Quando pensiamo ai cambiamenti epocali che la pandemia del COVID-19 ha apportato alle nostre vite, raramente tendiamo a includere nella lista anche il contact-tracing. Vuoi perché in Italia il dibattito sul tema è stato relativamente ridotto o riservato agli “addetti ai lavori”; vuoi perché meno radicale rispetto a misure senza dubbio più restrittive delle nostre libertà personali...

Source

Con la sentenza del 5 aprile1, la Corte di giustizia si è pronunciata nuovamente sul tema della data retention, confermando il suo orientamento in materia.

Il fatto

La Corte suprema irlandese ha interrogato la Corte di giustizia dell’Ue nell’ambito di una causa civile intrapresa da un soggetto condannato all’ergastolo per un omicidio nel 2015. Il ricorrente ha contestato l’ammissibilità delle prove poste a fondamento della decisione di primo grado, nel caso di specie si trattava di dati di traffico e di dati relativi

all’ubicazione riguardanti chiamate telefoniche.

La decisione della Corte

Secondo la Corte, “il diritto dell’Unione osta a misure legislative che prevedano, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione afferenti alle comunicazioni elettroniche, per finalità di lotta ai reati gravi”.

La direttiva relativa alla vita privata e alle comunicazioni elettroniche2 stabilisce il principio del divieto della memorizzazione dei dati relativi al traffico e all’ubicazione. La conservazione rappresenta da una parte un’eccezione alla regola, dall’altra, “un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta”.

Poco più di un anno fa, con la sentenza del 2 marzo 20213, la Corte affermava come l’acquisizione dei dati telefonici e telematici debba essere sottoposta ad un’autorizzazione di un giudice terzo. Pertanto, la decisione della Corte è in linea con i principi di diritto espressi in passato nell’ambito di altre pronunce4, tuttavia fornisce ulteriori indicazioni per delimitare il perimetro della disciplina.

In particolare, si afferma che l’articolo 15 paragrafo 1 della direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE, pur non ammettendo la conservazione generalizzata ed indifferenziata dei dati di traffico e relativi all’ubicazione, “per ragioni di contrasto alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica”, non osta a misure legislative che prevedano:

– la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;

– la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;

– la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e

– il ricorso a un’ingiunzione rivolta ai fornitori di servizi di comunicazione elettronica, mediante una decisione dell’autorità competente soggetta a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono tali fornitori di servizi,

se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi.

Inoltre secondo la Corte: “la criminalità, anche particolarmente grave, non può essere equiparata a una minaccia per la sicurezza nazionale”. Coerentemente con quanto stabilito nella pronuncia La Quadrature du Net: “l’obiettivo di preservare la sicurezza nazionale corrisponde all’interesse primario di tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società mediante la prevenzione e la repressione delle attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese”. Viene così esclusa la possibilità di equiparare le esigenze di sicurezza nazionale con quelle derivanti dal contrasto alla criminalità particolarmente grave, risultando inammissibile una conservazione generalizzata in quest’ultimo ambito.

In secondo luogo, la Corte ha ribadito come non risulti compatibile con il diritto dell’Unione: “una normativa nazionale in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell’ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, assistito da un’unità istituita all’interno della polizia che gode di una certa autonomia nell’esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale”.

Infine ha affermato che risulta in contrasto con la normativa Ue, la limitazione nel tempo degli effetti di una declaratoria di invalidità, da parte del giudice nazionale ed in forza del diritto interno, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata ed indifferenziata. Tuttavia l’ammissibilità degli elementi di prova così ottenuti rientra, in linea con il principio di autonomia procedurale degli stati membri, nell’ambito del diritto nazionale, sempreché nel rispetto, dei principi di equivalenza e di effettività.

Effetti della pronuncia e disciplina interna

In Italia ai sensidell’art. 24 della Legge 20 novembre 2017 n. 167 (Legge Europea) entrato in vigore il 12 dicembre 2017 di adeguamento della disciplina nazionale alla Direttiva 2017/541 sulla lotta al terrorismo, è stato stabilito che “per le finalità dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico nonché dei dati relativi alle chiamate senza risposta, è stabilito in settantadue mesi (6 anni).

Ai sensi dell’art 132 del codice privacy permane, per tutti i delitti, il periodo di conservazione e di disponibilità dei dati di traffico telefonico per 24 mesi e del traffico telematico di 12 mesi (di 30 giorni nel caso delle chiamate senza risposta), mentrecon la Legge Europea 167/2017 è stato previsto un periodo di conservazione dei dati di 72 mesi (6 anni) per un buon numero di reati, come quelli contemplati dall’art. 407 comma 2 lett. a) c.p.p., considerati dal nostro ordinamento particolarmente gravi5.

Nella sostanza ciò si traduce in un obbligo generico di conservazione da parte dei gestori dei servizi per un lasso di tempo considerevole, non essendo quest’ultimi in grado di valutare ex ante chi fra i propri utenti possa risultare autore di reati gravi.

Ebbene, proprio in questo obbligo generico di conservazione si può individuare il massimo punto di tensione con i principi affermati dalla Corte. Difatti, nella normativa interna è previsto solo un criterio selettivo (gravità del reato) rilevante nel momento dell’acquisizione, tuttavia, proprio per le ragioni di cui sopra, lo stesso criterio non incide sul regime della conservazione.

Inoltre, se da un lato la disciplina interna risulta in linea con la natura stessa di questo strumento di ricerca della prova, il quale prevede una raccolta generalizzata in considerazione di un’acquisizione potenziale, dall’altro lato essa rispecchia il punto di vista della Consulta relativamente alla minore invasività sulla privacy dello strumento della conservazione, in confronto a quella delle intercettazioni, tale da legittimarne una diversa regolamentazione.

Coerentemente con questa interpretazione, è doveroso ricordare come, fino al D.L. 132/2021, il potere di acquisizione era attribuito al solo pubblico ministero. Proprio in virtù di questo Decreto legge di ottobre 2021, l’articolo 132 del decreto legislativo 30 giugno 2003, n. 196 è stato così modificato: “il comma 3 è sostituito dal seguente: Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti ai fini della prosecuzione delle indagini, i dati sono acquisiti presso il fornitore con decreto motivato del giudice su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private”. Dunque, s’intuisce come attraverso tale modifica è stata soddisfatta l’esigenza, sottolineata dalla Corte di giustizia, di introdurre un vaglio, da parte di un’autorità terza, sull’istanza di acquisizione.

Questa nuova formulazione determina come successivamente al vaglio del giudice segua un suo provvedimento autorizzativo che consente al soggetto richiedente (pubblico ministero o difensore) di acquisire i tabulati.

Altra novità da sottolineare è la previsione di una procedura d’urgenza attivabile da parte del pubblico ministero, così recita il nuovo comma 3-bis: “Quando ricorrono ragioni di urgenza e vi è fondato motivo di ritenere che dal ritardo possa derivare grave pregiudizio alle indagini, il pubblico ministero dispone la acquisizione dei dati con decreto motivato che e’ comunicato immediatamente, e comunque non oltre quarantotto ore, al giudice competente per il rilascio dell’autorizzazione in via ordinaria. Il giudice, nelle quarantotto ore successive, decide sulla convalida con decreto motivato. Se il decreto del pubblico ministero non è convalidato nel termine stabilito, i dati acquisiti non possono essere utilizzati”.

Il nuovo impianto normativo prevede una possibilità per il pubblico ministero che non trova egual riscontro nelle facoltà concesse al difensore. Basti pensare al ruolo cruciale che potrebbe avere in questo contesto il criterio di profondità cronologica su citato, ai fini dell’acquisizione dei dati in questione. Difatti, mentre il pubblico ministero, nelle more per la richiesta di acquisizione, può richiedere i dati direttamente al gestore, anche se il relativo decreto dovrà essere successivamente convalidato, il difensore deve in ogni caso attendere il provvedimento autorizzativo del GIP. È inconfutabile come ciò si possa tradurre in una disparità di trattamento degli attori coinvolti in questa prima fase del procedimento (art. 111 cost.).

A ben vedere questo assetto risulta incompatibile con l’orientamento della Corte, dal quale risulta in maniera evidente la preoccupazione per l’invasività di questo strumento sulla vita privata dei cittadini, indipendentemente da qualsiasi collegamento con una fattispecie delittuosa.

In questo quadro si renderà necessario un intervento del legislatore, il quale “dovrà elaborare una disciplina processuale ad hoc sui tabulati in cui specificare, in una prospettiva futura e non passata, le categorie di soggetti da proteggere e quelli di cui potranno essere forniti i dati ( ad esempio indiziati di gravi reati o persone in procinto di commettere un grave reato), elementi oggettivi e non generici (indizi di colpevolezza di gravi reati già commessi o al fine di prevenire la commissione di gravi reati), il criterio geografico (la zona circostante la scena del delitto), il periodo limitato ma rinnovabile” 6.

Infine, potrebbe risultare tanto più utile prevedere una disciplina per la conservazione rapida e il relativo accesso, specificando condizioni e modalità per l’attuazione dell’ordine di quick freeze.

Domenico Talarico

1 Sentenza del 5 aprile 2022, C-140/20;

2 Direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE;

3 Sentenza del 2 marzo 2021, H.K. c. Prokuratuur, C 746-18;

4 Sentenze del 21 dicembre 2016, Tele2 Sverige et Watson e a., C-203/15 e C-698/15; del 6 ottobre 2020, Privacy International, C-623/17, e La Quadrature du Net e a., C-511/18, C-512/18.

5 Cfr. S. Aterno, Data retention: la sentenza della Corte di Giustizia europea sull’acquisizione dei dati di traffico (telefonico e telematico). Uno sguardo alla situazione italiana, disponibile al sito: e-lex.it/it/data-retention-la-…

6 Confronta V. Stella, Spangher: «La Corte di Giustizia della Ue ha sancito la fine del regime dei tabulati», in IL DUBBIO disponibile al sito www.ildubbio.news/2022/04/20/spangher-intercettazioni/

L'articolo La Corte di Giustizia ritorna sul tema della data retention proviene da E-Lex.

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Germany at gdprhub.eu/VG_Ansbach_-_AN_14_…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#TeamDatenschutz

mastodon.social/@noybeu/108214…

🆕 Today, noyb filed a new complaint against C-Planet in an ongoing case regarding a massive political data breach. We finally want to find out, where the personal data of almost every Maltese voter came from! 🔍 noyb.eu/en/political-data-brea…

mastodon.social/@noybeu/108214…

Violazione dei dati politici a Malta: C-Planet rifiuta il diritto di accesso e informazione La società informatica C-Planet ha divulgato i dati personali di quasi tutta la popolazione votante maltese. Una nuova denuncia di noyb mira a rivelare la fonte dei dati che C-Planet ha, per ora, taciuto.

noyb.eu/en/political-data-brea…

Gabriele Ientile Il Regolamento Prum II – attualmente in consultazione al Consiglio dell’Unione europea – intende rafforzare lo scambio di dati tra forze di polizia all’interno dell’UE. Allo stato attuale la proposta comporta seri rischi per i diritti e le libertà dei cittadini. Prum II ha lo scopo di aggiornare l’attuale framework per lo scambio di informazioni tra le autorità di polizia dell’...

Source

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Hungary at gdprhub.eu/NAIH_(Hungary)_-_NA…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#privacidad

mastodon.social/@noybeu/108213…

Disco omonimo d’esordio per gli umbri Riosacro in uscita per l’umbra Jap Records e per la romagnola L’Amor Mio Non Muore Dischi, un duo di musica prevalentemente strumentale nati agli inizi del 2020 dall’incontro fra Edoardo Commodi e Norberto Becchetti, entrambi chitarristi ed amanti di una musica cinematografica e narrativa. Il disco si compone di musica da strada, blues, desert rock, musica cinematografica sospesa tra Calexico, un certo Vinicio Capossela e una band da paese o da bar.

iyezine.com/riosacro-american-…

The Queen Is Dead Volume 46

Riosacro / American Anymen: disco omonimo d’esordio per gli umbri Riosacro in uscita per l’umbra Jap Records e per la romagnola L’Amor Mio Non Muore Dischi....

^{Massimo Argo (In Your Eyes ezine)}

L’acquisto di Twitter di Elon Musk campo minato della privacy

Elon Musk si è assicurato un accordo per acquistare Twitter per circa 44 miliardi di dollari. Nei suoi commenti iniziali, Musk ha parlato di una serie di obiettivi tra i quali “rendere gli algoritmi open source e aumentare la fiducia”, affrontare gli spambot. Non sono ancora disponibili ulteriori informazioni su come Musk guiderà Twitter. Non mancano le preoccupazione degli attivisti della privacy e avvertono sul rischio di fidarsi troppo delle piattaforme per le nostre informazioni private.

Elon Musk’s Twitter Buy Exposes a Privacy Minefield

Elon Musk secured an agreement on Monday to buy Twitter for about $44 billion and take the company private. In his initial comments about the move, Musk discussed a range of goals from “making the algorithms open source to increase trust” to addressing spambots and “authenticating all humans.” There isn’t more information available yet on how Musk will steer Twitter but privacy and security proponents say that these initial comments paint a mixed picture of where the social media giant could be headed under its new leadership—and reveal the risks of trusting platforms to protect our private information.

wired.com/story/elon-musk-twit…

Proposto un nuovo quadro di autoregolamentazione per la privacy degli adolescenti

Attraverso il suo Center for Industry Self-Regulation (CISR), BBB National Programs ha annunciato il lancio del TeenAge Privacy Program (TAPP). Il TAPP introduce un quadro di autoregolamentazione proposto che cerca di aiutare le aziende a mitigare i rischi di danni ai consumatori adolescenti e a raccogliere e gestire i dati degli adolescenti in modo responsabile. Creato con il contributo dei leader aziendali nei settori dei beni di consumo, del marketing per bambini e della tecnologia wireless e dei media, il TAPP riflette i crescenti riflettori sulla privacy online degli adolescenti e un numero crescente di ricerche sulla vulnerabilità degli adolescenti online.

Growing Pains: New Self-Regulatory Framework for Teenage Privacy Proposed

Through its newly launched Center for Industry Self-Regulation (CISR), BBB National Programs announced last week the launch of the TeenAge Privacy Program (TAPP). The TAPP introduces a proposed self-regulatory framework that seeks to help companies to mitigate risks of harms to teenage consumers and to collect and manage teen data responsibly. Built with input from business leaders in the consumer goods, children’s marketing, and wireless and media technology spheres, the TAPP reflects the growing spotlight on teen online privacy and an increasing body of research regarding the vulnerability of teens online.

jdsupra.com/legalnews/growing-…

L’attacco ransomware in Costa Rica potrebbe annunciare una nuova ondata di criminalità informatica proveniente dalla Russia

Un attacco ransomware che ha paralizzato i sistemi IT del governo del Costa Rica sta entrando nella sua seconda settimana senza alcuna soluzione in vista. Il gruppo di ransomware Conti ha rubato almeno un terabyte di dati e, dopo aver visto respinte le sue richieste di riscatto di 10 milioni di dollari, oggi ha dichiarato di aver rilasciato l’80% delle informazioni sul dark web.

Costa Rica ransomware attack could herald new wave of Russian cybercrime

A ransomware attack that has crippled Costa Rica’s government IT systems is entering its second week with no resolution in sight. Ransomware group Conti has stolen at least a terabyte of data, and having seen its demands for $10m ransom rebuffed, today stated it has released 80% of the information onto the dark web.

techmonitor.ai/technology/cybe…

guidoscorza.it/privacy-daily-2…

Venerdì 29 aprile, a partire dalle ore 15, il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre su intelligenza artificiale e dispositivi medici.

L'articolo Il prof. Giovanni Maria Riccio terrà una lezione presso il Master in Diritto e Management dei servizi socio-sanitari dell’Università di Roma Tre proviene da E-Lex.

Quest’estate non fate i banali, rinunciate alle spiagge, le serate al Papete con Matteo Salvini e venite qui, con Tommaso Salvini (no, non sono parente, neppure alla lontana), nelle splendide campagne pisane!

iyezine.com/butters-no-mankind…

💥 The Irish DPC burns tens of thousands in taxpayer money over a 47-month delay in cases against Whatsapp and Instagram! 🕐💸
noyb.eu/en/irish-dpc-burns-tax…

mastodon.social/@noybeu/108209…

RT @GDPRhub
Find daily new #GDPR decisions from across Europe for free on GDPRhub.eu/@noybeu.rss!

➡️ Read and edit this decision from Netherlands at gdprhub.eu/Rb._Rotterdam_-_ROT…
📥 6.731 experts already signed up to our free newsletter: noyb.eu/pf/433/5gqtL

#privacidad

mastodon.social/@noybeu/108209…

Il DPC irlandese brucia i soldi dei contribuenti per i casi di ritardo Il DPC irlandese risolve il caso di ritardo con il noyb davanti all'Alta Corte irlandese, accettando di pagare le spese legali in decine di migliaia per aver avuto bisogno di quasi quattro anni per emettere un primo progetto di decisione.

noyb.eu/en/irish-dpc-burns-tax…