Avvocato Generale CGUE: accesso ai dati telefonici anche per i reati meno gravi

Henrik Saugmandsgaard Øe, Avvocato Generale della CGUE, nelle conclusioni relative alla causa C-207/16, si è espresso in merito alla possibilità di derogare al principio di riservatezza delle comunicazioni elettroniche anche in relazione ai reati meno gravi, quando i dati di cui è richiesta la comunicazione non pregiudicano gravemente il diritto al rispetto della vita privata .

Nella conclusioni dell’Avvocato Generale della CGUE Henrik Saugmandsgaard ECLI EU C 2018 300 nella causa C-207/16 si legge il diritto dell’Unione non osta a che le autorità competenti possano avere accesso ai dati di identificazione, detenuti da fornitori di servizi di comunicazione elettronica, qualora tali dati consentano di rintracciare i presunti autori di un reato che non presenta un carattere grave . Il caso di specie. Il fatto, oggetto della controversia, traeva origine in seguito ad una rapina di un portafoglio e di un telefono cellulare per la quale la polizia giudiziaria spagnola, avviata un indagine penale, chiedeva al Giudice istruttore l’autorizzazione per accedere ai dati identificativi dei numeri di telefono attivati dal cellulare rubato. Il Giudice respingeva la domanda ritenendo che i fatti di indagine non avrebbero costituito un reato grave per il quale era possibile l’accesso a tali dati, secondo il diritto spagnolo. Secondo la direttiva relativa alla vita privata e alle comunicazioni elettroniche 2002/58/CE gli Stati membri possono limitare i diritti dei cittadini quando tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale cioè della sicurezza dello Stato , della difesa, della sicurezza pubblica o per assicurare la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati ovvero dell’uso non autorizzato del sistema di comunicazione elettronica . L’ingerenza nei diritti in gioco. In precedenti sentenze la Corte di Giustizia UE, per valutare la legittimità e la proporzionalità di un’ingerenza nel di rispetto di vita privata e famigliare e nel diritto alla protezione dei dati personali, ha utilizzato la nozione di reati gravi . Nelle odierne conclusioni è stato precisato che per affermare la sussistenza di un reato grave, che consenta la deroga al principio di riservatezza delle comunicazioni elettroniche, serve che anche l’ingerenza nei diritti fondamentali citati sia grave. Secondo l’Avvocato Generale il carattere di particolare gravità non ricorre nella fattispecie in esame, considerando che gli effetti potenzialmente nocivi, per le persone interessate dalla richiesta di accesso in questione, sono nel contempo moderati e circoscritti, in quanto i dati richiesti non sono destinati ad essere divulgati al pubblico e la facoltà di accesso offerta alle autorità di polizia è circondata da garanzie procedurali, poiché essa dà luogo ad un controllo giurisdizionale . Accesso ai dati anche per i reati meno gravi. L’Avvocato Generale, per queste ragioni, ha osservato che soltanto quando l’ingerenza subita presenta una particolare gravità i reati idonei a giustificare una siffatta ingerenza devono presentare essi stessi una particolare gravità. Per contro, nell’ipotesi di un’ingerenza non grave ossia quando i dati di cui è richiesta la comunicazione non pregiudicano gravemente il diritto al rispetto della vita privata , anche i reati che non presentano una particolare gravità possono giustificare tale ingerenza ossia l’accesso ai dati richiesti . Di conseguenza nella fattispecie in esame, alla luce della direttiva UE, secondo l’Avvocato Generale la misura richiesta dalla polizia giudiziaria comporta un ingerenza nei diritti fondamentali in gioco che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave .

Avvocato Generale CGUE, conclusioni 3 maggio 2018, causa C-207/16 * Rinvio pregiudiziale – Comunicazioni elettroniche – Trattamento dei dati personali – Diritto alla vita privata e diritto alla protezione di tali dati – Direttiva 2002/58/CE – Articolo 1 e articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8 nonché articolo 52, paragrafo 1 – Dati raccolti nell’ambito della fornitura di servizi di comunicazione elettronica – Richiesta di accesso da parte di un’autorità di polizia a fini di indagine penale – Principio di proporzionalità – Nozione di reato grave” idoneo a giustificare un’ingerenza nei diritti fondamentali – Criteri di gravità – Pena irrogabile – Soglia minima I. Introduzione 1. Il presente rinvio pregiudiziale verte, in sostanza, sull’interpretazione della nozione di reati gravi 2 ai sensi della giurisprudenza della Corte derivante dalla sentenza Digital Rights Ireland e a. 3 in prosieguo la sentenza Digital Rights e poi dalla sentenza Tele2 Sverige e Watson e a. 4 in prosieguo la sentenza Tele2 , in cui tale nozione è stata utilizzata quale criterio di valutazione della legittimità e della proporzionalità di un’ingerenza nei diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea in prosieguo la Carta , vale a dire, rispettivamente, il diritto al rispetto della vita privata e della vita familiare nonché il diritto alla protezione dei dati di carattere personale. 2. Tale rinvio pregiudiziale si inserisce nell’ambito di un ricorso proposto avverso una decisione giudiziaria che ha negato ad alcune autorità di polizia la possibilità di ottenere che fossero loro comunicati determinati dati di stato civile detenuti da operatori di telefonia mobile, allo scopo di identificare alcuni individui ai fini di un’indagine penale. La decisione impugnata era motivata, in particolare, dalla considerazione che i fatti all’origine di tale indagine non sarebbero stati costitutivi di un reato grave, contrariamente a quanto avrebbe richiesto la normativa spagnola applicabile. 3. Il giudice del rinvio interroga la Corte, in sostanza, sul modo di fissare la soglia di gravità dei reati a partire dalla quale può essere giustificata, alla luce della summenzionata giurisprudenza, un’ingerenza nei diritti fondamentali tutelati dagli articoli 7 e 8 della Carta, in occasione dell’accesso, da parte delle autorità nazionali competenti, a dati personali conservati da fornitori di servizi di comunicazione elettronica. 4. Dopo aver stabilito che la Corte è competente a statuire su tale domanda di pronuncia pregiudiziale e che quest’ultima è ricevibile, intendo dimostrare che l’accesso a dati personali in circostanze come quelle del caso di specie comporta un’ingerenza nei summenzionati diritti fondamentali che non corrisponde alle sole ipotesi in cui il pregiudizio arrecato a tali diritti può essere giustificato, ossia nel contesto della lotta contro reati gravi, ai sensi della giurisprudenza sopra citata. 5. Poiché ritengo che, alla luce del particolare oggetto del procedimento principale, non sia necessario che la Corte risponda alle questioni pregiudiziali nella loro formulazione iniziale, fornirò soltanto in subordine indicazioni sui criteri che consentirebbero, eventualmente, di definire la nozione di reati gravi ai sensi di tale giurisprudenza, in particolare con riguardo al criterio della pena irrogabile. II. Contesto normativo A. Diritto dell’Unione 6. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche direttiva relativa alla vita privata e alle comunicazioni elettroniche 5 , come modificata dalla direttiva 2009/136/CE 6 in prosieguo la direttiva 2002/58 , enuncia, nel suo preambolo, quanto segue 2 La presente direttiva mira a rispettare i diritti fondamentali e si attiene ai principi riconosciuti in particolare dalla [Carta]. In particolare, la presente direttiva mira a garantire il pieno rispetto dei diritti di cui agli articoli 7 e 8 di tale Carta. 11 La presente direttiva, analogamente alla direttiva 95/46/CE [ 7 ], non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato e l’applicazione della legge penale. Di conseguenza la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali [in prosieguo la CEDU”], come interpretata dalle sentenze della Corte europea dei diritti dell’uomo [in prosieguo la Corte EDU”]. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla [CEDU] [ 8 ] . 7. A termini dell’articolo 1 della direttiva 2002/58, intitolato Finalità e campo d’applicazione 1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche . 3. La presente direttiva non si applica alle attività che esulano dal campo di applicazione del trattato che istituisce la Comunità europea, quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato o alle attività dello Stato in settori che rientrano nel diritto penale . 8. Il successivo articolo 2, intitolato Definizioni , è così formulato Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva [95/46] e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica direttiva quadro [ 9 ]. Si applicano inoltre le seguenti definizioni a utente” qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata b dati relativi al traffico” qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione c dati relativi all’ubicazione” ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico d comunicazione” ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato . 9. L’articolo 15 della direttiva 2002/58, intitolato Applicazione di alcune disposizioni della direttiva [95/46] , prevede, al paragrafo 1, che [g]li Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale cioè della sicurezza dello Stato , della difesa, della sicurezza pubblica e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea . B. Diritto spagnolo 1. Legge 25/2007 10. La Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones legge 25/2007 sulla conservazione dei dati relativi alle comunicazioni elettroniche e alle reti pubbliche di comunicazione , del 18 ottobre 2007 10 in prosieguo la legge 25/2007 , ha recepito nel diritto spagnolo la direttiva 2006/24 11 , che è stata dichiarata invalida dalla Corte nella sentenza Digital Rights. 11. A termini dell’articolo 1 della legge 25/2007, nella sua versione applicabile ai fatti della controversia principale 1. La presente legge disciplina l’obbligo degli operatori di conservare i dati generati o trattati nell’ambito della prestazione di servizi di comunicazione elettronica o di reti pubbliche di comunicazione nonché il dovere di cedere tali dati agli agenti abilitati, sempre dietro presentazione della rispettiva autorizzazione dell’autorità giudiziaria a fini di accertamento, indagine e perseguimento di reati gravi previsti dal codice penale o da leggi penali speciali. 2. La presente legge si applica ai dati relativi al traffico e ai dati relativi all’ubicazione delle persone sia fisiche che giuridiche, nonché ai dati connessi necessari per identificare l’abbonato o l’utente registrato. . 12. L’articolo 3 di detta legge elenca i dati che gli operatori sono tenuti a conservare. Si tratta, in particolare, ai sensi del paragrafo 1, lettera a , punto 1, ii , di tale articolo, dei dati necessari per rintracciare e identificare la fonte di una comunicazione, quali, per quanto riguarda la telefonia mobile, il nome e l’indirizzo dell’abbonato o dell’utente registrato. 2. Codice penale 13. Ai sensi dell’articolo 13, paragrafo 1, del codice penale spagnolo, nella sua versione applicabile ai fatti della controversia principale, [s]ono considerati reati gravi quelli che la legge punisce con una pena grave . 14. L’articolo 33 di detto codice è così formulato 1. In funzione della loro natura e della loro durata, le pene si distinguono in gravi, meno gravi e lievi. 2. Sono pene gravi a L’ergastolo. b La reclusione superiore a cinque anni. . 3. Codice di procedura penale 15. Il codice di procedura penale spagnolo è stato modificato dalla Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica legge organica 13/2015 che modifica il codice di procedura penale allo scopo di rafforzare le garanzie processuali e disciplinare i mezzi di investigazione tecnologici , del 5 ottobre 2015 12 in prosieguo la legge organica 13/2015 . 16. Tale legge, entrata in vigore il 6 dicembre 2015, inserisce nel codice di procedura penale le disposizioni riguardanti l’accesso ai dati relativi alle comunicazioni telefoniche e telematiche conservati dai fornitori di servizi di comunicazione elettronica. 17. A termini dell’articolo 579, paragrafo 1, del codice di procedura penale, nella versione derivante da detta legge, [i]l giudice può autorizzare l’intercettazione della corrispondenza privata, postale e telegrafica, compresi i fax, i Burofax e i vaglia postali internazionali, che l’indagato invia o riceve, nonché l’apertura e l’analisi di quest’ultima qualora sussistano indizi che inducono a ritenere che essa consentirà di scoprire o di accertare un fatto o un fattore rilevante per la causa, purché l’indagine abbia ad oggetto uno dei seguenti reati 1 Reati dolosi puniti con una pena detentiva massima non inferiore a tre anni. 2 Reati commessi nell’ambito di un’organizzazione criminale. 3 Reati di terrorismo . 18. L’articolo 588 ter j del medesimo codice, intitolato Dati contenuti negli archivi automatizzati dei prestatori di servizi , così recita 1. I dati elettronici conservati dai prestatori di servizi o da persone che agevolano la comunicazione in applicazione della normativa sulla conservazione dei dati relativi alle comunicazioni elettroniche o di propria iniziativa, per motivi commerciali o di altra natura, e che siano collegati a processi di comunicazione, possono essere ceduti per essere acquisiti al processo soltanto su autorizzazione del giudice. 2. Qualora la conoscenza di tali dati sia indispensabile per le indagini, viene chiesta al giudice competente un’autorizzazione per raccogliere le informazioni contenute negli archivi automatizzati dei prestatori di servizi, compresa la ricerca incrociata e intelligente di dati, a condizione che vengano precisate la natura dei dati da raccogliere e le ragioni che giustificano la cessione . III. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte 19. Il sig. Hernández Sierra ha presentato una denuncia alla polizia per una rapina del proprio portafoglio e del proprio telefono cellulare, che sarebbe avvenuta il 16 febbraio 2015 e nel corso della quale egli sarebbe stato gravemente ferito. 20. Con domanda del 27 febbraio 2015, la polizia giudiziaria ha chiesto al Juzgado de Instrucción n. 3 de Tarragona giudice istruttore n. 3 di Tarragona, Spagna in prosieguo il giudice istruttore l’emanazione dell’ingiunzione, nei confronti dei vari operatori di telefonia, di comunicare, da una parte, i numeri di telefono attivati, tra il 16 febbraio e il 27 febbraio 2015, con il codice IMEI 13 del telefono cellulare rubato e, dall’altra, i dati personali dei titolari o utenti di tutti i numeri di telefono corrispondenti alle carte SIM attivate con detto codice IMEI 14 . 21. Con ordinanza del 5 maggio 2015, il giudice istruttore ha respinto tale domanda, con la motivazione che la misura richiesta era poco utile per identificare gli autori del reato e che, in ogni caso, la legge 25/2007 limitava la comunicazione dei dati conservati dagli operatori di telefonia ai reati gravi – vale a dire, ai sensi del codice penale spagnolo 15 , quelli punibili con una pena detentiva superiore a cinque anni –, mentre i fatti in questione non costituirebbero un reato grave. 22. Il Ministerio Fiscal pubblico ministero spagnolo , unica parte del procedimento, ha interposto appello avverso tale ordinanza dinanzi all’Audiencia Provincial de Tarragona Corte provinciale di Tarragona, Spagna , sostenendo che la comunicazione dei dati in questione avrebbe dovuto essere concessa in ragione della natura dei fatti e di una decisione del Tribunal Supremo Corte suprema, Spagna riguardante un caso simile 16 . 23. Con ordinanza del 9 febbraio 2016, detta Audiencia Provincial Corte provinciale ha ordinato, a titolo di provvedimento provvisorio rivolto gli operatori di telefonia, la proroga della conservazione dei dati interessati dalla domanda controversa. 24. La decisione di rinvio pregiudiziale emessa da tale giudice espone che, dopo l’adozione della decisione impugnata, il legislatore spagnolo ha stabilito, in forza della legge organica 13/2015 17 , due criteri alternativi per determinare il livello di gravità di un reato. Il primo sarebbe un criterio materiale, che rimanda a comportamenti che corrispondono a qualificazioni penali di particolare e grave rilevanza criminosa e che sono particolarmente lesivi dei beni giuridici individuali e collettivi 18 . Il secondo sarebbe un criterio normativo formale, fondato esclusivamente sulla pena prevista per il reato in questione. Orbene, la soglia di tre anni di reclusione prevista da quest’ultimo criterio potrebbe comprendere la maggior parte delle fattispecie di reato. Inoltre, il giudice del rinvio osserva che l’interesse dello Stato a proteggere i cittadini e a reprimere i comportamenti penalmente illeciti non può legittimare un’ingerenza sproporzionata nei diritti fondamentali delle persone. 25. In tale contesto, con decisione del 6 aprile 2016, pervenuta alla Corte il 14 aprile 2016, l’Audiencia Provincial de Tarragona Corte provinciale di Tarragona ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se la soglia di sufficiente gravità dei reati, quale criterio che giustifica l’ingerenza nei diritti fondamentali riconosciuti dagli articoli 7 e 8 della Carta, possa essere individuata prendendo in considerazione unicamente la pena irrogabile per il reato oggetto di indagini o se sia inoltre necessario rilevare nella condotta criminosa particolari livelli di lesività nei confronti dei beni giuridici individuali e/o collettivi. 2 Qualora la determinazione della gravità del reato sulla sola base della pena irrogabile risultasse conforme ai principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights] quali parametri di controllo rigoroso della direttiva [dichiarata invalida da tale sentenza], quale dovrebbe essere tale soglia, e se essa risulti compatibile con una previsione generale di un limite di tre anni di reclusione . 26. Il procedimento dinanzi alla Corte è stato sospeso, con decisione del Presidente del 23 maggio 2016, in attesa della pronuncia della sentenza della Corte nelle cause riunite Tele2 Sverige e Watson e a., -203/15 e -698/15. 27. Interrogato dalla Corte dopo la pronuncia di tale sentenza, avvenuta il 21 dicembre 2016 19 , il giudice del rinvio ha dichiarato di voler mantenere la propria domanda di pronuncia pregiudiziale. Esso ha affermato che le questioni pregiudiziali da lui sollevate rimanevano rilevanti, in quanto, sebbene detta sentenza fornisse esempi di reati gravi 20 , essa non definiva tuttavia in modo sufficientemente chiaro il contenuto sostanziale della nozione di gravità del reato che può servire da criterio di valutazione della giustificazione di una misura d’ingerenza. Orbene, tale nozione comporterebbe il rischio che le condizioni della conservazione dei dati e dell’accesso ai medesimi siano stabilite, a livello nazionale, in un modo molto ampio, che non rispetterebbe i diritti fondamentali di cui alla sentenza Tele2. Pertanto, nell’adottare la legge organica 13/2015, il legislatore spagnolo, a dispetto dei criteri enunciati nella sentenza Digital Rights 21 , avrebbe ridotto notevolmente, rispetto alle norme precedenti contenute nella legge 25/2007, la soglia di gravità dei reati per i quali sono consentite la conservazione e la comunicazione di dati personali. 28. A seguito di tale risposta, il procedimento dinanzi alla Corte è ripreso il 16 febbraio 2017. Osservazioni scritte sono quindi state depositate dai governi spagnolo, ceco, estone, irlandese, francese, lettone, ungherese, austriaco e del Regno Unito, nonché dalla Commissione europea. 29. In vista dell’udienza, la Corte ha sottoposto alcuni quesiti con richiesta di risposta scritta al governo spagnolo, ai quali quest’ultimo ha risposto il 9 gennaio 2018, nonché alcuni quesiti con richiesta di risposta orale a tutti gli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea. 30. All’udienza, tenutasi il 29 gennaio 2018, il pubblico ministero spagnolo, i governi spagnolo, ceco, danese, estone, irlandese, francese, lettone, polacco e del Regno Unito nonché la Commissione hanno esposto le loro osservazioni orali. IV. Analisi A. Osservazioni introduttive 31. Prima di procedere ad un esame approfondito delle questioni sollevate dalla presente domanda di pronuncia pregiudiziale, ritengo necessario esporre alcune osservazioni riguardanti l’oggetto specifico di quest’ultima. 32. In primo luogo, alla luce delle indicazioni contenute nella decisione di rinvio e delle informazioni complementari fornite dal governo spagnolo, rilevo che la controversia oggetto del procedimento principale presenta notevoli peculiarità, che la distinguono, in particolare, dal contesto delle cause che hanno dato luogo alle sentenze Digital Rights e Tele2 22 . 33. Infatti, risulta che la richiesta delle autorità di polizia di cui trattasi nel presente caso mira a ottenere unicamente dati che consentono di identificare i titolari o utenti dei numeri di telefono relativi alle carte SIM che sono state inserite nel telefono cellulare rubato 23 . Inoltre, è pacifico che tale richiesta riguarda un periodo chiaramente definito e limitato nel tempo, vale a dire una dozzina di giorni 24 . 34. Pertanto, il numero delle persone potenzialmente interessate dalla misura controversa non è illimitato, bensì ristretto. Inoltre, tali persone sono non già tutti i detentori di una carta SIM, bensì individui aventi un profilo molto particolare, poiché si tratta di coloro che hanno utilizzato il telefono rubato dopo la sua sottrazione, o persino che ne sono ancora in possesso, e che possono essere quindi legittimamente sospettati di essere gli autori del reato o di essere in relazione con questi ultimi. 35. Per di più, i dati oggetto della richiesta consistono non già in qualsiasi tipo di dati personali 25 detenuti dai fornitori di servizi di comunicazione elettronica, bensì soltanto in quelli relativi all’identità civile degli individui summenzionati, vale a dire il loro nome, il loro cognome ed eventualmente il loro indirizzo 26 , dati che possono anche essere qualificati di contatto . Le altre informazioni riguardanti tali individui, eventualmente presenti negli archivi di detti fornitori 27 , sono escluse, a mio avviso, dal procedimento principale. 36. Peraltro, l’obiettivo qui perseguito è, a mio avviso, quello di raccogliere informazioni che non riguardano né un’ubicazione né comunicazioni in quanto tali 28 , bensì persone fisiche ricercate per aver potuto utilizzare un servizio di comunicazione elettronica mediante il telefono rubato, anche se tali persone non hanno effettuato in concreto una telefonata. Infatti, dalle spiegazioni fornite alla Corte dal pubblico ministero spagnolo, risulta che i dati personali richiesti, tratti dall’associazione tra una determinata carta SIM e il numero IMEI del telefono rubato, possono tecnicamente essere ottenuti grazie ad una mera connessione di quest’ultimo con un terminale di telefonia cellulare, quand’anche il detentore della carta non abbia effettuato alcuna telefonata con il telefono interessato, quindi indipendentemente da qualsiasi comunicazione effettiva 29 . Spetta al giudice del rinvio verificare tale asserzione di carattere fattuale, che mi sembra tuttavia sufficientemente plausibile perché sia ragionevole ritenerla veritiera. 37. Alla luce di tutti questi elementi, sottolineo anzitutto che il procedimento principale riguarda dati personali la cui trasmissione è richiesta non già in maniera generalizzata e indifferenziata, bensì in modo mirato quanto alle persone e limitato quanto alla durata. Inoltre, i dati richiesti non sembrano, a prima vista, di natura particolarmente sensibile, sebbene i diritti fondamentali sanciti dagli articoli 7 e 8 della Carta possano tuttavia essere pregiudicati dall’accesso a dati di tal genere 30 . 38. In secondo luogo, osservo che, come risulta dalla motivazione della decisione di rinvio, le questioni pregiudiziali sollevate nella presente causa si caratterizzano per il fatto di vertere non già sulle condizioni della conservazione di dati personali nel settore delle comunicazioni elettroniche, bensì sulle modalità dell’accesso delle autorità nazionali a tali dati conservati dai fornitori di servizi operanti in tale settore 31 . 39. Il giudice del rinvio indica, in particolare, che, ai sensi dell’articolo 588 ter j del codice di procedura penale, è richiesta un’autorizzazione giudiziaria affinché i dati elettronici archiviati dai fornitori di servizi siano trasmessi alle autorità competenti al fine di essere presi in considerazione nell’ambito di un procedimento. Il paragrafo 1 di detto articolo precisa che la conservazione di tali dati può essere stata effettuata dai fornitori in applicazione della normativa pertinente oppure di loro iniziativa per ragioni commerciali o di altro tipo. 40. Nel caso di specie, sembra che i dati personali a cui le autorità di polizia chiedono di accedere, a fini investigativi, abbiano potuto essere archiviati dagli operatori di telefonia mobile in esecuzione di un obbligo derivante dalla legge spagnola 32 . Il giudice del rinvio non fornisce indicazioni a tale riguardo, dato che la sua domanda di pronuncia pregiudiziale è focalizzata sull’eventuale accesso a dati già conservati e la conformità dell’archiviazione dei dati alle prescrizioni del diritto dell’Unione non è messa in discussione nel procedimento principale 33 . Pertanto, occorre a mio avviso partire dalla premessa secondo cui i dati di cui trattasi nel procedimento principale sono stati conservati conformemente alla normativa nazionale, nel rispetto delle condizioni stabilite dall’articolo 15, paragrafo 1, della direttiva 2002/58, circostanza che spetta unicamente al giudice del rinvio verificare 34 . 41. Nelle considerazioni che seguono, tornerò sulle implicazioni giuridiche delle constatazioni qui formulate in via preliminare 35 . B. Sulle eccezioni processuali sollevate dal governo spagnolo 42. Il governo spagnolo ha sollevato due categorie di eccezioni processuali, una relativa alla competenza della Corte e l’altra relativa alla ricevibilità della domanda di pronuncia pregiudiziale, sulle quali la Corte dovrà pronunciarsi prima di decidere, se del caso, sul merito. 1. Sulla competenza della Corte alla luce dell’ambito di applicazione del diritto dell’Unione 43. Anzitutto, rammento che, come risulta da una giurisprudenza costante, i diritti fondamentali garantiti nell’ordinamento giuridico dell’Unione, e in particolare quelli sanciti dagli articoli 7 e 8 della Carta, si applicano soltanto se la situazione di cui trattasi è disciplinata dal diritto dell’Unione 36 . Inoltre, l’articolo 51, paragrafo 1, della Carta prevede che le disposizioni di quest’ultima si applichino agli Stati membri esclusivamente nell’attuazione del diritto dell’Unione , ai sensi della giurisprudenza della Corte relativa a tale nozione 37 . Pertanto, qualora una situazione giuridica non rientri nell’ambito di applicazione del diritto dell’Unione, la Corte non è competente al riguardo e le disposizioni della Carta eventualmente richiamate non possono giustificare, di per sé, tale competenza 38 . 44. Nel caso di specie, le questioni sollevate dal giudice del rinvio riguardano unicamente gli articoli 7 e 8 della Carta nonché i principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights] . Tuttavia, tale giudice ritiene che le direttive applicabili in materia di protezione dei dati personali, quali la direttiva 95/46 e la direttiva 2002/58, stabiliscano il collegamento richiesto, ai sensi dell’articolo 51, paragrafo 1, della Carta, tra la controversia principale e il diritto dell’Unione. 45. A tale riguardo, osservo, in primo luogo, che il governo spagnolo sostiene, in via principale, che la Corte non è dotata della competenza necessaria per statuire sul presente rinvio pregiudiziale, in quanto quest’ultimo non riguarda l’applicazione del diritto dell’Unione. Esso afferma, in particolare, che la controversia principale sarebbe esclusa dall’ambito di applicazione del diritto dell’Unione, in quanto essa riguarda un accesso della polizia a dati soggetto ad una decisione giudiziaria nell’ambito di un’indagine, il che costituirebbe un’attività dello Stato in materia penale 39 e rientrerebbe quindi nell’ambito delle eccezioni di cui all’articolo 1, paragrafo 3, della direttiva 2002/58, nonché all’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 40 . All’udienza, il governo del Regno Unito ha dichiarato di condividere tale punto di vista del governo spagnolo. 46. Tuttavia, ritengo che la direttiva 2002/58 sia applicabile nei confronti di misure nazionali come quelle di cui trattasi nel procedimento principale. Infatti, la Corte ha già dichiarato, nella sentenza Tele2, che le normative nazionali relative alla conservazione di dati per finalità di lotta contro la criminalità rientrano nell’ambito di applicazione di tale direttiva, non solo in quanto esse definiscono gli obblighi incombenti a tale titolo ai fornitori di servizi di comunicazione elettronica, ma anche in quanto esse disciplinano l’accesso delle autorità nazionali ai dati conservati in tale ambito 41 . Al pari della Commissione, ritengo che le considerazioni espresse in tale sentenza siano trasponibili alle norme nazionali applicabili nel caso di specie, vale a dire quelle derivanti dalla legge 25/2007 in combinato disposto con il codice di procedura penale spagnolo quale modificato dalla legge organica 13/2015 42 , e quindi trasponibili all’oggetto del procedimento principale. 47. Aggiungo che non si devono confondere, da una parte, i dati personali trattati direttamente nell’ambito delle attività – di natura sovrana 43 – dello Stato in un settore rientrante nel diritto penale 44 e, dall’altra, quelli trattati nell’ambito delle attività – di natura commerciale – di un fornitore di servizi di comunicazione elettronica che sono successivamente utilizzati dalle autorità statali competenti 45 . Peraltro, osservo che alla Corte è stata recentemente sottoposta una domanda di pronuncia pregiudiziale vertente, in particolare, sull’interpretazione dell’articolo 1, paragrafo 3, della direttiva 2002/58 nel contesto dell’utilizzo, da parte dei servizi di sicurezza e di informazione di uno Stato membro, di dati che devono essere loro trasmessi in massa da tali fornitori 46 , problematica che, a mio avviso, non occorre risolvere nella presente causa 47 . 48. In secondo luogo, osservo che altri interrogativi sono stati formulati in merito all’ambito di applicazione della direttiva 2002/58, da cui dipende la competenza della Corte nella presente causa, con riguardo al tipo di dati in questione nel procedimento principale. 49. Come ho già esposto 48 , dagli elementi del fascicolo risulta che la domanda di accesso controversa mira ad ottenere informazioni sull’identità dei titolari o utenti dei numeri di telefono corrispondenti alle carte SIM attivate mediante il telefono cellulare rubato, al fine di rintracciare le persone che hanno detenuto tale telefono, e non informazioni sulle telefonate eventualmente effettuate a partire da quest’ultimo. 50. In altri termini, sebbene, ai sensi della normativa spagnola 49 , avrebbe potuto essere interessato un più ampio ventaglio di dati personali, il presente procedimento principale verte su dati che riguardano unicamente l’identità di utenti , ai sensi dell’articolo 2, secondo comma, lettera a , della direttiva 2002/58, e non ad una qualsiasi ubicazione 50 , ai sensi dell’articolo 2, secondo comma, lettera c , né a comunicazioni in quanto tali, ai sensi del medesimo articolo 2, secondo comma, lettera d 51 . 51. Secondo il pubblico ministero spagnolo, i governi spagnolo, danese, irlandese, lettone e del Regno Unito nonché la Commissione, informazioni come quelle di cui trattasi nel caso di specie, nella misura in cui siano prese in considerazione isolatamente, vale a dire indipendentemente dalle comunicazioni eventualmente effettuate, non dovrebbero nemmeno rientrare, in linea di principio, nella nozione di dati relativi al traffico , ai sensi di detto articolo 2, secondo comma, lettera b , il quale definisce questi ultimi come qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione 52 . 52. È pur vero che, a quanto pare, i dati di identificazione richiesti nel caso di specie dalle autorità di polizia non riguardano il traffico di comunicazioni propriamente detto, poiché risulta che tali dati possono essere ottenuti nonostante un’eventuale assenza totale di telefonate passive con il telefono rubato, e quindi anche se non sia stata inoltrata alcuna comunicazione interpersonale da un operatore di telefonia mobile, durante il periodo indicato nella richiesta 53 . 53. Tuttavia, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione della direttiva 2002/58, poiché il trattamento delle informazioni associate alle carte SIM e ai loro titolari, richieste nel caso di specie, è necessario, da un punto di vista commerciale, alla fornitura dei servizi di comunicazione elettronica 54 , quanto meno al fine di fatturare il servizio fornito 55 , a prescindere dalle telefonate effettuate o meno nell’ambito di tale prestazione. 54. Invero, alla luce dell’articolo 1, paragrafo 1, e dell’articolo 3 della direttiva 2002/58 56 , condivido l’opinione espressa, in particolare, dalla Commissione, secondo la quale tale direttiva mira a disciplinare, in modo globale, il trattamento dei dati personali effettuato nell’ambito della fornitura di servizi di comunicazione elettronica, cosicché il suo campo di applicazione comprende i dati relativi all’identità degli utenti di tali servizi, come quelli di cui trattasi nel caso di specie, e non soltanto quelli relativi ad una determinata comunicazione. Tenuto conto inoltre degli obiettivi di protezione previsti da detta direttiva, che consistono principalmente nella salvaguardia di diritti fondamentali garantiti dalla Carta 57 , ritengo pertanto che la nozione di comunicazione , ai sensi di tale strumento, debba essere intesa nella sua accezione ampia e che il principio di riservatezza delle comunicazioni previsto da tale strumento 58 entri effettivamente in gioco nel caso di specie. 55. Sono anche dell’avviso che tale interpretazione sia corroborata da una precedente sentenza della Corte, nella quale quest’ultima ha già ammesso che il campo di applicazione della direttiva 2002/58 copriva una controversia vertente sulla trasmissione dei nomi e degli indirizzi di utenti di un servizio di comunicazione elettronica 59 . Aggiungo che l’articolo 12 di detta direttiva, che è relativo agli elenchi di abbonati, riguarda certamente, a mio avviso, dati di tale natura 60 e che il suo considerando 15 riflette parimenti una concezione elastica della nozione di comunicazione , includendovi segnatamente un indirizzo fornit[o] da chi emette la comunicazione 61 . 56. Inoltre, un siffatto orientamento è coerente con la giurisprudenza della Corte EDU in materia 62 , tenendo presente che il preambolo della direttiva 2002/58 sottolinea che quest’ultima intende garantire la riservatezza delle comunicazioni e il diritto degli utenti a una vita privata ai sensi della CEDU quale interpretata da detto organo giurisdizionale 63 , anche se quest’ultimo strumento non è formalmente integrato nell’ordinamento giuridico dell’Unione 64 . 57. Di conseguenza, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione materiale della direttiva 2002/58 e che l’eccezione di incompetenza sollevata dal governo spagnolo debba quindi essere respinta. 58. A fini di completezza, preciso tuttavia che, qualora la direttiva 2002/58 non fosse riconosciuta applicabile in un’ipotesi di tal genere, la direttiva 95/46, evocata sia dal giudice del rinvio che dal governo spagnolo, non può fondare la competenza della Corte a pronunciarsi nella presente causa. 59. Infatti, come affermato dalla Commissione, è pur vero che la direttiva 95/46 costituisce lo strumento di portata generale in materia di trattamento dei dati personali 65 , ma le questioni sollevate dal giudice del rinvio sarebbero, a mio avviso, irrilevanti se fossero esaminate soltanto sotto tale profilo, poiché esse hanno lo scopo di determinare la soglia a partire dalla quale i reati possono essere qualificati come gravi ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, le quali non vertevano sull’interpretazione di detta direttiva 66 . 2. Sulla ricevibilità della domanda di pronuncia pregiudiziale 60. Il governo spagnolo sostiene in subordine, nell’ipotesi in cui la Corte giudicasse di essere competente a rispondere alle questioni sollevate, che la domanda di pronuncia pregiudiziale dovrebbe essere dichiarata irricevibile per due motivi. 61. In primo luogo, tale governo afferma che il giudice del rinvio non individuerebbe in modo chiaro il quadro normativo dell’Unione sul quale la Corte deve pronunciarsi. 62. A tale riguardo, esso richiama la giurisprudenza costante secondo cui, nell’ambito della cooperazione istituita dall’articolo 267 TFUE, la Corte può rifiutarsi di statuire su questioni pregiudiziali, le quali sono assistite da una presunzione di rilevanza, soltanto qualora risulti in modo manifesto che l’interpretazione o l’esame di validità richiesto relativamente ad una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, oppure qualora il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte 67 . 63. Tuttavia, considero che, nel caso di specie, la censura formulata dal governo spagnolo sia infondata. Infatti, alla luce delle indicazioni fornite dal giudice del rinvio, ritengo che quest’ultimo abbia individuato in modo sufficiente le disposizioni del diritto dell’Unione che a suo avviso sono pertinenti. Rammento, da una parte, che le questioni sollevate riguardano in particolare gli articoli 7 e 8 della Carta, dall’altra, che tale giudice afferma che le direttive 95/46 e 2002/58 costituiscono il collegamento necessario tra la normativa nazionale applicabile nel procedimento principale e il diritto dell’Unione 68 e, infine, che la direttiva 2002/58 mira, come enuncia il suo considerando 2, a garantire, in particolare, il pieno rispetto dei diritti di cui agli articoli 7 e 8 della Carta 69 . 64. Aggiungo che è irrilevante il fatto che uno degli elementi della normativa spagnola menzionati nella decisione di rinvio, vale a dire la legge 25/2007, abbia avuto lo scopo di trasporre la direttiva 2006/24, che è stata abrogata a seguito della sua invalidazione da parte della sentenza Digital Rights 70 . Come osserva giustamente il giudice di rinvio, sarebbe erroneo considerare che le questioni pregiudiziali sottoposte alla Corte nel caso di specie siano irrilevanti a causa di detta invalidazione. A questo proposito, è sufficiente constatare che la materia interessata da tali questioni, vale a dire la protezione dei dati personali, rientra nella competenza dell’Unione e che la controversia principale rientra nel campo di applicazione di un atto di diritto dell’Unione, vale a dire la direttiva 2002/58 71 , che la direttiva 2006/24 invalidata era destinata a modificare. 65. Si può peraltro osservare che le parti che hanno presentato osservazioni alla Corte partono prevalentemente dal principio che la presente domanda di pronuncia pregiudiziale debba essere esaminata alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta, nonché sulla base degli insegnamenti derivanti dalle sentenze Digital Rights e Tele2. Questo è anche il mio parere, con la precisazione che l’espressione reati , e non reati gravi , figura nella direttiva 2002/58 soltanto in detto articolo 15, paragrafo 1 72 . 66. In secondo luogo, il governo spagnolo sostiene che l’articolo 7 della Carta, che costituirebbe l’elemento centrale della presente domanda di pronuncia pregiudiziale, non sarebbe pertinente, in quanto la misura di indagine richiesta nel procedimento principale non riguarderebbe l’intercettazione di comunicazioni e non potrebbe pertanto pregiudicare la riservatezza delle comunicazioni, cosicché le questioni sollevate sarebbero ipotetiche. 67. Da parte mia, ritengo che l’articolo 7 della Carta sia senz’altro pertinente nella presente causa e che la domanda di pronuncia pregiudiziale non abbia, quindi, carattere ipotetico. Sebbene sia vero che, nel caso di specie, non vi è alcun rischio di violazione del diritto al segreto delle comunicazioni, tenuto conto dell’oggetto della misura di cui trattasi nel procedimento principale 73 , resta il fatto che una misura di tal genere può arrecare pregiudizio al diritto al rispetto della vita privata garantito da detta disposizione, benché tale pregiudizio sia, a mio avviso, di lieve entità 74 . 68. Infatti, come la Corte ha già dichiarato in modo costante, la comunicazione di dati personali ad un terzo, quale un’autorità pubblica, costituisce un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, indipendentemente dall’utilizzo ulteriore delle informazioni comunicate. Lo stesso vale per la conservazione dei dati personali, in particolare da parte dei fornitori di servizi di comunicazione elettronica, nonché per l’accesso a detti dati ai fini del loro utilizzo da parte delle autorità pubbliche 75 . 69. Pertanto, ritengo che l’eccezione di irricevibilità sollevata dal governo spagnolo debba essere respinta e che occorra, di conseguenza, statuire sul merito della domanda di pronuncia pregiudiziale. C. Sugli elementi necessari per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati prima questione 70. Con la sua prima questione, il giudice del rinvio interroga la Corte, in sostanza, sugli elementi da prendere in considerazione per stabilire che determinati reati siano di una gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, nell’ambito della conservazione di dati personali e dell’accesso agli stessi, ai sensi della giurisprudenza derivante dalla sentenza Digital Rights e poi dalla sentenza Tele2. 71. A tale riguardo, rammento che la nozione di reati gravi è stata utilizzata dalla Corte nella sentenza Digital Rights 76 , talvolta in combinazione con la nozione di criminalità grave 77 , quale criterio di verifica della finalità e della proporzionalità dell’ingerenza nei summenzionati diritti fondamentali che era causata da disposizioni del diritto dell’Unione relative ai dati personali, vale a dire quelle della direttiva 2006/24. Preciso che tale nozione, che non figura nella direttiva 2002/58 78 , era utilizzata nella direttiva 2006/24 79 , la cui invalidità costituiva oggetto di detta sentenza. La Corte ha poi utilizzato entrambe tali nozioni nella sentenza Tele2 80 , quale medesimo criterio di valutazione, ma per quanto riguarda, questa volta, la conformità al diritto dell’Unione 81 di disposizioni adottate da Stati membri. 72. Più precisamente, la prima questione pregiudiziale invita la Corte a dichiarare se, al fine di valutare la sussistenza di un reato grave tale da giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta esercitata con riguardo a dati personali, occorra prendere in considerazione soltanto la pena irrogabile per il reato controverso oppure anche il carattere particolarmente lesivo della condotta criminosa nei confronti dei beni giuridici individuali o collettivi coinvolti. 73. Tuttavia, al pari della Commissione, ritengo che, prima di pronunciarsi su tale questione, occorra esaminare se l’ingerenza di cui trattasi in una controversia come quella oggetto del procedimento principale presenti un livello di gravità sufficientemente elevato affinché sia richiesto, ai sensi del diritto dell’Unione, che tale ingerenza, per poter essere ammessa, sia giustificata dalla lotta contro un reato grave. Infatti, mi sembra che, qualora ciò non fosse, la Corte dovrebbe procedere ad un’interpretazione delle disposizioni pertinenti del diritto dell’Unione, non già limitandosi a quella richiesta dal giudice del rinvio, bensì dopo aver riformulato la prima questione sollevata 82 nella misura necessaria alla luce dei fatti del procedimento principale 83 . 1. Sulla presa in considerazione dell’assenza di gravità dell’ingerenza controversa 74. Anzitutto, occorre accertare che operazioni come quelle di cui trattasi nel procedimento principale siano effettivamente idonee a ledere i diritti fondamentali garantiti dagli articoli 7 e 8 della Carta e, quindi, a costituire un’ingerenza in tali diritti, ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2. 75. È pur vero che, come hanno evidenziato i governi spagnolo e danese nelle loro difese orali 84 e come ho già indicato 85 , i dati ai quali le autorità titolari dell’indagine penale in questione desiderano accedere sembrano rivestire un carattere meno sensibile rispetto a talune altre categorie di dati personali 86 , posto che la richiesta in questione risulta riguardare soltanto il nome, il cognome ed eventualmente l’indirizzo degli individui interessati da tale indagine, in quanto utenti di numeri di telefono attivati dal telefono cellulare rubato oggetto di quest’ultima. 76. Tuttavia, ritengo che, al fine di determinare se determinati dati personali debbano beneficiare della protezione prevista dal diritto dell’Unione, e in particolare dalla direttiva 2002/58 87 , sia irrilevante stabilire se le informazioni oggetto della richiesta di conservazione o di comunicazione rivestano o meno un carattere particolarmente sensibile. Infatti, come si è rilevato nell’ambito dei primi lavori legislativi in materia, a seconda della finalità per cui è impiegato, qualsiasi dato relativo ad una persona, anche apparentemente inoffensivo, può rivestire un certo carattere di sensibilità ad esempio un semplice indirizzo postale 88 . Inoltre, la Corte ha già dichiarato che, al fine di determinare la sussistenza di un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno un carattere sensibile o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza 89 . 77. Peraltro, rammento che la comunicazione di dati personali ad un terzo, anche un’autorità pubblica quale un servizio di polizia giudiziaria, costituisce un’ingerenza nel diritto fondamentale garantito dall’articolo 7 della Carta 90 , quand’anche tali informazioni siano trasmesse a fini di indagine penale, situazione espressamente prevista, del resto, dall’articolo 15, paragrafo 1, della direttiva 2002/58 91 . Aggiungo che un’operazione di tal genere può anche costituire un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito dall’articolo 8 della Carta, poiché essa comporta un trattamento di dati personali 92 . 78. Pertanto, a mio avviso, si deve constatare che una misura come quella di cui trattasi nel procedimento principale costituisce un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta. 79. Tuttavia, ritengo che, nelle circostanze del caso di specie, manchi un elemento essenziale che è stato adottato dalla Corte per esigere, nella fase della giustificazione di una siffatta ingerenza, che sussista un reato grave – nozione la cui definizione è richiesta dal giudice del rinvio –, al fine di poter derogare al principio della riservatezza delle comunicazioni elettroniche. L’elemento che non ricorre, a mio avviso, nel caso di specie, affinché si possa rispondere alla prima questione pregiudiziale nei termini utilizzati da tale giudice, è quello della gravità dell’ingerenza controversa, fattore che, se fosse presente, comporterebbe la necessità di una giustificazione rafforzata. 80. A tale riguardo, rilevo che, nella sentenza Digital Rights, la Corte ha sottolineato la vasta portata e la particolare gravità dell’ingerenza causata dalla normativa in questione, rilevando segnatamente che la direttiva 2006/24 riguarda in maniera generale qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi 93 . 81. Analogamente, nella sentenza Tele2, la Corte ha dichiarato che [l]’articolo 15, paragrafo 1, della direttiva 2002/58 osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica 94 . Una correlazione è stata posta, inoltre, in tale sentenza, tra, da un lato, la particolare gravità dell’ingerenza in tal modo constatata e, dall’altro, la necessità di giustificare una lesione di tale portata, dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, basandosi su un motivo di interesse generale fondamentale come la lotta contro la criminalità grave 95 . 82. Tale collegamento tra la gravità dell’ingerenza constatata e la gravità del motivo che consente di giustificare quest’ultima è stato istituito in ossequio al principio di proporzionalità 96 . Inoltre, mi sembra che la Corte EDU abbia stabilito, nella propria giurisprudenza relativa all’articolo 8 della CEDU 97 , una correlazione equivalente a quella che risulta, a mio avviso, dalle sentenze Digital Rights e Tele2. 83. Orbene, come ho rilevato in precedenza 98 e come hanno sottolineato in particolare i governi francese e del Regno Unito nonché la Commissione, la natura dell’ingerenza di cui trattasi nel presente procedimento principale è, sotto vari aspetti, diversa da quelle ravvisate dalla Corte in tali due precedenti sentenze. L’esame della conformità al diritto dell’Unione di una misura come quella di cui trattasi nel caso di specie deve, pertanto, essere effettuato in maniera diversa. 84. Nel caso di specie, non si tratta di una misura relativa ad un obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti che riguardi tutti i mezzi di comunicazione elettronica. Si tratta di una misura mirata e finalizzata ad una possibilità di accesso, da parte delle autorità competenti e per le esigenze di un’indagine penale, a dati detenuti a fini commerciali da fornitori di servizi e che riguarda unicamente l’identità nome, cognome ed eventualmente indirizzo di una categoria ristretta di abbonati o utenti di uno specifico mezzo di comunicazione, vale a dire quelli il cui numero di telefono è stato attivato dal telefono cellulare il cui furto costituisce l’oggetto dell’indagine, e per un periodo limitato, vale a dire una dozzina di giorni 99 . 85. Aggiungo che gli effetti potenzialmente nocivi, per le persone interessate dalla richiesta di accesso in questione, sono nel contempo moderati e circoscritti. Infatti, essendone previsto l’utilizzo nello specifico ambito di una misura di indagine, i dati richiesti non sono destinati ad essere divulgati al pubblico 100 . Inoltre, la facoltà di accesso offerta alle autorità di polizia è circondata da garanzie procedurali ai sensi del diritto spagnolo, in quanto essa dà luogo ad un controllo giurisdizionale, che ha peraltro portato ad un rigetto della richiesta della polizia nel procedimento principale. 86. L’ingerenza nei summenzionati diritti fondamentali causata dalla comunicazione di tali dati di identità civile, a mio avviso, non riveste un carattere di particolare gravità 101 , poiché dati di tal genere e di portata così limitata non consentono, di per sé, di ottenere informazioni varie e/o precise sulle persone interessate 102 e non pregiudicano pertanto direttamente e fortemente l’intimità della loro vita privata in tali circostanze particolari 103 . 87. Pertanto, al pari della Commissione, ritengo che, al fine di fornire al giudice del rinvio le indicazioni pertinenti per risolvere la controversia di cui esso è investito, occorra riformulare la prima questione pregiudiziale cosicché la risposta che fornirà la Corte verta sull’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 con riguardo a circostanze come quelle del caso di specie, vale a dire in presenza di un’ingerenza nei summenzionati diritti fondamentali priva di particolare gravità e fondata sulla lotta contro un tipo di reati la cui gravità è messa in dubbio. 88. A tale riguardo, rammento che, poiché gli obiettivi idonei a giustificare una normativa nazionale che deroghi al principio di riservatezza delle comunicazioni elettroniche sono elencati in modo esaustivo all’articolo 15, paragrafo 1, della direttiva 2002/58, l’accesso ai dati conservati deve rispondere in modo effettivo e rigoroso ad uno di detti obiettivi 104 . Tra questi ultimi, figura l’obiettivo di interesse generale della prevenzione, ricerca, accertamento e perseguimento dei reati 105 , senza alcuna precisazione quanto alla natura di questi ultimi. 89. Come risulta dalla terminologia in tal modo utilizzata, non è necessario che i reati che legittimano la misura restrittiva in questione, in forza di detto articolo 15, paragrafo 1, possano essere qualificati come gravi ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2. A mio avviso, soltanto quando l’ingerenza subita presenta una particolare gravità, come nelle cause che hanno dato luogo a dette sentenze, i reati idonei a giustificare una siffatta ingerenza devono presentare una particolare gravità. Per contro, nell’ipotesi di un’ingerenza non grave, si deve ritornare al principio di base risultante dal testo di tale disposizione, vale a dire che qualsiasi tipo di reati è idoneo a giustificare una siffatta ingerenza. 90. A mio avviso, occorre evitare di adottare una concezione troppo ampia dei requisiti stabiliti dalla Corte in tali due sentenze, al fine di non ostacolare, in ogni caso non eccessivamente, la possibilità degli Stati membri di derogare al regime stabilito dalla direttiva 2002/58, ad essi concessa dall’articolo 15, paragrafo 1, di quest’ultima, nei casi in cui le intrusioni nella vita privata in questione abbiano nel contempo una finalità legittima e una portata ridotta, come quelle che possono essere causate nel caso di specie dalla richiesta del servizio di polizia giudiziaria. Più concretamente, ritengo che il diritto dell’Unione non osti a che le autorità competenti possano accedere ai dati di identificazione, detenuti da fornitori di servizi di comunicazione elettronica, che consentono di rintracciare i presunti autori di un reato che non presenta un carattere grave. 91. Di conseguenza, suggerisco alla Corte di rispondere alla questione pregiudiziale, come riformulata, dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti di numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave. 92. Tenuto conto della risposta in tal modo proposta, tutte le osservazioni che seguono sono presentate soltanto in subordine, a fini di completezza. 2. Sulla eventuale determinazione dei criteri pertinenti per stabilire la gravità sufficiente di un reato 93. Qualora la Corte ritenesse, contrariamente a quanto raccomando, che sia necessario, nonostante le circostanze molto particolari della presente controversia principale, determinare, nel caso di specie, cosa si debba intendere per reato grave ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 106 , occorrerebbe ancora interrogarsi, in primo luogo, se tale qualificazione costituisca effettivamente una nozione autonoma del diritto dell’Unione, che spetterebbe quindi alla Corte definire. Orbene, al pari della risposta proposta in via principale dal governo francese, anche il mio parere è negativo, per i motivi seguenti. 94. Anzitutto, osservo che la direttiva 2006/24, da cui proviene l’impiego della nozione di reato grave 107 , non conteneva una definizione di quest’ultimo, ma rinviava, a tale riguardo, agli ordinamenti giuridici degli Stati membri 108 . Aggiungo che le considerazioni pertinenti contenute nelle sentenze Digital Rights e Tele2 non devono essere intese, a mio avviso, come volte ad armonizzare le norme giuridiche in vigore negli Stati membri relative al contenuto di tale nozione. 95. A tale riguardo, rammento che la legislazione penale e le norme di procedura penale rientrano nella competenza degli Stati membri, sebbene sull’ordinamento giuridico di questi ultimi possano nondimeno incidere le disposizioni del diritto dell’Unione adottate in tale materia 109 . Ai sensi dell’articolo 83, paragrafo 2, TFUE, soltanto nel caso in cui l’armonizzazione del diritto penale degli Stati membri si riveli indispensabile per l’attuazione efficace di una politica dell’Unione in un settore che è stato oggetto di misure di armonizzazione, l’Unione può adottare direttive volte a stabilire norme minime relative alla definizione dei reati e delle sanzioni nel settore in questione. Orbene, allo stato attuale del diritto dell’Unione, non sussistono disposizioni di portata generale che forniscano una definizione armonizzata della nozione di reato grave 110 . 96. Mi sembra che il potere di determinare ciò che costituisce un reato grave spetti, in linea di principio, alle autorità competenti degli Stati membri. Tuttavia, grazie ai rinvii pregiudiziali di cui i giudici degli Stati membri possono adire la Corte, quest’ultima ha il compito di assicurare il rispetto di tutti gli obblighi derivanti dal diritto dell’Unione e, in particolare, di garantire un’applicazione coerente della protezione offerta dalle disposizioni della Carta. 97. Rilevo che la qualificazione giuridica di cui trattasi può non soltanto variare da uno Stato membro all’altro, in funzione delle tradizioni seguite e delle priorità stabilite da ciascuno di essi, ma anche fluttuare nel tempo, in funzione degli orientamenti impartiti alla politica penale, verso una maggiore o minore severità, per tenere conto dell’evoluzione della criminalità 111 nonché, più in generale, delle trasformazioni della società e delle esigenze esistenti, segnatamente in termini di repressione penale, a livello nazionale. 98. Sottolineo inoltre che, dato che sussistono grandi differenze tra le scale di sanzioni che sono tradizionalmente applicabili nei vari Stati membri 112 , la gravità di un reato non dipende soltanto dall’entità della pena per esso prevista. Determinare se un reato sia grave è questione molto relativa, nel senso che essa dipende dalla scala delle sanzioni applicate in generale nello Stato membro interessato. Pertanto, il fatto che uno Stato membro preveda una pena detentiva poco elevata, o persino una pena alternativa alla reclusione, non incide di per sé sulla gravità intrinseca del tipo di reato in questione 113 . 99. Occorre, a mio avviso, rispettare le specificità dell’ordinamento giuridico penale di ciascuno degli Stati membri, purché il diritto dell’Unione non stabilisca obblighi che vincolano questi ultimi in maniera rigorosa, per analogia con quanto dichiarato dalla Corte per quanto riguarda la salvaguardia della sicurezza pubblica 114 , nozione affine, a mio avviso, a quella di lotta contro la criminalità grave, in particolare alla luce del testo dell’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58. 100. Di conseguenza, ritengo, in subordine, che la nozione di reato grave ai sensi della giurisprudenza della Corte derivante dalle sentenze Digital Rights e Tele2 non costituisca una nozione autonoma del diritto dell’Unione il cui contenuto debba essere definito dalla Corte, sebbene resti il fatto che la deroga prevista dall’articolo 15, paragrafo 1, della direttiva 2002/58 deve essere attuata dagli Stati membri conformemente agli obblighi derivanti dal diritto dell’Unione, segnatamente dai diritti fondamentali garantiti dalla Carta, e sotto il controllo della Corte. 101. A quest’ultimo proposito, rilevo che dalla giurisprudenza della Corte risulta, in particolare, che detto articolo 15, paragrafo 1, in quanto consente agli Stati membri di limitare la portata di taluni diritti e obblighi previsti da tale direttiva, deve essere oggetto di un’interpretazione restrittiva e non può quindi comportare che la deroga a tali diritti e obblighi di principio diventi la regola 115 . Pertanto, la portata di detta nozione di reato grave non può essere intesa in modo eccessivamente ampio da parte degli Stati membri. 102. In secondo luogo, e in ulteriore subordine, nell’ipotesi in cui la Corte considerasse che detta nozione è autonoma, essa dovrebbe allora rispondere alla questione come formulata dal giudice del rinvio e, pertanto, pronunciarsi sulla determinazione dei criteri che consentono di valutare, a livello del diritto dell’Unione, se un reato rivesta un carattere di gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta. 103. Più precisamente, la Corte dovrebbe determinare se, per stabilire la sussistenza di un reato grave ai sensi di detta giurisprudenza, sia sufficiente basarsi sulla pena prevista per il reato asserito o se occorra, inoltre, che la condotta criminosa sia stata particolarmente lesiva nei confronti dei beni giuridici individuali o collettivi coinvolti. A tale riguardo, occorrerebbe a mio avviso, nonché secondo i governi danese, spagnolo, francese, ungherese, austriaco, polacco e del Regno Unito, optare non già per la prima alternativa, bensì, in sostanza, per la seconda, privilegiando una definizione basata su una pluralità di criteri di valutazione 116 . 104. Per quanto riguarda la gravità del reato che può giustificare l’accesso ai dati, sarebbe a mio avviso impossibile, alla luce del principio di proporzionalità, determinare la gravità dei fatti addebitati prendendo in considerazione soltanto la pena irrogabile. Infatti, viste le notevoli differenze tuttora esistenti tra i sistemi penali degli Stati membri, ritengo che la sanzione irrogabile non possa essere considerata di per sé idonea a riflettere, sotto il profilo qualitativo del tipo di pena e/o sotto il profilo quantitativo del livello di pena, la particolare gravità di un reato. 105. Sebbene la pena rivesta un’importanza considerevole, altri fattori oggettivi devono parimenti essere presi in considerazione, caso per caso, a tale titolo. Si tratta, in particolare, da un lato, del contesto nel quale si colloca il reato asserito – a seconda che la condotta criminosa sia dolosa, sia caratterizzata da circostanze aggravanti e/o sia stata commessa in stato di recidiva legale – e, dall’altro, dell’importanza degli interessi della società che siano stati lesi dall’autore del reato nonché della natura e/o dell’entità dei danni che siano stati subiti dalla vittima di quest’ultimo 117 e, infine, della scala delle pene applicabili in generale nello Stato membro interessato 118 . È sulla base di tale insieme di criteri di valutazione, alternativi e non esaustivi, che occorrerebbe, a mio avviso, qualificare eventualmente un reato come grave ai sensi della giurisprudenza della Corte in questione. 106. Aggiungo che l’interpretazione così proposta è conforme all’approccio che mi sembra esser stato adottato dalla Corte EDU nella sua giurisprudenza relativa alla prevenzione dei reati , quale obiettivo che consente di giustificare un’ingerenza nel diritto alla vita privata sancito dall’articolo 8 della CEDU, purché siano soddisfatte anche altre condizioni 119 . Da tale giurisprudenza, a mio avviso, risulta che la lotta contro talune categorie di reati può essere fondatamente invocata in tale ambito, dagli Stati parti della CEDU 120 , sulla base non tanto unicamente della pena irrogabile, quanto piuttosto di diversi fattori, tra i quali figurano eminentemente la natura dei reati in questione nonché gli interessi pubblici e privati coinvolti da questi ultimi 121 . 107. Di conseguenza, ritengo che, qualora la nozione di reato grave ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 fosse considerata dalla Corte come costitutiva di una nozione autonoma del diritto dell’Unione, essa dovrebbe essere interpretata nel senso che la gravità di un reato, tale da giustificare l’accesso delle autorità nazionali competenti a dati personali ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, deve essere misurata non già tenendo conto unicamente della pena irrogabile, bensì prendendo in considerazione anche un insieme di altri criteri oggettivi di valutazione, come quelli sopra menzionati. D. Sulla definizione subordinata del livello minimo di pena necessario per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati seconda questione 108. Con la sua seconda questione, il giudice del rinvio, in sostanza, invita la Corte, da un lato, a individuare la soglia minima che la pena irrogabile dovrebbe raggiungere affinché un reato possa essere qualificato come grave , ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, nonché, dall’altro, a dichiarare se una soglia di tre anni di reclusione, quale prevista dal codice di procedura penale spagnolo dopo la riforma intervenuta nel 2015 122 , sia conforme ai requisiti del diritto dell’Unione. 109. Tali interrogativi sono sollevati soltanto in via subordinata, nell’ipotesi in cui la Corte dichiarasse, in risposta alla prima questione pregiudiziale, che la gravità di un reato – fattore che può giustificare un’ingerenza nei diritti fondamentali ai sensi di detta giurisprudenza – deve essere determinata tenendo conto unicamente del quantum della pena detentiva che può essere inflitta. 110. Tenuto conto della risposta che propongo di fornire alla prima questione pregiudiziale, a mio avviso la Corte non deve pronunciarsi sulla seconda questione. Tuttavia, intendo presentare osservazioni a tale riguardo, a fini di completezza. 111. Per quanto riguarda la prima parte della seconda questione, ritengo, al pari segnatamente dei governi ceco ed estone, che il livello della pena irrogabile che consentirebbe di per sé di qualificare un reato come grave non possa essere determinato in modo uniforme per tutto il territorio dell’Unione, alla luce delle considerazioni sopra formulate in risposta alla prima questione sollevata dal giudice del rinvio 123 . 112. Del resto, tale variazione nella definizione di ciò che occorre intendere per reato grave e, più in particolare, riguardo alla soglia di pena a partire dalla quale tale qualificazione sarebbe acquisita, è presente anche negli atti del diritto dell’Unione. Infatti, si può constatare che alcuni atti dell’Unione adottati sul fondamento dell’articolo 83, paragrafo 1, TFUE prevedono pene detentive stabilite a livelli diversi per reati nondimeno considerati tutti di criminalità particolarmente grave 124 , come risulta, ad esempio, dall’articolo 3 della direttiva 2011/93/UE 125 e dall’articolo 15 della direttiva UE 2017/541 126 , strumenti relativi, rispettivamente, alla lotta contro gli abusi sessuali su minori e alla lotta contro il terrorismo. Pertanto, lo stesso legislatore dell’Unione non ha optato per una definizione uniforme della nozione di reato grave basata su un determinato quantum di pena irrogabile. 113. Rammento che la libertà lasciata agli Stati membri di decidere del livello minimo di pena necessario affinché i reati siano definiti gravi è circoscritta dalle norme contenute nelle disposizioni del diritto dell’Unione in materia, ma anche dal principio secondo cui un’eccezione non può avere una portata così ampia da diventare di fatto la regola generale 127 . 114. Nel caso di specie, sebbene ciascuno Stato membro abbia la facoltà di determinare la soglia di pena adeguata per definire grave un reato, esso ha comunque l’obbligo di non fissare tale soglia ad un livello talmente basso, rispetto al quantum abituale delle pene applicabili in tale Stato 128 , che le eccezioni al divieto di conservare e di utilizzare i dati personali previste da tale articolo 15, paragrafo 1, sarebbero trasformate in principi, come ha giustamente osservato il governo irlandese. 115. Inoltre, è assodato che le ingerenze nei diritti garantiti dagli articoli 7 e 8 della Carta, che possano essere autorizzate dagli Stati membri in forza dell’articolo 15, paragrafo 1, della direttiva 2002/58, restano, altresì, sempre subordinate al rispetto dei requisiti generali derivanti dal principio di proporzionalità, come prevede l’articolo 52, paragrafo 1, della Carta 129 . 116. Per quanto riguarda l’ultima parte della seconda questione, il governo estone e la Commissione affermano, da un lato, che una soglia basata esclusivamente su una pena di almeno tre anni di reclusione appare, in assoluto, sufficiente per qualificare come grave un reato, ai sensi della giurisprudenza della Corte relativa all’accesso ai dati personali derivante dalla sentenza Digital Rights, e, dall’altro, che una siffatta soglia non è manifestamente incompatibile con il diritto dell’Unione in generale 130 e, in particolare, con l’articolo 15, paragrafo 1, della direttiva 2002/58. 117. Tuttavia, sarebbe, a mio avviso, opportuno che la Corte si astenesse dal prendere posizione a favore di un quantum preciso di pena irrogabile, poiché ciò che è adeguato per taluni Stati membri non lo è necessariamente per altri e ciò che vale oggi per un tipo di reati non varrà necessariamente in modo irrevocabile in futuro, come ho già osservato 131 . Poiché una determinazione della soglia in questione richiede una valutazione complessa e potenzialmente soggetta a evoluzione, occorre a mio avviso restare prudenti a questo proposito e riservare tale operazione alla valutazione del legislatore dell’Unione, nella sfera delle competenze conferite a quest’ultima, o alla valutazione del legislatore di ciascuno Stato membro, entro i limiti dei requisiti derivanti dal diritto dell’Unione. 118. A quest’ultimo proposito, rilevo che, nel caso di specie, il giudice del rinvio evidenzia un rischio di inversione tra la regola generale e le deroghe previste dalla direttiva 2002/58, rischio evocato supra 132 , quando afferma che il [r]iferimento alla pena detentiva non inferiore a tre anni [soglia introdotta nel 2015 dal legislatore spagnolo 133 ] abbraccia gran parte delle fattispecie di reato . In altri termini, secondo tale giudice, l’attuale elenco dei reati che possono giustificare, in Spagna, restrizioni ai diritti tutelati ai sensi degli articoli 7 e 8 della Carta, che è stato introdotto con la riforma del codice di procedura penale, comporterebbe, in pratica, che la maggior parte dei reati previsti dal codice penale siano inclusi in detto elenco. 119. Orbene, anche supponendo che l’ingerenza di cui trattasi nel procedimento principale sia considerata grave dalla Corte e che il risultato in tal modo indicato dal giudice del rinvio sia confermato, quest’ultimo sarebbe, a mio avviso, non conforme al requisito di proporzionalità al quale siffatte restrizioni sono soggette 134 . Ciò vale, a mio avviso, nonostante l’esistenza di un controllo giurisdizionale, invocata dal governo spagnolo, poiché l’esercizio di tale controllo consente soltanto di impedire l’attuazione di misure ritenute, caso per caso, arbitrarie o troppo intrusive, e non di contrastare, in modo generalizzato, il ricorso a misure di tal genere e il loro sviluppo. 120. Infine, sottolineo che l’approccio proposto nell’insieme della presente sezione concorda, a mio parere, con quello adottato dalla Corte EDU nella sua giurisprudenza relativa alla protezione dei dati personali. È pur vero che, come osservano il governo irlandese e la Commissione, tale organo giurisdizionale ha ritenuto sufficientemente chiare alcune legislazioni nazionali che definivano i reati gravi , idonei a giustificare un’ingerenza nella vita privata, facendo riferimento ad una pena irrogabile almeno pari a tre anni di reclusione 135 . Tuttavia, ritengo che esso non abbia eretto tale quantum di pena a criterio assoluto e fisso ai fini di detta definizione, dato che la sua giurisprudenza mi sembra incentrata sull’esigenza di prevedibilità e chiarezza sufficienti per i cittadini con riguardo non già alla pena irrogabile, bensì piuttosto alla natura dei reati che consentono una siffatta ingerenza 136 . Peraltro, sebbene la Corte EDU riconosca agli Stati un certo margine di discrezionalità per valutare la sussistenza e la portata della necessità di una siffatta ingerenza, essa assoggetta tuttavia tale margine di discrezionalità ad un controllo a livello europeo 137 . In particolare, essa mira a prevenire i rischi di abusi causati da normative che rinviano ad un ventaglio di reati talmente ampio da far sì che la maggior parte dei reati consentano di giustificare misure intrusive 138 . 121. In conclusione, ritengo che, nell’ipotesi in cui la Corte giudicasse – contrariamente a quanto suggerisco – che si deve tenere conto unicamente della pena irrogabile per qualificare un reato come grave ai sensi della sua giurisprudenza derivante dalla sentenza Digital Rights, occorrerebbe allora rispondere alla seconda questione pregiudiziale dichiarando che gli Stati membri sono liberi di fissare il livello minimo della pena pertinente a tal fine, a condizione che essi rispettino i requisiti risultanti dal diritto dell’Unione e, in particolare, quelli secondo cui le ingerenze nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta devono restare eccezionali e rispettare il principio di proporzionalità. V. Conclusione 122. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dall’Audiencia Provincial de Tarragona Corte provinciale di Tarragona, Spagna nel modo seguente L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche direttiva relativa alla vita privata e alle comunicazioni elettroniche , come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti dei numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave. * Fonte curia.europea.eu Avvocato Generale CGUE, conclusioni 3 maggio 2018, causa C-207/16 * Rinvio pregiudiziale – Comunicazioni elettroniche – Trattamento dei dati personali – Diritto alla vita privata e diritto alla protezione di tali dati – Direttiva 2002/58/CE – Articolo 1 e articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8 nonché articolo 52, paragrafo 1 – Dati raccolti nell’ambito della fornitura di servizi di comunicazione elettronica – Richiesta di accesso da parte di un’autorità di polizia a fini di indagine penale – Principio di proporzionalità – Nozione di reato grave” idoneo a giustificare un’ingerenza nei diritti fondamentali – Criteri di gravità – Pena irrogabile – Soglia minima I. Introduzione 1. Il presente rinvio pregiudiziale verte, in sostanza, sull’interpretazione della nozione di reati gravi 2 ai sensi della giurisprudenza della Corte derivante dalla sentenza Digital Rights Ireland e a. 3 in prosieguo la sentenza Digital Rights e poi dalla sentenza Tele2 Sverige e Watson e a. 4 in prosieguo la sentenza Tele2 , in cui tale nozione è stata utilizzata quale criterio di valutazione della legittimità e della proporzionalità di un’ingerenza nei diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea in prosieguo la Carta , vale a dire, rispettivamente, il diritto al rispetto della vita privata e della vita familiare nonché il diritto alla protezione dei dati di carattere personale. 2. Tale rinvio pregiudiziale si inserisce nell’ambito di un ricorso proposto avverso una decisione giudiziaria che ha negato ad alcune autorità di polizia la possibilità di ottenere che fossero loro comunicati determinati dati di stato civile detenuti da operatori di telefonia mobile, allo scopo di identificare alcuni individui ai fini di un’indagine penale. La decisione impugnata era motivata, in particolare, dalla considerazione che i fatti all’origine di tale indagine non sarebbero stati costitutivi di un reato grave, contrariamente a quanto avrebbe richiesto la normativa spagnola applicabile. 3. Il giudice del rinvio interroga la Corte, in sostanza, sul modo di fissare la soglia di gravità dei reati a partire dalla quale può essere giustificata, alla luce della summenzionata giurisprudenza, un’ingerenza nei diritti fondamentali tutelati dagli articoli 7 e 8 della Carta, in occasione dell’accesso, da parte delle autorità nazionali competenti, a dati personali conservati da fornitori di servizi di comunicazione elettronica. 4. Dopo aver stabilito che la Corte è competente a statuire su tale domanda di pronuncia pregiudiziale e che quest’ultima è ricevibile, intendo dimostrare che l’accesso a dati personali in circostanze come quelle del caso di specie comporta un’ingerenza nei summenzionati diritti fondamentali che non corrisponde alle sole ipotesi in cui il pregiudizio arrecato a tali diritti può essere giustificato, ossia nel contesto della lotta contro reati gravi, ai sensi della giurisprudenza sopra citata. 5. Poiché ritengo che, alla luce del particolare oggetto del procedimento principale, non sia necessario che la Corte risponda alle questioni pregiudiziali nella loro formulazione iniziale, fornirò soltanto in subordine indicazioni sui criteri che consentirebbero, eventualmente, di definire la nozione di reati gravi ai sensi di tale giurisprudenza, in particolare con riguardo al criterio della pena irrogabile. II. Contesto normativo A. Diritto dell’Unione 6. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche direttiva relativa alla vita privata e alle comunicazioni elettroniche 5 , come modificata dalla direttiva 2009/136/CE 6 in prosieguo la direttiva 2002/58 , enuncia, nel suo preambolo, quanto segue 2 La presente direttiva mira a rispettare i diritti fondamentali e si attiene ai principi riconosciuti in particolare dalla [Carta]. In particolare, la presente direttiva mira a garantire il pieno rispetto dei diritti di cui agli articoli 7 e 8 di tale Carta. 11 La presente direttiva, analogamente alla direttiva 95/46/CE [ 7 ], non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato e l’applicazione della legge penale. Di conseguenza la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali [in prosieguo la CEDU”], come interpretata dalle sentenze della Corte europea dei diritti dell’uomo [in prosieguo la Corte EDU”]. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla [CEDU] [ 8 ] . 7. A termini dell’articolo 1 della direttiva 2002/58, intitolato Finalità e campo d’applicazione 1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche . 3. La presente direttiva non si applica alle attività che esulano dal campo di applicazione del trattato che istituisce la Comunità europea, quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato o alle attività dello Stato in settori che rientrano nel diritto penale . 8. Il successivo articolo 2, intitolato Definizioni , è così formulato Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva [95/46] e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica direttiva quadro [ 9 ]. Si applicano inoltre le seguenti definizioni a utente” qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata b dati relativi al traffico” qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione c dati relativi all’ubicazione” ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico d comunicazione” ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato . 9. L’articolo 15 della direttiva 2002/58, intitolato Applicazione di alcune disposizioni della direttiva [95/46] , prevede, al paragrafo 1, che [g]li Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale cioè della sicurezza dello Stato , della difesa, della sicurezza pubblica e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea . B. Diritto spagnolo 1. Legge 25/2007 10. La Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones legge 25/2007 sulla conservazione dei dati relativi alle comunicazioni elettroniche e alle reti pubbliche di comunicazione , del 18 ottobre 2007 10 in prosieguo la legge 25/2007 , ha recepito nel diritto spagnolo la direttiva 2006/24 11 , che è stata dichiarata invalida dalla Corte nella sentenza Digital Rights. 11. A termini dell’articolo 1 della legge 25/2007, nella sua versione applicabile ai fatti della controversia principale 1. La presente legge disciplina l’obbligo degli operatori di conservare i dati generati o trattati nell’ambito della prestazione di servizi di comunicazione elettronica o di reti pubbliche di comunicazione nonché il dovere di cedere tali dati agli agenti abilitati, sempre dietro presentazione della rispettiva autorizzazione dell’autorità giudiziaria a fini di accertamento, indagine e perseguimento di reati gravi previsti dal codice penale o da leggi penali speciali. 2. La presente legge si applica ai dati relativi al traffico e ai dati relativi all’ubicazione delle persone sia fisiche che giuridiche, nonché ai dati connessi necessari per identificare l’abbonato o l’utente registrato. . 12. L’articolo 3 di detta legge elenca i dati che gli operatori sono tenuti a conservare. Si tratta, in particolare, ai sensi del paragrafo 1, lettera a , punto 1, ii , di tale articolo, dei dati necessari per rintracciare e identificare la fonte di una comunicazione, quali, per quanto riguarda la telefonia mobile, il nome e l’indirizzo dell’abbonato o dell’utente registrato. 2. Codice penale 13. Ai sensi dell’articolo 13, paragrafo 1, del codice penale spagnolo, nella sua versione applicabile ai fatti della controversia principale, [s]ono considerati reati gravi quelli che la legge punisce con una pena grave . 14. L’articolo 33 di detto codice è così formulato 1. In funzione della loro natura e della loro durata, le pene si distinguono in gravi, meno gravi e lievi. 2. Sono pene gravi a L’ergastolo. b La reclusione superiore a cinque anni. . 3. Codice di procedura penale 15. Il codice di procedura penale spagnolo è stato modificato dalla Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica legge organica 13/2015 che modifica il codice di procedura penale allo scopo di rafforzare le garanzie processuali e disciplinare i mezzi di investigazione tecnologici , del 5 ottobre 2015 12 in prosieguo la legge organica 13/2015 . 16. Tale legge, entrata in vigore il 6 dicembre 2015, inserisce nel codice di procedura penale le disposizioni riguardanti l’accesso ai dati relativi alle comunicazioni telefoniche e telematiche conservati dai fornitori di servizi di comunicazione elettronica. 17. A termini dell’articolo 579, paragrafo 1, del codice di procedura penale, nella versione derivante da detta legge, [i]l giudice può autorizzare l’intercettazione della corrispondenza privata, postale e telegrafica, compresi i fax, i Burofax e i vaglia postali internazionali, che l’indagato invia o riceve, nonché l’apertura e l’analisi di quest’ultima qualora sussistano indizi che inducono a ritenere che essa consentirà di scoprire o di accertare un fatto o un fattore rilevante per la causa, purché l’indagine abbia ad oggetto uno dei seguenti reati 1 Reati dolosi puniti con una pena detentiva massima non inferiore a tre anni. 2 Reati commessi nell’ambito di un’organizzazione criminale. 3 Reati di terrorismo . 18. L’articolo 588 ter j del medesimo codice, intitolato Dati contenuti negli archivi automatizzati dei prestatori di servizi , così recita 1. I dati elettronici conservati dai prestatori di servizi o da persone che agevolano la comunicazione in applicazione della normativa sulla conservazione dei dati relativi alle comunicazioni elettroniche o di propria iniziativa, per motivi commerciali o di altra natura, e che siano collegati a processi di comunicazione, possono essere ceduti per essere acquisiti al processo soltanto su autorizzazione del giudice. 2. Qualora la conoscenza di tali dati sia indispensabile per le indagini, viene chiesta al giudice competente un’autorizzazione per raccogliere le informazioni contenute negli archivi automatizzati dei prestatori di servizi, compresa la ricerca incrociata e intelligente di dati, a condizione che vengano precisate la natura dei dati da raccogliere e le ragioni che giustificano la cessione . III. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte 19. Il sig. Hernández Sierra ha presentato una denuncia alla polizia per una rapina del proprio portafoglio e del proprio telefono cellulare, che sarebbe avvenuta il 16 febbraio 2015 e nel corso della quale egli sarebbe stato gravemente ferito. 20. Con domanda del 27 febbraio 2015, la polizia giudiziaria ha chiesto al Juzgado de Instrucción n. 3 de Tarragona giudice istruttore n. 3 di Tarragona, Spagna in prosieguo il giudice istruttore l’emanazione dell’ingiunzione, nei confronti dei vari operatori di telefonia, di comunicare, da una parte, i numeri di telefono attivati, tra il 16 febbraio e il 27 febbraio 2015, con il codice IMEI 13 del telefono cellulare rubato e, dall’altra, i dati personali dei titolari o utenti di tutti i numeri di telefono corrispondenti alle carte SIM attivate con detto codice IMEI 14 . 21. Con ordinanza del 5 maggio 2015, il giudice istruttore ha respinto tale domanda, con la motivazione che la misura richiesta era poco utile per identificare gli autori del reato e che, in ogni caso, la legge 25/2007 limitava la comunicazione dei dati conservati dagli operatori di telefonia ai reati gravi – vale a dire, ai sensi del codice penale spagnolo 15 , quelli punibili con una pena detentiva superiore a cinque anni –, mentre i fatti in questione non costituirebbero un reato grave. 22. Il Ministerio Fiscal pubblico ministero spagnolo , unica parte del procedimento, ha interposto appello avverso tale ordinanza dinanzi all’Audiencia Provincial de Tarragona Corte provinciale di Tarragona, Spagna , sostenendo che la comunicazione dei dati in questione avrebbe dovuto essere concessa in ragione della natura dei fatti e di una decisione del Tribunal Supremo Corte suprema, Spagna riguardante un caso simile 16 . 23. Con ordinanza del 9 febbraio 2016, detta Audiencia Provincial Corte provinciale ha ordinato, a titolo di provvedimento provvisorio rivolto gli operatori di telefonia, la proroga della conservazione dei dati interessati dalla domanda controversa. 24. La decisione di rinvio pregiudiziale emessa da tale giudice espone che, dopo l’adozione della decisione impugnata, il legislatore spagnolo ha stabilito, in forza della legge organica 13/2015 17 , due criteri alternativi per determinare il livello di gravità di un reato. Il primo sarebbe un criterio materiale, che rimanda a comportamenti che corrispondono a qualificazioni penali di particolare e grave rilevanza criminosa e che sono particolarmente lesivi dei beni giuridici individuali e collettivi 18 . Il secondo sarebbe un criterio normativo formale, fondato esclusivamente sulla pena prevista per il reato in questione. Orbene, la soglia di tre anni di reclusione prevista da quest’ultimo criterio potrebbe comprendere la maggior parte delle fattispecie di reato. Inoltre, il giudice del rinvio osserva che l’interesse dello Stato a proteggere i cittadini e a reprimere i comportamenti penalmente illeciti non può legittimare un’ingerenza sproporzionata nei diritti fondamentali delle persone. 25. In tale contesto, con decisione del 6 aprile 2016, pervenuta alla Corte il 14 aprile 2016, l’Audiencia Provincial de Tarragona Corte provinciale di Tarragona ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se la soglia di sufficiente gravità dei reati, quale criterio che giustifica l’ingerenza nei diritti fondamentali riconosciuti dagli articoli 7 e 8 della Carta, possa essere individuata prendendo in considerazione unicamente la pena irrogabile per il reato oggetto di indagini o se sia inoltre necessario rilevare nella condotta criminosa particolari livelli di lesività nei confronti dei beni giuridici individuali e/o collettivi. 2 Qualora la determinazione della gravità del reato sulla sola base della pena irrogabile risultasse conforme ai principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights] quali parametri di controllo rigoroso della direttiva [dichiarata invalida da tale sentenza], quale dovrebbe essere tale soglia, e se essa risulti compatibile con una previsione generale di un limite di tre anni di reclusione . 26. Il procedimento dinanzi alla Corte è stato sospeso, con decisione del Presidente del 23 maggio 2016, in attesa della pronuncia della sentenza della Corte nelle cause riunite Tele2 Sverige e Watson e a., -203/15 e -698/15. 27. Interrogato dalla Corte dopo la pronuncia di tale sentenza, avvenuta il 21 dicembre 2016 19 , il giudice del rinvio ha dichiarato di voler mantenere la propria domanda di pronuncia pregiudiziale. Esso ha affermato che le questioni pregiudiziali da lui sollevate rimanevano rilevanti, in quanto, sebbene detta sentenza fornisse esempi di reati gravi 20 , essa non definiva tuttavia in modo sufficientemente chiaro il contenuto sostanziale della nozione di gravità del reato che può servire da criterio di valutazione della giustificazione di una misura d’ingerenza. Orbene, tale nozione comporterebbe il rischio che le condizioni della conservazione dei dati e dell’accesso ai medesimi siano stabilite, a livello nazionale, in un modo molto ampio, che non rispetterebbe i diritti fondamentali di cui alla sentenza Tele2. Pertanto, nell’adottare la legge organica 13/2015, il legislatore spagnolo, a dispetto dei criteri enunciati nella sentenza Digital Rights 21 , avrebbe ridotto notevolmente, rispetto alle norme precedenti contenute nella legge 25/2007, la soglia di gravità dei reati per i quali sono consentite la conservazione e la comunicazione di dati personali. 28. A seguito di tale risposta, il procedimento dinanzi alla Corte è ripreso il 16 febbraio 2017. Osservazioni scritte sono quindi state depositate dai governi spagnolo, ceco, estone, irlandese, francese, lettone, ungherese, austriaco e del Regno Unito, nonché dalla Commissione europea. 29. In vista dell’udienza, la Corte ha sottoposto alcuni quesiti con richiesta di risposta scritta al governo spagnolo, ai quali quest’ultimo ha risposto il 9 gennaio 2018, nonché alcuni quesiti con richiesta di risposta orale a tutti gli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea. 30. All’udienza, tenutasi il 29 gennaio 2018, il pubblico ministero spagnolo, i governi spagnolo, ceco, danese, estone, irlandese, francese, lettone, polacco e del Regno Unito nonché la Commissione hanno esposto le loro osservazioni orali. IV. Analisi A. Osservazioni introduttive 31. Prima di procedere ad un esame approfondito delle questioni sollevate dalla presente domanda di pronuncia pregiudiziale, ritengo necessario esporre alcune osservazioni riguardanti l’oggetto specifico di quest’ultima. 32. In primo luogo, alla luce delle indicazioni contenute nella decisione di rinvio e delle informazioni complementari fornite dal governo spagnolo, rilevo che la controversia oggetto del procedimento principale presenta notevoli peculiarità, che la distinguono, in particolare, dal contesto delle cause che hanno dato luogo alle sentenze Digital Rights e Tele2 22 . 33. Infatti, risulta che la richiesta delle autorità di polizia di cui trattasi nel presente caso mira a ottenere unicamente dati che consentono di identificare i titolari o utenti dei numeri di telefono relativi alle carte SIM che sono state inserite nel telefono cellulare rubato 23 . Inoltre, è pacifico che tale richiesta riguarda un periodo chiaramente definito e limitato nel tempo, vale a dire una dozzina di giorni 24 . 34. Pertanto, il numero delle persone potenzialmente interessate dalla misura controversa non è illimitato, bensì ristretto. Inoltre, tali persone sono non già tutti i detentori di una carta SIM, bensì individui aventi un profilo molto particolare, poiché si tratta di coloro che hanno utilizzato il telefono rubato dopo la sua sottrazione, o persino che ne sono ancora in possesso, e che possono essere quindi legittimamente sospettati di essere gli autori del reato o di essere in relazione con questi ultimi. 35. Per di più, i dati oggetto della richiesta consistono non già in qualsiasi tipo di dati personali 25 detenuti dai fornitori di servizi di comunicazione elettronica, bensì soltanto in quelli relativi all’identità civile degli individui summenzionati, vale a dire il loro nome, il loro cognome ed eventualmente il loro indirizzo 26 , dati che possono anche essere qualificati di contatto . Le altre informazioni riguardanti tali individui, eventualmente presenti negli archivi di detti fornitori 27 , sono escluse, a mio avviso, dal procedimento principale. 36. Peraltro, l’obiettivo qui perseguito è, a mio avviso, quello di raccogliere informazioni che non riguardano né un’ubicazione né comunicazioni in quanto tali 28 , bensì persone fisiche ricercate per aver potuto utilizzare un servizio di comunicazione elettronica mediante il telefono rubato, anche se tali persone non hanno effettuato in concreto una telefonata. Infatti, dalle spiegazioni fornite alla Corte dal pubblico ministero spagnolo, risulta che i dati personali richiesti, tratti dall’associazione tra una determinata carta SIM e il numero IMEI del telefono rubato, possono tecnicamente essere ottenuti grazie ad una mera connessione di quest’ultimo con un terminale di telefonia cellulare, quand’anche il detentore della carta non abbia effettuato alcuna telefonata con il telefono interessato, quindi indipendentemente da qualsiasi comunicazione effettiva 29 . Spetta al giudice del rinvio verificare tale asserzione di carattere fattuale, che mi sembra tuttavia sufficientemente plausibile perché sia ragionevole ritenerla veritiera. 37. Alla luce di tutti questi elementi, sottolineo anzitutto che il procedimento principale riguarda dati personali la cui trasmissione è richiesta non già in maniera generalizzata e indifferenziata, bensì in modo mirato quanto alle persone e limitato quanto alla durata. Inoltre, i dati richiesti non sembrano, a prima vista, di natura particolarmente sensibile, sebbene i diritti fondamentali sanciti dagli articoli 7 e 8 della Carta possano tuttavia essere pregiudicati dall’accesso a dati di tal genere 30 . 38. In secondo luogo, osservo che, come risulta dalla motivazione della decisione di rinvio, le questioni pregiudiziali sollevate nella presente causa si caratterizzano per il fatto di vertere non già sulle condizioni della conservazione di dati personali nel settore delle comunicazioni elettroniche, bensì sulle modalità dell’accesso delle autorità nazionali a tali dati conservati dai fornitori di servizi operanti in tale settore 31 . 39. Il giudice del rinvio indica, in particolare, che, ai sensi dell’articolo 588 ter j del codice di procedura penale, è richiesta un’autorizzazione giudiziaria affinché i dati elettronici archiviati dai fornitori di servizi siano trasmessi alle autorità competenti al fine di essere presi in considerazione nell’ambito di un procedimento. Il paragrafo 1 di detto articolo precisa che la conservazione di tali dati può essere stata effettuata dai fornitori in applicazione della normativa pertinente oppure di loro iniziativa per ragioni commerciali o di altro tipo. 40. Nel caso di specie, sembra che i dati personali a cui le autorità di polizia chiedono di accedere, a fini investigativi, abbiano potuto essere archiviati dagli operatori di telefonia mobile in esecuzione di un obbligo derivante dalla legge spagnola 32 . Il giudice del rinvio non fornisce indicazioni a tale riguardo, dato che la sua domanda di pronuncia pregiudiziale è focalizzata sull’eventuale accesso a dati già conservati e la conformità dell’archiviazione dei dati alle prescrizioni del diritto dell’Unione non è messa in discussione nel procedimento principale 33 . Pertanto, occorre a mio avviso partire dalla premessa secondo cui i dati di cui trattasi nel procedimento principale sono stati conservati conformemente alla normativa nazionale, nel rispetto delle condizioni stabilite dall’articolo 15, paragrafo 1, della direttiva 2002/58, circostanza che spetta unicamente al giudice del rinvio verificare 34 . 41. Nelle considerazioni che seguono, tornerò sulle implicazioni giuridiche delle constatazioni qui formulate in via preliminare 35 . B. Sulle eccezioni processuali sollevate dal governo spagnolo 42. Il governo spagnolo ha sollevato due categorie di eccezioni processuali, una relativa alla competenza della Corte e l’altra relativa alla ricevibilità della domanda di pronuncia pregiudiziale, sulle quali la Corte dovrà pronunciarsi prima di decidere, se del caso, sul merito. 1. Sulla competenza della Corte alla luce dell’ambito di applicazione del diritto dell’Unione 43. Anzitutto, rammento che, come risulta da una giurisprudenza costante, i diritti fondamentali garantiti nell’ordinamento giuridico dell’Unione, e in particolare quelli sanciti dagli articoli 7 e 8 della Carta, si applicano soltanto se la situazione di cui trattasi è disciplinata dal diritto dell’Unione 36 . Inoltre, l’articolo 51, paragrafo 1, della Carta prevede che le disposizioni di quest’ultima si applichino agli Stati membri esclusivamente nell’attuazione del diritto dell’Unione , ai sensi della giurisprudenza della Corte relativa a tale nozione 37 . Pertanto, qualora una situazione giuridica non rientri nell’ambito di applicazione del diritto dell’Unione, la Corte non è competente al riguardo e le disposizioni della Carta eventualmente richiamate non possono giustificare, di per sé, tale competenza 38 . 44. Nel caso di specie, le questioni sollevate dal giudice del rinvio riguardano unicamente gli articoli 7 e 8 della Carta nonché i principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights] . Tuttavia, tale giudice ritiene che le direttive applicabili in materia di protezione dei dati personali, quali la direttiva 95/46 e la direttiva 2002/58, stabiliscano il collegamento richiesto, ai sensi dell’articolo 51, paragrafo 1, della Carta, tra la controversia principale e il diritto dell’Unione. 45. A tale riguardo, osservo, in primo luogo, che il governo spagnolo sostiene, in via principale, che la Corte non è dotata della competenza necessaria per statuire sul presente rinvio pregiudiziale, in quanto quest’ultimo non riguarda l’applicazione del diritto dell’Unione. Esso afferma, in particolare, che la controversia principale sarebbe esclusa dall’ambito di applicazione del diritto dell’Unione, in quanto essa riguarda un accesso della polizia a dati soggetto ad una decisione giudiziaria nell’ambito di un’indagine, il che costituirebbe un’attività dello Stato in materia penale 39 e rientrerebbe quindi nell’ambito delle eccezioni di cui all’articolo 1, paragrafo 3, della direttiva 2002/58, nonché all’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 40 . All’udienza, il governo del Regno Unito ha dichiarato di condividere tale punto di vista del governo spagnolo. 46. Tuttavia, ritengo che la direttiva 2002/58 sia applicabile nei confronti di misure nazionali come quelle di cui trattasi nel procedimento principale. Infatti, la Corte ha già dichiarato, nella sentenza Tele2, che le normative nazionali relative alla conservazione di dati per finalità di lotta contro la criminalità rientrano nell’ambito di applicazione di tale direttiva, non solo in quanto esse definiscono gli obblighi incombenti a tale titolo ai fornitori di servizi di comunicazione elettronica, ma anche in quanto esse disciplinano l’accesso delle autorità nazionali ai dati conservati in tale ambito 41 . Al pari della Commissione, ritengo che le considerazioni espresse in tale sentenza siano trasponibili alle norme nazionali applicabili nel caso di specie, vale a dire quelle derivanti dalla legge 25/2007 in combinato disposto con il codice di procedura penale spagnolo quale modificato dalla legge organica 13/2015 42 , e quindi trasponibili all’oggetto del procedimento principale. 47. Aggiungo che non si devono confondere, da una parte, i dati personali trattati direttamente nell’ambito delle attività – di natura sovrana 43 – dello Stato in un settore rientrante nel diritto penale 44 e, dall’altra, quelli trattati nell’ambito delle attività – di natura commerciale – di un fornitore di servizi di comunicazione elettronica che sono successivamente utilizzati dalle autorità statali competenti 45 . Peraltro, osservo che alla Corte è stata recentemente sottoposta una domanda di pronuncia pregiudiziale vertente, in particolare, sull’interpretazione dell’articolo 1, paragrafo 3, della direttiva 2002/58 nel contesto dell’utilizzo, da parte dei servizi di sicurezza e di informazione di uno Stato membro, di dati che devono essere loro trasmessi in massa da tali fornitori 46 , problematica che, a mio avviso, non occorre risolvere nella presente causa 47 . 48. In secondo luogo, osservo che altri interrogativi sono stati formulati in merito all’ambito di applicazione della direttiva 2002/58, da cui dipende la competenza della Corte nella presente causa, con riguardo al tipo di dati in questione nel procedimento principale. 49. Come ho già esposto 48 , dagli elementi del fascicolo risulta che la domanda di accesso controversa mira ad ottenere informazioni sull’identità dei titolari o utenti dei numeri di telefono corrispondenti alle carte SIM attivate mediante il telefono cellulare rubato, al fine di rintracciare le persone che hanno detenuto tale telefono, e non informazioni sulle telefonate eventualmente effettuate a partire da quest’ultimo. 50. In altri termini, sebbene, ai sensi della normativa spagnola 49 , avrebbe potuto essere interessato un più ampio ventaglio di dati personali, il presente procedimento principale verte su dati che riguardano unicamente l’identità di utenti , ai sensi dell’articolo 2, secondo comma, lettera a , della direttiva 2002/58, e non ad una qualsiasi ubicazione 50 , ai sensi dell’articolo 2, secondo comma, lettera c , né a comunicazioni in quanto tali, ai sensi del medesimo articolo 2, secondo comma, lettera d 51 . 51. Secondo il pubblico ministero spagnolo, i governi spagnolo, danese, irlandese, lettone e del Regno Unito nonché la Commissione, informazioni come quelle di cui trattasi nel caso di specie, nella misura in cui siano prese in considerazione isolatamente, vale a dire indipendentemente dalle comunicazioni eventualmente effettuate, non dovrebbero nemmeno rientrare, in linea di principio, nella nozione di dati relativi al traffico , ai sensi di detto articolo 2, secondo comma, lettera b , il quale definisce questi ultimi come qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione 52 . 52. È pur vero che, a quanto pare, i dati di identificazione richiesti nel caso di specie dalle autorità di polizia non riguardano il traffico di comunicazioni propriamente detto, poiché risulta che tali dati possono essere ottenuti nonostante un’eventuale assenza totale di telefonate passive con il telefono rubato, e quindi anche se non sia stata inoltrata alcuna comunicazione interpersonale da un operatore di telefonia mobile, durante il periodo indicato nella richiesta 53 . 53. Tuttavia, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione della direttiva 2002/58, poiché il trattamento delle informazioni associate alle carte SIM e ai loro titolari, richieste nel caso di specie, è necessario, da un punto di vista commerciale, alla fornitura dei servizi di comunicazione elettronica 54 , quanto meno al fine di fatturare il servizio fornito 55 , a prescindere dalle telefonate effettuate o meno nell’ambito di tale prestazione. 54. Invero, alla luce dell’articolo 1, paragrafo 1, e dell’articolo 3 della direttiva 2002/58 56 , condivido l’opinione espressa, in particolare, dalla Commissione, secondo la quale tale direttiva mira a disciplinare, in modo globale, il trattamento dei dati personali effettuato nell’ambito della fornitura di servizi di comunicazione elettronica, cosicché il suo campo di applicazione comprende i dati relativi all’identità degli utenti di tali servizi, come quelli di cui trattasi nel caso di specie, e non soltanto quelli relativi ad una determinata comunicazione. Tenuto conto inoltre degli obiettivi di protezione previsti da detta direttiva, che consistono principalmente nella salvaguardia di diritti fondamentali garantiti dalla Carta 57 , ritengo pertanto che la nozione di comunicazione , ai sensi di tale strumento, debba essere intesa nella sua accezione ampia e che il principio di riservatezza delle comunicazioni previsto da tale strumento 58 entri effettivamente in gioco nel caso di specie. 55. Sono anche dell’avviso che tale interpretazione sia corroborata da una precedente sentenza della Corte, nella quale quest’ultima ha già ammesso che il campo di applicazione della direttiva 2002/58 copriva una controversia vertente sulla trasmissione dei nomi e degli indirizzi di utenti di un servizio di comunicazione elettronica 59 . Aggiungo che l’articolo 12 di detta direttiva, che è relativo agli elenchi di abbonati, riguarda certamente, a mio avviso, dati di tale natura 60 e che il suo considerando 15 riflette parimenti una concezione elastica della nozione di comunicazione , includendovi segnatamente un indirizzo fornit[o] da chi emette la comunicazione 61 . 56. Inoltre, un siffatto orientamento è coerente con la giurisprudenza della Corte EDU in materia 62 , tenendo presente che il preambolo della direttiva 2002/58 sottolinea che quest’ultima intende garantire la riservatezza delle comunicazioni e il diritto degli utenti a una vita privata ai sensi della CEDU quale interpretata da detto organo giurisdizionale 63 , anche se quest’ultimo strumento non è formalmente integrato nell’ordinamento giuridico dell’Unione 64 . 57. Di conseguenza, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione materiale della direttiva 2002/58 e che l’eccezione di incompetenza sollevata dal governo spagnolo debba quindi essere respinta. 58. A fini di completezza, preciso tuttavia che, qualora la direttiva 2002/58 non fosse riconosciuta applicabile in un’ipotesi di tal genere, la direttiva 95/46, evocata sia dal giudice del rinvio che dal governo spagnolo, non può fondare la competenza della Corte a pronunciarsi nella presente causa. 59. Infatti, come affermato dalla Commissione, è pur vero che la direttiva 95/46 costituisce lo strumento di portata generale in materia di trattamento dei dati personali 65 , ma le questioni sollevate dal giudice del rinvio sarebbero, a mio avviso, irrilevanti se fossero esaminate soltanto sotto tale profilo, poiché esse hanno lo scopo di determinare la soglia a partire dalla quale i reati possono essere qualificati come gravi ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, le quali non vertevano sull’interpretazione di detta direttiva 66 . 2. Sulla ricevibilità della domanda di pronuncia pregiudiziale 60. Il governo spagnolo sostiene in subordine, nell’ipotesi in cui la Corte giudicasse di essere competente a rispondere alle questioni sollevate, che la domanda di pronuncia pregiudiziale dovrebbe essere dichiarata irricevibile per due motivi. 61. In primo luogo, tale governo afferma che il giudice del rinvio non individuerebbe in modo chiaro il quadro normativo dell’Unione sul quale la Corte deve pronunciarsi. 62. A tale riguardo, esso richiama la giurisprudenza costante secondo cui, nell’ambito della cooperazione istituita dall’articolo 267 TFUE, la Corte può rifiutarsi di statuire su questioni pregiudiziali, le quali sono assistite da una presunzione di rilevanza, soltanto qualora risulti in modo manifesto che l’interpretazione o l’esame di validità richiesto relativamente ad una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, oppure qualora il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte 67 . 63. Tuttavia, considero che, nel caso di specie, la censura formulata dal governo spagnolo sia infondata. Infatti, alla luce delle indicazioni fornite dal giudice del rinvio, ritengo che quest’ultimo abbia individuato in modo sufficiente le disposizioni del diritto dell’Unione che a suo avviso sono pertinenti. Rammento, da una parte, che le questioni sollevate riguardano in particolare gli articoli 7 e 8 della Carta, dall’altra, che tale giudice afferma che le direttive 95/46 e 2002/58 costituiscono il collegamento necessario tra la normativa nazionale applicabile nel procedimento principale e il diritto dell’Unione 68 e, infine, che la direttiva 2002/58 mira, come enuncia il suo considerando 2, a garantire, in particolare, il pieno rispetto dei diritti di cui agli articoli 7 e 8 della Carta 69 . 64. Aggiungo che è irrilevante il fatto che uno degli elementi della normativa spagnola menzionati nella decisione di rinvio, vale a dire la legge 25/2007, abbia avuto lo scopo di trasporre la direttiva 2006/24, che è stata abrogata a seguito della sua invalidazione da parte della sentenza Digital Rights 70 . Come osserva giustamente il giudice di rinvio, sarebbe erroneo considerare che le questioni pregiudiziali sottoposte alla Corte nel caso di specie siano irrilevanti a causa di detta invalidazione. A questo proposito, è sufficiente constatare che la materia interessata da tali questioni, vale a dire la protezione dei dati personali, rientra nella competenza dell’Unione e che la controversia principale rientra nel campo di applicazione di un atto di diritto dell’Unione, vale a dire la direttiva 2002/58 71 , che la direttiva 2006/24 invalidata era destinata a modificare. 65. Si può peraltro osservare che le parti che hanno presentato osservazioni alla Corte partono prevalentemente dal principio che la presente domanda di pronuncia pregiudiziale debba essere esaminata alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta, nonché sulla base degli insegnamenti derivanti dalle sentenze Digital Rights e Tele2. Questo è anche il mio parere, con la precisazione che l’espressione reati , e non reati gravi , figura nella direttiva 2002/58 soltanto in detto articolo 15, paragrafo 1 72 . 66. In secondo luogo, il governo spagnolo sostiene che l’articolo 7 della Carta, che costituirebbe l’elemento centrale della presente domanda di pronuncia pregiudiziale, non sarebbe pertinente, in quanto la misura di indagine richiesta nel procedimento principale non riguarderebbe l’intercettazione di comunicazioni e non potrebbe pertanto pregiudicare la riservatezza delle comunicazioni, cosicché le questioni sollevate sarebbero ipotetiche. 67. Da parte mia, ritengo che l’articolo 7 della Carta sia senz’altro pertinente nella presente causa e che la domanda di pronuncia pregiudiziale non abbia, quindi, carattere ipotetico. Sebbene sia vero che, nel caso di specie, non vi è alcun rischio di violazione del diritto al segreto delle comunicazioni, tenuto conto dell’oggetto della misura di cui trattasi nel procedimento principale 73 , resta il fatto che una misura di tal genere può arrecare pregiudizio al diritto al rispetto della vita privata garantito da detta disposizione, benché tale pregiudizio sia, a mio avviso, di lieve entità 74 . 68. Infatti, come la Corte ha già dichiarato in modo costante, la comunicazione di dati personali ad un terzo, quale un’autorità pubblica, costituisce un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, indipendentemente dall’utilizzo ulteriore delle informazioni comunicate. Lo stesso vale per la conservazione dei dati personali, in particolare da parte dei fornitori di servizi di comunicazione elettronica, nonché per l’accesso a detti dati ai fini del loro utilizzo da parte delle autorità pubbliche 75 . 69. Pertanto, ritengo che l’eccezione di irricevibilità sollevata dal governo spagnolo debba essere respinta e che occorra, di conseguenza, statuire sul merito della domanda di pronuncia pregiudiziale. C. Sugli elementi necessari per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati prima questione 70. Con la sua prima questione, il giudice del rinvio interroga la Corte, in sostanza, sugli elementi da prendere in considerazione per stabilire che determinati reati siano di una gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, nell’ambito della conservazione di dati personali e dell’accesso agli stessi, ai sensi della giurisprudenza derivante dalla sentenza Digital Rights e poi dalla sentenza Tele2. 71. A tale riguardo, rammento che la nozione di reati gravi è stata utilizzata dalla Corte nella sentenza Digital Rights 76 , talvolta in combinazione con la nozione di criminalità grave 77 , quale criterio di verifica della finalità e della proporzionalità dell’ingerenza nei summenzionati diritti fondamentali che era causata da disposizioni del diritto dell’Unione relative ai dati personali, vale a dire quelle della direttiva 2006/24. Preciso che tale nozione, che non figura nella direttiva 2002/58 78 , era utilizzata nella direttiva 2006/24 79 , la cui invalidità costituiva oggetto di detta sentenza. La Corte ha poi utilizzato entrambe tali nozioni nella sentenza Tele2 80 , quale medesimo criterio di valutazione, ma per quanto riguarda, questa volta, la conformità al diritto dell’Unione 81 di disposizioni adottate da Stati membri. 72. Più precisamente, la prima questione pregiudiziale invita la Corte a dichiarare se, al fine di valutare la sussistenza di un reato grave tale da giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta esercitata con riguardo a dati personali, occorra prendere in considerazione soltanto la pena irrogabile per il reato controverso oppure anche il carattere particolarmente lesivo della condotta criminosa nei confronti dei beni giuridici individuali o collettivi coinvolti. 73. Tuttavia, al pari della Commissione, ritengo che, prima di pronunciarsi su tale questione, occorra esaminare se l’ingerenza di cui trattasi in una controversia come quella oggetto del procedimento principale presenti un livello di gravità sufficientemente elevato affinché sia richiesto, ai sensi del diritto dell’Unione, che tale ingerenza, per poter essere ammessa, sia giustificata dalla lotta contro un reato grave. Infatti, mi sembra che, qualora ciò non fosse, la Corte dovrebbe procedere ad un’interpretazione delle disposizioni pertinenti del diritto dell’Unione, non già limitandosi a quella richiesta dal giudice del rinvio, bensì dopo aver riformulato la prima questione sollevata 82 nella misura necessaria alla luce dei fatti del procedimento principale 83 . 1. Sulla presa in considerazione dell’assenza di gravità dell’ingerenza controversa 74. Anzitutto, occorre accertare che operazioni come quelle di cui trattasi nel procedimento principale siano effettivamente idonee a ledere i diritti fondamentali garantiti dagli articoli 7 e 8 della Carta e, quindi, a costituire un’ingerenza in tali diritti, ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2. 75. È pur vero che, come hanno evidenziato i governi spagnolo e danese nelle loro difese orali 84 e come ho già indicato 85 , i dati ai quali le autorità titolari dell’indagine penale in questione desiderano accedere sembrano rivestire un carattere meno sensibile rispetto a talune altre categorie di dati personali 86 , posto che la richiesta in questione risulta riguardare soltanto il nome, il cognome ed eventualmente l’indirizzo degli individui interessati da tale indagine, in quanto utenti di numeri di telefono attivati dal telefono cellulare rubato oggetto di quest’ultima. 76. Tuttavia, ritengo che, al fine di determinare se determinati dati personali debbano beneficiare della protezione prevista dal diritto dell’Unione, e in particolare dalla direttiva 2002/58 87 , sia irrilevante stabilire se le informazioni oggetto della richiesta di conservazione o di comunicazione rivestano o meno un carattere particolarmente sensibile. Infatti, come si è rilevato nell’ambito dei primi lavori legislativi in materia, a seconda della finalità per cui è impiegato, qualsiasi dato relativo ad una persona, anche apparentemente inoffensivo, può rivestire un certo carattere di sensibilità ad esempio un semplice indirizzo postale 88 . Inoltre, la Corte ha già dichiarato che, al fine di determinare la sussistenza di un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno un carattere sensibile o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza 89 . 77. Peraltro, rammento che la comunicazione di dati personali ad un terzo, anche un’autorità pubblica quale un servizio di polizia giudiziaria, costituisce un’ingerenza nel diritto fondamentale garantito dall’articolo 7 della Carta 90 , quand’anche tali informazioni siano trasmesse a fini di indagine penale, situazione espressamente prevista, del resto, dall’articolo 15, paragrafo 1, della direttiva 2002/58 91 . Aggiungo che un’operazione di tal genere può anche costituire un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito dall’articolo 8 della Carta, poiché essa comporta un trattamento di dati personali 92 . 78. Pertanto, a mio avviso, si deve constatare che una misura come quella di cui trattasi nel procedimento principale costituisce un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta. 79. Tuttavia, ritengo che, nelle circostanze del caso di specie, manchi un elemento essenziale che è stato adottato dalla Corte per esigere, nella fase della giustificazione di una siffatta ingerenza, che sussista un reato grave – nozione la cui definizione è richiesta dal giudice del rinvio –, al fine di poter derogare al principio della riservatezza delle comunicazioni elettroniche. L’elemento che non ricorre, a mio avviso, nel caso di specie, affinché si possa rispondere alla prima questione pregiudiziale nei termini utilizzati da tale giudice, è quello della gravità dell’ingerenza controversa, fattore che, se fosse presente, comporterebbe la necessità di una giustificazione rafforzata. 80. A tale riguardo, rilevo che, nella sentenza Digital Rights, la Corte ha sottolineato la vasta portata e la particolare gravità dell’ingerenza causata dalla normativa in questione, rilevando segnatamente che la direttiva 2006/24 riguarda in maniera generale qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi 93 . 81. Analogamente, nella sentenza Tele2, la Corte ha dichiarato che [l]’articolo 15, paragrafo 1, della direttiva 2002/58 osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica 94 . Una correlazione è stata posta, inoltre, in tale sentenza, tra, da un lato, la particolare gravità dell’ingerenza in tal modo constatata e, dall’altro, la necessità di giustificare una lesione di tale portata, dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, basandosi su un motivo di interesse generale fondamentale come la lotta contro la criminalità grave 95 . 82. Tale collegamento tra la gravità dell’ingerenza constatata e la gravità del motivo che consente di giustificare quest’ultima è stato istituito in ossequio al principio di proporzionalità 96 . Inoltre, mi sembra che la Corte EDU abbia stabilito, nella propria giurisprudenza relativa all’articolo 8 della CEDU 97 , una correlazione equivalente a quella che risulta, a mio avviso, dalle sentenze Digital Rights e Tele2. 83. Orbene, come ho rilevato in precedenza 98 e come hanno sottolineato in particolare i governi francese e del Regno Unito nonché la Commissione, la natura dell’ingerenza di cui trattasi nel presente procedimento principale è, sotto vari aspetti, diversa da quelle ravvisate dalla Corte in tali due precedenti sentenze. L’esame della conformità al diritto dell’Unione di una misura come quella di cui trattasi nel caso di specie deve, pertanto, essere effettuato in maniera diversa. 84. Nel caso di specie, non si tratta di una misura relativa ad un obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti che riguardi tutti i mezzi di comunicazione elettronica. Si tratta di una misura mirata e finalizzata ad una possibilità di accesso, da parte delle autorità competenti e per le esigenze di un’indagine penale, a dati detenuti a fini commerciali da fornitori di servizi e che riguarda unicamente l’identità nome, cognome ed eventualmente indirizzo di una categoria ristretta di abbonati o utenti di uno specifico mezzo di comunicazione, vale a dire quelli il cui numero di telefono è stato attivato dal telefono cellulare il cui furto costituisce l’oggetto dell’indagine, e per un periodo limitato, vale a dire una dozzina di giorni 99 . 85. Aggiungo che gli effetti potenzialmente nocivi, per le persone interessate dalla richiesta di accesso in questione, sono nel contempo moderati e circoscritti. Infatti, essendone previsto l’utilizzo nello specifico ambito di una misura di indagine, i dati richiesti non sono destinati ad essere divulgati al pubblico 100 . Inoltre, la facoltà di accesso offerta alle autorità di polizia è circondata da garanzie procedurali ai sensi del diritto spagnolo, in quanto essa dà luogo ad un controllo giurisdizionale, che ha peraltro portato ad un rigetto della richiesta della polizia nel procedimento principale. 86. L’ingerenza nei summenzionati diritti fondamentali causata dalla comunicazione di tali dati di identità civile, a mio avviso, non riveste un carattere di particolare gravità 101 , poiché dati di tal genere e di portata così limitata non consentono, di per sé, di ottenere informazioni varie e/o precise sulle persone interessate 102 e non pregiudicano pertanto direttamente e fortemente l’intimità della loro vita privata in tali circostanze particolari 103 . 87. Pertanto, al pari della Commissione, ritengo che, al fine di fornire al giudice del rinvio le indicazioni pertinenti per risolvere la controversia di cui esso è investito, occorra riformulare la prima questione pregiudiziale cosicché la risposta che fornirà la Corte verta sull’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 con riguardo a circostanze come quelle del caso di specie, vale a dire in presenza di un’ingerenza nei summenzionati diritti fondamentali priva di particolare gravità e fondata sulla lotta contro un tipo di reati la cui gravità è messa in dubbio. 88. A tale riguardo, rammento che, poiché gli obiettivi idonei a giustificare una normativa nazionale che deroghi al principio di riservatezza delle comunicazioni elettroniche sono elencati in modo esaustivo all’articolo 15, paragrafo 1, della direttiva 2002/58, l’accesso ai dati conservati deve rispondere in modo effettivo e rigoroso ad uno di detti obiettivi 104 . Tra questi ultimi, figura l’obiettivo di interesse generale della prevenzione, ricerca, accertamento e perseguimento dei reati 105 , senza alcuna precisazione quanto alla natura di questi ultimi. 89. Come risulta dalla terminologia in tal modo utilizzata, non è necessario che i reati che legittimano la misura restrittiva in questione, in forza di detto articolo 15, paragrafo 1, possano essere qualificati come gravi ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2. A mio avviso, soltanto quando l’ingerenza subita presenta una particolare gravità, come nelle cause che hanno dato luogo a dette sentenze, i reati idonei a giustificare una siffatta ingerenza devono presentare una particolare gravità. Per contro, nell’ipotesi di un’ingerenza non grave, si deve ritornare al principio di base risultante dal testo di tale disposizione, vale a dire che qualsiasi tipo di reati è idoneo a giustificare una siffatta ingerenza. 90. A mio avviso, occorre evitare di adottare una concezione troppo ampia dei requisiti stabiliti dalla Corte in tali due sentenze, al fine di non ostacolare, in ogni caso non eccessivamente, la possibilità degli Stati membri di derogare al regime stabilito dalla direttiva 2002/58, ad essi concessa dall’articolo 15, paragrafo 1, di quest’ultima, nei casi in cui le intrusioni nella vita privata in questione abbiano nel contempo una finalità legittima e una portata ridotta, come quelle che possono essere causate nel caso di specie dalla richiesta del servizio di polizia giudiziaria. Più concretamente, ritengo che il diritto dell’Unione non osti a che le autorità competenti possano accedere ai dati di identificazione, detenuti da fornitori di servizi di comunicazione elettronica, che consentono di rintracciare i presunti autori di un reato che non presenta un carattere grave. 91. Di conseguenza, suggerisco alla Corte di rispondere alla questione pregiudiziale, come riformulata, dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti di numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave. 92. Tenuto conto della risposta in tal modo proposta, tutte le osservazioni che seguono sono presentate soltanto in subordine, a fini di completezza. 2. Sulla eventuale determinazione dei criteri pertinenti per stabilire la gravità sufficiente di un reato 93. Qualora la Corte ritenesse, contrariamente a quanto raccomando, che sia necessario, nonostante le circostanze molto particolari della presente controversia principale, determinare, nel caso di specie, cosa si debba intendere per reato grave ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 106 , occorrerebbe ancora interrogarsi, in primo luogo, se tale qualificazione costituisca effettivamente una nozione autonoma del diritto dell’Unione, che spetterebbe quindi alla Corte definire. Orbene, al pari della risposta proposta in via principale dal governo francese, anche il mio parere è negativo, per i motivi seguenti. 94. Anzitutto, osservo che la direttiva 2006/24, da cui proviene l’impiego della nozione di reato grave 107 , non conteneva una definizione di quest’ultimo, ma rinviava, a tale riguardo, agli ordinamenti giuridici degli Stati membri 108 . Aggiungo che le considerazioni pertinenti contenute nelle sentenze Digital Rights e Tele2 non devono essere intese, a mio avviso, come volte ad armonizzare le norme giuridiche in vigore negli Stati membri relative al contenuto di tale nozione. 95. A tale riguardo, rammento che la legislazione penale e le norme di procedura penale rientrano nella competenza degli Stati membri, sebbene sull’ordinamento giuridico di questi ultimi possano nondimeno incidere le disposizioni del diritto dell’Unione adottate in tale materia 109 . Ai sensi dell’articolo 83, paragrafo 2, TFUE, soltanto nel caso in cui l’armonizzazione del diritto penale degli Stati membri si riveli indispensabile per l’attuazione efficace di una politica dell’Unione in un settore che è stato oggetto di misure di armonizzazione, l’Unione può adottare direttive volte a stabilire norme minime relative alla definizione dei reati e delle sanzioni nel settore in questione. Orbene, allo stato attuale del diritto dell’Unione, non sussistono disposizioni di portata generale che forniscano una definizione armonizzata della nozione di reato grave 110 . 96. Mi sembra che il potere di determinare ciò che costituisce un reato grave spetti, in linea di principio, alle autorità competenti degli Stati membri. Tuttavia, grazie ai rinvii pregiudiziali di cui i giudici degli Stati membri possono adire la Corte, quest’ultima ha il compito di assicurare il rispetto di tutti gli obblighi derivanti dal diritto dell’Unione e, in particolare, di garantire un’applicazione coerente della protezione offerta dalle disposizioni della Carta. 97. Rilevo che la qualificazione giuridica di cui trattasi può non soltanto variare da uno Stato membro all’altro, in funzione delle tradizioni seguite e delle priorità stabilite da ciascuno di essi, ma anche fluttuare nel tempo, in funzione degli orientamenti impartiti alla politica penale, verso una maggiore o minore severità, per tenere conto dell’evoluzione della criminalità 111 nonché, più in generale, delle trasformazioni della società e delle esigenze esistenti, segnatamente in termini di repressione penale, a livello nazionale. 98. Sottolineo inoltre che, dato che sussistono grandi differenze tra le scale di sanzioni che sono tradizionalmente applicabili nei vari Stati membri 112 , la gravità di un reato non dipende soltanto dall’entità della pena per esso prevista. Determinare se un reato sia grave è questione molto relativa, nel senso che essa dipende dalla scala delle sanzioni applicate in generale nello Stato membro interessato. Pertanto, il fatto che uno Stato membro preveda una pena detentiva poco elevata, o persino una pena alternativa alla reclusione, non incide di per sé sulla gravità intrinseca del tipo di reato in questione 113 . 99. Occorre, a mio avviso, rispettare le specificità dell’ordinamento giuridico penale di ciascuno degli Stati membri, purché il diritto dell’Unione non stabilisca obblighi che vincolano questi ultimi in maniera rigorosa, per analogia con quanto dichiarato dalla Corte per quanto riguarda la salvaguardia della sicurezza pubblica 114 , nozione affine, a mio avviso, a quella di lotta contro la criminalità grave, in particolare alla luce del testo dell’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58. 100. Di conseguenza, ritengo, in subordine, che la nozione di reato grave ai sensi della giurisprudenza della Corte derivante dalle sentenze Digital Rights e Tele2 non costituisca una nozione autonoma del diritto dell’Unione il cui contenuto debba essere definito dalla Corte, sebbene resti il fatto che la deroga prevista dall’articolo 15, paragrafo 1, della direttiva 2002/58 deve essere attuata dagli Stati membri conformemente agli obblighi derivanti dal diritto dell’Unione, segnatamente dai diritti fondamentali garantiti dalla Carta, e sotto il controllo della Corte. 101. A quest’ultimo proposito, rilevo che dalla giurisprudenza della Corte risulta, in particolare, che detto articolo 15, paragrafo 1, in quanto consente agli Stati membri di limitare la portata di taluni diritti e obblighi previsti da tale direttiva, deve essere oggetto di un’interpretazione restrittiva e non può quindi comportare che la deroga a tali diritti e obblighi di principio diventi la regola 115 . Pertanto, la portata di detta nozione di reato grave non può essere intesa in modo eccessivamente ampio da parte degli Stati membri. 102. In secondo luogo, e in ulteriore subordine, nell’ipotesi in cui la Corte considerasse che detta nozione è autonoma, essa dovrebbe allora rispondere alla questione come formulata dal giudice del rinvio e, pertanto, pronunciarsi sulla determinazione dei criteri che consentono di valutare, a livello del diritto dell’Unione, se un reato rivesta un carattere di gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta. 103. Più precisamente, la Corte dovrebbe determinare se, per stabilire la sussistenza di un reato grave ai sensi di detta giurisprudenza, sia sufficiente basarsi sulla pena prevista per il reato asserito o se occorra, inoltre, che la condotta criminosa sia stata particolarmente lesiva nei confronti dei beni giuridici individuali o collettivi coinvolti. A tale riguardo, occorrerebbe a mio avviso, nonché secondo i governi danese, spagnolo, francese, ungherese, austriaco, polacco e del Regno Unito, optare non già per la prima alternativa, bensì, in sostanza, per la seconda, privilegiando una definizione basata su una pluralità di criteri di valutazione 116 . 104. Per quanto riguarda la gravità del reato che può giustificare l’accesso ai dati, sarebbe a mio avviso impossibile, alla luce del principio di proporzionalità, determinare la gravità dei fatti addebitati prendendo in considerazione soltanto la pena irrogabile. Infatti, viste le notevoli differenze tuttora esistenti tra i sistemi penali degli Stati membri, ritengo che la sanzione irrogabile non possa essere considerata di per sé idonea a riflettere, sotto il profilo qualitativo del tipo di pena e/o sotto il profilo quantitativo del livello di pena, la particolare gravità di un reato. 105. Sebbene la pena rivesta un’importanza considerevole, altri fattori oggettivi devono parimenti essere presi in considerazione, caso per caso, a tale titolo. Si tratta, in particolare, da un lato, del contesto nel quale si colloca il reato asserito – a seconda che la condotta criminosa sia dolosa, sia caratterizzata da circostanze aggravanti e/o sia stata commessa in stato di recidiva legale – e, dall’altro, dell’importanza degli interessi della società che siano stati lesi dall’autore del reato nonché della natura e/o dell’entità dei danni che siano stati subiti dalla vittima di quest’ultimo 117 e, infine, della scala delle pene applicabili in generale nello Stato membro interessato 118 . È sulla base di tale insieme di criteri di valutazione, alternativi e non esaustivi, che occorrerebbe, a mio avviso, qualificare eventualmente un reato come grave ai sensi della giurisprudenza della Corte in questione. 106. Aggiungo che l’interpretazione così proposta è conforme all’approccio che mi sembra esser stato adottato dalla Corte EDU nella sua giurisprudenza relativa alla prevenzione dei reati , quale obiettivo che consente di giustificare un’ingerenza nel diritto alla vita privata sancito dall’articolo 8 della CEDU, purché siano soddisfatte anche altre condizioni 119 . Da tale giurisprudenza, a mio avviso, risulta che la lotta contro talune categorie di reati può essere fondatamente invocata in tale ambito, dagli Stati parti della CEDU 120 , sulla base non tanto unicamente della pena irrogabile, quanto piuttosto di diversi fattori, tra i quali figurano eminentemente la natura dei reati in questione nonché gli interessi pubblici e privati coinvolti da questi ultimi 121 . 107. Di conseguenza, ritengo che, qualora la nozione di reato grave ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 fosse considerata dalla Corte come costitutiva di una nozione autonoma del diritto dell’Unione, essa dovrebbe essere interpretata nel senso che la gravità di un reato, tale da giustificare l’accesso delle autorità nazionali competenti a dati personali ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, deve essere misurata non già tenendo conto unicamente della pena irrogabile, bensì prendendo in considerazione anche un insieme di altri criteri oggettivi di valutazione, come quelli sopra menzionati. D. Sulla definizione subordinata del livello minimo di pena necessario per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati seconda questione 108. Con la sua seconda questione, il giudice del rinvio, in sostanza, invita la Corte, da un lato, a individuare la soglia minima che la pena irrogabile dovrebbe raggiungere affinché un reato possa essere qualificato come grave , ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, nonché, dall’altro, a dichiarare se una soglia di tre anni di reclusione, quale prevista dal codice di procedura penale spagnolo dopo la riforma intervenuta nel 2015 122 , sia conforme ai requisiti del diritto dell’Unione. 109. Tali interrogativi sono sollevati soltanto in via subordinata, nell’ipotesi in cui la Corte dichiarasse, in risposta alla prima questione pregiudiziale, che la gravità di un reato – fattore che può giustificare un’ingerenza nei diritti fondamentali ai sensi di detta giurisprudenza – deve essere determinata tenendo conto unicamente del quantum della pena detentiva che può essere inflitta. 110. Tenuto conto della risposta che propongo di fornire alla prima questione pregiudiziale, a mio avviso la Corte non deve pronunciarsi sulla seconda questione. Tuttavia, intendo presentare osservazioni a tale riguardo, a fini di completezza. 111. Per quanto riguarda la prima parte della seconda questione, ritengo, al pari segnatamente dei governi ceco ed estone, che il livello della pena irrogabile che consentirebbe di per sé di qualificare un reato come grave non possa essere determinato in modo uniforme per tutto il territorio dell’Unione, alla luce delle considerazioni sopra formulate in risposta alla prima questione sollevata dal giudice del rinvio 123 . 112. Del resto, tale variazione nella definizione di ciò che occorre intendere per reato grave e, più in particolare, riguardo alla soglia di pena a partire dalla quale tale qualificazione sarebbe acquisita, è presente anche negli atti del diritto dell’Unione. Infatti, si può constatare che alcuni atti dell’Unione adottati sul fondamento dell’articolo 83, paragrafo 1, TFUE prevedono pene detentive stabilite a livelli diversi per reati nondimeno considerati tutti di criminalità particolarmente grave 124 , come risulta, ad esempio, dall’articolo 3 della direttiva 2011/93/UE 125 e dall’articolo 15 della direttiva UE 2017/541 126 , strumenti relativi, rispettivamente, alla lotta contro gli abusi sessuali su minori e alla lotta contro il terrorismo. Pertanto, lo stesso legislatore dell’Unione non ha optato per una definizione uniforme della nozione di reato grave basata su un determinato quantum di pena irrogabile. 113. Rammento che la libertà lasciata agli Stati membri di decidere del livello minimo di pena necessario affinché i reati siano definiti gravi è circoscritta dalle norme contenute nelle disposizioni del diritto dell’Unione in materia, ma anche dal principio secondo cui un’eccezione non può avere una portata così ampia da diventare di fatto la regola generale 127 . 114. Nel caso di specie, sebbene ciascuno Stato membro abbia la facoltà di determinare la soglia di pena adeguata per definire grave un reato, esso ha comunque l’obbligo di non fissare tale soglia ad un livello talmente basso, rispetto al quantum abituale delle pene applicabili in tale Stato 128 , che le eccezioni al divieto di conservare e di utilizzare i dati personali previste da tale articolo 15, paragrafo 1, sarebbero trasformate in principi, come ha giustamente osservato il governo irlandese. 115. Inoltre, è assodato che le ingerenze nei diritti garantiti dagli articoli 7 e 8 della Carta, che possano essere autorizzate dagli Stati membri in forza dell’articolo 15, paragrafo 1, della direttiva 2002/58, restano, altresì, sempre subordinate al rispetto dei requisiti generali derivanti dal principio di proporzionalità, come prevede l’articolo 52, paragrafo 1, della Carta 129 . 116. Per quanto riguarda l’ultima parte della seconda questione, il governo estone e la Commissione affermano, da un lato, che una soglia basata esclusivamente su una pena di almeno tre anni di reclusione appare, in assoluto, sufficiente per qualificare come grave un reato, ai sensi della giurisprudenza della Corte relativa all’accesso ai dati personali derivante dalla sentenza Digital Rights, e, dall’altro, che una siffatta soglia non è manifestamente incompatibile con il diritto dell’Unione in generale 130 e, in particolare, con l’articolo 15, paragrafo 1, della direttiva 2002/58. 117. Tuttavia, sarebbe, a mio avviso, opportuno che la Corte si astenesse dal prendere posizione a favore di un quantum preciso di pena irrogabile, poiché ciò che è adeguato per taluni Stati membri non lo è necessariamente per altri e ciò che vale oggi per un tipo di reati non varrà necessariamente in modo irrevocabile in futuro, come ho già osservato 131 . Poiché una determinazione della soglia in questione richiede una valutazione complessa e potenzialmente soggetta a evoluzione, occorre a mio avviso restare prudenti a questo proposito e riservare tale operazione alla valutazione del legislatore dell’Unione, nella sfera delle competenze conferite a quest’ultima, o alla valutazione del legislatore di ciascuno Stato membro, entro i limiti dei requisiti derivanti dal diritto dell’Unione. 118. A quest’ultimo proposito, rilevo che, nel caso di specie, il giudice del rinvio evidenzia un rischio di inversione tra la regola generale e le deroghe previste dalla direttiva 2002/58, rischio evocato supra 132 , quando afferma che il [r]iferimento alla pena detentiva non inferiore a tre anni [soglia introdotta nel 2015 dal legislatore spagnolo 133 ] abbraccia gran parte delle fattispecie di reato . In altri termini, secondo tale giudice, l’attuale elenco dei reati che possono giustificare, in Spagna, restrizioni ai diritti tutelati ai sensi degli articoli 7 e 8 della Carta, che è stato introdotto con la riforma del codice di procedura penale, comporterebbe, in pratica, che la maggior parte dei reati previsti dal codice penale siano inclusi in detto elenco. 119. Orbene, anche supponendo che l’ingerenza di cui trattasi nel procedimento principale sia considerata grave dalla Corte e che il risultato in tal modo indicato dal giudice del rinvio sia confermato, quest’ultimo sarebbe, a mio avviso, non conforme al requisito di proporzionalità al quale siffatte restrizioni sono soggette 134 . Ciò vale, a mio avviso, nonostante l’esistenza di un controllo giurisdizionale, invocata dal governo spagnolo, poiché l’esercizio di tale controllo consente soltanto di impedire l’attuazione di misure ritenute, caso per caso, arbitrarie o troppo intrusive, e non di contrastare, in modo generalizzato, il ricorso a misure di tal genere e il loro sviluppo. 120. Infine, sottolineo che l’approccio proposto nell’insieme della presente sezione concorda, a mio parere, con quello adottato dalla Corte EDU nella sua giurisprudenza relativa alla protezione dei dati personali. È pur vero che, come osservano il governo irlandese e la Commissione, tale organo giurisdizionale ha ritenuto sufficientemente chiare alcune legislazioni nazionali che definivano i reati gravi , idonei a giustificare un’ingerenza nella vita privata, facendo riferimento ad una pena irrogabile almeno pari a tre anni di reclusione 135 . Tuttavia, ritengo che esso non abbia eretto tale quantum di pena a criterio assoluto e fisso ai fini di detta definizione, dato che la sua giurisprudenza mi sembra incentrata sull’esigenza di prevedibilità e chiarezza sufficienti per i cittadini con riguardo non già alla pena irrogabile, bensì piuttosto alla natura dei reati che consentono una siffatta ingerenza 136 . Peraltro, sebbene la Corte EDU riconosca agli Stati un certo margine di discrezionalità per valutare la sussistenza e la portata della necessità di una siffatta ingerenza, essa assoggetta tuttavia tale margine di discrezionalità ad un controllo a livello europeo 137 . In particolare, essa mira a prevenire i rischi di abusi causati da normative che rinviano ad un ventaglio di reati talmente ampio da far sì che la maggior parte dei reati consentano di giustificare misure intrusive 138 . 121. In conclusione, ritengo che, nell’ipotesi in cui la Corte giudicasse – contrariamente a quanto suggerisco – che si deve tenere conto unicamente della pena irrogabile per qualificare un reato come grave ai sensi della sua giurisprudenza derivante dalla sentenza Digital Rights, occorrerebbe allora rispondere alla seconda questione pregiudiziale dichiarando che gli Stati membri sono liberi di fissare il livello minimo della pena pertinente a tal fine, a condizione che essi rispettino i requisiti risultanti dal diritto dell’Unione e, in particolare, quelli secondo cui le ingerenze nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta devono restare eccezionali e rispettare il principio di proporzionalità. V. Conclusione 122. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dall’Audiencia Provincial de Tarragona Corte provinciale di Tarragona, Spagna nel modo seguente L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche direttiva relativa alla vita privata e alle comunicazioni elettroniche , come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti dei numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave. * Fonte curia.europea.eu