Al diritto alla riservatezza (c.d. privacy) l’ordinamento giuridico dell’Unione Europea conferisce protezione indubbiamente ampia, scomponibile sul piano concettuale in due macro-componenti:
- una prima componente ‘negativa’, sancita dall’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea, che consolida il nucleo tradizionale del diritto alla privacy, inteso quale ‘right to be let alone’, e dunque quale jus solitudinis dei singoli avverso indebite intrusioni dei terzi nella propria sfera privata; insomma quale pretesa liberale originata in terreno di common law e poi affermatasi progressivamente a partire dalla fine dell’800 in linea con l’avanzare del progresso tecnologico insito nella seconda rivoluzione industriale ([1]), allorquando la diffusione della stampa quotidiana e del primo fotogiornalismo resero evidenti le potenzialità dei nuovi mezzi di estrarre informazioni da spazi privati, diffonderle su vasta scala e, così facendo, indurre scandalo gratuito attraverso la divulgazione di minuzie prive di interesse pubblico;
- una seconda componente ‘positiva’, sancita dall’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea, che funge da appendice moderna al nucleo tradizionale del diritto alla privacy e che, nello specifico contesto dell’ordinamento continentale, si estende per mano del Regolamento n. 2016/679 (GDPR) fino a sancire il diritto dei singoli al trattamento dei propri dati personali secondo principi di necessarietà e proporzionalità, nonché il diritto alla conoscenza delle specifiche finalità e delle specifiche basi giuridiche sottese al trattamento, in assenza delle quali imporre il recupero dell’habeas data dei soggetti interessati tramite il meccanismo del libero consenso.
Eppure, il diritto alla riservatezza – la privacy – non gode, nemmeno nelle maglie delle ampie tutele conferite dall’ordinamento UE, di protezione assoluta. In particolare, la tutela (positiva o negativa che sia) del diritto alla privacy, al pari di altri diritti fondamentali, può essere, seppur non annichilita, quantomeno compressa in ragione e in proporzione di quanto strettamente necessario a garantire il perseguimento di tassative finalità di interesse generale riconosciute ex lege nell’ambito dell’archetipo di Stato democratico. Tra queste, spicca la finalità, particolarmente pregnante poiché conferita allo Stato in regime di monopolio legale, volta alla prevenzione, indagine, accertamento e perseguimento di fatti di reato, nonché all’esecuzione delle rispettive sanzioni penali.
Il carattere tendenzialmente recessivo della privacy dinnanzi al perseguimento della finalità tipica del procedimento penale – l’individuazione e la repressione di fatti di reato – si apprezza in ottica sistematica già sul piano della legislazione vigente, ove si consideri che il trattamento dei dati personali da parte dell’Autorità giudiziaria a fini penali trova disciplina in un corpus normativo autonomo e specifico: e segnatamente in seno alla Direttiva UE n. 2016/680, la quale, posta in espressa deroga al GDPR, mira ad agevolare la cooperazione giudiziaria in materia penale tramite facilitazione dello scambio di informazioni tra pubbliche Autorità, tarando tuttavia la libera circolazione su un livello uniforme ed elevato di protezione dei dati personali, ispirato a principi di correttezza del trattamento, esplicitazione delle finalità e liceità della base giuridica di trattamento, minimizzazione dei dati, tutela avanzata delle categorie particolari di dati (cc.dd dati sensibili), informativa del soggetto interessato al trattamento e predisposizione di effettiva tutela giurisdizionale.
Ecco, dunque, che la Sentenza in commento interviene al fine di disegnare, attraverso il grimaldello giuridico fornito dall’art. 52 comma 1 della Carta dei Diritti Fondamentali dell’Unione Europea ([2]), un giusto bilanciamento tra le esigenze di giustizia penale fisiologicamente insite nella conformazione dello Stato democratico e le prerogative privacy garantite ex lege in capo ai soggetti coinvolti in procedimenti penali.
La questione posta in via pregiudiziale alla Corte di Giustizia dell’Unione Europea si risolve, invero, in un giudizio di compatibilità dei summenzionati principi di cui alla Direttiva UE n. 2016/680, nonché dei già più sopra citati artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea, con una legislazione nazionale che consenta una ingerenza massiva nella privacy del soggetto sottoposto ad indagini penali – nel caso di specie, il sequestro dello smartphone dell’indagato, con conseguente accesso a tutti i dati personali, pure sensibili, in esso contenuti – in assenza di garanzie minime, quali:
- la limitazione dell’atto di indagine alle sole fattispecie delittuose connotate da particolare gravità, ad esclusione di fattispecie contravvenzionali indici di un minor allarme sociale;
- l’autorizzazione giurisdizionale dell’atto di indagine;
- l’informativa in favore dell’indagato.
La limitazione dell’atto di indagine alle sole fattispecie delittuose connotate da particolare gravità
“La gravità del reato oggetto di dell’indagine costituisce uno dei parametri centrali in sede di esame della proporzionalità della grave ingerenza costituita dall’accesso ai dati personali contenuti in un telefono cellulare che consentono di trarre conclusioni precise sulla vita privata dell’interessato”, recita il paragrafo più significativo della Sentenza in commento.
Il lettore viene dunque spiazzato dalla parte dispositiva del provvedimento, la quale conclude attestando la compatibilità con la normativa UE dell’ordinamento nazionale che consenta l’atto di indagine lesivo della privacy dell’indagato sulla scorta della mera definizione “in modo sufficientemente preciso della natura e delle categorie dei reati” per cui tale accertamento può essere esperito, omettendo in tale definizione ogni riferimento ad un parametro di gravità delle fattispecie contestate ([3]).
L’antinomia è, tuttavia, soltanto apparente e può essere facilmente sciolta una volta calato il principio di diritto nei suoi risvolti concreti. È infatti agevole prevedere che il legislatore nazionale – posto dinnanzi alla necessità di selezionare un catalogo di reati a cui associare la possibilità di esperire un atto di indagine, tanto invasivo, quanto necessario all’accertamento dei fatti, quale il sequestro dello smartphone dell’indagato – non potrà che appellarsi, quantomeno in ultima istanza, al filtro ubiquo costituito dalla cornice edittale di pena prevista ex lege in relazione alle fattispecie criminose, inserendo così implicitamente un giudizio di gravità nel criterio di selezione. E una tale impostazione non potrà che essere ritenuta conforme alla normativa UE, dal momento che è la stessa legge europea ad appellarsi al criterio di selezione tarato sulla cornice edittale allorquando introduce significative intromissioni nella sfera privata degli individui giustificate sulla scorta di esigenze di prevenzione e repressione di reati: in questo senso, il riferimento più evidente è al recente Regolamento UE sull’intelligenza artificiale (AI ACT), il quale consente l’utilizzo di uno strumento altamente critico sul versante privacy come il sistema di riconoscimento facciale in tempo reale ([4]) in presenza di una serie di contingenze eccezionali tra cui è ricompresa la localizzazione ed individuazione di una persona indiziata di specifici reati puniti con la pena della reclusione superiore nel massimo ad anni quattro ([5]) .
A ben vedere, dunque, ciò che si registra nel passaggio dalla parte motiva alla parte dispositiva della Sentenza in commento non è la perdita del criterio di ‘gravità’ nella selezione delle fattispecie di reato eleggibili ai fini dell’atto di indagine invasivo sul versante privacy, bensì l’abdicazione del Giudice sovranazionale ad imporre specifiche soglie di qualificata gravità, la cui individuazione viene rimessa alla libera discrezionalità del legislatore nazionale.
L’autorizzazione giurisdizionale dell’atto di indagine
La selezione astratta, per via legislativa, delle fattispecie di reato eleggibili per l’atto di indagine invasivo della privacy non è criterio sufficiente a garantire il rispetto dei principi di necessità e proporzionalità imposti dall’art. 52 della Carta dei Diritti Fondamentali dell’Unione Europea ai fini della compressione del diritto fondamentale dell’indagato alla riservatezza della propria vita personale e alla tutela dei rispettivi dati personali.
Tale vaglio è invero da svolgersi, altresì, su un piano concreto: ciò nella misura in cui ‘necessaria’ è soltanto quella intromissione nella privacy dell’indagato imposta da un atto di indagine le cui risultanze non potrebbero essere ottenute per altra via meno invasiva del fondamentale diritto alla riservatezza; ‘proporzionale’, invece, è soltanto quella intromissione nella privacy dell’indagato limitata a quanto strettamente necessario ai fini delle indagini in corso, e in particolar modo quella confinata al trattamento di dati personali adeguati, pertinenti e non eccedenti rispetto a tale finalità.
Ecco, dunque, che emerge – quale secondo requisito di legittimità – la necessità di un’autorizzazione preventiva (postergabile solo in casi di comprovata urgenza) resa da un organo giurisdizionale terzo ed imparziale ([6]): un Giudice privo di biases investigativi e pertanto ben posizionato per contemperare, nel loro corretto equilibrio, le esigenze di indagine con le prerogative privacy del soggetto indagato.
L’informativa in favore dell’indagato
La tutela della privacy del data subject ([7]) postula il suo essere preventivamente informato circa alcune informazioni essenziali riguardanti il trattamento dei suoi dati personali, tra cui si annoverano la finalità e la base giuridica del trattamento, nonché il periodo di conservazione e i soggetti destinatari dei dati personali.
Qualora il data subject sia un soggetto sottoposto ad indagine penale, i cui dati personali vengono trattati a fini di giustizia, tali prerogative possono essere, sì, compresse, ma non annichilite: in questo caso, l’informativa può divenire postuma anziché preventiva, ma risulta ad ogni modo dovuta a partire dall’istante in cui essa cessa di porre il rischio di compromettere l’indagine penale in corso.
L’informativa in favore dell’interessato – che può assumere le forme della notifica del provvedimento giurisdizionale autorizzativo dell’atto di indagine – risulta così propedeutica a garantire il ricorso dell’indagato ad un rimedio giurisdizionale effettivo avverso la (potenzialmente indebita) invasione della sua sfera privata.
Non solo: sul versante prettamente penalistico, la compiuta conoscenza da parte dell’indagato delle specifiche tecniche tramite cui l’atto di indagine è stato compiuto risulta funzionale a garantire la parità delle parti nell’ambito del processo penale, la quale, in un’ottica di giusto processo (fair trial) ([8]), richiede la possibilità dell’indagato di confrontarsi compiutamente con gli elementi di prova addotti a suo carico.
([1]) Seminale in questo senso il celeberrimo articolo di Samuel D. Warren e Louis Brandeis ‘The Right to Privacy’, in Harvard L.R. 193 (Dec. 15, 1890).
([2]) Art. 52 comma 1 CDFUE: “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. È nell’art. 52 comma 1 CDFUE che si rinvengono gli essenziali principi di necessarietà e proporzionalità – centrali per l’analisi che ci occupa – utili al bilanciamento dei diritti fondamentali con le finalità di interesse generale che ne giustificano la compressione.
([3]) Sul punto, la Sentenza in commento sostiene in parte motiva: “ritenere che solo la lotta contro i reati gravi possa giustificare l’accesso a dati contenuti in un telefono cellulare limiterebbe i poteri di indagine delle Autorità competenti nei confronti dei reati in generale. Ne risulterebbe un aumento del rischio di impunità per detti reati, tenuto conto dell’importanza che tali dati possono avere per le indagini penali. Pertanto, una siffatta limitazione nuocerebbe all’obiettivo della realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione” (Par. 97).
([4]) Trattasi dei cc.dd. remote biometric identification systems, vale a dire applicativi di intelligenza artificiale che, tramite reti neurali di deep learning dedite all’analisi, al confronto e al matching di immagini, consentono l’identificazione univoca e in tempo reale di soggetti ripresi in video. Più nello specifico, il flusso di dati biometrici viene raccolto tramite le immagini rilevate dalle telecamere a circuito chiuso (CCTV), la cui ampia diffusione, in luoghi pubblici o aperti al pubblico, rende oggi altamente probabile la cristallizzazione in video dei lineamenti somatici di persone sospettate della commissione di fatti di reato. A venire cristallizzati, in particolar modo, sono i cc.dd. punti di repere: micro-aree anatomiche la cui interazione reciproca risulta altamente individualizzante e, dunque, indicativa dell’identità del singolo. Una volta acquisiti i dati biometrici, essi vengono confrontati con ulteriori dati preesistenti e contenuti in appositi database. Tale operazione di confronto è delegata nella sua interezza all’intelligenza artificiale, ovverosia a reti neurali di deep learning, le quali sono in grado di compiere la necessaria computazione statistica con inedita inefficienza e restituire così un output sottoforma di matching: l’abbinamento dei dati biometrici rilevati dalle immagini di sorveglianza con l’identità di un individuo reperito nel database di riferimento. Per approfondimenti si rimanda a Nicolò Biligotti – “Frizioni costituzionali nell’era della sorveglianza: intelligenza artificiale, processo penale e identificazione biometrica”, MediaLaws, 16 novembre 2022.
([5]) Regolamento UE n. 2024/1689 (AI ACT), art. 5 (‘Pratiche di IA vietate’), Paragrafo 1, comma 1, lett. h), punto iii).
([6]) Quantomeno, di un’Autorità Amministrativa Indipendente.
([7]) Trattasi del soggetto ‘interessato’ al trattamento dei dati personali, ossia, la persona fisica alla quale si riferiscono i dati personali (Articolo 4, paragrafo 1, punto 1, GDPR).