Topics

Cyber Investigation

Data Retention & Data Protection

Evaluation report on the Data Retention Directive (Directive 2006/24/EC)

Corte di giustizia UE, sent. 8 aprile 2014, Digital Rights Ireland Ltd.
Sentenza

References:

Commento (Flor)

Legge Europea (C. 4505-B)

L’articolo 24 fissa in settantadue mesi il termine di conservazione dei dati di traffico telefonico e telematico, nonché dei dati relativi alle chiamate senza risposta, al fine di garantire strumenti di indagine efficaci a fronte delle straordinarie esigenze di contrasto al fenomeno del terrorismo, anche internazionale.

Article 24 sets a seventy-two months deadline for the retention of telephone /telematic data and unanswered calls data, in order to ensure effective investigative tools in response to the extraordinary needs of countering the phenomenon of national and international terrorism.

Corte di Giustizia dell’Unione europea, 8 aprile 2014, cause riunite C-293/12 e C-594/12, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources e altri; Kärntner Landesregierung e altri

 La Corte ha dichiarato non valida la direttiva europea 2006/24/CE che impone agli operatori di telefonia di memorizzare i dati di traffico per un periodo che va dai 6 mesi ai 2 anni e consente alle competenti autorità di potervi accedere, proprio per violazione del principio di proporzionalità nel bilanciamento tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.

La violazione del principio di proporzionalità deriverebbe, secondo la Corte, dall’avere la direttiva: 1) previsto le misure di conservazione dei dati come applicabili in via indifferenziata e generalizzata all’insieme degli individui, dei mezzi di comunicazione elettronica e dei dati relativi al traffico, senza che venga operata alcuna differenziazione, limitazione o eccezione in ragione dell’obiettivo della lotta contro i reati gravi; 2) omesso di prevedere un criterio oggettivo che limiti l’accesso a tali dati per sole esigenze di accertamento di reati sufficientemente gravi da giustificare una simile ingerenza; 3) omesso di sancire i presupposti sostanziali e procedurali ai quali subordinare l’accesso, da parte delle competenti autorità nazionali, ai dati in esame, in particolare non richiedendo in ogni caso il previo controllo dell’autorità giudiziaria o di un’autorità amministrativa indipendente; 4) omesso di prevedere criteri necessari a differenziare la durata della conservazione dei dati, limitandosi a stabilirne i soli termini minimi e massimi; 5) omesso di imporre che i dati così acquisiti siano conservati nel solo territorio della Ue.

Anche il settore del contrasto al crimine quindi, pur ammettendo in astratto per esigenze di interesse generale connesse alla pubblica sicurezza maggiori limitazioni alle libertà individuali, non sfugge al controllo di proporzionalità: le restrizioni dei diritti fondamentali non possono essere previste in maniera indifferenziata rispetto a qualsiasi reato ma richiedono l’autorizzazione dell’autorità giudiziaria sulla base di una previsione legislativa che le disciplini in modo differenziato in base al tipo di delitto, alle esigenze investigative, al tipo di dato e di mezzo di comunicazione utilizzato.

Gli obblighi di archiviazione e di controllo dei dati di traffico telematico e telefonico, pur non permettendo l’accesso al contenuto delle conversazioni, forniscono comunque indicazioni importanti sulle comunicazioni intrattenute che comportano una forte ingerenza nella vita privata dei cittadini e, avvenendo la conservazione e il successivo utilizzo dei dati a loro saputa, «ingenerano la sensazione che la loro vita privata sia oggetto di costante sorveglianza».

La Corte di giustizia dell’Unione europea quindi ha sottolineato la non neutralità dei dati di traffico e la pericolosità cui è esposta la vita privata nel caso di una indifferenziata conservazione di questi dati per periodi molto lunghi, rafforzando la tutela della riservatezza.

Cyber-investigation & Trojan

Corte di Cassazione Penale, Sez. Un., n. 40963, 7 settembre 2017 – Pres. Giovanni Canzio

Avverso l’ordinanza del tribunale del riesame di conferma del sequestro probatorio di un computer o di un supporto informatico, nel caso in cui ne risulti la restituzione previa estrazione di copia dei dati ivi contenuti, è ammissibile il ricorso per cassazione sempre che sia dedotto l’interesse, concreto ed attuale, alla esclusiva disponibilità dei dati.

The appeal before the Supreme Court  against the order of the Review Court confirming a computer seizure is admissible, even in the case of computer’s restitution and prior copy of its data, if a specific and current interest for data’s exclusivity is proved.

 

Corte di Cassazione Penale, Sez. IV, n. 46968, 12 ottobre 2017 – Pres. Luisa Bianchi

L’intercettazione delle chat pin-to-pin tra dispositivi Blackberry non necessita di rogatoria internazionale qualora le comunicazioni siano avvenute in Italia, non rilevando l’intervento della casa madre (estera) per decriptare i dati.

No international letter rogatory is necessary to allow the interception of pin-to-pin chat among Blackberry mobiles, if these communications took places in Italy. The intervention of the foreign Parent Company to decrypt the signals is not influent.

 

 

Corte di Cassazione Penale, Sez. V, n. 49016, 25 ottobre 2017 – Pres. Maria Vessichelli

Le registrazioni di conversazioni svoltesi su “whatsapp”, possono costituire prova documentale ma la loro utilizzabilità è condizionata dall’acquisizione del supporto telematico che le contiene, onde verificarne con certezza la paternità e l’attendibilità.

Recorded “whatsapp” conversations may be considered as a documentary evidence but their admissibility depends upon the availability of the information technology support containing the conversations in order to determine the paternity and the reliability of such data.

“Covert surveillance measures” (BverG, 20 aprile 2016 – 1 BVR 966/09, 1 BVR 1140/09
Sentenza

On-line Durchsuchung (BverG – 2008)
Sentenza

References:

Flor
Flor
Iovene
Marcolini

“Captatore informatico” (Cass., Sez. Un., c.c. 28 aprile 2016, Pres. Canzio, Rel. Romis, Ric. Scurato)

“Captatore informatico” (Trib. Palermo, Sez. riesame, ord. 11 gennaio 2016, Pres. est. Gamberini), con nota di Lorenzetto

Corte europea dei diritti dell’uomo, 18.12.2012, Yildrim v. Turchia:

“Block Access”

Ahmet Yildirim, cittadino turco, è un ricercatore del dipartimento di Ingegneria Informatica all’Università Boğaziçi in Turchia. Appassionato d’informatica, ha creato un sito su Google Sites ove pubblica il proprio lavoro accademico nonché personali opinioni in merito a svariate tematiche. Il 24 giugno 2009, tale blog venne improvvisamente bloccato: a causa di una presunta pubblicazione di materiale offensivo e denigratorio di Kemal Atatürk, l’eroe nazionale turco fondatore e primo presidente della Repubblica Turca, il tribunale distrettuale di Denizli emise un provvedimento ai sensi dell’art. 8 § 1, lettera b) della legge n. 5651 sulla regolamentazione delle pubblicazioni in Internet, mediante il quale si bloccò l’accesso al blog. Il provvedimento, secondo procedura, venne quindi notificato alla Presidenza delle telecomunicazioni e informatica (PTI), che il giorno seguente ordinò il blocco dell’intero Google Sites, essendo questa l’unica modalità per impedire totalmente la visualizzazione e l’accesso al blog. Dopo che il ricorso avverso tale provvedimento venne respinto dal tribunale, Ahmet Yildirim si rivolse alla Corte europea dei diritti dell’uomo lamentando la violazione dell’art. 10 CEDU.

La Corte ha dichiarato il contrasto con l’articolo 10  CEDU in materia di libertà di espressione, del provvedimento giurisdizionale turco che, per violazione della legge in materia di diffamazione, aveva inibito l’accesso all’intero sito Internet.

Il caso è di fondamentale importanza perchè affiora in esso una nuova sfumatura della libertà di espressione ovvero il diritto di accesso illimitato ad Internet.

In particolare la Corte ha ritenuto che le basi legali offerte dalla legge turca per il blocco del sito, vale a dire l’esistenza di “sufficienti elementi” per “sospettare” che la pubblicazione su Internet contenesse contenuti illegali, rappresenta una cornice eccessivamente fragile per giustificare la restrizione alla luce dell’art. 10 della Convenzione.

Da segnalare come, mascherate da azioni necessarie per la tutela dei minori e per difesa della privacy e dei diritti individuali, recentemente sono state apportate modifiche alla regolamentazione di Internet che consentono al TIB (autorità governativa nell’ambito delle telecomunicazioni) controlli sempre più invasivi e maggiore possibilità di blocco e censura di pagine Web senza la necessità di un ordine del tribunale.

Numerosi sono stati i blocchi ordinati a seguito dell’approvazione di tali riforme: da twitter a youtube.

Nell’ottobre 2014 la Coste Costituzionale turca ha dichiarato l’incostituzionalità di tali misure ma nuove proposte di legge tentano un loro rafforzamento.

Puntuale quindi la nuova pronuncia di condanna della Corte EDU per violazione dell’art. 10 CEDU con sentenza 1 dicembre 2015, n. 376/15, Cengiz and Others v. Turkey, (C-48226/10; C-14027/11).

ARTICLE 29 DATA PROTECTION WORKING PARTY : Guidelines on the implementation of the Court of Justice of the European Union – judgment on “Google Spain and inc v. Agencia española de protección de datos (aepd) and Mario Costeja González” c-131/12,  26.11.2014.

CLICK HERE (pdf)

Commission Nationale de l’Informatique et des Libertés (CNIL), 10.3.2016

CLICK HERE  (pdf)

×