Gli obblighi derivanti dal diritto dell’Unione europea

La direttiva 2016/680, attuata in Italia dal d.lgs. 18 maggio 2018, n. 51, regola le condizioni alle quali è possibile limitare il diritto alla protezione dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento dei reati.

Come statuito dalla Corte di giustizia dell’Unione europea nella sentenza del 4 ottobre 2024 (causa C-548/21, Bezirkshauptmannschaft Landeck), tali limitazioni devono essere interpretate conformemente ai requisiti di cui all’articolo 52(1) della Carta dei diritti fondamentali dell’Unione europea, i quali includono il rispetto del principio di proporzionalità (§ 84).

In forza di questo principio, che implica un complesso bilanciamento fra i diritti dei singoli e le finalità di interesse generale, «qualora l’accesso ai dati personali da parte delle autorità nazionali competenti comporti il rischio di un’ingerenza grave […] nei diritti fondamentali dell’interessato, è essenziale che tale accesso sia subordinato a un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente» (§ 102). Infatti, prosegue la Corte, «un controllo successivo non consentirebbe di […] impedire che sia autorizzato un accesso ai dati di cui trattasi che ecceda i limiti dello stretto necessario».

Di qui la conclusione secondo cui il corretto recepimento del diritto dell’Unione impone di subordinare l’accesso delle autorità a questi dati al controllo preventivo di un giudice o di un organo amministrativo indipendente, salvi i «casi di urgenza debitamente comprovati» (§ 104).

In una diversa sentenza, relativa alla direttiva 2002/58/CE e quindi sempre in materia di protezione dei dati personali, la Corte di giustizia aveva già precisato, inoltre, che «il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare […] impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati» (CGUE, 2 marzo 2021, causa C-746/18, Prokuratuur, §§ 54-55).

Le norme italiane e le sentenze della Cassazione

La normativa italiana prevede, all’art. 253, co. 1, c.p.p., che l’«autorità giudiziaria dispone con decreto motivato il sequestro del corpo del reato e delle cose pertinenti al reato necessarie per l’accertamento dei fatti». Nonostante il riferimento sia ambiguo, è fuor di dubbio che «l’ufficio in grado di emettere il decreto motivato, e di eseguire direttamente (o delegarne la polizia), nell’àmbito delle indagini preliminari, è il pubblico ministero» (Ach. Melchionda, voce Sequestro (dir. proc. pen.), in Enc. Dir., XLII, 1990, 153). L’intervento del giudice per le indagini preliminari è infatti limitato, dal successivo art. 368 c.p.p., ai casi in cui «il pubblico ministero ritiene che non si debba disporre il sequestro richiesto dall’interessato».

La Corte di Cassazione, nella sentenza 28 gennaio – 28 febbraio 2025, n. 8376, ha statuito che queste norme non si pongono in contrasto con il diritto dell’Unione. Infatti, il Pubblico ministero – cui è affidato, in Italia, il controllo preventivo – è «certamente» un ente autonomo, dovendo garantire anche i diritti dell’indagato.

Di diverso avviso, invece, è la più recente sentenza 1 aprile – 8 aprile 2025, n. 13585. In questo caso, in esecuzione di due decreti emessi dal Pubblico ministero nel corso di un’indagine, sono stati sequestrati a fini probatori prima un telefono cellulare e un tablet e, in seguito, una copia dei dati rilevanti ai fini delle indagini ivi contenuti, con restituzione dei dispositivi informatici. Contro il secondo di questi decreti l’indagato ha presentato istanza di riesame, respinta dal Tribunale. Di qui il ricorso in Cassazione, in cui il difensore ha dedotto il contrasto con la menzionata direttiva 2016/680 delle disposizioni di diritto interno che consentono al Pubblico ministero di disporre il sequestro di dati contenuti in dispositivi elettronici a fini di indagine.

La Cassazione, se da un lato rileva che «la normativa interna non risponde alla previsione della citata Direttiva», giacché non prevede la necessità di un controllo preventivo di un giudice, dall’altro lato conclude che, nel caso di specie, «i diritti della difesa ad avere una valutazione giurisdizionale non risultano pregiudicati poiché sul sequestro si è pronunciato il Tribunale per il riesame».

Questa conclusione, però, apre un ulteriore fronte di contrasto con l’interpretazione del diritto dell’Unione europea fornita dalla stessa sentenza della Corte di giustizia del 4 ottobre 2024, che aveva espressamente escluso la sufficienza di un controllo ex post, qual è quello svolto dai giudici del riesame.

Non riesce a dirimere questo contrasto la precisazione, fatta dalla Cassazione, secondo cui «nulla impedisce, ovviamente, che per il futuro, proprio al fine di adeguarsi all’interpretazione della Corte di giustizia, il Pubblico ministero richieda l’autorizzazione al Giudice per le indagini preliminari». Da queste parole sembra possibile dedurre, infatti, che sia rimessa al singolo Pubblico ministero la scelta se coinvolgere o meno in via preventiva il giudice. Ciò, però, non garantisce la corretta attuazione del diritto dell’Unione, che invece impone che, fuori dai casi di urgenza, sia sempre richiesta tale autorizzazione.

Sembra pertanto urgente un intervento del legislatore a risoluzione dei dubbi interpretativi che gravano su queste norme dalla grande rilevanza pratica, o quantomeno un ulteriore e definitivo revirement della Cassazione che da un lato interpreti la locuzione “autorità giudiziaria” di cui all’art. 253, co. 1, c.p.p. in maniera conforme al diritto dell’Unione europea e, dall’altro, escluda che il controllo ex post svolto dal Tribunale del riesame possa sanare eventuali vizi procedimentali.