Memoria del Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione - Disegno di Legge AS 1505

Senato della Repubblica - 2a Commissione
(27 febbraio 2026)

Ringrazio, anzitutto, la Commissione per aver inteso acquisire, nell’ambito dell’esame di un disegno di legge di così significativa rilevanza, anche la prospettiva dell’Autorità. 

La disciplina di protezione dei dati può, infatti, contribuire a offrire alcuni spunti di riflessione ulteriori, auspicabilmente utili alla migliore definizione del bilanciamento tra esigenze investigative, riservatezza individuale, diritto di difesa.

Il Garante non può, del resto, che apprezzare l’intento, sotteso al disegno di legge, di introdurre una disciplina specifica per un mezzo di ricerca della prova – quale, appunto, l’acquisizione dei log – tanto utile alle indagini quanto, anche, potenzialmente invasivo della riservatezza individuale. Per questo, la disciplina deve coniugare gli interessi in gioco secondo una prospettiva costituzionalmente orientata, che tenga conto delle peculiarità dei dati in questione. Certamente apprezzabile è, peraltro, l’attenzione riservata alle garanzie di sicurezza, conformità e immodificabilità dei dati, mutuate su quelle previste per le intercettazioni e particolarmente importanti ai fini della tutela della catena di custodia della prova informatica.

In questa prospettiva, ci si limiterà all’analisi delle sole disposizioni processuali introdotte dall’articolo 1, impingendo – riguardo ai restanti articoli – nella discrezionalità del legislatore la scelta di garantire, anche con l’efficacia deterrente propria delle norme incriminatrici, l’effettività degli obblighi di cooperazione con l’a.g. imposti ai provider.

Riguardo all’introduzione, disposta dall’art. 1 del disegno di legge, all’art. 248-bis del codice di rito penale (subito dopo la norma sulle perquisizioni) di una specifica disciplina di acquisizione dei log, si osserva quanto segue.

In primo luogo, si apprezza la scelta di introdurre una disciplina ad hoc per una categoria di dati personali – quale, appunto, quella dei log – che presenta oggettive peculiarità rispetto a quella dei dati relativi al traffico di cui all’art. 15 della direttiva 2002/58/CE e 121, c.1, lett.h), d.lgs. 196 del 2003 e s.m.i.. I primi sono, infatti, generati da software e contengono informazioni sulle operazioni, le attività e i modi di utilizzo di un’applicazione, di un server o di un sistema IT, ricomprendendo un registro storico di tutti gli eventi e i messaggi insieme a dati descrittivi aggiuntivi, come i timestamp, per contestualizzare queste informazioni: ad esempio, data e ora di “entrata” e “uscita” dai sistemi informatici.

La definizione proposta dal disegno di legge – modulata su quella delineata da Cass., Sez. III, sent. n. 18464 del 26.2.2025- sembra tuttavia sì ampia da non escludere, almeno potenzialmente, l’attinenza a dinamiche lato sensu comunicative.

La questione è, in ogni caso, all’esame della CGUE nell’ambito della pregiudiziale C 427/2025 (non ancora decisa se non limitatamente al rigetto dell’istanza di esame con procedura accelerata), sollevata dal Gip del Tribunale di Catania con ordinanza del 26 giugno 2025. Essa muove dalla considerazione secondo cui “i file di log, almeno della tipologia di quelli richiesti nel caso in esame, invero non considerati espressamente in precedenti pronunce della Corte di Giustizia della UE, se è vero che da un lato non si risolvono in un insieme di dati informativi ‘statici’, come quelli anagrafici del caso c.d. Ministerio Fiscal C-207/16 (nome, cognome, indirizzo del titolare di una carta SIM o di un account) e come l’indirizzo IP del caso c.d. Quadrature du Net 12 2 C-470/21, rappresentando piuttosto una sequenza di dati temporali (accessi e uscite in una certa fascia temporale), dall'altro parrebbero non possedere quella caratteristica tipica riconosciuta ai “dati di traffico” nel significato del diritto euro-unitario, ovvero quella di consentire di trarre conclusioni precise sulla vita privata e le scelte di vita della persona i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali tenute, gli ambienti sociali frequentati”. La ritenuta esclusione dei log dalla categoria dei dati relativi al traffico (nonostante la prassi investigativa prevalente- rileva il rimettente- si muova in questo senso), condurrebbe, secondo l’ordinanza, all’applicabilità della disciplina dell’acquisizione documentale (artt.  234-bis e 256 c.p.p.).

L’ordinanza rileva come si potrebbe ipotizzare la riconducibilità dei log del tipo di quelli oggetto della richiesta del PM, volta a fini identificativi, alla  nozione di dati “richiesti al solo scopo di identificare l'utente”, di cui al n. 10 dell’art. 3 del Regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio del 12 luglio 2023, relativo agli ordini europei di produzione e agli ordini europei di conservazione di prove elettroniche nei procedimenti penali e per l'esecuzione di pene detentive a seguito di procedimenti penali (E-evidence). In effetti, alla lett.b) della sezione F dell’Allegato II del Regolamento, le “registrazioni (log)” e i “numeri di accesso insieme ad altri identificativi” sono ricondotti alla nozione di dati “richiesti al solo scopo di identificare l'utente”, distinta da quella di “dati sul traffico”, sulla base tuttavia di un criterio discretivo fondato più sul fine sotteso all’acquisizione che sulla natura del dato stesso.

I considerando da 32 a 34, infatti, sembrano delineare una nozione ampia di file di log (“registrazione di eventi (…) che indica l'inizio e la fine di una sessione di accesso utente a un servizio), comprensiva di indirizzi IP e numeri di accesso alla rete che, laddove utilizzati non solo a fini identificativi, “è essenziale (..) siano trattati come dati relativi al traffico” (cfr. anche audizione del prof. Mitja Gialuz).

Le stesse definizioni di dati “richiesti al solo scopo di identificare l'utente” e di “dati sul traffico” di cui, rispettivamente, ai nn. 10) e 11) dell’art. 3 del Regolamento, comprendono entrambi i log, distinti tuttavia sulla base del fine sotteso all’acquisizione: identificativo in un caso, volto a fornire “informazioni di contesto o supplementari sul servizio” nell’altro. Tale distinzione si riflette sulle condizioni e sull’organo legittimato all’acquisizione: il pubblico ministero autonomamente per i dati identificativi, su autorizzazione del giudice per quelli sul traffico, come dispongono gli artt. 4, p.2, del Regolamento E-evidence e 2, c.3, del d.lgs. 215 del 2025, di adeguamento dell’ordinamento interno al medesimo Regolamento (cfr. anche art. 132, c.3-bis.2, d.lgs. 196 del 2003 inerente ai dati, parimenti identificativi, relativi agli abbonati).

Si potrebbe, allora, ipotizzare di modulare la disciplina dell’acquisizione dei log sulla base del criterio discretivo suggerito dal Regolamento E-evidence, richiamando l’applicabilità della disciplina di cui all’art. 132 del d.lgs. 196 del 2003 laddove i log siano acquisiti a fini non meramente identificativi (pena la loro inutilizzabilità) e legittimando, invece, il pubblico ministero ad acquisire quelli riconducibili alla nozione di cui al n. 10 dell’art. 3 del Regolamento. Il vaglio del giudice dovrebbe, dunque, ancorarsi a tale elemento più che, come proposto dal disegno di legge, al rifiuto del provider di ottemperare all’ordine del pubblico ministero.

Accogliendo tale prospettiva, si dovrebbe forse sganciare la disciplina dal modello della perquisizione e costruirla, invece, come ipotesi speciale (e per certi versi derogatoria) dell’acquisizione ai sensi dell’art. 132 del d.lgs. 196 del 2003. In ossequio al principio di ragionevolezza, si potrebbe allora ipotizzare di mutuare da tale norma (più che da quella sulle intercettazioni telematiche) i presupposti oggettivi, considerando che si tratta di dati meno invasivi anche di quelli di traffico, per i quali dunque sarebbe poco ragionevole richiedere esigenze investigative maggiori (gravi anziché sufficienti indizi, indispensabilità dell’acquisizione, reati di cui all’art. 266-bis c.p.p.) purché, naturalmente, il vincolo di proporzionalità tra acquisizione e necessità probatoria sia compiutamente delineato (cfr. anche audizione del prof. Mitja Gialuz).

L’eterogeneità dei “servizi di intermediazione” (si vedano, in particolare, gli esempi riportati nel considerando 29 del Digital Services Act) impone, inoltre, di considerare che i log oggetto di acquisizione potrebbero contenere informazioni molto delicate e relative alla sfera privata delle persone fisiche a cui fanno riferimento e, in alcuni casi, assimilabili al “contenuto delle comunicazioni”; si pensi ad esempi ai log relativi alle attività svolte nell’ambito di un servizio di social network (Facebook, Instagram, X, LinkedIn, …), di messaggistica istantanea (Whatsapp, Telegram, Messenger, …) o di servizi connessi alla navigazione internet (proxy, DNS, motori di ricerca, …). Tale circostanza impone naturalmente di escludere espressamente, da questo regime speciale di acquisizione, i dati relativi al contenuto delle comunicazioni, come definiti dallo stesso art. 3, n.12, del Regolamento E-Evidence.

Nella medesima prospettiva si dovrebbe anche delimitare, in conformità al canone di proporzionalità, la “profondità cronologica” dell’acquisizione, anche considerando l’insussistenza, oggi, di un obbligo di conservazione di tali dati.

L’occasione potrebbe essere, peraltro, opportuna per riformulare l’intera disciplina dell’art. 132 d.lgs. 196 del 2003 in conformità ai principi sanciti dalla giurisprudenza della CGUE (cfr. ad es. sentt. 20 settembre 2022, SpaceNet e Telekom Deutschland, C-793/19 e C-794/19, EU:C:2022:702), che consente la conservazione dei dati di traffico a fini di “giustizia”, solo a fini di contrasto di gravi reati e minacce alla sicurezza pubblica, se:

- in misura generalizzata e preventiva per gli indirizzi IP attribuiti all’origine di una connessione (per un periodo temporalmente limitato allo stretto necessario) e i dati relativi all’identità anagrafica degli utenti di mezzi di comunicazione elettronica;

- in forma “mirata” rispetto ai dati di traffico ed ubicazione, nel rispetto di criteri selettivi obiettivi e non discriminatori, tali cioè da evidenziare un nesso funzionale tra i dati e il reato da accertare, per un periodo temporalmente commisurato secondo stretta necessità;

- nella forma del “quick freeze” dei dati di traffico e di ubicazione.

La lettura restrittiva della direttiva sulle comunicazioni elettroniche si fonda, in particolare, sulla convinzione secondo cui “la deroga all’obbligo di principio di garantire la riservatezza delle comunicazioni elettroniche e dei dati a queste correlati e, in particolare, al divieto di memorizzare tali dati, espressamente previsto all’articolo 5 di detta direttiva" non possa divenire 'la regola, salvo privare quest’ultima norma di gran parte della sua portata” (CGUE, sentenza 7 settembre 2023, causa   C-162/22,punto 33).

La disciplina interna sembra, dunque, da rivedere, nella parte in cui, pur a fronte di una differenziazione per titolo di reato in fase acquisitiva presuppone, comunque, la conservazione preventiva e generalizzata dei dati di traffico relativi alla generalità indistinta dei cittadini, a fini di “giustizia”.

Si dovrebbe, dunque, ipotizzare (oltre a una disciplina ad hoc per la conservazione rapida), una distinzione fondata sulla categoria dei dati, con un regime differenziato e meno rigido per quelli relativi all’identità anagrafica degli utenti e agli indirizzi IP.

Dovrebbero, poi, essere introdotti parametri di ordine soggettivo, spaziale e se del caso di altra natura (purché, appunto, oggettiva e non discriminatoria) tali da far presumere un nesso funzionale del dato con le esigenze investigative, sulla base dei quali procedere alla conservazione mirata dei dati di traffico e relativi all’ubicazione, da utilizzare a fini di contrasto di reati gravi.

L’introduzione di una specifica normativa sull’acquisizione dei log potrebbe, dunque, rappresentare un’utile occasione per rendere pienamente conforme alla giurisprudenza europea anche la disciplina interna sulla data retention, nel rispetto del canone di proporzionalità tra esigenze investigative e privacy invocato dalla CGUE e che riflette la sinergia tra libertà e sicurezza sancita dall’art. 6 della Carta di Nizza.