Sommario: I. SORVEGLIANZE E PEDINAMENTI DI POLIZIA. 1. In Spagna. 2. In Italia. II. IMPIEGO DI MEZZI TECNOLOGICI E DI DISPOSITIVI DI TRACCIAMENTO. 1. In Spagna. 2. In Italia. III. DATI DI LOCALIZZAZIONE CONSERVATI DAI GESTORI DELLE TELECOMUNICAZIONI. 1. In Spagna. 2. In Italia. IV CRONOLOGIA DELLE POSIZIONI MEMORIZZATA DA TERZI (GEOFENCING). 1. In Spagna. 2. In Italia. V. ACQUISIZIONE TRANSFRONTALIERA DELLA CRONOLOGIA DELLE LOCALIZZAZIONI NELL’UNIONE EUROPEA. 1. Gli ordini di conservazione e di produzione dei dati informatici previsti dalle Convenzioni internazionali. 2. L’ordine europeo di indagine. 3. Il “pacchetto e-evidence”: principio di effettività e cooperazione diretta. VI. CONCLUSIONI. VII. BIBLIOGRAFIA.
Abstract
Le attività di sorveglianza e di pedinamento della polizia sono andate incontro a un processo di notevole miglioramento sotto il profilo della loro esecuzione grazie allo sviluppo tecnologico e all’impiego di mezzi e dispositivi elettronici di localizzazione e monitoraggio. In questo ambito, il percorso seguito dagli ordinamenti spagnolo e italiano si presenta ricco di interessanti analogie, poiché entrambi i Paesi hanno riformato le proprie discipline processuali per adeguarle ai progressi tecnologici in materia. Sorprendenti coincidenze interpretative emergono anche nella giurisprudenza delle rispettive Corti Supreme in punto di ammissibilità dell’utilizzo da parte della polizia di nuove tecniche e strumenti, nonché di adattamenti dei regimi giuridici interni agli standards richiesti dalla Corte di giustizia dell’Unione europea in materia di conservazione e trasferimento dei dati elettronici.
L’obiettivo del presente studio consiste nell’esaminare comparativamente l’evoluzione legislativa e giurisprudenziale registratasi in Spagna e in Italia in relazione alle diverse tecniche investigative impiegate al fine di determinare, attraverso la tecnologia, l’esatta collocazione geografica di un individuo sottoposto a indagine penale.
Abstract
Police surveillance has been greatly enhanced by technological development and the use of electronic tracking and location devices for suspects. In this area, the Spanish and Italian legal systems share many interesting similarities. Both countries have expressly reformed their procedural codes to adapt them to technological progress, and their respective Supreme Courts have issued similar case law on the admissibility of police use of new techniques and instruments in this field. This is also true when reinterpreting and adapting their domestic legal regimes to the important safeguards required by the CJEU in terms of the retention and transfer of electronic data for these purposes.
This study aims to comparatively examine the legal and jurisprudential evolution in Spain and Italy of the different police techniques used to determine the exact geographical location of individuals under criminal investigation.
I. SORVEGLIANZE E PEDINAMENTI DI POLIZIA
Tra i principali compiti della polizia vi è quello di ricercare, localizzare e arrestare il presunto autore di fatti criminosi. A tal fine, una delle indagini tradizionalmente affidate alla polizia consiste nello svolgere attività di sorveglianza di luoghi e pedinamenti di determinati individui onde accertarne l’identità e individuarne la collocazione.
Alcuni ordinamenti contemplano espressamente nelle loro legislazioni processuali le sorveglianze e i pedinamenti come specifica attività investigativa della polizia. Nel contesto europeo, il Portogallo ha riformato l’art. 250 del proprio codice di rito penale nel 1998 per includere la facoltà della polizia di procedere all’identificazione di qualsiasi persona sottoposta a sorveglianza. In Germania, l’art. 3 n. 6 della legge 15 luglio 1992 sulla lotta al traffico illecito di stupefacenti e ad altre forme di criminalità organizzata (OrgKG) ha introdotto una nuova lett. c all’interno del §100 StPO – attualmente collocata nel §100h – onde consentire l’uso di mezzi tecnici speciali per scopi di sorveglianza o per determinare la collocazione dell’autore del reato (Observationszwecke bestimmte technische Mittel). Anche l’Austria ha modificato la normativa nel 2004, prevedendo espressamente la sorveglianza di persone da parte della polizia (§ 130 ÖStPO) e l’uso di mezzi tecnici che, mediante la trasmissione di segnali, permettono di determinare la zona in cui si trova la persona sorvegliata. Ancora, nel 2004 la Francia ha aggiunto all’interno del proprio codice di procedura penale l’art. 706-80, in base al quale la polizia giudiziaria poteva, previa comunicazione al procuratore della Repubblica e salvo diniego di quest’ultimo, estendere su tutto il territorio nazionale la sorveglianza delle persone (la surveillance de personnes) nei confronti di soggetti in relazione ai quali esistessero uno o più motivi plausibili per sospettare la commissione di uno dei crimini e reati rientranti nell’ambito di applicazione degli artt. 706-73 o 706-74 (ossia reati di criminalità organizzata). Anche il codice di rito dei Paesi Bassi (Wetboek van Strafvordering) contiene riferimenti espliciti alla possibilità per il pubblico ministero di ordinare pedinamenti e sorveglianze sistematiche dei movimenti di una persona (artt. 126g e 126zd).
1. In Spagna
In Spagna, fino alla riforma della Ley de Enjuiciamiento Criminal del 2015 – che sarà esaminata più avanti – e a differenza di quanto avveniva (e avviene) rispetto all’arresto e alle successive operazioni di identificazione, non esisteva alcuna previsione relativa alle sorveglianze e ai pedinamenti di indagati nell’ambito delle attività della polizia. A queste attività si dedicava soltanto l’Accordo di Schengen del 14 giugno 1985 (in vigore per la Spagna dal 1º marzo 1994) che, sebbene concepito con finalità transfrontaliere, all’art. 40 autorizzava (e autorizza ancora) «[g]li agenti di una delle Parti contraenti che, nell’ambito di indagine giudiziaria tengono sotto osservazione nel loro paese una persona che si presume abbia partecipato alla commissione di un reato che può dar luogo ad estradizione, […] a continuare questa osservazione nel territorio di un’altra Parte contraente».
Le sorveglianze di polizia sono state tradizionalmente considerate come una misura investigativa inserita o connaturata al mandato affidato alla polizia dall’art. 282 LECrim, ossia quello di accertare i reati e di compiere, nei limiti delle proprie attribuzioni, «las diligencias necesarias para comprobarlos y descubrir a los delincuentes», analogamente a quanto stabilito dall’art. 11.1 g della Ley Orgánica 13 marzo 1986, n. 2 sulle Fuerzas y Cuerpos de Seguridad, incaricati espressamente di «descubrir y detener a los presuntos culpables». È il Tribunal Supremo ad aver inquadrato questo genere di attività all’interno dell’art. 282 LECrim, affermando che, per individuare i delinquenti, «se pueden realizar labores de vigilancia u observación de lugares o personas que pudieran estar relacionadas con el hecho que es objeto de la investigación. Estas labores de vigilancia se pueden desarrollar en la vía pública concretándose en tareas de seguimiento o visualización de comportamientos y conductas de las personas consideradas como sospechosas». Inoltre, fino alla citata riforma del 2015, la giurisprudenza spagnola[3] ammetteva che, per lo svolgimento di tali funzioni, potessero essere utilizzati, nei limiti imposti dal rispetto della vita privata e dell’inviolabilità del domicilio, tutti gli strumenti idonei a constatare la realtà e a raccogliere elementi probatori utilizzabili successivamente per presentare una denuncia all’autorità giudiziaria, come ad esempio sistemi meccanici di registrazione delle immagini.
2. In Italia
In modo non dissimile, l’art. 55 del codice di rito italiano attribuisce alla polizia giudiziaria il compito, tra l’altro, di ricercare gli autori dei reati e «compiere gli atti necessari per assicurare le fonti di prova e raccogliere quant’altro possa servire per l’applicazione della legge penale». Cosicché, analogamente a quanto avvenuto in Spagna, la giurisprudenza italiana ha classificato le attività di sorveglianza e di inseguimento tra le funzioni di polizia – di propria iniziativa o previo mandato del pubblico ministero –, al punto che la localizzazione di un individuo e il suo monitoraggio ricevono la qualifica di “pedinamento” e trovano il loro fondamento normativo nel citato art. 55, unitamente agli artt. 347 e 370 c.p.p. [4]. In particolare, secondo la Corte di cassazione «sono legittime le attività di osservazione, controllo e pedinamento svolte dalla polizia giudiziaria e finalizzate ad accertare la sussistenza di un fatto illecito»[5].
II. IMPIEGO DI MEZZI TECNOLOGICI E DI DISPOSITIVI DI TRACCIAMENTO
Il progresso tecnologico ha notevolmente amplificato la capacità della polizia di effettuare sorveglianze e pedinamenti di individui (e non solo). Da questo punto di vista, il percorso intrapreso dal Tribunal Supremo spagnolo e dalla Corte di cassazione italiana è stato per molti versi coincidente sia nell’esaminare la legittimità dell’utilizzo da parte della polizia di nuovi strumenti tecnici funzionali ad agevolare la sorveglianza dei movimenti di un individuo, sia nel giustificare la loro ammissibilità in assenza di un adeguato apparato legislativo.
Va tuttavia rilevato che non vi è mai stata un’analisi volta a delimitare che cosa debba intendersi, a tali fini, per dispositivi o strumenti tecnici di tracciamento e localizzazione. In tal senso, la sostituzione della visione diretta dell’agente con l’impiego di binocoli o videocamere dotate di teleobiettivi, l’evoluzione dei mezzi di trasporto o di locomozione di cui gli agenti si avvalgono per svolgere l’attività o, ancora, l’utilizzo di cani addestrati per operazioni di ricerca non sono mai stati considerati strumenti tecnici tali da richiedere una regolamentazione specifica[6]. La giurisprudenza si è invece concentrata sul verificare se l’impiego di specifici dispositivi destinati a geolocalizzare e monitorare i movimenti di un determinato oggetto (in senso generale, veicoli e imbarcazioni) costituisse un’ingerenza nei diritti fondamentali tale da rendere necessaria una previa autorizzazione giudiziaria volta a valutarne l’ammissibilità e la proporzionalità, ritenendosi per il resto bastevole la generica abilitazione legale sopra richiamata (l’art. 282 LECrim in Spagna e gli artt. 55, 347 e 370 c.p.p. in Italia).
1. In Spagna
In Spagna, la giurisprudenza del Tribunal Supremo consolidatasi prima della riforma del 2015 si era mostrata favorevole all’utilizzo delle cc.dd. “balizas policiales” (dispositivi che consentivano di localizzare e seguire i movimenti dell’oggetto monitorato grazie alla tecnologia GPS, GSM o radio), senza necessità di autorizzazione giudiziaria. Ciò in virtù dei seguenti due argomenti.
In primo luogo, si riteneva che il posizionamento o l’installazione di tali dispositivi non realizzasse alcuna ingerenza in ambiti di intimità costituzionalmente protetti, come potevano essere i luoghi domiciliari e gli spazi ad essi assimilabili. Nel caso delle imbarcazioni sottoposte a localizzazione, il Tribunal Supremo, con sentenza 562/2007 (22 giugno), ebbe a sottolineare la collocazione esterna del dispositivo di tracciamento; nello stesso senso si pronunciò con sentenza 523/2008 (11 luglio), nella quale il Tribunale dichiarò esplicitamente che «no consta que para situar el artilugio fuera necesario entrar en algún recinto que constituyera un domicilio de los previstos en los arts. 554 o 561 LECr». In secondo luogo, i supremi giudici affermarono – con le sentenze 906/2008 (19 dicembre) e 798/2013 (5 novembre) – come l’impiego di radiotrasmettitori non violasse il segreto delle comunicazioni, poiché non integrante una forma di intercettazione di comunicazioni altrui o tra terzi, né un’ingerenza eccessiva nel diritto alla riservatezza tale da richiedere un controllo giurisdizionale preventivo e una valutazione del relativo impatto costituzionale, trattandosi meramente di seguire i movimenti di un’imbarcazione in alto mare.
Tale giurisprudenza fu a suo tempo oggetto di critiche dottrinali. Se era vero che l’ingerenza nel segreto delle comunicazioni richiedesse sempre una decisione giudiziaria, mentre «no existe en la Constitución reserva absoluta de previa resolución judicial respecto del derecho a la intimidad personal»; era altrettanto vero che la giurisprudenza costituzionale aveva riconosciuto, anche in relazione al diritto all’intimità personale, l’esistenza di un monopolio giurisdizionale come regola generale, ammettendo che la polizia potesse porre in essere determinate pratiche costituenti un’ingerenza lieve nella sfera privata delle persone purché vi fosse una sufficiente e precisa base legale, fossero rispettate le esigenze derivanti dal principio di proporzionalità ed esistessero ragioni di urgenza e necessità atte a giustificare un intervento immediato da parte della polizia[7]. In altre parole, poiché lo stesso Tribunal Supremo aveva affermato che «el ordenamiento jurídico español no destina precepto alguno a regular las vigilancias discretas, ni visuales, ni a través de dispositivos de seguimiento adheridos a objetos al uso o disposición de la persona investigada o a ella destinada»[8], non sarebbero risultati soddisfatti i requisiti di una sufficiente base normativa e, ancor meno, quello secondo cui la legge «sea lo suficientemente clara para señalar a todos las circunstancias y condiciones en que autoriza a los poderes públicos a recurrir a una injerencia secreta»[9].
Fu altrettanto elemento di critica la considerazione per cui cui la geolocalizzazione mediante strumenti tecnologici non costituisse un’ingerenza grave nella sfera privata delle persone. Il Tribunal Supremo sosteneva l’assenza di una lesione significativa dell’intimità, poiché «podría haber afectación a la intimidad del investigado si esa localización permitiera conocer el lugar exacto en el que el comunicante se encontraba, pero cuando […] esa ubicación sólo puede concretarse con una aproximación de varios cientos de metros, que es la zona cubierta por la BTS o estación repetidora que capta la señal, en modo alguno puede considerarse afectado, al menos de forma relevante, el derecho a la intimidad del sometido a la práctica de la diligencia»[10].
A fronte di ciò, la dottrina ebbe a rilevare che subordinare l’esigenza di autorizzazione giudiziaria al grado di precisione con cui fosse determinata la posizione geografica di una persona mediante strumenti elettronici non faceva altro che aggiungere ulteriore confusione e incertezza in questa materia, in quanto sarebbe stata solo questione di tempo prima che la tecnologia evolvesse al punto da consentire di individuare, in modo esatto e con un margine di errore pressoché nullo, la localizzazione di un soggetto, con l’inevitabile superamento dell’impostazione del Tribunal Supremo[11].
Il quadro mutò a partire dalla riforma della LECrim ad opera della Ley Orgánica 5 ottobre 2015, n. 13 per il rafforzamento delle garanzie processuali e la regolamentazione delle misure di indagine tecnologica, allorché si concluse che le attività di sorveglianza, quando realizzate con l’ausilio di dispositivi tecnici, comportassero una maggiore incidenza sui diritti dell’indagato, tale da richiedere l’intervento dell’autorità giudiziaria. Proprio questa riforma ha indotto il Tribunal Supremo a rivedere il proprio orientamento e a riconoscere che «el conocimiento por los investigadores del lugar exacto -presente, pasado o futuro- en el que podía hallarse una persona puede resultar absolutamente decisivo para el esclarecimiento del hecho imputado»; che «la utilización de dispositivos de localización y seguimiento tiene una incidencia directa en el círculo de exclusión que cada ciudadano define frente a terceros y frente a los poderes públicos está ya fuera de cualquier duda. La afectación de la intimidad es incuestionable»; e che «la entrada en vigor de la LO 13/2015 descarta cualquier duda acerca de la voluntad legislativa de blindar ese espacio de intimidad y subordinar la legitimidad del acto de intromisión a la previa autorización judicial»[12].
2. In Italia
In Italia, la Corte di cassazione si è pronunciata ripetutamente a favore dell’utilizzo da parte della polizia di dispositivi di tracciamento senza necessità di una valutazione giudiziale preventiva (attività – questa – che è andata sotto varie denominazioni, come pedinamento satellitare, pedinamento elettronico, monitoraggio ecc.). In una delle pronunce più importanti[13] si è affermato che la localizzazione di una persona o di un oggetto in movimento, anche se effettuata mediante metodi e tecnologie simili a quelli utilizzati per intercettare conversazioni o comunicazioni, non può considerarsi alla stessa stregua di un’attività di intercettazione propriamente detta, da intendersi come un’attività di ascolto, lettura o interferenza nelle comunicazioni tra due o più persone. Al contrario, quando l’indagine è diretta a seguire i movimenti sul territorio di un soggetto (o di un oggetto), a localizzarlo o a verificare la sua presenza in un determinato luogo, deve interpretarsi come una sorta di “vigilanza tecnologicamente evoluta” (una specie di pedinamento tecnologicamente avanzato) e, in quanto tale, rientrerebbe nella categoria dei cc.dd. mezzi di prova atipici previsti dall’art. 189 c.p.p. [14]. In tali casi, pertanto, non è necessario rispettare le disposizioni degli artt. 266 ss. c.p.p., relative alle intercettazioni di comunicazioni, non è richiesta l’emanazione di un decreto motivato da parte del pubblico ministero e neppure un’autorizzazione preventiva da parte del giudice per le indagini preliminari[15].
Inoltre, anche al fine di valutare la legittimità di tale misura rispetto alla giurisprudenza della Corte di giustizia dell’Unione europea in materia di conservazione dei dati, che sarà esaminata più avanti, la Corte di cassazione ha altresì precisato che la localizzazione dei movimenti mediante sistema di tracciamento satellitare GPS non comporta «un accumulo massivo di dati sensibili da parte del gestore del servizio, sicché le relative risultanze sono utilizzabili senza necessità di autorizzazione da parte dell’autorità giudiziaria, non trovando applicazione per analogia la disciplina di cui all’art. 132, comma 3, d.lgs. 30 giugno 2003, n. 196 e successive modifiche, in tema di tabulati, e neppure i principi affermati dalla sentenza della Corte di giustizia Ue, grande sez., 5 aprile 2022, causa C-140/2020, relativa alla compatibilità di “data retention” con le direttive 2002/58/Ce e 2009/136/Ce, sul trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni»[16].
Come si può osservare, il Tribunal Supremo e la Corte di cassazione concordano nel ritenere che il tracciamento e il monitoraggio dei movimenti di una persona o di un oggetto tramite i segnali emessi da un dispositivo non costituiscono un’intercettazione né un’invasione delle comunicazioni altrui, per cui l’uso di strumenti tecnici che assistono la polizia in tale attività rappresenta un’evoluzione che non altera la natura giuridica dell’indagine e configura meramente una modalità di vigilanza “tecnologicamente assistita”.
Le due Corti concordano inoltre nel sostenere che la possibile incidenza sui diritti fondamentali del soggetto geolocalizzato, in questo tipo di situazioni, sarebbe “lieve”, richiamandosi ripetutamente la celebre sentenza Uzun c. Germania[17], in cui la Corte europea ha osservato che la sorveglianza GPS, sebbene da considerarsi un’ingerenza nella vita privata delle persone, per sua stessa natura deve distinguersi da altri metodi di tracciamento acustico o visivo. Questi ultimi, in linea generale, sono da considerare maggiormente suscettibili di interferire con il diritto della persona al rispetto della propria vita privata, perché ne rivelano informazioni sulla condotta, sulle attività e persino sui sentimenti. Pertanto, alla sorveglianza GPS non si applicano i rigorosi requisiti relativi all’intercettazione delle comunicazioni, perché trattasi di misura da reputarsi meno invasiva[18]. Nondimeno, le argomentazioni dei giudici spagnoli e italiani differiscono in quanto i secondi non devono giustificare una possibile ingerenza nella privacy del soggetto indagato[19], perché la Costituzione italiana non vi fa espresso riferimento come, invece, fa la Carta fondamentale iberica (art. 18.1).
Analogamente alla dottrina spagnola, anche quella italiana si è mostrata critica nei confronti della linea giurisprudenziale sposata dalla Corte di cassazione in materia di pedinamento elettronico, non tanto là dove se ne è esclusa la natura di intercettazione di comunicazioni[20], quanto piuttosto nella misura in cui si è affermato come tale ingerenza non comporti una lesione dei diritti fondamentali del soggetto monitorato. Di qui l’invocazione di un adeguamento legislativo al progresso tecnologico in materia di nuove misure investigative[21].
È comune tra gli autori italiani osservare che la sorveglianza GPS deve comunque essere considerata alla stregua di un’interferenza nella sfera di riservatezza del soggetto[22], sfera che comprenderebbe anche determinati aspetti della vita privata, come i luoghi frequentati o gli spostamenti dei soggetti sul territorio. Non si dovrebbe pertanto ammettere un sistema di localizzazione satellitare senza limiti e si dovrebbe escludere qualsiasi equiparazione con il pedinamento tradizionale, dato il maggiore grado di incidenza sulla privacy.
In particolare, secondo la dottrina italiana, questo tipo di sorveglianza elettronica comporta una maggiore incidenza sulla privacy sia dal punto di vista quantitativo – per la notevole mole di informazioni raccolte sul soggetto investigato, in quanto non esistono limiti temporali al suo utilizzo –, sia dal punto di vista qualitativo – poiché la tecnologia non si limita a seguire l’individuo per le strade, ma può ad esempio tracciarne anche gli spostamenti all’interno di abitazioni –, rigettandosi la tesi secondo cui la percezione visiva o il pedinamento occasionale di un individuo in luoghi pubblici possa essere paragonabile al suo monitoraggio continuativo e sistematico in tempo reale[23]. Per tali ragioni, gli studiosi hanno richiamato la necessità di un intervento legislativo volto a disciplinare questa misura, con la necessità di determinare casi, modalità, soggetti abilitati a praticarla e limiti massimi di durata[24].
III. DATI DI LOCALIZZAZIONE CONSERVATI DAI GESTORI DELLE TELECOMUNICAZIONI
La raccolta, la conservazione, il trattamento e l’utilizzazione di determinati dati generati in occasione delle comunicazioni elettroniche (i cc.dd. dati di traffico o dati esterni) costituiscono una fonte di informazione preziosa a fini investigativi e come tali sono stati percepiti dalle autorità europee[25].
Già nella raccomandazione 3/99, relativa alla conservazione dei dati di traffico da parte dei fornitori di servizi internet per scopi di law enforcement, approvata il 7 settembre 1999 dal Gruppo di lavoro per la tutela delle persone fisiche con riguardo al trattamento dei dati personali[26], si avvertiva che «one of the outstanding and most controversial issues is the preservation of historic and future traffic dat by Internet Service Providers for law enforcement purposes and disclosure of such data to law enforcement authorities» e si raccomandava alla Commissione europea di proporre misure appropriate per armonizzare il termine entro il quale agli operatori di telecomunicazioni, ai fornitori di servizi di telecomunicazione e ai fornitori di servizi internet è consentito conservare i dati di traffico per la fatturazione e il pagamento dei servizi.
Tale obiettivo è stato perseguito con l’adozione della direttiva 2006/24/CE del 15 marzo 2006 (successivamente invalidata), «riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE». Lo scopo perseguito era di armonizzare gli obblighi dei fornitori in materia di conservazione di determinati dati e garantire che essi siano disponibili «a fini di indagine, accertamento e perseguimento di reati gravi quali definiti da ciascuno Stato membro nella propria legislazione nazionale»[27].
Per comprendere tale finalità, non può essere trascurato l’esame delle circostanze storiche e sociali in cui è stata elaborata la direttiva, emanata a seguito degli attentati terroristici avvenuti a Madrid nel 2004 e a Londra nel 2005. In effetti, tanto nella Dichiarazione del Consiglio europeo del 25 marzo 2004 sulla lotta al terrorismo, quanto nella Dichiarazione del 13 luglio 2005 di condanna degli attentati terroristici di Londra, si sottolineò espressamente la necessità di esaminare e adottare misure legislative relative alla conservazione dei dati di traffico delle comunicazioni elettroniche, quale misura necessaria e particolarmente efficace per l’indagine, l’accertamento e il perseguimento dei reati, in particolare quelli di particolare gravità, come la criminalità organizzata e il terrorismo.
Da allora, la normativa europea che abilita la conservazione dei dati di traffico – e dei dati di localizzazione, sui quali ora conviene soffermarsi – è stata profondamente interessata dalla giurisprudenza della Corte di giustizia dell’Unione europea, che ha costantemente ribadito come i dati conservati da parte delle aziende tecnologiche «permettono, in particolare, di sapere quale sia la persona con cui un abbonato o un utente registrato ha comunicato e con quale mezzo, così come di stabilire il tempo della comunicazione e il luogo dal quale questa è avvenuta. Inoltre, essi permettono di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente registrato con talune persone nel corso di un determinato periodo. Questi dati, presi nel loro complesso, possono permettere di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri e non, le attività svolte, le relazioni sociali di queste persone e gli ambienti sociali da esse frequentati»[28]. Il che costituisce una seria incidenza, diretta e specifica, sui diritti alla vita privata e alla protezione dei dati personali garantiti dagli artt. 7 e 8 della CDFUE, oltre a poter persino dissuadere gli utenti dei mezzi di comunicazione elettronica dall’esercizio della libertà di espressione garantita dall’art. 11 della Carta, in quanto i dati di traffico e di localizzazione «possono rivelare informazioni su un numero significativo di aspetti della vita privata degli interessati, comprese informazioni sensibili, quali l’orientamento sessuale, le opinioni politiche, le convinzioni religiose, filosofiche, sociali o di altro tipo nonché lo stato di salute»[29].
A fronte della tradizionale argomentazione dei tribunali nazionali, secondo cui i dati esterni costituirebbero un’“ingerenza minore” nella sfera privata degli individui, la Corte di giustizia ha ribadito che essi forniscono elementi per delineare il profilo delle persone interessate, contenendo informazioni non meno sensibili, alla luce del rispetto della vita privata, di quelle ricavabili dal contenuto stesso delle comunicazioni. Ne consegue che la normativa che ne abiliti l’utilizzo a fini di indagine deve tener conto del fatto che l’accesso da parte di un’autorità pubblica costituisce, in ogni caso, una grave ingerenza nei diritti fondamentali, a prescindere dalla durata del periodo per il quale l’accesso sia richiesto e dalla quantità o dalla natura dei dati disponibili in quel periodo, quando tale insieme di dati possa consentire di trarre conclusioni precise sulla vita privata delle persone interessate. «A tale riguardo» – sottolinea la Corte di giustizia – «anche l’accesso a un quantitativo limitato di dati relativi al traffico o di dati relativi all’ubicazione, oppure l’accesso a dati per un breve periodo, possono essere idonei a fornire precise informazioni sulla vita privata di un utente di un mezzo di comunicazione elettronica»[30].
Quando si tratta della raccolta in tempo reale dei dati di localizzazione, ciò risulta particolarmente grave, «dato che tali dati forniscono alle autorità nazionali competenti uno strumento di controllo preciso e permanente degli spostamenti degli utenti dei telefoni mobili. Poiché questi dati devono quindi essere considerati particolarmente sensibili, l’accesso in tempo reale delle autorità competenti a siffatti dati deve essere tenuto distinto da un accesso in tempo differito agli stessi, essendo il primo più intrusivo in quanto consente una sorveglianza quasi totale di detti utenti (v., per analogia, relativamente all’articolo 8 della CEDU, Corte EDU, 8 febbraio 2018, Ben Faiza c. Francia, CE:ECHR:2018:0208JUD003144612, § 74)»[31].
Alla luce di tali premesse, la Corte di giustizia ha ammesso che i regimi di conservazione e di messa a disposizione dei dati di traffico e di localizzazione assumano carattere generalizzato soltanto nelle situazioni in cui lo Stato membro si trovi ad affrontare una minaccia grave alla sicurezza nazionale di carattere reale e attuale o, quantomeno, prevedibile. In materia di lotta contro la criminalità grave e di prevenzione delle gravi minacce alla sicurezza pubblica, la conservazione dei dati di traffico e di localizzazione può essere soltanto “selettiva” e delimitata sulla base di elementi oggettivi e non discriminatori, individuati secondo diversi criteri (categorie di persone interessate, criteri geografici, periodi temporalmente circoscritti).
Come vedremo di seguito, la giurisprudenza spagnola e italiana hanno intrapreso un percorso (criticato dalla dottrina) similare là dove si è trattato di interpretare la normativa che autorizza la conservazione dei dati di traffico delle comunicazioni elettroniche e il loro utilizzo nelle indagini penali (data retention) e i moniti provenienti dalla Corte di giustizia.
1. In Spagna
In Spagna, il recepimento della direttiva 2006/24/CE è avvenuto attraverso la Ley 18 ottobre 2007, n. 25 sulla conservazione dei dati relativi alle comunicazioni elettroniche e alle reti pubbliche di comunicazione (di seguito, LCDCE), che stabilisce l’obbligo, per gli operatori che forniscono servizi di comunicazione elettronica accessibili al pubblico o che gestiscono reti pubbliche di comunicazione, nei termini previsti dalla Ley General de Telecomunicaciones, di conservare, per almeno dodici mesi, un insieme di dati generati o trattati nell’ambito della fornitura di servizi di comunicazioni elettroniche o di reti pubbliche di comunicazione (elencati all’art. 3). Tra questi figurano quelli che potremmo qualificare come “dati di localizzazione”: i dati necessari a identificare la posizione del dispositivo di comunicazione mobile a partire dalla conservazione dei dati relativi alla localizzazione geografica della cella della stazione radio-base (BTS) di telefonia che fornisce copertura al telefono cellulare.
Sin dalla sua approvazione, tale legge si è rivelata utile per migliorare l’efficacia delle indagini penali, poiché ha abilitato la polizia – sempre previa autorizzazione giudiziaria, in virtù di quanto espressamente disposto dagli artt. 6 e 7 LCDCE, unitamente all’art. 588-ter j LECrim[32] – della possibilità di avvalersi dei dati di traffico e di localizzazione conservati dagli operatori di servizi per compiere due tipologie attività. Da un lato, ricostruire gli spostamenti del sospettato e poter così conoscere con grande precisione i luoghi visitati, i percorsi seguiti, le persone con cui è entrato in contatto, le sue abitudini e routine (c.d. “geolocalizzazione storica”[33]), nonché di identificare i sospettati di attività criminali che si trovavano in un determinato luogo in quanto il loro telefono riceveva copertura da una specifica antenna BTS. Dall’altro, e in virtù di quanto previsto dagli artt. 588-ter d e 588-quinquies b LECrim, intercettare in tempo reale tali dati di localizzazione geografica trasmessi da un determinato terminale e «geolocalizzare in tempo reale» un individuo, come se il suo telefono cellulare fungesse da dispositivo di localizzazione e tracciamento.
La LCDCE, tuttavia, è sempre stata oggetto di critiche dottrinali[34], anche in considerazione del fatto che alcuni giudici nazionali hanno dichiarato l’incostituzionalità delle normative di recepimento della suddetta direttiva[35].
La LCDCE rappresenta dunque uno dei principali esempi di quella conservazione «massiva e indiscriminata» vietata dalla Corte di giustizia, in quanto consente un’ingerenza sproporzionata nei diritti al rispetto della vita privata e familiare e alla protezione dei dati di carattere personale riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea[36]. Tuttavia, il Tribunal Supremo spagnolo si è adoperato per difendere la compatibilità della suddetta LCDCE con il diritto dell’Unione europea e la sua conformità alle esigenze reclamate dai giudici di Lussemburgo. Nelle sentenze SSTS 400/2017 (1º giugno), e 723/2018 (23 gennaio 2019), esso ha insistito in particolare sull’utilizzabilità dei dati soltanto in presenza di un ordine dell’autorità giudiziaria e nel rispetto di un rigoroso sistema di garanzie; sulla circostanza che la trasmissione avviene esclusivamente dietro mandato giudiziale, a differenza di altri regimi europei (nonché della stessa direttiva 2006/24/CE) che consentivano agli organi amministrativi di accedere a tali informazioni; e sul fatto che tale utilizzo si realizza soltanto per il perseguimento di gravi reati e non di qualsiasi tipologia criminosa. Successivamente, con la STS 727/2020 (23 marzo), il Tribunal Supremo ha messo in risalto ulteriori pregi della legislazione spagnola: la trasmissione può avvenire soltanto verso agenti espressamente abilitati, individuati nei membri delle Forze e Corpi di Sicurezza dello Stato, negli agenti della Vigilanza Doganale e negli agenti del CNI; la previsione di particolari livelli di protezione quanto alla custodia dei dati dati e specifiche misure e obblighi in capo agli operatori per garantirne integrità, sicurezza, qualità e riservatezza, oltre a un importante regime sanzionatorio in caso di inadempimento; l’esistenza di una normativa regolamentare riguardante le specifiche tecniche relative alle modalità di trasmissione da parte degli operatori agli agenti (Orden PRE/199/2013, 29 gennaio). Ma soprattutto, i giudici spagnoli hanno tenuto a evidenziare che i dati possono essere utilizzati solo quando l’autorità giudiziaria lo disponga nell’ambito di un rigoroso sistema di garanzie, in conformità ai principi direttivi di idoneità, necessità, specialità e proporzionalità scolpiti dagli artt. 588-bis ss. LECrim.
Per il Tribunal Supremo, la Corte di giustizia impone di tutelare i diritti alla vita privata, alla protezione dei dati e alla libertà di espressione, mentre «La Ley española no genera ese riesgo. Los datos conservados permanecen custodiados y no pueden tener más uso que su cesión a la autoridad judicial cuando ésta, lo ordene bajo un riguroso sistema de garantías. Ciertamente la conservación de datos y la obligación de cesión es en sí “tratamiento de datos” […], pero no puede desconocerse que los obligados por la Ley 25/2007 sólo deben y pueden almacenar los datos, pero no están habilitados para realizar ninguna de las operaciones de tratamiento que podrían ser especialmente lesivas para los derechos que se pretenden salvaguardar. Los prestadores no pueden, por tanto, estructurar, seleccionar, divulgar, transmitir, combinar o utilizar para fines de investigación criminal esos datos».
Tuttavia, il regime di conservazione previsto dalla LCDCE risulta contrario ai parametri propri del diritto dell’Unione. Non è possibile parlare di un unico regime di conservazione e trasmissione, poiché tanto la Corte di giustizia quanto quella di Strasburgo hanno ribadito ripetutamente che la mera conservazione, in quanto costituente un trattamento di dati di carattere personale, deroga all’obbligo di riservatezza delle comunicazioni, rappresentando già di per sé un’ingerenza nei diritti fondamentali alla privacy e alla protezione dei dati personali.
La Corte lussemburghese ha affermato in più di un’occasione che la conservazione dei dati e l’accesso ad essi costituiscono ingerenze distinte nei diritti fondamentali garantiti dagli artt. 7 e 11 CDFUE, ingerenze che richiedono ciascuna una giustificazione autonoma ex art. 52 § 1 CDFUE. Pertanto, una normativa nazionale che rispetti rigorosamente i requisiti fissati dalla giurisprudenza in materia di accesso ai dati conservati ai sensi della direttiva 2002/58/CE non può, di per sé, né limitare né compensare l’ingerenza significativa sui diritti derivante dalla conservazione generalizzata di tali dati[37].
In altri termini, per la Corte i presupposti della conservazione selettiva e dell’accesso limitato devono intendersi come cumulativi e non alternativi: gli Stati non possono compensare una conservazione estesa o indiscriminata con maggiori controlli relativi all’accesso ai dati, argomento – questo – che è stato invece impiegato del Tribunal Supremo per convalidare il regime legale spagnolo[38].
Pertanto, sebbene le regole di accesso ai dati da parte della polizia previo mandato giudiziario contenute negli artt. 588-bis ss. LECrim integrino i requisiti e le garanzie richiesti dalla Corte di giustizia per poter essere considerato un esempio di accesso limitato, permane il peccato originale: la “materia prima” di cui si alimentano le autorità incaricate delle indagini penali continua a fondarsi su un regime di conservazione indiscriminato e generalizzato.
Non è ammissibile, come invece afferma la STS 824/2022 (19 ottobre), sostenere che «la Ley 25/2007 no establece una obligación de conservación general e ilimitada» o che l’arco temporale previsto dalla normativa spagnola impedisca di parlare di una conservazione indiscriminata ed estensiva nel tempo «frente a otras legislaciones que lo extienden a dos años». È sufficiente confrontare tale affermazione con la sentenza SpaceNet AG e Telekom Deutschland GmbH[39], nella quale la Corte di giustizia ha qualificato come «conservazione generalizzata» il regime contenuto nella legge tedesca sulle telecomunicazioni (art. 113b TKG), che stabiliva un periodo di trattenimento di quattro settimane per i dati di localizzazione e di dieci settimane per i dati di traffico. Allo stesso modo, non è ammissibile neppure la giustificazione espressa nella STS 824/2022, secondo cui «el proceso no puede ser al revés mediante una especie de adivinación de zonas de conflicto y exigirse al legislador a anticiparse al lugar donde los datos van a existir, ya que la delincuencia siempre es ex post y nunca se sabe dónde, cómo y por quién va a operar, por lo que la anticipación en la obtención de la prueba con carácter previo a la comisión del delito es una exigencia que deviene imposible en la labor de todos los Estados de adoptar medidas para prevenir el delito y para introducir cauces que permitan conseguir herramientas de investigación para investigar la comisión de un delito grave, con fines terroristas, o que atente contra la propia seguridad del Estado en sí mismo considerado y de sus propios ciudadanos».
2. In Italia
La Corte di cassazione considera la rilevazione della posizione GPS di un telefono cellulare (positioning) una modalità di pedinamento satellitare o elettronico (pedinamento 2.0) non qualificabile come intercettazione di comunicazioni e non richiedente l’autorizzazione giudiziaria preventiva[40]. Solo la geolocalizzazione a partire dai dati storici di traffico delle comunicazioni elettroniche conservati dagli operatori (denominati genericamente “tabulati”) è soggetta a una normativa particolare, motivata proprio dalla necessità di adeguare la legislazione italiana al diritto unionale.
Prima dell’adozione della direttiva 2006/24/CE, in Italia non era richiesta l’autorizzazione giudiziaria ai fini dell’impiego da parte della polizia dei dati di traffico e di accesso a internet conservati dagli operatori. E ciò sulla base della distinzione, elaborata a livello di giurisprudenza costituzionale, tra il contenuto vero e proprio di una comunicazione telefonica e gli altri dati esterni alla comunicazione[41]. Successivamente, la materia venne regolata espressamente dagli artt. 121 ss. del d.lgs. 30 giugno 2003, n. 196, riformati dal d.lgs. 30 maggio 2008, n. 109 al fine di incorporare nell’ordinamento italiano la normativa europea in tema di data retention, analogamente legge spagnola 25/2007[42].
Oltre ai diversi termini di conservazione previsti per ciascuna tipologia di dato di traffico[43], la principale caratteristica della normativa italiana, al di là di alcuni sfortunati (e ormai datati) tentativi del legislatore di introdurre l’intervento del giudice[44], risiedeva nella potestà del pubblico ministero di ordinare la trasmissione delle informazioni. Difatti, il riferimento normativo all’«autorità giudiziaria» era suscettibile di comprendere anche l’organo dell’accusa che, con decreto motivato, d’ufficio o su istanza di parte, poteva richiederle[45].
Analogamente alla giurisprudenza spagnola, anche quella italiana si è segnalata per aver difeso la validità della citata normativa a fronte dei pronunciamenti della Corte di giustizia in materia[46]. Il legislatore ha tuttavia scelto di riformare l’art. 132 del codice della privacy per adeguarlo agli orientamenti dei giudici di Lussemburgo[47]. Il d.l. 30 settembre 2021, n. 132[48] ha imposto l’autorizzazione del giudice – e non più il decreto motivato della procura, salvo nei casi di urgenza, nei quali il pubblico ministero può disporre direttamente l’acquisizione dei dati, con l’obbligo di ottenere successivamente il placet dell’organo giurisdizionale – affinché la polizia possa accedere ai dati di traffico conservati dagli operatori, come confermato dalla Corte di cassazione[49]. Inoltre, l’accesso deve riguardare reati di una certa gravità[50], devono sussistere indizi sufficienti di reato e i dati devono essere rilevanti ai fini dell’accertamento dei fatti.
IV. CRONOLOGIA DELLE POSIZIONI MEMORIZZATA DA TERZI (GEOFENCING)
Si è già sottolineato in altre occasioni come una delle principali caratteristiche della società digitale attuale sia l’incessante iperconnettività degli esseri umani e come, di conseguenza, siamo diventati la versione moderna di Hansel e Gretel[51]: ognuno di noi lascia costantemente “briciole di pane” in molteplici formati digitali, a partire dalle diverse interazioni realizzate (comunicazioni tramite telefoni cellulari, navigazioni sul web, chat sui social network, transito in luoghi videosorvegliati, utilizzo di strumenti elettronici di pagamento ecc.), che vengono archiviate da terzi e che possono condurre a una localizzazione geografica.
In tal senso, molti dei servizi offerti nella società dell’informazione a cui accediamo tramite i telefoni cellulari si basano sulla geolocalizzazione e sul geotagging dei dispositivi: sono i cc.dd. “servizi basati sulla localizzazione” (noti con le sigle inglesi LBS – Location Based Services o LDIS – Location Dependent Information Services), che forniscono indicazioni sul contesto e sulla posizione in cui si trovano gli utenti[52]. Tali indicazioni sono la conseguenza della fornitura di informazioni geografiche aggiuntive presenti nei metadati dei files scambiati (geotagging) o del geoprocessamento degli utenti basato sul loro posizionamento spaziale, talvolta reso disponibile dal client (tramite GPS, Wi-Fi, indirizzo IP, Bluetooth ecc.), talaltra dal server (si pensi al servizio di posizionamento fornito dall’operatore di rete). Tali informazioni vengono archiviate, in alcuni casi, in specifici database denominati “storico delle localizzazioni” del dispositivo. In questo modo, ogni volta che si usufruisce di un determinato servizio (ad esempio quando si prenota un’auto, si consulta il meteo, si cerca il percorso più rapido per un raggiungere una certa destinazione, si accede a servizi di pagamento di una banca o si carica un post su un social network), le applicazioni utilizzate rilevano e registrano la posizione geografica del dispositivo.
Il geotagging dei devices, integrato con nuove funzionalità come il cross-device tracking, consente alle aziende di analizzare in dettaglio le esperienze di consumo degli individui, al fine di comprenderne comportamenti e preferenze, indipendentemente dal dispositivo utilizzato (smartphone, computer, tablet ecc.), con l’obiettivo di offrire beni e servizi su misura. In altre parole, l’analisi che le aziende effettuano sui dati raccolti dalle nostre interazioni telematiche permette loro di costruire un’“impronta digitale” capace di identificarci e geolocalizzarci. Ciò è possibile perché esiste una nuova tipologia di tali dati di traffico, frutto del progresso scientifico, classificata come “dati di localizzazione”, che non è trattata esclusivamente dai fornitori di servizi di accesso a internet (compagnie telefoniche), ma anche dai fornitori di servizi della società di informazione.
La direttiva sulla tutela della privacy nel settore delle comunicazioni elettroniche 2002/58/CE, all’art. 2.c, definisce queste informazioni come «ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico». Più nel dettaglio, il considerando n. 14 precisa come tali dati possano riguardare «latitudine, longitudine ed altitudine dell’apparecchio terminale dell’utente, […]la direzione di viaggio, [i]l livello di accuratezza dell’informazione sull’ubicazione, […]l’identificazione della cella di rete in cui l’apparecchio terminale è ubicato in un determinato momento, e [i]l momento in cui l’informazione sull’ubicazione è stata registrata».
La loro natura di dato di traffico risulta indiscutibile: il considerando n. 15 specifica che i dati di traffico possono attenere, tra le altre cose, «all’ubicazione dell’apparecchio terminale di chi invia o riceve, alla rete sulla quale la comunicazione si origina o termina, all’inizio, alla fine o alla durata di un collegamento». Ancora più eloquente risulta il considerando n. 35, che precisa: «[n]elle reti mobili digitali i dati relativi all’ubicazione, che consentono di determinare la posizione geografica dell’apparecchiatura terminale dell’utente mobile vengono sottoposti a trattamento in modo da consentire la trasmissione di comunicazioni. Tali dati sono quelli relativi al traffico di cui all’articolo 6 della presente direttiva».
La particolarità risiede, da un lato, nel fatto che il progresso tecnologico permette di trattare dati sulla localizzazione «che possiedono un grado di precisione molto maggiore di quello necessario per la trasmissione delle comunicazioni» e che vengono utilizzati per la fornitura di «servizi a valore aggiunto», definiti all’art. 2.g della Direttiva 2002/58/CE come qualsiasi servizio «che richiede il trattamento dei dati relativi al traffico o dei dati relativi all´ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione». Gli esempi più comuni – richiamati dai considerando n. 18 e 35 – sono rappresentati dai servizi di «orientamento stradale, informazioni sul traffico, previsioni meteorologiche, e informazioni turistiche». Dall’altro lato, tali dati di localizzazione possono essere trattati e conservati dai fornitori di servizi della società dell’informazione indipendentemente da quanto effettuato dai fornitori di accesso.
A ogni modo, i dati di traffico e di localizzazione appartengono a una categoria comune: i «dati personali», come viene espressamente specificato dall’art. 4 GDPR e dal corrispondente art. 3 della direttiva 2016/680/UE. Ciò assume una notevole importanza perché, per il loro utilizzo come fonte di prova nel processo penale, le autorità devono rispettare le garanzie previste da tali normative (liceità, limitazione della finalità, qualità della norma abilitante, proporzionalità, necessità ecc.[53]) in relazione ai dati oggetto di trattamento da parte delle imprese e successivamente ceduti alle autorità statali (GDPR) o ai dati ottenuti e trattati direttamente dalle autorità statali per i fini connessi al processo penale (direttiva “LED”).
Ebbene, tali dati di localizzazione risultano estremamente utili per un’attività, consistente nell’accertare fatti del passato[54], come l’indagine penale, poiché la tecnologia di geotagging offre la possibilità di determinare il luogo in cui si trovava in un certo momento un determinato soggetto a partire dai dispositivi in uso. Le autorità di law enforcement sono pienamente consapevoli che i dispositivi elettronici si sono trasformati in un vero e proprio prolungamento dell’anatomia umana[55], per cui le indagini sono tutte orientate alla ricerca, raccolta e analisi delle informazioni in formato elettronico che possano essere collegate al soggetto indagato o ai fatti verificatisi e che sono sovente raccolte e conservate da terzi (operatori di rete, fornitori di servizi internet, aziende private, pubbliche amministrazioni ecc.). L’obiettivo è di accertare chi si trovava sul luogo dei fatti, quali furono le interazioni di questi soggetti e dove erano conservate le fonti di prova che attestano tali circostanze[56].
A tal fine, le autorità hanno messo in pratica una nuova attività investigativa nota come geofencing o “ricerca inversa di geolocalizzazione”: con l’obiettivo di identificare o localizzare chi possa essere intervenuto in un’attività criminale, le autorità di polizia delimitano un perimetro spaziale di interesse (ad esempio, l’istituto bancario in cui è avvenuta una rapina, il parco dove si è verificata un’aggressione sessuale, o la stazione della metropolitana in cui è esploso un ordigno), nonché l’intervallo temporale in cui si ritiene siano avvenuti i fatti o in cui possano essere raccolte fonti di prova decisive (ad esempio, i minuti immediatamente precedenti e successivi all’esplosione, i minuti prima e dopo la rapina ripresa dalle telecamere dell’istituto bancario, o il periodo in cui la vittima dichiara di aver subito l’aggressione). Successivamente, viene richiesto alle aziende di settore di effettuare una ricerca nei propri databases e di fornire informazioni dettagliate sui dispositivi a cui hanno fornito servizi all’interno del perimetro spazio-temporale identificato, in modo da concentrare le indagini sulle persone i cui telefoni sono stati geolocalizzati sulla scena del crimine o, comunque, in luoghi di interesse per il reperimento di tracce del reato.
A seguito della morte di George Floyd e Jacob Blake per mano della polizia, questa nuova attività investigativa si è rivelata fondamentale per identificare coloro che hanno preso parte ai saccheggi e ai disordini verificatisi a Seattle, Houston, Atlanta, Detroit, in Arizona e in Alabama nel 2020. Lo stesso dicasi per l’individuazione dei partecipanti all’assalto al Campidoglio del 6 gennaio 2021[57].
1. In Spagna
In Spagna, non si ha ancora notizia di alcuna indagine giudiziaria in cui i fornitori di servizi operanti nel settore della società dell’informazione (Google, Apple, Meta…) hanno fornito la cronologia delle posizioni dei dispositivi operativi all’interno di un preciso perimetro spazio-temporale, nei termini descritti nel paragrafo precedente, ai fini del loro utilizzo come prova.
Nondimeno, le autorità di polizia, incontrando peraltro il placet del Tribunal Supremo, sono solite procedere a delimitare spazio-temporalmente la zona geografica e richiedere alle compagnie telefoniche i dati di localizzazione dei terminali coperti da una o più antenne BTS (o cell-site location information, CSLI), attività che sarebbe “coperta” dalla citata LCDCE. Il primo precedente è costituito dal noto omicidio di Leónidas Vargas, capo di un cartello di narcotrafficanti colombiani, mentre si trovava ricoverato presso l’Ospedale Doce de Octubre di Madrid nel gennaio 2009[58]: per identificare il sicario si rivelò indispensabile rintracciare il numero di telefono utilizzato dallo stesso mentre fuggiva per i corridoi del nosocomio. A tal fine, furono richiesti i dati di connessione e di localizzazione dei dispositivi che avevano effettuato comunicazioni attraverso le diverse antenne telefoniche ubicate nella zona limitrofa all’edificio nelle fasce orarie di interesse.
A ogni modo, in Spagna esiste anche una base giuridica per sostenere la possibilità di ottenere i dati di localizzazione che potrebbero essere stati oggetto di trattamento e conservazione da parte dei fornitori di servizi della società dell’informazione stabiliti in Spagna e soggetti alla legislazione spagnola, vale a dire la Ley 11 luglio 2002, n. 34 sui servizi della società dell’informazione e sul commercio elettronico. La lett. a dell’art. 5 della Ley Orgánica 26 maggio 2021, n. 7 sulla protezione dei dati personali trattati per finalità di prevenzione, rilevamento, indagine e perseguimento di reati e per l’esecuzione delle sanzioni penali include espressamente i dati di localizzazione nella definizione di «datos personales» affinché le autorità spagnole possano avvalersi della copertura legale dell’art. 7 della medesima legge organica per richiedere la collaborazione di qualsiasi persona fisica o giuridica nel fornire i dati che «les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas. La petición de la Policía Judicial se deberá ajustar exclusivamente al ejercicio de las funciones que le encomienda el artículo 549.1 de la Ley Orgánica 6/1985, de 1 de julio y deberá efectuarse siempre de forma motivada, concreta y específica, dando cuenta en todo caso a la autoridad judicial y fiscal».
Ora, poiché il § 3 dell’art. 7 specifica che «No será de aplicación lo dispuesto en los apartados anteriores cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1», si potrebbe giungere a un’interpretazione garantista secondo cui la LCDCE richiederebbe l’autorizzazione giudiziaria per la cessione dei dati storici di localizzazione conservati in relazione alle comunicazioni elettroniche (e l’art. 588-ter LECrimfa altrettanto riguardo ai dati elettronici conservati dai fornitori di servizi o da persone che facilitano la comunicazione in ottemperanza alla normativa sulla conservazione dei dati relativi alle comunicazioni elettroniche «o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación»). Dunque, la polizia spagnola avrebbe bisogno della corrispondente autorizzazione giudiziaria per richiedere la cronologia delle localizzazioni eventualmente conservata nei databases di aziende del settore tecnologico che operano in Spagna.
Tale autorizzazione potrebbe dirsi sussistente in presenza del c.d. “orden de conservación de datos” previsto dall’art. 588-octies LECrim, che consente di richiedere a qualsiasi persona fisica o giuridica «la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se encuentren a su disposición». Difatti, per mezzo di tale ordine potrebbe essere possibile richiedere la conservazione o il “congelamento” dei dati di localizzazione, sia perché generati indipendentemente dall’instaurazione di una concreta comunicazione (art. 588-ter b), sia perché si tratta di dati elettronici, diversi dai precedenti, in quanto conservati dai fornitori di servizi o da persone che facilitano la comunicazione in ottemperanza alla normativa sulla conservazione dei dati relativi alle comunicazioni elettroniche o per propria iniziativa, per motivi commerciali o di altra natura (artt. 588-ter j, k, l e m)[59].
2. In Italia
Come si è avuto modo di osservare in precedenza, in base all’art. 132 del codice della privacy è possibile acquisire i dati esterni delle comunicazioni, i quali consentono, tra l’altro, di verificare a quali celle si sia “connesso” il dispositivo mobile dell’indagato e, quindi, di ottenere informazioni rilevanti sulla sua ubicazione. In effetti, la disposizione citata permette di ottenere i «dati relativi al traffico», la cui ampia definizione, contenuta nell’art. 121, comma 1-bis, lett. h del Codice della privacy («qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione»), è idonea a includere anche le informazioni relative alla localizzazione geografica.
La questione che si pone è se il citato art. 132 sia applicabile anche all’acquisizione di dati e file di registro (log) che consentono di tracciare la posizione dell’indagato[60], anche quando ci si trovi al di fuori dei contesti comunicativi a cui fa riferimento il menzionato art. 121, con la conseguente possibilità di avvalersi del regime garantista introdotto dalla riforma del 2021[61].
Se così non fosse, vi sarebbe il rischio di ricorrere a procedure meno rispettose dei diritti fondamentali, in aperto contrasto con la già menzionata giurisprudenza sovranazionale relativa alla capacità delle informazioni sulla localizzazione di rivelare aspetti della vita privata della persona[62].
In particolare, il riferimento è all’art. 254-bis c.p.p., che, dedicato al sequestro dei dati informatici, fa riferimento all’acquisizione da parte dell’autorità giudiziaria di dati, «compresi quelli di traffico o di ubicazione», in possesso di un insieme di soggetti più ampio rispetto a quello cui allude l’art. 132 (i fornitori di servizi di comunicazione), cioè «i fornitori di servizi informatici, telematici o di telecomunicazioni»[63]. Ebbene, per quanto la dottrina abbia escluso qualsiasi sovrapposizione tra le disposizioni, nella misura in cui l’art. 254-bis c.p.p. «si limit[a] a regolare il modus operandi (il “quomodo”) per l’acquisizione dei dati informatici»[64], stabilendo una procedura facoltativa di copia, non sono mancati Autori che hanno ritenuto possibile la sua applicazione anche per l’acquisizione dei file di registro (log) [65].
Nonostante gli sforzi esegetici volti ad ampliare la nozione di dati di traffico, si è concluso che il quadro normativo attuale, per l’appunto costituito dagli artt. 121 e 132 del codice della privacy, «non pare in grado di adattarsi, in modo fisiologico, alla tematica della data retention dei file di log»[66]. Da ciò deriva la necessità di un intervento legislativo, che dovrà essere modellato sulla base delle indicazioni della Corte di giustizia riguardo al livello di gravità dell’ingerenza nella sfera privata dell’individuo che comporta l’acquisizione di tali dati[67]. Una gravità che, trattandosi di informazioni relative alla localizzazione, certamente non può essere negata[68].
V. ACQUISIZIONE TRANSFRONTALIERA DELLA CRONOLOGIA DELLE LOCALIZZAZIONI NELL’UNIONE EUROPEA
Nel paragrafo precedente è stata esaminata la normativa in base alla quale, sia in Spagna che in Italia, le autorità investigative possono ottenere la cronologia delle localizzazioni conservata da soggetti sottoposti alla loro giurisdizione. Non va tuttavia trascurato che la suddetta attività d’indagine, nota come geofencing, presenta due fondamentali peculiarità.
Da un lato, come si è avuto modo di constatare, i dati interessati sono frequentemente conservati e trattati da soggetti diversi dagli operatori di telecomunicazioni, ai quali non si applicano gli obblighi derivanti dalla normativa sulla conservazione dei dati (direttiva 2006/24/CE, LCDCE, codice della privacy…). L’esempio, forse più emblematico, di questa nuova tipologia di dati è costituito dalle aziende il cui modello di business consiste nell’offrire servizi basati sulla raccolta degli itinerari dei propri utenti, come nel caso di Strava e Uber.
D’altro canto, la maggior parte delle aziende tecnologiche che offrono servizi online e conservano le cronologie di localizzazione (Google, Apple, Uber, Meta, ecc.) non ha sede nel territorio soggetto alla giurisdizione degli Stati membri dell’Unione Europea. Occorre dunque interrogarsi in merito a quale sia la base giuridica che consente alle autorità di polizia e giudiziarie di richiedere loro di collaborare per la cessione dei dati, mediante i diversi strumenti di cooperazione giudiziaria internazionale per l’acquisizione transfrontaliera di fonti di prova.
In tal senso, il vantaggio di cui dispongono le autorità statunitensi nell’intraprendere questo tipo di attività investigativa risiede precisamente nel suo carattere “domestico”, nel senso che le grandi aziende tecnologiche in possesso delle cronologie di localizzazione sono soggette alla giurisdizione americana. Non a caso, tra il 2017 e il 2018, il numero di richieste di geolocalizzazione (geofence warrants) a Google è aumentato di oltre il 1.500%; tra il 2018 e il 2019 di un ulteriore 500%[69]; e si stima che circa il 25% delle richieste della polizia a Google attenga proprio alla geolocalizzazione[70].
1. Gli ordini di conservazione e di produzione dei dati informatici previsti dalle Convenzioni internazionali
In materia di acquisizione transfrontaliera di prove in formato digitale, non si richiede solo una maggiore cooperazione tra le autorità di polizia e giudiziarie, ma anche che una cooperazione sempre più rapida ed efficace nell’individuare, assicurare e trasmettere le informazioni o le fonti di prova, data la loro ben nota volatilità.
In tale ambito, il sistema di raccolta e acquisizione internazionale di informazioni digitali si sta evolvendo verso un modello incentrato sul “principio di effettività” delle indagini caratterizzate dalla presenza di elementi transfrontalieri e, per quanto qui rileva, dalla delocalizzazione delle fonti di prova. In virtù di ciò, è possibile osservare una certa evoluzione nella regolamentazione e nell’interpretazione dei meccanismi convenzionali di cooperazione internazionale – bilaterali o multilaterali – per l’indagine e l’acquisizione di prove penali, in cui il principio di reciprocità e le tradizionali vie diplomatiche hanno lasciato spazio a una cooperazione diretta (direct request), sia tra le autorità di polizia e giudiziarie dei due Paesi[71], sia tra queste e i fornitori di servizi online.
Tutto ciò costituisce una dimostrazione dell’importanza di quella collaborazione pubblico-privata già menzionata, sulla quale si fonda la cooperazione diretta tra il settore privato e le autorità statali al fine di accelerare l’acquisizione transfrontaliera di informazioni elettroniche. E poiché i principali destinatari delle richieste di informazioni sono aziende private statunitensi, è opportuno sottolineare che questa collaborazione pubblico-privata è stata abbracciata dallo strumento giuridico più rilevante al di fuori dell’UE, ossia la Convenzione del Consiglio d’Europa sulla criminalità informatica del 2001 (Convenzione di Budapest), i cui artt. 16, 17 e 18 prevedono gli ordini di conservazione rapida, di divulgazione parziale e di presentazione dei dati conservati mediante un sistema informatico, applicabili altresì alla conservazione e acquisizione dei dati di localizzazione.
Sebbene il sistema per l’esecuzione di tali ordini si basi sull’emissione e ricezione di rogatorie da parte delle autorità centrali, il Dipartimento di giustizia statunitense si è trovato sopraffatto dall’ondata di richieste di assistenza, poiché le informazioni riguardano dati di account appartenenti alle Big Tech statunitensi. Per questo motivo, ha acconsentito alla trasmissione delle richieste di conservazione direttamente alle aziende[72] affinché salvaguardino le informazioni in attesa della ricezione di una rogatoria.
Alla luce di ciò, sia la Spagna sia gli Stati Uniti hanno sottoscritto il secondo Protocollo aggiuntivo alla Convenzione di Budapest relativo al rafforzamento della cooperazione e alla divulgazione delle prove elettroniche, aperto alla firma il 12 maggio 2022, il cui preambolo pone l’accento sulla necessità di assicurare l’accesso a prove conservate elettronicamente in sistemi informatici di giurisdizioni straniere e una maggiore cooperazione tra Stati e settore privato. In questo contesto – si legge ancora nel preambolo – è indispensabile predisporre una normativa il più chiara possibile a favore dei fornitori di servizi e delle altre entità interessate riguardo alle circostanze in cui possono essere chiamate a rispondere a richieste di divulgazione di dati elettronici provenienti dall’estero.
2. L’ordine europeo di indagine
Se l’azienda destinataria della richiesta di fornitura dei dati di localizzazione ha la propria sede (o i propri dati sono ospitati) in un altro Stato dell’UE, l’ordine europeo di indagine (OEI[73]) costituisce lo strumento più efficace di cooperazione in materia penale nello spazio giudiziario europeo, concepito con l’obiettivo di istituire «un sistema globale di acquisizione delle prove nelle fattispecie aventi dimensione transfrontaliera, basato sul principio del riconoscimento reciproco» (Programma di Stoccolma), in quanto utilizzabile sia ai fini dell’esecuzione di una o più misure investigative specifiche nello Stato di esecuzione dell’OEI, sia ai fini della raccolta di fonti di prova già in possesso dell’autorità di esecuzione. Del resto, la direttiva prevale sui trattati internazionali di assistenza giudiziaria, nonché sui trattati stipulati nell’ambito del Consiglio d’Europa tra gli Stati membri, come afferma il considerando n. 35.
Non dovrebbero sussistere ostacoli nell’emissione di un OEI per ottenere i dati di localizzazione conservati da aziende situate nello Stato di esecuzione. Tutti gli Stati membri dispongono di una normativa espressa relativa alla conservazione e alla cessione dei dati di traffico e di localizzazione o, in mancanza, in materia di acquisizione o sequestro di dati in formato digitale conservati da entità pubbliche o private. Difatti, tutti gli Stati hanno ratificato la Convenzione di Budapest e dispongono di procedure analoghe all’ordine rapido di conservazione dei dati informatici (art. 16) e all’ordine di presentazione (art. 18), con la conseguenza che per l’autorità emittente non dovrebbe essere difficile specificare l’attività richiesta (in conformità con quanto previsto al comma e dell’art. 5.1 della direttiva OEI) e giustificarne l’adeguatezza, la necessità e la proporzionalità in funzione dei fatti oggetto di indagine (art. 6 § 1 della direttiva OEI).
In altri termini, difficilmente l’autorità dello Stato di esecuzione potrà ricorrere a una misura investigativa diversa sul presupposto che il geofencing non sia contemplato nel suo ordinamento, indipendentemente dal nomen iuris adottato, poiché – come si è tentato di chiarire – si tratta di dati di connettività generati dai dispositivi e raccolti sia dalle aziende fornitori di accesso a internet (ad es., i dati CSLI), sia dalle aziende che offrono servizi nell’ambito della società dell’informazione (ad es., la cronologia delle localizzazioni, talvolta indicata anche come web and app activity, WAA).
Va detto, tuttavia, che sebbene l’OEI rappresenti un passo importante nel campo dell’acquisizione transfrontaliera di prove elettroniche, esso sconta due inconvenienti che ne limitano l’operatività nel “mondo digitale”: da un lato, si tratta di uno strumento ancorato al sistema di cooperazione “tra autorità”, che non consente direttamente una collaborazione pubblico-privato; dall’altro, per la sua operatività non si considera il luogo in cui si trovano i server che forniscono, elaborano o conservano i dati elettronici richiesti, bensì quello in cui ha sede il fornitore di servizi internet proprietario o controllore del server. Da quest’ultimo punto vista, è noto che i principali fornitori di servizi online non hanno nemmeno una sede o una rappresentanza sul territorio dell’UE a cui poter indirizzare una richiesta di informazioni elettroniche[74].
Soltanto il regolamento sui servizi digitali[75], applicabile anche ai fornitori di servizi intermediari di Internet che, pur non avendo una sede nel territorio dell’UE, offrono i propri prodotti a destinatari stabiliti all’interno dell’Unione[76] (art. 2), potrebbe essere utilizzato per ottenere informazioni di localizzazione di un dispositivo utilizzato da un individuo destinatario di tali servizi intermediari, quando le informazioni siano state trattate e conservate da detti fornitori di servizi.
Gli ordini di fornire informazioni previsti dall’art. 10 consentono alle autorità giudiziarie o amministrative nazionali competenti di ordinare ai fornitori di servizi intermediari di fornire informazioni specifiche relative a uno o più destinatari individuali del servizio, a condizione che nell’ordine siano contenute informazioni chiare che permettano di identificare i soggetti di cui si domandano le informazioni (quali una o più credenziali di utenza o identificatori univoci, come ad esempio l’ID assegnato a un dispositivo elettronico); e una motivazione che illustri a quale scopo si richiede l’informazione per verificare il rispetto del diritto dell’Unione o del diritto nazionale da parte dei destinatari dei servizi intermediari, a meno che tale motivazione non possa essere fornita per ragioni relative alla prevenzione, indagine, rilevamento e perseguimento dei reati. L’ordine, inoltre, deve riguardare soltanto informazioni già raccolte per finalità legate alla prestazione del servizio (ad esempio, i servizi basati sulla localizzazione (LBS) sopra menzionati) e che siano sotto il controllo del destinatario. Tuttavia, l’ambito di applicazione del regolamento sui servizi digitali è circoscritto all’eliminazione di contenuti illeciti e alla lotta alla disinformazione, nonché all’obbligo per le piattaforme di essere più trasparenti nelle loro politiche e pubblicità. Pertanto, sembra da escludersi che l’atto possa costituire la base giuridica per la raccolta di dati di localizzazione dei dispositivi in un determinato momento e luogo al fine di contrastare qualsiasi forma di criminalità.
L’Europa, pertanto, si trova in una posizione di chiaro svantaggio rispetto agli Stati Uniti che, nel 2018, attraverso lo Stored Communications Act (SCA) e la riforma dell’Electronic Communications Privacy Act (ECPA), emendato dal CLOUD Act (Clarifying Lawful Overseas Use of Data Act), hanno compiuto un passo avanti in termini di portata extraterritoriale della giurisdizione, consentendo alle autorità di obbligare le aziende tecnologiche con sede negli Stati Uniti a consegnare i dati richiesti e conservati nei loro server, indipendentemente dal fatto che tali dati si trovino sul territorio statunitense o all’estero.
3. Il “pacchetto e-evidence”: principio di effettività e cooperazione diretta
Nell’affrontare la questione della multiterritorialità delle prove nel cyberspazio, l’UE ha compiuto un passo fondamentale con l’approvazione del c.d. “pacchetto e-evidence”, comprendente l’ordine europeo di produzione (EPOC, dall’inglese European Production Order Certificate) e l’ordine europeo di conservazione (EPOC-PR, dall’inglese European Preservation Order Certificate), in conformità con quanto previsto dal regolamento 2023/1543/UE del Parlamento Europeo e del Consiglio, del 12 luglio 2023 (applicabile a partire dal 18 agosto 2026).
Se il modello avviato dall’OEI ha dato buona prova di sé, il futuro regime europeo in materia di acquisizione transfrontaliera di informazioni elettroniche, instaurato tramite il pacchetto e-evidence[77], potrebbe essere ancora più agile e rappresentare il passo definitivo per massimizzare l’efficacia delle indagini che richiedono la cooperazione internazionale, poiché conduce alla “europeizzazione della cooperazione diretta” tra agenti statali e aziende private (per lo più statunitensi) al fine di facilitare le indagini, anche quelle qui in esame. Sono vari i motivi per i quali L’EPOC verrà a costituire uno strumento efficace per la diffusione a livello eurounitario del geofencing.
In primo luogo, i dati di localizzazione che potrebbero essere in possesso delle aziende statunitensi (o di altri Paesi terzi) costituiscono espressamente una delle categorie di «dati sul traffico» che possono essere oggetto di tali ordini EPOC e EPOC-PR (art. 3 § 11). Cosicché, la normativa e-evidence risulterebbe applicabile per ottenere l’acquisizione transfrontaliera dei dati di localizzazione trattati e conservati dai fornitori che offrono servizi di comunicazione nell’Unione europea.
In secondo luogo, i destinatari di tali ordini non sono più le autorità dello Stato di esecuzione dell’attività investigativa, ma i fornitori che offrono servizi nell’Unione e sono stabiliti in altro Stato membro o, qualora non lo siano, abbiano un rappresentante legale in quello Stato membro, indipendentemente dalla collocazione dei dati (art. 1.1).
In terzo luogo, è da ritenersi che una richiesta giudiziaria dei dati di localizzazione può facilmente integrare i requisiti previsti dall’art. 5 per l’EPOC, come ad esempio la specificazione, da parte dell’autorità emittente, della categoria delle informazioni richieste come definite all’art. 3 §§ 9-12 (art. 5 § 5 lett. d); il periodo di tempo coperto dai dati la cui produzione è richiesta (art. 5 § 5 lett. e); le ragioni per cui l’ordine europeo di produzione soddisfa le condizioni di necessità e proporzionalità stabilite al § 2 (art. 5 § 5 lett. i); oppure una descrizione sintetica del caso (art. 5 § 5 lett. j). Come già sottolineato, infatti, l’attività investigativa in questione presuppone da parte degli inquirenti la delineazione preventiva delle coordinate geografiche della zona, nonché il preciso arco temporale ritenuto rilevante ai fini dell’accertamento dei fatti. Pertanto, una richiesta debitamente motivata potrà senz’altro specificare le categorie di dati richiesti.
In quarto luogo, non si può omettere di rilevare come la richiesta di dati di localizzazione tramite EPOC non postuli un iniziale coinvolgimento dell’autorità di esecuzione, circostanza che assicura la rapidità della risposta diretta da parte del fornitore di servizi destinatario del provvedimento e riduce le chances che l’autorità di esecuzione invochi un motivo di rifiuto. Infatti, ai sensi dell’art. 8 § 2, la notifica dell’EPOC all’autorità di esecuzione non è necessaria «se, al momento dell’emissione dell’ordine, l’autorità di emissione ha fondati motivi di ritenere che: a) il reato sia stato commesso, sia in atto o sia suscettibile di essere commesso nello Stato di emissione; e b) la persona i cui dati sono richiesti risieda nello Stato di emissione». È quanto il considerando n. 51 del regolamento definisce come «legami forti e sostanziali con lo Stato di emissione» per escludere l’obbligatorietà della notifica all’autorità di esecuzione.
Il geofencing si caratterizza proprio per questo: si tratta di informazioni elettroniche localizzate in un altro Stato – o su server situati in Stati differenti –, ma riferite a fatti commessi fisicamente nello Stato emittente (rapina a una filiale bancaria, attentato terroristico o disordini pubblici, aggressione sessuale, ecc.), collegate (dati di localizzazione dei dispositivi attivi in tali luoghi) al territorio dello Stato emittente e riguardanti persone (i presunti autori e, eventualmente, le vittime) in relazione alle quali emergano legami tali da consentire di ritenere che si trovino in quel determinato Stato.
VI. CONCLUSIONI
Gli ordinamenti spagnolo e italiano sono andati incontro a un’evoluzione giuridica e giurisprudenziale piuttosto similare là dove si è trattato di fare i conti con attività investigative di sorveglianza e di monitoraggio basate sull’impiego di strumenti tecnici innovativi. Inoltre, in entrambi i Paesi la dottrina si è dimostrata particolarmente critica nei confronti di determinati orientamenti pretori, anche alla luce dei principi espressi dalla Corte di giustizia in materia di cessione dei dati di traffico conservati presso gli operatori di telefonia.
Tuttavia, la comparsa di una specifica tipologia di dati di traffico, come i dati di localizzazione, e l’emergere di numerosi servizi digitali basati sulla localizzazione dei dispositivi, non solo ha accresciuto l’interesse dei fornitori di servizi (e non delle tradizionali compagnie telefoniche) nella conservazione e utilizzazione dei dati di localizzazione, ma ha anche aperto un nuovo scenario sul piano investigativo, in cui i “giganti tecnologici” svolgono un ruolo essenziale nell’ottenimento di prove quantomai rilevanti.
Di fronte all’accresciuto potere delle aziende, a livello sovranazionale si è guardato sempre più con interesse alla collaborazione pubblico-privato, collaborazione consistente in specifici doveri di raccolta, conservazione e trasmissione di dati alle autorità law enforcement, con la previsione di specifici doveri di segnalazione di condotte illecite legate all’utilizzo dei servizi offerti. Fino ad arrivare alla mesa a punto di forme di «cooperazione diretta» delle aziende con le autorità statali.
Per assicurare l’efficacia della cooperazione penale in materia di acquisizione transfrontaliera di prove, anche l’Unione europea ha compreso che la chiave non risiedesse tanto nella collocazione delle informazioni, quanto semmai nella loro fonte: i dati, indipendentemente dal luogo in cui sono conservati o dalla giurisdizione in cui ha sede l’azienda che li gestisce, derivano da comportamenti umani posti in essere nello spazio europeo e, pertanto, devono risultare accessibili alle autorità che vi afferiscono. In altre parole, queste informazioni elettroniche generano ingenti benefici economici per le aziende di servizi digitali, che monetizzano le informazioni raccolte sul suolo europeo a prescidere dalla loro nazionalità o dalla presenza di sedi, personale o infrastrutture in Europa.
Così come i concetti di “doing business” e “directed activity” furono fondamentali nella reinterpretazione delle competenze giurisdizionali civili internazionali in materia di contrattazione elettronica[78], questa inedita prospettiva concernente il luogo di raccolta delle informazioni digitali consente di giustificare le innovazioni introdotte a livello eruounitario in materia di acquisizione transfrontaliera di prove elettroniche con il “pacchetto e-Evidence”, che va addirittura oltre il CLOUD Act americano. Quest’ultimo, infatti, riguarda esclusivamente i fornitori di servizi con sede negli Stati Uniti, mentre il pacchetto europeo si estende a qualunque fornitore di servizi operante sul mercato europeo, indipendentemente dalla sua sede principale.
L’applicabilità del regime contenuto nel “pacchetto e-Evidence” all’esecuzione dell’attività investigativa qualificabile come geofencing può costituire il passo decisivo per massimizzare la risposta dello Stato di fronte alla commissione di fatti da parte di ignoti. In tal modo, le autorità statali di qualsiasi Stato membro (comprese quelle spagnole e italiana) potranno ottenere rapidamente i dati di localizzazione e identificativi dei dispositivi presenti sulla scena di un crimine commesso entro i propri confini, anche se tali dati sono conservati e trattati da fornitori di servizi con sede presso giurisdizioni estere.
La comunicazione diretta tra le autorità dello Stato emittente e i fornitori di servizi digitali che gestiscono i dati di localizzazione è suscettibile di incrementare ancor più l’efficacia delle attività investigative oggetto di analisi.
[1] Codice ORCID nº: 0000-0001-6092-6137. Il presente lavoro costituisce uno dei risultati del periodo di studio svolto nel giugno 2024 presso l’Università di Pisa (Italia) finanziato dalla Fundación Manuel Serra Domínguez. Esso si inserisce altresì nell’ambito del Proyecto I+D+i Nacional “Prueba penal y nuevos retos en el proceso penal transnacional”. Ref. PID2023-148413NB-I00.
[2] Codice ORCID nº: 0000-0002-6132-5402. Pur essendo il lavoro frutto di una riflessione congiunta, Lorenzo Agostino ha redatto i paragrafi 2 delle sezioni I, II, III, IV, mentre Juan C. Ortiz-Pradillo gli altri. Lorenzo Agostino ha altresì curato la traduzione in italiano del contributo, che sarà pubblicato sul numero 12 (2025) della rivista dell’Asociación de Profesores de Derecho Procesal de las Universidades Españolas (APDPUE).
[3] V., per tutte, STS (Sala 2ª), 6 maggio 1993, ric. n. 2339/1991.
[4] V., su tutti, T. BENE, Il pedinamento elettronico: tecnica di investigazione e tutela dei diritti fondamentali, in Le indagini atipiche, 2 ͣ ed., a cura di A. SCALFATI, Giappichelli, Torino, 2019, p. 443.
[5] Cass., sez. II, 30 ottobre 2008, n. 44912.
[6] J.C. ORTIZ PRADILLO, Problemas Procesales de la Ciberdelincuencia, Colex, Madrid, 2013, p. 28.
[7] V. STC 70/2002 (3 aprile), la cui impostazione è stata confermata da STC 123/2002 (20 maggio).
[8] STS 610/2016 (7 luglio).
[9] Corte EDU, 24 aprile 1990, Kruslin e Huvig c. Francia.
[10] STS 906/2008 (19 dicembre).
[11] J. PÉREZ GIL, Los datos sobre localización geográfica en la investigación penal, in Protección de Datos y Proceso Penal, La Ley, Madrid, 2013, p. 314. J.C. ORTIZ PRADILLO, El impacto de la tecnología en la investigación penal y en los derechos fundamentales, in Problemas actuales de la justicia penal, Colex, Madrid, 2013, p. 339. ID., Big data, vigilancias policiales y geolocalización: nuevas dimensiones de los derechos fundamentales en el proceso penal, in Diario La Ley, 2021, n. 9955.
[12]Tra le altre, v. SSTS 141/2020 (13 maggio) e 291/2021 (7 aprile).
[13] Cass., sez. V, 27 febbraio 2002, n. 16130.
[14] Ciò significa che, per essere ammesso come prova, è sufficiente che i risultati dell’attività di pedinamento elettronico rispettino i poco stringenti parametri di cui all’art. 189 c.p.p. in tema di prova atipica: l’idoneità all’accertamento dei fatti e l’assenza di pregiudizio per la libertà morale della persona. Sul carattere generico dell’art. 189 c.p.p. che, in quanto tale, non dovrebbe consentire di introdurre nel processo elementi ottenuti mediante la compressione delle libertà fondamentali delle persone, v. C. CONTI, Accertamento del fatto e inutilizzabilità nel processo penale, Cedam, Padova, 2007, p. 164.
[15] Cass., sez. V, 7 maggio 2004, n. 24715; Cass., sez. IV, 29 gennaio 2007 n. 88; Cass., sez. IV, 1 marzo 2007, n. 887119; Cass., sez. IV, 27 novembre 2012, n. 48279; Cass., sez. I, 7 gennaio 2010, n. 9416.
[16] Cass., sez. VI, 9 marzo 2023, n. 15422. Nello stesso senso, a poco più di un anno di distanza, v. Cass., sez. II, 18 settembre 2024, n. 37395.
[17] Corte EDU, 2 settembre 2010, Uzun c. Germania.
[18] §§ 52 e 66 della sentenza.
[19] Ciò nonostante, la dottrina italiana ha sempre sottolineato l’opportunità di interpretare i precetti costituzionali (artt. 2, 14 e 15) come comprensivi di una necessaria tutela della riservatezza. Tra gli altri, v. L. LUPÁRIA, Privacy, diritti della persona e processo penale, in Riv. dir. proc., 2019, p. 1448.
[20] La dottrina maggioritaria concorda con la giurisprudenza in merito all’inopportunità di ricondurre il monitoraggio elettronico alla disciplina delle intercettazioni, data la diversità tra i due tipi di attività, in particolare per quanto riguarda l’oggetto della registrazione. In proposito, v. C. FANUELE, La localizzazione satellitare nelle investigazioni penali, Cedam, Milano, 2019, p. 21-23, anche per i relativi riferimenti bibliografici.
[21] La dottrina non ha omesso di sottolineare come, nella materia in questione, la giurisprudenza abbia sostituito il legislatore in un’inammissibile attività di creazione del diritto. Al riguardo, O. MAZZA, Conciliare l’inconciliabile: il vincolo del precedente nel sistema di stretta legalità (civil law), in Arch. pen., Supplemento al n. 1 del 2018, p. 727.
[22] L.G. VELANI, Nuove tecnologie e prova penale: il sistema di individuazione satellitare g.p.s., in Giur. it., 2003, p. 2375; D.T. IACOBACCI, Sulla necessità di riformare la disciplina delle intercettazioni prendendo le mosse dalle esitazioni applicative già note, in Giust. pen., 2011, III, p. 365 ss.; A. SERRANI, Sorveglianza satellitare GPS: un’attività investigativa ancora in cerca di garanzie, in Arch. pen., 2013, n. 3, p. 12, il quale, prendendo le mosse dalle affermazioni della Corte europea dei diritti dell’uomo circa la compressione del diritto alla vita privata e familiare determinata dalla tecnologia GPS, giunge a una duplicità di conclusioni: da un lato, l’impossibilità di negare che tale attività investigativa interferisca con i diritti fondamentali; dall’altro, la necessità che il suo utilizzo sia previsto dalla legge.
[23] Tra gli altri, v. F. IOVENE, Pedinamento satellitare e diritti fondamentali della persona, in Cass. pen., 2012, p. 3562; S. SIGNORATO, Le indagini digitali. Profili strutturali di una metamorfosi investigativa, Giappichelli, Torino, 2018, p. 600; T. BENE, Il pedinamento elettronico, cit., p. 448. Tali Autori concordano nel ritenere che il pedinamento elettronico permette di controllare, con estrema precisione e continuità, i movimenti della persona, anche in luoghi in cui il monitoraggio tradizionale non sarebbe praticabile.
[24] Su tutti, v. T. BENE, Il pedinamento elettronico, cit., p. 463, C. FANUELE, La localizzazione satellitare, cit., p. 206 ss. e G. DI PAOLO, voce Prova informatica (diritto processuale penale), in Enc. dir., Annali VI, Giuffré, Milano, 2013, p. 751. Nello stesso senso, S. SIGNORATO, Le indagini digitali, cit., p. 589, la quale ritiene che il pedinamento satellitare sia più preciso ed efficace e che la tecnologia utilizzata comporti un cambiamento non solo quantitativo, ma anche qualitativo, in quanto consente di raccogliere e registrare in modo sistematico, permanente e automatizzato una grande quantità di dati che possono essere successivamente elaborati, integrati e arricchiti con altre informazioni. Più in generale, sulla necessità di regolare i controlli occulti e continuativi come una categoria probatoria autonoma, v. F. NICOLICCHIA, I controlli occulti e continuativi come categoria probatoria. Una sistematizzazione dei nuovi mezzi di ricerca della prova tra fonti europee e ordinamenti nazionali, Cedam, Milano, 2020.
[25] Tra i vari atti, merita una menzione speciale la comunicazione della Commissione «[c]reare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informatica» (e-Europe 2002) del 26 gennaio 2001 (COM(2000) 890 final).
[26] Meglio conosciuto come il Gruppo di lavoro art. 29 o GT29 per essere stato istituito in conformità con quanto previsto dall’art. 29 della direttiva 95/46/CE.
[27] Ciò è espressamente dichiarato dal considerando n. 21 della direttiva, sebbene l’art. 1 affermi che l’obiettivo di tale armonizzazione è finalizzato all’indagine, all’individuazione e al perseguimento dei reati gravi, quali definiti dalla legislazione nazionale di ciascuno Stato membro.
[28] CGUE, 8 aprile 2014, Digital Rights Ireland y otros, C-293/12, §§ 26-28.
[29] CGUE, 6 ottobre 2020, La Quadrature du Net and Others, C-511/18, C-512/18 e C-520/18), § 117.
[30] Per tutti, v. CGUE, 2 marzo 2021, Prokuratuur, C-746/18, § 39 e 40.
[31] CGUE, 6 ottobre 2020, La Quadrature du Net and Others, cit., § 187. Nello stesso senso, CGUE, 30 gennaio 2020, Breyer v. Alemania, § 92. Nella pronuncia CGUE, 11 gennaio 2022, Ekimdzhiev y otros v. Bulgaria, § 373 (§§ 394 e 395), dove è stato inoltre sottolineato che i dati relativi alle comunicazioni possono oggi rivelare una grande quantità di informazioni personali, consentendo di tracciare un quadro intimo della persona attraverso, tra l’altro, la mappatura dei social network e il tracciamento della posizione.
[32] Così recita l’art. 588-ter j: Artículo 588 ter j, rubricato«Datos obrantes en archivos automatizados de los prestadores de servicios»:
«Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial.
Cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión».
[33] J.C. ORTIZ PRADILLO, Big data, vigilancias policiales y geolocalización, cit.
[34] In particolare, v. J.J. GONZÁLEZ LÓPEZ, Los datos de tráfico de las comunicaciones electrónicas en el proceso penal, La Ley, Madrid, 2007. Per una critica alla Ley 25/2007, si vedano i contributi di J.L. COLOMER HERNÁNDEZ, La cesión de datos de las comunicaciones electrónicas para su uso en investigaciones criminales: una problemática en ciernes, p. 77-100 e A. SANCHEZ RUBIO, La necesaria adecuación del derecho interno a la normativa europea sobre tratamiento de datos de las comunicaciones electrónicas en la investigación penal, p. 507-517, entrambi consultabili all’interno del collettaneo Adaptación del derecho procesal español a la normativa europea y a su interpretación por los tribunales,Tirant lo Blanch, Valencia, 2018. Per un’analisi approfondita di tale normativa e dell’incidenza esercitata su di essa dalla giurisprudenza europea, v. J.L. RODRÍGUEZ LÁINZ, tra i cui lavori, senza pretesa di esaustività, si annoverano: La definitiva defenestración de la Ley Española sobre conservación de datos relativos a las comunicaciones, in Diario La Ley, 2017, n. 8901; El Régimen Legal español en materia de conservación y cesión de datos para la investigación de delitos: Comentario a la sentencia del TJUE de 2 de febrero de 2018, in Diario La Ley, 2018, n. 9291; ¿El renacer de la Ley española sobre conservación de datos relativos a las comunicaciones?: (Comentario a la STJUE, Gran Sala, de 6 de octubre de 2020), in Diario La Ley, 2020, n. 9740; Sobre la licitud de regímenes legales de conservación de datos identitarios de tarjetas de telefonía prepago (a propósito de la STEDH del Caso Breyer v. Alemania), in Diario La Ley, 2021, n. 9774, 2021; La evolución de la jurisprudencia del Tribunal de Justicia de la Unión Europea en materia de conservación indiscriminada de datos de comunicaciones electrónicas en la STJUE del Caso G.D. y Comissioner an Garda Síochána, in Diario La Ley, 2022, n. 10058; e Principio de proporcionalidad y conservación indiscriminada de datos de comunicaciones electrónicas tras la STJUE del Caso G.D. y Comissioner an Garda Síochána (1), in Diario La Ley, 2023, n. 10214.
[35] In questo senso, si veda il lavoro di M. SERRANO MASIP, La conservación sistemática y preventiva de datos de tráfico y localización generados por las comunicaciones electrónicas: reacciones contrarias y posible cambio de rumbo en la Unión Europea, in AA.VV., Temas actuales en la persecución de los hechos delictivos, La Ley, Madrid, 2012, p. 437-500.
[36] Per alcune riflessioni in proposito, si veda, volendo, J.C. ORTIZ PRADILLO, Tecnología versus Proporcionalidad en la Investigación Penal: La nulidad de la ley alemana de conservación de los datos de tráfico de las comunicaciones electrónicas, in La Ley Penal, 2010, n. 75, e ID, Europa: auge y caída de las investigaciones penales basadas en la conservación de datos de comunicaciones electrónicas, in Revista General de Derecho Procesal, 2020, n. 52.
[37] Per tutte, v. CGUE, 5 aprile 2022, Garda Síochána, C-140/20, § 47.
[38] Negli stessi termini si è espressa la Corte di Strasburgo con la sentenza 15 febbraio 2024, Škoberne v. Eslovenia, § 143: «The Court would emphasize in this connection that even though the access to his data was accompanied by certain safeguards (such as judicial oversight), these safeguards, while being among the criteria that must be met (see Ekimdzhiev and Others, cited above, §§ 360-421), were not in themselves sufficient to render the retention regime compliant with Article 8. It notes by way of comparison that the CJEU similarly held in SpaceNet and Telekom Deutschland that national legislation that ensured full respect for the conditions established by its case-law interpreting the Data Retention Directive regarding access to retained data could not, by its very nature, be capable of either limiting or even remedying a serious interference resulting from the general retention of such data, the retention of and access to such data being separate interferences requiring separate justifications (see paragraph 87 above)».
[39] CGUE, 20 settembre 2022, Bundesrepublik Deutschland c. SpaceNet AG e Telekom Deutschland GmbH, C-793/19 e C-794/19.
[40] V., per tutte, Cass., sez. I, 13 maggio 2008, n. 21366 e Cass., sez. IV, 12 giugno 2018, n. 41385.
[41] Il riferimento è a Corte cost., 11 marzo 1993, n. 81, sulla quale v. S. DI FILIPPO, Dati esteriori delle comunicazioni e garanzie costituzionali, in Giur. it., 1995, p. 107; D. POTETTI, Corte Costituzionale n. 81/1993: la forza espansiva della tutela accordata dall’art. 15, co. 1, della Costituzione, in Cass. pen., 1993, p. 2746 ss.; A. CAMON, Sulla inutilizzabilità nel processo penale dei tabulati relativi al traffico telefonico degli apparecchi «cellulari» acquisiti dalla polizia senza autorizzazione dell’autorità giudiziaria”, in Cass. pen., 1996, p. 3721 ss.
[42] D.lgs. 30 maggio 2008, n. 109, recante «attuazione della direttiva 2006/24/CE riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE».
[43] La normativa italiana sui termini di conservazione dei dati rischia di confliggere con le indicazioni della Corte di giustizia dell’Unione europea, che «osta a misure legislative che prevedano, […] a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione» (CGUE, 30 aprile 2024, Procura della Repubblica presso il Tribunale di Bolzano, C-178/22, § 35, dove si fa riferimento al § 30 di CGUE, 2 marzo 2021, Prokuratuur, cit. In questo senso, come ha avuto modo di segnalare anche il Garante italiano per la protezione dei dati personali (Parere sullo schema di decreto-legge per la riforma della disciplina dell’acquisizione dei dati relativi al traffico telefonico e telematico a fini di indagine penale, 10 settembre 2021, in www.garanteprivacy.it), desta un certa preoccupazione il termine di 72 mesi previsto dalla legge 20 novembre 2017, n. 167 per la conservazione dei dati di traffico telefonico e telematico e di quelli relativi alle chiamate senza risposta. Difatti, sebbene tale termine sia previsto per le violazioni gravi di cui agli artt. 51, comma 3-quater, e 407, comma 2, lett. a, c.p.p., non si può non osservare come, ex ante, sia impossibile determinare il reato per il quale i dati potrebbero essere utili, con la conseguenza che i fornitori di servizi li conserveranno sempre per il periodo massimo. Per queste osservazioni, G. LASAGNI, Dalla riforma dei tabulati a nuovi modelli di integrazione fra diritti di difesa e tutela della privacy, in Leg. pen., 21 luglio 2022, p. 9. In proposito, si vedano altresì le considerazioni critiche, sotto il profilo del rispetto del principio di proporzionalità, di B. GALGANI, Giudizio penale, habeas data e garanzie fondamentali, in Arch. pen. (web), 2019, n. 1, p. 11.
[44] Il d.l. 24 dicembre 2003, n. 354, aveva previsto che i dati dovessero essere acquisiti con decreto motivato del giudice, anche se, poco tempo dopo, il d.l. 27 luglio 2005, n. 144 avrebbe devoluto tale potere al pubblico ministero. Per un’analisi di una siffatta evoluzione normativa, v. A. MALACARNE, G. TESSITORE, La ricostruzione della normativa in tema di data retention e l’ennesima scossa della Corte di giustizia: ancora inadeguata la disciplina interna?, in Arch. pen. (web), 2022, n. 3, p. 15 ss.
[45] G. DI PAOLO, G., voce Prova informatica, cit., p. 753. Quanto alla giurisprudenza, v., tra le altre, Cass., sez. V, 24 aprile 2018, n. 33851 e Cass., sez. III, 19 aprile 2019, n. 36380.
[46] Sul tema, v. M. GIANGRECO, Data retention, acquisizione e utilizzabilità dei tabulati telefonici e telematici. Una riflessione incrociata, in Cass. pen., 2022, p. 1672-1688.
[47] Per un esame della riforma, volta a recepire le indicazioni contenute in CGUE, 2 marzo 2021, Prokuratuur, cit., v., inter alia, E. ANDOLINA, Acquisizione dei dati esterni, a cura di P. MAGGIO, La nuova disciplina delle intercettazioni, Giappichelli, Torino, 2023, pp. 402-426; F.R. DINACCI, L’acquisizione dei tabulati telefonici tra anamnesi, diagnosi e terapia: luci europee e ombre legislative, in Proc. pen. giust., 2022, p. 301 ss.; R. FLOR, Data retention, accertamento e repressione dei reati e tutela dei diritti fondamentali dell’individuo: fiat iustitia ruat caelum (?), a cura di R. FLOR, S. MARCOLINI, Dalla data retention alle indagini ad alto contenuto tecnologico, Giapichelli, Torino 2022, pp. 107 ss.; M. LANDOLFI, Data retention tra continui sviluppi e nodi irrisolti, in Leg. pen., 7 novembre 2024; G. LASAGNI, Dalla riforma dei tabulati, cit.; A. MALACARNE, G. TESSITORE, La ricostruzione della normativa, cit., p. 20 ss.
[48] Convertito con modificazioni dalla legge 23 novembre 2021, n. 178.
[49] Cass., sez. V, 14 aprile 2023, n. 15836, sulla quale O. MURRO, L’utilizzabilità dei dati di geolocalizzazione: le risposte della giurisprudenza vs il roboante silenzio normativo, in Giur. it., 2023, p. 1678.
[50] Delitti per i quali la legge stabilisce la pena perpetua o della reclusione non inferiore, nel massimo, a tre anni, oltre ai reati di minaccia e molestia o disturbo alle persone tramite telefono, quando la minaccia, la molestia o il disturbo sono gravi. Per quanto riguarda la gravità del reato per cui si procede, occorre tener conto, criticamente, delle osservazioni della Corte di giustizia, che ha affermato la compatibilità con il diritto dell’UE della nuova disciplina italiana in materia di conservazione dei dati, a condizione che il giudice, indipendentemente dalla pena prevista per il reato, abbia la possibilità di «effettuare una valutazione individuale della questione se l’ingerenza nei diritti fondamentali determinata dalla concessione di siffatto accesso sia proporzionata, alla luce, segnatamente, della gravità del reato in discussione e dei fatti del caso di cui trattasi» (CGUE, 30 aprile 2024, Procura della Repubblica presso il Tribunale di Bolzano, cit., § 44). A proposito di tale pronuncia, v. D. ALBANESE, Dalla Corte di giustizia dell’Unione europea un’altra svolta garantista in materia di acquisizione dei tabulati telefonici, in Sist. pen., 2024, n. 5, p. 93; M. LANDOLFI, Data retention, cit., p. 13; L. PARODI, La “gravità dell’ingerenza” nel prisma della proporzionalità: nuovi equilibri in tema di data retention, in Sist. pen., 7 marzo 2025.
[51] J.C. ORTIZ PRADILLO, Desafíos legales de las diligencias de investigación tecnológica, in El Proceso Penal. Cuestiones fundamentales, Tirant lo Blanch, Valencia, 2017, p. 315.
[52] M.M. PAYERAS CAPELLÀ et al., Privacidad en servicios turísticos basados en geolocalización, in Revista de Derecho, Empresa y Sociedad (REDS), 2014, n.5, p. 78.
[53] Nel dettaglio, v. J.A. MONTORO SÁNCHEZ, Los principios rectores del tratamiento de datos de carácter personal y sus implicaciones en el proceso penal, in Revista Acta Judicial, 2022, n. 10, p. 37-73.
[54] J.L. RODRÍGUEZ LÁINZ, Cesión de datos comerciales relativos a las comunicaciones para fines de investigación criminal, in Revista Vasca de Derecho Procesal y Arbitraje, 2024, vol. I, p. 3.
[55] Risultano profetiche le perole della Corte Suprema nordamericana nella setenza Riley v. California, 573 U.S. 373 (2014), III: «modern cell phones are now such a pervasive and insistent part of daily life that the proverbial visitor from Mars might conclude they were an important feature of human anatomy».
[56] E. MILITELLO, Geolocation in Crime Detection and Prevention, in Investigating and Preventing Crime in the Digital Era. New Safeguards, New Rights, a cura di L. BACHMAIER WINTER, S. RUGGERI, Springer, Cham, 2022, p. 30.
[57] Sulla giurisprudenza statunitense relativa all’utilizzo di tale procedura investigativa, v. J.C. ORTIZ PRADILLO, «Geofencing»: vestigios digitales, transnacionalidad de la prueba y defensa de los derechos fundamentales ante una nueva diligencia tecnológica de investigación, in AA.VV., Prueba penal y derecho de defensa en la era digital: nuevos paradigmas, diretto da L. BACHMAIER WINTER, ed. Aranzadi, Cizur Menor, 2024.
[58] STS 777/2012 (17 ottobre).
[59] Secondo la Circular 1/2019 della Fiscalía General del Estado, «sobre disposiciones comunes y medidas de aseguramiento de las diligencias de investigación tecnológicas en la Ley de Enjuiciamiento Criminal», sarebbe possibile ordinare la conservazione di qualsiasi altro dato che possa essere memorizzato in un sistema accessibile o meno dall’indagato (tra i primi rientrano la sua posta elettronica e il suo account di archiviazione cloud; tra i secondi, i dati memorizzati sui social network).
[60] Come osservato da E. MILITELLO, Geolocation, cit., p. 30, «a chronology of location crowdsourced data are nowadays almost always stored by third-party providers like providers of map apps (e.g. Google Maps) or physical activity tracking (like Strava) on mobile phones».
[61] Al riguardo, si veda diffusamente lo studio di J. DELLA TORRE, A. MALACARNE, L’utilizzo dei file di log per scopi di contrasto alla criminalità: nodi problematici e possibili soluzioni, in Arch. pen. (web), 2022, n. 2.
[62] Cfr. supra, § III.
[63] Sulla diversità delle due disposizioni quanto ai soggetti destinatari, M. PITTIRUTI, Digital evidence e processo penale, Giappichelli, Torino, 2018, p. 54.
[64] In questi termini, E. ANDOLINA, L’acquisizione nel processo penale dei dati “esteriori” delle comunicazioni telefoniche e telematiche, Cedam, Milano, 2018, p. 19. Nello stesso senso, S. ATERNO, Le investigazioni informatiche e l’acquisizione della prova digitale, in Giur. merito, 2013, p. 960; M. DANIELE, La prova digitale nel processo penale, in Riv. dir. proc., 2011, p. 5; N. TRIGGIANI, Ispezioni, perquisizioni e sequestri, in G. SPANGHER, Trattato di procedura penale, vol. II, t. I, a cura di A. SCALFATI, Utet, Torino, 2009, p. 454.
[65] L. GIORDANO, L’acquisizione dei file di log dopo la conversione del decreto sui tabulati, ilPenalista, 30 maggio 2022. Secondo altri, inoltre, dato che gli articoli 121 e 132 si riferiscono ai dati relativi alle comunicazioni, il pubblico ministero potrebbe procedere all’acquisizione dei file di registro mediante la semplice emissione di un decreto di esibizione ai sensi dell’art. 256 c.p.p. (PESTELLI, G., Convertito in legge il D.L. 132/2021: le modifiche apportate (e quelle mancate) in materia di tabulati, in Quot. giur., 18 novembre 2021).
[66] J. DELLA TORRE, A. MALACARNE, L’utilizzo dei file di log, cit., p. 12 s. In particolare, gli Autori hanno cercato di interpretare il concetto di dati relativi al traffico non alla luce della definizione contenuta nell’art. 121, ma sulla base delle diverse indicazioni del regolamento 2023/1543/UE. Secondo tale atto normativo, quando «[g]li indirizzi IP come pure i numeri di accesso e le relative informazioni» sono richiesti solo a fini identificativi, non si parla di dati di traffico, ma di «dati relativi agli abbonati» (considerando n. 32); invece, quando «gli indirizzi IP, i numeri di accesso e le relative informazioni» non sono richiesti «al solo scopo di identificare l’utente nell’ambito di un’indagine penale specifica», ma «per ottenere informazioni più invasive della vita privata, come quelle sui contatti dell’utente e sul luogo in cui questo si trova», devono essere trattati «dati relativi al traffico» (considerando n. 33). Tuttavia, come sottolineano gli Autori, seguendo l’approccio del regolamento, l’art. 132 potrebbe essere applicato nel secondo scenario, ma non nel primo, che rimarrebbe senza copertura normativa, in particolare per quanto riguarda gli (indispensabili) termini di conservazione.
[67] J. DELLA TORRE, A. MALACARNE, L’utilizzo dei file di log, cit., p. 13 ss.
[68] CGUE, 2 marzo 2021, Prokuratuur, cit., §§ 36-39.
[69] V. AA.VV., Geofence Warrants and the Fourth Amendment, in Harvard Law Review, 2021, n. 134 (7), p. 2508-2529; M. RATHI, Rethinking Reverse Location Search Warrants, in The Journal of Criminal Law and Criminology, 2021, n. 111 (3), p. 805-837 sottolinea inoltre che Google ha dichiarato di aver ricevuto 982 richieste di mandati geofence nel 2018, 8.396 nel 2019 e 11.554 nel 2020.
[70] V. J.C. ORTIZ PRADILLO, «Geofencing»: vestigios digitales, cit.
[71] Per tutti, C. RODRÍGUEZ-MEDEL NIETO, C., Obtención y admisibilidad en España de la prueba penal transfronteriza: de las comisiones rogatorias a la orden europea de investigación, Thomson Reuters Aranzadi, Navarra, 2016.
[72] Per citare un esempio concreto, le richieste di conservazione dei dati – Preservation Request – rivolte a Facebook Inc. Possono essere inviate direttamente attraverso il portale Law Enforcement On Line Requests (LEORS), al quale è possibile accedere tramite il seguente URL: https://www.facebook.com/records.
[73] Regolato dalla direttiva 2014/41/UE e recepita dall’ordinamento spagnolo dalla Ley 11 giugno 2018, n. 3, che ha modificato la Ley 20 novembre 2014, n. 23 «de reconocimiento mutuo de resoluciones penales en la Unión Europea». L’ordine è stato oggetto di importanti studi dottrinali in Spagna, tra i quali si ricordano, senza pretesa di esaustività, quelli raccolti nel collettaneo Orden europea de investigación y prueba transfronteriza en la Unión Europea, diretto da M.I. GONZÁLEZ CANO, Tirant lo Blanch, Valencia, 2019 e La cooperación procesal internacional en la sociedad del conocimiento, diretto da F. BUENO DE MATA, Atelier, Barcelona, 2019.
[74] M. DE HOYOS SANCHO, La nueva regulación en la Unión Europea sobre obtención transfronteriza de información electrónica en procesos penales. Análisis y valoración del «e-evidence package», Aranzadi, 2024, p. 21.
[75] Regolamento 2022/2065/UE «relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali)».
[76]Inoltre, l’art. 13 impone a tali prestatori di designare per iscritto una persona fisica o giuridica che agisca in qualità di loro rappresentante legale in uno degli Stati membri in cui sono offerti i servizi.
[77] Sui progressi che tale normativa comporta, v. V. FRANSSEN, Cross-border Gathering of Electronic Evidence in the EU: Toward More Direct Cooperation under the e-Evidence Regulation, a cura di M. BERGSTRÖM, V. MITSILEGAS, T. QUINTEL, Research Handbook on EU Criminal Law, 2 ª ed., Edward Elgar, 2024, p. 184-212. In Spagna, v. C. CUADRADO SALINAS, La efectividad de las pruebas penales obtenidas en el marco de la futura normativa europea relativa a la obtención y conservación de pruebas electrónicas, in Revista General de Derecho Procesal, 2021, n. 55; O. FUENTES SORIANO, Prueba penal transfronteriza: la normativa «e-evidence» como complemento de la orden europea de investigación, in Hacia un Derecho Procesal Europeo: IX Memorial Manuel Serra Domínguez, Atelier, Barcelona, 2024, p. 219-260; M. DE HOYOS SANCHO, La nueva regulación, cit.; e L. GÓMEZ AMIGO, Las órdenes europeas de entrega y conservación de pruebas penales electrónicas una regulación que se aproxima, in REDE. Revista española de derecho europeo, 2019, n. 71, p. 23-55.
[78] Per tutte, v. CGUE, 7 dicembre 2010, Pammer e Hotel Alpenhof, C-585/08 e C-144/09.
