La geolocalizzazione degli smartphone è finita al centro di uno scontro legale che potrebbe avere ripercussioni enormi sul modo in cui vengono condotte le indagini e, soprattutto, su come vengono trattati i dati di posizione di milioni di persone. Tutto nasce da una rapina avvenuta nel 2019 in Virginia, un caso che sembrava ordinario ma che ha sollevato questioni enormi nel rapporto tra tecnologia e diritto costituzionale negli Stati Uniti. Il punto centrale riguarda i cosiddetti geofence warrants, mandati che permettono alla polizia di ottenere i dati di localizzazione di tutti i dispositivi presenti in una certa area geografica durante un determinato intervallo di tempo. In pratica, si rovescia la logica investigativa tradizionale: invece di partire da un sospettato per cercare prove, si parte da una massa enorme di dati per provare a individuare qualcuno.
Fino a non molto tempo fa, le indagini su rapine o aggressioni si basavano su testimonianze, telecamere di sorveglianza e riscontri fisici. Poi sono arrivati gli smartphone, con servizi come Google Maps che raccolgono coordinate GPS in continuazione, a volte ogni 2 minuti. Una traccia dettagliatissima degli spostamenti quotidiani, conservata nel cloud e, almeno fino a poco fa, interrogabile con un singolo comando dalle forze dell’ordine.
Dal caso americano al nodo della sorveglianza di massa
L’indagine che ha portato il caso davanti alla Corte Suprema statunitense riguarda una rapina armata a una banca vicino Richmond. Dopo aver esaurito le tecniche investigative classiche, un detective ha presentato a Google un mandato di tipo geofence, tracciando un perimetro virtuale attorno alla banca e una finestra temporale di circa un’ora. Il risultato iniziale non conteneva nomi, solo identificativi anonimi di dispositivi. Poi, attraverso un processo di selezione progressiva, gli investigatori hanno ottenuto informazioni sempre più precise, fino a risalire a un sospettato.
Il meccanismo funziona così: il provider interroga il proprio database e restituisce una lista di dispositivi presenti nell’area, gli investigatori analizzano i movimenti per restringere il campo, infine chiedono l’identità dell’utente associata a uno o più dispositivi. Si tratta di un processo a più livelli, ma il problema di fondo resta: la ricerca iniziale coinvolge persone che non sono sospettate di nulla.
Google ha nel frattempo dichiarato di aver modificato la propria architettura, spostando la memorizzazione dei dati di localizzazione direttamente sui dispositivi degli utenti. In teoria questo riduce la possibilità di fornire risposte aggregate a richieste geofence. Ma altre piattaforme, dai servizi di ride sharing ai social network, continuano a raccogliere dati di posizione con modalità simili. E le forze dell’ordine hanno già iniziato a indirizzare richieste verso aziende come Apple, Uber e Snapchat.
Europa e Italia: regole diverse, limiti più stretti
Se si guarda all’Europa, la situazione cambia parecchio. Il trattamento dei dati personali, compresi quelli di geolocalizzazione, è regolato dal GDPR, che li considera informazioni altamente sensibili. Ogni trattamento deve avere una base giuridica chiara, essere proporzionato e limitato allo scopo dichiarato. A questo si aggiunge la direttiva UE 2016/680, pensata specificamente per le attività di polizia e giustizia penale, che introduce vincoli ancora più stringenti: i dati devono essere raccolti per finalità determinate, non eccedenti e trattati con garanzie adeguate, anche quando riguardano soggetti non direttamente indagati.
Un meccanismo simile ai geofence warrants in Europa incontrerebbe ostacoli seri. Il principio di minimizzazione dei dati renderebbe difficile giustificare una raccolta iniziale così ampia, che coinvolge centinaia o migliaia di persone non sospette. E la direttiva ePrivacy limita l’accesso ai dati di localizzazione, consentendolo solo in forma anonima o con consenso esplicito, salvo eccezioni specifiche previste dalla legge.
Questo non significa che in Europa la geolocalizzazione sia esclusa dalle indagini. In Italia, ad esempio, i dati GPS e i tabulati di traffico vengono utilizzati come prove, ma attraverso procedure più mirate e con autorizzazione dell’autorità giudiziaria. L’accesso riguarda soggetti già individuati o fortemente sospettati, non tramite una ricerca massiva a posteriori. Il Garante per la protezione dei dati personali ha adottato una linea prudente, ammettendo l’uso della geolocalizzazione in ambiti specifici come sicurezza sul lavoro o emergenze, ma insistendo su condizioni precise: informativa, proporzionalità e limitazione temporale.
Durante le discussioni alla Corte Suprema USA, i giudici hanno mostrato una divisione meno ideologica del solito. Alcuni hanno espresso preoccupazione per il rischio di sorveglianza di massa, citando scenari come l’identificazione di persone presenti in chiese, riunioni politiche o manifestazioni. Altri hanno sottolineato l’efficacia investigativa di questi strumenti nei casi complessi. La questione è se l’evoluzione tecnologica imponga una revisione dei criteri con cui si definisce una perquisizione: in Europa la risposta sembra già orientata verso limiti stringenti, negli Stati Uniti la partita resta ancora aperta.
