Author: Alessio Vergnano
Committee: Cybersecurity Strategic Committee
Date: 04/04/2025
Introduzione
La seguente ricerca 1 si propone di analizzare quale importanza sia stata data alla tutela dei dati personali all’interno del Regolamento EU 2017/1939, istitutivo della Procura europea, focalizzandosi, nella seconda parte, anche sulle ultime sentenze della Corte di Giustizia che, anche non trovando coinvolta EPPO, possono rispecchiare la non secondarietà della tutela alla privacy.
Il trattamento dei dati e il Regolamento EU 2017/1939.
La Procura europea, come definito nel Regolamento istitutivo, attribuisce grande importanza alla raccolta e al trattamento dei dati personali durante le indagini, disciplinando il trattamento dei dati personali sulla base di principi fondamentali quali liceità, minimizzazione, riservatezza e limitazione della conservazione 2.
Al fine di effettuare le indagini, i Procuratori europei delegati possono richiedere misure investigative quali l’accesso a dati informatici, bancari e relativi al traffico, nei casi di reati gravi punibili con pene superiori a quattro anni di reclusione, purché vi siano ragioni valide per ritenere che possano fornire prove utili e soltanto laddove non vi siano alternative meno invasive 3.
La gestione dei fascicoli dell’EPPO è facilitata da un sistema automatico 4 che ottimizza le indagini e le azioni penali, soprattutto nei casi transfrontalieri. Questo sistema garantisce un accesso sicuro alle informazioni per il Procuratore capo europeo, i suoi sostituti e i Procuratori delegati. Gli altri Procuratori possono richiedere l’accesso ai fascicoli, solo previa autorizzazione del Procuratore responsabile del caso, con possibilità di ricorso alla camera permanente in caso di rifiuto 5.
L’EPPO è tenuta a verificare periodicamente la necessità di conservare i dati personali operativi almeno ogni tre anni, con un limite massimo di cinque anni dalla decisione definitiva di assoluzione o fino all’esecuzione della pena in caso di condanna 6.
Inoltre, le modalità di trattamento dei dati personali curano con attenzione la categoria di appartenenza del titolare dei dati. In particolare si distinguono sospettati, condannati, vittime, testimoni e altre parti coinvolte 7. Ulteriormente, nel trasmettere dati personali a istituzioni dell’UE, l’EPPO verifica sempre la competenza del destinatario e la necessità della trasmissione 8.
Per garantire la sicurezza dei dati personali trattati automaticamente, sono adottate misure specifiche, tra cui: controllo degli accessi, protezione dei supporti da modifiche non autorizzate, tracciabilità delle operazioni, verifica delle trasmissioni e protezione durante i trasferimenti. L’obiettivo è quello di assicurare l’affidabilità, l’integrità e la sicurezza dei dati operativi.
Tali richiami normativi dimostrano l’attenzione che anche il Regolamento istitutivo della Procura europea presta al tema della tutela della riservatezza di ciascun consociato e del resto non può che essere così, trattandosi di un diritto fondamentale enunciato espressamente anche all’interno dell’art. 8 della Carta di Nizza.
Una volta chiarito tale presupposto indefettibile occorre analizzare le piú recenti pronunce della Corte di Giustizia in materia di diritto alla privacy, le quali, sebbene non riguardino direttamente la Procura europea, offrono certamente rilevanti considerazioni circa il modo in cui tale diritto deve essere garantito e tutelato, nonché i principi che devono presiedere qualunque trattamento dei dati personali che avviene nel territorio dell’Unione, ivi compresi quelli ad opera di EPPO nel corso delle indagini di sua competenza.
Le pronunce della Corte di Giustizia dell’Unione Europea nel bilanciamento tra indagini e privacy.
Il bilanciamento è operazione fondamentale quando si parla di privacy e per dimostrare ciò è sufficiente rivolgere lo sguardo alla più recente giurisprudenza della CGUE in materia, che sarà analizzata in questo paragrafo. La domanda preliminare che ci vogliamo porre è dove risiede questo bilanciamento tra diritto alla privacy e l’esigenza di perseguire reati anche in territorio transfrontaliero.
La prima sentenza che analizzeremo è M.N. (EncroChat) (C-670/22) 9.
Il caso nasce da un’indagine penale transfrontaliera inizialmente condotta in Francia, indagando varie persone sospettate di aver commesso reati di traffico internazionale di sostanze stupefacenti utilizzando telefoni cellulari criptati, dotati del sistema EncroChat.
Questi telefoni cellulari sono stati infiltrati con un “trojan” e quindi intercettati, su autorizzazione dell’autorità francese competente.
In materia di diritto alla tutela dei dati personali, attraverso l’impiego di un software speciale e un hardware modificato, la CGUE ha espressamente sancito che, l’articolo 6, paragrafo 1, della Direttiva 2014/41 “non osta a che un pubblico ministero possa emettere un ordine europeo di indagine inteso ad ottenere la trasmissione di prove già in possesso dalle autorità competenti dello Stato di esecuzione”. Ciò soltanto qualora tali comunicazioni siano state acquisite attraverso intercettazioni effettuate dalle autorità competenti nel territorio dello Stato di emissione e soprattutto, nel pieno rispetto delle condizioni eventualmente previste dal diritto nazionale per la trasmissione di prove nei casi puramente interni a detto Stato.
Contestualmente, la Corte ha altresì precisato che, una misura investigativa connessa all’infiltrazione in dispositivi terminali, finalizzata ad estrarre dati relativi al traffico, all’ubicazione e alle comunicazioni di un servizio di comunicazione via Internet, rappresenti, ai sensi dell’art. 31 della medesima Direttiva, “un’intercettazione di telecomunicazioni”. Di conseguenza essa è soggetta a specifiche procedure di notifica. Più precisamente, l’autorità che dispone tale intercettazione è tenuta a notificarlo all’ente competente designato dallo Stato membro, ove si trova la persona sottoposta a intercettazione. Nell’eventualità in cui, lo Stato che esegue l’intercettazione non sia in grado di identificare l’autorità destinataria della notifica, quest’ultima può essere trasmessa a qualsiasi altra autorità dello Stato membro ritenuta idonea a tal fine.
È questa certamente, una pronuncia di particolare importanza per l’EPPO, in quanto i Procuratori Delegati Europei, ai sensi dell’articolo 30, paragrafo 1, lettera E, hanno il potere di ordinare o richiedere, tra l’altro, l’intercettazione delle comunicazioni, nonché di assegnare tale misura investigativa a un Procuratore Delegato Europeo di un altro Stato membro partecipante, in conformità agli articoli 31 e 32 della Direttiva. Inoltre, nel caso in esame, si segnala la necessità di un intervento legislativo nazionale, ormai non più procrastinabile, finalizzato a stabilire limiti chiari e precisi per lo svolgimento di tali operazioni, affinché le esigenze investigative siano equamente bilanciate con il diritto fondamentale alla privacy.
Nel medesimo giorno in cui la Corte ha deciso il sopra menzionato Caso EncroChat, la stessa, con sentenza C-1788/22 relativa ad un caso di competenza della Procura della Repubblica presso il Tribunale di Bolzano, ha chiarito che l’articolo 15, paragrafo 1, della Direttiva 2002/58/CE 10 – così come modificato dalla Direttiva 2009/136/CE 11 – non preclude in toto agli Stati membri di adottare disposizioni nazionali che permettono alle autorità investigative di accedere ai dati relativi al traffico e alla localizzazione nel corso delle indagini penali. Tuttavia, tale accesso può avvenire legittimamente soltanto al ricorrere di determinate condizioni. Segnatamente, tali dati devono essere realmente necessari per l’accertamento del fatto di reato punibile con una pena detentiva massima non inferiore a tre anni di reclusione e devono altresì sussistere sufficienti indizi di reato. In ogni caso però, la Corte si premura di affermare che, le autorità giudiziarie nazionali devono sempre avere la facoltà di poter negare l’accesso a tali dati, laddove alla luce del contesto socio-giuridico dello Stato membro interessato il reato in questione risulti di lieve entità.
E ancora, con la sentenza C-470/21 (La Quadrature du Net) 12 la CGUE si è occupata della questione relativa all’accesso ai dati personali associati agli indirizzi IP in mancanza del rilascio di un’autorizzazione preventiva da parte di un giudice o un’autorità indipendente. Il quesito sottoposto al vaglio della Corte di Giustizia inerisce l’interpretazione della normativa nazionale, che legittima l’autorità pubblica competente ad accedere ai dati conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico. Poiché i dati relativi all’identità civile corrispondenti a indirizzi IP raccolti dai gestori delle piattaforme, vengono spesso impiegati per identificare i rispettivi titolari, occorre necessariamente individuare quali siano le garanzie da rispettare. A tal proposito, la Corte ha sancito una serie di principi fondamentali e che trovano applicazione generalizzata in tutti i casi relativi a questa materia. Innanzitutto, i dati devono essere conservati in maniera tale da impedire di trarre conclusioni dettagliate sulla vita privata dei titolari. In secondo luogo, gli operatori delle autorità nazionali autorizzati ad accedere ai dati lo possono fare soltanto conformemente ai canoni di proporzionalità e di necessità. Conseguentemente gli stessi non possono accedere a dati non rilevanti ai fini dell’accertamento della fattispecie di reato, nonché della responsabilità penale dei relativi autori. Inoltre, ad essi è precluso tracciare percorsi di navigazione dei relativi titolari, utilizzare gli indirizzi IP degli stessi ovvero divulgare informazioni sul contenuto delle attività online dagli stessi svolte, se non al solo fine di adottare le misure più opportune per contrastare le condotte illecite poste in essere. Ulteriormente, la Corte ha precisato che, nei casi di reiterazione di violazioni, sia possibile raccogliere dati soltanto attraverso controlli mirati, i quali non possono essere interamente automatizzati. Da ultimo, la Corte si premura di affermare che occorre garantire in ogni tempo l’integrità dei sistemi di raccolta e di conservazione dei dati, attraverso l’istituzione di un organismo indipendente, in grado di offrire garanzie di terzietà rispetto all’autorità pubblica chiamata a svolgere le indagini.
Le sentenze appena esaminate denunciano una serie di principi di portata generale strettamente legati alla tutela dei diritti fondamentali dell’Unione. Proprio per questa ragione, tali principi non possono certamente essere ignorati dalla Procura europea, la quale, pur operando nell’ambito del Regolamento istitutivo, deve necessariamente tenerne conto.
Invero, il diritto alla privacy e alle garanzie procedurali delineate dalla giurisprudenza dalla giurisprudenza europea rappresentano un aspetto imprescindibile per assicurare la legittimità delle indagini condotte dall’EPPO. La natura transfrontaliera delle sue attività, infatti, esige che tali principi siano applicati in maniera particolarmente meticolosa, poiché un utilizzo improprio dei dati personali potrebbe non solo compromettere i diritti fondamentali delle persone coinvolte, ma anche minare la fiducia nella capacità delle istituzioni europee di garantire un giusto equilibrio tra sicurezza e libertà.
In conclusione, la valorizzazione di tali orientamenti giurisprudenziali costituisce una vera e propria occasione, anche per la Procura europea di garantire un’azione investigativa conforme ai più alti standard di tutela dei diritti fondamentali.
1 nata dall’intervento della Professoressa Ubertazzi, Coordinatrice del Centro di Eccellenza STEPPO Jean Monnet, European Union Centre of Excellence, al Convegno Bicocca Privacy Day 2025, 28/1/2025, Università degli Studi Milano Bicocca, organizzato da Red OPEN, Spin off dell’Università Milano Bicocca, https://www.unimib.it/eventi/bicocca-privacy-day-2025
2 art. 47, Reg. UE 2017/1939
3 art. 30, co.1, lett. C, Reg. EU 2017/1939
4 art. 44, Reg. UE 2017/1939
5 Art. 46, Reg UE 2017/1939
6 art. 50, Reg. UE 2017/1939
7 art. 51, Reg. UE 2017/1939
8 art. 54, Reg. UE 2017/1939
9 CGUE, C-670/22,, M.N. (EncroChat) in https://curia.europa.eu/juris/document/document.jsf?text=&docid=287441&pageIndex=0&doclang=it&mode=req&dir=&occ=first&part=1&cid=16187373#1
10 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2022, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
11 Direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica alla Direttiva 2002/58/CE.
12 CGUE, C-470/2021, in https://curia.europa.eu/juris/document/document.jsf?docid=285361&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=IT&cid=16178573