Un diverso punto di vista sul c.d. caso “Exodus”: l’illecito trattamento dei dati e il principio di proporzionalità

La pur breve ordinanza della Corte di Cassazione penale, emessa al termine di un giudizio cautelare in relazione a un provvedimento di sequestro preventivo, ci consente di focalizzare l’attenzione su due temi di più stretto interesse giuridico:

  • i principi di proporzionalità e di pertinenza nell’adozione di misure cautelari (vedi anche articolo del 20.07.2019);
  • lo schema dei rapporti esistenti tra i soggetti al fine di delineare la condotta di illecito trattamento dei dati.

Il caso è quello c.d. “Exodus” in tema di software spia, argomento di cui abbiamo già avuto modo di discutere in termini generali (tra tutti si veda articolo dell’11.06.2019).

In estrema sintesi, il GIP del Tribunale di Benevento aveva disposto il sequestro preventivo di due società Alfa e Beta in relazione alle violazioni dolose e in frode alla Pubblica amministrazione di norme contrattuali relative all’obbligo di riservatezza emerse nell’ambito di rapporti di affidamento  di alcuni servizi di intercettazione presso la Procura della Repubblica di Benevento.

Sotto il primo profilo, e ciò è stato determinante per l’annullamento dell’ordinanza, la Corte ha ribadito che ai fini della legittimità, il sequestro preventivo deve rispettare il principio della proporzione tra esigenze generali di prevenzione e salvaguardia dei diritti fondamentali dell’individuo.

Nel caso di specie non è stato rispettato il principio della proporzionalità tra limitazione dei diritti, previsto dall’art. 52 della Carta dei diritti fondamentali dell’Unione Europea, e il principio di pertinenza del bene sequestrato rispetto alle esigenze cautelari. Pertanto, la libertà d’impresa della società, espressamente prevista dal diritto comunitario, non può essere delimitata dall’ampliamento del sequestro dai server all’intere società.

Non può quindi sequestrarsi un’intera società quando poteva e doveva essere sequestrato un unico server.

Quanto al secondo profilo, la situazione accertata era che tramite le apparecchiature della società Alfa, utilizzate dalla società Beta, venivano intercettate comunicazioni e i dati immagazzinati su serve negli Stati uniti.

La difesa aveva fatto notare che Alfa non è responsabile del trattamento dei dati personali (avendo solo noleggiato le apparecchiature alla Procura della Repubblica di Benevento) e che mancava una specificazione della tipologia dei dati e l’indicazione dei fini e del responsabile del trattamento, mentre, per altro verso, la Commissione Europea ha valutato affidabili le tecniche di custodia e conservazione dei dati usate negli Stati Uniti d’America.

Il Tribunale, invece, ha considerato i seguenti, pertinenti, elementi di valutazione ai fini della valutazione del humus commissi delicti:

  • i dati sensibili di carattere giudiziario sono stati allocati all’Estero (in Oregon) sul server Claud Amazon AWS utilizzato dalla società Beta, estranea al contratto stipulato tra la società Alfa e la Procura della Repubblica di Benevento;
  • è stata utilizzata la piattaforma EXODUS (applicativo per la gestione delle attività di intercettazione) fornita dalla società Beta e non dalla società Alfa;
  • sono state violate le cautele necessarie per impedire l’accesso di operatori privi di titolo o non abilitati a accedere a dati coperti dal segreto investigativo. 
Segui e condividi i nostri contenuti anche sui social network...