Language of document : ECLI:EU:C:2007:454

CONCLUSIONI DELL’AVVOCATO GENERALE

JULIANE KOKOTT

presentate il 18 luglio 2007 (1)

Causa C‑275/06

Productores de Música de España (Promusicae)

contro

Telefónica de España SAU

(domanda di pronuncia pregiudiziale proposta dal Juzgado de lo mercantil n. 5, Madrid)

«Società dell’informazione – Diritto d’autore e diritti connessi – Protezione dei dati – Trasmissione di dati sul traffico delle comunicazioni»





I –    Introduzione

1.        La presente causa dimostra come la registrazione di dati per determinati scopi desti il desiderio di utilizzare siffatti dati in modo più ampio. In Spagna, i fornitori di servizi di accesso ad Internet sono tenuti a conservare determinati dati dei singoli utenti, affinché possano poi essere utilizzati nel contesto di un’indagine penale o quando ciò sia necessario per la tutela della pubblica sicurezza o sia in gioco la sicurezza nazionale. Orbene, un’associazione dei titolari dei diritti di autore desidera, con l’ausilio di tali dati, identificare gli utenti che, scambiandosi file, hanno violato i diritti d’autore.

2.        Il giudice del rinvio è pertanto interessato a sapere se il diritto comunitario ammetta, o addirittura imponga, la trasmissione dei dati personali sul traffico delle comunicazioni concernenti l’utilizzo di Internet ai titolari dei diritti di proprietà intellettuale. Parte dal presupposto che le diverse direttive in materia di tutela della proprietà intellettuale e di società dell’informazione accordino ai titolari dei rispettivi diritti il diritto di chiedere ai fornitori di servizi elettronici la trasmissione di siffatti dati, qualora essi possano servire a dimostrare una violazione dei diritti connessi al diritto d’autore.

3.        In appresso mi accingo tuttavia a dimostrare che le disposizioni comunitarie in materia di protezione dei dati relativi alle comunicazioni elettroniche consentono di trasmettere i dati sul traffico delle comunicazioni personali esclusivamente alle autorità statali competenti, e non direttamente ai titolari di diritti d’autore, che vogliano far valere in sede civile la violazione dei loro diritti.

II – Contesto normativo

A –    Disposizioni comunitarie

4.        Nel caso di specie rilevano le disposizioni in materia di tutela della proprietà intellettuale e di commercio elettronico, nonché, in particolare, le disposizioni in materia di protezione dei dati.

1.      La tutela della proprietà intellettuale nella società dell’informazione

5.        Con riferimento alla tutela della proprietà intellettuale nella società dell’informazione è da citare innanzi tutto la direttiva del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (2).

6.        L’art. 1, n. 5, della direttiva 2000/31/CE ne limita il campo di applicazione. Secondo l’art. 1, n. 5, lett. b), la direttiva non si applica «alle questioni relative ai servizi della società dell’informazione oggetto delle direttive 95/46/CE e 97/66/CE» (3).

7.        L’art. 15, n. 2, della direttiva 2000/31/CE così recita:

«Gli Stati membri possono stabilire che i prestatori di servizi della società dell’informazione siano tenuti ad informare senza indugio la pubblica autorità competente di presunte attività o informazioni illecite dei destinatari dei loro servizi o a comunicare alle autorità competenti, a loro richiesta, informazioni che consentano l’identificazione dei destinatari dei loro servizi con cui hanno accordi di memorizzazione dei dati».

8.        L’art. 18, n. 1, della direttiva 2000/31/CE dispone come segue:

«Gli Stati membri provvedono affinché i ricorsi giurisdizionali previsti dal diritto nazionale per quanto concerne le attività dei servizi della società dell’informazione consentano di prendere rapidamente provvedimenti, anche provvisori, atti a porre fine alle violazioni e a impedire ulteriori danni agli interessi in causa».

9.        La particolare disciplina sulla tutela della proprietà intellettuale relativamente al traffico di comunicazioni elettroniche è contenuta nella direttiva del Parlamento europeo e del Consiglio 22 maggio 2001, 2001/29/CE, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione (4). Di particolare interesse è il suo art. 8, intitolato «Sanzioni e mezzi di ricorso»:

«1.      Gli Stati membri prevedono adeguate sanzioni e mezzi di ricorso contro le violazioni dei diritti e degli obblighi contemplati nella presente direttiva e adottano tutte le misure necessarie a garantire l’applicazione delle sanzioni e l’utilizzazione dei mezzi di ricorso. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive.

2.      Ciascuno Stato membro adotta le misure necessarie a garantire che i titolari dei diritti i cui interessi siano stati danneggiati da una violazione effettuata sul suo territorio possano intentare un’azione per danni e/o chiedere un provvedimento inibitorio e, se del caso, il sequestro del materiale all’origine della violazione, nonché delle attrezzature, prodotti o componenti di cui all’articolo 6, paragrafo 2.

3.      (…)».

10.      L’art. 9 della direttiva 2001/29/CE delimita il suo campo di applicazione come segue:

«La presente direttiva non osta all’applicazione delle disposizioni concernenti segnatamente brevetti, marchi, disegni o modelli, modelli di utilità, topografie di prodotti a semiconduttori, caratteri tipografici, accesso condizionato, accesso ai servizi di diffusione via cavo, la protezione dei beni appartenenti al patrimonio nazionale, gli obblighi di deposito legale, le norme sulle pratiche restrittive e sulla concorrenza sleale, il segreto industriale, la sicurezza, la riservatezza, la tutela dei dati e il rispetto della vita privata, l’accesso ai documenti pubblici, il diritto contrattuale».

11.      Uno speciale diritto di informazione a favore dei titolari dei diritti di proprietà intellettuale è previsto dall’art. 8 della direttiva del parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE, sul rispetto dei diritti di proprietà intellettuale (5):

«1.      Gli Stati membri assicurano che, nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, l’autorità giudiziaria competente possa ordinare che le informazioni sull’origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di proprietà intellettuale siano fornite dall’autore della violazione e/o da ogni altra persona che

(…)

c)      sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attività di violazione di un diritto,

(…)

2.      Le informazioni di cui al paragrafo 1 comprendono, ove opportuno, quanto segue:

a)      nome e indirizzo dei produttori, dei fabbricanti, dei distributori, dei fornitori e degli altri precedenti detentori dei prodotti o dei servizi, nonché dei grossisti e dei dettaglianti;

b)      (…)

3.      I paragrafi 1 e 2 si applicano fatte salve le altre disposizioni regolamentari che

(…)


e)      disciplinano la protezione o la riservatezza delle fonti informative o il trattamento di dati personali».

12.      Al contempo, la direttiva 2004/48/CE fa salve, ai sensi dell’art. 2, n. 3:

«a)      le disposizioni comunitarie che disciplinano il diritto sostanziale di proprietà intellettuale, la direttiva 95/46/CE, la direttiva 1999/93/CE, o la direttiva 2000/31/CE in generale e le disposizioni degli articoli da 12 a 15 della direttiva 2000/31/CE in particolare;

b)      (...)».

2.      Le disposizioni in materia di protezione dei dati

13.      Per quanto riguarda la protezione dei dati, rileva la direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (6).

14.      Ai sensi di quanto indicato all’art. 1, n. 1, essa «armonizza le disposizioni degli Stati membri necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità».

15.      Conformemente all’art. 1, n. 2, le disposizioni di tale direttiva precisano e integrano la direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (7) relativamente agli scopi di cui al n. 1.

16.      L’art. 2, lett. b), della direttiva 2002/58/CE definisce la nozione di dati sul traffico come «qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione».

17.      Il trattamento dei dati sul traffico viene disciplinato dall’art. 6:

«1.      I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1.

2.      I dati relativi al traffico che risultano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.

(…)

6.      I paragrafi 1, 2, 3 e 5 non pregiudicano la facoltà degli organismi competenti di ottenere i dati relativi al traffico in base alla normativa applicabile al fine della risoluzione delle controversie, in particolare di quelle attinenti all’interconnessione e alla fatturazione».

18.      La riserva formulata all’art. 6, n. 1, della direttiva 2002/58/CE a favore dell’art. 15, n. 1, così recita:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del Trattato sull’Unione europea».

19.      La spiegazione viene fornita all’undicesimo ‘considerando’:

«(11) La presente direttiva, analogamente alla direttiva 95/46/CE, non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) e l’applicazione della legge penale. Di conseguenza la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali, come interpretata dalle sentenze della Corte europea dei diritti dell’uomo. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla precitata Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali».

20.      L’art. 19 della direttiva 2002/58/CE ne disciplina il rapporto con la precedente direttiva 97/66/CE:

«La direttiva 97/66/CE è abrogata con efficacia a decorrere dalla data di applicazione di cui all’articolo 17, paragrafo 1.

I riferimenti alla direttiva abrogata si intendono fatti alla presente direttiva».

21.      L’art. 13, n. 1, della direttiva 95/46/CE, richiamato nell’art. 15, n. 1, della direttiva 2002/58/CE, così recita:

«1.      Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia

a)      della sicurezza dello Stato;

b)      della difesa;

c)      della pubblica sicurezza;

d)      della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;

e)      di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;

f)      di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);

g)      della protezione della persona interessata o dei diritti e delle libertà altrui».

22.      Occorre inoltre rilevare che, ai sensi dell’art. 29 della direttiva 95/46/CE, è stato istituito un gruppo indipendente di rappresentanti delle autorità di controllo della protezione dei dati degli Stati membri (in prosieguo: il «gruppo per la tutela delle persone con riguardo al trattamento dei dati personali») (8) . Esso ha il compito di esprimersi in merito a questioni inerenti il diritto sulla protezione dei dati. Analoga funzione è attribuita al garante della protezione dei dati, istituito ai sensi dell’art. 286 CE e del regolamento n. 45/2001 (9).

23.      Infine, risulta rilevante nella fattispecie anche la direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (10).

24.      La direttiva 2006/24/CE obbliga gli Stati membri, tra l’altro, alla conservazione dei dati relativi al traffico in Internet. Ai sensi dell’art. 15, essa deve essere recepita, al più tardi, entro il 15 settembre 2007, con la possibilità di differire di altri 18 mesi l’obbligo di conservazione dei dati relativi al traffico in Internet. La Spagna non ha usufruito di tale possibilità.

25.      L’art. 11 della direttiva 2006/24/CE aggiunge un nuovo n. 1 nell’art. 15 della direttiva 2002/58/CE:

«Il paragrafo 1 non si applica ai dati la cui conservazione è specificamente prevista dalla direttiva 2006/24/CE (…) ai fini di cui all’articolo 1, paragrafo 1, di tale direttiva».

26.      La comunicazione dei dati conservati ai sensi della direttiva 2006/24/CE viene disciplinata dall’art. 4:

«Gli Stati membri adottano misure per garantire che i dati conservati ai sensi della presente direttiva siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali. Le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri di necessità e di proporzionalità sono definite da ogni Stato membro nella legislazione nazionale, con riserva delle disposizioni in materia del diritto dell’Unione europea o del diritto pubblico internazionale e in particolare della CEDU, secondo l’interpretazione della Corte europea dei diritti dell’uomo».

B –    Diritto spagnolo

27.      Il giudice nazionale si limita, nell’esposizione del quadro giuridico previsto dal diritto nazionale, sostanzialmente all’art. 12, nn. 1-3, della legge 11 luglio 2002, n. 34, de Servicios de la Sociedad de la Información y de Comercio Electrónico (legge sui servizi della società dell’informazione e sul commercio elettronico):

«Art. 12. Dovere di conservare i dati sul traffico relativi alle comunicazioni elettroniche

1.      Gli operatori di rete e di servizi di comunicazione elettronica, i fornitori di accesso a reti di telecomunicazione e i prestatori di servizi di conservazione dei dati devono conservare i dati di connessione e di traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della società dell’informazione per un periodo massimo di dodici mesi, nei termini stabiliti dal presente articolo e dalla sua normativa di attuazione.

2.      (…) Gli operatori di rete e di servizi di comunicazione elettronica ed i prestatori di servizi cui si riferisce questo articolo non possono utilizzare i dati conservati per fini diversi da quelli indicati nel seguente comma o diversi dagli altri fini previsti dalla legge e adottano i provvedimenti idonei ad evitare la perdita, l’alterazione o l’accesso non autorizzato a tali dati.

3.      I dati sono conservati al fine del loro utilizzo nell’ambito di un’indagine penale o per la tutela della pubblica sicurezza e della difesa nazionale. Sono posti a disposizione dei giudici o dei tribunali o del pubblico ministero che li richiedano. La trasmissione di tali dati alle forze ed agli enti competenti per la sicurezza avviene nell’osservanza di quanto disposto dalla normativa sulla tutela dei dati personali».

28.      Il giudice nazionale fa peraltro notare che in Spagna la violazione del diritto d’autore è perseguibile a norma di legge solamente se l’atto è stato commesso con l’intenzione di perseguire un fine di lucro (11).

III – Contesto tecnico, fatti e controversia principale

29.      La ricorrente nella causa principale (in prosieguo: la «Promusicae» per l’ente Productores de Música de España) è un’associazione senza scopo di lucro dei produttori ed editori di registrazioni musicali e di registrazioni audiovisive di tipo essenzialmente musicale. Essa ha richiesto al giudice che un provider spagnolo di accessi Internet, la Telefónica de España SAU, le svelasse l’identità e il domicilio di determinati utenti di rete. La Promusicae aveva identificato tali soggetti in base ai cosiddetti indirizzi IP, nonché in base alla data e all’ora di connessione.

30.      L’indirizzo IP è un indirizzo in formato numerico, paragonabile ad un numero di telefono, necessario per far comunicare in Internet i dispositivi in rete, quali possono essere il Webserver, l’e-mail server o un computer privato. L’indirizzo IP del server che consente di accedere alle pagine della Corte di giustizia delle Comunità europee è, ad esempio, 147.67.243.28 (12). Ogniqualvolta si accede ad una pagina, al computer sul quale è salvata la pagina viene comunicato l’indirizzo IP del computer che la consulta, così che i dati possono essere trasmessi da un computer all’altro tramite Internet.

31.      Per la connessione degli utenti privati ad Internet, analogamente a quanto vale per il collegamento alla rete telefonica, possono essere assegnati indirizzi IP fissi. Ma non è la prassi consueta, essendo Internet attualmente organizzata in maniera tale che ad ogni fornitore viene messo a disposizione solo un numero limitato di indirizzi (13). Si utilizzano pertanto, come nel caso di specie, perlopiù indirizzi IP dinamici, vale a dire un indirizzo, tra quelli a sua disposizione, che il fornitore attribuisce ad hoc ai propri clienti ad ogni loro accesso. Tale indirizzo può naturalmente variare per ogni connessione.

32.      La Promusicae ha affermato di aver identificato una serie di indirizzi IP utilizzati in determinati periodi per il cosiddetto filesharing di file musicali, i cui diritti d’autore e le cui licenze sono di proprietà dei suoi soci.

33.      Il filesharing è una forma di scambio di file, ad esempio brani musicali o film. Gli utenti copiano dapprima i file sui loro computer e li offrono successivamente a chiunque sia loro connesso via Internet tramite un particolare programma, in questo caso Kazaa. A tal fine è generalmente (14) utilizzato l’indirizzo IP della persona che mette a disposizione i file cui gli altri possono poi accedere, indirizzo che può quindi essere portato a conoscenza.

34.      Per agire in giudizio contro i corrispondenti utenti, la Promusicae chiede che il fornitore di accesso Internet interessato, la Telefónica, le comunichi a quali utenti fossero attribuiti, nei periodi da essa indicati, gli indirizzi IP che ha identificato. La Telefónica può rintracciare la connessione di volta in volta utilizzata, in quanto conserva anche dopo l’interruzione della connessione le informazioni relative a quando e a chi ha attribuito un determinato indirizzo IP.

35.      Il giudice del rinvio ha emesso inizialmente un’ordinanza con cui ha intimato alla Telefónica di trasmettere le informazioni richieste. La Telefónica ha tuttavia presentato opposizione, in quanto, ai sensi dell’art. 12 della Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, essa non può, in alcun caso, fornire al giudice le informazioni richieste. L’operatore di comunicazioni elettroniche o il prestatore di servizi può comunicare i dati che è tenuto a conservare per legge solo nel contesto di un’indagine penale, o quando ciò sia necessario per la tutela della pubblica sicurezza o sia in gioco la sicurezza nazionale.

36.      Il giudice del rinvio, sebbene ritenga possibile che tale interpretazione sia corretta ai sensi del diritto spagnolo, ritiene tuttavia che la disposizione di cui trattasi non sia però compatibile con il diritto comunitario. Sottopone pertanto alla Corte di giustizia delle Comunità europee la seguente questione pregiudiziale:

«Se il diritto comunitario, e specificamente gli artt. 15, n. 2, e 18 della direttiva [2000/31], l’art. 8, nn. 1 e 2, della direttiva [2001/29], l’art. 8 della direttiva [2004/48], nonché gli artt. 17, n. 2, e 47 della Carta dei diritti fondamentali dell’Unione europea, consentano agli Stati membri di circoscrivere all’ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale – ad esclusione, quindi, dei processi civili – l’obbligo di conservare e mettere a disposizione i dati sulle connessioni ed il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della società dell’informazione, che incombe agli operatori di rete e di servizi di comunicazione elettronica, ai fornitori di accesso alle reti di telecomunicazione ed ai fornitori di servizi di archiviazione di dati».

37.      Hanno presentato istanze d’intervento la Promusicae, la Telefónica, la Finlandia, l’Italia, la Slovenia, il Regno Unito e la Commissione. Non hanno presentato osservazioni il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali (15) e il Garante europeo della protezione dei dati, in particolare perché l’art. 23 dello Statuto della Corte di giustizia non ne prevede la partecipazione. Poiché possono tuttavia offrire un importante contributo ai fini del trattamento delle questioni inerenti la normativa sulla protezione dei dati, ho prestato attenzione quantomeno ai loro pareri pubblicati in merito alle questioni qui sollevate.

IV – In diritto

38.      La Corte deve chiarire se sia compatibile con le direttive menzionate dal giudice del rinvio limitare gli obblighi di comunicazione dei dati sul traffico ad azioni penali e analoghe, esentando i procedimenti civili da siffatti obblighi.

39.      Il giudice del rinvio sostiene pertanto che sussiste un conflitto tra il diritto spagnolo e il diritto comunitario. Egli pare tuttavia ignorare il fatto che la disposizione di specie del diritto spagnolo si fonda sull’art. 15 della direttiva 2002/58/CE, rilevandone ampiamente il tenore. Tale direttiva disciplina la protezione dei dati nel settore delle comunicazioni elettroniche e, in quanto a ciò, completa la direttiva 95/46 con disposizioni generali sulla protezione dei dati.

40.      Si deve pertanto verificare se sia compatibile con le normative indicate dal giudice del rinvio, considerate le disposizioni sulla protezione dei dati, vietare ai fornitori di accesso alla rete di identificare i titolari di particolari linee al fine di consentire l’esecuzione di procedimenti civili per violazioni dei diritti d’autore.

A –    Sulla ricevibilità del rinvio

41.      Dubbi sulla ricevibilità della domanda di pronuncia pregiudiziale potrebbero riguardare la sua rilevanza ai fini della decisione (16). Una direttiva non può, di per sé, creare obblighi a carico di un singolo (17). Qualora il diritto spagnolo si opponesse in maniera inequivocabile ad una comunicazione dei dati in oggetto, neppure l’interpretazione delle direttive richiesta dal giudice del rinvio potrebbe tradursi in un obbligo di comunicazione per Telefónica. Alla luce delle informazioni disponibili non si può tuttavia escludere che il diritto spagnolo possa essere interpretato in conformità delle disposizioni delle direttive. Fintanto che sussiste tale possibilità, una domanda di pronuncia pregiudiziale come quella di specie non può essere considerata irrilevante (18).

B –    Sul rapporto reciproco tra le diverse direttive

42.      Alcuni degli intervenienti si concentrano quasi esclusivamente sull’interpretazione delle direttive menzionate dal giudice del rinvio. In tal senso sottolineano regolarmente la necessità di una tutela giurisdizionale effettiva avverso le violazioni del diritto d’autore. La Commissione fa loro giustamente presente che nessuna delle tre direttive incide sulla normativa in materia di protezione dei dati.

43.      Ai sensi dell’art. 1, n. 5, lett. b), della direttiva 2000/31/CE, sul commercio elettronico, la direttiva non si applica alle questioni relative ai servizi della società dell’informazione oggetto della direttiva 95/46/CE sulla tutela dei dati e della direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni. La direttiva appena menzionata è stata frattanto sostituita dalla direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.

44.      Parimenti, l’art. 9 della direttiva 2001/29/CE, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione, sancisce espressamente che la direttiva lascia impregiudicate le disposizioni concernenti, tra l’altro, la tutela dei dati e il rispetto della vita privata.

45.      Meno chiaro è il rapporto tra la direttiva 2004/48/CE, sul rispetto dei diritti di proprietà intellettuale, e la protezione dei dati. L’art. 2, n. 3, lett. a), prevede che tale direttiva lasci impregiudicata la direttiva 95/46. La Promusicae ne deduce che la direttiva 2002/58/CE, ivi non menzionata, non si applica nel campo d’applicazione della direttiva 2004/48/CE.

46.      Tale argomento potrebbe essere compreso nel senso che la direttiva 2004/48/CE, secondo il principio lex posterior derogat legi priori, prevale sulla direttiva 2002/58/CE, ma non sulla direttiva 95/46/CE, fatta espressamente salva. A tale tesi si deve tuttavia eccepire che la direttiva 2002/58/CE, come disposto dall’art. 1, n. 2, precisa e integra la direttiva 95/46/CE. Tale funzione non viene rivendicata dalla direttiva 2004/48/CE. La tutela della proprietà intellettuale da essa offerta non dovrebbe, però, ai sensi del secondo ‘considerando’, essere d’ostacolo alla tutela dei dati personali, anche su Internet. Sarebbe tuttavia contraddittorio escludere disposizioni dettagliate e integrative che riguardano, segnatamente, la protezione dei dati in rete, una protezione espressamente non compromettibile, senza sostituirle, continuando invece a tributare rispetto a normative generali. Pare pertanto più logico allargare la riserva a favore della direttiva 95/46/CE anche alla direttiva 2002/58/CE.

47.      A sostegno di questa conclusione depone anche, circa il diritto all’informazione di cui all’art. 8, nn. 1 e 2, della direttiva 2004/48/CE, che dovrà essere qui trattato, il fatto che tale diritto, ai sensi dell’art. 8, n. 3, lett. e), si applica lasciando impregiudicate le altre disposizioni che regolano il trattamento dei dati personali. Questa ulteriore ed espressa sottolineatura della protezione dei dati non era prevista nella proposta della Commissione, ma fu integrata nella direttiva nel corso delle consultazioni del Consiglio e del Parlamento (19). La direttiva 2002/58/CE contiene proprio siffatte disposizioni e il diritto all’informazione previsto dall’art. 8 della direttiva 2004/48/CE non è tale da pregiudicarla.

48.      A titolo integrativo merita segnalare che neppure l’accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio (Accordo TRIPS) (20) esige che la direttiva 2004/48/CE prevalga sulla tutela dei dati. La Promusicae sostiene quindi giustamente che gli artt. 41 e 42 dell’accordo TRIPS richiedono una protezione efficace della proprietà intellettuale e, soprattutto, la possibilità di una tutela giurisdizionale. Il diritto all’informazione sull’identità del trasgressore, previsto dall’art. 47 TRIPS, non è, tuttavia, diretto (21). Gli Stati contraenti possono disporre l’introduzione di un siffatto diritto, ma non ne sono obbligati dal tenore dell’art. 47 (22). L’estensione dell’obbligo di informazione a terzi operato dall’art. 8 della direttiva 2004/48/CE va oltre anche a questa opzione. Tale obbligo può essere di conseguenza limitato tramite la tutela dei dati, compatibilmente con quanto disposto dall’accordo TRIPS.

49.      Tutte e tre le direttive menzionate dal giudice del rinvio sono pertanto subordinate alle direttive 95/46/CE e 2002/58/CE sulla tutela dei dati. Contrariamente a quanto dedotto da alcuni intervenienti, ciò non significa che la tutela dei dati prevalga sulle finalità di queste direttive. La tutela dei dati e tali obiettivi vanno piuttosto bilanciati in maniera proporzionata nell’ambito delle direttive sulla tutela dei dati.

C –    Sulla tutela dei dati

50.      Il diritto derivato rilevante nella fattispecie è dato dalle direttive 2002/58/CE, contenente disposizioni in materia di tutela dei dati nelle comunicazioni elettroniche, e 95/46/CE, che disciplina la tutela dei dati in generale. Dal diritto fondamentale alla tutela dei dati la Corte evince, tuttavia, importanti indicazioni su come interpretare tali disposizioni di diritto derivato.

1.      Relazione tra tutela dei dati e diritti fondamentali

51.      La tutela dei dati ha per fondamento il diritto fondamentale al rispetto della vita privata e familiare, come discende segnatamente dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (in prosieguo: la «CEDU»), siglata a Roma il 4 novembre 1950 (23). La Carta dei diritti fondamentali dell’Unione europea, proclamata a Nizza il 7 dicembre 2000 (in prosieguo: la «Carta») (24), ha confermato tale diritto fondamentale all’art. 7 e ha sottolineato, in particolare, all’art. 8, il diritto fondamentale alla protezione dei dati di carattere personale, inclusi gli importanti principi fondamentali da applicarsi a tale protezione.

52.      La comunicazione di dati personali ad un terzo arreca quindi pregiudizio al diritto al rispetto della vita privata degli interessati, quale che sia l’ulteriore utilizzazione delle informazioni così comunicate, e presenta il carattere di un’ingerenza ai sensi dell’art. 8 della CEDU (25).

53.      Una siffatta ingerenza viola l’art. 8 della CEDU, salvo quando è «prevista dalla legge» (26). L’articolo che la prevede deve essere pertanto redatto in modo sufficientemente preciso, conformemente al requisito di prevedibilità, in modo da consentire ai destinatari della legge di regolare la loro condotta (27). Il requisito della prevedibilità ha trovato particolare espressione nel diritto della tutela dei dati personali grazie al vincolo di finalità, espressamente menzionato all’art. 8, n. 2, della Carta. Il vincolo di finalità viene concretizzato dall’art. 6, n. 1, della direttiva 95/46/CE, ai sensi del quale i dati personali possono essere rilevati esclusivamente per determinate finalità univoche e legittime e non possono essere successivamente trattati in modo incompatibile con tali finalità.

54.      Inoltre, l’ingerenza nella sfera privata, ossia il trattamento di dati personali, deve rispondere al requisito di proporzionalità rispetto agli obiettivi perseguiti (28). Deve pertanto sussistere un’esigenza sociale imperativa e i provvedimenti devono essere proporzionati alla finalità legittima perseguita (29).

55.      Nella fattispecie, nell’ambito delle finalità lecite occorre tener conto dei diritti fondamentali coinvolti dei titolari dei diritti d’autore, nello specifico la tutela della proprietà e il diritto ad un’effettiva tutela giurisdizionale. Anche questi due diritti fondamentali, per giurisprudenza costante, fanno parte dei principi generali del diritto comunitario (30). Ciò è stato confermato dagli artt. 17 e 47 della Carta. L’art. 17, n. 2, della Carta sottolinea che anche la proprietà intellettuale rientra nella sfera di tutela del diritto fondamentale di proprietà (31).

56.      L’equilibrio tra i diritti fondamentali interessati deve essere definito inizialmente dal legislatore comunitario e, in fase di interpretazione del diritto comunitario, dalla Corte di giustizia. Tale equilibrio deve essere tuttavia rispettato anche dagli Stati membri nello sfruttare il margine d’azione normativa loro restante nell’ambito del recepimento delle direttive. Inoltre, alle autorità e ai giudici degli Stati membri incombe non solo interpretare il diritto nazionale conformemente alle direttive sulla tutela dei dati personali, ma anche provvedere a non fondarsi su un’interpretazione delle direttive che entri in conflitto con i principi generali del diritto comunitario e con i diritti fondamentali tutelati dall’ordinamento giuridico comunitario (32).

2.      Applicabilità delle direttive relative alla tutela dei dati personali

57.      Il diritto derivato concretizza le disposizioni in materia di diritti fondamentali relativi alla tutela dei dati e le amplia in un punto anch’esso decisivo nella fattispecie. Le direttive, infatti, non pongono l’obbligo di tutela dei dati personali solamente in capo alle autorità nazionali, ma lo estendono al contempo agli individui, sempre che, ai sensi dell’art. 3, n. 2, secondo trattino, della direttiva 95/46/CE, non si tratti di un’attività effettuata da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (33). Con ciò la Comunità realizza e concretizza un obiettivo di tutela risultante dal diritto fondamentale alla protezione dei dati (34).

58.      L’azione civile intentata da Promusicae per perseguire la violazione del diritto d’autore e il trattamento dei dati di connessione da parte di Telefónica non possono essere classificate come attività a carattere personale o domestico. Relativamente al trattamento dei dati di connessione ciò risulta anche dall’esistenza della direttiva 2002/58/CE, che non conosce l’eccezione per attività personali o domestiche, ma parte dal presupposto che il trattamento dei dati personali da parte di fornitori di servizi di comunicazione elettronica soggiace, in via di principio, al regime di tutela dei dati. Pertanto, il trasferimento di siffatti dati tra imprese private non è escluso dal campo di applicazione del regime di tutela dei dati. Di conseguenza occorre verificare se sussistono nella fattispecie gli ulteriori presupposti di applicazione del regime di tutela dei dati.

59.      La direttiva 2002/58/CE si applica, ai sensi dell’art. 3, n. 1, al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità. Tali concetti sono definiti, ai sensi dell’art. 2 della direttiva 2002/58/CE, nella direttiva 95/46/CE o 2002/21/CE (35).

60.      La fornitura dell’accesso ad Internet è un servizio di comunicazione elettronica accessibile al pubblico ai sensi dell’art. 2, lett. c), della direttiva 2002/21/CE, vale a dire un servizio fornito di norma a pagamento consistente esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettroniche.

61.      Indicare a quali utenti fossero attribuiti determinati indirizzi IP in una determinata data e ora significa fornire dati personali ai sensi dell’art. 2, lett. a), della direttiva 95/46/CE, ossia informazioni concernenti una persona fisica identificata o identificabile (36). Con l’ausilio di tali dati, le azioni eseguite utilizzando l’indirizzo IP interessato possono essere ricondotte al titolare della linea.

62.      La comunicazione di siffatti dati è espressamente riportata nell’art. 2, lett. b), della direttiva 95/46/CE, come esempio di trattamento, vale a dire di un’operazione compiuta con o senza l’ausilio di processi automatizzati.

63.      Al contempo, almeno gli indirizzi IP attribuiti temporaneamente agli utenti costituiscono dati relativi al traffico ai sensi della definizione datane dall’art. 2, lett. b), della direttiva 2002/58/CE, ossia dati sottoposti a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica.

3.      I divieti di trattamento dei dati applicabili

64.      Secondo l’art. 5, n. 1, della direttiva 2002/58/CE, la riservatezza delle comunicazioni si estende anche ai dati sul traffico risultanti dalle comunicazioni. Gli Stati membri sono, in particolare, tenuti a vietare la memorizzazione e altre forme di intercettazione o di sorveglianza dei dati sul traffico delle comunicazioni ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando tali persone siano autorizzate legalmente a norma dell’art. 15, n. 1.

65.      L’art. 6, n. 1, della direttiva 2002/58/CE precisa che, relativamente all’eventuale memorizzazione di dati sul traffico nell’ambito della gestione di reti pubbliche di comunicazione, i dati relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’art. 15, n. 1.

66.      Sia la memorizzazione sia la comunicazione dei dati sul traffico personali inerenti all’utilizzo della rete sono, pertanto, essenzialmente da vietare.

4.      Le deroghe ai divieti di trattamento dei dati

67.      Sussistono, tuttavia, anche talune deroghe a tali divieti di trattamento dei dati. Esse sono sancite dagli artt. 6 e 15 della direttiva 2002/58/CE.

a)      Deroghe ai sensi dell’art. 6, nn. 2, 3 e 5, della direttiva 2002/58/CE

68.      Le deroghe espressamente menzionate dall’art. 6, n. 1, della direttiva 2002/58/CE, ossia i nn. 2, 3 e 5 del medesimo articolo, non costituiscono un fondamento idoneo a derogare al divieto di trattamento di cui al n. 1 mediante una comunicazione alla Promusicae.

69.      L’art. 6, n. 2, della direttiva 2002/58/CE consente, in via eccezionale, di trattare tali dati sul traffico nella misura in cui e per quanto essi siano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione. Già è dubbio se tale eccezione consenta di memorizzare a chi, in un’ora e data particolari, sia stato attribuito un indirizzo IP dinamico. Il fornitore di accesso alla rete non ha generalmente bisogno di questa informazione ai fini della fatturazione dei costi. Le comuni procedure di fatturazione si basano sulla durata di connessione al fornitore di accesso alla rete, ovvero sul volume del traffico di dati generato dall’utente e a volte è addirittura previsto un utilizzo illimitato dell’accesso dietro corresponsione di un importo forfettario pattuito. Se però il trattamento dell’indirizzo IP non è necessario ai fini della fatturazione, esso non può essere neppure memorizzato a tal fine (37).

70.      Indipendentemente da ciò, l’art. 6, n. 2, non è comunque un fondamento normativo adatto a giustificare la comunicazione dei dati sul traffico a terzi intenzionati a perseguire l’utente per atti commessi utilizzando tale indirizzo IP. Siffatti provvedimenti non hanno alcuna relazione con la fatturazione dell’abbonato o il pagamento delle interconnessioni.

71.      Tanto meno risulta applicabile la deroga di cui all’art. 6, n. 3, della direttiva 2002/58/CE. Essa consente al fornitore dell’accesso di sottoporre a trattamento i dati a fini di commercializzazione dei servizi di comunicazione elettronica o di fornitura di servizi a valore aggiunto esclusivamente se l’utente dà il suo consenso.

72.      Infine, la Promusicae non può neppure invocare l’art. 6, n. 5, della direttiva 2002/58/CE, secondo cui i terzi sono autorizzati a sottoporre a trattamento i dati sul traffico sotto l’autorità del fornitore dell’accesso per determinate finalità, in particolare per la lotta contro le frodi. Il ventinovesimo ‘considerando’ precisa che per frode si intende l’uso del servizio di comunicazione elettronica senza il corrispondente pagamento. Né la Promusicae agisce sotto l’autorità della Telefónica, né la violazione dei diritti d’autore è da considerarsi una frode in tal senso.

b)      Art. 6, n. 6, della direttiva 2002/58/CE

73.      La Promusicae ritiene tuttavia che l’art. 6, n. 6, della direttiva 2002/58/CE ammetta la comunicazione e l’utilizzo dei dati sul traffico allorquando si tratti di far valere i diritti d’autore in un procedimento civile. Secondo tale disposizione, gi organismi competenti hanno facoltà di ottenere i dati relativi al traffico in base alla normativa applicabile ai fini della risoluzione delle controversie, in particolare di quelle attinenti all’interconnessione e alla fatturazione.

74.      Tale disposizione non può tuttavia giustificare la trasmissione dei dati relativi al traffico alla Promusicae già per il fatto che quest’ultima non è un organismo preposto alla risoluzione delle controversie. Non è riscontrabile alcuna ragione che giustifichi la trasmissione dei dati sul collegamento in questione neppure nell’ambito del procedimento principale tra la Promusicae e la Telefónica. La soluzione della controversia vertente sulla legittimazione e sull’obbligo, in capo alla Telefónica, di comunicare tali dati alla Promusicae non presuppone che il giudice venga a conoscenza di questi ultimi.

75.      Neppure la circostanza che la Promusicae richieda i dati sul traffico per poter intentare causa agli utenti di specie ne giustifica una trasmissione ai sensi dell’art. 6, n. 6, della direttiva 2002/58/CE.

76.      Un’interpretazione dell’art. 6, n. 6, della direttiva 2002/58/CE che consenta la comunicazione dei dati sul traffico alla potenziale controparte semplicemente in forza di un loro uso in un procedimento contenzioso sarebbe, per insufficienza di elementi a sostegno nel testo, incompatibile con il principio di prevedibilità che deve essere osservato quando si giustificano per legge ingerenze nella sfera della vita privata e nella tutela dei dati. Oltre alle eccezioni di cui all’art. 6, nn. 2, 3 e 5, chiaramente indicate e circoscritte all’art. 6, n. 1, nonché ai sensi dell’art. 15, n. 1, si introdurrebbe una deroga quasi illimitata (38). Considerato il tenore dell’art. 6, non è tuttavia concepibile che l’utente di servizi di comunicazione elettronica si debba confrontare con una siffatta deroga.

77.      Tale deroga avrebbe allo stesso tempo una portata assai estesa, fatto per cui non potrebbe essere ritenuta proporzionale alla luce delle finalità perseguite. In linea di principio, l’utente dovrebbe sempre aspettarsi, e non solamente in seguito ad una violazione dei diritti d’autore, che i suoi dati sul traffico siano trasmessi a terzi che, per un qualsivoglia motivo, vogliono intentargli causa. È da escludere che siffatte controversie si fondino in tutti i casi su un’esigenza sociale imperativa ai sensi della giurisprudenza concernente l’art. 8 CEDU (39).

78.      Da un esame delle finalità sottese alla memorizzazione dei dati sul traffico ai sensi dell’art. 6 della direttiva 2002/58/CE, emerge ancor più chiaramente la necessità di limitare la comunicazione dei dati sul traffico. Solamente le finalità sottese alla memorizzazione possono, ai sensi dell’art. 6, n. 1, lett. b), della direttiva 95/46/CE, giustificare la comunicazione dei dati. Per quanto riguarda i dati sul traffico tali finalità sono, ai sensi dell’art. 6 della direttiva 2002/58/CE, il funzionamento della rete di comunicazione elettronica, la fatturazione e, previo consenso dell’utente, la commercializzazione e la fornitura di servizi di valore aggiunto, nonché, inoltre, il trattamento sotto l’autorità del fornitore per rispondere a domande della clientela e per l’accertamento di frodi nel senso già  menzionato (40). La composizione della controversia non è una finalità autonoma della memorizzazione dei dati sul traffico, ma consente unicamente agli organismi competenti di prendere atto dei dati relativi al traffico. Può pertanto riferirsi esclusivamente a controversie connesse alle finalità della memorizzazione (41). La produzione di prove per il procedimento contenzioso con terzi non è tuttavia una finalità della memorizzazione.

79.      La comunicazione alla Promusicae dei dati sul traffico richiesti non può quindi fondarsi sull’art. 6, n. 6, della direttiva 2002/58/CE.

c)      Art. 15, n. 1, della direttiva 2002/58

80.      L’art. 15, n. 1, della direttiva 2002/58/CE consente anch’esso di limitare i diritti discendenti dall’art. 6, n. 1. Siffatta restrizione deve essere, conformemente all’art. 13, n. 1, della direttiva 95/46/CE, necessaria, opportuna e proporzionata, all’interno di una società democratica, per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, nonché per la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati o dell’uso non autorizzato del sistema di comunicazione elettronica.

81.      La Spagna ha fatto uso di questa deroga e ai fornitori di accesso alla rete ha imposto l’obbligo, all’art. 12, n. 1, della Ley 34/2002 di conservare i dati relativi al traffico e alla connessione. La comunicazione di tali dati è tuttavia circoscritta espressamente all’ambito delle indagini penali o per la tutela della pubblica sicurezza e della difesa nazionale. Dichiaratamente, i dati memorizzati non possono essere comunicati per altre finalità.

82.      Possono sorgere dubbi in merito alla compatibilità con i diritti fondamentali (42) di una prassi che comporta la memorizzazione dei dati sul traffico di tutti gli utenti, in un certo qual modo in vista di un successivo utilizzo, in particolare poiché questo accade in assenza di un reale sospetto (43). Poiché tuttavia la normativa spagnola è in ogni caso compatibile con il tenore dell’art. 15, n. 1, della direttiva 2002/58/CE, almeno ai fini del presente procedimento si può presupporre l’ammissibilità della conservazione dei dati. Un approfondimento sui diritti fondamentali alla luce dei dubbi sollevati esulerebbe dal tema del presente procedimento, il quale non riguarda la validità dell’art. 15, n. 1 (44). È possibile che tale questione possa divenire oggetto di un futuro esame in virtù della direttiva 2006/24/CE, che introduce un obbligo di diritto comunitario di conservazione dei dati (45). Qualora la Corte volesse tuttavia esaminare, quale questione preliminare, l’ammissibilità della conservazione dei dati già nel presente procedimento, sarebbe sicuramente necessario riaprire la fase orale, al fine di dare agli aventi diritto la possibilità di esprimersi ai sensi dell’art. 23 dello Statuto.

83.      Nella fattispecie si pone tuttavia essenzialmente la questione se l’art. 15, n. 1, della direttiva 2002/58/CE consenta di comunicare alla Promusicae i dati conservati richiesti. Qualora la comunicazione fosse ammissibile alla luce della disciplina della tutela dei dati, sarebbe necessario verificare se le direttive indicate dal giudice del rinvio e la proprietà, protetta in tale ambito, dei titolari dei diritti d’autore esigano che ci si avvalga di tale possibilità. In tal caso i giudici spagnoli sarebbero obbligati ad utilizzare un qualsiasi margine di interpretazione loro disponibile per consentire tale comunicazione (46).

84.      L’art. 15, n. 1, della direttiva 2002/58/CE menziona espressamente due specie di fondamenti per le deroghe, vale a dire, da un lato, nelle prime quattro alternative, la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, nonché la prevenzione, ricerca, accertamento e perseguimento dei reati e, dall’altro, conformemente alla quinta alternativa, l’uso non autorizzato del sistema di comunicazione elettronica. L’art. 15, n. 1, della direttiva 2002/58/CE, rimanda altresì all’art. 13, n. 1, della direttiva 95/46/CE, che contiene ulteriori motivi di deroga.

Art. 15, n. 1, della direttiva 2002/58/CE in combinato disposto con l’art. 13, n. 1, lett. g), della direttiva 95/46/CE

85.      Un primo fondamento per la comunicazione si potrebbe dedurre dall’art. 15, n. 1, della direttiva 2002/58/CE, in combinato disposto con l’art. 13, n. 1, lett. g), della direttiva 95/46/CE. L’art. 13, n. 1, lett. g), della direttiva 95/46/CE consente la comunicazione di dati personali qualora ciò sia necessario alla protezione dei diritti e delle libertà altrui. Diversamente dagli altri motivi di deroga dell’art. 13, n. 1, della direttiva 95/46/CE, questo motivo non viene espressamente riportato nell’art. 15, n. 1, della direttiva 2002/58/CE, sebbene l’art. 15, n. 1, della direttiva 2002/58/CE consenta, conformemente alla versione tedesca, restrizioni «ai sensi dell’art. 13, n. 1, della direttiva 95/46/CE».

86.      Se considerato isolatamente, ciò potrebbe essere inteso come un rinvio a tutti i motivi di deroga previsti dall’art. 13, n. 1, della direttiva 95/46/CE (47). Depone tuttavia in senso contrario già il fatto che l’art. 15, n. 1, della direttiva 2002/58/CE menzioni esso stesso motivi di deroga che possono costituire una restrizione «ai sensi dell’art. 13, n. 1, della direttiva 95/46/CE». Si tratta di motivi che corrispondono solo parzialmente ai motivi indicati nell’art. 13, n. 1, della direttiva 95/46/CE, e non comprendono la deroga ivi prevista alla lett. g), concernente i diritti di altre persone. I motivi menzionati all’art. 13, n. 1, della direttiva 95/46/CE valgono pertanto nel settore della comunicazione elettronica solamente nella misura in cui essi sono ripresi espressamente nell’art. 15, n. 1, della direttiva 2002/58/CE.

87.      Nelle altre versioni linguistiche tale disposizione risulta con maggiore chiarezza che nella versione tedesca. Al posto dell’equivoco «ai sensi», il rimando viene realizzato con la formulazione «come previsto dall’art. 13, n. 1, della direttiva 95/46/CE»(48). Ciò poggia su di una decisione consapevole del legislatore. Come sottolineato dalla Commissione, alla prima emanazione della disciplina, con la direttiva 97/66/CE, il Consiglio non ha rilevato interamente i motivi di deroga di cui all’art. 13, n. 1, della direttiva 95/46/CE, preferendo una disposizione che opera distinzioni, come quella presente (49).

88.      Questo risultato è corroborato anche dalla specialità dell’art. 15, n. 1, della direttiva 2002/58/CE, rispetto all’art. 13, n. 1, della direttiva 95/46/CE (50). Quest’ultimo si applica a tutti i dati personali, indipendentemente dal contesto dal quale risultano. È pertanto formulato in maniera relativamente generica, dovendo essere applicato a diverse situazioni completamente diverse (51). Il primo, invece, riguarda concretamente i dati personali risultanti dalle comunicazioni elettroniche e poggia pertanto su di una valutazione relativamente precisa di quanto una comunicazione dei dati personali sul traffico possa ledere il diritto fondamentale alla protezione dei dati.

89.      Ne consegue che la tutela dei diritti e delle libertà altrui, ai sensi dell’art. 13, n. 1, lett. g), della direttiva 95/46/CE, non è tale da giustificare la comunicazione dei dati sul traffico di natura personale.

L’uso non autorizzato dei sistemi di comunicazione elettronica

90.      La comunicazione è inoltre prevista, come quinta alternativa dell’art. 15, n. 1, della direttiva 2002/58/CE, nel caso di un uso non autorizzato dei sistemi di comunicazione elettronica.

91.      La nozione di uso non autorizzato dei sistemi di comunicazione elettronica si presta sostanzialmente a due interpretazioni relativamente ai comportamenti interessati, ossia l’uso per scopi illeciti e l’uso contrario al sistema. La violazione del diritto d’autore sarebbe sicuramente uno scopo illecito. Il sistema di comunicazione può tuttavia essere utilizzato propriamente anche in questo caso, ossia per scaricare i dati di altri elaboratori che sono connessi alla rete. A tal fine non è necessario agire manipolando il sistema di comunicazione in modo ad esso contrario. Ci si può procurare invece, ad esempio, le password per accedere ad elaboratori altrui, ovvero simulare, nei confronti dell’elaboratore altrui, una falsa identità (52).

92.      Secondo l’opinione della Commissione, l’art. 15, n. 1, della direttiva 2002/58/CE si riferirebbe ad un uso contrario al sistema, che pregiudica l’integrità o la sicurezza del sistema di comunicazione. Ciò risulterebbe anche dai lavori preparatori, in quanto il concetto è stato introdotto nel regolamento 97/66/CE per garantire il corretto utilizzo delle frequenze.

93.      Questa interpretazione restrittiva della nozione di uso non autorizzato trova corrispondenza nella riservatezza delle comunicazioni che viene tutelata dall’art. 5 della direttiva 2002/58/CE. Un uso per scopi illeciti può essere generalmente riscontrato solo sorvegliando i contenuti della comunicazione.

94.      Sebbene l’art. 15, n. 1, giustifichi anche deroghe alla riservatezza delle comunicazioni, i restanti motivi di deroga esplicitamente menzionati sarebbero superflui e la loro efficacia pratica ampiamente sminuita allorquando si volesse interpretare estensivamente il concetto di uso non autorizzato, essendo le minacce alla sicurezza nazionale e alla difesa, nonché i reati conseguenti all’uso di sistemi di comunicazione elettronica, solitamente collegati ad uno scopo illecito.

95.      Al contempo, una deroga intesa in senso lato per la comunicazione a scopi non autorizzati avrebbe un’applicazione pressoché imprevedibile e impoverirebbe alquanto il diritto alla tutela dei dati personali sul traffico.

96.      La sfera dei processi di comunicazione penalmente rilevanti è già relativamente ampia. Inoltre, la comunicazione può entrare in conflitto anche con obblighi non penalmente sanzionati, scaturiti da un determinato rapporto giuridico, quali possono essere gli obblighi derivanti dal rapporto di lavoro o i doveri nei confronti dei familiari. Potrebbe addirittura esservi la possibilità che il fornitore dei servizi di comunicazione elettronica disapprovasse l’accesso a determinati contenuti, ovvero la loro diffusione. A stento sarebbe possibile circoscrivere quali di questi rapporti giuridici siano idonei a consentire la memorizzazione e la comunicazione di dati relativi al traffico, se non addirittura dei contenuti della comunicazione. È per queste ragioni che tale motivo di delimitazione non sarebbe compatibile, se interpretato estensivamente, con l’esigenza della prevedibilità.

97.      Occorre aggiungere che un’interpretazione estensiva svuoterebbe ampiamente del suo contenuto non solo la tutela dei dati personali sul traffico, ma anche la tutela della riservatezza delle comunicazioni. Per poter verificare efficacemente se i sistemi di comunicazione elettronica sono utilizzati per scopi illeciti, sarebbe necessario memorizzare l’intera comunicazione ed elaborarla intensivamente in ordine ai contenuti. Il «cittadino di vetro» diverrebbe, con ciò, realtà.

98.      L’interpretazione della Commissione è, perciò, da preferire. Pertanto, l’uso non autorizzato di sistemi di comunicazione elettronica ricomprende esclusivamente l’uso contrario al sistema, e non l’uso per scopi illeciti.

Motivi di deroga delle prime quattro alternative previste dall’art. 15, n. 1, della direttiva 2002/58/CE

99.      A fondamento della comunicazione dei dati di connessione rimangono quindi solamente le prime quattro alternative previste dall’art. 15, n. 1, della direttiva 2002/58/CE, che sono, segnatamente, la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati e la sicurezza pubblica.

100. L’undicesimo ‘considerando’ della direttiva 2002/58/CE spiega le prime quattro alternative previste dall’art. 15, n. 1. Secondo tale ‘considerando’, la direttiva non si applica ai settori che non sono disciplinati dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’art. 15, n. 1, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, ove le attività siano connesse a questioni di sicurezza dello Stato) e l’applicazione della legge penale.

101. Come già statuito dalla Corte, si tratta, nello specifico, di attività proprie degli Stati o delle autorità statali (53). Sebbene le autorità statali possano obbligare i privati al sostegno (54), esula da tali deroghe il perseguimento dei reati da parte dei privati stessi. Già per questo le prime quattro alternative di cui all’art. 15, n. 1, della direttiva 2002/58/CE possono consentire solo la comunicazione alle autorità pubbliche e non la comunicazione diretta dei dati sul traffico alla Promusicae (55).

102. Nel presente caso è altrettanto dubbio se sia possibile una comunicazione alle autorità statali in applicazione della quarta alternativa previste dall’art. 15, n. 1, della direttiva 2002/58/CE, ossia per la prevenzione, la ricerca, l’accertamento e il perseguimento di reati. Come sostiene giustamente la Commissione, ciò presupporrebbe che le violazioni del diritto d’autore eccepite da Promusicae siano considerate allo stesso tempo un reato.

103. Il diritto comunitario non esclude la punibilità, in quanto – come risulta peraltro dall’art. 8, n. 1, della direttiva 2001/29/CE e dall’art. 16 della direttiva 2004/48/CE – compete al legislatore nazionale decidere se e in quale forma debbano essere sanzionate le violazioni del diritto d’autore. Può rendere pertanto passibile di sanzioni penali l’eventuale violazione del diritto d’autore risultante dalla condivisione di archivi (filesharing). In base alle indicazioni fornite dal giudice a quo, la punibilità di siffatte azioni in Spagna presuppone, tuttavia, l’intenzione di ricerca del profitto (56). Nessun elemento utile è stato sinora dedotto in tal senso.

104. Tra le deroghe di cui all’art. 15, n. 1, della direttiva 2002/58/CE, rientra anche la terza alternativa, vale a dire quella della sicurezza pubblica. Secondo la giurisprudenza nel campo delle libertà fondamentali, sicurezza ed ordine pubblico possono essere fatti valere solamente qualora vi sia una minaccia effettiva ed abbastanza grave per uno degli interessi fondamentali della collettività (57).

105. La tutela dei diritti d’autore è un interesse della collettività, la cui importanza è stata più volte ribadita dalla Comunità. Pertanto è possibile, anche laddove l’interesse dei titolari dei diritti sia principalmente di natura privata e non pubblica, riconoscere tale tutela come un interesse fondamentale della collettività. La condivisione illecita degli archivi rappresenta una minaccia reale per la tutela dei diritti d’autore.

106. Non è tuttavia certo che la condivisione degli archivi ad uso privato, soprattutto qualora abbia luogo senza scopo di lucro, possa recare un pregiudizio sufficientemente grave alla tutela dei diritti d’autore, tale da giustificare il ricorso a questa deroga. È infatti controverso in che misura la condivisione privata degli archivi possa recare un vero danno (58).

107. La valutazione di questo punto – ferma restando la verifica della Corte – dovrebbe essere demandata al legislatore. In particolare, quando gli Stati membri rendono passibile di sanzioni penali la violazione dei diritti d’autore derivata dalla condivisione degli archivi, essi operano una corrispondente valutazione. Tuttavia, in questo caso, è già applicabile la quarta alternativa di cui all’art. 15, n. 1, della direttiva 2002/58/CE, e non sarebbe, conseguentemente, necessario alcun richiamo alla sicurezza pubblica.

108. La punibilità sarebbe certamente un indizio importante della sufficiente gravità della minaccia alla tutela dei diritti d’autore, ma il diritto penale non è necessariamente l’unica forma con cui il legislatore può esprimere un corrispondente giudizio di valore negativo. Anzi, il legislatore può far valere questa valutazione anche prevedendo inizialmente solo la comunicazione di dati personali sul traffico ai fini di procedimenti civili, a condizione che la tutela dei dati non sia limitata all’eventuale violazione dei diritti d’autore in casi di minore importanza.

109. Tali disposizioni devono esprimere con sufficiente chiarezza, conformemente al principio della prevedibilità e al vincolo di finalità inerente al diritto sulla protezione dei dati, che la memorizzazione e la comunicazione di dati personali sul traffico sono effettuate, da parte dei fornitori di accesso alla rete, anche per tutelare il diritto d’autore. Avendo esse a fondamento la terza alternativa, prevista dall’art. 15, n. 1, della direttiva 2002/58/CE, si dovrebbe anche tenere conto del fatto che la tutela della sicurezza pubblica è di competenza delle autorità statali e che, pertanto, i dati sul traffico non possono essere comunicati ai privati titolari dei diritti senza il coinvolgimento di siffatte autorità, quali i tribunali o le autorità di vigilanza.

110. Si deve tuttavia osservare che il legislatore comunitario non ha finora deciso alcunché in merito ad una possibile riduzione della tutela dei dati personali a favore del perseguimento delle violazioni del diritto d’autore. In particolare, le direttive addotte dal giudice del rinvio mancano di rilievo, in quanto, come già menzionato (59), lasciano impregiudicata la tutela dei dati personali. Ciò vale soprattutto per il diritto di informazione di cui all’art. 8 della direttiva 2004/48/CE, il cui tenore lascia spazio anche ad un’interpretazione secondo cui sarebbe possibile svelare l’identità degli utenti della rete. Tale disposizione si applica, ai sensi dell’art. 3, lett. e), della medesima, fatte salve le altre disposizioni regolamentari che disciplinano il trattamento dei dati personali.

111. Non sarebbe quindi prevedibile evincere da tali direttive un vincolo di finalità circa la memorizzazione dei dati sul traffico ivi non espressamente sancito, come necessario alla luce del requisito della prevedibilità e dell’art. 6, n. 1, lett. b), della direttiva 95/46/CE (60). Manca peraltro una qualsiasi indicazione del coinvolgimento delle autorità statali nella comunicazione di dati personali sul traffico ai privati titolari.

112. Allo stato attuale del diritto comunitario, gli Stati membri hanno tuttavia facoltà, in applicazione della terza e quarta alternativa prevista dall’art. 15, n. 1, della direttiva 2002/58/CE, di prevedere che i dati personali sul traffico siano comunicati alle autorità statali, ai fini di consentire sia i procedimenti penali, sia i procedimenti civili intentati per violazione del diritto d’autore a causa di condivisione degli archivi. Essi non sono tuttavia tenuti a farlo.

113. Rispetto alla comunicazione diretta dei dati personali sul traffico ai titolari dei diritti violati, ciò rappresenta, nelle circostanze in esame, uno strumento più mite che è comunque capace di garantire una comunicazione adeguata rispetto alle situazioni giuridiche tutelate.

114. Il coinvolgimento delle autorità statali è meno intenso perchè tali autorità, diversamente dai soggetti privati, sono tenute a garantire il rispetto dei diritti fondamentali, nonché ad assicurare garanzie procedurali. In genere considerano inoltre anche circostanze che possono scagionare un utente accusato di aver infranto il diritto d’autore.

115. Dal fatto che un’infrazione del diritto d’autore commessa in una certa data e ora possa essere ricondotta ad un indirizzo IP non deriva necessariamente che tali azioni siano state compiute proprio dal titolare della connessione cui era stato attribuito il predetto indirizzo IP alla data e ora indicate. È invece anche possibile che la sua connessione o il suo computer siano stati utilizzati da un’altra persona, fatto che può essere successo addirittura a sua insaputa, ad esempio qualora utilizzasse una rete di radiotrasmissione wireless non sufficientemente protetta per impedire ad altri di allacciarsi in rete (61), ovvero laddove terzi si «appropriassero» del suo computer in rete.

116. I titolari dei diritti d’autore, diversamente dalle autorità statali, non avrebbero alcun interesse a considerare o chiarire siffatte circostanze.

117. Il coinvolgimento di autorità statali garantisce maggiormente anche l’adeguatezza della comunicazione dei dati personali sul traffico.

118. Il legislatore deciderà di intervenire solamente qualora sussista, a suo avviso, un giustificato sospetto di violazione giuridica. Ciò offre un ulteriore margine discrezionale. Sebbene, ai sensi dell’art. 8, n. 1, della direttiva 2001/29/CE e dell’art. 16 della direttiva 2004/48/CE, le sanzioni debbano essere efficaci, proporzionate e dissuasive, è tuttavia necessario considerare anche il peso della specifica violazione del diritto d’autore.

119. Quindi, la possibilità di comunicare dati personali sul traffico può essere circoscritta a fattispecie particolarmente gravi, per esempio ad infrazioni commesse a scopo di lucro, ossia ad un uso illecito di opere protette, tale da pregiudicare gravemente il realizzo economico del titolare del diritto. Che l’affermazione del diritto d’autore a fronte di infrazioni commesse in rete debba essere rivolta proprio agli atti gravemente pregiudizievoli risulta anche dal nono ‘considerando’ della direttiva 2004/48/CE. Il Regno Unito fa giustamente notare che, pur essendovi menzionata la distribuzione di copie pirata in Internet, essa è inserita in un contesto di criminalità organizzata.

120. I diritti fondamentali alla proprietà e all’effettiva tutela giurisdizionale non mettono in dubbio tale valutazione di adeguatezza. È pacifico che i diritti fondamentali garantiscono ai titolari dei diritti d’autore la possibilità di perseguire giudizialmente una qualsiasi violazione di tali diritti. Il caso di specie non verte tuttavia, diversamente dalla causa promossa dalla Promusicae «Moldovan e a. /Romania» (62), sull’accertamento dell’esistenza di un diritto di ricorso, bensì sui mezzi cui possono ricorrere i titolari dei diritti per provare la violazione.

121. Al riguardo, gli obblighi di tutela dello Stato non si estendono a tal punto da dover mettere a disposizione del titolare del diritto una quantità illimitata di mezzi atti a chiarire le violazioni. Anzi, non vi è nulla da eccepire se determinati diritti di accertamento restano prerogativa delle autorità statali o, addirittura, non sono nemmeno a disposizione.

5.      La direttiva 2006/24/CE

122. Anche la direttiva 2006/24/CE, nel caso di specie, non porta a conclusioni diverse. È vero che, ai sensi di tale direttiva, l’art. 15, n. 1, della direttiva 2002/58/CE non si applica ai dati conservati conformemente alla direttiva 2006/24/CE, tuttavia i dati qui controversi non sono stati memorizzati conformemente alla nuova direttiva. Come dedotto anche dalla Promusicae, la direttiva non è quindi applicabile ratione temporis.

123. Anche qualora la direttiva 2006/24/CE fosse applicabile, non ammetterebbe una comunicazione diretta dei dati personali sul traffico alla Promusicae. Secondo l’art. 1, la conservazione ha come unico scopo l’indagine, l’accertamento e il perseguimento di reati gravi. Pertanto, tali dati possono essere trasmessi, ai sensi dell’art. 4, solo alle autorità nazionali competenti.

124. Le uniche conclusioni che si possono trarre sulla direttiva 2006/24/CE ai fini del presente procedimento riguardano proprio il giudizio di valore espresso dal legislatore comunitario, che, finora, richiede solo per i gravi reati una conservazione a livello comunitario dei dati sul traffico e il loro trattamento.

6.      Conclusione relativamente alla tutela dei dati

125. Alla luce della direttiva 2002/58/CE è compatibile con il diritto comunitario, in particolare con le direttive 2000/31/CE, 2001/29/CE e 2004/48/CE, che gli Stati membri escludano la comunicazione di dati personali sul traffico ai fini dei procedimenti civili per violazione del diritto d’autore.

126. Qualora la Comunità ritenesse necessaria una tutela di più ampia portata dei titolari dei diritti d’autore, sarebbe necessario procedere ad una modifica delle disposizioni in materia di tutela dei dati personali. Tuttavia, il legislatore non ha finora compiuto questo passo. Con l’emanazione delle direttive 2000/31/CE, 2001/29/CE e 2004/48/CE ha piuttosto fatto salve le disposizioni sulla tutela dei dati personali e, finanche con l’emanazione delle direttive settoriali 2002/58/CE e 2006/24/CE, non ha ritenuto opportuno limitare la tutela dei dati personali a favore di una tutela della proprietà intellettuale.

127. La direttiva 2006/24/CE potrebbe piuttosto portare ad un rafforzamento della tutela dei dati personali prevista dal diritto comunitario con riguardo alle controversie scaturite da una violazione del diritto d’autore. Anche nei procedimenti istruttori di un processo penale si pone la questione della misura in cui sia compatibile con il diritto alla tutela dei dati personali – diritto fondamentale sancito dall’ordinamento comunitario – consentire ai titolari dei diritti lesi di prendere conoscenza dei risultati dell’istruttoria, laddove essi si fondino su un esame dei dati sul traffico memorizzati ai sensi della direttiva 2006/24/CE. Tale questione di diritto comunitario non è stata sinora trattata, poiché le direttive sulla tutela dei dati personali non si applicano ai procedimenti penali (63).

V –    Conclusione

128. Sulla base delle considerazioni sopra svolte, ritengo che la Corte debba risolvere la questione pregiudiziale dichiarando quanto segue:

È compatibile con il diritto comunitario il fatto che gli Stati membri escludano la comunicazione di dati personali sul traffico quando è richiesta ai fini dei procedimenti civili per violazione del diritto d’autore.


1 – Lingua originale: il tedesco.


2 – GU L 178, pag. 1.


3 – Trattasi della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), e della direttiva del Parlamento europeo e del Consiglio 15 dicembre 1997, 97/66/CE, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (GU 1998, L 24, pag. 1).


4 – GU L 167, pag. 10.


5 – GU L 157, pag. 45; è stata utilizzata la versione rettificata pubblicata sulla GU L 195, pag. 16.


6 – GU L 201, pag. 37.


7 – GU L 281, pag. 31.


8 – I documenti del Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali possono essere consultati all'indirizzo http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.


9 – Regolamento (CE) del Parlamento europeo e del Consiglio 18 dicembre 2000, n. 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1).


10 – GU L 105, pag. 54.


11 – Fa riferimento alla circolare 5 maggio 2006, n. 1, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003, http://www.fiscal.es/csblob/CIRCULAR%201‑2006.doc?blobcol=urldata&blobheader=application%2Fmsword&blobkey=id&blobtable=MungoBlobs&blobwhere=1109248064092&ssbinary=true, S. 37 ff., della Fiscalia General del Estado.


12 – Secondo www.dnsstuff.com.


13 – V., in merito, la comunicazione della Commissione al Consiglio e al Parlamento europeo dal titolo «Internet della prossima generazione: priorità d'azione nella migrazione verso il nuovo protocollo Internet IPv6» – COM(2002) 96.


14 – Tecnicamente sembra essere altrettanto possibile nascondere il proprio indirizzo IP. Le corrispondenti offerte sono tuttavia a pagamento e/o lente. V. l’inserimento in Wikipedia relativo a Anonymous P2P, http://en.wikipedia.org/wiki/Anonymous_p2p e ancora, senza considerare la condivisione degli archivi, il documento di lavoro WP 37 del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali del 21 novembre 2000, Privatsphäre im Internet, pag.  86 e segg.


15 – V. supra, par. 22.


16– V. sentenze 16 marzo 2006, causa C‑3/04, Poseidon Chartering (Racc. pag. I‑2505, punto 14), e 14 dicembre 2006, causa C‑217/05, Confederación Española de Empresarios de Estaciones de Servicio (Racc. pag. I‑11987, punto 17), e giurisprudenza ivi citata.


17 – Sentenze 5 ottobre 2004, cause riunite da C-397/01 a C-403/01, Pfeiffer e a. (Racc. pag. I‑8835, punto 108), e 3 maggio 2005, cause riunite C-387/02, C‑391/02 e C-403/02, Berlusconi e a. (Racc. pag. I‑3565, punto 73).


18 – V. sentenza 16 giugno 2005, causa C-105/03, Pupino (Racc. pag. I-5285, punti 31 e segg., in particolare punto 48).


19 – Si confronti l’art. 9, n. 3, lett. e) della proposta della Commissione (COM [2003] 46) con le stesse disposizioni del progetto consolidato del Consiglio del 19 dicembre 2003 (documento del Consiglio 16289/03) e con l’art. 8, n. 3, lett. e), del progetto elaborato dal Parlamento (GU 2004, C 102 E, pag. 242 e segg.), ripreso integralmente dal Consiglio.


20 – Accordo sugli aspetti dei diritti di proprietà intellettuale attinenti al commercio, di cui all’allegato 1 C dell’Accordo del 15 aprile 1994 che istituisce l’Organizzazione mondiale del commercio, approvato a nome della Comunità europea, per le materie di sua competenza, per mezzo della decisione del Consiglio 22 dicembre 1994, 94/800/CE (GU L 336, pag. 1). TRIPS è l’acronimo di Agreement on Trade-Related Aspects of Intellectual Property Rights.


21 – Art. 42, quarto comma, dell’accordo TRIPS; sebbene la disposizione, nella versione tedesca, possa essere (mal)intesa nel senso che un‘effettiva tutela giurisdizionale deve prevedere la comunicazione di informazioni riservate, essa si propone l'esatto contrario, vale a dire la protezione delle informazioni riservate nel procedimento giudiziale nei casi in cui ciò sia consentito. La formulazione è più chiara nelle lingue facenti fede (l’inglese, il francese e lo spagnolo). In questo senso anche Daniel Gervais, The TRIPS Agreement, Drafting History and Analysis, Londra 2003, pag. 291.


22 – Così anche la tesi del Consiglio e della Commissione nell’ambito della procedura di emanazione della direttiva 2004/48 (documento del Consiglio 6052/04 del 9 febbraio 2004, pag. 6 e segg.).


23 – Sentenza 20 maggio 2003, cause riunite C‑465/00, C‑138/01 e C‑139/01, Österreichischer Rundfunk e a. (Racc. pag. I‑4989, punto 73 e segg.).


24 – GU C 364, pag. 1.


25 – Sentenza Österreichischer Rundfunk e a. (cit. alla nota 20, punto 74).


26 – Sentenza Österreichischer Rundfunk e a. (cit. alla nota 20, punto 76).


27 – Sentenza Österreichischer Rundfunk e a. (cit.  alla nota 20, punto 77), richiamando la giurisprudenza della Corte europea dei diritti dell’uomo.


28 – Sentenza Österreichischer Rundfunk e a. (cit. alla nota 20, punto 80).


29 – Sentenza Österreichischer Rundfunk e a. (cit. alla nota 20, punto 83), richiamando la giurisprudenza della Corte europea dei diritti dell’uomo.


30 – V., in ordine alla proprietà le sentenze 11 luglio 1989, causa 265/87, Schräder (Racc. pag. 2237, punto 15); 28 aprile 1998, causa C‑200/96, Metronome Musik (Racc. pag. I‑1953, punto 21), e 6 dicembre 2005, cause riunite C‑453/03, C‑11/04, C‑12/04 e C‑194/04, ABNA e a. (Racc. pag. I‑10423, punto 87), nonché, in ordine ad un‘effettiva tutela giurisdizionale, le sentenze 15 maggio 1986, causa 222/84, Johnston (Racc. pag. 1651, punti 18 e 19); 15 ottobre 1987, causa 222/86, Heylens e a. (Racc. pag. 4097, punto 14); 25 luglio 2002, causa C‑50/00 P, Unión de Pequeños Agricultores/Consiglio (Racc. pag. I‑6677, punto 39), e 13 marzo 2007, causa C‑432/05, Unibet (Racc. pag. I-2271, punto 37).


31 – In tal senso, v. sentenza Metronome Musik (cit. alla nota 27, punti 21 e 26), e sentenza Corte eur. D. U. dell’11 gennnaio 2007, Anheuser‑Busch Inc./Portogallo (ricorso 73049/01, punto 72).


32 – V. sentenza 6 novembre 2003, causa C‑101/01, Lindqvist (Racc. pag. I‑12971, punto 87).


33 – V. sentenza Lindqvist (cit.  alla nota 32, punti 46 e segg.).


34 – Quanto alla riservatezza delle telecomunicazioni, la corte costituzionale federale tedesca, nelle sue sentenze del 9 ottobre 2002 (1 BvR 1611/96 e 1 BvR 805/98, BVerfGE 106, 28 [37], punto 21 della versione pubblicata su www.bundesverfassungsgericht.de) e 27 ottobre 2006 (1 BvR 1811/99, Multimedia und Recht 2007, 308, punto 13 della versione pubblicata su www.bundesverfassungsgericht.de), postula addirittura un corrispondente obbligo di tutela dello Stato. Nel presente ricorso non si deve tuttavia statuire sulla questione se gli obblighi di tutela dei dati di privati si fondino, nel diritto comunitario, anche su di un obbligo di tutela vincolante per la Comunità.


35 – Direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/21/CE, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (GU L 108, pag. 33).


36 – Nella misura in cui i proprietari degli indirizzi IP possano essere identificati a seguito della memorizzazione dell'attribuzione tramite il fornitore del servizio di accesso alla rete, si tratta in generale, già all'intercettazione dell'indirizzo IP da parte di Promusicae, di trattamento di dati personali, che deve soddisfare i presupposti della tutela dei dati personali; v. la sentenza 12 luglio 2005 della Rechtbank Utrecht, Brein (194741/KGZA 05-462, Allegato 5 della memoria di Promusicae, nn. 4.24 e segg.), il documento di lavoro WP 104 18 gennaio 2005 del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali «Datenschutzfragen im Zusammenhang mit Immaterialgüterrechten», pag. 4, nonché, nel diritto francese, le deliberazioni (Délibérations) della Commission nationale de l'informatique et des libertés (CNIL) 2005-235 del 18 ottobre 2005 e 2006-294 del 21 dicembre 2006 (per accedervi, selezionare il link http://www.legifrance.gouv.fr/WAspad/RechercheExperteCnil.jsp). Nel registro delle procedure di trattamento notificate della Agencia Española de Protección de Datos, https://www.agpd.es/index.php?idSeccion=100, si trova una corrispondente notificazione di Promusicae.


37 – V., in questo senso, il punto 2.8. del parere del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali relativamente alla memorizzazione dei dati sul traffico ai fini della fatturazione, del 29 gennaio 2003.


38 – V. le conclusioni da me presentate il 29 gennaio 2004 per la sentenza nella causa C‑350/02, Commissione/Paesi Bassi (Racc. pag. I‑6213, par. 71), in merito all'interpretazione dell'art. 6, n. 4, della direttiva 97/66.


39– V. supra, paragrafo 54.


40 – V. supra, paragrafo 72.


41 – Non è opportuno sforzare oltremodo l'interpretazione di quanto ho affermato in un contesto diverso sulla «molteplicità di forme delle controversie» nelle conclusioni Commissione/Paesi Bassi (cit. alla nota 34, par. 81).


42 – V. il parere del Garante europeo della protezione dei dati sulla proposta di direttiva del Parlamento europeo e del Consiglio sulla conservazione dei dati trattati nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico, che modifica la direttiva 2002/58/CE [COM(2005) 438 def.), GU 2005, C 298, pag. 1], nonché i pareri del gruppo per la tutela delle persone con riguardo al trattamento dei dati personali del 21 ottobre 2005, 4/2005, sulla proposta di direttiva, e del 25 marzo 2006, 3/2006, in merito alla direttiva 2006/24.


43 – La corte costituzionale federale tedesca attribuisce a siffatti interventi un alto grado d’intensità, in quanto il singolo soggetto che agisce nel rispetto delle leggi, pur non dando motivo di intervento, può sentirsi intimidito dai rischi di abuso e dalla sensazione di essere sorvegliato; v. la decisione del 4 aprile 2006 in merito alle indagini incrociate (1 BvR 518/02, Neue Juristische Wochenschrift 2006, 1939 [1944], punto 117 della versione pubblicata in www.bundesverfassungsgericht.de).


44 – V.  sentenza 11 novembre 1997, causa C‑408/95, Eurotunnel e a. (Racc. pag. I‑6315, punti 33 e segg.).


45 – È attualmente pendente la causa Irlanda/Consiglio e Parlamento (C-301/06, comunicazione in GU 2006, C 237, pag. 5). L’Irlanda chiede di annullare la direttiva 2006/24/CE in quanto fondata su un fondamento giuridico errato. Invece la causa non esamina la questione se la conservazione dei dati sia compatibile con i diritti fondamentali.


46 – V. sentenza Lindqvist (cit. alla nota 32, punto 87).


47 – Christian Cychowski sostiene in «Auskunftsansprüche gegenüber Internetzugangsprovidern “vor” dem 2. Korb und “nach” der Enforcement‑Richtlinie der EU»,Multimedia und Recht 2004, pag. 514 (pag. 517 e segg.), che il recepimento di questa deroga nell’ordinamento tedesco consentirebbe di comunicare ai titolari dei diritti d’autore violati i dati sul traffico di coloro che hanno perpetrato violazioni del diritto d’autore.


48 – La versione francese utilizza «comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE», la versione inglese «as referred to in Article 13(1) of Directive 95/46/EC» e la versione spagnola «a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE», in ciascun caso dopo un’enumerazione dei diversi motivi addotti a giustificazione.


49 – V. nota 6 della memoria della Commissione.


50 – Ulrich Sieber/Frank Michael Höfiger, «Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen», Multimedia und Recht 2004, pag. 575 (pag. 582), e Gerald Spindler/Joachim Dorschel», «Auskunftsansprüche gegen Internet-Service-Provider», Computer und Recht 2005, pag. 38 (pag. 45 segg.).


51 – V., in questo senso, la sentenza Lindqvist (cit. alla nota 32, punto 83).


52 – L’uso contrario al sistema sarebbe generalmente da rilevare anche in azioni che sono punibili come attacchi contro i sistemi di informazione ai sensi della decisione quadro 2005/222/GAI del Consiglio del 24 febbraio 2005 (GU L 69, pag. 67).


53 – Sentenza Lindqvist (cit. alla nota 32, punto 43).


54 – Sentenza 30 maggio 2006, cause riunite C‑317/04 e C-318/04, Parlamento/Consiglio e Commissione (Racc. pag. I‑4721, punto 58).


55 – Secondo quanto indicato dalla Promusicae, il risultato così ottenuto relativamente alla terza e quarta alternativa dell’art. 15, n. 1, della direttiva 2002/58 corrisponderebbe alla situazione giuridica di Francia, Italia e Belgio, paesi nei quali, stando alla Promusicae, la normativa prevede che le autorità statali competenti possano richiedere la produzione dei dati personali sul traffico. Il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, nel documento WP 104 (cit. alla nota 36, pag. 8) va addirittura oltre e limita la comunicazione dei dati alle autorità giudiziarie e penali: «Sulla base del principio di compatibilità e conformemente al principio di riservatezza sanciti nelle direttive 2002/58/CE e 95/46/CE, i dati in possesso dei fornitori d’accesso a Internet per finalità specifiche, compresa, principalmente, la prestazione di un servizio di telecomunicazione, non possono essere trasferiti a terzi come, ad esempio, i titolari di diritti, ad eccezione, in presenza di determinate circostanze previste dalla legge, dell’autorità giudiziaria in materia penale [N.d.T.: traduzione libera]».


56 – V. supra, paragrafo 28.


57 – V., ad esempio, le sentenze 29 aprile 2004, cause riunite C‑482/01 e C‑493/01, Orfanopoulos e Oliveri (Racc. pag. I‑5257, punto 66), sulla libera circolazione, e 14 marzo 2000, causa C‑54/99, Église de scientologie (Racc. pag. I‑1335, punto 17), sulla libertà di circolazione dei capitali.


58 – V. la relazione DSTI/ICCP/IE(2004)12/FINAL del 13 dicembre 2005 (http://www.oecd.org/dataoecd/13/2/34995041.pdf, pag. 76 e segg.) al gruppo di lavoro per la gestione delle informazioni dell’OCSE.


59 – V. supra, paragrafo 42 e segg.


60– V. supra, paragrafo 53.


61 – V. il documento di lavoro dell’International Working Group on Data Protection in Telecommunications del 15 aprile 2004 in merito ai potenziali rischi delle reti wireless, accessibile in inglese e tedesco all’indirizzo http://www.datenschutz-berlin.de/doc/int/iwgdpt/index.htm. Secondo Stefan Dörhöfer, Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, https://pi1-old.informatik.uni-mannheim.de:8443/pub/research/theses/diplomarbeit-2006-doerhoefer.pdf, pag. 98, al momento dell’indagine condotta in Germania il 23% circa di tutte le reti di radiotrasmissione non erano affatto protette e il 60% lo erano in modo insufficiente. Per quanto riguarda i metodi di aggressione, v. Erik Tews, Ralf-Philipp Weinmann e Andrei Pyshkin, Breaking 104 bit WEP in less than 60 seconds, http://eprint.iacr.org/2007/120.pdf.


62 – V. Corte eur. D.U., sentenza 12 luglio 2005 (ricorsi 41138/98 e 64320/01, § 118 e segg.).


63 – V. sentenza Parlamento/Consiglio e Commissione (cit. alla nota 54, punto 58).