g-docweb-display Portlet

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Indagine conoscitiva sulle intercettazioni

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Indagine conoscitiva sulle intercettazioni

 Senato della Repubblica - 2ª Commissione Gustizia

(24 gennaio 2023)

- IL VIDEO DELL'AUDIZIONE

Onorevoli Senatrici, Onorevoli Senatori, il Garante è onorato di poter fornire il proprio contributo ai lavori della Commissione. Nel riformare la disciplina delle intercettazioni, il legislatore ha il delicatissimo compito di coniugare il diritto alla riservatezza con le esigenze investigative, il diritto di difesa e, con riferimento alla circolazione extraprocessuale, il diritto di (e all’) informazione. Questo bilanciamento va condotto, naturalmente, nella consapevolezza delle implicazioni profonde sulla riservatezza proprie del ricorso alla tecnologia, tanto in fase investigativa (si pensi ai trojan), quanto in sede di circolazione extraprocessuale dei contenuti captati, con l’amplificazione che il web assicura a ogni tipo di pubblicazione. In questo senso, è necessario ben distinguere presupposti e limiti dell’utilizzo processuale delle conversazioni intercettate da presupposti e limiti della loro divulgazione a fini informativi, garantendo ai due aspetti della disciplina l’autonomia derivante dalla differenza di finalità ed esigenze sottesevi. 

Il diritto alla riservatezza rileva, in maniera particolare, nell’ambito della disciplina delle intercettazioni sotto un duplice profilo: rispetto alle operazioni captative in sé e alla circolazione, (endo ed) extra-processuale dei contenuti captati, ricordando comunque che la disciplina di protezione dati (d.lgs. 51 del 2018) si applica anche al trattamento di dati personali in sede giudiziaria penale.

Rispetto al primo profilo, è certo rilevante la definizione del perimetro di ammissibilità delle intercettazioni, variamente modulata dai progetti di legge proposti nelle scorse legislature non solo rispetto alla categoria dei reati intercettabili, ma anche in ordine ai presupposti individualizzanti delle captazioni. Queste scelte(1) sono rimesse, naturalmente, alla discrezionalità politica, pur con il limite del rispetto del principio di proporzionalità tra esigenze investigative e privacy, richiesto dalla giurisprudenza tanto della Corte costituzionale (sin dalle sentt.366/91 e 63/94, ma anche con la sent. 173 del 2009) , quanto della Cedu(2) e della Corte di giustizia UE(3).  In questo bilanciamento avrà, naturalmente, un peso importante il grado di invasività del mezzo investigativo, certamente maggiore per strumenti potenzialmente onnivori (e ubiquitari) come i trojan.

Particolarmente importante è il regime circolatorio, endoprocessuale, dei contenuti captati. Sul punto la disciplina vigente dal 2020, risultante dalla successione normativa tra le riforme Orlando (d.lgs.216 del 2017) e Bonafede (d.l. 161 del 2019, conv.mod. l. 7 del 2020), pur con qualche attenuazione della seconda rispetto alla prima(4), contiene misure importanti, volte a limitare la circolazione endoprocessuale delle intercettazioni eccedenti le esigenze investigative, pur nel rispetto del contraddittorio (per e) sulla prova. Esse recepiscono un’esigenza di garanzia condivisa anche dalla stessa magistratura, come dimostrano le direttive emanate da alcune Procure nel 2016 (Torino, Roma, Firenze in particolare), nonché le buone prassi indicate dall’organo di governo autonomo nel luglio dello stesso anno.

Particolarmente rilevanti sono la prevista esclusione (rimessa al dovere di vigilanza del Pubblico Ministero) della trascrivibilità di dati sensibili irrilevanti e di contenuti lesivi della reputazione, nonché la devoluzione di tali dati (e delle conversazioni inutilizzabili) all’archivio digitale, con conseguente loro assoggettamento al regime del segreto d’ufficio.

Se attuata con rigore(5), la nuova disciplina può effettivamente contribuire a ridurre la circolazione endo-processuale di dati personali eccedenti. Naturalmente, ciò presuppone (soprattutto per la fase della conservazione in archivio dei contenuti stralciati) l’adozione di regole di sicurezza adeguate e conformi a quelle indicate dal Garante dapprima nel 2013(6) e, quindi, in sede di parere sul dM 20.4.18 (il decreto in particolare rinviava, per l’attuazione della riforma del 2017, nelle more della realizzazione delle sale server interdipartimentali, a specifiche tecniche che tuttavia non risultano adottate). La vera scommessa della riforma dipende, infatti, molto, da come verrà garantita l’effettiva impermeabilità dell’archivio, tramite misure di sicurezza sulla cui adeguatezza il Garante potrà offrire, in una prospettiva anzitutto collaborativa, la propria valutazione.

Inoltre, laddove non abbiano sortito effetto i criteri di “sobrietà contenutistica” e minimizzazione selettiva imposti, in sede di trascrizione, dalla disciplina vigente, un’importante tutela remediale per le parti (ma anche per i terzi coinvolti in intercettazioni indirette) può derivare, come ha ricordato il pres. Santalucia, dall’innovativa procedura introdotta dall’art. 14 dlgs 51/2018. Tale norma legittima infatti “chiunque vi abbia interesse” (non, dunque, solo le parti processuali, al pari dell’art. 269, c.2,) a richiedere al giudice, sussistendone i presupposti, la rettifica, cancellazione o la limitazione dei dati che lo riguardano, anche durante il procedimento penale. Si tratta di una norma dalle notevoli potenzialità che, combinandosi con la procedura di distruzione di cui all’art. 269, potrebbe contribuire a rafforzare sensibilmente le garanzie di riservatezza soprattutto dei terzi, le cui conversazioni siano state indirettamente captate.

Naturalmente, l’effettività della norma sarebbe rafforzata con la previsione di un onere informativo a carico del Pubblico ministero- come era previsto dall’art. 268-sexies c.p.p. di cui l’art. 10 del d.d.l. Mastella (AS 1512, XV legislatura), prospettava l’introduzione- per evitare che il soggetto apprenda dell’esistenza, in atti processuali, di proprie conversazioni, direttamente dalla stampa, quando ormai l’intervento ablativo sarebbe tardivo.

In alternativa (ove tale onere informativo venisse ritenuto eccessivamente gravoso, soprattutto a fronte di una pluralità di terzi da avvisare), si potrebbe legittimare il terzo, previa conferma dell’esistenza di intercettazioni che lo coinvolgano, al loro ascolto ai fini dell’attivazione della procedura di distruzione di cui all’art. 269, c.2, cpp ovvero, in caso di richieste più articolate, di esercizio dei propri diritti alla limitazione o (più raramente) rettificazione dei dati ex art. 14 d.lgs 51 del 2018.

In tal modo, tramite la connessione procedimentale tra il nuovo diritto di cui all’art. 14 d.lgs. 51 e l’istituto della distruzione di cui all’art. 269 c.p.p., ai terzi i cui dati siano occasionalmente captati in sede intercettativa potrebbe essere accordata una tutela davvero effettiva.

Più complesso è il tema della pubblicazione, in violazione del segreto (meramente) esterno ex art. 114, c.2 cpp, di stralci spesso ampli di conversazioni captate. Benché questo divieto sia posto a tutela non tanto della privacy quanto della neutralità conoscitiva del giudice, la sua violazione (che ben può ledere la riservatezza) integra comunque un trattamento illegittimo di dati personali, dal 2018 punito (al pari della divulgazione di contenuti non rilevanti ai fini informativi) con sanzioni amministrative pecuniarie suscettibili di giungere sino a 20 milioni di euro o al 4% del fatturato (artt. 166, c.2, d.lgs. 196 del 2003, 5 e 83, p.5, Reg. Ue 2016/679, art. 6 regole deontologiche per il trattamento di dati personali in ambito giornalistico(7)).

Tali sanzioni possono svolgere una rilevante funzione deterrente rispetto alla divulgazione acritica e indiscriminata delle conversazioni captate, ben oltre le reali esigenze di cronaca (il giornalismo “di riporto” di cui parla il pres. Violante).

Naturalmente, si può anche ipotizzare (come nelle scorse legislature) di modulare diversamente il regime di pubblicità degli atti d’indagine, ma prima di mutare un bilanciamento tra privacy e informazione in fondo ragionevole, è forse preferibile verificare tenuta ed effetti delle riforme recenti, ivi inclusa quella di cui al d.lgs 188 del 2021 sulla presunzione d’innocenza. Nell’imporre significative regole di sobrietà ed esattezza nella comunicazione (della e) sulla giustizia, essa potrà infatti indurre un mutamento, anzitutto culturale, tutt’altro che irrilevante.

Per quanto invece concerne le intercettazioni mediante captatori, le potenzialità intrusive di tali strumenti impongono garanzie adeguate per impedirne la degenerazione in mezzi di sorveglianza eccessivamente ampia o, per converso, in fattori di moltiplicazione esponenziale delle vulnerabilità del compendio probatorio, rendendolo estremamente permeabile se allocato in server non sicuri o, comunque, delocalizzati anche al di fuori dei confini nazionali.

La necessità di tali garanzie sembra, peraltro, asseverata da vicende recenti (si pensi al caso Exodus del 2019), relative alle particolari modalità di realizzazione delle captazioni mediante malware, da parte delle società incaricate ex art. 348, comma quarto, c.p.p. Esse evidenziano i rischi connessi all’utilizzo di captatori informatici con il ricorso, da parte delle società incaricate, a tecniche di infiltrazione prive della necessaria selettività.

Ci si riferisce, in particolare, all’utilizzo, ai fini intercettativi, di software connessi ad app, che quindi non sono direttamente inoculati nel solo dispositivo dell’indagato, ma posti su piattaforme (come Google play store) accessibili a tutti. Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi  - come parrebbe avvenuto nei casi noti alle cronache – queste app-spia rischierebbero, infatti, di trasformarsi in pericolosi strumenti di sorveglianza massiva..

Inoltre, pericoloso è l’utilizzo di sistemi cloud per l’archiviazione, addirittura in Stati extraeuropei, dei dati captati. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale costituisce, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa.

Il ricorso a tali due tipologie di sistemi (app o comunque software che non siano inoculati direttamente sul dispositivo-ospite, ma scaricati da piattaforme liberamente accessibili a tutti e, per altro verso, archiviazione mediante sistemi cloud in server posti fuori dal territorio nazionale) potrebbe, dunque, essere oggetto di un apposito divieto.

In subordine, si potrebbe prevedere che l’effettiva installazione nel dispositivo elettronico portatile e le conseguenti funzionalità acquisitive del captatore informatico, possano compiutamente realizzarsi solo dopo aver verificato l’univoca associazione tra il dispositivo interessato dal software e quello considerato nel provvedimento giudiziale autorizzativo..

In ogni caso, anche in ragione della rapida evoluzione delle caratteristiche e delle funzionalità dei  software disponibili a fini intercettativi, come già rilevato nella segnalazione al Parlamento e al Governo del 2019, sarebbe opportuno vietare il ricorso a captatori idonei a modificare il contenuto del dispositivo ospite e a cancellare le tracce delle operazioni svolte, come pure rilevato dall’ing. Reale. Ai fini della corretta ricostruzione probatoria, della garanzia del diritto di difesa come anche della privacy è, infatti, indispensabile disporre di software idonei a ricostruire, nel dettaglio, ogni attività svolta sul sistema ospite e sui dati ivi presenti, senza alterarne il contenuto, corrispondentemente valorizzando l’esigenza di una verbalizzazione analitica delle operazioni compiute .

Si potrebbe esplicitare, in questo senso, il requisito, normativamente previsto(8), della “affidabilità, sicurezza ed efficacia” dei software utilizzabili a fini captativi (che devono appunto limitarsi alle sole “operazioni autorizzate) garantendo così effettivamente la completezza della “catena di custodia della prova informatica”. Quest’esigenza è tanto più indispensabile rispetto ad operazioni investigative, quali quelle in esame, ad alto tasso di esternalizzazione e che come tali presentano maggiori vulnerabilità, essendo in larga parte affidate a privati che devono, quindi, essere adeguatamente responsabilizzati rispetto agli obblighi di sicurezza da garantire.

Sarà peraltro opportuno chiarire, all’art. 89, c.2, disp.att.c.p.p. le conseguenze del ricorso a programmi informatici non conformi ai requisiti di sicurezza previsti con il dM.

Ferma restando l’opportunità dell’introduzione delle su descritte cautele, la particolare invasività dei software-spia merita certamente una riflessione del Parlamento in ordine al reale ambito applicativo di questo mezzo di ricerca della prova. Certamente positiva è la previsione della necessità d’indicazione, nel decreto autorizzativo, delle ragioni di indispensabilità dell’utilizzo del trojan (introdotta dal dl. 132 del 2021, conv.mod. l. 178 del 2021) e, per i delitti diversi dai distrettuali o dai più gravi contro la p.a., dei luoghi e dei tempi di attivazione del microfono. In tal modo, infatti, si può, almeno in parte, circoscrivere la potenziale ubiquitarietà del mezzo e la difficile predeterminazione dello sviluppo delle captazioni.

Tuttavia, laddove il Parlamento ritenesse di ripensare il perimetro di ammissibilità di questo tipo di captazione, utili spunti possono derivare dalla lettura forte dello scrutinio di proporzionalità tra esigenze investigative e riservatezza (nella declinazione dell’intangibilità della vita digitale) offerta, a proposito anche dei trojan, dalla Corte costituzionale tedesca, con sentenze del 27.2.2008 e 20.4.2016. Particolarmente rilevante è la considerazione di come il canone di proporzionalità imponga una modulazione delle garanzie che tenga conto delle potenzialità del mezzo investigativo concretamente utilizzato e della sua capacità d’incidenza sul nucleo intangibile della vita privata del soggetto(9). Considerazioni certamente utili per un legislatore che ha il difficile compito di bilanciare beni giuridici fondamentali come la riservatezza, il diritto di difesa, le esigenze di giustizia.

Vi ringrazio.

 

__________

(1) Come anche quelle sul regime di utilizzabilità, in altri procedimenti, dei risultati delle intercettazioni, soprattutto se realizzate mediante trojan, ai sensi del novellato art. 270 c.p.p., che ha inevitabili riflessi sulla circolazione, endo ed extraprocessuale dei dati e sulla tracciabilità del flusso informativo.

(2) Per tutte, di recente, sent. 25.5.21 della Grande Camera, Big Brother Watch

(3) Netta sul punto è la giurisprudenza sulla data retention, che con le sentenze del 5 aprile 2022, Commissioner of An Garda Síochána e a. e del 20 settembre: VD e Space Net, in particolare, ha fondato sul canone di proporzionalità una vera e propria rimodulazione della natura di questo mezzo di ricerca della prova, escludendo salvo per esigenze di sicurezza nazionale l’ammissibilità dell’acquisizione preventiva e generalizzata dei dati di traffico telefonico e telematico e sull’ubicazione e ammettendola preventivamente, anche per esigenze di contrasto dei gravi reati, solo se mirata e sulla base di parametri soggettivi, spaziali e di altra natura (purché oggettiva e non discriminatoria) .

(4) Nella parte in cui il divieto di trascrizione dei contenuti eccedenti è stato rimodulato come dovere di vigilanza del PM e si è diversamente normata l’udienza stralcio.

(5) Anche nella parte relativa all’inclusione, nella richiesta di misura cautelare, dei soli stralci essenziali di intercettazioni, necessari ai fini dell’esposizione delle esigenze cautelari e degli indizi, che ha un riflesso importante sul regime circolatorio di tali dati, in ragione della prevista (dalla riforma Orlando) sottrazione delle ordinanze di custodia cautelare al divieto di pubblicazione, nel contenuto, di atti in fase di indagini.

(6) Il cui termine di adempimento è stato più volte prorogato, da ultimo al 31 gennaio 2017. La relazione ministeriale trasmessa all’esito, nell’ottobre 2017, riferisce di un adeguamento alle prescrizioni del Garante da parte di 135 Procure (tra le quali tutte le distrettuali) su 140, che rappresentano il 99% della spesa nazionale per intercettazioni.  Il provvedimento contempla misure di sicurezza logiche e fisiche per la sicurezza delle operazioni captative, ivi incluse le regole di protezione relative ai locali nei quali è previsto lo svolgimento delle attività e le misure di protezione da adottare per le attività di ascolto remotizzate presso le strutture site negli uffici di polizia giudiziaria, con criteri analoghi a quelli previsti per le sale C.I.T. 

(7) Almeno con riferimento ai casi di violazione del principio di essenzialità dell’informazione.

(8) Art. 89, c.4, disp.att.c.p.p.

(9) Dalla Corte esemplificativamente individuato in contenuti espressivi di sentimenti, riflessioni, opinioni o comunque nelle attività di natura più intima, cui doversi accordare una tutela tendenzialmente assoluta dalle ingerenze esterne.

Scheda

Doc-Web
9855910
Data
24/01/23

Argomenti


Tipologie

Audizioni e memorie

Vedi anche (10)