La conservazione preventiva dei dati informatici

La legge 48/2008 ha apportato importanti modifiche anche al Codice in materia di protezione dei dati personali, ossia il Decreto legislativo n. 196 del 2003, attraverso l’inserimento dei commi 4 ter, 4 quater e 4 quinquies all’interno dell’art. 132; il comma 4

quater, in particolare, disciplina la specifica ipotesi di investigazione preventiva di dati

relativi al traffico telematico, attribuendo al Ministero dell’interno, ovvero alle forze di polizia delegate, il potere di predisporre, su richiesta di un’autorità straniera ai fornitori di servizi telematici, la conservazione e protezione, per 90 giorni, prorogabili fino ad un

62 _{Così come disposto nella sentenza della Corte di Cassazione penale, Sezione I, Sentenza n. 27579 del}

massimo di 6 mesi, dei dati relativi al traffico telematico ad esclusione però del contenuto, al fine del migliore svolgimento dell’attività investigativa prevista dall’articolo 226 c.p.p., in cui si dispone l’accertamento e la repressione di specifici reati.

Tale misura ha carattere assolutamente eccezionale, in relazione alla particolare sensibilità dei dati telematici contenuti e viene rimessa all’iniziativa dell’autorità competente in una fase però antecedente all’inizio del procedimento penale, in cui si predispongono specifiche misure di conservazione e tutele contro la concreta possibilità di eliminazione di questi dati.

Al fine di poter compiutamente comprendere la novità introdotta dalla legge 48/2008 in materia, occorre brevemente ripercorrere le modificazioni che l’art. 132 del Codice per la protezione dei dati personali ha subito nel corso del tempo.

Originariamente, tale disposizione consisteva in un unico comma, prevedendo la conservazione obbligatoria di 30 mesi, da parte dei fornitori di servizi telematici, al fine dell’accertamento e della repressione di reati, sebbene tale previsione non si applicasse nel caso di fornitori di servizi di comunicazione elettronica.

La vecchia disposizione rappresentava il frutto della ratifica della direttiva dell’allora Comunità Europea, n. 58/2002, in cui si evidenziava la necessità di gestione dei dati sul traffico, mediante la previsione di un periodo limite al cui termine si riteneva necessario, qualora mancasse un particolare interesse, la cancellazione o l’oscuramento dei caratteri identificativi della persona a cui i dati facevano riferimento.

L’articolo 132 è una disposizione che si poneva come assolutamente eccezionale, in quanto prevedeva la conservazione temporanea dell’intero traffico di dati al solo fine di accertamento e repressione dei reati; tuttavia, a distanza di poco tempo dall’introduzione di questa disposizione, il legislatore cominciò un’opera di modifica dell’articolo con la legge del 26/02/2004 n. 45, de facto riscrivendo l’intero primo comma, prevedendo la conservazione dei dati di traffico telefonico per due periodi di 24 mesi, in cui è possibile porre in essere attività di accertamento e repressione di reati decorso però il primo periodo.

Sebbene il legislatore avesse rivisto l’intero comma 1 dell’articolo 132, non si è predisposto nulla per il traffico di dati telematici, continuando a reiterare tale grave mancanza all’interno dell’ordinamento stesso, in quanto i files log contenuti all’interno di

questa particolare tipologia di dati, contengono fondamentali informazioni per l’identificazione dell’autore della comunicazione.

La successiva modificazione fu operata dalla legge n. 155 del 31 luglio 2005, con cui finalmente si è inserita la possibilità di prevedere la conservazione temporanea anche per i dati relativi al traffico telematico, ad esclusione però del contenuto stesso della comunicazione e delle chiamate senza risposta.

Per quanto riguarda invece il regime di conservazione, il legislatore ha operato un’importante distinzione con riguardo ai suoi termini; infatti, per i dati sul traffico telefonico sono previsti due periodi di 24 mesi, mentre per i dati sul traffico telematico due periodi di sei mesi.

Ulteriore novità della legge 155/2005, riguarda la modifica del terzo comma dell’articolo 132, prevedendo che la richiesta di acquisizione dei dati individuati dalla disposizione stessa debba essere effettuata dall’autorità giudiziale non più tramite ordinanza del giudice delle indagini preliminari, bensì con decreto motivato del pubblico ministero e ciò può essere effettuato anche su istanza del difensore dell’imputato, ovvero dalla persona offesa o altre parti private.

Successivamente, con il decreto legge n. 144/2005, si è imposto ai gestori di servizi pubblici o privati, i quali possiedano determinati terminali, utilizzabili dalla clientela, per le conversazioni telefoniche, di identificare i fruitori dei servizi e, tramite la creazione di un regime transitorio non più in vigore, di procedere alla sospensione di ogni disposizione, che sosteneva la cancellazione dei dati.

La legge n. 48/2008 ha inserito all’interno dell’art. 132 il comma 4 ter, prevedendo la peculiare ipotesi di congelamento di dati telematici e tale misura risulta essere più invasiva della sfera privata del soggetto, poiché, a differenza di quanto previsto all’interno del primo comma, è passabile di tal misura anche il contenuto delle comunicazioni.

Dal momento che il primo comma dell’art. 132 fa riferimento ai fornitori di servizi di comunicazione attraverso la rete pubblica, nonché i servizi di comunicazioni accessibili al pubblico, il comma 4 ter invece prevede l’obbligo di conservazione direttamente in capo a tutti i soggetti, che, direttamente o indirettamente offrono servizi di comunicazione elettronica, nonché i gestori dei siti internet e i gestori dei motori di ricerca; infatti, i dati trattati da quest’ultimi soggetti permettono facilmente di individuare le attività poste in

essere da un qualsiasi utente e soprattutto il contenuto della comunicazione o dell’azione stessa.

La distinzione fra i due commi dell’articolo 132 si incentra sulla diversa tipologia di dati conservati; infatti, mentre i dati individuati dal primo comma contengono perlopiù gli accessi effettuati dall’utente stesso, attraverso i file log degli indirizzi IP, i dati a cui si riferisce il comma 4 ter permettono l’effettiva visione del contenuto delle comunicazioni e vengono forniti dal fornitore stesso dei servizi.

Ulteriore novità introdotta dalla legge 48/2008 al comma 4 ter del decreto legislativo 196/2003 riguarda, oltre l’obbligo, in capo agli operatori dei servizi informatici, di conservazione dei dati immagazzinati, viene disposto anche la protezione stessa attraverso modalità che vengono stabilite di volta in volta da parte dell’autorità richiedente.

Queste particolari attività vanno oltre la semplice conservazione, in quanto si richiede espressamente la creazione di un vero e proprio apparato tecnico competente al fine della predisposizione, mediante accoglimento delle specifiche richieste dell’autorità competenti, di misure volte alla protezione dell’integrità dei dati conservati.

La novità così introdotta risulta essere un importante elemento di recepimento della Convenzione contro la criminalità informatica, in particolare si recepisce la parte in cui si impone alle Parti della Convenzione l’adozione di misure legislative necessarie per consentire la rapida protezione dei dati informatici immagazzinati presso terzi, qualora vi sia un forte timore che il dato d’interesse possa essere cancellato, ovvero alterato.

Al fine di completezza occorre poi richiamare una legge successiva, ossia la 109/2008, con cui si è compiuta un’opera di precisazione delle categorie che rientrano all’interno dell’art. 132 del Codice della privacy, in riferimento però solo al primo comma del suddetto articolo. Al fine della corretta applicazione dell’articolo 132, occorre preliminarmente che le autorità giudiziali individuino l’oggetto specifico della conservazione, in quanto tale obbligo risulta non solo una garanzia per l’indagato stesso ma anche prodromica all’effettiva acquisizione, attuata attraverso decreto del Pubblico Ministero, art. 132, terzo comma.

Il procedimento di congelamento dei dati previsti all’interno del comma 4 ter, sebbene risulti essere una misura straordinaria, è pur sempre attività di conservazione e per questo motivo finalizzata esclusivamente alle indagini pre-procedimentali, risultando quindi inutilizzabili all’interno del procedimento penale vero e proprio, in applicazione dell’art. 226, comma 5, c.p.p.

Tuttavia, occorre descrivere l’attività di congelamento dei dati telematici introdotti all’interno del comma 4 ter e preliminarmente è possibile evidenziare importanti differenze, soprattutto con riguardo alla finalità stessa della misura, rispetto al primo comma dell’art. 132 del Codice della privacy; infatti, sebbene all’interno di entrambi i commi vengano delineati dei precisi strumenti di investigazione, ovvero accertamento e repressione di reati, la conservazione dei dati disposta all’interno del primo comma risulta essere una misura prodromica all’effettiva utilizzabilità degli stessi all’interno del processo penale, mentre la modalità di conservazione previste all’interno del comma 4 ter ha come finalità l’attività di investigazioni previste all’interno dell’art. 226 c.p.p. e per questo motivo tale attività di conservazione deve essere considerata come misura urgente, predisposta senza alcuna notitia criminis, e attivabile su discrezionalità della polizia giudiziaria.

Successivamente, il comma 4 quinquies, dispone che i provvedimenti adottati in applicazione del comma 4 ter devono essere comunicati, per iscritto e senza indebito ritardo ed entro le quarantotto ore, al soggetto coinvolto e successivamente tal misura deve essere convalidata dal pubblico ministero nel luogo di esecuzione, ove però ricorrano i requisiti richiesti.

Sebbene tale disposizione richiami indirettamente l’autorizzazione prevista all’interno dell’art. 226, comma 2, c.p.p., essa manca di sufficiente specificità soprattutto in riferimento ad un’altra grande materia in cui tale autorizzazione viene spesso applicata, ossia l’intercettazione e controllo preventivo sulle comunicazioni; infatti, il comma 4 ter non solo non prevede quali siano i presupposti ai quali il magistrato deve attenersi al fine della corretta convalida della misura prevista, ma non è prevista neppure la motivazione stessa per le eventuali proroghe che possano giustificare la conservazione per i sei mesi complessivi.

L’attività di congelamento dei dati informatici così individuati ai sensi del comma 4 ter non risulta essere collegato all’esistenze di elementi investigativi che giustifichino tale procedura di prevenzione, nemmeno al principio di necessarietà, entrambi invece previsti all’interno dell’articolo 226 c.p.p.

Tuttavia, in relazione allo stretto collegamento che intercorre fra i due articoli oggetto d’indagine, attraverso l’espressione utilizzata dal comma 4 ter dell’art. 132, ossia “ai fini

dello svolgimento delle investigazioni preventive previste dal citato articolo 226”63_{, è ben}

possibile affermare l’impossibilità di utilizzo, all’interno del processo penale, del contenuto dei dati oggetto di congelamento.

Ulteriore applicazione all’art. 132 riguarda invece l’ipotesi prevista, all’interno dell’art. 226, quinto comma, in cui si prevede che le attività di intercettazione preventiva e le informazioni acquisite mediante questo eccezionale procedimento non possono neppure essere menzionate all’interno del dibattimento e tale divieto si applica, in modo analogo a quanto avviene per l’impossibilità di utilizzo dei dati sottoposto a congelamento, anche all’art. 132.

La disposizione presente all’interno del Codice della privacy, se da un lato può essere considerata come atto di recepimento di quanto delineato all’interno della Convenzione contro la criminalità informatica, risulta comunque troppo invasiva della sfera privata del soggetto colpito, soprattutto se mancano espressamente elementi di contrappeso fra interesse pubblico e diritti dei privati, come ad esempio la designazione di precisi limiti d’applicazione della misura di congelamento stesso; infatti, nell’ambigua formulazione proposta dal legislatore “ovvero per finalità di accertamento e repressione di specifici reati”64 _{vi è il rischio concreto di lasciare troppa discrezionalità all’autorità competente}

sull’utilizzo di tal strumento, anche in mancanza di una specifica motivazione che giustifichi tale utilizzo.

Per questo motivo, a detta della maggior parte della dottrina,65 _{si rende necessaria}

l’individuazione di specifiche modalità per l’esecuzione della misura prevista, nonché dei limiti di applicazione, per poter quindi evitare che tale attività d’indagine si tramuti in uno strumento per l’acquisizione della notitia criminis, in mancanza di qualsiasi traccia di reato.

63 _{Articolo 132, 4 ter, Decreto legislativo n. 196 del 2003} 64 _{Articolo 132, 4 ter, Decreto legislativo n. 196 del 2003}

65 _{In materia si veda FORLANI ELISABETTA, La Conservazione preventiva di dati informatici per l’accertamento di}