Author: Aleksandra Lombardo
Committee: Interviews Committee
Date: 18/12/2025
1.1.Introduzione; 1.2 Perché la protezione dei dati è centrale per l’attività di EPPO; 1.3 Gli strumenti di garanzia previsti dal Regolamento EPPO; 1.4 La sentenza C-281/22 della Corte di Giustizia: un caso chiave; 1.5 Cosa emerge dalle interviste ai Procuratori europei delegati; 1.6 Conclusione: EPPO come laboratorio europeo di equilibrio tra indagini e diritti
1.1 Introduzione
Nel panorama del diritto europeo, la nascita della Procura europea rappresenta una delle innovazioni più significative degli ultimi anni. Attiva dal 2021, EPPO è stata istituita per indagare e perseguire le frodi ai danni del bilancio dell’Unione europea. Ma esiste un aspetto meno noto e particolarmente interessante: la sua connessione con la protezione dei dati personali.
In un’epoca in cui i reati superano sempre più facilmente i confini nazionali e i flussi di dati diventano inevitabilmente transfrontalieri, garantire indagini efficaci senza sacrificare la tutela dei diritti fondamentali è una sfida complessa.
Su questo equilibrio fragile – e sul modo in cui EPPO cerca di mantenerlo – si concentra la mia ricerca di tesi dal titolo: “Procura europea e protezione dei dati personali nell’attività investigativa: sfide ed opportunità di armonizzazione nel contesto delle frodi transnazionali”.
Oltre all’analisi normativa, lo studio si arricchisce del confronto diretto con Procuratori europei delegati e con esperti del settore, come il Colonnello Marco Menegazzo, già Presidente del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.
1.2 Perché la protezione dei dati è centrale per l’attività di EPPO
La Procura europea nasce con un obiettivo chiaro: costruire un’attività investigativa unitaria e coordinata a livello sovranazionale. Tuttavia, ciò che sorprende è quanto il suo Regolamento istitutivo (Reg. UE 2017/1939) ricordi la centralità della protezione dei dati personali: ben 43 articoli su 120 sono dedicati alla disciplina del trattamento dei dati.
Questo non è un dettaglio. Significa che, nel modello europeo, non esiste un’attività investigativa legittima senza una tutela effettiva dei dati personali coinvolti.
EPPO si colloca infatti nel percorso che ha portato l’Unione a dotarsi di una cornice normativa sempre più solida in materia di data protection:
- il GDPR (Reg. 2016/679), che stabilisce i principi generali del trattamento dei dati;
- la Direttiva (UE) 2016/680 (LED), dedicata specificamente al trattamento dei dati da parte delle autorità competenti in materia penale.
Il Regolamento EPPO richiama in modo integrale questi due testi, rendendoli parte integrante dell’operatività quotidiana dei Procuratori europei delegati.
Ad esempio, i dati raccolti durante le indagini sono conservati in un archivio autonomo di EPPO: prima di poter essere trattati o utilizzati, devono rispettare principi come minimizzazione, liceità, proporzionalità, esattezza, limitazione della conservazione.
Il risultato è una vera interdipendenza tra attività investigativa e protezione dei dati.
1.3 Gli strumenti di garanzia previsti dal Regolamento EPPO
Per garantire che i trattamenti effettuati siano legittimi e non ledano il diritto alla protezione dei dati personali, il Regolamento EPPO mette in campo strumenti a garanzia.
Da un lato, il controllo del Garante europeo della protezione dei dati (EDPS), che, non essendo lasciato alle singole autorità nazionali, riesce a garantire un’uniformità a livello interpretativo e rafforza l’uniformità delle garanzie. L’EDPS svolge diversi compiti, tra cui di vigilanza sui trattamenti effettuati da EPPO; di intervento nei casi più delicati; e di consultazione quando un trattamento comporta rischi elevati (come nel caso del sequestro di dispositivi elettronici).
Altro strumento è il Data Protection Impact Assessment (DPIA), ossia una valutazione d’impatto obbligatoria nei casi di attività investigative che possono presentare rischi significativi alla protezione dei dati personali. Difatti, prima ancora di agire, EPPO deve verificare la necessità e proporzionalità della misura, l’impatto sui diritti degli interessati ed i rischi e possibili mitigazioni.
È uno strumento che favorisce responsabilizzazione e armonizzazione, imponendo standard comuni per tutti i procuratori europei, a prescindere dal loro Stato membro.
1.4 La sentenza C-281/22 della Corte di Giustizia: un caso chiave
La Corte di giustizia dell’Unione europea, con la sentenza C-281/22, ha chiarito alcuni aspetti fondamentali sull’attività investigativa transnazionale di EPPO.
Il caso nasce da una richiesta di cooperazione tra un PED tedesco e uno austriaco per eseguire perquisizioni e sequestri. Due i nodi interpretativi: La necessità di una doppia autorizzazione giudiziaria da parte dei due PED coinvolti nell’indagine transnazionale e quali garanzie devono essere applicate quando la misura incide sui dati personali.
La Corte ha risposto con due principi innovativi:
Anzitutto interpretando la disciplina del Regolamento EPPO, art. 31, individuando una ripartizione delle responsabilità, per cui il PED incaricato dell’indagine (Germania) avrebbe dovuto valutare necessità e proporzionalità della misura, mentre al PED dello Stato di esecuzione (Austria) sarebbe spettata la verifica della corretta attuazione delle misure, secondo il proprio diritto.
Questo evita duplicazioni, velocizza le indagini e riduce la circolazione di grandi quantità di dati sensibili tra Stati.
Sul secondo seguito, la Corte risponde chiaramente con la previsione di un controllo giurisdizionale preventivo, per cui, nel caso di una misura che possa incidere su diritti fondamentali (come nel caso del sequestro di documenti), il PED incaricato dell’indagine è soggetto ad un’ulteriore responsabilità: dover garantire un controllo giudiziario preventivo sulla necessità e proporzionalità della misura.
La Corte si allinea così alla logica del Regolamento EPPO, che chiede costantemente un bilanciamento tra efficienza investigativa e tutela dei dati personali.
1.5 Cosa emerge dalle interviste ai Procuratori europei delegati
Grazie al supporto del Centro d’eccellenza STEPPO, per tramite del Comitato Interviste ho potuto intervistare diversi Procuratori europei delegati, tra cui i dott. Stefano Castellani, Gaetano Ruta e Francesco Testa.
Dalle loro testimonianze emergono diversi elementi chiave. In primo luogo un’esplicita dichiarazione di come EPPO funziona in quanto ufficio unico. La consultazione costante tra PED permette di superare divergenze normative nazionali e garantisce coerenza nelle indagini, anche in tema di data protection.
Ulteriore prospettiva presentata è stata rispetto alla protezione dei dati, come un punto di forza, ma anche una sfida. I PED riconoscono che EPPO offre strumenti avanzati di tutela, ma segnalano criticità operative: criteri di accesso non sempre chiari, incertezze nella conservazione dei dati, necessità di maggiore guidance interpretativa.
Tutto ciò premesso, è bene ricordare come EPPO sia un’istituzione giovane. Molte criticità non derivano da difetti strutturali, ma dal fatto che EPPO è ancora in fase di consolidamento.
Si attendono ulteriori chiarimenti dalla giurisprudenza e dall’EDPS, che contribuiranno a rafforzare l’armonizzazione.
1.6 Conclusione: EPPO come laboratorio europeo di equilibrio tra indagini e diritti
EPPO rappresenta una svolta nel modo di concepire l’azione penale a livello europeo.
È un’istituzione che non solo combatte le frodi transnazionali, ma contribuisce anche allo sviluppo di un modello armonizzato di tutela dei dati personali nelle attività investigative.
La sua esperienza dimostra che non esiste una scelta tra efficienza investigativa e protezione dei dati: le due dimensioni possono coesistere e rafforzarsi reciprocamente.
EPPO oggi è un laboratorio in continua evoluzione, destinato a diventare un punto di riferimento per le future trasformazioni del diritto penale europeo.