Neppure un anno or sono, il 30 aprile 2019, nella Segnalazione al Parlamento e al Governo sulla disciplina delle intercettazioni mediante captatore informatico, il Garante privacy scriveva che recenti avvenimenti, descritti anche dagli organi di informazione, hanno infatti dimostrato i rischi suscettibili di derivare dal ricorso, a fini investigativi, da parte delle società incaricate, a determinati software le cui peculiari caratteristiche meriterebbero, a nostro avviso, una disciplina specifica. Ci si riferisce, in particolare, a programmi informatici connessi ad app, non direttamente inoculati, quindi, nel solo dispositivo dell’indagato, ma posti su piattaforme come Google play store accessibili a tutti. Ove rese disponibili sul mercato, anche solo per errore in assenza dei filtri necessari a limitarne l’acquisizione da parte dei terzi - come parrebbe avvenuto nei casi noti alle cronache - queste app-spia rischierebbero di trasformarsi in pericolosi strumenti di sorveglianza massiva.
Il riferimento del Garante era alla nota vicenda Exodus, oggetto di plurime indagini giornalistiche, nonché penali già sfociate in pronunce di legittimità. L’Autorità riteneva, in particolare, estremamente pericoloso l’utilizzo di sistemi cloud per l’archiviazione, addirittura in Stati extraeuropei, dei dati captati. La delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale veniva ritenuta, infatti, un evidente vulnus non soltanto per la tutela dei diritti degli interessati, ma anche per la stessa efficacia e segretezza dell’azione investigativa. Ci si poteva attendere che, dopo questo autorevole monito, i destinatari, Parlamento e al Governo, si rendessero conto dei rischi insiti nell’impiego di programmi informatici connessi ad app posti su piattaforme come Google play store accessibili a tutti. Purtroppo, a neanche un anno di distanza, la questione si è proposta, in termini pressoché identici, a seguito dell’emergenza COVID-19. L’Unione Camere Penali Italiane, intervenendo in merito alla “smaterializzazione del processo penale” – cosiddetto processo penale a distanza da remoto di fatto introdotto con il Decreto-Legge numero 18/2020 – è tornata su quelle delicate materie già oggetto dell’attenzione del Garante, con una lettera a questi indirizzata, datata 14 aprile 2020. A seguito dell’emergenza epidemiologica Covid-19, nel settore penale è stata introdotta con d.l. numero 11/2020 la partecipazione a distanza per qualsiasi processo penale avente ad oggetto le persone private della libertà, per qualsiasi tipo di reato. Tale modalità di partecipazione non avviene attraverso gli strumenti di partecipazione da remoto già esistenti, ma attraverso due programmi commerciali di una società estera, individuati dalla Direzione generale dei sistemi informativi e automatizzati DGSIA del Ministero della Giustizia, in ossequio alla delega prevista dall’articolo 83 del suddetto Decreto-Legge. La DSGIA ha individuato, con provvedimento del 10.03.20, riproposto in data 20.03.20, i programmi commerciali Skype for Business e Teams, della società Microsoft Corporation, quali piattaforme per lo svolgimento del processo penale da remoto. Piattaforme vengono già utilizzate regolarmente da circa un mese, e ad oggi, secondo l’Unione Camere Penali Italiane, non è dato comprendere se l’utilizzo di tali piattaforme consenta di rispettare le garanzie minime di sicurezza, riservatezza e protezione dei dati personali richieste dalla normativa nazionale e sovranazionale. Allo stato, infatti, rimarca l’Unione Camere Penali Italiane, non è dato sapere se un fornitore di servizi commerciali è in grado di garantire il rispetto degli stringenti principi, regole tecniche e normative vigenti, dal Codice dell’Amministrazione Digitale Cad d.lgs. numero 82/2005 , al GDPR, sino alla Police Directive di cui al d.lgs. numero 51/2018, e se è compatibile con la suddetta normativa l’attività di una società statunitense soggetta al Cloud Act emanato dal Presidente degli U.S.A., che consente la discovery dei dati contenuti nei suoi server, anche se localizzati al di fuori del territorio U.S.A., su semplice richiesta dell’autorità governativa. Nel documento si evidenzia ancora che la legge di conversione del suddetto d.l. numero 18/2020, al momento approvata dal Senato della Repubblica, intende ampliare ulteriormente le ipotesi di processo penale da remoto, estendendole persino agli atti di indagine e alle camere di consiglio segrete , nel corso delle quali i giudici possono costituire la camera di consiglio da remoto, collegandosi ad una stanza virtuale ognuno da un suo terminale. Senza considerare, infine, che il collegamento da remoto per lo svolgimento delle udienze, degli atti di indagine e delle camere di consiglio avviene nella rete internet pubblica, e non nella R.U.G. Rete Unica Giustizia , quindi i dati delle connessioni sono facilmente intercettabili. Come si può agevolmente constatare le questioni poste dall’Unione Camere Penali Italiane echeggiano, per altro amplificandolo a dismisura, il precedente monito del Garante in tema di intercettazioni telefoniche a mezzo di captatore informatico. L’appello dell’Unione ha avuto in immediato seguito da parte del Garante in data 17 aprile 2020 questi ha inoltrato una lettera al Ministro della Giustizia, Alfonso Bonafede, avente ad oggetto il processo penale da remoto. Il Garante ha ritenuto i temi posti alla sua attenzione sicuramente rilevantissimi e degni, pur nella condizione emergenziale che stiamo vivendo, della massima attenzione, al fine di coniugare esigenze di giustizia, tutela della salute e protezione dati. Si è inoltre rammaricato del fatto che questa Autorità non è stata investita di alcuna richiesta di parere sulle norme emanate in merito, con decretazione d’urgenza, né sulle determinazioni della DGSIA in ordine alla scelta della piattaforma e dell’applicativo da indicare, ai fini della celebrazione da remoto del processo penale. I tempi contratti nei quali tali opzioni sono maturate hanno, verosimilmente, indotto ad omettere un passaggio – ritengo di evidenziare – tutt’altro che formale e che ha, invece, consentito sinora di realizzare un confronto sempre utile al fine di massimizzare la tutela dei vari beni giuridici in gioco, tra i quali appunto anche il diritto alla protezione dei dati personali. Il d.lgs. numero 51 del 2018, infatti, nel disporre la piena applicabilità della disciplina di protezione dati, anche ai trattamenti di dati svolti nell’esercizio della funzione giurisdizionale – pur con tutte le modulazioni ivi previste anche rispetto ai poteri del Garante, ex articolo 37, comma 6 – ha sancito un principio rilevantissimo sul piano delle garanzie e dell’effettività dei diritti individuali. È bene che questo spirito riformatore e le potenzialità proprie di questa scelta legislativa non siano frustrati nella prassi della gestione ordinaria e che, pur in un contesto difficile quale quello che viviamo, non venga meno quella leale cooperazione istituzionale rivelatasi, senza eccezioni, estremamente proficua per tutti gli interessi giuridici in gioco. Quindi non solo stati ignorati i precedenti moniti dell’Authority, ma è stato anche abbandonato il modello di opportuna e necessaria consultazione della stessa. Se non ci fosse il timore di “scomodare” ingiustamente un grande pensatore italiano, Giovambattista Vico, verrebbe da pensare ai suoi “corsi e ricorsi storici”. Eppure vale la pena ricordare proprio Vico il suo pensiero non va interpretato, come comunemente si ritiene, che la storia si ripeta. Significa, piuttosto, che l'uomo è sempre uguale a se stesso, pur nel cambiamento delle situazioni e dei comportamenti storici. Ciò che si presenta di nuovo nella storia è solo paragonabile per analogia a ciò che si è già manifestato. Proprio ciò che pare essere avvenuto nel caso del processo da remoto a neppure un anno dal primo monito del Garante circa la delocalizzazione dei server in territori non soggetti alla giurisdizione nazionale, in tema di captatore informatico, il problema si riproposto in modo identico su più ampia scale riguardando addirittura l’intera celebrazione del processo penale. Non può sfuggire che pressoché coeve, e del medesimo tenore, sono le domande poste, presso un autorevole sito di diritto dell’informatica, www.agendadigitale.eu, da Enrico Pelino e Fulvio Sarzana, App coronavirus, 10 domande urgenti al Governo italiano. Il Governo ha infatti deciso che sarà Immuni l’app per il contact tracing coronavirus. Ma, secondo gli Autori, troppi punti sono oscuri e necessitano chiarimento. Alcune delle domande possono essere riproposte integralmente in questa sede Il Governo può chiarire quali tipologie di dati personali esattamente saranno trattate e per quanto tempo? Quali sono le finalità del trattamento? È stata applicata minimizzazione dei dati trattati rispetto alle finalità, come richiesto, a garanzia degli interessati, dall’articolo 5 GDPR? L’app integrerà l’architettura bluetooth alla quale stanno lavorando Google LLC e Apple Inc.? In quest’ultimo caso, saranno chiarite la modalità di integrazione e gli eventuali flussi informativi? La rilevanza di tali domande appare di tutta evidenza sol ove si pensi che il Dipartimento della Protezione Civile, nota del 16 marzo 2020, avente ad oggetto Emergenza COVID-19, Tutela dei dati personali, ha raccomandato ai Dipartimenti di Prevenzione delle Aziende Sanitarie Locali di volere assicurare la trasmissione dei dati personali concernenti l’emergenza COVID-19 «a tutti i soggetti legittimati e, in particolare, alle Prefetture-UTG, alle Forze di Polizia, ai Vigili del Fuoco, nonché, anche al fine di assicurare i servizi di assistenza alla popolazione, ai Comuni». Dunque le domande poste da Enrico Pelino e Fulvio Sarzana possono essere così ampliate i dati afferenti ad Immuni saranno anche utilizzati per finalità di accertamento e repressione dei reati connessi al COVID-19? Coloro che prestano il consenso ed aderiscono ad Immuni saranno informati del possibile rilievo penale della loro adesione a tale app? In che modo le Forze di Polizia possono accedere a tali dati? Le questioni che pone la app Immuni ha costretto il commissario Domenico Arcuri, nel corso della conferenza stampa del 21 aprile 2020, a rassicurare che i dati anagrafici e sanitari dei cittadini dovranno essere conservati su una «infrastruttura pubblica e italiana». Tuttavia, proprio l’espressa pregressa non induce a favorevoli previsioni. Purtroppo il diritto penale del COVID-19 pare destinato a perpetuare per lungo tempo quelli che possono essere definiti “i frutti avvelenati” di scelte normative non sempre avvedute. Clicca qui per consultare la sezione dedicata al decreto Coronavirus