Lo smartphone sotto sequestro, una nuova legge cambia le regole dell'accesso ai dati personali

Smartphone sotto sequestro. Il Parlamento italiano, tramite la legge di delegazione europea, ha delegato il Governo ad adeguare le norme sul trattamento dei dati nelle indagini penali. Sei mesi di tempo, una sentenza europea come punto di partenza, e milioni di italiani che non sanno ancora cosa cambia per loro. 

Il telefono che sa tutto di noi, e che adesso è al centro di una riforma storica

Pensiamo a cosa c’è nel nostro smartphone in questo momento. I messaggi col medico. Le foto delle vacanze. Le ricerche su Google degli ultimi mesi. La posizione GPS nelle ultime settimane. Gli acquisti online. Le conversazioni private. I dati dell’app per la salute.

Ora pensiamo che tutto questo, in determinate circostanze, può essere acquisito dalla polizia giudiziaria nell’ambito di un’indagine penale. Non necessariamente perché siamo indagati per un reato grave. Non necessariamente perché esiste un mandato del giudice. Semplicemente perché la normativa italiana vigente, fino ad oggi, non ha mai disciplinato in modo sufficientemente chiaro e garantista le condizioni di questo accesso.

Questa lacuna sta per essere colmata. E la spinta arriva dall’Europa.

Cosa è successo a Innsbruck (e perché riguarda anche noi)

Tutto parte da un caso austriaco che potrebbe sembrare lontano anni luce da noi, ma che ha prodotto una delle sentenze più rilevanti degli ultimi anni in materia di diritti digitali.

Il Tribunale amministrativo regionale del Tirolo aveva sollevato una questione pregiudiziale davanti alla Corte di Giustizia dell’Unione Europea: le autorità austriache avevano sequestrato e analizzato il contenuto del cellulare di un soggetto sottoposto a procedimento penale, senza particolari formalità e senza informare l’interessato delle ragioni giuridiche dell’accesso.

La risposta della Corte di Giustizia, arrivata il 4 ottobre 2024 con la sentenza C-548/21, è stata netta: così non va.

Il ragionamento dei giudici europei è tanto semplice quanto dirompente. Un telefono cellulare non è un oggetto qualsiasi. Al suo interno si trovano, spesso inconsapevolmente, spesso in modo involontario, dati che la direttiva europea 2016/680 definisce “categorie particolari”: origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, informazioni sullo stato di salute, dati relativi alla vita sessuale e all’orientamento sessuale.

Accedere a questi dati senza garanzie adeguate, ha stabilito la Corte, viola gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea, che tutelano rispettivamente la vita privata e la protezione dei dati personali. Non sono norme programmatiche. Sono diritti fondamentali esigibili, con valore vincolante per tutti gli Stati membri.

La risposta del Parlamento italiano, sei mesi di tempo

Recepito il messaggio, il Parlamento italiano ha inserito nella Legge di delegazione europea 2025 un articolo specificamente dedicato a questa materia: l’articolo 5.

Non si tratta di una norma che introduce direttamente le nuove regole. È una delega legislativa: il Parlamento stabilisce cosa il Governo deve fare, fissa i principi vincolanti cui deve attenersi, e gli assegna un termine preciso, sei mesi dall’entrata in vigore della legge, per adottare uno o più decreti legislativi che adeguino la normativa italiana agli standard europei.

Il riferimento normativo di partenza è il decreto legislativo n. 51 del 2018, con cui l’Italia aveva recepito la direttiva 2016/680. Quel decreto dovrà essere modificato, e con esso le pertinenti norme del codice di procedura penale, per allinearsi ai principi enucleati dalla sentenza della Corte di Giustizia.

Non è una facoltà. È un obbligo. Con scadenza.

I tre pilastri della nuova disciplina

L’articolo 5 non lascia al Governo carta bianca. I criteri direttivi specifici cui l’esecutivo dovrà attenersi sono indicati con precisione. Tre in particolare meritano attenzione.

Il primo pilastro è la tassatività

La legge delegata dovrà definire in modo sufficientemente preciso la natura e le categorie dei reati che consentono l’accesso ai dati contenuti in un dispositivo. Non basterà un riferimento generico a “esigenze investigative” o a “ragioni di pubblica sicurezza”. Ci vorrà una lista chiara, determinata, non estendibile per analogia. Questo principio — che i giuristi chiamano riserva di legge in senso stretto — serve a evitare che l’accesso ai dati diventi uno strumento di sorveglianza di massa mascherato da attività investigativa.

Il secondo pilastro è la proporzionalità

Uno dei vizi più ricorrenti nella prassi investigativa digitale è la tendenza all’acquisizione massiva: si sequestra l’intero contenuto del dispositivo, lo si analizza integralmente, e solo successivamente si valuta cosa è utile e cosa non lo è. La sentenza della Corte di Giustizia — e con essa l’articolo 5 — impone un cambio di paradigma. Il principio di minimizzazione dei dati, mutuato dal GDPR e applicato al contesto delle indagini penali, richiede che vengano acquisiti solo i dati pertinenti, adeguati e non eccedenti rispetto alle finalità investigative. Il resto deve rimanere inaccessibile e protetto.

Il terzo pilastro, il più rilevante dal punto di vista delle garanzie individuali, è il controllo preventivo dell’autorità giudiziaria

La norma prescrive che l’accesso ai dati contenuti in dispositivi, sistemi informatici o telematici e memorie digitali debba essere subordinato, in via generale, all’autorizzazione preventiva di un giudice o di un organo amministrativo indipendente. Non un controllo successivo, a cose fatte. Un’autorizzazione preventiva, che valuti caso per caso la necessità e la proporzionalità della misura prima che essa venga eseguita.

Le eccezioni, quando il giudice può aspettare

La disciplina prevede deroghe al principio del controllo preventivo, ma le circoscrive con precisione chirurgica.

Per i reati più gravi, quelli elencati nell’articolo 51, comma 3-bis, e nell’articolo 407, comma 2, lettera a), numeri 4 e 7-bis, del codice di procedura penale, il requisito dell’autorizzazione preventiva può essere derogato. Si tratta di fattispecie connotate da particolare offensività e allarme sociale: delitti di criminalità organizzata, terrorismo, riduzione in schiavitù, tratta di persone, reati sessuali aggravati.

Analoga deroga è prevista per specifici reati informatici, accesso abusivo a sistemi di interesse militare o pubblico, danneggiamento di infrastrutture informatiche pubbliche, intercettazione fraudolenta di comunicazioni telematiche, e per l’estorsione aggravata commessa attraverso strumenti informatici.

Infine, è ammessa la deroga nei casi di urgenza debitamente giustificata: situazioni in cui attendere l’autorizzazione del giudice potrebbe compromettere irreversibilmente le finalità investigative. Ma anche in questo caso, l’urgenza deve essere documentata e motivata. Non è una clausola di stile. È un requisito sostanziale.

Il disegno di legge parallelo, il nuovo articolo 254-ter c.p.p.

Mentre la delegazione europea traccia il perimetro, in Parlamento si lavora contestualmente su un intervento più dettagliato. Presso la Camera è in corso di esame il disegno di legge A.C. 1822, già approvato in prima lettura dal Senato, che introduce nel codice di procedura penale un nuovo articolo 254-ter, dedicato interamente al sequestro di dispositivi e sistemi informatici o telematici.

Il testo disciplina nel dettaglio: la riserva di giurisdizione in capo al GIP, i presupposti per disporre il sequestro, le modalità di duplicazione del dispositivo sequestrato, le procedure per i casi di urgenza, i limiti all’utilizzo del materiale acquisito in procedimenti diversi da quello per cui è stato disposto il sequestro, e le regole per la conservazione e la distruzione del duplicato informatico.

I due provvedimenti si muovono nella stessa direzione e si integrano. L’articolo 5 della legge di delegazione fissa i principi. L’A.C. 1822 tende a tradurli in norme processuali concrete. Il risultato, una volta che entrambi saranno pienamente in vigore, sarà una disciplina organica sul trattamento dei dati digitali nelle indagini penali che l’Italia non ha mai avuto.

Cosa cambia nella vita concreta dei cittadini

Il punto che spesso sfugge nel dibattito tecnico-giuridico è quello più semplice: queste norme non riguardano solo gli indagati. Riguardano tutti.

Ogni persona che viene raggiunta da un provvedimento di sequestro del proprio dispositivo, anche come testimone, anche come persona informata sui fatti, anche per un reato di modesta entità, avrà diritto a sapere perché quel sequestro è stato autorizzato. La sentenza della Corte di Giustizia è esplicita: l’autorità competente ha l’obbligo di rendere disponibili all’interessato le informazioni sui motivi dell’autorizzazione all’accesso ai dati, salvo i casi in cui tale comunicazione possa pregiudicare le indagini in corso.

Questo obbligo di informazione non è un adempimento formale. È il presupposto perché il cittadino possa esercitare i propri diritti di difesa: contestare l’autorizzazione, chiedere il riesame, far valere la non pertinenza dei dati acquisiti rispetto al reato contestato.

Fino ad oggi, questo diritto era poco più che teorico. Con la nuova disciplina, dovrà diventare pratica effettiva.

Una riforma che arriva in ritardo, ma arriva

C’è un dato che non va sottovalutato: l’Italia arriva a questa riforma con un ritardo significativo rispetto agli standard europei. La direttiva 2016/680 era stata recepita nel 2018, ma la disciplina nazionale non aveva mai affrontato adeguatamente il tema dell’accesso ai dispositivi digitali in chiave di proporzionalità e controllo giurisdizionale preventivo. La sentenza della Corte di Giustizia del 2024 ha reso evidente questa lacuna, e la legge di delegazione è la risposta istituzionale.

Sei mesi. È il tempo che il Governo ha per trasformare i principi in norme. Non è molto, per una materia così delicata. Ma è il tempo che il Parlamento ha ritenuto sufficiente, e vincolante.

Il conto alla rovescia è partito.