Con due sentenze depositate il 30 aprile 2024, la CGUE è intervenuta sul tema fornendo indicazioni sull’interpretazione della Direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche.
Il doppio intervento della Corte di Giustizia L'articolo 15 §.1 Direttiva 2002/58/CE direttiva relativa alla vita privata e alle comunicazioni elettroniche, ssm , letto alla luce degli articolo 7, 8, 11 e 52 §.1 Carta di Nizza, dev'essere interpretato nel senso che esso non osta a una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all'ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell'utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un'autorità nazionale competente nell'ambito di un'indagine penale – di autorizzare tale accesso qualora quest'ultimo sia richiesto ai fini dell'accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l'accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest'ultimo è richiesto nell'ambito di un'indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato. È quanto deciso dalla EU C 2024 371, C-178/22 del 30 aprile che ha risolto una pregiudiziale sollevata dal Tribunale di Bolzano. Il PM, a seguito di due furti avvenuti nel 2021, aveva avviato due procedimenti per furto aggravato contro ignoti. Ai sensi dell'articolo 132, comma 3, d.lgs. numero 196/2003, chiedeva l'accesso «a tutti i dati [in possesso delle compagnie telefoniche], con metodo di tracciamento e localizzazione in particolare utenze ed eventualmente codici IMEI [relativi all'identificatore internazionale apparecchiature mobili dei dispositivi] chiamati/chiamanti, siti visitati/raggiunti, orario e durata della chiamata/connessione ed indicazione delle celle e/o ripetitori interessati, utenze ed IMEI [dei dispositivi] mittenti/destinatari degli SMS o MMS e, ove possibile, generalità dei relativi intestatari delle conversazioni/comunicazioni telefoniche e connessioni effettuate, anche in roaming, in entrata e in uscita anche se chiamate prive di fatturazione squilli dalla data del furto fino alla data di elaborazione della richiesta» neretto,nda . Il GUP, attuale giudice del rinvio, ha sollevato una pregiudiziale nutrendo dubbi se l'acquisizione di questi dati, potenzialmente suscettibili di rivelare informazioni sulla vita privata dell'interessato, fossero lecite perché giustificate dall'esigenza di reprimere un reato grave o meno. Sostanzialmente alle stesse conclusioni è giunta anche l'analoga EU C 2024 370, C-470/21 della stessa data in cui si precisano, «in primo luogo, le condizioni alle quali non si può ritenere che la conservazione generalizzata degli indirizzi IP da parte dei fornitori di servizi di comunicazione elettronica comporti un'ingerenza grave nei diritti al rispetto della vita privata, la protezione dei dati personali e la libertà di espressione garantite dalla Carta e, dall'altro, la possibilità per un'autorità pubblica di avere accesso a taluni dati personali conservati nel rispetto di tali condizioni, nell'ambito della lotta contro le violazioni dei diritti di proprietà intellettuale commesse online». I ricorrenti, quattro associazioni per la tutela dei diritti e delle libertà su Internet, hanno proposto dinanzi al Consiglio di Stato francese ricorso verso un decreto che, nell'ambito della lotta alla contraffazione e della tutela della proprietà intellettuale, aveva introdotto due trattamenti dei dati «il primo consiste nella raccolta, da parte di organismi che rappresentano gli autori, di indirizzi IP che appaiono essere stati utilizzati su siti tra pari peer-to-peer per la commissione di tali reati nonché nella loro messa a disposizione dell'Alta autorità francese per la diffusione delle opere e la tutela dei diritti su Internet Hadopi . Il secondo comprende in particolare la messa in relazione, da parte dei fornitori di accesso a Internet che agiscono su richiesta della Hadopi, dell'indirizzo IP e dei dati relativi all'identità civile del suo titolare. Detti trattamenti di dati consentono a tale autorità di avviare, nei confronti delle persone identificate, un procedimento che combina misure pedagogiche e repressive, che può dar luogo a un deferimento alla procura nei casi più gravi» neretto, nda . Anche in questo caso sono state fornite precisazioni analoghe all'altra sentenza in esame specificando che laddove ciò possa far trarre conclusioni precise sulla vita privata dell'interessato è necessario che «il sistema di trattamento dei dati utilizzato dall'autorità pubblica è sottoposto, a intervalli regolari, a un controllo da parte di un organismo indipendente e avente lo status di terzo rispetto a tale autorità pubblica, al fine di verificare l'integrità del sistema, comprese garanzie efficaci contro i rischi di accesso abusivo o illecito a tali dati e di utilizzo di tali dati nonché la sua efficacia e affidabilità nel rilevare possibili violazioni» neretto ,nda . Limiti alla discrezionalità degli Stati nell'accesso ai dati In primis la CGUE ribadisce che «qualsiasi conservazione generalizzata e indiscriminata di indirizzi IP non costituisce necessariamente un'ingerenza grave nei diritti al rispetto della vita privata, alla protezione dei dati personali e alla libertà di espressione garantiti dalla Carta» neretto, nda . Stesso discorso per i tabulati telefonici etc. della prima fattispecie in questo caso non si chiede l'accesso ed il controllo di informazioni relative al proprietario del cellulare intercettato, bensì di chi lo sta utilizzando dopo il presunto furto. In ogni caso la regola generale sulla conservazione ed il trattamento dei dati di traffico e di geolocalizzazione prevede che «la struttura stessa della conservazione che, in sostanza, deve essere organizzata in modo da garantire l'effettiva separazione delle diverse categorie di dati conservati. Pertanto, le norme nazionali relative a tali modalità devono garantire che ciascuna categoria di dati, compresi i dati relativi all'identità civile e gli indirizzi IP, sia mantenuta completamente separata dalle altre categorie di dati conservati e che tale separazione sia effettivamente ineccepibile, mediante un dispositivo informatico sicuro e affidabile. Inoltre, nella misura in cui tali norme prevedono la possibilità di collegare gli indirizzi IP conservati con l'identità civile della persona interessata ai fini della lotta contro le violazioni, esse devono consentire un siffatto collegamento solo mediante l'utilizzo di un procedimento tecnico efficiente che non metta in discussione l'efficacia della separazione ermetica di tali categorie di dati. L'affidabilità di questa separazione deve essere regolarmente monitorata da un'autorità pubblica terza. Nei limiti in cui la normativa nazionale applicabile preveda requisiti così rigorosi, l'ingerenza derivante da tale conservazione degli indirizzi IP non può essere qualificata come “grave”» neretto,nda . Stessa cosa per i tabulati telefonici. In breve la lotta al crimine, come può essere un furto o la violazione del copyright, deve prevalere, in taluni casi e nei limiti descritti, sulla privacy degli interessati «la libertà di espressione e la riservatezza dei dati personali siano preoccupazioni primarie, tali diritti fondamentali non sono assoluti», perciò devono essere “sacrificate” laddove la loro preponderanza rischi di «ostacolare l'efficacia di un'indagine penale, in particolare rendendo impossibile o eccessivamente difficile identificare efficacemente l'autore di un reato e infliggergli una sanzione» consentendo de facto l'impunità dei colpevoli. Entro questi limiti l'accesso a detti dati è lecito e consentito e non viola il principio di proporzionalità risultando necessario in una società democratica. Controllo giudiziale nelle violazioni del diritto d'autore La CGUE nota che, laddove è garantita la suddetta tenuta stagna delle varie categorie di dati conservati, «l'accesso dell'autorità pubblica ai dati relativi all'identità civile corrispondenti agli indirizzi IP non è soggetto, in linea di principio, all'obbligo di un controllo preventivo. Tale accesso al solo scopo di identificare il titolare di un indirizzo IP non costituisce, in linea di principio, una grave ingerenza nei diritti summenzionati» neretto,nda . Visto che la procedura penale graduale prevista in questi casi è anche finalizzata ad individuare recidive e reiterazioni di reato «deve essere organizzata e strutturata in modo tale che i dati relativi all'identità civile di una persona corrispondenti ad indirizzi IP precedentemente raccolti su Internet non possano essere automaticamente collegati, dalle persone incaricate dell'esame dei fatti in seno all'autorità pubblica competente, a informazioni già in possesso di quest'ultima che consentano di trarre conclusioni precise sulla vita privata della persona interessata» neretto,nda . Ciò vale anche per i tabulati telefonici. Infine, dovendosi bilanciare equamente i contrapposti interessi l'accesso deve essere controllato ed impedito quando viola i principi esplicati sopra ed il sistema come evidenziato sopra deve essere soggetto sempre a costanti controlli per evitare abusi, stante i falsi positivi che si possono verificare durante i controlli relativi alla correlazione dei dati con informazioni sulla vita e le abitudini private dell'interessato. Nozione di reato grave e controlli in caso di furto La CGUE nota che l'esegesi della nozione di “reato grave” non deve essere troppo ampia, perché altrimenti l'accesso diverrebbe la regola, anziché l'eccezione. Per stabilire tale gravità si deve considerare la pena massima, che non può avere una soglia eccessivamente bassa per poter coprire la maggior parte dei reati tre anni non è una soglia eccessivamente bassa. Ciò non è contrario al principio di proporzionalità e non è un'ingerenza grave nell'altrui privacy se non consente di trarre conclusioni sulla sua vita privata come sopra chiarito. In conclusione, al fine di garantire il suddetto equo bilanciamento dei contrapposti interessi «il giudice o l'organo amministrativo indipendente, che interviene nell'ambito di un controllo preventivo, deve avere il potere di rifiutare o limitare tale accesso qualora constati che l'ingerenza nei diritti fondamentali è grave, qualora sia evidente che il reato in questione non rientra effettivamente nell'ambito di applicazione di un reato grave» neretto,nda , escludendo, perciò l'accesso ai dati di traffico etc.
CGUE, sentenza 30 aprile 2024, causa C-470/21 ECLI EU C 2024 370 CGUE, sentenza 30 aprile 2024, causa C-178/22 ECLI EU C 2024 371