Carpenter v. United States, 585 U.S. ____ (2018)
Il 22 giugno 2018 la Corte Suprema degli Stati Uniti d’America ha emesso un’importante sentenza con la quale è stato sancito il principio secondo cui l’acquisizione da parte di un’autorità governativa presso gli operatori di telecomunicazioni mobili dei dati di localizzazione, generati dalle connessioni delle comunicazioni cellulari con le celle telefoniche (cell-site location information), costituisce un sequestro ai sensi del IV Emendamento della Costituzione americana e necessità dunque, per essere considerata legittima, di un warrant basato sulla probable cause.
Sommario: 1. Premessa. – 2. Il caso. – 3. Il quadro normativo di riferimento. – 4. I precedenti vincolanti, espressione della third party doctrine. – 5. Le argomentazione della majority opinion. – 6. Considerazioni finali
- Premessa
Il 22 giugno 2018 la Corte Suprema statunitense ha pubblicato le motivazioni della sentenza Carpenter v. U.S., una pronuncia molto attesa in tema di accesso da parte delle forze dell’ordine ai dati di geolocalizzazione generati dalle comunicazioni cellulari attraverso le connessioni con le celle telefoniche, memorizzati e conservati dagli operatori di telecomunicazioni mobili.
La Corte ha stabilito che per l’acquisizione di tali dati non è sufficiente un court order for disclosure di cui alla Section 2703(d) dello SCA (Stored Communications Act), ma è invece necessario un warrant in quanto si tratta di attività investigativa qualificabile come sequestro ai sensi del IV Emendamento della Costituzione americana.
Si tratta di una decisione assunta dalla Corte con una maggioranza risicata (5 giudici su 4) ma compatta in quanto non vi è nessuna cuncurring opinion, mentre le dissenting opinion sono state redatte singolarmente da ciascuno dei quattro giudici contrari.
- Il caso
Nell’aprile del 2011, a Detroit, venivano arrestate quattro persone sospettate di aver commesso una serie di rapine a mano armata ai danni delle catene di negozi Radio Shack e T-Mobile. Uno degli arrestati confessava che il gruppo, grazie all’aiuto di altri occasionali concorrenti a cui era stato affidato il ruolo di “palo” ed autista, aveva perpetrato nei quattro mesi precedenti altre nove rapine in diversi esercizi commerciali in Ohio e Michigan. L’uomo collaborava con gli investigatori identificando ulteriori quindici soggetti che avevano partecipato al sodalizio criminoso, dei quali forniva all’FBI i numeri di cellulare. Sulla base di tali informazioni il pubblico ministero chiedeva un court order, ai sensi della Section 2703(d) dello SCA, al fine di ottenere i metadati di traffico telefonico dei sospettati. Con riferimento, in particolare, alla posizione di Timothy Carpenter, sulla base di due distinti order, venivano acquisiti dalle compagnie telefoniche MetroPCS e Sprint, oltre ad una serie di altre informazioni, 12.898 dati di localizzazione relativi ai movimenti effettuati dall’imputato nei 127 giorni oggetto di indagine.
Carpenter, accusato di sei rapine e di detenzione illecita di arma da fuoco, veniva condannato, sia in primo che secondo grado, sulla scorta (anche) delle prove ricavate dai dati CSLI (cell-site location information) che lo collocavano per quattro delle sei rapine contestate sul luogo e negli orari dei crimini.
In entrambi i gradi di giudizio la difesa di Carpenter sosteneva, senza successo, l’inutilizzabilità dei dati CSLI sostenendo che la loro acquisizione sulla base del court order fosse incostituzionale per violazione del IV Emendamento che esige, per le operazioni di perquisizione e sequestro sulla persona e sui beni di proprietà, un warrant (mandato), emesso dall’autorità giudiziaria e supportato dalla sussistenza della cd. probable cause.
Carpenter presentava ricorso alla Corte Suprema.
Varie associazioni per i diritti civili americane, tra cui l’ACLU (American Civil Liberties Union), l’ACLU del Michigan, il Brennan Center for Justice, il Center for Democracy and Technology, l’EFF (Eltronic Frontier Foundation) e la National Association of Criminal Defense Lawyers, presentavano un amicus brief a sostegno della tesi difensiva[1].
Il caso veniva discusso avanti la Corte Suprema in data 29 novembre 2017 e, come detto, la sentenza depositata in data 22 giugno 2018.
- Il quadro normativo di riferimento
La Section 2703 del Titolo 18 dello U.S Code[2], introdotta dallo Stored Communications Act, disciplina la rivelazione (disclosure) da parte degli internet service provider (nello specifico, i fornitori di servizi di comunicazione elettronica o di servizi di computing da remoto) alle autorità governative (governmental entity)[3] del contenuto e dei metadati delle comunicazioni elettroniche dei loro clienti, archiviate per ragioni commerciali per cinque anni.
L’accesso è variamente modulato a seconda delle categorie di dati.
In forza della Section 2703(c)(2) un’autorità governativa può chiedere ad un ISP l’esibizione dei dati anagrafici, di residenza, di pagamento, di durata e del tipo di servizi usufruiti e dei metadati delle comunicazioni effettuate, compresi IMSI, IMEI e IP, di ogni utente od abbonato con un semplice subpoena.
L’acquisizione di dati relativi al contenuto delle comunicazioni archiviate presso gli ISP [Section 2703(b)] necessita, invece, di un federal warrant, oppure di un court order for disclosure, se l’autorità governativa è disposta a notificare preventivamente la sua richiesta all’utente o all’abbonato. Parimenti necessario un court order for disclosure [Section 2703(c)(1)] per l’acquisizione di informazioni, relative ad un utente o ad un abbonato, diverse dai dati che si possono richiedere con un subpoena.
Un court order for disclosure può essere emesso dal tribunale competente solo se l’autorità governativa è in grado di offrire precisi ed articolati elementi atti a dimostrare che vi sono ragionevoli motivi (reasonable grounds) per ritenere che il contenuto di una comunicazione (nell’ipotesi residuale di cui sopra) o le altre informazioni richieste siano pertinenti e rilevanti per un’indagine penale in corso.
La motivazione che sorregge una richiesta di emissione di un court order è diversa e più lassa rispetto a quella necessaria per argomentare una richiesta di emissione di un warrant ai sensi del IV Emendamento: il court order, infatti, presuppone la sussistenza di una semplice reasonable suspicion, mentre un warrant può essere concesso dal tribunale solo in presenza di una probable cause.
La probable cause, espressamente prevista, sebbene non definita, dal IV Emendamento[4] ricorre e legittima una perquisizione e/o un sequestro eseguiti sulla persona o sui suoi beni materiali (domicilio, documenti, effetti personali) quando vi siano elementi tali da far ragionevolmente ritenere che in un determinato luogo si possano rinvenire le prove di un crimine. In circostanze urgenti, la probable cause può anche giustificare perquisizioni e sequestri senza warrant.
- I precedenti vincolanti, espressione della third party doctrine
La questione giuridica sottesa al caso in esame è strettamente connessa con la third party doctrine, una teoria sviluppatasi negli anni ’70, secondo cui se una persona volontariamente cede o condivide con un soggetto terzo i suoi dati personali, si ritiene che su tali dati la persona rinunci ad ogni aspettativa di privacy.
Nella fattispecie in esame i dati di localizzazione acquisiti dall’FBI non si trovavano nella memoria del cellulare di Carpenter ma erano conservati sui server degli operatori di telecomunicazione mobile a cui l’imputato era contrattualmente legato.
Se i dati acquisiti fossero stati memorizzati nel cellulare, la Corte avrebbe sicuramente e pacificamente applicato i principi espressi in Riley v. California[5], una sentenza caposaldo, emanata nel 2014, che ha riconosciuto l’incostituzionalità, per violazione del IV Emendamento, delle perquisizioni e dei sequestri effettuati senza warrant sui dati contenuti nei telefoni cellulari degli indagati.
Trattandosi, invece, di dati volontariamente comunicati, in forza di un rapporto contrattuale, dall’imputato a soggetti terzi (le telco), sia i giudici di primo e di secondo grado che il procuratore generale in Corte Suprema hanno sostenuto doversi applicare i principi della third party doctrine, che trovano fondamento in due storici precedenti rappresentati dalle sentenze U.S. v. Miller del 1976[6] e Smith v. Maryland del 1979[7]: con la prima pronuncia la Corte Suprema ha sancito che non esiste alcuna ragionevole aspettativa di privacy in relazione alle informazioni personali contenute nei documenti bancari, mentre nel secondo arresto lo stesso principio è stato confermato con riferimento ai tabulati telefonici (i vecchi elenchi cartacei delle telefonate in entrata ed in uscita).
- Le argomentazioni della majority opinion
Il presidente Roberts, a cui è stata affidata l’estensione della majority opinion osserva come «There is a world of difference between the limited types of personal information addressed in Smith and Miller and the exhaustive chronicle of location information casually collected by wireless carriers today»[8] e sottolinea come la richiesta di conferma della condanna avanzata dall’Attorney General non discenda dalla mera, diretta applicazione della third-party doctrine in quanto comporterebbe, se accolta, una significativa estensione della stessa ad una distinta e particolare categoria di informazioni.
Dal punto di vista fattuale, la Corte enfatizza l’attitudine intrinseca dei dati CSLI a trasformarsi in un pericoloso strumento di sorveglianza massiva, sottolineando come i dati di localizzazione siano in grado di rivelare tutti i movimenti di una persona e, attraverso di essi, svelare informazioni relative ai suoi legami familiari, ai suoi rapporti professionali, alle sue convinzioni politiche e religiose ed alle sue inclinazioni sessuali. Dette informazioni vengono qualificate «detailed, encyclopedic, and effortlessly compiled»[9], anche perché (citando Riley v. California) i cellulari sono ormai un’appendice inseparabile dell’anatomia umana. Non solo. Rileva ancora la Corte come, trattandosi di dati storici conservati dalle compagnie telefoniche per cinque anni per ragioni aziendali, chiunque può essere monitorato ex post e solo i pochi senza cellulare potrebbero sfuggire ad una sorveglianza, definita instancabile ed assoluta.
Acclarata la profonda differenza qualitativa tra le categorie di dati per cui la giurisprudenza ha in passato riconosciuto l’applicazione della third party doctrine ed i dati CSLI, i giudici supremi americani cercano – trovandolo nella teoria della ragionevole aspettativa di privacy – il viatico per un’interpretazione evolutiva del IV Emendamento, ricordando come già nel 1928, in Olmstead v. U.S.[10], il famoso avvocato, poi giudice supremo, Warren Brandeis scriveva che: «Court is obligated – as “[s]ubtler and more far-reaching means of invading privacy have become available to the Government” – to ensure that the “progress of science” does not erode Fourth Amendment protections»[11].
Tradizionalmente il IV Emendamento protegge le persone e i loro beni materiali, come domicilio, documenti ed effetti personali, da perquisizioni e sequestri illegittimi: «the basic purpose of this Amendment», scrive la Corte Suprema citando Camara v. Municipal Court of City and County of San Francisco[12] del 1967, «is to safeguard the privacy and security of individuals against arbitrary invasions by governmental officials»[13].
La reasonable expectation of privacy è un’interpretazione evolutiva e sistematica del IV Emendamento, elaborata al fine di superare i rigorosi limiti imposti dal significato letterale della norma.
Si tratta di un principio che risale al 1967 alla sentenza Katz v. U.S.[14], in cui Corte Suprema, per la prima volta, ha riconosciuto che il IV Emendamento tutela le persone e non i luoghi e, conseguentemente, protegge le persone in tutti quei luoghi, anche pubblici, in cui le stesse possono ragionevolmente aspettarsi il rispetto di una sfera di riservatezza personale (il caso riguardava la legittimità di intercettazioni eseguite in una cabina telefonica pubblica).
Tale teoria, rimasta a lungo silente, è tornata alla ribalta negli ultimi anni. In particolare, è stata riproposta in due cuncurring opinion del caso U.S. v. Jones[15], nodale decisione del 2012 con cui la Corte Suprema, all’unanimità, ha sancito che il GPS tracking di un’autovettura costituisce una perquisizione ai sensi del IV Emendamento. Tra le varie opinion, quelle dei giudici Alito e Sotomayor sono state immediatamente additate come le più innovative in quanto, a differenza della maggioranza che aveva sostenuto che la violazione del IV Emendamento fosse riconducibile direttamente alla violazione della proprietà privata (l’auto) dell’imputato, hanno ritenuto che la violazione discendesse dal principio della ragionevole aspettativa di privacy.
I giudici di maggioranza della sentenza in commento collocano la decisione sul caso Carpenter sullo spartiacque tra due filoni giurisprudenziali contrapposti: da un lato quello che sostiene la third party doctrine e, dall’altro, quello che ha elaborato il principio della reasonable expectation of privacy.
Le due teorie sono, invero, strettamente intersecate atteso che, come sopra illustrato, la third party doctrine costituisce l’argine ed il confine del concetto stesso di ragionevole aspettativa di privacy, nelle ipotesi in cui una persona spontaneamente comunica a terzi di suoi dati personali.
La portata innovativa della sentenza in esame sta nel superamento della third party doctrine attraverso il pieno riconoscimento a livello costituzionale della reasonable expectation of privacy, teoria che in Jones, sebbene molto apprezzata dalla dottrina, era comunque rimasta secondaria.
Nella motivazione vi è poi un ulteriore passaggio, ancor più delicato, da cui emerge che l’aspettativa di privacy non è più calibrata, come in passato, sul singolo soggetto quanto piuttosto sull’intera collettività: si legge, infatti, in sentenza, che in una società democratica ci si aspetta che le forze dell’ordine non possano segretamente monitorare e catalogare i movimenti di una persona, attraverso un GPS tracker (caso Jones) o mediante l’acquisizione a posteriori dei dati CSLI (caso Carpenter), mediante una raccolta capillare di informazioni che sfocia in una vera e propria sorveglianza massiva (nella doppia accezione di sistematica ed indiscriminata)[16]. Un’aspettativa di privacy, dunque, non soggettiva bensì collettiva.
- Considerazioni finali
Sebbene sia stata molto criticata[17] perché giudicata troppo timida (peraltro è lo stesso Roberts a qualificarla una narrow decision) rispetto alla third party doctrine, che nella moderna società dell’informazione dovrebbe essere totalmente abbandonata, si tratta di una sentenza che ha il pregio di saper guardare con estrema lucidità all’enorme potenzialità lesiva dei diritti fondamentali sottesa alle nuove tecnologie e, al contempo, il coraggio di proporre un’interpretazione evolutiva delle garanzie poste a presidio dei diritti fondamentali al fine di preservare, al di là del dettato letterale del IV Emendamento (che al momento della sua formulazione, nel 1789, non si poteva certo prevedere avrebbe dovuto disciplinare l’odierno mondo digitale), il senso ultimo e più profondo di una tutela costituzionale.
Una sentenza importante, dunque, che fissa un solido tassello a favore della teoria della ragionevole aspettativa di privacy, aprendo un generoso varco per sue successive ulteriori applicazioni, ammesso e non concesso che l’imminente avvicendamento dei giudici supremi non comporti, come da molti paventato, una battuta di arresto nella giurisprudenza garantista resa negli ultimi anni dalla Corte Suprema.
Molto interessante è anche la straordinaria similitudine, in due sistemi giuridici che spesso (ad avviso di chi scrive, erroneamente) in materia di privacy e protezione dei dati personali vengono tratteggiati come lontani, se non addirittura contrapposti, del procedimento argomentativo della sentenza Carpenter e della pronuncia Digital Rights Ireland Ltd[18], con cui nel 2014 la Corte di giustizia dell’Unione europea ha dichiarato l’invalidità della direttiva 2006/24/CE sulla data retention (per inciso, i dati CSLI sono tra quelli di cui era – ed è tuttora in Italia – imposta la conservazione ex lege). Anche la Corte di giustizia, infatti, rimarcava come i metadati di traffico telefonico e telematico possano rivelare informazioni molto precise, talvolta sin più pervasive del contenuto delle comunicazioni stesse, sulla vita privata delle persone nonché il fatto che, essendo ormai tutti i cittadini europei utenti e fruitori di comunicazioni elettroniche, la conservazione indiscriminata e per lunghi periodi dei metadati delle loro comunicazioni si trasformi, di fatto, in una sorveglianza di massa.
Il principio della limitazione della conservazione dei dati personali, cristallizzato nell’art.5, par. 1, lett. e) del Regolamento 2016/679/UE, di cui la retention dei metadati di traffico telefonico e telematico costituisce la più importante eccezione ed il machine learning un’antitesi fisiologica, a parere di chi scrive, nei prossimi anni, sarà uno dei più salienti banchi di prova dell’effettiva tenuta delle libertà fondamentali nel XXI secolo.
[1] Un approfondimento dell’attività svolta dall’ACLU è disponibile sul relativo sito.
[2] Testo normativo reperibile all’url https://www.law.cornell.edu/uscode/text/18/2703.
[3] Con la locuzione governmental entity si intende «a department or agency of the United States or any State or political subdivision thereof».
[4] Il IV Emendamento così recita: «The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized».
[5] Atti e documenti relativi al caso Riley si possono leggere sul blog ufficiale della Corte Suprema americana.
[8] Cfr. majoriy opinion, 15.
[9] Cfr. majoriy opinion, 10.
[11] Cfr. majoriy opinion, 22.
[13] Cfr. majoriy opinion, 4.
[14] https://supreme.justia.com/cases/federal/us/389/347
[15] Atti e documenti relativi al caso Jones si possono leggere sul blog ufficiale della Corte Suprema americana.
[16] Cfr. majoriy opinion, 12.
[17] Cfr. D. Solove, Carpenter v. United States, Cell Phone Location Records, and the Third Party Doctrine, in TechPrivacy, 1 July 2018.
[18] CGUE, C-293/12 e C-594/12, Digital Rights Ireland e altri (2014).
