Carpenter v. United Stated: un’importante sentenza-tassello nell’evoluzione della reasonable expectation of privacy doctrine
Di Monica Senor
Il 22 giugno 2018 la Corte Suprema statunitense ha pubblicato le motivazioni della sentenza Carpenter v. U.S., una pronuncia molto attesa in tema di accesso da parte delle forze dell’ordine ai dati di geolocalizzazione generati dalle comunicazioni cellulari attraverso le connessioni con le celle telefoniche e conservati dagli operatori di telecomunicazioni mobili. La Corte ha stabilito che per l’acquisizione di tali dati non è sufficiente un court order for disclosure di cui alla Section 2703(d) dello SCA (Stored Communications Act), ma è invece necessario un warrant in quanto si tratta di attività investigativa qualificabile come sequestro ai sensi del IV Emendamento della Costituzione americana.
Si tratta di una decisione assunta dalla Corte con una maggioranza risicata (5 giudici su 4) ma compatta in quanto non vi è nessuna cuncurring opinion, mentre le dissenting opinion sono state redatte singolarmente da ciascuno dei quattro giudici contrari.
Il caso, in sintesi
Nell’aprile del 2011 venivano arrestate quattro persone sospettate di aver commesso a Detroit una serie di rapine a mano armata ai danni delle catene di negozi Radio Shack e T-Mobile. Uno degli arrestati confessava che il gruppo, grazie all’aiuto di altri occasionali concorrenti a cui era stato affidato il ruolo di “palo” ed autista, aveva perpetrato nei quattro mesi precedenti altre nove rapine in diversi esercizi commerciali in Ohio e Michigan. L’uomo collaborava con gli investigatori identificando ulteriori quindici soggetti che avevano partecipato al sodalizio criminoso, dei quali forniva all’FBI i numeri di cellulare. Sulla base di tali informazioni il pubblico ministero chiedeva un court order, ai sensi della Sezione 2703(d) dello SCA, al fine di ottenere i metadati di traffico telefonico dei sospettati. Con riferimento, in particolare, alla posizione di Timothy Carpenter, sulla base di due distinti order, venivano acquisiti dalle compagnie telefoniche MetroPCS e Sprint, oltre ad una serie di altre informazioni, 12.898 dati di localizzazione relativi ai movimenti effettuati dall’imputato nei 127 giorni oggetto di indagine.
Carpenter, accusato di sei rapine e di detenzione illecita di arma da fuoco, veniva condannato, sia in primo che secondo grado, sulla scorta (anche) delle prove ricavate dai dati CSLI (cell-site location information) che lo collocavano per quattro delle sei rapine contestate sul luogo e negli orari dei crimini.
In entrambi i gradi di giudizio la difesa di Carpenter sosteneva, senza successo, l’inutilizzabilità dei dati CSLI sostenendo che la loro acquisizione sulla base del court order fosse incostituzionale per violazione del IV Emendamento che esige, per le operazioni di perquisizione e sequestro sulla persona e sui beni di proprietà, un warrant (mandato), emesso dall’autorità giudiziaria e supportato dalla sussistenza della cd. probable cause.
Carpenter presentava ricorso alla Corte Suprema.
Varie associazioni per i diritti civili americane, tra cui l’ACLU (American Civil Liberties Union), l’ACLU del Michigan, il Brennan Center for Justice, il Center for Democracy and Technology, l’EFF (Eltronic Frontier Foundation) e la National Association of Criminal Defense Lawyers, presentavano un amicus brief a sostegno della tesi difensiva.
Il caso veniva discusso avanti la Corte Suprema in data 29 novembre 2017 e, come detto, la sentenza depositata in data 22 giugno 2018.
Il quadro normativo e giurisprudenziale di riferimento
La Sezione 2703 del Titolo 18 dello U.S Code, introdotta dallo Stored Communications Act, disciplina la rivelazione, su base volontaria o coatta, da parte degli internet service provider (nello specifico, i fornitori di servizi di comunicazione elettronica o di servizi di computing da remoto) del contenuto e dei metadati delle comunicazioni elettroniche dei loro clienti, archiviate per ragioni commerciali per cinque anni.
L’accesso è variamente modulato a seconda delle categorie di dati.
In forza della Sezione 2703(c)(2) un’autorità governativa può chiedere ad un ISP l’esibizione dei dati anagrafici, di residenza, di pagamento, di durata e del tipo di servizi usufruiti e dei metadati delle comunicazioni effettuate, compresi IMSI, IMEI e IP, di ogni utente od abbonato con un semplice subpoena.
L’acquisizione di dati relativi al contenuto delle comunicazioni archiviate presso gli ISP [Sezione 2703(b)] necessita, invece, di un federal warrant, oppure di un court order for disclosure, se l’autorità governativa è disposta a notificare preventivamente la sua richiesta all’utente o all’abbonato. Parimenti necessario un court order for disclosure [Sezione 2703(c)(1)] per l’acquisizione di informazioni, relative ad un utente o ad un abbonato, diverse dai dati che si possono richiedere con un subpoena.
Un court order for disclosure può essere emesso dal tribunale competente solo se l’autorità governativa è in grado di offrire precisi ed articolati elementi atti a dimostrare che vi sono ragionevoli motivi (reasonable grounds) per ritenere che il contenuto di una comunicazione (nell’ipotesi residuale di cui sopra) o le altre informazioni richieste siano pertinenti e rilevanti per un’indagine penale in corso.
La motivazione che sorregge una richiesta di emissione di un court order è diversa e più lassa rispetto a quella necessaria per argomentare una richiesta di emissione di un warrant ai sensi del IV Emendamento: il court order, infatti, presuppone la sussistenza di una semplice reasonable suspicion, mentre un warrant può essere concesso dal tribunale solo in presenza di una probable cause,ovverosia di elementi tali da far ragionevolmente ritenere che in un determinato luogo si possano rinvenire le prove di un crimine.
Il minor grado di tutela accordato dallo SCA a determinate categorie di dati è espressione della cd. third party doctrine, una teoria sviluppatasi negli anni ’70, secondo cui se una persona volontariamente cede o condivide con un soggetto terzo i suoi dati personali, si ritiene che su tali dati la persona rinunci ad ogni aspettativa di privacy. I due precedenti caposaldo in materia sono rappresentati dalle sentenze U.S. v Miller del 1976 e Smith v. Maryland del 1979: con la prima pronuncia la Corte Suprema ha sancito che non esiste alcuna ragionevole aspettativa di privacy in relazione alle informazioni personali contenute nei documenti bancari, mentre nel secondo arresto lo stesso principio è stato confermato con riferimento ai vecchi tabulati telefonici (e dunque ai meri elenchi delle telefonate in entrata ed in uscita).
Le argomentazioni della majority opinion
Il presidente Roberts, a cui è stata affidata l’estensione della majority opinion, colloca la decisione sul caso Carpenter sullo spartiacque tra due filoni giurisprudenziali contrapposti: da un lato quello che sostiene la third party doctrine e, dall’altro, quello che ha elaborato il principio della reasonable expectation of privacy.
Le due teorie sono, invero, strettamente intersecate atteso che la third party doctrine costituisce l’argine ed il confine del concetto stesso di ragionevole aspettativa di privacy, nelle ipotesi in cui una persona spontaneamente comunica a terzi di suoi dati personali.
Nel caso di specie, tuttavia, la Corte osserva come: “There is a world of difference between the limited types of personal information addressed in Smith and Miller and the exhaustive chronicle of location information casually collected by wireless carriers today. The Government thus is not asking for a straightforward application of the third-party doctrine, but instead a significant extension of it to a distinct category of information”.
L’elemento fattuale che più viene enfatizzato in sentenza è l’attitudine intrinseca dei dati CSLI a trasformarsi in un pericoloso strumento di sorveglianza massiva. Rileva, infatti, la Corte come i dati di localizzazione siano in grado di rivelare tutti i movimenti di una persona e, attraverso di essi, svelare informazioni relative ai suoi legami familiari, ai suoi rapporti professionali, alle sue convinzioni politiche e religiose ed alle sue inclinazioni sessuali; informazioni “detailed, encyclopedic, and effortlessly compiled” anche perché (citando Riley v. California del 2014) i cellulari sono ormai un’appendice dell’anatomia umana. Non solo. Sottolinea ancora la Corte come, trattandosi di dati storici conservati dalle compagnie telefoniche per cinque anni per ragioni aziendali, chiunque può essere monitorato ex post e solo i pochi senza cellulare potrebbero sfuggire ad una sorveglianza, definita instancabile ed assoluta.
Acclarata la profonda differenza qualitativa tra le categorie di dati per cui la giurisprudenza ha in passato riconosciuto l’applicazione della third party doctrine ed i dati CSLI, i giudici supremi americani cercano – trovandolo nella teoria della ragionevole aspettativa di privacy – il viatico per un’interpretazione evolutiva del IV Emendamento, ricordando come già nel 1928, in Olmstead v. U.S., il famoso Warren Brandeis scriveva che: “Court is obligated – as “[s]ubtler and more far-reaching means of invading privacy have become available to the Government” – to ensure that the “progress of science” does not erode Fourth Amendment protections”.
Tradizionalmente il IV Emendamento protegge le persone e i loro beni materiali, come domicilio, documenti ed effetti personali, da perquisizioni e sequestri illegittimi: “the basic purpose of this Amendment”, scrive la Corte Suprema citando Camara v. Municipal Court of City and County of San Francisco del 1967, “is to safeguard the privacy and security of individuals against arbitrary invasions by governmental officials”.
La reasonable expectation of privacy è un’interpretazione evolutiva e sistematica del IV Emendamento, elaborata al fine di superare i rigorosi limiti imposti dal significato letterale della norma.
Si tratta di un principio che risale al 1967 alla sentenza Katz v. U.S., in cui Corte Suprema, per la prima volta, ha riconosciuto che il IV Emendamento tutela le persone e non i luoghi e, conseguentemente, protegge le persone in tutti quei luoghi, anche pubblici, in cui le stesse possono ragionevolmente aspettarsi il rispetto di una sfera di riservatezza personale (il caso riguardava la legittimità di intercettazioni eseguite in una cabina telefonica pubblica).
Tale teoria, rimasta a lungo silente, è tornata alla ribalta negli ultimi anni. In particolare, è stata riproposta in due cuncurring opinion del caso U.S. v. Jones, storica decisione del 2012 con cui la Corte Suprema, all’unanimità, ha sancito che il GPS tracking di un’autovettura costituisce una perquisizione ai sensi del IV Emendamento. Tra le varie opinion, quelle dei giudici Alito e Sotomayor sono state immediatamente additate come le più innovative in quanto, a differenza della maggioranza che aveva sostenuto che la violazione del IV Emendamento fosse riconducibile direttamente alla violazione della proprietà privata (l’auto) dell’imputato, hanno ritenuto che la violazione discendesse dal principio della ragionevole aspettativa di privacy (cfr. l’articolo all’epoca pubblicato dalla scrivente).
La sentenza Jones viene più volte richiamata nella sentenza in commento. Tuttavia, mentre in Jones la reasonable expectation of privacy rimane una teoria secondaria, in Carpenter la piena adesione a tale doctrine da parte della maggioranza dei giudici comporta il suo pieno riconoscimento a livello costituzionale.
Ma ciò che colpisce nella motivazione è un ulteriore passaggio, ancor più delicato, da cui emerge che l’aspettativa di privacy non è più calibrata, come in passato, sul singolo soggetto quanto piuttosto sull’intera collettività: si legge, infatti, in sentenza, che in una società democratica ci si aspetta che le forze dell’ordine non possano segretamente monitorare e catalogare i movimenti di una persona, attraverso un GPS tracker (caso Jones) o mediante l’acquisizione a posteriori dei dati CSLI (caso Carpenter), mediante una raccolta capillare di informazioni che sfocia in una vera e propria sorveglianza massiva (nella doppia accezione di sistematica ed indiscriminata). Un’aspettativa di privacy, dunque, non soggettiva bensì collettiva.
Considerazioni finali
Carpenter v. U.S. è una bella sentenza.f
Sebbene sia stata criticata perché troppo timida (peraltro è lo stesso Roberts a qualificarla una narrow decision) rispetto alla third party doctrine, che nella moderna società dell’informazione dovrebbe essere totalmente abbandonata, si tratta di una sentenza che ha il pregio di saper guardare con estrema lucidità all’enorme potenzialità lesiva dei diritti fondamentali sottesa alle nuove tecnologie e, al contempo, il coraggio di proporre un’interpretazione evolutiva delle garanzie poste a presidio dei diritti fondamentali al fine di preservare, al di là del dettato letterale della norma (che al momento della sua formulazione, nel 1789, non poteva certo prevedere di dover disciplinare l’odierno mondo digitale), il senso ultimo e più profondo di una tutela costituzionale.
Una sentenza importante, dunque, che fissa un solido tassello a favore della teoria della ragionevole aspettativa di privacy, aprendo un generoso varco per sue successive ulteriori applicazioni, ammesso e non concesso che l’imminente avvicendamento dei giudici supremi non comporti, come da molti paventato, una battuta di arresto nella giurisprudenza garantista resa negli ultimi anni dalla Corte Suprema.
Molto interessante è anche la straordinaria similitudine, in due sistemi giuridici che spesso (ad avviso di chi scrive, erroneamente) in materia di privacy e protezione dei dati personali vengono tratteggiati come lontani se non addirittura contrapposti, del procedimento argomentativo della sentenza Carpenter e della pronuncia Digital Rights Ireland Ltd, con cui nel 2014 la Corte di Giustizia dell’Unione europea ha dichiarato l’invalidità della direttiva 2006/24/CE sulla data retention (per inciso, i dati CSLI sono tra quelli di cui era – è in Italia – imposta la conservazione ex lege).
Ed un’infinita tristezza nel constatare quanto, invece, sul tema, il legislatore italiano sia terribilmente arretrato.
Redatto il 17 luglio 2018