CONCLUSIONI DELL’AVVOCATO GENERALE
HENRIK SAUGMANDSGAARD ØE
presentate il 3 maggio 2018 (1)
Causa C‑207/16
Ministerio Fiscal
[domanda di pronuncia pregiudiziale proposta dall’Audiencia Provincial de Tarragona (Corte provinciale di Tarragona, Spagna)]
«Rinvio pregiudiziale – Comunicazioni elettroniche – Trattamento dei dati personali – Diritto alla vita privata e diritto alla protezione di tali dati – Direttiva 2002/58/CE – Articolo 1 e articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8 nonché articolo 52, paragrafo 1 – Dati raccolti nell’ambito della fornitura di servizi di comunicazione elettronica – Richiesta di accesso da parte di un’autorità di polizia a fini di indagine penale – Principio di proporzionalità – Nozione di “reato grave” idoneo a giustificare un’ingerenza nei diritti fondamentali – Criteri di gravità – Pena irrogabile – Soglia minima»
I. Introduzione
1. Il presente rinvio pregiudiziale verte, in sostanza, sull’interpretazione della nozione di «reati gravi» (2) ai sensi della giurisprudenza della Corte derivante dalla sentenza Digital Rights Ireland e a. (3) (in prosieguo: la «sentenza Digital Rights») e poi dalla sentenza Tele2 Sverige e Watson e a. (4) (in prosieguo: la «sentenza Tele2»), in cui tale nozione è stata utilizzata quale criterio di valutazione della legittimità e della proporzionalità di un’ingerenza nei diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), vale a dire, rispettivamente, il diritto al rispetto della vita privata e della vita familiare nonché il diritto alla protezione dei dati di carattere personale.
2. Tale rinvio pregiudiziale si inserisce nell’ambito di un ricorso proposto avverso una decisione giudiziaria che ha negato ad alcune autorità di polizia la possibilità di ottenere che fossero loro comunicati determinati dati di stato civile detenuti da operatori di telefonia mobile, allo scopo di identificare alcuni individui ai fini di un’indagine penale. La decisione impugnata era motivata, in particolare, dalla considerazione che i fatti all’origine di tale indagine non sarebbero stati costitutivi di un reato grave, contrariamente a quanto avrebbe richiesto la normativa spagnola applicabile.
3. Il giudice del rinvio interroga la Corte, in sostanza, sul modo di fissare la soglia di gravità dei reati a partire dalla quale può essere giustificata, alla luce della summenzionata giurisprudenza, un’ingerenza nei diritti fondamentali tutelati dagli articoli 7 e 8 della Carta, in occasione dell’accesso, da parte delle autorità nazionali competenti, a dati personali conservati da fornitori di servizi di comunicazione elettronica.
4. Dopo aver stabilito che la Corte è competente a statuire su tale domanda di pronuncia pregiudiziale e che quest’ultima è ricevibile, intendo dimostrare che l’accesso a dati personali in circostanze come quelle del caso di specie comporta un’ingerenza nei summenzionati diritti fondamentali che non corrisponde alle sole ipotesi in cui il pregiudizio arrecato a tali diritti può essere giustificato, ossia nel contesto della lotta contro reati gravi, ai sensi della giurisprudenza sopra citata.
5. Poiché ritengo che, alla luce del particolare oggetto del procedimento principale, non sia necessario che la Corte risponda alle questioni pregiudiziali nella loro formulazione iniziale, fornirò soltanto in subordine indicazioni sui criteri che consentirebbero, eventualmente, di definire la nozione di «reati gravi» ai sensi di tale giurisprudenza, in particolare con riguardo al criterio della pena irrogabile.
II. Contesto normativo
A. Diritto dell’Unione
6. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (5), come modificata dalla direttiva 2009/136/CE (6) (in prosieguo: la «direttiva 2002/58»), enuncia, nel suo preambolo, quanto segue:
«(2) La presente direttiva mira a rispettare i diritti fondamentali e si attiene ai principi riconosciuti in particolare dalla [Carta]. In particolare, la presente direttiva mira a garantire il pieno rispetto dei diritti di cui agli articoli 7 e 8 di tale Carta.
(…)
(11) La presente direttiva, analogamente alla direttiva 95/46/CE [(7)], non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) e l’applicazione della legge penale. Di conseguenza la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali [in prosieguo: la “CEDU”], come interpretata dalle sentenze della Corte europea dei diritti dell’uomo [in prosieguo: la “Corte EDU”]. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla [CEDU] [(8)]».
7. A termini dell’articolo 1 della direttiva 2002/58, intitolato «Finalità e campo d’applicazione»:
«1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche (…).
(…)
3. La presente direttiva non si applica alle attività che esulano dal campo di applicazione del trattato che istituisce la Comunità europea, quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale».
8. Il successivo articolo 2, intitolato «Definizioni», è così formulato:
«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva [95/46] e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [(9)].
Si applicano inoltre le seguenti definizioni:
a) “utente”: qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
b) “dati relativi al traffico”: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
c) “dati relativi all’ubicazione”: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico;
d) “comunicazione”: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato;
(…)».
9. L’articolo 15 della direttiva 2002/58, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]», prevede, al paragrafo 1, che «[g]li Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea».
B. Diritto spagnolo
1. Legge 25/2007
10. La Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (legge 25/2007 sulla conservazione dei dati relativi alle comunicazioni elettroniche e alle reti pubbliche di comunicazione), del 18 ottobre 2007 (10) (in prosieguo: la «legge 25/2007»), ha recepito nel diritto spagnolo la direttiva 2006/24 (11), che è stata dichiarata invalida dalla Corte nella sentenza Digital Rights.
11. A termini dell’articolo 1 della legge 25/2007, nella sua versione applicabile ai fatti della controversia principale:
«1. La presente legge disciplina l’obbligo degli operatori di conservare i dati generati o trattati nell’ambito della prestazione di servizi di comunicazione elettronica o di reti pubbliche di comunicazione nonché il dovere di cedere tali dati agli agenti abilitati, sempre dietro presentazione della rispettiva autorizzazione dell’autorità giudiziaria a fini di accertamento, indagine e perseguimento di reati gravi previsti dal codice penale o da leggi penali speciali.
2. La presente legge si applica ai dati relativi al traffico e ai dati relativi all’ubicazione delle persone sia fisiche che giuridiche, nonché ai dati connessi necessari per identificare l’abbonato o l’utente registrato.
(…)».
12. L’articolo 3 di detta legge elenca i dati che gli operatori sono tenuti a conservare. Si tratta, in particolare, ai sensi del paragrafo 1, lettera a), punto 1, ii), di tale articolo, dei dati necessari per rintracciare e identificare la fonte di una comunicazione, quali, per quanto riguarda la telefonia mobile, il nome e l’indirizzo dell’abbonato o dell’utente registrato.
2. Codice penale
13. Ai sensi dell’articolo 13, paragrafo 1, del codice penale spagnolo, nella sua versione applicabile ai fatti della controversia principale, «[s]ono considerati reati gravi quelli che la legge punisce con una pena grave».
14. L’articolo 33 di detto codice è così formulato:
«1. In funzione della loro natura e della loro durata, le pene si distinguono in gravi, meno gravi e lievi.
2. Sono pene gravi:
a) L’ergastolo.
b) La reclusione superiore a cinque anni.
(…)».
3. Codice di procedura penale
15. Il codice di procedura penale spagnolo è stato modificato dalla Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (legge organica 13/2015 che modifica il codice di procedura penale allo scopo di rafforzare le garanzie processuali e disciplinare i mezzi di investigazione tecnologici), del 5 ottobre 2015 (12) (in prosieguo: la «legge organica 13/2015»).
16. Tale legge, entrata in vigore il 6 dicembre 2015, inserisce nel codice di procedura penale le disposizioni riguardanti l’accesso ai dati relativi alle comunicazioni telefoniche e telematiche conservati dai fornitori di servizi di comunicazione elettronica.
17. A termini dell’articolo 579, paragrafo 1, del codice di procedura penale, nella versione derivante da detta legge, «[i]l giudice può autorizzare l’intercettazione della corrispondenza privata, postale e telegrafica, compresi i fax, i Burofax e i vaglia postali internazionali, che l’indagato invia o riceve, nonché l’apertura e l’analisi di quest’ultima qualora sussistano indizi che inducono a ritenere che essa consentirà di scoprire o di accertare un fatto o un fattore rilevante per la causa, purché l’indagine abbia ad oggetto uno dei seguenti reati:
1) Reati dolosi puniti con una pena detentiva massima non inferiore a tre anni.
2) Reati commessi nell’ambito di un’organizzazione criminale.
3) Reati di terrorismo».
18. L’articolo 588 ter j del medesimo codice, intitolato «Dati contenuti negli archivi automatizzati dei prestatori di servizi», così recita:
«1. I dati elettronici conservati dai prestatori di servizi o da persone che agevolano la comunicazione in applicazione della normativa sulla conservazione dei dati relativi alle comunicazioni elettroniche o di propria iniziativa, per motivi commerciali o di altra natura, e che siano collegati a processi di comunicazione, possono essere ceduti per essere acquisiti al processo soltanto su autorizzazione del giudice.
2. Qualora la conoscenza di tali dati sia indispensabile per le indagini, viene chiesta al giudice competente un’autorizzazione per raccogliere le informazioni contenute negli archivi automatizzati dei prestatori di servizi, compresa la ricerca incrociata e intelligente di dati, a condizione che vengano precisate la natura dei dati da raccogliere e le ragioni che giustificano la cessione».
III. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte
19. Il sig. Hernández Sierra ha presentato una denuncia alla polizia per una rapina del proprio portafoglio e del proprio telefono cellulare, che sarebbe avvenuta il 16 febbraio 2015 e nel corso della quale egli sarebbe stato gravemente ferito.
20. Con domanda del 27 febbraio 2015, la polizia giudiziaria ha chiesto al Juzgado de Instrucción n. 3 de Tarragona (giudice istruttore n. 3 di Tarragona, Spagna; in prosieguo: il «giudice istruttore») l’emanazione dell’ingiunzione, nei confronti dei vari operatori di telefonia, di comunicare, da una parte, i numeri di telefono attivati, tra il 16 febbraio e il 27 febbraio 2015, con il codice IMEI (13) del telefono cellulare rubato e, dall’altra, i dati personali dei titolari o utenti di tutti i numeri di telefono corrispondenti alle carte SIM attivate con detto codice IMEI (14).
21. Con ordinanza del 5 maggio 2015, il giudice istruttore ha respinto tale domanda, con la motivazione che la misura richiesta era poco utile per identificare gli autori del reato e che, in ogni caso, la legge 25/2007 limitava la comunicazione dei dati conservati dagli operatori di telefonia ai reati gravi – vale a dire, ai sensi del codice penale spagnolo (15), quelli punibili con una pena detentiva superiore a cinque anni –, mentre i fatti in questione non costituirebbero un reato grave.
22. Il Ministerio Fiscal (pubblico ministero spagnolo), unica parte del procedimento, ha interposto appello avverso tale ordinanza dinanzi all’Audiencia Provincial de Tarragona (Corte provinciale di Tarragona, Spagna), sostenendo che la comunicazione dei dati in questione avrebbe dovuto essere concessa in ragione della natura dei fatti e di una decisione del Tribunal Supremo (Corte suprema, Spagna) riguardante un caso simile (16).
23. Con ordinanza del 9 febbraio 2016, detta Audiencia Provincial (Corte provinciale) ha ordinato, a titolo di provvedimento provvisorio rivolto gli operatori di telefonia, la proroga della conservazione dei dati interessati dalla domanda controversa.
24. La decisione di rinvio pregiudiziale emessa da tale giudice espone che, dopo l’adozione della decisione impugnata, il legislatore spagnolo ha stabilito, in forza della legge organica 13/2015 (17), due criteri alternativi per determinare il livello di gravità di un reato. Il primo sarebbe un criterio materiale, che rimanda a comportamenti che corrispondono a qualificazioni penali di particolare e grave rilevanza criminosa e che sono particolarmente lesivi dei beni giuridici individuali e collettivi (18). Il secondo sarebbe un criterio normativo formale, fondato esclusivamente sulla pena prevista per il reato in questione. Orbene, la soglia di tre anni di reclusione prevista da quest’ultimo criterio potrebbe comprendere la maggior parte delle fattispecie di reato. Inoltre, il giudice del rinvio osserva che l’interesse dello Stato a proteggere i cittadini e a reprimere i comportamenti penalmente illeciti non può legittimare un’ingerenza sproporzionata nei diritti fondamentali delle persone.
25. In tale contesto, con decisione del 6 aprile 2016, pervenuta alla Corte il 14 aprile 2016, l’Audiencia Provincial de Tarragona (Corte provinciale di Tarragona) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se la soglia di sufficiente gravità dei reati, quale criterio che giustifica l’ingerenza nei diritti fondamentali riconosciuti dagli articoli 7 e 8 della Carta, possa essere individuata prendendo in considerazione unicamente la pena irrogabile per il reato oggetto di indagini o se sia inoltre necessario rilevare nella condotta criminosa particolari livelli di lesività nei confronti dei beni giuridici individuali e/o collettivi.
2) Qualora la determinazione della gravità del reato sulla sola base della pena irrogabile risultasse conforme ai principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights] quali parametri di controllo rigoroso della direttiva [dichiarata invalida da tale sentenza], quale dovrebbe essere tale soglia, e se essa risulti compatibile con una previsione generale di un limite di tre anni di reclusione».
26. Il procedimento dinanzi alla Corte è stato sospeso, con decisione del Presidente del 23 maggio 2016, in attesa della pronuncia della sentenza della Corte nelle cause riunite Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15.
27. Interrogato dalla Corte dopo la pronuncia di tale sentenza, avvenuta il 21 dicembre 2016 (19), il giudice del rinvio ha dichiarato di voler mantenere la propria domanda di pronuncia pregiudiziale. Esso ha affermato che le questioni pregiudiziali da lui sollevate rimanevano rilevanti, in quanto, sebbene detta sentenza fornisse esempi di reati gravi (20), essa non definiva tuttavia in modo sufficientemente chiaro il contenuto sostanziale della nozione di gravità del reato che può servire da criterio di valutazione della giustificazione di una misura d’ingerenza. Orbene, tale nozione comporterebbe il rischio che le condizioni della conservazione dei dati e dell’accesso ai medesimi siano stabilite, a livello nazionale, in un modo molto ampio, che non rispetterebbe i diritti fondamentali di cui alla sentenza Tele2. Pertanto, nell’adottare la legge organica 13/2015, il legislatore spagnolo, a dispetto dei criteri enunciati nella sentenza Digital Rights (21), avrebbe ridotto notevolmente, rispetto alle norme precedenti contenute nella legge 25/2007, la soglia di gravità dei reati per i quali sono consentite la conservazione e la comunicazione di dati personali.
28. A seguito di tale risposta, il procedimento dinanzi alla Corte è ripreso il 16 febbraio 2017. Osservazioni scritte sono quindi state depositate dai governi spagnolo, ceco, estone, irlandese, francese, lettone, ungherese, austriaco e del Regno Unito, nonché dalla Commissione europea.
29. In vista dell’udienza, la Corte ha sottoposto alcuni quesiti con richiesta di risposta scritta al governo spagnolo, ai quali quest’ultimo ha risposto il 9 gennaio 2018, nonché alcuni quesiti con richiesta di risposta orale a tutti gli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea.
30. All’udienza, tenutasi il 29 gennaio 2018, il pubblico ministero spagnolo, i governi spagnolo, ceco, danese, estone, irlandese, francese, lettone, polacco e del Regno Unito nonché la Commissione hanno esposto le loro osservazioni orali.
IV. Analisi
A. Osservazioni introduttive
31. Prima di procedere ad un esame approfondito delle questioni sollevate dalla presente domanda di pronuncia pregiudiziale, ritengo necessario esporre alcune osservazioni riguardanti l’oggetto specifico di quest’ultima.
32. In primo luogo, alla luce delle indicazioni contenute nella decisione di rinvio e delle informazioni complementari fornite dal governo spagnolo, rilevo che la controversia oggetto del procedimento principale presenta notevoli peculiarità, che la distinguono, in particolare, dal contesto delle cause che hanno dato luogo alle sentenze Digital Rights e Tele2 (22).
33. Infatti, risulta che la richiesta delle autorità di polizia di cui trattasi nel presente caso mira a ottenere unicamente dati che consentono di identificare i titolari o utenti dei numeri di telefono relativi alle carte SIM che sono state inserite nel telefono cellulare rubato (23). Inoltre, è pacifico che tale richiesta riguarda un periodo chiaramente definito e limitato nel tempo, vale a dire una dozzina di giorni (24).
34. Pertanto, il numero delle persone potenzialmente interessate dalla misura controversa non è illimitato, bensì ristretto. Inoltre, tali persone sono non già tutti i detentori di una carta SIM, bensì individui aventi un profilo molto particolare, poiché si tratta di coloro che hanno utilizzato il telefono rubato dopo la sua sottrazione, o persino che ne sono ancora in possesso, e che possono essere quindi legittimamente sospettati di essere gli autori del reato o di essere in relazione con questi ultimi.
35. Per di più, i dati oggetto della richiesta consistono non già in qualsiasi tipo di «dati personali» (25) detenuti dai fornitori di servizi di comunicazione elettronica, bensì soltanto in quelli relativi all’identità civile degli individui summenzionati, vale a dire il loro nome, il loro cognome ed eventualmente il loro indirizzo (26), dati che possono anche essere qualificati «di contatto». Le altre informazioni riguardanti tali individui, eventualmente presenti negli archivi di detti fornitori (27), sono escluse, a mio avviso, dal procedimento principale.
36. Peraltro, l’obiettivo qui perseguito è, a mio avviso, quello di raccogliere informazioni che non riguardano né un’ubicazione né comunicazioni in quanto tali (28), bensì persone fisiche ricercate per aver potuto utilizzare un servizio di comunicazione elettronica mediante il telefono rubato, anche se tali persone non hanno effettuato in concreto una telefonata. Infatti, dalle spiegazioni fornite alla Corte dal pubblico ministero spagnolo, risulta che i dati personali richiesti, tratti dall’associazione tra una determinata carta SIM e il numero IMEI del telefono rubato, possono tecnicamente essere ottenuti grazie ad una mera connessione di quest’ultimo con un terminale di telefonia cellulare, quand’anche il detentore della carta non abbia effettuato alcuna telefonata con il telefono interessato, quindi indipendentemente da qualsiasi comunicazione effettiva (29). Spetta al giudice del rinvio verificare tale asserzione di carattere fattuale, che mi sembra tuttavia sufficientemente plausibile perché sia ragionevole ritenerla veritiera.
37. Alla luce di tutti questi elementi, sottolineo anzitutto che il procedimento principale riguarda dati personali la cui trasmissione è richiesta non già in maniera generalizzata e indifferenziata, bensì in modo mirato quanto alle persone e limitato quanto alla durata. Inoltre, i dati richiesti non sembrano, a prima vista, di natura particolarmente sensibile, sebbene i diritti fondamentali sanciti dagli articoli 7 e 8 della Carta possano tuttavia essere pregiudicati dall’accesso a dati di tal genere (30).
38. In secondo luogo, osservo che, come risulta dalla motivazione della decisione di rinvio, le questioni pregiudiziali sollevate nella presente causa si caratterizzano per il fatto di vertere non già sulle condizioni della conservazione di dati personali nel settore delle comunicazioni elettroniche, bensì sulle modalità dell’accesso delle autorità nazionali a tali dati conservati dai fornitori di servizi operanti in tale settore (31).
39. Il giudice del rinvio indica, in particolare, che, ai sensi dell’articolo 588 ter j del codice di procedura penale, è richiesta un’autorizzazione giudiziaria affinché i dati elettronici archiviati dai fornitori di servizi siano trasmessi alle autorità competenti al fine di essere presi in considerazione nell’ambito di un procedimento. Il paragrafo 1 di detto articolo precisa che la conservazione di tali dati può essere stata effettuata dai fornitori in applicazione della normativa pertinente oppure di loro iniziativa per ragioni commerciali o di altro tipo.
40. Nel caso di specie, sembra che i dati personali a cui le autorità di polizia chiedono di accedere, a fini investigativi, abbiano potuto essere archiviati dagli operatori di telefonia mobile in esecuzione di un obbligo derivante dalla legge spagnola (32). Il giudice del rinvio non fornisce indicazioni a tale riguardo, dato che la sua domanda di pronuncia pregiudiziale è focalizzata sull’eventuale accesso a dati già conservati e la conformità dell’archiviazione dei dati alle prescrizioni del diritto dell’Unione non è messa in discussione nel procedimento principale (33). Pertanto, occorre a mio avviso partire dalla premessa secondo cui i dati di cui trattasi nel procedimento principale sono stati conservati conformemente alla normativa nazionale, nel rispetto delle condizioni stabilite dall’articolo 15, paragrafo 1, della direttiva 2002/58, circostanza che spetta unicamente al giudice del rinvio verificare (34).
41. Nelle considerazioni che seguono, tornerò sulle implicazioni giuridiche delle constatazioni qui formulate in via preliminare (35).
B. Sulle eccezioni processuali sollevate dal governo spagnolo
42. Il governo spagnolo ha sollevato due categorie di eccezioni processuali, una relativa alla competenza della Corte e l’altra relativa alla ricevibilità della domanda di pronuncia pregiudiziale, sulle quali la Corte dovrà pronunciarsi prima di decidere, se del caso, sul merito.
1. Sulla competenza della Corte alla luce dell’ambito di applicazione del diritto dell’Unione
43. Anzitutto, rammento che, come risulta da una giurisprudenza costante, i diritti fondamentali garantiti nell’ordinamento giuridico dell’Unione, e in particolare quelli sanciti dagli articoli 7 e 8 della Carta, si applicano soltanto se la situazione di cui trattasi è disciplinata dal diritto dell’Unione (36). Inoltre, l’articolo 51, paragrafo 1, della Carta prevede che le disposizioni di quest’ultima si applichino agli Stati membri esclusivamente «nell’attuazione del diritto dell’Unione», ai sensi della giurisprudenza della Corte relativa a tale nozione (37). Pertanto, qualora una situazione giuridica non rientri nell’ambito di applicazione del diritto dell’Unione, la Corte non è competente al riguardo e le disposizioni della Carta eventualmente richiamate non possono giustificare, di per sé, tale competenza (38).
44. Nel caso di specie, le questioni sollevate dal giudice del rinvio riguardano unicamente gli articoli 7 e 8 della Carta nonché i «principi costituzionali dell’Unione, applicati dalla Corte di giustizia dell’Unione europea nell’ambito della sentenza [Digital Rights]». Tuttavia, tale giudice ritiene che le direttive applicabili in materia di protezione dei dati personali, quali la direttiva 95/46 e la direttiva 2002/58, stabiliscano il collegamento richiesto, ai sensi dell’articolo 51, paragrafo 1, della Carta, tra la controversia principale e il diritto dell’Unione.
45. A tale riguardo, osservo, in primo luogo, che il governo spagnolo sostiene, in via principale, che la Corte non è dotata della competenza necessaria per statuire sul presente rinvio pregiudiziale, in quanto quest’ultimo non riguarda l’applicazione del diritto dell’Unione. Esso afferma, in particolare, che la controversia principale sarebbe esclusa dall’ambito di applicazione del diritto dell’Unione, in quanto essa riguarda un accesso della polizia a dati soggetto ad una decisione giudiziaria nell’ambito di un’indagine, il che costituirebbe un’attività dello Stato in materia penale (39) e rientrerebbe quindi nell’ambito delle eccezioni di cui all’articolo 1, paragrafo 3, della direttiva 2002/58, nonché all’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 (40). All’udienza, il governo del Regno Unito ha dichiarato di condividere tale punto di vista del governo spagnolo.
46. Tuttavia, ritengo che la direttiva 2002/58 sia applicabile nei confronti di misure nazionali come quelle di cui trattasi nel procedimento principale. Infatti, la Corte ha già dichiarato, nella sentenza Tele2, che le normative nazionali relative alla conservazione di dati per finalità di lotta contro la criminalità rientrano nell’ambito di applicazione di tale direttiva, non solo in quanto esse definiscono gli obblighi incombenti a tale titolo ai fornitori di servizi di comunicazione elettronica, ma anche in quanto esse disciplinano l’accesso delle autorità nazionali ai dati conservati in tale ambito (41). Al pari della Commissione, ritengo che le considerazioni espresse in tale sentenza siano trasponibili alle norme nazionali applicabili nel caso di specie, vale a dire quelle derivanti dalla legge 25/2007 in combinato disposto con il codice di procedura penale spagnolo quale modificato dalla legge organica 13/2015 (42), e quindi trasponibili all’oggetto del procedimento principale.
47. Aggiungo che non si devono confondere, da una parte, i dati personali trattati direttamente nell’ambito delle attività – di natura sovrana (43) – dello Stato in un settore rientrante nel diritto penale (44) e, dall’altra, quelli trattati nell’ambito delle attività – di natura commerciale – di un fornitore di servizi di comunicazione elettronica che sono successivamente utilizzati dalle autorità statali competenti (45). Peraltro, osservo che alla Corte è stata recentemente sottoposta una domanda di pronuncia pregiudiziale vertente, in particolare, sull’interpretazione dell’articolo 1, paragrafo 3, della direttiva 2002/58 nel contesto dell’utilizzo, da parte dei servizi di sicurezza e di informazione di uno Stato membro, di dati che devono essere loro trasmessi in massa da tali fornitori (46), problematica che, a mio avviso, non occorre risolvere nella presente causa (47).
48. In secondo luogo, osservo che altri interrogativi sono stati formulati in merito all’ambito di applicazione della direttiva 2002/58, da cui dipende la competenza della Corte nella presente causa, con riguardo al tipo di dati in questione nel procedimento principale.
49. Come ho già esposto (48), dagli elementi del fascicolo risulta che la domanda di accesso controversa mira ad ottenere informazioni sull’identità dei titolari o utenti dei numeri di telefono corrispondenti alle carte SIM attivate mediante il telefono cellulare rubato, al fine di rintracciare le persone che hanno detenuto tale telefono, e non informazioni sulle telefonate eventualmente effettuate a partire da quest’ultimo.
50. In altri termini, sebbene, ai sensi della normativa spagnola (49), avrebbe potuto essere interessato un più ampio ventaglio di dati personali, il presente procedimento principale verte su dati che riguardano unicamente l’identità di «utenti», ai sensi dell’articolo 2, secondo comma, lettera a), della direttiva 2002/58, e non ad una qualsiasi «ubicazione» (50), ai sensi dell’articolo 2, secondo comma, lettera c), né a «comunicazioni» in quanto tali, ai sensi del medesimo articolo 2, secondo comma, lettera d) (51).
51. Secondo il pubblico ministero spagnolo, i governi spagnolo, danese, irlandese, lettone e del Regno Unito nonché la Commissione, informazioni come quelle di cui trattasi nel caso di specie, nella misura in cui siano prese in considerazione isolatamente, vale a dire indipendentemente dalle comunicazioni eventualmente effettuate, non dovrebbero nemmeno rientrare, in linea di principio, nella nozione di «dati relativi al traffico», ai sensi di detto articolo 2, secondo comma, lettera b), il quale definisce questi ultimi come «qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione» (52).
52. È pur vero che, a quanto pare, i dati di identificazione richiesti nel caso di specie dalle autorità di polizia non riguardano il «traffico» di comunicazioni propriamente detto, poiché risulta che tali dati possono essere ottenuti nonostante un’eventuale assenza totale di telefonate passive con il telefono rubato, e quindi anche se non sia stata inoltrata alcuna comunicazione interpersonale da un operatore di telefonia mobile, durante il periodo indicato nella richiesta (53).
53. Tuttavia, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione della direttiva 2002/58, poiché il trattamento delle informazioni associate alle carte SIM e ai loro titolari, richieste nel caso di specie, è necessario, da un punto di vista commerciale, alla fornitura dei servizi di comunicazione elettronica (54), quanto meno al fine di fatturare il servizio fornito (55), a prescindere dalle telefonate effettuate o meno nell’ambito di tale prestazione.
54. Invero, alla luce dell’articolo 1, paragrafo 1, e dell’articolo 3 della direttiva 2002/58 (56), condivido l’opinione espressa, in particolare, dalla Commissione, secondo la quale tale direttiva mira a disciplinare, in modo globale, il trattamento dei dati personali effettuato nell’ambito della fornitura di servizi di comunicazione elettronica, cosicché il suo campo di applicazione comprende i dati relativi all’identità degli utenti di tali servizi, come quelli di cui trattasi nel caso di specie, e non soltanto quelli relativi ad una determinata comunicazione. Tenuto conto inoltre degli obiettivi di protezione previsti da detta direttiva, che consistono principalmente nella salvaguardia di diritti fondamentali garantiti dalla Carta (57), ritengo pertanto che la nozione di «comunicazione», ai sensi di tale strumento, debba essere intesa nella sua accezione ampia e che il principio di riservatezza delle comunicazioni previsto da tale strumento (58) entri effettivamente in gioco nel caso di specie.
55. Sono anche dell’avviso che tale interpretazione sia corroborata da una precedente sentenza della Corte, nella quale quest’ultima ha già ammesso che il campo di applicazione della direttiva 2002/58 copriva una controversia vertente sulla trasmissione dei nomi e degli indirizzi di utenti di un servizio di comunicazione elettronica (59). Aggiungo che l’articolo 12 di detta direttiva, che è relativo agli elenchi di abbonati, riguarda certamente, a mio avviso, dati di tale natura (60) e che il suo considerando 15 riflette parimenti una concezione elastica della nozione di «comunicazione», includendovi segnatamente un «indirizzo fornit[o] da chi emette la comunicazione» (61).
56. Inoltre, un siffatto orientamento è coerente con la giurisprudenza della Corte EDU in materia (62), tenendo presente che il preambolo della direttiva 2002/58 sottolinea che quest’ultima intende garantire la riservatezza delle comunicazioni e il diritto degli utenti a una vita privata ai sensi della CEDU quale interpretata da detto organo giurisdizionale (63), anche se quest’ultimo strumento non è formalmente integrato nell’ordinamento giuridico dell’Unione (64).
57. Di conseguenza, ritengo che una controversia come quella oggetto del procedimento principale rientri nell’ambito di applicazione materiale della direttiva 2002/58 e che l’eccezione di incompetenza sollevata dal governo spagnolo debba quindi essere respinta.
58. A fini di completezza, preciso tuttavia che, qualora la direttiva 2002/58 non fosse riconosciuta applicabile in un’ipotesi di tal genere, la direttiva 95/46, evocata sia dal giudice del rinvio che dal governo spagnolo, non può fondare la competenza della Corte a pronunciarsi nella presente causa.
59. Infatti, come affermato dalla Commissione, è pur vero che la direttiva 95/46 costituisce lo strumento di portata generale in materia di trattamento dei dati personali (65), ma le questioni sollevate dal giudice del rinvio sarebbero, a mio avviso, irrilevanti se fossero esaminate soltanto sotto tale profilo, poiché esse hanno lo scopo di determinare la soglia a partire dalla quale i reati possono essere qualificati come «gravi» ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, le quali non vertevano sull’interpretazione di detta direttiva (66).
2. Sulla ricevibilità della domanda di pronuncia pregiudiziale
60. Il governo spagnolo sostiene in subordine, nell’ipotesi in cui la Corte giudicasse di essere competente a rispondere alle questioni sollevate, che la domanda di pronuncia pregiudiziale dovrebbe essere dichiarata irricevibile per due motivi.
61. In primo luogo, tale governo afferma che il giudice del rinvio non individuerebbe in modo chiaro il quadro normativo dell’Unione sul quale la Corte deve pronunciarsi.
62. A tale riguardo, esso richiama la giurisprudenza costante secondo cui, nell’ambito della cooperazione istituita dall’articolo 267 TFUE, la Corte può rifiutarsi di statuire su questioni pregiudiziali, le quali sono assistite da una presunzione di rilevanza, soltanto qualora risulti in modo manifesto che l’interpretazione o l’esame di validità richiesto relativamente ad una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, oppure qualora il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte (67).
63. Tuttavia, considero che, nel caso di specie, la censura formulata dal governo spagnolo sia infondata. Infatti, alla luce delle indicazioni fornite dal giudice del rinvio, ritengo che quest’ultimo abbia individuato in modo sufficiente le disposizioni del diritto dell’Unione che a suo avviso sono pertinenti. Rammento, da una parte, che le questioni sollevate riguardano in particolare gli articoli 7 e 8 della Carta, dall’altra, che tale giudice afferma che le direttive 95/46 e 2002/58 costituiscono il collegamento necessario tra la normativa nazionale applicabile nel procedimento principale e il diritto dell’Unione (68) e, infine, che la direttiva 2002/58 mira, come enuncia il suo considerando 2, a garantire, in particolare, il pieno rispetto dei diritti di cui agli articoli 7 e 8 della Carta (69).
64. Aggiungo che è irrilevante il fatto che uno degli elementi della normativa spagnola menzionati nella decisione di rinvio, vale a dire la legge 25/2007, abbia avuto lo scopo di trasporre la direttiva 2006/24, che è stata abrogata a seguito della sua invalidazione da parte della sentenza Digital Rights (70). Come osserva giustamente il giudice di rinvio, sarebbe erroneo considerare che le questioni pregiudiziali sottoposte alla Corte nel caso di specie siano irrilevanti a causa di detta invalidazione. A questo proposito, è sufficiente constatare che la materia interessata da tali questioni, vale a dire la protezione dei dati personali, rientra nella competenza dell’Unione e che la controversia principale rientra nel campo di applicazione di un atto di diritto dell’Unione, vale a dire la direttiva 2002/58 (71), che la direttiva 2006/24 invalidata era destinata a modificare.
65. Si può peraltro osservare che le parti che hanno presentato osservazioni alla Corte partono prevalentemente dal principio che la presente domanda di pronuncia pregiudiziale debba essere esaminata alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta, nonché sulla base degli insegnamenti derivanti dalle sentenze Digital Rights e Tele2. Questo è anche il mio parere, con la precisazione che l’espressione «reati», e non «reati gravi», figura nella direttiva 2002/58 soltanto in detto articolo 15, paragrafo 1 (72).
66. In secondo luogo, il governo spagnolo sostiene che l’articolo 7 della Carta, che costituirebbe l’elemento centrale della presente domanda di pronuncia pregiudiziale, non sarebbe pertinente, in quanto la misura di indagine richiesta nel procedimento principale non riguarderebbe l’intercettazione di comunicazioni e non potrebbe pertanto pregiudicare la riservatezza delle comunicazioni, cosicché le questioni sollevate sarebbero ipotetiche.
67. Da parte mia, ritengo che l’articolo 7 della Carta sia senz’altro pertinente nella presente causa e che la domanda di pronuncia pregiudiziale non abbia, quindi, carattere ipotetico. Sebbene sia vero che, nel caso di specie, non vi è alcun rischio di violazione del diritto al segreto delle comunicazioni, tenuto conto dell’oggetto della misura di cui trattasi nel procedimento principale (73), resta il fatto che una misura di tal genere può arrecare pregiudizio al diritto al rispetto della vita privata garantito da detta disposizione, benché tale pregiudizio sia, a mio avviso, di lieve entità (74).
68. Infatti, come la Corte ha già dichiarato in modo costante, la comunicazione di dati personali ad un terzo, quale un’autorità pubblica, costituisce un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, indipendentemente dall’utilizzo ulteriore delle informazioni comunicate. Lo stesso vale per la conservazione dei dati personali, in particolare da parte dei fornitori di servizi di comunicazione elettronica, nonché per l’accesso a detti dati ai fini del loro utilizzo da parte delle autorità pubbliche (75).
69. Pertanto, ritengo che l’eccezione di irricevibilità sollevata dal governo spagnolo debba essere respinta e che occorra, di conseguenza, statuire sul merito della domanda di pronuncia pregiudiziale.
C. Sugli elementi necessari per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati (prima questione)
70. Con la sua prima questione, il giudice del rinvio interroga la Corte, in sostanza, sugli elementi da prendere in considerazione per stabilire che determinati reati siano di una gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, nell’ambito della conservazione di dati personali e dell’accesso agli stessi, ai sensi della giurisprudenza derivante dalla sentenza Digital Rights e poi dalla sentenza Tele2.
71. A tale riguardo, rammento che la nozione di «reati gravi» è stata utilizzata dalla Corte nella sentenza Digital Rights (76), talvolta in combinazione con la nozione di «criminalità grave» (77), quale criterio di verifica della finalità e della proporzionalità dell’ingerenza nei summenzionati diritti fondamentali che era causata da disposizioni del diritto dell’Unione relative ai dati personali, vale a dire quelle della direttiva 2006/24. Preciso che tale nozione, che non figura nella direttiva 2002/58 (78), era utilizzata nella direttiva 2006/24 (79), la cui invalidità costituiva oggetto di detta sentenza. La Corte ha poi utilizzato entrambe tali nozioni nella sentenza Tele2 (80), quale medesimo criterio di valutazione, ma per quanto riguarda, questa volta, la conformità al diritto dell’Unione (81) di disposizioni adottate da Stati membri.
72. Più precisamente, la prima questione pregiudiziale invita la Corte a dichiarare se, al fine di valutare la sussistenza di un «reato grave» tale da giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta esercitata con riguardo a dati personali, occorra prendere in considerazione soltanto la pena irrogabile per il reato controverso oppure anche il carattere particolarmente lesivo della condotta criminosa nei confronti dei beni giuridici individuali o collettivi coinvolti.
73. Tuttavia, al pari della Commissione, ritengo che, prima di pronunciarsi su tale questione, occorra esaminare se l’ingerenza di cui trattasi in una controversia come quella oggetto del procedimento principale presenti un livello di gravità sufficientemente elevato affinché sia richiesto, ai sensi del diritto dell’Unione, che tale ingerenza, per poter essere ammessa, sia giustificata dalla lotta contro un reato grave. Infatti, mi sembra che, qualora ciò non fosse, la Corte dovrebbe procedere ad un’interpretazione delle disposizioni pertinenti del diritto dell’Unione, non già limitandosi a quella richiesta dal giudice del rinvio, bensì dopo aver riformulato la prima questione sollevata (82) nella misura necessaria alla luce dei fatti del procedimento principale (83).
1. Sulla presa in considerazione dell’assenza di gravità dell’ingerenza controversa
74. Anzitutto, occorre accertare che operazioni come quelle di cui trattasi nel procedimento principale siano effettivamente idonee a ledere i diritti fondamentali garantiti dagli articoli 7 e 8 della Carta e, quindi, a costituire un’ingerenza in tali diritti, ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2.
75. È pur vero che, come hanno evidenziato i governi spagnolo e danese nelle loro difese orali (84) e come ho già indicato (85), i dati ai quali le autorità titolari dell’indagine penale in questione desiderano accedere sembrano rivestire un carattere meno sensibile rispetto a talune altre categorie di dati personali (86), posto che la richiesta in questione risulta riguardare soltanto il nome, il cognome ed eventualmente l’indirizzo degli individui interessati da tale indagine, in quanto utenti di numeri di telefono attivati dal telefono cellulare rubato oggetto di quest’ultima.
76. Tuttavia, ritengo che, al fine di determinare se determinati dati personali debbano beneficiare della protezione prevista dal diritto dell’Unione, e in particolare dalla direttiva 2002/58 (87), sia irrilevante stabilire se le informazioni oggetto della richiesta di conservazione o di comunicazione rivestano o meno un carattere particolarmente sensibile. Infatti, come si è rilevato nell’ambito dei primi lavori legislativi in materia, «a seconda della finalità per cui è impiegato, qualsiasi dato relativo ad una persona, anche apparentemente inoffensivo, può rivestire un certo carattere di sensibilità (ad esempio un semplice indirizzo postale)» (88). Inoltre, la Corte ha già dichiarato che, al fine di determinare la sussistenza di un’ingerenza nel diritto fondamentale sancito dall’articolo 7 della Carta, «poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno un carattere sensibile o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza» (89).
77. Peraltro, rammento che la comunicazione di dati personali ad un terzo, anche un’autorità pubblica quale un servizio di polizia giudiziaria, costituisce un’ingerenza nel diritto fondamentale garantito dall’articolo 7 della Carta (90), quand’anche tali informazioni siano trasmesse a fini di indagine penale, situazione espressamente prevista, del resto, dall’articolo 15, paragrafo 1, della direttiva 2002/58 (91). Aggiungo che un’operazione di tal genere può anche costituire un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito dall’articolo 8 della Carta, poiché essa comporta un trattamento di dati personali (92).
78. Pertanto, a mio avviso, si deve constatare che una misura come quella di cui trattasi nel procedimento principale costituisce un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta.
79. Tuttavia, ritengo che, nelle circostanze del caso di specie, manchi un elemento essenziale che è stato adottato dalla Corte per esigere, nella fase della giustificazione di una siffatta ingerenza, che sussista un «reato grave» – nozione la cui definizione è richiesta dal giudice del rinvio –, al fine di poter derogare al principio della riservatezza delle comunicazioni elettroniche. L’elemento che non ricorre, a mio avviso, nel caso di specie, affinché si possa rispondere alla prima questione pregiudiziale nei termini utilizzati da tale giudice, è quello della gravità dell’ingerenza controversa, fattore che, se fosse presente, comporterebbe la necessità di una giustificazione rafforzata.
80. A tale riguardo, rilevo che, nella sentenza Digital Rights, la Corte ha sottolineato la vasta portata e la particolare gravità dell’ingerenza causata dalla normativa in questione, rilevando segnatamente che «la direttiva 2006/24 riguarda in maniera generale qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi» (93).
81. Analogamente, nella sentenza Tele2, la Corte ha dichiarato che «[l]’articolo 15, paragrafo 1, della direttiva 2002/58 (…) osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica» (94). Una correlazione è stata posta, inoltre, in tale sentenza, tra, da un lato, la particolare «gravità dell’ingerenza» in tal modo constatata e, dall’altro, la necessità di giustificare una lesione di tale portata, dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, basandosi su un motivo di interesse generale fondamentale come la «lotta contro la criminalità grave» (95).
82. Tale collegamento tra la gravità dell’ingerenza constatata e la gravità del motivo che consente di giustificare quest’ultima è stato istituito in ossequio al principio di proporzionalità (96). Inoltre, mi sembra che la Corte EDU abbia stabilito, nella propria giurisprudenza relativa all’articolo 8 della CEDU (97), una correlazione equivalente a quella che risulta, a mio avviso, dalle sentenze Digital Rights e Tele2.
83. Orbene, come ho rilevato in precedenza (98) e come hanno sottolineato in particolare i governi francese e del Regno Unito nonché la Commissione, la natura dell’ingerenza di cui trattasi nel presente procedimento principale è, sotto vari aspetti, diversa da quelle ravvisate dalla Corte in tali due precedenti sentenze. L’esame della conformità al diritto dell’Unione di una misura come quella di cui trattasi nel caso di specie deve, pertanto, essere effettuato in maniera diversa.
84. Nel caso di specie, non si tratta di una misura relativa ad un obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti che riguardi tutti i mezzi di comunicazione elettronica. Si tratta di una misura mirata e finalizzata ad una possibilità di accesso, da parte delle autorità competenti e per le esigenze di un’indagine penale, a dati detenuti a fini commerciali da fornitori di servizi e che riguarda unicamente l’identità (nome, cognome ed eventualmente indirizzo) di una categoria ristretta di abbonati o utenti di uno specifico mezzo di comunicazione, vale a dire quelli il cui numero di telefono è stato attivato dal telefono cellulare il cui furto costituisce l’oggetto dell’indagine, e per un periodo limitato, vale a dire una dozzina di giorni (99).
85. Aggiungo che gli effetti potenzialmente nocivi, per le persone interessate dalla richiesta di accesso in questione, sono nel contempo moderati e circoscritti. Infatti, essendone previsto l’utilizzo nello specifico ambito di una misura di indagine, i dati richiesti non sono destinati ad essere divulgati al pubblico (100). Inoltre, la facoltà di accesso offerta alle autorità di polizia è circondata da garanzie procedurali ai sensi del diritto spagnolo, in quanto essa dà luogo ad un controllo giurisdizionale, che ha peraltro portato ad un rigetto della richiesta della polizia nel procedimento principale.
86. L’ingerenza nei summenzionati diritti fondamentali causata dalla comunicazione di tali dati di identità civile, a mio avviso, non riveste un carattere di particolare gravità (101), poiché dati di tal genere e di portata così limitata non consentono, di per sé, di ottenere informazioni varie e/o precise sulle persone interessate (102) e non pregiudicano pertanto direttamente e fortemente l’intimità della loro vita privata in tali circostanze particolari (103).
87. Pertanto, al pari della Commissione, ritengo che, al fine di fornire al giudice del rinvio le indicazioni pertinenti per risolvere la controversia di cui esso è investito, occorra riformulare la prima questione pregiudiziale cosicché la risposta che fornirà la Corte verta sull’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 con riguardo a circostanze come quelle del caso di specie, vale a dire in presenza di un’ingerenza nei summenzionati diritti fondamentali priva di particolare gravità e fondata sulla lotta contro un tipo di reati la cui gravità è messa in dubbio.
88. A tale riguardo, rammento che, poiché gli obiettivi idonei a giustificare una normativa nazionale che deroghi al principio di riservatezza delle comunicazioni elettroniche sono elencati in modo esaustivo all’articolo 15, paragrafo 1, della direttiva 2002/58, l’accesso ai dati conservati deve rispondere in modo effettivo e rigoroso ad uno di detti obiettivi (104). Tra questi ultimi, figura l’obiettivo di interesse generale della «prevenzione, ricerca, accertamento e perseguimento dei reati» (105), senza alcuna precisazione quanto alla natura di questi ultimi.
89. Come risulta dalla terminologia in tal modo utilizzata, non è necessario che i reati che legittimano la misura restrittiva in questione, in forza di detto articolo 15, paragrafo 1, possano essere qualificati come «gravi» ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2. A mio avviso, soltanto quando l’ingerenza subita presenta una particolare gravità, come nelle cause che hanno dato luogo a dette sentenze, i reati idonei a giustificare una siffatta ingerenza devono presentare una particolare gravità. Per contro, nell’ipotesi di un’ingerenza non grave, si deve ritornare al principio di base risultante dal testo di tale disposizione, vale a dire che qualsiasi tipo di «reati» è idoneo a giustificare una siffatta ingerenza.
90. A mio avviso, occorre evitare di adottare una concezione troppo ampia dei requisiti stabiliti dalla Corte in tali due sentenze, al fine di non ostacolare, in ogni caso non eccessivamente, la possibilità degli Stati membri di derogare al regime stabilito dalla direttiva 2002/58, ad essi concessa dall’articolo 15, paragrafo 1, di quest’ultima, nei casi in cui le intrusioni nella vita privata in questione abbiano nel contempo una finalità legittima e una portata ridotta, come quelle che possono essere causate nel caso di specie dalla richiesta del servizio di polizia giudiziaria. Più concretamente, ritengo che il diritto dell’Unione non osti a che le autorità competenti possano accedere ai dati di identificazione, detenuti da fornitori di servizi di comunicazione elettronica, che consentono di rintracciare i presunti autori di un reato che non presenta un carattere grave.
91. Di conseguenza, suggerisco alla Corte di rispondere alla questione pregiudiziale, come riformulata, dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti di numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave.
92. Tenuto conto della risposta in tal modo proposta, tutte le osservazioni che seguono sono presentate soltanto in subordine, a fini di completezza.
2. Sulla eventuale determinazione dei criteri pertinenti per stabilire la gravità sufficiente di un reato
93. Qualora la Corte ritenesse, contrariamente a quanto raccomando, che sia necessario, nonostante le circostanze molto particolari della presente controversia principale, determinare, nel caso di specie, cosa si debba intendere per «reato grave» ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 (106), occorrerebbe ancora interrogarsi, in primo luogo, se tale qualificazione costituisca effettivamente una nozione autonoma del diritto dell’Unione, che spetterebbe quindi alla Corte definire. Orbene, al pari della risposta proposta in via principale dal governo francese, anche il mio parere è negativo, per i motivi seguenti.
94. Anzitutto, osservo che la direttiva 2006/24, da cui proviene l’impiego della nozione di «reato grave» (107), non conteneva una definizione di quest’ultimo, ma rinviava, a tale riguardo, agli ordinamenti giuridici degli Stati membri (108). Aggiungo che le considerazioni pertinenti contenute nelle sentenze Digital Rights e Tele2 non devono essere intese, a mio avviso, come volte ad armonizzare le norme giuridiche in vigore negli Stati membri relative al contenuto di tale nozione.
95. A tale riguardo, rammento che la legislazione penale e le norme di procedura penale rientrano nella competenza degli Stati membri, sebbene sull’ordinamento giuridico di questi ultimi possano nondimeno incidere le disposizioni del diritto dell’Unione adottate in tale materia (109). Ai sensi dell’articolo 83, paragrafo 2, TFUE, soltanto nel caso in cui l’armonizzazione del diritto penale degli Stati membri si riveli indispensabile per l’attuazione efficace di una politica dell’Unione in un settore che è stato oggetto di misure di armonizzazione, l’Unione può adottare direttive volte a stabilire norme minime relative alla definizione dei reati e delle sanzioni nel settore in questione. Orbene, allo stato attuale del diritto dell’Unione, non sussistono disposizioni di portata generale che forniscano una definizione armonizzata della nozione di «reato grave» (110).
96. Mi sembra che il potere di determinare ciò che costituisce un «reato grave» spetti, in linea di principio, alle autorità competenti degli Stati membri. Tuttavia, grazie ai rinvii pregiudiziali di cui i giudici degli Stati membri possono adire la Corte, quest’ultima ha il compito di assicurare il rispetto di tutti gli obblighi derivanti dal diritto dell’Unione e, in particolare, di garantire un’applicazione coerente della protezione offerta dalle disposizioni della Carta.
97. Rilevo che la qualificazione giuridica di cui trattasi può non soltanto variare da uno Stato membro all’altro, in funzione delle tradizioni seguite e delle priorità stabilite da ciascuno di essi, ma anche fluttuare nel tempo, in funzione degli orientamenti impartiti alla politica penale, verso una maggiore o minore severità, per tenere conto dell’evoluzione della criminalità (111) nonché, più in generale, delle trasformazioni della società e delle esigenze esistenti, segnatamente in termini di repressione penale, a livello nazionale.
98. Sottolineo inoltre che, dato che sussistono grandi differenze tra le scale di sanzioni che sono tradizionalmente applicabili nei vari Stati membri (112), la gravità di un reato non dipende soltanto dall’entità della pena per esso prevista. Determinare se un reato sia grave è questione molto relativa, nel senso che essa dipende dalla scala delle sanzioni applicate in generale nello Stato membro interessato. Pertanto, il fatto che uno Stato membro preveda una pena detentiva poco elevata, o persino una pena alternativa alla reclusione, non incide di per sé sulla gravità intrinseca del tipo di reato in questione (113).
99. Occorre, a mio avviso, rispettare le specificità dell’ordinamento giuridico penale di ciascuno degli Stati membri, purché il diritto dell’Unione non stabilisca obblighi che vincolano questi ultimi in maniera rigorosa, per analogia con quanto dichiarato dalla Corte per quanto riguarda la salvaguardia della sicurezza pubblica (114), nozione affine, a mio avviso, a quella di lotta contro la criminalità grave, in particolare alla luce del testo dell’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58.
100. Di conseguenza, ritengo, in subordine, che la nozione di «reato grave» ai sensi della giurisprudenza della Corte derivante dalle sentenze Digital Rights e Tele2 non costituisca una nozione autonoma del diritto dell’Unione il cui contenuto debba essere definito dalla Corte, sebbene resti il fatto che la deroga prevista dall’articolo 15, paragrafo 1, della direttiva 2002/58 deve essere attuata dagli Stati membri conformemente agli obblighi derivanti dal diritto dell’Unione, segnatamente dai diritti fondamentali garantiti dalla Carta, e sotto il controllo della Corte.
101. A quest’ultimo proposito, rilevo che dalla giurisprudenza della Corte risulta, in particolare, che detto articolo 15, paragrafo 1, in quanto consente agli Stati membri di limitare la portata di taluni diritti e obblighi previsti da tale direttiva, deve essere oggetto di un’interpretazione restrittiva e non può quindi comportare che la deroga a tali diritti e obblighi di principio diventi la regola (115). Pertanto, la portata di detta nozione di «reato grave» non può essere intesa in modo eccessivamente ampio da parte degli Stati membri.
102. In secondo luogo, e in ulteriore subordine, nell’ipotesi in cui la Corte considerasse che detta nozione è autonoma, essa dovrebbe allora rispondere alla questione come formulata dal giudice del rinvio e, pertanto, pronunciarsi sulla determinazione dei criteri che consentono di valutare, a livello del diritto dell’Unione, se un reato rivesta un carattere di gravità sufficiente a giustificare un’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta.
103. Più precisamente, la Corte dovrebbe determinare se, per stabilire la sussistenza di un «reato grave» ai sensi di detta giurisprudenza, sia sufficiente basarsi sulla pena prevista per il reato asserito o se occorra, inoltre, che la condotta criminosa sia stata particolarmente lesiva nei confronti dei beni giuridici individuali o collettivi coinvolti. A tale riguardo, occorrerebbe a mio avviso, nonché secondo i governi danese, spagnolo, francese, ungherese, austriaco, polacco e del Regno Unito, optare non già per la prima alternativa, bensì, in sostanza, per la seconda, privilegiando una definizione basata su una pluralità di criteri di valutazione (116).
104. Per quanto riguarda la gravità del reato che può giustificare l’accesso ai dati, sarebbe a mio avviso impossibile, alla luce del principio di proporzionalità, determinare la gravità dei fatti addebitati prendendo in considerazione soltanto la pena irrogabile. Infatti, viste le notevoli differenze tuttora esistenti tra i sistemi penali degli Stati membri, ritengo che la sanzione irrogabile non possa essere considerata di per sé idonea a riflettere, sotto il profilo qualitativo del tipo di pena e/o sotto il profilo quantitativo del livello di pena, la particolare gravità di un reato.
105. Sebbene la pena rivesta un’importanza considerevole, altri fattori oggettivi devono parimenti essere presi in considerazione, caso per caso, a tale titolo. Si tratta, in particolare, da un lato, del contesto nel quale si colloca il reato asserito – a seconda che la condotta criminosa sia dolosa, sia caratterizzata da circostanze aggravanti e/o sia stata commessa in stato di recidiva legale – e, dall’altro, dell’importanza degli interessi della società che siano stati lesi dall’autore del reato nonché della natura e/o dell’entità dei danni che siano stati subiti dalla vittima di quest’ultimo (117) e, infine, della scala delle pene applicabili in generale nello Stato membro interessato (118). È sulla base di tale insieme di criteri di valutazione, alternativi e non esaustivi, che occorrerebbe, a mio avviso, qualificare eventualmente un reato come «grave» ai sensi della giurisprudenza della Corte in questione.
106. Aggiungo che l’interpretazione così proposta è conforme all’approccio che mi sembra esser stato adottato dalla Corte EDU nella sua giurisprudenza relativa alla «prevenzione dei reati», quale obiettivo che consente di giustificare un’ingerenza nel diritto alla vita privata sancito dall’articolo 8 della CEDU, purché siano soddisfatte anche altre condizioni (119). Da tale giurisprudenza, a mio avviso, risulta che la lotta contro talune categorie di reati può essere fondatamente invocata in tale ambito, dagli Stati parti della CEDU (120), sulla base non tanto unicamente della pena irrogabile, quanto piuttosto di diversi fattori, tra i quali figurano eminentemente la natura dei reati in questione nonché gli interessi pubblici e privati coinvolti da questi ultimi (121).
107. Di conseguenza, ritengo che, qualora la nozione di «reato grave» ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2 fosse considerata dalla Corte come costitutiva di una nozione autonoma del diritto dell’Unione, essa dovrebbe essere interpretata nel senso che la gravità di un reato, tale da giustificare l’accesso delle autorità nazionali competenti a dati personali ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, deve essere misurata non già tenendo conto unicamente della pena irrogabile, bensì prendendo in considerazione anche un insieme di altri criteri oggettivi di valutazione, come quelli sopra menzionati.
D. Sulla definizione subordinata del livello minimo di pena necessario per determinare la gravità sufficiente di un reato che giustifichi un’ingerenza nei diritti fondamentali interessati (seconda questione)
108. Con la sua seconda questione, il giudice del rinvio, in sostanza, invita la Corte, da un lato, a individuare la soglia minima che la pena irrogabile dovrebbe raggiungere affinché un reato possa essere qualificato come «grave», ai sensi della giurisprudenza derivante dalle sentenze Digital Rights e Tele2, nonché, dall’altro, a dichiarare se una soglia di tre anni di reclusione, quale prevista dal codice di procedura penale spagnolo dopo la riforma intervenuta nel 2015 (122), sia conforme ai requisiti del diritto dell’Unione.
109. Tali interrogativi sono sollevati soltanto in via subordinata, nell’ipotesi in cui la Corte dichiarasse, in risposta alla prima questione pregiudiziale, che la gravità di un reato – fattore che può giustificare un’ingerenza nei diritti fondamentali ai sensi di detta giurisprudenza – deve essere determinata tenendo conto unicamente del quantum della pena detentiva che può essere inflitta.
110. Tenuto conto della risposta che propongo di fornire alla prima questione pregiudiziale, a mio avviso la Corte non deve pronunciarsi sulla seconda questione. Tuttavia, intendo presentare osservazioni a tale riguardo, a fini di completezza.
111. Per quanto riguarda la prima parte della seconda questione, ritengo, al pari segnatamente dei governi ceco ed estone, che il livello della pena irrogabile che consentirebbe di per sé di qualificare un reato come «grave» non possa essere determinato in modo uniforme per tutto il territorio dell’Unione, alla luce delle considerazioni sopra formulate in risposta alla prima questione sollevata dal giudice del rinvio (123).
112. Del resto, tale variazione nella definizione di ciò che occorre intendere per «reato grave» e, più in particolare, riguardo alla soglia di pena a partire dalla quale tale qualificazione sarebbe acquisita, è presente anche negli atti del diritto dell’Unione. Infatti, si può constatare che alcuni atti dell’Unione adottati sul fondamento dell’articolo 83, paragrafo 1, TFUE prevedono pene detentive stabilite a livelli diversi per reati nondimeno considerati tutti di «criminalità particolarmente grave» (124), come risulta, ad esempio, dall’articolo 3 della direttiva 2011/93/UE (125) e dall’articolo 15 della direttiva (UE) 2017/541 (126), strumenti relativi, rispettivamente, alla lotta contro gli abusi sessuali su minori e alla lotta contro il terrorismo. Pertanto, lo stesso legislatore dell’Unione non ha optato per una definizione uniforme della nozione di «reato grave» basata su un determinato quantum di pena irrogabile.
113. Rammento che la libertà lasciata agli Stati membri di decidere del livello minimo di pena necessario affinché i reati siano definiti «gravi» è circoscritta dalle norme contenute nelle disposizioni del diritto dell’Unione in materia, ma anche dal principio secondo cui un’eccezione non può avere una portata così ampia da diventare di fatto la regola generale (127).
114. Nel caso di specie, sebbene ciascuno Stato membro abbia la facoltà di determinare la soglia di pena adeguata per definire grave un reato, esso ha comunque l’obbligo di non fissare tale soglia ad un livello talmente basso, rispetto al quantum abituale delle pene applicabili in tale Stato (128), che le eccezioni al divieto di conservare e di utilizzare i dati personali previste da tale articolo 15, paragrafo 1, sarebbero trasformate in principi, come ha giustamente osservato il governo irlandese.
115. Inoltre, è assodato che le ingerenze nei diritti garantiti dagli articoli 7 e 8 della Carta, che possano essere autorizzate dagli Stati membri in forza dell’articolo 15, paragrafo 1, della direttiva 2002/58, restano, altresì, sempre subordinate al rispetto dei requisiti generali derivanti dal principio di proporzionalità, come prevede l’articolo 52, paragrafo 1, della Carta (129).
116. Per quanto riguarda l’ultima parte della seconda questione, il governo estone e la Commissione affermano, da un lato, che una soglia basata esclusivamente su una pena di almeno tre anni di reclusione appare, in assoluto, sufficiente per qualificare come «grave» un reato, ai sensi della giurisprudenza della Corte relativa all’accesso ai dati personali derivante dalla sentenza Digital Rights, e, dall’altro, che una siffatta soglia non è manifestamente incompatibile con il diritto dell’Unione in generale (130) e, in particolare, con l’articolo 15, paragrafo 1, della direttiva 2002/58.
117. Tuttavia, sarebbe, a mio avviso, opportuno che la Corte si astenesse dal prendere posizione a favore di un quantum preciso di pena irrogabile, poiché ciò che è adeguato per taluni Stati membri non lo è necessariamente per altri e ciò che vale oggi per un tipo di reati non varrà necessariamente in modo irrevocabile in futuro, come ho già osservato (131). Poiché una determinazione della soglia in questione richiede una valutazione complessa e potenzialmente soggetta a evoluzione, occorre a mio avviso restare prudenti a questo proposito e riservare tale operazione alla valutazione del legislatore dell’Unione, nella sfera delle competenze conferite a quest’ultima, o alla valutazione del legislatore di ciascuno Stato membro, entro i limiti dei requisiti derivanti dal diritto dell’Unione.
118. A quest’ultimo proposito, rilevo che, nel caso di specie, il giudice del rinvio evidenzia un rischio di inversione tra la regola generale e le deroghe previste dalla direttiva 2002/58, rischio evocato supra (132), quando afferma che il «[r]iferimento alla pena (…) detentiva non inferiore a tre anni [soglia introdotta nel 2015 dal legislatore spagnolo (133)] (…) abbraccia gran parte delle fattispecie di reato». In altri termini, secondo tale giudice, l’attuale elenco dei reati che possono giustificare, in Spagna, restrizioni ai diritti tutelati ai sensi degli articoli 7 e 8 della Carta, che è stato introdotto con la riforma del codice di procedura penale, comporterebbe, in pratica, che la maggior parte dei reati previsti dal codice penale siano inclusi in detto elenco.
119. Orbene, anche supponendo che l’ingerenza di cui trattasi nel procedimento principale sia considerata grave dalla Corte e che il risultato in tal modo indicato dal giudice del rinvio sia confermato, quest’ultimo sarebbe, a mio avviso, non conforme al requisito di proporzionalità al quale siffatte restrizioni sono soggette (134). Ciò vale, a mio avviso, nonostante l’esistenza di un controllo giurisdizionale, invocata dal governo spagnolo, poiché l’esercizio di tale controllo consente soltanto di impedire l’attuazione di misure ritenute, caso per caso, arbitrarie o troppo intrusive, e non di contrastare, in modo generalizzato, il ricorso a misure di tal genere e il loro sviluppo.
120. Infine, sottolineo che l’approccio proposto nell’insieme della presente sezione concorda, a mio parere, con quello adottato dalla Corte EDU nella sua giurisprudenza relativa alla protezione dei dati personali. È pur vero che, come osservano il governo irlandese e la Commissione, tale organo giurisdizionale ha ritenuto sufficientemente chiare alcune legislazioni nazionali che definivano i reati «gravi», idonei a giustificare un’ingerenza nella vita privata, facendo riferimento ad una pena irrogabile almeno pari a tre anni di reclusione (135). Tuttavia, ritengo che esso non abbia eretto tale quantum di pena a criterio assoluto e fisso ai fini di detta definizione, dato che la sua giurisprudenza mi sembra incentrata sull’esigenza di prevedibilità e chiarezza sufficienti per i cittadini con riguardo non già alla pena irrogabile, bensì piuttosto alla natura dei reati che consentono una siffatta ingerenza (136). Peraltro, sebbene la Corte EDU riconosca agli Stati un certo margine di discrezionalità per valutare la sussistenza e la portata della necessità di una siffatta ingerenza, essa assoggetta tuttavia tale margine di discrezionalità ad un controllo a livello europeo (137). In particolare, essa mira a prevenire i rischi di abusi causati da normative che rinviano ad un ventaglio di reati talmente ampio da far sì che la maggior parte dei reati consentano di giustificare misure intrusive (138).
121. In conclusione, ritengo che, nell’ipotesi in cui la Corte giudicasse – contrariamente a quanto suggerisco – che si deve tenere conto unicamente della pena irrogabile per qualificare un reato come «grave» ai sensi della sua giurisprudenza derivante dalla sentenza Digital Rights, occorrerebbe allora rispondere alla seconda questione pregiudiziale dichiarando che gli Stati membri sono liberi di fissare il livello minimo della pena pertinente a tal fine, a condizione che essi rispettino i requisiti risultanti dal diritto dell’Unione e, in particolare, quelli secondo cui le ingerenze nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta devono restare eccezionali e rispettare il principio di proporzionalità.
V. Conclusione
122. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dall’Audiencia Provincial de Tarragona (Corte provinciale di Tarragona, Spagna) nel modo seguente:
L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che una misura che consenta alle autorità nazionali competenti di accedere, a fini di contrasto a reati, ai dati di identificazione degli utenti dei numeri di telefono attivati da un telefono cellulare specifico e durante un periodo limitato, in circostanze come quelle di cui al procedimento principale, comporta un’ingerenza, nei diritti fondamentali garantiti da detta direttiva e dalla Carta, che non raggiunge un livello di gravità sufficiente affinché occorra riservare un tale accesso ai casi in cui il reato in questione presenti un carattere grave.