In data 30 aprile 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-178/22, Ignoti, sull’interpretazione dell’articolo 15, paragrafo 1, della Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche[1], letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea. Tale domanda era stata presentata nell’ambito di una richiesta della Procura della Repubblica presso il Tribunale di Bolzano al relativo Giudice delle indagini preliminari volta ad ottenere l’autorizzazione ad accedere a dati personali conservati da fornitori di servizi di comunicazione elettronica al fine di identificare gli autori di due furti aggravati di telefoni cellulari.
Questi i fatti.
A seguito di due denunce sporte per reati di furto di telefono cellulare, commessi tra ottobre e novembre 2021, il pubblico ministero aveva avviato due procedimenti penali a carico di ignoti per i reati di furto aggravato. Al fine di identificare gli autori di tali furti, il pubblico ministero aveva chiesto[2] al Giudice delle indagini preliminari presso il Tribunale di Bolzano (il “giudice del rinvio”) l’autorizzazione ad acquisire presso tutte le compagnie telefoniche i tabulati telefonici dei telefoni rubati.
Alla luce della necessità di interpretare la normativa europea rilevante in materia, pertanto, il giudice del rinvio aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 15, paragrafo 1[3], della Direttiva 2002/58, letto alla luce degli articoli 7[4], 8[5] e 11[6] nonché dell’articolo 52, paragrafo 1[7], della Carta debba essere interpretato nel senso che esso osta ad una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata di un utente di un mezzo di comunicazione elettronica, conservati dai fornitori dei relativi servizi, presentata da un’autorità nazionale competente nell’ambito di un’indagine penale – di autorizzare tale accesso qualora quest’ultimo sia richiesto ai fini dell’accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l’accertamento dei fatti in questione.
La Corte ha preliminarmente rilevato che l’accesso all’insieme di dati relativi al traffico o all’ubicazione di cui al caso concreto sembra tale da permettere di trarre precise conclusioni sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini di vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati[8], di talché l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta causata da tale accesso appare qualificabile come grave. Tale valutazione non può essere smentita dal solo fatto che le due richieste di accesso ai dati relativi al traffico o all’ubicazione in questione riguardavano soltanto brevi periodi, dal momento che le stesse coinvolgevano un insieme di dati idoneo a fornire informazioni precise sulla vita privata delle persone che utilizzavano i telefoni cellulari in questione[9]. Del pari, è irrilevante, ai fini della valutazione dell’esistenza di una grave ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta, la circostanza che i dati cui il pubblico ministero ha chiesto di poter accedere non siano quelli dei proprietari dei telefoni cellulari in questione, e bensì quelli delle persone che hanno comunicato tra loro utilizzando tali telefoni dopo i presunti furti, in quanto l’obbligo di garantire la riservatezza delle comunicazioni elettroniche effettuate mediante una rete pubblica di comunicazione e servizi accessibili al pubblico, nonché la riservatezza dei dati relativi al traffico a queste correlati, riguarda le comunicazioni effettuate dagli utenti di tale rete[10].
Poiché sono da considerare gravi, pertanto, le ingerenze nei diritti fondamentali causate dall’accesso ai dati di cui al caso concreto possono essere giustificate solo dagli obiettivi di lotta contro le forme gravi di criminalità o di prevenzione di gravi minacce alla sicurezza pubblica[11]. Sebbene spetti al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazione elettronica devono concedere alle autorità competenti l’accesso ai dati di cui essi dispongono, inoltre, una tale normativa deve prevedere regole chiare e precise che disciplinino la portata e le condizioni di applicazione di un tale accesso, che può essere concesso, in relazione all’obiettivo di lotta contro la criminalità, soltanto per i dati di persone sospettate di essere implicate in un reato grave. Di conseguenza, al fine di garantire concretamente il pieno rispetto di tali condizioni, che assicurino che l’ingerenza sia limitata allo stretto necessario, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato, salvo in caso di urgenza debitamente giustificata, ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente[12].
Purché l’Unione non abbia legiferato in materia, la normativa e le norme di procedura penale rientrano nella competenza degli Stati Membri, che tuttavia devono esercitarla nel rispetto del diritto europeo[13]. Tenuto conto della ripartizione delle competenze tra l’Unione e gli Stati Membri ai sensi del Trattato sul Funzionamento dell’Unione Europea (TFUE), pertanto, spetta a questi ultimi definire i “reati gravi” ai fini dell’applicazione dell’articolo 15, paragrafo 1, della Direttiva 2002/58, nel rispetto dei dettami di tale articolo come letto alla luce degli articoli 7, 8, 11 e articolo 52, paragrafo 1, della Carta. A tale riguardo, gli Stati Membri non possono snaturare la nozione di “reato grave” includendovi, ai fini dell’applicazione dell’articolo 15, paragrafo 1, della Direttiva 2002/58 reati che manifestamente non sono tali, alla luce delle condizioni sociali esistenti nello Stato Membro interessato, sebbene il relativo legislatore abbia previsto di punirli con la pena della reclusione non inferiore nel massimo a tre anni. Nello specifico, al fine di verificare l’assenza di un tale snaturamento è essenziale che, laddove comporti il rischio di una grave ingerenza nei diritti fondamentali della persona interessata, l’accesso ai dati da parte delle autorità nazionali competenti sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente[14].
Tutto ciò premesso, una definizione secondo cui i reati gravi, per il cui perseguimento può essere autorizzato l’accesso, sono quelli per i quali la pena reclusiva massima è almeno pari ad una durata determinata dalla legge è fondata su un criterio oggettivo, essendo pertanto conforme all’esigenza che la normativa nazionale in questione si fondi su criteri oggettivi per definire le circostanze e le condizioni alle quali si deve concedere l’accesso ai dati alle autorità nazionali competenti[15]. Una soglia fissata con riferimento alla pena della reclusione non inferiore nel massimo a tre anni, inoltre, non appare eccessivamente bassa[16]. Poiché la definizione dei reati gravi per i quali può essere richiesto l’accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica è stabilita con riferimento non ad una pena minima applicabile, e bensì ad una pena massima applicabile, infine, non è escluso che un accesso, costitutivo di una grave ingerenza nei diritti fondamentali, possa essere richiesto al fine di perseguire reati che non rientrano, in realtà, nella criminalità grave[17]. La fissazione di una soglia a partire dalla quale la massima pena reclusiva prevista per un reato giustifica che quest’ultimo sia qualificato come grave, tuttavia, non è necessariamente contraria al principio di proporzionalità.
Di conseguenza, la Corte ha statuito che:
“L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, dev’essere interpretato nel senso che esso non osta a una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un’autorità nazionale competente nell’ambito di un’indagine penale – di autorizzare tale accesso qualora quest’ultimo sia richiesto ai fini dell’accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l’accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato”.
[1] GUUE L 201 del 31.07.2002.
[2] Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GU n. 174 del 29.07.2003. L’articolo 132 del Decreto, intitolato “Conservazione di dati di traffico per altre finalità”, al paragrafo 3 dispone: “… Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta a indagini, della persona offesa e delle altre parti private…”.
[3] L’articolo 15 della Direttiva 2002/58, intitolato “Applicazione di alcune disposizioni della direttiva 95/46/CE”, al paragrafo 1 dispone: “… Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea…”.
[4] L’articolo 7 della Carta, intitolato “Rispetto della vita privata e della vita familiare”, dispone: “… Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni…”.
[5] L’articolo 8 della Carta, intitolato “Protezione dei dati di carattere personale”, dispone: “… Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente…”.
[6] L’articolo 11 della Carta, intitolato “Libertà di espressione e d’informazione”, dispone: “… Ogni persona ha diritto alla libertà di espressione. Tale diritto include la libertà di opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera.
La libertà dei media e il loro pluralismo sono rispettati…”.
[7] L’articolo 52 della Carta, intitolato “Portata e interpretazione dei diritti e dei principi”, al paragrafo 1 dispone: “… Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui…”.
[8] CGUE 02.03.2021, Causa C‑746/18, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), punto 36.
[9] Ibidem, punto 39.
[10] L’articolo 5 della Direttiva 2002/58, intitolato “Riservatezza delle comunicazioni”, al paragrafo 1 dispone: “… Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza…”.
[11] CGUE 02.03.2021, Causa C‑746/18, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), punto 35.
[12] Ibidem, punti 48-51.
[13] CGUE 26.02.2019, Cause riunite C‑202/18 e C‑238/18, Rimšēvičs e BCE/Lettonia, punto 57.
[14] CGUE 30.04.2024, Causa C‑470/21, La Quadrature du Net e a. (Dati personali e lotta alla contraffazione), punti 124-131.
[15] CGUE 05.04.2022, Causa C‑140/20, Commissioner of An Garda Síochána e a., punto 105.
[16] CGUE 21.06.2022, Causa C‑817/19, Ligue des droits humains, punto 150.
[17] Ibidem, punto 151.