presso le Commissioni riunite Giustizia e Difesa – Camera dei Deputati
(4 marzo 2015)
Contesto e precedenti
Anche in questo decreto – come del resto nei precedenti, non solo italiani, in materia di prevenzione del terrorismo – una parte significativa delle misure di contrasto ha effetti importanti sul diritto alla protezione dei dati personali e, in particolare, sull’esercizio di questo diritto in rete.
Ciò è tanto più comprensibile in un contesto, quale quello attuale, in cui le organizzazioni terroristiche si avvalgono esse stesse, per prime, della rete (e dei social media in particolare), per fare proselitismo e acquisire informazioni utili alla loro strategia.
E tuttavia, in linea generale le norme di questo decreto, per i profili di nostra competenza, sono ispirate a un equilibrio certamente maggiore di quelle annunciate in altri Paesi o anche solo di quelle approvate in passato (da noi e all’estero), in contesti analoghi.
Per gli esempi stranieri di oggi si pensi alla proposta Cameron di indebolire la crittografia: misura che la stessa Commissione diritti umani del Consiglio d’Europa, nel suo rapporto sulla sorveglianza massiva, ha definito contraria allo scopo, in quanto finirebbe con il rendere le nostre comunicazioni, la rete e le informazioni che essa ospita, maggiormente permeabili e accessibili agli stessi terroristi.
O si pensi, tornando ai giorni immediatamente successivi all’11 settembre – anche senza riferirsi agli eccessi dei Patriot Acts- alla schedatura massiva realizzata in Germania, che indusse la Corte tedesca ad affermare che “la Costituzione esclude il perseguimento dello scopo della sicurezza assoluta a prezzo dell’annullamento della libertà”.
E sottolineò l’esigenza di tutelare anche la legittima aspettativa di riservatezza che si deve avere nelle proprie comunicazioni, in quanto la sola percezione di poter essere controllati è essa stessa perdita di libertà.
E si deve al d.l. Pisanu (successivo agli attentati di Madrid e Londra) la previsione di una disciplina derogatoria e particolarmente restrittiva in materia di data retention, certamente sbilanciata sulle esigenze di accertamento e repressione dei reati (si consentiva la conservazione dei dati di traffico telefonico e telematico, sia pur in via eccezionale, per due anni!).
Rispetto alle misure su richiamate, sicuramente quelle del d.l. 7 coniugano con maggior equilibrio libertà e sicurezza, riservatezza e prevenzione.
Ma il dibattito parlamentare potrà senza dubbio contribuire a migliorarle o integrarle, ovviamente sempre nel rispetto del vincolo di omogeneità e condivisione dei presupposti di necessità e urgenza, imposto dalla natura del potere di conversione. A tal fine, cercherò di indicare alcuni spunti di riflessione.
1. La nuova disciplina del trattamento per fini di polizia
Le modifiche al Codice contenute nell’art. 7 hanno il dichiarato fine di semplificare la disciplina del trattamento di dati personali da parte delle forze di polizia.
Attualmente la norma prevede un regime agevolato (che esime da alcuni obblighi come informativa, notificazione ecc.) per i trattamenti specificamente previsti da espressa disposizione legislativa.
Si tratta di un meccanismo il cui rigore può, in alcuni casi, aver rallentato l’esigenza di continuo adeguamento degli strumenti investigativi all’evoluzione tecnologica.
La velocità con cui la tecnica (e con esso il crimine) si evolve richiede infatti oggi, molto più di 11 anni fa (quando fu emanato il Codice), altrettanta celerità nel mutamento delle tecniche investigative.
Celerità che in certa misura può essere frenata dall’esigenza della specifica previsione legislativa del trattamento, con tutte le difficoltà e la complessità connesse al procedimento legislativo.
Consapevoli di quest’esigenza, riteniamo comprensibile la proposta di includere, tra le fonti suscettibili di legittimare la raccolta di dati, oltre alla legge ordinaria, anche le norme regolamentari e lo specifico decreto del Ministro dell’interno ricognitivo dei vari trattamenti svolti per fini di prevenzione e repressione dei reati.
In questo modo, insomma, qualora si renda necessario il ricorso a uno specifico strumento investigativo (che, beninteso, sia strettamente funzionale ad attività istituzionali della polizia normativamente previste), non ancora contemplato dalla legge, il Governo o lo stesso Ministro potranno, nell’esercizio della loro responsabilità prima di tutto politica, disciplinarne le caratteristiche.
In assenza di tale espressa disciplina, infatti, il trattamento che non sia già previsto dalla legge non potrà essere effettuato.
Del resto, dovendo queste nuove fonti riflettere specifiche attribuzioni della polizia legislativamente previste, l’ambito di discrezionalità entro cui potranno muoversi sarà indubbiamente limitato, come è del resto proprio di questo settore, in cui l’azione dell’autorità di pubblica sicurezza, proprio perché idonea a incidere su diritti fondamentali, è rigidamente disciplinata dalla legge.
Sicuramente condivisibile è la previsione tassativa delle attività riconducibili alle finalità di polizia (prevenzione, oltre che repressione dei reati, pubblica sicurezza in senso stretto, attività di polizia giudiziaria), che cristallizza la prassi consolidata, conferendo tuttavia alla disciplina maggiore certezza.
Questo nuovo regime previsto per la polizia – che in certa misura lo avvicina, pur con maggiori vincoli, a quello sancito per fini di giustizia – è peraltro compatibile con il nuovo quadro giuridico europeo, che progressivamente assimila questi due settori (ivi inclusa la polizia di prevenzione).
E del resto, la scelta di estendere a fonti diverse dalla legge la legittimazione a prevedere trattamenti per fini di polizia si conforma a quanto previsto dall’art. 54, che consente agli organi di p.s. di acquisire dati, per finalità di polizia, anche sulla base di previsioni contenute in atti regolamentari.
Ovviamente, sarà necessario garantire l’equilibrio complessivo di questo nuovo sistema.
L’Autorità contribuirà, in questa direzione, in particolare mediante il necessario parere sui regolamenti e sul decreto istitutivi di questi nuovi, eventuali, trattamenti.
Va infatti chiarito – anche rispetto ai dubbi del dossier del Servizio Studi – che su queste fonti sarà necessaria l’acquisizione del parere del Garante, ancorché non specificamente prevista dal d.l., perché in tal senso depone l’art. 154, c.4, del Codice.
Attraverso il vaglio sul rispetto dei principi di proporzionalità, pertinenza, necessità e delle misure di sicurezza (che comunque si applicano anche a questi trattamenti), infatti, l’Autorità potrà garantire non soltanto un congruo bilanciamento tra privacy ed esigenze investigative, ma soprattutto, suggerendo più elevati livelli di protezione dei dati e dei sistemi, contribuirà a promuovere la sicurezza non solo dei dati di ciascun cittadino ma anche, con essa, la sicurezza pubblica.
Per garantire che riservatezza ed esigenze investigative siano coniugate al punto di equilibrio più alto ritengo necessario qualificare il parere del Garante su queste nuove fonti di disciplina come conforme e non meramente obbligatorio.
In tal senso, del resto, il legislatore si è mosso ogniqualvolta si è ravvisata l’esigenza di una più forte garanzia di equilibrio tra istanze diverse: si pensi al parere conforme del Garante sui regolamenti di disciplina dei trattamenti di dati sensibili e giudiziari da parte dei soggetti pubblici ovvero all’intesa (come tale vincolante) sul regolamento istitutivo della banca dati del DNA per fini di accertamento dei reati, in ordine ai tempi di conservazione dei profili genetici.
2. Proselitismo on-line, riciclaggio e intercettazioni preventive
Un’utile occasione di confronto potrà aversi nell’attuazione della disciplina, di cui all’art. 2, c. 3, dell’inibizione, su ordine dell’autorità giudiziaria, dell’accesso a siti filo-terroristi (inclusi cioè nella black-list stilata dalla polizia postale), secondo modalità e soluzioni tecniche individuate dal d.M. del 2007 sulla pedopornografia.
La formulazione della norma lascia spazio a qualche dubbio sulla possibilità che possano applicarsi i sistemi di filtraggio già previsti per la pedopornografia e che quindi il riferimento a quel decreto sia un rinvio mobile: non al suo contenuto ma alla fonte, come anche indurrebbe a pensare la Relazione.
Se questa fosse l’interpretazione corretta, allora, il coinvolgimento del Garante (ai sensi del citato art. 154, c.4 e in analogia con il dM 2007) nella definizione, con decreto, del nuovo sistema di filtraggio potrebbe essere necessario tanto sotto il profilo della protezione dei dati personali, quanto sotto quello della sicurezza complessiva della rete.
Nonostante non sia espressamente prevista, sembrerebbe però necessaria una disciplina di attuazione anche della diversa previsione di cui all’art. 2, c.4, della rimozione selettiva dei contenuti illeciti pubblicati su siti utilizzati da terroristi, che sembrerebbe includere – con una significativa innovazione rispetto al codice del commercio elettronico – anche i social network (luoghi nei quali del resto si svolge prevalentemente l’azione di proselitismo e apologia).
E necessiterà, verosimilmente, di qualche precisazione applicativa anche la previsione del sequestro preventivo con cui dovrebbe realizzarsi l’inibizione dell’accesso al dominio, in caso di inadempimento, da parte del provider, all’ordine di rimozione del contenuto.
L’equilibrio di questa disciplina – che va salvaguardato anche ai fini dell’art. 21 Cost.-si fonda essenzialmente su due aspetti.
In primo luogo, sulla limitazione della rimozione ai soli contenuti accessibili al pubblico, il che esclude chiaramente ogni forma di monitoraggio delle comunicazioni private che, se attuato in forme diverse da quelle previste per le intercettazioni telematiche, sarebbe certamente incompatibile con il diritto alla segretezza delle comunicazioni di cui all’art. 15 Cost.
In secondo luogo, sul sistema di segnalazione e rimozione (notice and take down: il solo compatibile con la disciplina europea), che esclude cioè ogni preventiva censura, da parte del provider, dei contenuti diffusi in rete, ammettendone la rimozione selettiva solo su specifico ordine dell’a.g.
Il Garante potrà anche in questo caso fornire un contributo, in fase di attuazione, al fine di garantire che queste misure di contrasto dell’apologia e del proselitismo sul web rispettino sempre il diritto alla riservatezza degli utenti della rete.
Si potrebbe forse riflettere sulla congruità del termine di 48 ore per l’adempimento, da parte del provider, all’ordine di rimozione contenuti illeciti pubblicati, pena l’inibizione, mediante sequestro preventivo, dell’accesso al dominio.
Si tratta infatti di misura che, ove applicata frequentemente per il mancato adempimerto nel termine, potrebbe ovviamente avere un impatto ben maggiore e forse anche non del tutto proporzionato rispetto all’esigenza di rimozione selettiva dei contenuti illeciti.
Un impatto, sia pur minore, sulla protezione dati ha anche la modifica della disciplina antiriciclaggio di cui al c. 5 dell’art. 2, che legittima il Comitato di analisi strategica presso il Ministero dell’interno (cd. CASA) a ricevere dall’UIF (Unità di informazione finanziaria) della Banca d’Italia gli esiti delle analisi e degli studi effettuati su specifiche anomalie da cui emergono fenomeni di riciclaggio o di finanziamento del terrorismo.
L’esigenza, in questo caso, attiene essenzialmente alla sicurezza di questi flussi informativi, che devono essere adeguatamente protetti oltretutto per non compromettere eventuali indagini in corso.
Come pure rafforza le esigenze di sicurezza la previsione, all’art. 4, del raddoppio da 5 a 10 giorni del termine per il deposito, presso la Procura generale di Roma, del verbale sintetico delle intercettazioni preventive, ove siano necessarie traduzioni (come spesso accade per il terrorismo internazionale).
Come abbiamo sottolineato nel provvedimento del luglio 2013 sulle misure di sicurezza nell’ambito dell’attività di intercettazione giudiziale e preventiva, una più forte protezione dei dati personali così acquisiti migliora anche le garanzie di segretezza delle indagini, evitando fughe di notizie dannose per il loro buon esito.