Dati di localizzazione telefonica: la (mancanza di) tutela nei confronti dello Stato

Studio Legale De Vita - Dati di localizzazione telefonica: la (mancanza di) tutela nei confronti dello Stato

Dati di localizzazione telefonica: la (mancanza di) tutela nei confronti dello Stato

L’accesso ai dati di localizzazione di un telefono diventa un tema sempre più delicato, soprattutto a causa del crescente legame dei dispositivi mobili con la vita dei singoli individui. Ottenere questo genere di informazioni comporta la possibilità di avere un quadro, anche molto preciso, della vita di un individuo, con la possibilità di ricostruirne le giornate attraverso gli spostamenti e, tramite questi ultimi, le azioni compiute.

La Corte Suprema degli Stati Uniti ha affermato – con una metafora di grande efficacia – che se un marziano approdasse oggi sul nostro pianeta, sarebbe probabilmente indotto a pensare che il telefono sia parte integrante del nostro corpo, con un’importanza quasi pari ad un organo di senso. È evidente, dunque, che il tema dei limiti all’accesso da parte di uno Stato ai dati contenuti in un dispositivo che, per la maggiore parte delle persone, racchiude più informazioni di una abitazione, non può essere trattato con leggerezza e deve essere oggetto di un attento dibattito.

È alla luce di queste considerazioni che si può leggere, in particolare, l’intervento della Corte Suprema degli Stati Uniti nel 2018, nel caso Carpenter v. US [1], da alcuni definito un vero punto di riferimento sulla privacy nell’era digitale [2]. Ed infatti, le pronunce più rilevanti a cui la giurisprudenza statunitense fino a quel momento aveva fatto riferimento erano troppo risalenti nel tempo ed avrebbero potuto condurre ad una valutazione ingiusta (e non al passo con i tempi) nel bilanciamento tra il diritto alla privacy e le esigenze di sicurezza dello Stato. Tuttavia, per comprendere appieno tale rischio è necessario analizzare la delicata decisione affidata al Giudice supremo statunitense.

 

Dalla “third party doctrine” alla “reasonable expectation of privacy

 

Timothy Carpenter era un rapinatore, protagonista di diversi colpi presso alcuni esercizi commerciali tra cui, ironia della sorte, anche dei negozi di telefonia mobile. Il ricorrente era stato indicato da uno dei propri complici, il quale aveva fornito all’FBI alcuni numeri di telefono, tra cui proprio il suo.

Sulla base di queste informazioni, gli inquirenti avevano ottenuto da un giudice federale due ordini (court order) nei confronti dei gestori di telefonia dei numeri individuati, affinché consegnassero i dati riguardanti il posizionamento dei cellulari rispetto alle celle telefoniche, le c.d. cell site location information (CSLI). In totale, venivano acquisiti 12.898 punti di localizzazione, riguardanti 127 giorni di utilizzo del telefono, che tracciavano in maniera piuttosto indicativa, per quanto approssimativa, gli spostamenti di Carpenter in quel periodo. Grazie all’analisi di tali dati, era stata individuata la corrispondenza tra la posizione dei cellulari e i luoghi dove si erano svolte le rapine, portando ad una condanna ad oltre 100 anni di carcere per il ricorrente.

Le istanze di Carpenter contro l’utilizzabilità dei dati CSLI erano state rigettate sia in primo grado, sia dalla Corte d’Appello del Sesto Circuito. Quest’ultima, in particolare, seguendo un orientamento allora consolidato, la c.d. “third party doctrine”, aveva ritenuto che l’imputato non avesse alcuna legittima aspettativa di privacy rispetto a tali dati, poiché aveva accettato che le informazioni sulla sua posizione venissero condivise con i gestori di servizi telefonici.

Il contrasto tra la posizione di Carpenter e quella degli inquirenti si basava sull’applicabilità del Quarto Emendamento alla Costituzione statunitense, posto a tutela della vita privata dei cittadini. Infatti, l’acquisizione era stata effettuata sulla base dello Stored Communications Act, che consente l’acquisizione di dati telefonici nei casi in cui vi sia ragionevole motivo per ritenere che essi siano rilevanti per un’investigazione in corso. Tali presupposti legali rendevano particolarmente semplice ottenere i dati richiesti.

Secondo il Quarto Emendamento, invece, “Il diritto dei cittadini ad essere assicurati nelle loro persone, case, carte ed effetti contro perquisizioni e sequestri non ragionevoli, non potrà essere violato, e non potranno essere emessi mandati se non su motivi probabili, sostenuti da giuramenti o solenni affermazioni e con una dettagliata descrizione del luogo da perquisire e delle persone o cose da prendere in custodia” [3].

Di conseguenza, qualora fosse stato applicato, per ottenere le CSLI sarebbe stato necessario un mandato, motivato dalla c.d. “probable cause”. Ciò significa che l’autorità richiedente avrebbe dovuto prestare giuramento, riportando che il mandato fosse necessario in conseguenza di una motivata probabilità che fosse stato commesso un determinato reato da una determinata persona [4]. In altre parole, sarebbe stata necessaria una procedura più complessa, e al tempo stesso più garantista per l’imputato, rispetto a quella concretamente applicata.

Ciò che la Corte Suprema era chiamata a decidere, dunque, era se la posizione di Carpenter, sulla base del Quarto Emendamento, fosse meritevole di tutela in ragione di una reasonable expectation to privacy o se, al contrario, fosse ancora attuale ed applicabile la third party doctrine. Quest’ultima si fonda sull’assunto per cui una persona non avrebbe diritto ad alcuna aspettativa di riservatezza rispetto ad informazioni condivise volontariamente con terzi e a cui, dunque, lo Stato dovrebbe poter accedere liberamente.

Con una maggioranza esigua (5 voti contro 4), la Corte ha parzialmente mutato il proprio orientamento e ha scelto di non avvalersi della c.d. third party doctrine nel caso di specie. Nonostante si sia trattato, come evidenziato nella opinion of the Court dal Chief Justice Roberts, di una “narrow decision”, le motivazioni della maggioranza, da lui redatte, sono state condivise da tutti i giudici che la componevano. Al contrario, divise sono state le motivazioni contrarie, addirittura con quattro diverse dissenting opinion.

La Corte ha rivolto particolare attenzione alla possibilità di ricostruire, tramite le CSLI, i movimenti di una persona che siano anche molto risalenti nel tempo e per un periodo molto lungo [5]. Infatti, queste rendono possibile una sorveglianza molto penetrante sulla circolazione dei possessori di telefoni, che sarebbe altrimenti inimmaginabile.

Da questo punto di vista, il ragionamento della Corte Suprema ricorda quanto già espresso, con affine spirito garantista, con la sentenza Riley v. California del 2014[6]. In tale occasione si trattava di un caso di legittimità di una perquisizione informatica effettuata su un telefono. A tal proposito era stato evidenziato il potenziale espresso dalle memorie dei telefoni, che consentono di ricostruire in modo completo la vita privata del proprietario, con operazioni prima impensabili. Una persona, infatti, potrebbe al più portare con sé un memo cartaceo che gli ricordi di telefonare a qualcuno, mentre con un telefono ha la possibilità di portare con sé l’intero registro delle proprie conversazioni.

I casi riguardanti i telefoni hanno portato la Corte Suprema a riconsiderare le proprie posizioni sull’aspettativa di privacy dei cittadini, dato che la tecnologia mobile e la sensoristica stanno lentamente consumando la possibilità di sottrarsi ad una osservazione costante della propria vita [7]. Infatti, non è un caso che il Chief Justice Roberts scelga di utilizzare l’espressione “feature of human anatomy” quando si riferisce al telefono e al suo attuale grado di utilizzo da parte degli utenti.

La pronuncia Carpenter sta già portando un importante cambiamento nell’evoluzione del diritto alla privacy statunitense. Infatti, pochi mesi fa la Corte del Northern District of Illinois, in US v. Diggs [8], riguardante un altro caso di rapine, ha ritenuto di applicare il Quarto Emendamento, sulla scia della pronuncia della Corte Suprema, anche per l’acquisizione dei dati GPS di un’automobile.

Sebbene i dati di localizzazione raccolti tramite GPS siano attualmente molto più precisi rispetto a quelli ottenuti dalle celle telefoniche, tale differenza, valida oggi, potrebbe essere azzerata in un futuro prossimo dagli sviluppi tecnologici. Basti pensare alla rivoluzione in termini di copertura che avverrà con l’installazione della rete 5G, che implica l’utilizzo di maggiori punti di trasmissione del segnale e che potrebbe aumentare enormemente la capacità di localizzazione dei dispositivi [9].

Tuttavia, per quanto importante, quello compiuto è un passo ancora troppo timido rispetto alla third party doctrine. Infatti, anziché considerarla del tutto superata, la Corte ha scelto di non applicarla al solo caso in questione, data la “natura unica dei registri di localizzazione dei telefoni”. In altre parole, dando per assunto che ogni persona abbia sempre con sé il telefono, come se fosse una parte del proprio corpo, non si ritiene sufficiente la cessione dei dati a terzi per giustificare la restrizione delle garanzie offerte dal Quarto Emendamento.

Di conseguenza, rimane un tema di dibattito aperto che coinvolge tutti i cittadini e non si limita a coloro che hanno qualcosa da temere nei confronti delle autorità giudiziarie. Un accesso facile da parte degli Stati Uniti ai dati degli utenti, ceduti volontariamente a terze parti, creerebbe un effetto pericoloso, non giustificato dall’applicazione di una teoria che ormai è obsoleta, considerato il periodo storico in cui è stata elaborata.

In passato, con le pronunce United States v. Miller del 1976 [10] e Smith v. Maryland del 1979 [11], in casi riguardanti dati finanziari detenuti dalle banche e le liste dei numeri telefonici composti da una persona, la Corte Suprema aveva ritenuto che la consapevolezza di comunicare tali dati non poteva giustificare alcuna legittima aspettativa di privacy in capo ai titolari.

Tale approccio poteva essere giustificato all’epoca, ma lo è molto meno in un contesto nel quale quasi ogni dato che descrive la vita delle persone viene comunicato a terze parti. Acquisti, spostamenti, comunicazioni: tutte informazioni che transitano nei database delle aziende che forniscono i servizi o i prodotti comunemente utilizzati. Volgendo il pensiero allo sviluppo della domotica e delle smart homes, anche ciò che avviene all’interno delle abitazioni verrebbe esposto a garanzie sempre minori, mettendo a repentaglio un principio costituzionalmente protetto in numerosi ordinamenti, quale è l’inviolabilità del domicilio [12].

Alle preoccupazioni derivanti da un potenziale controllo penetrante dello Stato nei confronti dei privati cittadini si contrappongono argomentazioni di diverso genere. Da un lato vi è chi sostiene la c.d. “nothing to hide doctrine”, secondo cui l’esposizione dei propri dati sarebbe un problema solo per i “criminali” e non per tutti gli altri. Vi è chi ha estremizzato questo concetto – come Noah Dyer, candidato indipendente nel 2018 alle elezioni per la carica di governatore dell’Arizona – sostenendo che un mondo senza segreti sarebbe migliore, poiché eliminerebbe la differenza di informazioni tra le persone [13]. Si potrebbe però obiettare che le disuguaglianze informative, oggi, non derivano solo dall’accesso ai dati, ma anche dalla capacità di elaborarli [14].

Tuttavia, questo è anche in parte l’approccio seguito da alcuni giudici. Ad esempio, nella sua dissenting opinion per il caso Carpenter, il giudice Kennedy ha sottolineato che l’orientamento maggioritario della Corte causerà una confusione dannosa da cui conseguirà un indebolimento di importanti attività di polizia. Il telefono, in tal modo, potrebbe diventare un mezzo protetto, in grado di agevolare persone pericolose nella commissione di gravi crimini. A ciò si aggiunge, inoltre, che i dati delle celle sono adatti e, per tale motivo, molto utilizzati per arrestare serial killer, stupratori, rapinatori ed altri pericolosi criminali, sottintendendo che per ciò solo non dovrebbe essere sottratto tale strumento agli investigatori.

La dottrina del nothing to hide è stata fortemente criticata [15], poiché non considera, anzitutto, che proteggere la privacy non ha nulla a che vedere con tentativi di occultamento, bensì con la legittima protezione di informazioni determinate. La garanzia di un diritto non discende da una necessità o da un motivo specifico, quale può essere avere qualcosa da nascondere in un determinato momento. Se così fosse, dovremmo mettere in dubbio il diritto di manifestare liberamente il pensiero nei casi in cui non abbiamo nulla da dire.

Inoltre, il libero accesso ai dati dei privati può portare a numerose controindicazioni, anche per chi non abbia nulla da nascondere. Uno studio del MIT, ad esempio, ha dimostrato quanto fosse semplice ricostruire l’identità di una persona, solo accedendo ai dati inerenti alle date e alla localizzazione di poche transazioni elettroniche [16]. Con limitati riferimenti a soli tre acquisti, esiste il 94% di possibilità di risalire ai dati della carta di credito e all’identità della persona che li ha effettuati. L’attenzione alla tutela della privacy, dunque, anche al di fuori del contesto giudiziario, va ben oltre la necessità di nascondere qualcosa.

 

Unione europea: garanzie per la data retention

 

Senza dubbio, l’evoluzione del case law statunitense potrebbe avere degli effetti sul dibattito costante, in tema di dottrine sulla privacy, che anima la nostra sponda dell’Atlantico. Tuttavia, nonostante l’evoluzione in materia, avvenuta con il c.d. Pacchetto Protezione Dati [17], non si può dire che le garanzie previste dall’ordinamento europeo si distinguano per spirito garantista rispetto a quanto visto nel caso degli Stati Uniti.

Attualmente, infatti, la conservazione dei dati gestiti dai fornitori di comunicazioni elettroniche, tra cui i dati necessari per localizzare i telefoni, è disciplinata dalla direttiva 2002/58/CE [18] (come modificata dalle direttive 2006/24/CE [19] e 2009/136/CE [20]). In particolare, la disciplina prevista da quest’ultima ha visto l’intervento della Corte di Giustizia dell’Unione europea, causato dall’assenza della previsione di standard minimi di garanzia, che giustificassero la conservazione dei dati allo scopo di perseguire e reprimere reati [21].

Infatti, il 21 dicembre 2016, con la sentenza sui casi “Tele2 Sverige” e “Watson” [22] (originati rispettivamente in Svezia e Regno Unito), la Corte ha invalidato la direttiva 2006/24/CE (modificativa della direttiva 2002/58/CE), sostenendo che fosse necessaria un’individuazione, anche giudiziaria, degli standard minimi di garanzia, per poter ritenere la conservazione dei dati telefonici conforme alla Carta dei Diritti Fondamentali dell’Unione europea.

Sul punto, ha ritenuto che la deroga posta dall’art. 15 della Direttiva 2002/58/CE – che consente limitazioni alla protezione di dati particolari in determinati casi, tra cui l’accertamento e la prevenzione dei reati [23] – non fosse sufficiente a giustificare una “normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione”, né che “disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell’ambito della lotta alla criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell’Unione”.

In Italia, allo stesso modo, è stata necessaria una pronuncia giudiziaria che chiarisse i confini e la legittimità dell’acquisizione dei dati delle celle telefoniche a fini probatori e l’eventuale conformità al diritto e alla giurisprudenza dell’Unione europea.

La conservazione dei dati di traffico telefonico è disciplinata nel nostro ordinamento dall’art. 132 del c.d. Codice Privacy [24], che la consente per finalità di accertamento e repressione dei reati per un massimo di ventiquattro mesi. Entro tale termine, è possibile l’acquisizione di tali dati con decreto motivato del Pubblico Ministero [25].

Dopo aver letto la sentenza della CGUE, ed in particolare il passaggio relativo al controllo preventivo da parte di un giudice o di un’autorità amministrativa, si potrebbe dubitare della conformità della procedura prevista dall’ordinamento italiano, nella quale l’acquisizione è effettuata dal Pubblico Ministero. Tuttavia, la Corte di Cassazione è intervenuta, anche in tempi recenti, per chiarire tale legittimo interrogativo [26].

Secondo l’accorta ricostruzione del Giudice di legittimità, la traduzione italiana della sentenza originale non sarebbe accurata, poiché non tiene conto del significato con cui il termine “jurisdiction” viene utilizzato in francese, intendendo la magistratura nel suo complesso e non solo i giudici. Di conseguenza, la sentenza della CGUE fa riferimento ad una autorità giudiziaria, quale è il Pubblico Ministero italiano. La garanzia di tutela nei confronti dell’interessato, secondo la Cassazione, deriva dall’indipendenza istituzionale che caratterizza tale figura nel nostro ordinamento.

È certo che la Cassazione abbia momentaneamente fugato i dubbi che avevano portato alcuni ad evocare una disapplicazione dell’art. 132 del Codice privacy, in attesa di un possibile giudizio di costituzionalità o di un rinvio pregiudiziale alla Corte di Giustizia per verificarne la compatibilità con la Carta dei Diritti fondamentali dell’Unione europea [27].

Nonostante in Italia ciò non sia ancora avvenuto, lo stesso non può dirsi per quanto riguarda altri Paesi membri, le cui Corti hanno scelto di avvalersi del rinvio pregiudiziale alla Corte di Giustizia per ottenere un vaglio di compatibilità della legislazione in materia di data retention con la normativa europea, come nei casi a cui si è accennato, riguardanti Svezia e Regno Unito. In quest’ultimo caso, in particolare, la normativa esaminata [28] prevedeva una conservazione a fini investigativi dei dati di traffico fino ad un anno, senza che vi fossero particolari limiti o garanzie rispetto alle richieste di acquisizione delle autorità governative [29].

In tempi più recenti, a settembre del 2019, anche il Bundesverwaltungsgericht, il Tribunale amministrativo federale della Germania, ha scelto di avvalersi del rinvio pregiudiziale alla Corte di Giustizia in un caso originato da un ricorso di una compagnia telefonica e di un Internet provider nei confronti della normativa in materia di data retention, che li obbliga a conservare i dati di traffico e di localizzazione rispettivamente per dieci e quattro settimane [30]. Nonostante sia prevista l’acquisizione dei dati con il controllo di un’autorità giudiziaria, diverse Corti nazionali hanno ritenuto di non applicare la normativa in questione, sollevando nel tempo numerosi dubbi di conformità con la direttiva 2002/58/CE e con gli articoli 7 e 8 della Carta dei Diritti fondamentali, che tutelano il diritto alla libertà e alla segretezza e il rispetto della vita privata e familiare.

L’interpretazione della Corte di Giustizia in questo caso potrebbe avere effetti anche rispetto alla valutazione di conformità della disciplina prevista dal nostro ordinamento ed eventualmente portare ad un nuovo e diverso orientamento della Cassazione.

 

L’evoluzione tecnologica e la difficoltà di aggiornamento degli ordinamenti

 

La contestazione che spesso viene mossa alle pronunce in materia di dati riguarda la lentezza e il rischio di rapida obsolescenza dei principi espressi. Anche nel caso della sentenza Carpenter, si è assistito ad osservazioni che hanno criticato la majority opinion della Corte Suprema, poiché avrebbe potuto fare più di un semplice passo avanti rispetto al novero dei dati garantiti e protetti dal Quarto Emendamento [31].

Infatti, le legislazioni, per poter rispondere alle esigenze dell’era digitale, dovrebbero evolversi più rapidamente, tenendo conto delle questioni che possano sorgere da nuove possibilità offerte dalla tecnologia. In precedenza, ad esempio, si è accennato al cambiamento delle reti in seguito all’introduzione del 5G, che cambierà anche la precisione dei dati di localizzazione telefonica, smentendo e rendendo obsoleta l’osservazione del Governo statunitense nel caso Carpenter, che ha sostenuto le proprie argomentazioni ricordando come le CSLI fossero molto meno precise, ad esempio, dei dati di un dispositivo GPS su un veicolo (riferendosi al caso United States v. Jones[32]).

Sul punto, merita un accenno quanto scritto dal Chief Justice Roberts, il quale ha osservato che, in realtà, i dati delle celle telefoniche sollevano problemi di riservatezza anche maggiori rispetto a quelli di un GPS su un veicolo. Infatti, secondo l’assunto per cui sarebbero diventati quasi una “feature of human anatomy”, i telefoni rimangono costantemente al fianco delle persone, comportando un potenziale controllo pervasivo e altrimenti difficilmente realizzabile [33].

Quando il Giudice supremo è stato investito della questione, il 95% degli americani possedeva un qualsiasi genere di telefono e di questi il 77% erano smartphone [34]. Milioni di dispositivi che inviano dati potenzialmente in grado di realizzare forme di sorveglianza incompatibili con un ordinamento democratico.

Le critiche che si possono muovere ai giudici chiamati a pronunciarsi su simili questioni, negli Stati Uniti come in Europa, sono legittime, ma si deve tenere conto della ben più urgente necessità di intervento sul diritto positivo, che consentirebbe un adeguamento più rapido degli ordinamenti alle necessità di tutela non più soddisfatte da discipline o decisioni nate in contesti molto differenti e risalenti nel tempo (come nel caso di United States v. Miller e Smith v. Maryland).

Sarebbe un errore credere che pronunce come Carpenter negli Stati Uniti o Tele2 Sverige in Europa possano rappresentare un punto di arrivo nel dibattito sulla tutela della privacy. Al contrario, tali interventi hanno il merito di alimentare il confronto e di alzare il livello dell’attenzione sulla tutela di diritti che contribuiscono a definire uno Stato democratico. Secondo alcuni, infatti, una mancanza di garanzie come quella censurata dalla Corte Suprema, probabilmente, avrebbe fatto inorridire i Fondatori, che scrissero il Quarto Emendamento tenendo a mente le perquisizioni arbitrarie condotte dagli inglesi nei loro confronti [35].

Mentre avanziamo velocemente verso scenari futuri degni dei romanzi di fantascienza del Novecento, tramite innovazioni tecnologiche nel campo delle radiofrequenze a cui contribuiscono anche le agenzie spaziali [36], non possiamo consentire che un passo tecnologico verso il futuro venga ottenuto al prezzo di un arretramento nella tutela dei diritti fondamentali.

 

Prof. Avv. Roberto De Vita

Dr. Marco Della Bruna

 

 

Riferimenti

 

Immagine di Raniero Botti © 2013

[1] https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf

[2] A. Liptak, “In Ruling on Cellphone Location Data, Supreme Court Makes Statement on Digital Privacy”, The New York Times, 22 giugno 2018.

[3] http://www.dircost.unito.it/cs/docs/stati%20uniti%201787.htm.

[4] https://www.law.cornell.edu/wex/search_warrant.

[5] La stessa Corte ricorda che negli Stati Uniti l’unico limite alla conservazione di tali dati viene posto dalle policy aziendali che individuano, nella maggior parte dei casi, un tempo massimo di cinque anni.

[6] https://www.supremecourt.gov/opinions/13pdf/13-132_8l9c.pdf

[7] C. Savage, “Between the Line of the Cellphone Privacy ruling”, The New York Times, 25 giugno 2014.

[8] https://caselaw.findlaw.com/us-7th-circuit/1679032.html.

[9] A. Hakkarainen, J. Werner, M. Costa, K. Leppanen, M. Valkama, “High-Efficiency Device Localization in 5G Ultra-Dense Networks: Prospects and Enabling Technologies”, Department of Electronics and Communications Engineering, Tampere University of Technology, Finland, Huawei Technologies Oy (Finland) Co., Ltd, Finland R&D Center, http://www.tut.fi/5G/VTC15/TUT_5G-POS_VTC15.pdf

[10] https://supreme.justia.com/cases/federal/us/307/174/.

[11] https://supreme.justia.com/cases/federal/us/442/735/.

[12] D. Solove, “10 Reasons Why the Fourth Amendment Third Party Doctrine Should Be Overruled in Carpenter v. US”, 28 novembre 2017, https://teachprivacy.com/carpenter-v-us-10-reasons-fourth-amendment-third-party-doctrine-overruled/.

[13] C. Friedersdorf, “This Man Has Nothing to Hide – Not Even His Email Password. If Noah Dyer has his way, everyone else will be stripped of any rights to privacy too”, The Atlantic, 26 agosto 2014.

[14] Per un approfondimento sul tema cfr. R. De Vita, M. Della Bruna, “Il valore dei dati tra privatizzazione e interesse pubblico”, Report – Osservatorio Cybersecurity Eurispes, 4 giugno 2020.

[15] Daniel J. Solove, Nothing to hide: the false tradeoff between privacy and security, Yale University Press, 2011, pp. 21 ss.

[16] L. Hardesty, “Privacy challenges. Analysis: It’s surprisingly easy to identify individuals from credit-card metadata”, MIT News Office, 29 gennaio 2015.

[17] Composto dal Regolamento (UE) 2016/679 (GDPR) e dalla Direttiva (UE) 2016/680.

[18] Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).

[19] Direttiva 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.

[20] Direttiva 2009/136/CE del Parlamento Europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

[21] All’art. 1 della direttiva 2006/24/CE, infatti, veniva individuato come oggetto “l’obiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, relativi alla conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale”.

[22] Sentenza della Corte (Grande Sezione) del 21 dicembre 2016 nelle cause riunite C-203/15 e C-698/15, http://curia.europa.eu/juris/document/document.jsf?docid=186492&doclang=IT.

[23] Qualora si tratti di “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”.

[24] D. lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”.

[25] Che può essere emesso anche su istanza dell’indagato, della persona offesa o delle altre parti private.

[26] Cfr. Cassazione penale, Sez. III, 23 agosto 2019, n. 36380.

[27] R. Flor, “Data retention ed art. 132 cod. privacy: vexata quaestio (?)”, Diritto Penale Contemporaneo, 29 marzo 2017.

[28] Data Retention and Investigatory Powers Act, 2014, http://www.legislation.gov.uk/ukpga/2014/27/contents/enacted.

[29] https://dpglaw.co.uk/eu-court-justice-declares-indiscriminate-retention-publics-data-unlawful/.

[30] C. Götz, “Federal Administrative Court Refers German Data Retention Law to European Court of Justice”, eucrim.eu, 12 gennaio 2020.

[31] K. M. Guidry, “Carpenter v. United States: a step further in privacy protection, but not far enough”, Southern University Law Review, 13 marzo 2019.

[32] La pronuncia riguardava un caso in cui la polizia aveva posizionato un dispositivo GPS su un’auto, senza avvalersi di un mandato: https://www.supremecourt.gov/opinions/11pdf/10-1259.pdf.

[33] Viene anche ricordato che tre quarti dei possessori di telefoni dichiarano di non allontanarsi mai a più di un metro e mezzo dal dispositivo e che il 12% afferma di utilizzarlo anche sotto la doccia.

[34] Pew Research Center, “Mobile Fact Sheet”, 12 giugno 2019.

[35] A. Davidson Sorkin, “In Carpenter, the Supreme Court Rules, Narrowly, for Privacy”, The New Yorker, 22 giugno 2018.

[36] ESA, “Esa leads drive into our 5G positioning future”, 1 ottobre 2019.