertamento perseguiti dalla direttiva.
Netta, dunque, la presa di posizione dei giudici di Lussemburgo, ribadita con la sentenza Tele2 con riferimento alle discipline nazionali[9]: gli obiettivi di tutela della sicurezza e di accertamento dei reati non giustificano l’intrusione nella sfera privata dei singoli derivante da una conservazione generalizzata e indifferenziata dei dati personali afferenti alle comunicazioni.
Se le sentenze cui si è appena fatto cenno hanno segnato una chiara prevalenza delle istanze connesse alla privacy e alla data protection, le successive pronunce hanno introdotto alcuni distinguo capaci di far guadagnare terreno alle istanze di sicurezza e di accertamento[10]. Infatti, lo schema di misurazione della proporzionalità delle ingerenze nella sfera privata dei singoli è progressivamente diventato sempre più articolato, mediante la messa a punto di una gerarchia degli obiettivi di interesse generale, da un lato, e di una scala di gravità delle ingerenze nei diritti fondamentali coinvolti, dall’altro[11].
Per quanto di interesse ai fini del presente lavoro, preme segnalare due linee di tendenza della traiettoria esegetica sovranazionale. In primo luogo, il divieto di conservazione generalizzata è stato attenuato con riferimento ai dati la cui conservazione comporta ingerenze comparativamente meno significative dei diritti fondamentali dei singoli: è il caso dei dati sull’identità civile degli utenti e degli indirizzi IP[12]. Una seconda modulazione del divieto, alla quale ha forse contribuito l’approccio più permissivo adottato nel frattempo dalla Corte di Strasburgo nei confronti dei sistemi di mass surveillance[13], è connessa all’importanza dell’obiettivo perseguito: per far fronte a minacce gravi e reali alla sicurezza nazionale, attuali o quanto meno prevedibili, è consentita una conservazione generalizzata anche dei dati sul traffico e sull’ubicazione, ferma la necessità di adeguati controlli indipendenti e di limiti cronologici definiti[14].
Pur a fronte degli esercizi di distinguishing operati dalla Corte di giustizia, il divieto di data retention generalizzata pare rimanere la regola. In particolare, i dati relativi al traffico e alla localizzazione degli utenti non possono essere soggetti a conservazione generalizzata per finalità di accertamento di reati, neppure quando si tratti di contrastare le forme “gravi” di criminalità.
La rigidità di un simile divieto può sorprendere. Si potrebbe infatti essere tentati di sostenere che la previsione di garanzie rafforzate e limitazioni in ordine all’accesso e all’uso dei dati conservati possa “compensare” il carattere indiscriminato della conservazione, mantenendo la limitazione delle prerogative individuali entro i confini della proporzione[15]. A un primo sguardo, del resto, può apparire che l’ingerenza nella privacy si concretizzi nel momento in cui i dati sono esaminati e utilizzati per le finalità che ne hanno motivato la raccolta.
Diametralmente opposto l’approccio progressivamente consolidato dalla Corte di giustizia, che poggia su un’attenta analisi del fenomeno. Una prima notazione è di carattere sistematico: una retention indiscriminata può indurre nella generalità dei consociati una sensazione di sorveglianza permanente, che potrebbe sortire effetti dissuasivi dell’esercizio delle libertà fondamentali degli individui (c.d. chilling effect), in particolare della libertà di espressione sancita dall’art. 11 della Carta[16]. In secondo luogo, la conservazione dei dati, specialmente se idonei a rivelare informazioni dettagliate sulla vita privata degli utenti, non può assumere carattere “neutro”, in quanto li espone a consistenti “rischi di abuso e di accesso illecito”[17]. Risulta evidente, alla luce di tali rilievi, come la conservazione dei dati personali comporti di per sé una grave ingerenza nei diritti fondamentali dei singoli, separata e autonoma rispetto a quella conseguente all’accesso ai medesimi.
Nonostante la chiarezza del divieto, il recepimento sul piano degli ordinamenti nazionali è stato alquanto difficoltoso, andando incontro talvolta a vere e proprie resistenze. In diversi ordinamenti, compreso quello italiano, sono ancora in vigore meccanismi di data retention generalizzata per scopi di accertamento[18], in manifesta violazione delle statuizioni sovranazionali. Non essendo possibile, in queste poche pagine, esaminare la questione sul piano comparatistico, pare quanto meno opportuno soffermarsi sulle conseguenze di tale mancato adeguamento nell’ambito dell’ordinamento processuale italiano.
3. Il sistema processuale italiano: ricadute applicative e prospettive di adeguamento
Nel sistema nazionale, la data retention è regolata, come noto, dall’art. 132 cod. privacy. Nonostante l’intervento normativo con il quale il legislatore ha tentato di colmare la distanza tra la disciplina interna e i principi sovranazionali, numerosi sono ancora i profili di tensione[19]. Con riferimento all’estensione “quantitativa” della misura, in particolare, gli obblighi di conservazione imposti ai provider di servizi riguardano tutti i dati relativi al traffico telefonico e telematico della generalità degli utenti.
La violazione delle indicazioni provenienti dalla Corte di giustizia è conclamata: sembra quindi ragionevole domandarsi se tale contrasto sia destinato a produrre conseguenze sul piano processuale. Lo ha escluso, dal canto suo, la Cassazione, la quale, pur riconoscendo il vulnus, ha ritenuto la statuizione europea sprovvista dei requisiti di chiarezza, precisione e incondizionatezza che consentirebbero di riconoscerne l’effetto diretto[20]. A ben vedere, la questione non pare così scontata. È appena il caso di osservare che, sussistendo dubbi sull’effetto diretto del divieto, dovrebbe promuoversi un rinvio pregiudiziale sul punto; in alternativa, sarebbe necessario sollevare la questione di legittimità costituzionale del citato art. 132 in riferimento agli articoli 11 e 117 c. 1° Cost., in relazione alle disposizioni europee, in primis gli articoli 7 e 8 della Carta.
Ma vi è di più. Sul piano più strettamente processuale, è stata da tempo prospettata l’operatività, in casi di violazione dei diritti sanciti dal diritto dell’Unione, di una inutilizzabilità di derivazione europea dei dati acquisiti a norma dell’art. 132 cod. privacy[21]. Tale opzione esegetica pare trovare una sponda nei passaggi delle pronunce La Quadrature du Net e Prokuratuur con i quali la Corte di giustizia ha affermato che il principio di effettività impone l’esclusione di prove ottenute “mediante una conservazione generalizzata e indifferenziata dei dati (…) incompatibile con il diritto dell’Unione”[22]. La linearità di tale affermazione è peraltro scalfita dalla successiva precisazione secondo la quale l’obbligo di esclusione si innesca solo ove la difesa non si trovi nella condizione di “svolgere efficacemente le proprie osservazioni”[23], tanto che paiono ancora incerte le potenzialità applicative della statuizione in discorso[24].
Non pare in ogni caso ulteriormente procrastinabile l’adeguamento della normativa interna ai canoni europei. Certo, si tratta di un’operazione tutt’altro che agevole, a fronte delle resistenze, anche culturali, che è necessario affrontare e delle obiettive criticità in sede di attuazione delle coordinate indicate dalla giurisprudenza sovranazionale.
È, in particolare, opinione diffusa che le forme massive di sorveglianza siano indispensabili al fine di tutelare la sicurezza pubblica e di perseguire i fatti di reato. Tale avviso trae vigore, nel contiguo campo della sorveglianza massiva delle conversazioni telefoniche per scopi securitari, dalle pronunce della Corte di Strasburgo che hanno riconosciuto la “vitale importanza” di siffatte misure per la sicurezza degli Stati[25], contribuendo a quella che è stata efficacemente definita la “normalizzazione” della mass surveillance[26]. Quanto alle finalità di accertamento, si è da più parti osservato come privarsi di strumenti quali la data retention massiva comporterebbe non solo una minore efficacia dell’accertamento penale, ma addirittura l’impunità sistemica di talune categorie di reati commessi con l’ausilio di mezzi tecnologici[27].
In questa prospettiva, può apparire che il prezzo da pagare per l’adeguamento ai dicta sovranazionali sia insostenibile sul piano delle istanze di sicurezza pubblica e di accertamento di reati. A ciò si aggiunga che i criteri, di carattere geografico e soggettivo, suggeriti dalla Corte di giustizia al fine di delimitare la conservazione sono di difficile attuazione. Alcuni Stati membri hanno introdotto forme di data retention parametrate sul tasso di criminalità riscontrabile in determinate aree o sui precedenti penali degli utenti “target”[28]. Tuttavia, tali schemi normativi si espongono a critiche non agevolmente superabili, sia dal punto di vista della idoneità a delimitare utilmente la retention, sia, soprattutto, da quello della compatibilità con i criteri di ragionevolezza e non discriminazione.
In realtà, non sembra che gli spazi di manovra dischiusi dalle pronunce dei giudici sovranazionali siano eccessivamente angusti. Come sottolineato dalla stessa Corte di giustizia, l’efficacia delle indagini non dipende da una sola misura, ma da un uso coordinato di tutti gli strumenti investigativi a disposizione delle autorità. In tale prospettiva, va anzitutto ricordato che è consentita la conservazione generalizzata dei dati identificativi e, soprattutto, degli indirizzi IP degli utenti: ciò che dovrebbe essere di per sé sufficiente a scongiurare il rischio di impunità dei reati commessi online. Quanto ai dati sul traffico o sull’ubicazione, esistono forme di conservazione che superano la valutazione di proporzionalità svolta dalla Corte. Ad esempio, dal momento in cui dovessero emergere elementi indicativi dell’utilità di un insieme di dati ai fini dell’accertamento di reati gravi, potrebbe procedersi al c.d. quick freeze dei medesimi, che consiste nella conservazione “rapida” dei dati nella disponibilità dei fornitori di servizi, anche se raccolti per finalità commerciali[29]. Sembrerebbe poi senz’altro compatibile con i principi enunciati dalla Corte di giustizia una disciplina che consentisse all’autorità giudiziaria di disporre la conservazione “mirata” dei dati rispetto ai quali sia ravvisabile in concreto un fumus di utilità ai fini delle indagini[30], fermo restando lo standard probatorio per il successivo ed eventuale accesso ai medesimi.
In definitiva, pur a fronte dei limiti posti dalla giurisprudenza sovranazionale alle forme più intrusive di investigazione e ricerca della prova, pare possibile individuare un punto di equilibrio tra esigenze di accertamento e tutela dei diritti fondamentali. Naturalmente, tale equilibrio non può essere raggiunto per via esegetica: urge un calibrato intervento normativo, in grado di soddisfare le esigenze di legalità imposte tanto dal quadro costituzionale interno quanto dalle fonti sovranazionali.
[1] In questi termini, S. Rodotà, Il mondo nella rete. Quali i diritti, quali i vincoli, Bari, Laterza, 2014, 30.
[2] In questi termini G. Alpa, L’intelligenza artificiale. Il contesto giuridico, Modena, Mucchi, 2021, 85, il quale afferma che i dati compongono l’«identità digitale» della persona.
[3] Si tratta di una declinazione della tradizionale contrapposizione tra istanze di sicurezza ed esigenze di protezione dei diritti fondamentali degli individui. Sull’argomento si rinvia, per tutti, a C. Conti, Sicurezza e riservatezza, in Dir. pen. proc., 2019, 1572 ss.; M. Daniele, La prova digitale nel processo penale, in Riv. dir. proc., 2011, 287 ss.; G. De Vergottini, Una rilettura del concetto di sicurezza nell’era digitale e della emergenza normativa, in Rivista AIC, 4/2019, 79 ss.; B. Galgani, Giudizio penale, habeas data e garanzie fondamentali, in www.archiviopenale.it, 8 febbraio 2019, 5 ss.; M. Gialuz, Prove fondate sull’intelligenza artificiale e diritti fondamentali, in Dir. di difesa, 2023, 687 ss.; L. Lupária, Privacy, diritti della persona e processo penale, in Riv. dir. proc., 2019, 1449.
[4] Si vedano, almeno, le considerazioni di B. Schneier, Data and Goliath, the Hidden Battles to Collect Your Data and Control Your World, New York, 2015, 24, il quale sottolinea come i metadati forniscano «a detailed summary of what’s happening to us at any point in time», riprese da V. Mitsilegas, The Privatization of Surveillance in the Digital Age, in V. Mitsilegas, N. Vavoula (a cura di), Surveillance and Privacy in the Digital Age: European, Transatlantic and Global Perspectives, Oxford, Hart, 2021, 103.
[5] Sul punto, G. Lasagni, Dalla riforma dei tabulati a nuovi modelli di integrazione fra diritti di difesa e tutela della privacy, in www.lalegislazionepenale.eu, 21 luglio 2022, 14 s.; G. Leo, Le indagini sulle comunicazioni e sugli spostamenti delle persone: prime riflessioni riguardo alla recente giurisprudenza europea su geolocalizzazione e tabulati telefonici, in www.sistemapenale.it, 31 maggio 2021.
[6] Corte cost., 26 febbraio 1993, n. 81, in www.cortecostituzionale.it, con la quale si è chiarito che la tutela accordata dall’art. 15 Cost. «è sicuramente tale da ricomprendere fra i propri oggetti anche i dati esteriori di individuazione di una determinata conversazione telefonica».
[7] C. giust. UE, Grande Sezione, 8 aprile 2014, C-293/12 e C-594/12, Digital Rights Ireland Ltd.
[8] Ibidem, punti 56 e ss.
[9] Il riferimento è a C. giust. UE, Grande Sezione, 21 dicembre 2016, Tele2, C‑203/15 e C‑698/15.
[10] Sul punto, G. Formici, La disciplina della data retention tra esigenze securitarie e tutela dei diritti fondamentali. Un’analisi comparata, Torino, 2021, 114 ss.; J. Sajfert, Bulk data interception/retention judgments of the CJEU – A victory and a defeat for privacy, in European Law Blog, 26 ottobre 2020.
[11] Cfr., per tutti, S. Marcolini, La giurisprudenza della Corte di giustizia dell’Unione europea sulla data retention; il baluardo dei diritti fondamentali in Europa, in R. Flor, S. Marcolini, Dalla data retention alle indagini ad alto contenuto tecnologico. La tutela dei diritti fondamentali quale limite al potere coercitivo dello Stato. Aspetti di diritto penale processuale e sostanziale, Torino, Giappichelli, 2022, 19 ss.
[12] Tali precisazioni si devono alla sentenza C. giust. UE, 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, punti 155 ss.; nondimeno, la Corte ha qualificato come “grave” l’ingerenza derivante dalla conservazione degli indirizzi IP, che è quindi consentita solo per finalità di contrasto di forme gravi di criminalità.
[13] Il riferimento è alle pronunce sui casi Big Brother Watch and others c. Regno Unito e Centrum for Rattvisa c. Svezia del 2018, sui quali si è altresì pronunciata la Grande Camera il 25 maggio 2021; sulla possibile influenza di tali sentenze sulla giurisprudenza successiva della Corte di giustizia, ad esempio, M. Zalnieriute, A Dangerous Convergence: The Inevitability of Mass Surveillance in European Jurisprudence, in www.ejiltalk.org, 4 giugno 2021.
[14] Cfr. la sentenza La Quadrature du Net I, cit., punti 136 ss.
[15] Un simile approccio è stato suggerito dal Tribunale amministrativo federale tedesco, il quale ha sollevato il rinvio pregiudiziale nel caso SpaceNet e Telekom Deutschland (C. giust. UE, 20 settembre 2022, C‑793/19 e C‑794/19).
[16] In questo senso la sentenza La Quadrature du Net I, cit., punto 147.
[17] Ibidem, punto 148, più di recente, C. giust. UE, Grande Sezione, 5 aprile 2022, C‑140/20, G.D., punto, 54.
[18] È ad esempio il caso della Spagna (artt. 3 e 4, l. 18 ottobre 2007); la situazione non pare dissimile, in concreto, nel sistema francese, ove si sfrutta sistematicamente l’eccezione connessa alla tutela della sicurezza nazionale: sul punto, M. Lassalle, A Clash Between the French System and the CJEU Case Law on Data Retention?, in E. Kosta, I. Kamara (a cura di), Data Retention in Europe and Beyond, Oxford, Oxford University Press, 2025, 191.
[19] Sia consentito rinviare, per una recente panoramica, a L. Parodi, La “gravità dell’ingerenza” nel prisma della proporzionalità: nuovi equilibri in tema di data retention, in Dir. pen. cont., Riv. trim., 4/2024, 56 ss.
[20] In questo senso, ad esempio, Cass. pen., Sez. II, 3 febbraio 2023, n. 11283.
[21] Di questo avviso, pur con diversità di accenti, S. Marcolini, Le indagini atipiche a contenuto tecnologico nel processo penale: una proposta, in Cass. Pen., 2015, 780 ss.; L. Lupária, Data retention e processo penale, Un’occasione mancata per prendere i diritti davvero sul serio, in Diritto di internet, 4/2019, 763; F.R. Dinacci, L’acquisizione dei tabulati telefonici tra anamnesi, diagnosi e terapia: luci europee e ombre legislative, in Proc. Pen. Giust., 2022, 313 ss.
[22] In questi termini, C. giust. UE, 2 marzo 2021 H.K (Prokuratuur), C-746/18, punto 44.
[23] Ibidem.
[24] Sull’argomento, per tutti, M. Panzavolta-E. Maes, Exclusion of evidence in times of mass surveillance. In search of a principled approach to exclusion of illegally obtained evidence in criminal cases in the European Union, in The International Journal of Evidence & Proof, 26(3), 2022, p. 199 ss.; G. Lasagni, Admissibility of Evidence in Criminal Proceedings: Lessons (and Problems) from the “data Retention Saga”, in L. Bachmaier Winter-F. Salimi (a cura di), Admissibility of Evidence in EU Cross-Border Criminal Proceedings, Hart, 2024, p. 31 ss.
[25] C. eur. Dir. uomo, Grande Camera, 25 maggio 2021, Big Brother watch e altri vs Regno Unito, § 424.
[26] M. Milanovic, The Grand Normalization of Mass Surveillance: ECtHR Grand Chamber Judgments in Big Brother Watch andCentrum för rättvisa, in www.ejiltalk.org, 26 maggio 2021.
[27] Di questo avviso, ad esempio, il Conseil d’État francese, sentenza French Data Network, 4 aprile 2021, n. 393099, il quale ha promosso il rinvio pregiudiziale nel caso La Quadrature du Net II; sul punto, M. Lassalle, A Clash Between the French System and the CJEU Case Law on Data Retention?, cit., 192 ss.
[28] Il riferimento è, in particolare, al Belgio e alla Danimarca: cfr., sul punto, A. Malacarne, Lo “statuto europeo” della data retention: luci e ombre, in L. Bernardini, C. De Caro (a cura di), Sfide attuali e tendenze future del diritto processuale penale europeo, Torino, Giappichelli, 2025, 383 ss.
[29] Diffusamente, sul tema, la sentenza La Quadrature du Net I, punti 160 e ss.; in dottrina, per tutti, A. Birrer, D. He, N. Just, The State Is Watching You – A Cross-National Comparison of Data Retention in Europe’, in Telecommunications Policy, 47/2023, 102542, 10.
[30] La soluzione non pare inesplorata sul piano comparatistico: in Portogallo, l’art. 6, c. 2, l. n. 32 del 17 luglio 2008, novellato nel 2024, subordina la conservazione dei dati sul traffico e sull’ubicazione a un’autorizzazione dell’autorità giudiziaria fondata sulla necessità dei dati medesimi ai fini delle indagini.