Language of document : ECLI:EU:C:2013:845

CONCLUSIONI DELL’AVVOCATO GENERALE

PEDRO CRUZ VILLALÓN

presentate il 12 dicembre 2013 (1)

Causa C‑293/12

Digital Rights Ireland Ltd

contro

Minister for Communications, Marine and Natural Resources

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Ireland

e

The Attorney General

[domanda di pronuncia pregiudiziale proposta dalla High Court of Ireland (Irlanda)]

e

Causa C‑594/12

Kärntner Landesregierung

Michael Seitlinger

e

Christof Tschohl

Andreas Krisch

Albert Steinhauser

Jana Herwig

Sigrid Maurer

Erich Schweighofer

Hannes Tretter

Scheucher Rechtsanwalt GmbH

Maria Wittmann-Tiwald

Philipp Schmuck

Stefan Prochaska

e altri

[domanda di pronuncia pregiudiziale proposta dal Verfassungsgerichtshof (Austria)]

«Comunicazioni elettroniche – Direttiva 2006/24/CE – Conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica – Validità – Articolo 5, paragrafo 4, TUE – Proporzionalità dell’azione dell’Unione – Carta dei diritti fondamentali – Articolo 7 – Rispetto della vita privata – Articolo 8 – Protezione dei dati di carattere personale – Articolo 52, paragrafo 1 – Ingerenza – Qualità della legge – Proporzionalità delle limitazioni all’esercizio dei diritti fondamentali»





1.        Nelle cause in esame la Corte è adita due volte in via pregiudiziale di una questione vertente sulla validità della direttiva 2006/24/CE (2), che le offre l’occasione di pronunciarsi sulle condizioni alle quali è costituzionalmente possibile per l’Unione europea prevedere una limitazione all’esercizio dei diritti fondamentali nel senso particolare di cui all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (3), mediante una direttiva e i relativi provvedimenti nazionali di recepimento (4). La limitazione di cui trattasi si concretizza nell’obbligo a carico di taluni operatori economici di raccogliere e conservare, per un periodo di tempo determinato, un numero considerevole di dati generati o trattati nell’ambito delle comunicazioni elettroniche effettuate dai cittadini sull’intero territorio dell’Unione, allo scopo di garantire la disponibilità di tali dati a fini di indagine e perseguimento di gravi attività criminali e di assicurare il buon funzionamento del mercato interno. Intendo dare a tale interrogativo una risposta articolata in tre parti.

2.        In una prima parte affronterò la questione della proporzionalità della direttiva 2006/24 ai sensi dell’articolo 5, paragrafo 4, TUE. In una seconda parte verificherò se possa essere considerata soddisfatta la condizione, prevista all’articolo 52, paragrafo 1, della Carta, in base alla quale eventuali limitazioni all’esercizio dei diritti fondamentali devono essere «previste dalla legge». Infine, in una terza parte, esaminerò se la direttiva 2006/24 rispetti il principio di proporzionalità, sempre ai sensi dell’articolo 52, paragrafo 1, della Carta.

3.        Tuttavia, prima di iniziare l’esame delle tre problematiche succitate, affronterò tre aspetti che mi sembrano indispensabili per una corretta comprensione dei problemi sollevati dalle questioni pregiudiziali in tema di validità sottoposte dalla High Court (Irlanda) e dal Verfassungsgerichtshof (Austria).

I –    Contesto normativo

A –    Diritto dell’Unione

4.        Le principali disposizioni di diritto dell’Unione rilevanti ai fini dell’esame delle questioni pregiudiziali sottoposte alla Corte nell’ambito delle presenti cause sono, oltre a quelle della direttiva 2006/24, la cui validità è messa in discussione nelle due cause, e a quelle della Carta, quelle della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (5), e della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (6). Tali direttive e le loro principali disposizioni saranno illustrate nel corso delle conclusioni, allorché ciò si renderà necessario per esigenze di esposizione.

B –    Diritto nazionale

1.      Diritto irlandese (causa C‑293/12)

5.        L’articolo 29, paragrafo 4, punto 6, della Costituzione dell’Irlanda stabilisce che nessuna norma della Costituzione invalida le leggi promulgate, gli atti compiuti o le misure adottate dallo Stato, richiesti dagli obblighi derivanti dall’appartenenza all’Unione europea o alle Comunità, o impedisce di avere forza di legge alle norme promulgate, agli atti compiuti o alle misure adottate dall’Unione europea o dalle Comunità, dalle loro istituzioni o dagli organi competenti in base ai Trattati.

6.        La parte settima della legge del 2005 sulla giustizia penale (reati terroristici) [Criminal Justice (Terrorist Offences) Act 2005] (7), oggi abrogata, conteneva norme sulla conservazione dei dati relativi alle comunicazioni telefoniche. Essa imponeva ai fornitori di servizi di telefonia di conservare i dati relativi al traffico e all’ubicazione per un lasso di tempo specificato dalla legge a fini di prevenzione, accertamento, indagini o perseguimento dei reati e di protezione della sicurezza dello Stato. A tal fine, la legge del 2005 sulla giustizia penale permetteva alle autorità competenti dello Stato, segnatamente al Commissioner of the Garda Sióchána, di chiedere la divulgazione di tali dati nel rispetto di una specifica procedura e stabiliva determinate garanzie sotto forma di un procedimento di reclamo, presieduto da un ente indipendente paragiudiziario.

7.        La legge del 2011 sulle comunicazioni (conservazione dei dati) [the Communications (Retention of Data) Act 2011], adottata per recepire la direttiva 2006/24, ha abrogato la parte settima della legge del 2005 sulla giustizia penale e ha previsto un nuovo meccanismo di conservazione dei dati.

2.      Diritto austriaco (causa C‑594/12)

8.        L’articolo 1 della legge federale sulla protezione dei dati personali (8), che ha rango costituzionale, sancisce un diritto fondamentale alla protezione dei dati.

9.        La direttiva 2006/24 è stata trasposta nell’ordinamento austriaco mediante una legge federale (9) che ha introdotto un nuovo articolo 102 bis nella legge sulle telecomunicazioni del 2003 (10), il quale impone ai fornitori di servizi di comunicazione accessibili al pubblico la conservazione dei dati in esso elencati (11).

II – Fatti all’origine dei procedimenti principali

A –    Causa C‑293/12, Digital Rights Ireland

10.      La ricorrente nel procedimento principale, la Digital Rights Ireland Ltd (12), è una società a responsabilità limitata avente come scopo statutario la promozione e la protezione dei diritti civili e dei diritti dell’uomo, in particolare nel contesto delle moderne tecnologie di comunicazione.

11.      La DRI, che dichiara di essere proprietaria di un telefono cellulare, registrato il 3 giugno 2006, da essa utilizzato a partire da tale data, ha presentato un ricorso contro due ministri del governo irlandese, The Minister for Communications, Marine and Natural Resources e The Minister for Justice, Equality and Law Reform, contro il comandante della polizia irlandese (The Commissioner of the Garda Síochána), l’Irlanda e l’Attorney General dello Stato irlandese, nell’ambito del quale essa afferma, in sostanza, che le autorità irlandesi avrebbero illegalmente trattato, conservato e controllato i dati relativi alle sue comunicazioni.

12.      Essa chiede quindi, da un lato, di annullare diversi atti di diritto interno, che consentono alle autorità irlandesi di adottare provvedimenti in base ai quali i fornitori di servizi di telecomunicazioni sono tenuti a conservare i dati delle telecomunicazioni, ritenendoli incompatibili con la Costituzione irlandese e con il diritto dell’Unione. Dall’altro, essa mette in dubbio la validità della direttiva 2006/24 alla luce della Carta e/o della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (13) e invita il giudice del rinvio a sottoporre alla Corte diverse questioni pregiudiziali per la valutazione della validità della direttiva in parola.

B –    Causa C‑594/12, Seitlinger e a.

13.      Il 6 aprile 2012 il Kärtner Landesregierung, in base all’articolo 140, paragrafo 1, della legge costituzionale federale austriaca (in prosieguo: il «Bundes‑Verfassungsgesetz» (14)), ha presentato dinanzi al Verfassungsgerichtshof un ricorso per l’annullamento di numerose disposizioni del TKG 2003, in particolare del suo articolo 102 bis, nella versione risultante dalla trasposizione della direttiva 2006/24, entrata in vigore il 1° aprile 2012.

14.      Il 25 maggio 2012 il sig. Michael Seitlinger ha presentato dinanzi al Verfassungsgerichtshof un ricorso fondato sull’articolo 140, paragrafo 1, del B‑VG, lamentando l’incostituzionalità dell’articolo 102 bis del TKG 2003 nella parte in cui ledeva i suoi diritti. Egli ritiene che quest’ultima disposizione, che prevede l’obbligo per il suo operatore di rete di comunicazione di conservare dati senza ragione, senza necessità tecnica né esigenze di fatturazione e contro la sua volontà, integri in particolare una violazione dell’articolo 8 della Carta.

15.      Infine, il 15 giugno 2012 il Verfassungsgerichtshof è stato investito di un altro ricorso sulla base dell’articolo 140 del B‑VG, a firma di 11 130 ricorrenti i quali sostenevano che l’incostituzionalità dell’obbligo di conservare i dati indicati, dettato all’articolo 102 bis del TKG 2003, violava i loro diritti e segnatamente l’articolo 8 della Carta.

III – Questioni pregiudiziali e procedimento dinanzi alla Corte

A –    Nella causa C‑293/12, Digital Rights Ireland

16.      Nella causa C‑293/12, la High Court sottopone alla Corte le seguenti questioni pregiudiziali:

«1)      Se la limitazione dei diritti della ricorrente [nel procedimento principale] in relazione all’utilizzo della telefonia mobile, derivante dalle disposizioni degli articoli 3, 4 e 6 della direttiva 2006/24/CE sia incompatibile con l’articolo 5, paragrafo 4, TUE in quanto non proporzionata, non necessaria o non adeguata per il perseguimento dei seguenti obiettivi legittimi:

a)      garantire la disponibilità di determinati dati a fini di indagine, accertamento e perseguimento di reati gravi

e/o

b)      garantire il corretto funzionamento del mercato interno dell’Unione europea.

2)      In particolare,

i)      se la direttiva 2006/24/CE sia compatibile con il diritto dei cittadini di circolare e soggiornare liberamente nel territorio degli Stati membri sancito dall’articolo 21 TFUE;

ii)      se la direttiva 2006/24/CE sia compatibile con il diritto al rispetto della vita privata sancito dall’articolo 7 della [Carta] e dall’articolo 8 della [CEDU];

iii)      se la direttiva 2006/24/CE sia compatibile con il diritto alla protezione dei dati di carattere personale sancito all’articolo 8 della Carta;

iv)      se la direttiva 2006/24/CE sia compatibile con il diritto alla libertà di espressione sancito dall’articolo 11 della Carta e dall’articolo 10 della CEDU;

v)      se la direttiva 2006/24/CE sia compatibile con il diritto ad una buona amministrazione contemplato dall’articolo 41 della Carta.

3)      In che misura i Trattati – e, in particolare, il principio di leale collaborazione di cui all’articolo 4, paragrafo 3, TUE – impongano al giudice nazionale di esaminare e valutare la compatibilità delle misure nazionali volte a trasporre la direttiva 2006/24/CE con le garanzie previste dalla Carta, ivi compreso il suo articolo 7 (come ispirato dall’articolo 8 della CEDU)».

B –    Nella causa C‑594/12, Seitlinger e a.

17.      Nella causa C‑594/12, il Verfassungsgerichtshof sottopone alla Corte le questioni pregiudiziali seguenti:

«1)      Sulla validità degli atti delle istituzioni dell’Unione

Se gli articoli da 3 a 9 della direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE siano compatibili con gli articoli 7, 8 e 11 della [Carta].

2)      Sull’interpretazione dei Trattati

2.1      Se, alla luce delle spiegazioni relative all’articolo 8 della Carta che, a norma dell’articolo 52, paragrafo 7, della stessa, sono state elaborate al fine di fornire orientamenti per l’interpretazione della Carta stessa e di cui il Verfassungsgerichtshof deve tenere debito conto, la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati [GU 2001, L 8, pag. 1] debbano essere considerati equivalenti alle condizioni stabilite dall’articolo 8, paragrafo 2, e dall’articolo 52, paragrafo 1, della Carta per valutare l’ammissibilità delle ingerenze.

2.2      Quale sia il rapporto tra il “diritto dell’Unione”, menzionato nell’articolo 52, paragrafo 3, ultima frase, della Carta, e le direttive in materia di protezione dei dati.

2.3      Se, dato che la direttiva 95/46/CE e il regolamento (CE) n. 45/2001 pongono condizioni e limiti all’esercizio del diritto fondamentale alla protezione dei dati sancito dalla Carta, nell’interpretare l’articolo 8 della Carta occorra tener conto dei cambiamenti derivanti dalle norme successive di diritto derivato.

2.4      Se, in considerazione dell’articolo 52, paragrafo 4, della Carta, dal principio della salvaguardia di livelli di protezione più elevati, di cui all’articolo 53 della Carta, discenda che i limiti che la Carta stessa pone alle restrizioni che il diritto derivato può legittimamente apportare debbano essere applicati in base a criteri più rigorosi.

2.5      Se, tenuto conto dell’articolo 52, paragrafo 3, della Carta, del quinto comma del preambolo e delle spiegazioni relative all’articolo 7 della Carta, secondo cui i diritti garantiti da tale articolo corrispondono a quelli garantiti dall’articolo 8 della CEDU, la giurisprudenza della Corte europea dei diritti dell’uomo relativa all’articolo 8 della CEDU possa fornire indicazioni interpretative rilevanti ai fini dell’interpretazione di quest’ultimo articolo».

C –    Procedimento dinanzi alla Corte

18.      Nella causa C‑293/12 hanno presentato osservazioni scritte la Irish Human Rights Commission (15), i governi irlandese, francese, italiano, polacco e del Regno Unito, nonché il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea.

19.      Nella causa C‑594/12 hanno presentato osservazioni scritte i sig.ri Seitlinger e Tschohl, i governi spagnolo, francese, austriaco e portoghese, nonché il Parlamento, il Consiglio e la Commissione.

20.      Le due cause sono state riunite ai fini della fase orale del procedimento e della sentenza con decisione del presidente della Corte del 6 giugno 2013.

21.      In previsione di un’udienza congiunta per le due cause, la Corte, in applicazione dell’articolo 61 del suo regolamento di procedura, ha invitato le parti che intendevano comparire ad accordarsi sulle rispettive posizioni e a incentrare le loro osservazioni sulla compatibilità della direttiva 2006/24 con gli articoli 7 e 8 della Carta e a rispondere a taluni quesiti. Essa ha peraltro invitato il garante europeo della protezione dei dati (16) a fornire informazioni ai sensi dell’articolo 24, secondo comma, dello Statuto della Corte di giustizia.

22.      La DRI e la IHRC (causa C‑293/12), i sig.ri Seitlinger e Tschohl (causa C‑594/12), al pari dei governi irlandese, spagnolo, italiano, austriaco, del Regno Unito, nonché il Parlamento, il Consiglio e la Commissione hanno presentato le loro osservazioni orali nel corso dell’udienza pubblica congiunta tenutasi il 9 luglio 2013.

IV – Sulla ricevibilità

23.      Nelle loro osservazioni scritte nella causa C‑293/12, il Parlamento, il Consiglio e la Commissione sostengono essenzialmente che la High Court non ha esposto sufficientemente le ragioni che la inducono a dubitare della validità della direttiva 2006/24, in particolare alla luce dell’articolo 21 TFUE e degli articoli 11 e 41 della Carta. Le imprecisioni della domanda pregiudiziale della High Court così rilevate non possono tuttavia indurre la Corte a respingerla in quanto irricevibile.

V –    Nel merito

24.      Le diverse questioni pregiudiziali sottoposte dalla High Court nella causa C‑293/12 e dal Verfassungsgerichtshof nella causa C‑594/12 sollevano quattro serie di interrogativi.

25.      La prima serie, costituita dalla prima questione nella causa C‑293/12, verte sulla validità della direttiva 2006/24 tenuto conto dell’articolo 5, paragrafo 4, TUE. La High Court si chiede infatti, precisamente, se la direttiva 2006/24 sia, in termini generali, proporzionata ai sensi di tale disposizione, vale a dire se essa sia necessaria e adeguata a conseguire gli obiettivi che essa persegue, che consistono nel permettere che taluni dati siano disponibili per fini di indagine, accertamento e perseguimento di reati gravi e/o nel garantire il buon funzionamento del mercato interno.

26.      La seconda serie, che si compone della seconda questione nella causa C‑293/12 e della prima questione nella causa C‑594/12, verte sulla compatibilità di numerose disposizioni della direttiva 2006/24 con svariate disposizioni della Carta, principalmente con il suo articolo 7, sul diritto al rispetto della vita privata, e con il suo articolo 8, sul diritto alla protezione dei dati di carattere personale, e, più in generale, sulla proporzionalità delle misure da essa imposte, ai sensi dell’articolo 52, paragrafo 1, della Carta. Tale questione di validità rappresenta indubbiamente l’aspetto centrale delle problematiche sollevate dalle cause di cui trattasi.

27.      La seconda questione posta dal Verfassungsgerichtshof nella causa C‑594/12 solleva una terza serie di interrogativi vertenti sull’interpretazione delle disposizioni generali della Carta che disciplinano la sua interpretazione e la sua applicazione, nel caso di specie quelle di cui ai suoi articoli 52, paragrafi 3, 4 e 7, e 53. Più precisamente, il Verfassungsgerichtshof s’interroga essenzialmente sui rapporti che intercorrono tra, da un lato, l’articolo 8 della Carta, che sancisce il diritto alla protezione dei dati personali, e, dall’altro, in primo luogo, le norme della direttiva 95/46 e del regolamento n. 45/2001 in relazione all’articolo 52, paragrafi 1 e 3, della Carta (questioni 2.1, 2.2, 2.3), in secondo luogo, le tradizioni costituzionali degli Stati membri (questione 2.4) in relazione all’articolo 52, paragrafo 4, della Carta, e, in terzo luogo, le norme della CEDU e in particolare il suo articolo 8 in relazione all’articolo 52, paragrafo 3, della Carta (questione 2.5).

28.      Infine, con la sua terza questione pregiudiziale nella causa C‑293/12, che pone la quarta e ultima serie di interrogativi, la High Court chiede alla Corte di pronunciarsi sull’interpretazione dell’articolo 4, paragrafo 3, TUE, e più in particolare sulla questione se i giudici nazionali siano tenuti, per dovere di leale cooperazione, a esaminare e valutare la compatibilità delle disposizioni nazionali di trasposizione della direttiva 2006/24 con le norme della Carta, in particolare con l’articolo 7 di quest’ultima.

29.      Preciso fin da subito che il mio esame riguarderà essenzialmente le prime due serie di interrogativi e che, alla luce della risposta che verrà data ad esse, non sarà necessario rispondere in modo specifico alle ultime due serie. Prima di affrontare tali interrogativi, occorre tuttavia formulare un certo numero di precisazioni preliminari.

A –    Osservazioni preliminari

30.      Per poter rispondere pienamente ai diversi interrogativi sollevati dai giudici del rinvio, occorre richiamare l’attenzione su tre elementi che contribuiscono in modo determinante a tracciare il profilo delle presenti cause, vale a dire, in primo luogo, la specificità della direttiva 2006/24 dal punto di vista funzionale, in secondo luogo, la qualificazione dell’ingerenza nei diritti fondamentali qui considerata, e infine, in terzo luogo, l’incidenza sulle presenti cause della sentenza del 10 febbraio 2009, Irlanda/Parlamento e Consiglio (17), con la quale la Corte ha respinto il ricorso di annullamento proposto contro detta direttiva in ragione dell’asserito fondamento normativo errato.

1.      Sul «dualismo funzionale» della direttiva 2006/24 e sul suo rapporto con la direttiva 95/46 e con la direttiva 2002/58

31.      È opportuno anzitutto collocare la direttiva 2006/24 nel suo contesto, ricordando brevemente il quadro normativo nel quale essa si inserisce, rappresentato principalmente dalla direttiva 95/46, da un lato, e dalla direttiva 2002/58, dall’altro.

32.      Oggetto della direttiva 95/46, che, come la direttiva 2006/24, si fonda sull’articolo 114 TFUE, è l’imposizione agli Stati membri dell’obbligo di garantire il diritto alla vita privata delle persone fisiche con riguardo al trattamento dei dati personali (18) per consentire la libera circolazione di tali dati tra gli Stati membri (19). A tal fine, essa fissa in particolare tutta una serie di regole che definiscono le condizioni di liceità dei trattamenti di dati personali, precisando i diritti delle persone i cui dati sono raccolti e trattati, segnatamente il diritto all’informazione (20), il diritto di accesso (21), il diritto di opposizione (22) e il diritto di ricorso (23), e garantiscono la riservatezza e la sicurezza dei trattamenti.

33.      Il regime di protezione istituito dalla direttiva 95/46 prevede deroghe e restrizioni definite al suo articolo 13. La portata degli obblighi e dei diritti che essa prevede in relazione alla qualità dei dati (articolo 6, paragrafo 1), alla trasparenza dei trattamenti (articoli 10 e 11, paragrafo 1), ai diritti di accesso delle persone i cui dati sono oggetto di trattamento (articolo 12) e alla pubblicità dei trattamenti (articolo 21), può essere limitata mediante disposizioni legislative qualora ciò sia necessario alla salvaguardia, in particolare, della sicurezza dello Stato, della difesa, della pubblica sicurezza o della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali.

34.      La direttiva 2002/58, che abroga e sostituisce la direttiva 97/66/CE (24), precisa e integra (25) il regime di protezione dei dati personali istituito dalla direttiva 95/46 attraverso regole specifiche applicabili al settore delle comunicazioni elettroniche (26). Essa comprende in particolare regole che impongono agli Stati membri di garantire, salvo eccezioni (27), la riservatezza non soltanto delle comunicazioni ma anche dei dati relativi al traffico degli abbonati e degli utenti di servizi di comunicazione elettronica (28). Il suo articolo 6 prevede l’obbligo per i fornitori dei servizi di comunicazione elettronica di cancellare o rendere anonimi i dati sul traffico relativi ai loro abbonati e utenti da essi trattati e memorizzati.

35.      Particolarmente importante per le considerazioni che saranno svolte nel prosieguo, l’articolo 15, paragrafo 1, della direttiva 2002/58 prevede altresì che gli Stati membri possono (29) adottare disposizioni legislative volte a limitare i diritti e gli obblighi da essa previsti per quanto attiene segnatamente alla riservatezza delle comunicazioni (articolo 5) e alla cancellazione dei dati sul traffico (articolo 6) alle stesse condizioni dell’articolo 13, paragrafo 1, della direttiva 95/46, cui esso rinvia. Esso precisa che a tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi ivi enunciati e nel rispetto dei diritti fondamentali.

36.      La direttiva 2006/24 modifica, in realtà, in modo profondo lo stato del diritto applicabile ai dati attinenti alle comunicazioni elettroniche risultante dalle direttive 95/46 e 2002/58 (30), prevedendo che gli Stati membri introducano un obbligo di raccolta e conservazione dei dati sul traffico e sull’ubicazione che si inserisce nel quadro delle restrizioni al diritto alla protezione dei dati personali previste dagli articoli 13, paragrafo 1, della direttiva 95/46 e 15, paragrafo 1, della direttiva 2002/58.

37.      La direttiva 2006/24 si caratterizza anzitutto per il suo obiettivo di armonizzazione, specificamente delle normative degli Stati membri in materia di conservazione dei dati sul traffico e sull’ubicazione relativi alle comunicazioni elettroniche. Orbene, alla luce della materia da armonizzare e della situazione, tale obiettivo richiede di imporre simultaneamente, agli Stati membri che non dispongano di una normativa siffatta, un obbligo di raccolta e di conservazione dei dati di cui trattasi. Ne consegue che la direttiva 2006/24 presenta una duplice funzione di cui è fondamentale tener conto per affrontare correttamente il problema sollevato dalle presenti questioni pregiudiziali.

38.      La direttiva 2006/24 ha infatti come primo obiettivo quello di armonizzare le normative nazionali che già impongano ai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione (31) obblighi di conservazione dei dati sul traffico e sull’ubicazione da essa definiti, per garantire la loro disponibilità «a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale» (32). Così facendo, la direttiva 2006/24 armonizza quindi in parte le normative adottate da taluni Stati membri sulla base della facoltà offerta dall’articolo 15, paragrafo 1, della direttiva 2002/58 (33).

39.      La direttiva 2006/24 introduce così un regime che deroga (34) ai principi stabiliti dalle direttive 95/46 e 2002/58. Essa deroga, per essere del tutto precisi, alle norme derogatorie previste dall’articolo 15, paragrafo 1, della direttiva 2002/58, che disciplinano la facoltà per gli Stati membri di limitare, per i motivi indicati all’articolo 13, paragrafo 1, della direttiva 95/46, la portata del diritto alla protezione dei dati personali e, più in generale, del diritto al rispetto della vita privata nell’ambito specifico della fornitura di servizi di comunicazione elettronica o di reti pubbliche di comunicazione.

40.      Inoltre l’articolo 11 della direttiva 2006/24 inserisce, in modo significativo, un paragrafo 1 bis all’articolo 15 della direttiva 2002/58, che precisa che il paragrafo 1 di quest’ultima disposizione non si applica ai dati di cui è specificamente prevista dalla direttiva 2006/24 la conservazione.

41.      Come osservato dalla Corte nella sentenza Irlanda/Parlamento e Consiglio, la direttiva 2006/24 ha essenzialmente come oggetto le attività dei fornitori di servizi di comunicazione elettronica (35), armonizzando le normative nazionali mediante disposizioni essenzialmente limitate (36) alla conservazione dei dati, alle categorie di dati da conservare, al periodo di conservazione, alla protezione e alla sicurezza dei dati nonché al loro immagazzinamento (37).

42.      È proprio in ragione di tale funzione di armonizzazione limitata, come si vedrà nel prosieguo, che la Corte ha potuto dichiarare, nella sentenza Irlanda/Parlamento e Consiglio, che la direttiva 2006/24 poteva essere adottata sul fondamento dell’articolo 95 CE. Si trattava, nell’ottica di proteggere il buon funzionamento del mercato interno (38), di porre fine allo sviluppo eterogeneo delle normative esistenti (39), e di impedirlo per il futuro (40).

43.      Orbene, in concreto l’armonizzazione prevista dalla direttiva 2006/24 è stata realizzata attraverso l’introduzione di un obbligo di raccolta e di conservazione dei dati gravante sui fornitori di servizi di comunicazione elettronica, quantomeno per gli Stati membri che non disponevano di alcuna normativa al riguardo, obbligo che imponeva in particolare la durata minima e massima del periodo durante il quale i dati devono essere conservati.

44.      A tal proposito, si può sottolineare che proprio il fatto che un certo numero di Stati membri non si fosse ancora dotato di una normativa in materia di conservazione dei dati costituiva uno dei principali elementi atti a giustificare l’adozione della direttiva 2006/24 sul fondamento dell’articolo 95 CE (41).

45.      Di conseguenza, la direttiva 2006/24 stabilisce, nel quadro del suo obiettivo di armonizzazione, l’obbligo per gli Stati membri di conformare il regime esistente alle disposizioni della direttiva 2006/24 oppure di attuare, entro un certo termine, il regime di raccolta e di conservazione previsto dalla direttiva 2006/24 nonché, in ogni caso, l’obbligo di vigilare sul rispetto delle norme della stessa direttiva, in particolare di quelle che disciplinano le condizioni e le modalità di accesso ai dati conservati.

46.      In sintesi, la direttiva 2006/24 si caratterizza per la sua duplice funzione. Si tratta, da una parte, di una classica direttiva che mira ad armonizzare (42) le legislazioni nazionali divergenti (43) o che possono diventare tali, adottata nell’interesse del funzionamento del mercato interno e precisamente concepita per tale scopo, come ha stabilito la Corte nella sentenza Irlanda/Parlamento e Consiglio. Dall’altra, essa è altresì una direttiva che, anche nella sua funzione armonizzatrice, cerca di stabilire (44), se del caso, obblighi, in particolare di conservazione dei dati, che integrano, come mostrerò nel prosieguo, gravi ingerenze nel godimento dei diritti fondamentali garantiti ai cittadini europei dalla Carta, soprattutto del diritto al rispetto della vita privata e del diritto alla protezione dei dati personali.

47.      Infine, è evidente che le risposte alle presenti questioni pregiudiziali devono tener conto in particolare di tale «seconda funzione», vale a dire quella che definirei «costitutiva» dell’obbligo di conservazione dei dati, senza che per questo si debba ignorare il suo effetto specificamente armonizzatore delle normative nazionali esistenti in materia.

2.      Sul diritto fondamentale principalmente interessato e sulla qualificazione dell’ingerenza

48.      Occorre in secondo luogo affrontare, già in questa fase, la questione della qualificazione dell’ingerenza nell’esercizio dei diritti fondamentali derivante dalla raccolta e dalla conservazione dei dati previste dalla direttiva 2006/24, una volta riconosciuto che l’esistenza stessa di siffatta ingerenza non è oggetto di discussione. Identificherò anzitutto il diritto fondamentale principalmente colpito dalla direttiva 2006/24, per poi procedere alla qualificazione dell’ingerenza nell’esercizio di detto diritto che essa rappresenta.

a)      Sui diritti fondamentali lesi

i)      La pluralità dei diritti fondamentali invocati

49.      La High Court, nella causa C‑293/12, e il Verfassungsgerichtshof, nella causa C‑594/12, chiedono alla Corte di pronunciarsi sulla compatibilità della direttiva 2006/24 con vari diritti fondamentali, anzitutto con il diritto al rispetto della vita privata, garantito dall’articolo 7 della Carta, e con il diritto alla protezione dei dati personali, sancito dall’articolo 8 della Carta, ma anche con il diritto alla libertà di espressione, garantito dall’articolo 11 della Carta.

50.      La High Court chiede inoltre alla Corte chiarimenti circa la compatibilità della direttiva 2006/24 con l’articolo 21 TFUE, sul diritto di circolazione e di soggiorno dei cittadini europei, e con l’articolo 41 della Carta, che sancisce il diritto a una buona amministrazione.

51.      A tale riguardo, è possibile procedere ad una prima semplificazione.

52.      Anzitutto, non si può di certo ignorare che la sensazione diffusa di controllo (45) che può ingenerare l’attuazione della direttiva 2006/24, è idonea a influenzare in modo decisivo l’esercizio, da parte dei cittadini europei, della loro libertà di espressione e d’informazione e che deve pertanto essere constatata anche l’esistenza di un’ingerenza nel diritto garantito dall’articolo 11 della Carta (46). Si può tuttavia osservare, oltre al fatto che la Corte non dispone di elementi sufficienti per pronunciarsi a tal proposito, che tale effetto rappresenterebbe soltanto una conseguenza secondaria di un’ingerenza nel diritto al rispetto della vita privata che è oggetto, nel prosieguo, di un esame molto attento e circostanziato.

53.      Peraltro, la High Court non fornisce nessuna spiegazione circa le ragioni per cui essa ritiene pertinente la scelta dell’articolo 21 TFUE (diritto di soggiorno e di circolazione dei cittadini europei) e dell’articolo 41 della Carta (diritto a una buona amministrazione) ai fini della valutazione della validità della direttiva 2006/24, né alcuna indicazione circa l’incidenza che la suddetta direttiva potrebbe avere sulla libera circolazione dei cittadini o sul principio di buona amministrazione, nonostante i requisiti oramai previsti dall’articolo 94 del regolamento di procedura della Corte. La Corte quindi non dispone neppure di elementi che le permettano di pronunciarsi a tal riguardo.

54.      In linea di principio, la compatibilità della direttiva 2006/24 dovrebbe quindi essere esaminata principalmente alla luce degli articoli 7 e 8 della Carta.

ii)    La coppia formata dal diritto al rispetto della vita privata e dal diritto alla protezione dei dati di carattere personale

55.      L’articolo 8 della Carta sancisce il diritto alla protezione dei dati di carattere personale come diritto distinto dal diritto al rispetto della vita privata. Pur se la protezione dei dati è volta a garantire il rispetto della vita privata, essa è soprattutto soggetta a un regime autonomo definito principalmente dalla direttiva 95/46, dalla direttiva 2002/58, dal regolamento n. 45/2001 e dalla direttiva 2006/24, nonché, nell’ambito della cooperazione giudiziaria e di polizia in materia penale, dalla decisione quadro 2008/977/GAI (47).

56.      La direttiva 2006/24/CE incide notevolmente sul diritto alla protezione dei dati personali, in quanto il suo articolo 5 stabilisce l’obbligo per gli Stati membri di provvedere affinché siano conservati dati che permettono o possono permettere di identificare una persona (48), tanto all’origine quanto a destinazione di una comunicazione, nonché la sua collocazione nello spazio e nel tempo, e ciò mediante riferimento al suo numero di telefono, per la telefonia, o al suo numero di identificazione o a ogni altro elemento di identificazione che le sia proprio, quale un indirizzo IP, per i servizi Internet.

57.      L’articolo 1, paragrafo 2, della direttiva 2006/24 indica inoltre espressamente che essa si applica in particolare ai dati necessari per identificare gli abbonati o gli utenti registrati dei servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione. Questi dati rientrano così tra quelli la cui divulgazione è subordinata all’esplicita autorizzazione di ciascun individuo, nella sfera del «diritto all’autodeterminazione informativa» (49).

58.      La direttiva 2006/24 appare, a prima vista, come un’ingerenza nel diritto alla protezione dei dati personali rientrando chiaramente nelle previsioni dell’articolo 8, paragrafi 2 e 3, della Carta. Essa precisa, infatti, che ai dati conservati conformemente alle sue disposizioni sono pienamente applicabili tanto le direttive 95/46 e 2002/58 (50) quanto la convenzione del Consiglio d’Europa del 1981 sulla protezione delle persone per quanto riguarda l’elaborazione automatica dei dati a carattere personale (51).

59.      Per le ragioni che mi accingo a spiegare, ciò che richiede la maggiore vigilanza non è tuttavia il trattamento dei dati conservati, si tratti delle modalità di raccolta dei dati da parte dei fornitori di servizi di comunicazione elettronica o delle modalità di impiego dei dati da parte delle autorità competenti autorizzate dagli Stati membri, quanto piuttosto la raccolta e la conservazione stesse dei dati di cui trattasi e il loro impatto sul diritto al rispetto della vita privata.

60.      Anzitutto, il fatto che la direttiva 2006/24 possa rispondere esattamente ai requisiti di cui all’articolo 8, paragrafi 2 e 3, della Carta e che la si possa ritenere non incompatibile con l’articolo 8 della Carta, non comporta affatto, tuttavia, che essa sia perfettamente compatibile con i requisiti derivanti dal diritto al rispetto della vita privata garantito dall’articolo 7 della Carta.

61.      Posto che la «sfera privata» costituisce il nocciolo della «sfera personale», non si può infatti escludere che una normativa che restringe il diritto alla protezione dei dati di carattere personale in conformità dell’articolo 8 della Carta possa nondimeno essere considerata come recante una lesione sproporzionata dell’articolo 7 della Carta.

62.      È ben vero che il diritto alla protezione dei dati di carattere personale si fonda sul diritto fondamentale al rispetto della vita privata (52), cosicché, come la Corte ha avuto occasione di sottolineare (53), gli articoli 7 e 8 della Carta sono strettamente legati (54) al punto da poter essere considerati come integranti un «diritto alla vita privata con riguardo al trattamento dei dati personali» (55).

63.      Non si può tuttavia procedere sistematicamente in tal senso. Il legame che unisce tali due diritti dipende essenzialmente dalla natura dei dati considerati, anche se si tratta sempre di dati personali, vale a dire di dati che si riferiscono alla persona, all’individuo.

64.      Esistono infatti dati che sono personali in quanto tali, cioè in quanto essi individuano una persona, come possono essere quelli che, per fare un esempio qualsiasi, potevano comparire in passato su un lasciapassare. Si tratta di dati dotati di una certa permanenza e spesso anche di un certo carattere neutro. Essi sono personali e nulla più, e, in generale, si può dire che sono quelli per i quali la struttura e le garanzie dell’articolo 8 della Carta sono le più adeguate.

65.      Esistono tuttavia dati che sono, in un certo qual modo, più che personali. Si tratta dei dati che, sotto il profilo qualitativo, si riferiscono essenzialmente alla vita privata, alla riservatezza della vita privata, compresa la sfera intima. In tali casi, infatti, le problematiche sollevate dai dati personali iniziano, per così dire, già «a monte». La questione che quindi si pone non è ancora quella delle garanzie afferenti al trattamento dei dati, ma più a monte, quella dei dati in quanto tali, vale a dire il fatto che le circostanze della vita privata di una persona abbiano potuto cristallizzarsi in forma di dati, ossia in una forma che può essere assoggettata a trattamento informatico.

66.      È in quest’ottica che si può affermare che, quando si tratta di siffatti dati, essi sollevano un problema che è essenzialmente previo a quello del loro trattamento, rientrando in primo luogo nell’ambito della vita privata garantita dall’articolo 7 della Carta e solo secondariamente nelle garanzie previste per il trattamento dei dati personali di cui all’articolo 8 della Carta.

67.      Come emerge dalle considerazioni che precedono, «posizionando» in modo corretto i diritti fondamentali che formano la coppia costituita dal diritto al rispetto della vita privata (articolo 7 della Carta) e dal diritto alla protezione dei dati di carattere personale (articolo 8 della Carta), la validità della direttiva 2006/24 deve essere valutata principalmente sotto il profilo dell’ingerenza nel diritto al rispetto della vita privata.

b)      Un’ingerenza particolarmente grave nel diritto al rispetto della vita privata

68.      Per iniziare, non vi è alcun dubbio che la direttiva 2006/24 costituisca di per sé un’«ingerenza» nel diritto al rispetto della vita privata (56). Essa stessa lo riconosce, definendosi uno «strumento concernente la conservazione dei dati» che costituisce una misura necessaria «in conformità dei requisiti dell’articolo 8 della CEDU» (57) o dell’articolo 7 della Carta. Peraltro, la Corte utilizza questa espressione in relazione alla direttiva di cui trattasi (58).

69.      La Corte europea dei diritti dell’uomo ha, da parte sua, ripetutamente dichiarato che la memorizzazione da parte di un’autorità pubblica di dati attinenti alla vita privata di un individuo rappresentava un’ingerenza nel diritto al rispetto della sua vita privata garantito dall’articolo 8, paragrafo 1, della CEDU (59), precisando che era scarsamente rilevante l’utilizzo che ne veniva fatto (60).

70.      La questione che qui si pone quindi è di cercare di qualificare tale ingerenza. A tal proposito, e come illustrerò più dettagliatamente nel prosieguo, è possibile sostenere che la direttiva 2006/24 costituisce un’ingerenza particolarmente grave (61) nel diritto al rispetto della vita privata.

71.      È ben vero che la direttiva 2006/24 esclude dal suo campo di applicazione, in modo tanto esplicito quanto insistente (62), il contenuto delle comunicazioni telefoniche o elettroniche, le informazioni comunicate in sé.

72.      Resta il fatto, tuttavia, che la raccolta (63) e soprattutto la conservazione (64), all’interno di gigantesche banche dati, di molteplici dati generati o trattati nell’ambito della maggior parte delle usuali comunicazioni elettroniche tra i cittadini dell’Unione (65), costituisce una grave ingerenza nella loro vita privata, anche quando si limiti a creare le condizioni per un possibile controllo ex post delle loro attività personali e professionali. La raccolta di tali dati crea le condizioni per un controllo che, seppur esercitato soltanto a posteriori in occasione del loro impiego, minaccia tuttavia in modo permanente, per tutto il periodo della loro conservazione, il diritto dei cittadini dell’Unione alla riservatezza della loro vita privata. La diffusa sensazione di controllo (66) così generata solleva in modo particolarmente acuto la questione del periodo di conservazione dei dati.

73.      A tal proposito, occorre anzitutto tener conto del fatto che gli effetti di tale ingerenza sono rafforzati dall’importanza acquisita dai mezzi di comunicazione elettronica nelle società moderne, che si tratti di reti digitali mobili o di Internet, e dal loro utilizzo massiccio e intensivo da una parte molto cospicua dei cittadini europei in tutti i campi delle loro attività private o professionali (67).

74.      I dati di cui trattasi, è importante insistere ancora una volta su questo aspetto, non sono dati personali nel senso classico del termine, che si riferiscono a informazioni specifiche sull’identità delle persone, ma dati personali, per così dire, qualificati, il cui impiego può permettere di creare una mappatura tanto fedele quanto esaustiva di una parte importante dei comportamenti di una persona facenti strettamente parte della sua vita privata, se non addirittura un ritratto completo e preciso della sua identità privata.

75.      L’intensità di tale ingerenza è amplificata da elementi che aggravano il rischio che, nonostante gli obblighi imposti dalla direttiva 2006/24 sia agli Stati membri stessi che ai fornitori di servizi di comunicazione elettronica, i dati conservati siano utilizzati per scopi illeciti potenzialmente lesivi della vita privata o, più in generale, per finalità fraudolente o dolose.

76.      I dati, infatti, non sono conservati dalle autorità pubbliche stesse, né sotto il loro diretto controllo, ma dai fornitori stessi di servizi di comunicazione elettronica (68) sui quali grava la maggior parte degli obblighi di garantire la loro protezione e la loro sicurezza.

77.      La direttiva 2006/24 impone (69), è vero, agli Stati membri di provvedere affinché i dati siano conservati in conformità ad essa. È tuttavia interessante osservare che ciò è richiesto solo per permettere che tali dati e ogni altra informazione necessaria ad essi collegata «possano essere trasmessi immediatamente alle autorità competenti su loro richiesta». La direttiva 2006/24 prevede inoltre che gli Stati membri provvedano affinché i fornitori di servizi di comunicazione elettronica rispettino un minimo di principi di protezione e sicurezza dei dati conservati.

78.      Nessuna tra le disposizioni della direttiva 2006/24 impone tuttavia ai suddetti fornitori stessi di servizi di immagazzinare i dati da conservare nel territorio di uno Stato membro, rientrante nella giurisdizione di uno Stato membro, circostanza questa che aggrava considerevolmente il rischio che tali dati possano essere accessibili o divulgati in violazione di tale normativa.

79.      È ben vero che tale «esternalizzazione» della conservazione dei dati permette di allontanare i dati conservati dai poteri pubblici degli Stati membri e, quindi, di sottrarli alla loro potestà diretta e al di fuori di qualsiasi controllo (70), ma così facendo essa aggrava nel contempo il rischio di un uso non conforme agli obblighi derivanti dal diritto al rispetto della vita privata.

80.      La direttiva 2006/24 rappresenta quindi, come emerge dalle considerazioni che precedono, un’ingerenza particolarmente grave nel diritto al rispetto della vita privata ed è soprattutto alla luce degli obblighi derivanti da tale diritto fondamentale che occorre esaminare la sua validità e in particolare la sua proporzionalità.

3.      Sulla portata della sentenza Irlanda/Parlamento e Consiglio per la valutazione della validità della direttiva 2006/24

81.      Giunti a questo punto delle presenti considerazioni preliminari, resta solo da esaminare l’incidenza della sentenza Irlanda/Parlamento e Consiglio sulla duplice richiesta di valutazione della validità della direttiva 2006/24 posta alla Corte.

82.      A tal proposito, si deve ricordare che, nella causa succitata, la Corte era stata investita di un ricorso diretto d’annullamento della direttiva 2006/24 nell’ambito del quale era stato sostenuto unicamente che essa fosse basata su un fondamento normativo errato. Di conseguenza la Corte ha espressamente indicato, al punto 57 della sentenza, che «il ricorso proposto dall’Irlanda verte[va] unicamente sulla scelta del fondamento normativo e non già su un’eventuale violazione dei diritti fondamentali derivanti dalle ingerenze nell’esercizio del diritto al rispetto della vita privata, che la direttiva 2006/24 implica».

83.      Orbene, posto che le questioni pregiudiziali formulate nelle due cause sollevano la questione della proporzionalità delle disposizioni della direttiva 2006/24 ai sensi dell’articolo 5, paragrafo 4, TUE (prima questione nella causa C‑293/12), da una parte, e ai sensi dell’articolo 52, paragrafo 1, della Carta (seconda questione nella causa C‑293/12 e prima questione nella causa C‑594/12), dall’altra, la riserva così espressa dalla Corte può essere interpretata in due modi che possono risultare complementari.

84.      La prima interpretazione possibile, quella che in definitiva s’impone in ogni caso, è di ritenere che la Corte, vincolata alle specifiche conclusioni d’annullamento dell’Irlanda, non fosse chiamata a esaminare la compatibilità della direttiva 2006/24 con i diritti fondamentali garantiti dalla Carta, essenzialmente il diritto al rispetto della vita privata tutelato dall’articolo 7 di quest’ultima. La Corte stessa ha voluto precisarlo al punto 57 della sentenza: essa non era quindi tenuta a esaminare la suddetta questione di compatibilità alla luce dei requisiti posti dall’articolo 52, paragrafo 1, della Carta, in particolare quelli della qualità della legge e della proporzionalità.

85.      Il secondo significato che può essere attribuito a tale riserva, più complesso da esaminare, sarebbe quello di ritenere che la Corte, pur riconoscendo, con la sentenza Irlanda/Parlamento e Consiglio, la validità del fondamento normativo della direttiva 2006/24, non ha esaminato la proporzionalità di tale direttiva ai sensi dell’articolo 5, paragrafo 4, TUE e ciò rispetto all’ingerenza nei diritti fondamentali, come le chiede formalmente la High Court nella sua prima questione nella causa C‑293/12. Si tratterà essenzialmente di esaminare se, tenuto conto del suo fondamento normativo, l’ingerenza nel diritto al rispetto della vita privata che la direttiva 2006/24 rappresenta permanga in un rapporto ragionevole di proporzionalità, ai sensi della suddetta disposizione, con gli obiettivi che essa dichiara di perseguire.

86.      Inizierò affrontando la problematica derivante dal principio di proporzionalità ai sensi dell’articolo 5, paragrafo 4, TUE, il che impone, come indicato, di esaminare le possibilità offerte dalla suddetta seconda possibile interpretazione del punto 57 della sentenza Irlanda/Parlamento e Consiglio. Passerò quindi, sulla base della prima – non problematica – interpretazione del suddetto punto, a esaminare il cuore delle questioni sollevate dai due giudici del rinvio, vertenti sui requisiti previsti per le limitazioni all’esercizio dei diritti fondamentali.

B –    Sulla proporzionalità, ai sensi dell’articolo 5, paragrafo 4, TUE, dell’adozione della direttiva 2006/24 (prima questione nella causa C‑293/12)

87.      Con la sua prima questione nella causa C‑293/12, la High Court chiede alla Corte se, alla luce dell’articolo 5, paragrafo 4, TUE, la direttiva 2006/24 sia proporzionata agli obiettivi che essa persegue, vale a dire quello di garantire la disponibilità dei dati conservati ai fini dell’accertamento e perseguimento di reati gravi o quello di garantire il buon funzionamento del mercato interno, o di entrambi.

88.      Una risposta a tale interrogativo si rende necessaria solo nei limiti in cui si possa ammettere che la Corte, nella sentenza Irlanda/Parlamento e Consiglio, si è pronunciata soltanto sulla validità della scelta dell’articolo 95 CE quale fondamento normativo della direttiva 2006/24, lasciando impregiudicata la questione della proporzionalità della direttiva stessa rispetto agli obiettivi che essa può perseguire sulla base di detto fondamento normativo. Le osservazioni che seguono devono quindi essere comprese come subordinate a un’interpretazione della sentenza Irlanda/Parlamento e Consiglio che può, quanto meno, dare adito a discussione.

89.      Dal momento che il rinvio pregiudiziale della High Court pone sia la questione della proporzionalità della direttiva 2006/24, ossia dell’atto dell’Unione in sé, ai sensi dell’articolo 5, paragrafo 4, TUE, sia quella della proporzionalità delle limitazioni all’esercizio dei diritti fondamentali ai sensi dell’articolo 52, paragrafo 1, della Carta, occorre ricordare che i controlli compiuti in forza delle suddette due disposizioni hanno natura diversa (71). La proporzionalità ai sensi dell’articolo 5, paragrafo 4, TUE è, congiuntamente al principio di sussidiarietà, un principio generale che regola l’azione dell’Unione e costituisce una condizione per l’adozione di tutti gli atti delle istituzioni. Essa aspira in particolare a canalizzare l’intervento dell’Unione nel rispetto delle competenze degli Stati membri. La proporzionalità ai sensi dell’articolo 52, paragrafo 1, della Carta è una condizione di legittimità per qualsiasi limitazione all’esercizio dei diritti fondamentali. Benché i controlli compiuti in base alle due norme succitate possano seguire lo stesso iter, essi non sono tuttavia svolti con il medesimo rigore.

90.      Ciò precisato, occorre ricordare che in un settore di competenza concorrente, come quello del mercato interno (72), spetta al legislatore dell’Unione stabilire le misure che esso reputa necessarie per il conseguimento degli obiettivi perseguiti, rispettando nel contempo i principi di sussidiarietà e di proporzionalità sanciti dall’articolo 5 TUE (73).

91.      Nel caso di specie, in conformità dell’articolo 5 del protocollo sull’applicazione dei principi di sussidiarietà e di proporzionalità, la Commissione ha motivato l’adozione della direttiva 2006/24 sulla base del principio di proporzionalità, come risulta dalla sua proposta del 21 settembre 2005 (74).

92.      La questione posta dalla High Court non è tuttavia se la Commissione abbia, nel caso di specie, adempiuto i suoi obblighi, ma se la direttiva 2006/24 stessa sia conforme ai requisiti di cui all’articolo 5, paragrafo 4, TUE.

93.      Conformemente a una giurisprudenza consolidata della Corte, un atto dell’Unione può essere considerato proporzionato solo a condizione che gli strumenti da esso istituiti siano idonei a realizzare gli obiettivi che esso persegue e non vadano oltre quanto è necessario per raggiungerli (75).

94.      La questione pregiudiziale della High Court presenta, a questo proposito, una problematicità del tutto particolare. La questione che si pone, nel caso di specie, è se la proporzionalità, ai sensi dell’articolo 5, paragrafo 4, TUE, dei provvedimenti previsti dalla direttiva 2006/24 debba essere valutata alla luce dei due obiettivi che tale direttiva dichiara di perseguire, vale a dire l’armonizzazione delle normative nazionali al fine del buon funzionamento del mercato interno e la garanzia della disponibilità dei dati ai fini della repressione penale, o invece, al contrario, alla luce del solo obiettivo direttamente connesso al fondamento normativo sulla base del quale essa è stata adottata.

95.      In tal senso, occorre distinguere tra quello che è il suo obiettivo preponderante (76), vale a dire il funzionamento del mercato interno, e i fini ultimi che essa persegue, che si possono qualificare in più modi, ma che non sono, in ogni caso, preponderanti. Più precisamente, occorre in un primo tempo esaminare la proporzionalità della direttiva 2006/24, nella parte in cui impone ai fornitori di servizi di comunicazione elettronica obblighi di raccolta, conservazione e messa a disposizione di dati aventi effetto «costitutivo», rispetto alle esigenze di armonizzazione di tali obblighi.

96.      A tal proposito, occorre ricordare anzitutto che l’intensità del controllo giurisdizionale che la Corte esercita sull’adeguatezza delle misure adottate dal legislatore dell’Unione è direttamente collegata al margine discrezionale di cui questi dispone (77). La Corte ha ripetutamente dichiarato che il legislatore dell’Unione, nei settori in cui la sua azione richiede scelte di natura tanto politica quanto economica o sociale e in cui è chiamato a effettuare valutazioni complesse, come il settore della politica agricola comune (78) o della politica commerciale comune (79), dispone di un ampio margine discrezionale (80) e il controllo del giudice è di conseguenza limitato. Non compete a quest’ultimo stabilire se la misura emanata fosse l’unica o la migliore possibile, ma di verificare che essa si fondi su elementi oggettivi (81) e che non sia manifestamente inadeguata rispetto all’obiettivo perseguito (82).

97.      A tal proposito non viene contestato che la direttiva 2006/24 rappresenti un mezzo idoneo a realizzare il primo obiettivo, formale, che essa persegue, vale a dire quello di garantire il buon funzionamento del mercato interno. Essa è incontestabilmente concepita per eliminare le differenze giuridiche e tecniche (83), presenti e future, tra le normative nazionali che impongono ai fornitori di servizi di comunicazione elettronica obblighi di conservazione dei dati.

98.      Si può peraltro riconoscere, tenuto conto del potere discrezionale delle istituzioni, che l’armonizzazione compiuta dalla direttiva 2006/24 fosse effettivamente necessaria per ridurre le differenze giuridiche e tecniche tra gli obblighi imposti ai fornitori di servizi di comunicazione elettronica riguardo alle tipologie di dati da conservare, ai periodi e alle condizioni di conservazione (84).

99.      Resta infine da esaminare se la direttiva 2006/24 possa essere considerata come proporzionata nel senso stretto del termine.

100. Giunti a quest’ultima fase dell’esame della proporzionalità della direttiva 2006/24 ai sensi dell’articolo 5, paragrafo 4, TUE, occorre constatare che esiste una sproporzione evidente tra l’intensità dell’intervento nel settore della disciplina dei diritti fondamentali, costituito dall’ingerenza nel diritto al rispetto della vita privata che, attraverso l’attuazione della direttiva 2006/24, si impone agli Stati membri, e l’obiettivo connesso alla necessità di garantire il funzionamento del mercato interno che essa persegue in modo preponderante (85) e che giustificava la sua adozione sulla base dell’articolo 95 CE. Non può essere sottovalutata, a tal proposito, l’incidenza che la direttiva 2006/24, per effetto della sua portata costitutiva, ha sulle competenze di regolamentazione e garanzia del contenuto dei diritti fondamentali degli Stati membri.

101. La direttiva 2006/24, come già osservato supra, ha istituito un obbligo di raccolta e di conservazione dei dati gravante sui fornitori di servizi di comunicazione elettronica che, in deroga ai principi sanciti dalle direttive 95/46 e 2002/58, costituisce un’ingerenza grave nel diritto al rispetto della vita privata, in particolare, lasciando nel contempo agli Stati membri il compito di garantire effettivamente il rispetto dei diritti fondamentali.

102. L’ingerenza grave nel diritto al rispetto della vita privata che, in conseguenza dell’effetto costitutivo della direttiva 2006/24, gli Stati membri sono tenuti a includere nel loro ordinamento giuridico, appare così fuori proporzione rispetto alla sola necessità di garantire il funzionamento del mercato interno, pur se si deve, peraltro, ritenere che tale raccolta e tale conservazione rappresentino mezzi adeguati e persino necessari alla realizzazione dell’obiettivo ultimo perseguito dalla suddetta direttiva, mirante a garantire la disponibilità di tali dati a fini d’indagine e perseguimento di reati gravi. In sintesi, la direttiva 2006/24 non riuscirebbe a superare l’esame di proporzionalità per le stesse ragioni che ne giustificavano il fondamento normativo. I motivi che determinano la sua legittimità dal punto di vista del fondamento normativo sarebbero paradossalmente i motivi della sua carenza sotto il profilo della proporzionalità.

103. La questione non è però così semplice in quanto si deve tener conto del fatto che un obiettivo «preponderante» non equivale a un obiettivo «esclusivo», sebbene il suddetto obiettivo preponderante abbia svolto un ruolo decisivo nell’individuazione del corretto fondamento normativo. Da questo punto di vista, si deve riconoscere che esiste effettivamente un margine, nel quadro dell’esame della proporzionalità della direttiva 2006/24 ai sensi dell’articolo 5, paragrafo 4, TUE, per prendere in considerazione l’obiettivo ultimo della repressione dei reati gravi che essa persegue. In una prospettiva del genere, si potrebbe ammettere senza difficoltà che la direttiva 2006/24 possa superare – quale atto dell’Unione e avendo cura di tralasciare l’esame di proporzionalità ai sensi dell’articolo 52, paragrafo 1, della Carta – l’esame di proporzionalità alla luce specificamente dell’articolo 5, paragrafo 4, TUE e essere ritenuta adeguata, necessaria e anche proporzionata in senso stretto.

104. La questione che in definitiva si pone è di stabilire se i problemi di proporzionalità in senso stretto che presenta un atto dell’Unione alla luce dell’obiettivo preponderante da esso perseguito possano essere superati prendendo in considerazione un obiettivo che è posto in «secondo piano». La risposta a siffatta questione appare ancor più difficile in quanto essa si presenta in un contesto in cui la validità del fondamento normativo dell’atto considerato è stata riconosciuta proprio in ragione del suo obiettivo preponderante.

105. Tuttavia, nei limiti in cui la direttiva 2006/24 deve ancora, quale atto che limita l’esercizio di diritti fondamentali, essere sottoposta a un controllo di proporzionalità ai sensi dell’articolo 52, paragrafo 1, della Carta, ritengo che non sia necessario dirimere in modo definitivo tale questione nell’ambito delle presenti cause.

C –    Sui requisiti posti dall’articolo 52, paragrafo 1, della Carta (seconda questione nella causa C‑293/12 e prima questione nella causa C‑594/12)

106. Come ho già sottolineato supra, la direttiva 2006/24, che armonizza le normative adottate dagli Stati membri nell’ambito di quella che appare come una facoltà prevista all’articolo 15, paragrafo 1, della direttiva 2002/58, introduce un regime parzialmente in deroga ai principi sanciti da quest’ultima direttiva e dalla direttiva 95/46, che garantiscono il diritto alla protezione dei dati personali e, in senso più ampio, il diritto al rispetto della vita privata.

107. Più in generale, l’ingerenza nel diritto al rispetto della vita privata rappresentata dalla direttiva 2006/24 è ammissibile solo nei limiti in cui essa risponda ai requisiti posti dall’articolo 52, paragrafo 1, della Carta, a condizione quindi di essere «previst[a] dalla legge» e, più precisamente, rispondere ai criteri della qualità della legge, rispettare il contenuto essenziale di detto diritto e essere proporzionata, vale a dire essere necessaria e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

1.      Sulla qualità della legge

108. Nel caso di specie è appena il caso di precisare che, poiché la raccolta e la conservazione dei dati ai fini della loro disponibilità sono previste dalla direttiva 2006/24, l’ingerenza nel diritto al rispetto della vita privata che esse costituiscono deve essere considerata come formalmente prevista dalla legge, ai sensi dell’articolo 52, paragrafo 1, della Carta.

109. Fatta tale precisazione, l’interpretazione della condizione dell’essere «previst[a] dalla legge» data dalla Corte, tenuto conto delle disposizioni dell’articolo 52, paragrafo 3, della Carta, deve essere prossima a quella utilizzata dalla Corte europea dei diritti dell’uomo, vale a dire una condizione che deve andare oltre un requisito puramente formale per includere la mancanza di precisione della legge («qualità della legge») (86), per esprimerlo nei termini più semplici possibili (87).

110. È vero che siffatto esame potrebbe parimenti collocarsi nel quadro di un’analisi circostanziata della proporzionalità della limitazione (88). Tuttavia, per restar fedele all’approccio adottato dalla giurisprudenza della Corte europea dei diritti dell’uomo, se non fossero sufficienti altre ragioni, ritengo di dover privilegiare la prima opzione.

111. Secondo una lettura non meramente formale della condizione secondo cui ogni limitazione deve essere prevista dalla legge, la questione che si pone è se le limitazioni all’esercizio dei diritti fondamentali che la direttiva 2006/24 comporta siano accompagnate dall’indispensabile livello di precisione richiesto per le garanzie da cui tali limitazioni devono essere accompagnate.

112. L’articolo 4 della direttiva 2006/24 prevede che è compito degli Stati membri adottare le misure necessarie a garantire che i dati conservati siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali. La seconda frase precisa che «[l]e procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri di necessità e di proporzionalità sono definite da ogni Stato membro nella legislazione nazionale, con riserva delle disposizioni in materia del diritto dell’Unione europea o del diritto pubblico internazionale e in particolare della CEDU, secondo l’interpretazione della Corte europea dei diritti dell’uomo».

113. La difficoltà cui la direttiva 2006/24 ci pone di fronte, mi sia permesso di ripeterlo ancora una volta, è che si tratta di una direttiva che mira soltanto a determinare un obbligo, gravante sui fornitori di servizi di comunicazione elettronica, di raccogliere e conservare i dati relativi al traffico e all’ubicazione delle comunicazioni elettroniche, e non le garanzie che devono regolare l’accesso a tali dati conservati o il loro impiego. Come abbiamo visto, la direttiva 2006/24 si rimette, a questo proposito, genericamente agli Stati membri (89).

114. Formulata in questi termini, la questione che si pone non è altra se non quella di stabilire se un siffatto generico rinvio, fosse anche accompagnato da un richiamo esplicito ai diritti garantiti dalle direttive 95/46 e 2002/58, sia sufficiente ai fini del criterio in base al quale eventuali limitazioni dei diritti fondamentali devono essere «previste dalla legge».

115. Occorre a tal riguardo precisare anzitutto che la situazione in cui l’Unione si limita ad adottare una normativa di armonizzazione delle disposizioni invariabilmente adottate da tutti gli Stati membri non è equiparabile a quella in cui l’Unione decide, oltre a ciò, di generalizzare una tale normativa.

116. Nel primo caso, l’Unione può procedere come ha fatto con la direttiva 2002/58, vale a dire lasciando essenzialmente ai legislatori nazionali il compito di far sì che la normativa adottata, di loro propria iniziativa e implicante una limitazione dei diritti fondamentali, contenga tutte le garanzie necessarie affinché tali limitazioni e la loro applicazione («accesso») rispettino tutte le esigenze poste dalla qualità della legge e dal principio di proporzionalità.

117. Nel secondo caso, al contrario, quando la limitazione dei diritti fondamentali deriva dalla normativa dell’Unione stessa, ed è quindi ad essa imputabile, la parte di responsabilità gravante sul legislatore dell’Unione è ben diversa. Nel caso di una direttiva, è chiaro che spetterà agli Stati membri specificare le garanzie destinate a inquadrare la limitazione dei diritti fondamentali in un’ipotesi come quella in esame. Tuttavia, è anche evidente che il legislatore dell’Unione deve svolgere un ruolo di direzione nella definizione stessa di dette garanzie. È in tale prospettiva che è opportuno esaminare il rispetto del requisito relativo alla qualità della legge.

118. In altre parole, il passaggio da un regime facoltativo, che può essere istituito in forza dell’articolo 15 della direttiva 2002/58, a un regime che prescrive una scadenza, come quello istituito dalla direttiva 2006/24, avrebbe dovuto essere accompagnato da un’evoluzione parallela per quanto riguarda le garanzie e avrebbe quindi dovuto condurre il legislatore dell’Unione a inquadrare, nei principi, la delega molto ampia accordata agli Stati membri per quanto attiene all’accesso ai dati e al loro impiego, fornendo criteri sotto forma di principi.

119. A tal proposito, occorre infatti osservare in primis che tanto la direttiva 95/46 quanto la direttiva 2002/58 precisano che le limitazioni dei diritti garantiti che gli Stati membri sono autorizzati ad adottare devono essere di natura legislativa (90). Orbene, la direttiva 2006/24 menziona solo marginalmente tale requisito formale (91), riducendo così il livello delle garanzie stabilite dalle direttive cui essa deroga (92).

120. Il legislatore dell’Unione, infatti, nell’adottare un atto che impone obblighi che costituiscono gravi ingerenze nei diritti fondamentali dei cittadini degli Stati membri, non può lasciare completamente a questi ultimi il compito di definire le garanzie atte a giustificarle. Esso non può contentarsi né di rinviare alle autorità legislative e/o amministrative competenti degli Stati membri chiamate, se del caso, ad adottare misure nazionali di attuazione di un tale atto il compito di definire e prevedere tali garanzie, né confidare integralmente nelle autorità giudiziarie chiamate a controllare la sua concreta applicazione. Esso deve, a meno di non privare di significato le norme di cui all’articolo 51, paragrafo 1, della Carta, assumersi pienamente la propria parte di responsabilità stabilendo quantomeno i principi che devono presiedere alla definizione, alla fissazione, all’applicazione e al controllo del rispetto di tali garanzie.

121. È stato detto e ripetuto che la direttiva 2006/24, come indica il suo articolo 4 (93), non disciplinava l’accesso (94) ai dati raccolti e conservati, né il loro impiego, restando peraltro inteso che essa non avrebbe potuto farlo, vista la ripartizione delle competenze tra gli Stati membri e l’Unione (95). La questione che si pone ora, tuttavia, è proprio stabilire se l’Unione possa (96) prevedere una misura come l’obbligo di raccolta e conservazione nel tempo dei dati di cui trattasi senza contornarla, contemporaneamente, di garanzie quanto alle condizioni cui saranno subordinati l’accesso e l’impiego di tali dati, quantomeno sotto forma di principi. È proprio tale inquadramento delle condizioni di accesso e di utilizzo dei dati raccolti e conservati che permette di valutare la portata che tale ingerenza comporta in concreto e che può renderla pertanto tollerabile o meno dal punto di vista costituzionale.

122. Esiste infatti uno stretto legame tra la concreta configurazione dell’obbligo di raccolta e di conservazione dei dati e le condizioni in presenza delle quali questi ultimi sono, eventualmente, messi a disposizione delle autorità competenti e da esse utilizzati. Occorre anche considerare che non è realmente possibile pronunciarsi in modo fondato sull’ingerenza derivante dalla raccolta e dalla conservazione di cui trattasi senza sapere come il suddetto accesso e il suddetto sfruttamento possano avvenire.

123. Tenendo presente il fatto che il fondamento normativo della direttiva 2006/24 era quello che permetteva di garantire il buon funzionamento del mercato interno e che non potevano essere incluse nelle sue disposizioni tutte le modalità di accesso ai dati e di utilizzo di questi ultimi, l’effetto costitutivo dell’obbligo di raccolta e di conservazione che essa determina richiedeva che fosse accompagnata, quale integrazione necessaria e indispensabile, da una serie di garanzie di principio. A tal fine, il generico rinvio agli Stati membri è insufficiente e il regime di tutela previsto dalla direttiva 95/46 (97) o, ancora, dalla decisione quadro 2008/977 (98) non può porvi rimedio in quanto non applicabile.

124. Pur accettando la ripartizione evocata dall’avvocato generale Bot nelle sue conclusioni nella citata causa Irlanda/Parlamento e Consiglio, e pur condividendo il suo punto di vista secondo cui era difficile, quantomeno all’epoca, includere le garanzie relative all’accesso ai dati conservati, nulla ostava a che il legislatore dell’Unione, nel definire l’obbligo di raccolta e di conservazione dei dati, contornasse quest’ultimo di una serie di garanzie sotto forma quanto meno di principi, da sviluppare da parte degli Stati membri, miranti a inquadrare l’uso di tali dati e, con ciò stesso, a definire l’esatta portata e il profilo completo dell’ingerenza che comporta un obbligo siffatto.

125. Quindi, e senza alcuna pretesa di esaustività, incombeva al legislatore dell’Unione stabilire i principi fondamentali che dovevano guidare la definizione delle garanzie minime disciplinanti l’accesso ai dati raccolti e conservati nonché il loro sfruttamento, tra le quali possono essere citate le seguenti.

126. Spettava ad esso orientare, alla luce dell’intensità dell’ingerenza, la descrizione delle attività criminali, idonee a giustificare l’accesso da parte delle autorità nazionali competenti ai dati raccolti e conservati, con un grado di precisione superiore rispetto all’espressione «reati gravi» (99).

127. Esso avrebbe dovuto indirizzare la normativa degli Stati membri in materia di autorizzazione dell’accesso ai dati raccolti e conservati, riservando tale accesso, se non alle sole autorità giudiziarie (100), quantomeno ad autorità indipendenti o, altrimenti, subordinando qualsiasi richiesta di accesso al controllo da parte di autorità giudiziarie o di autorità indipendenti, e avrebbe dovuto imporre un esame caso per caso delle domande di accesso al fine di limitare i dati comunicati allo stretto necessario.

128. Ci si poteva altresì attendere che esso ponesse come principio la possibilità per gli Stati membri di prevedere eccezioni all’accesso ai dati conservati in talune circostanze eccezionali, o anche condizioni più rigorose d’accesso nei casi in cui quest’ultimo può ledere i diritti fondamentali garantiti dalla Carta, come nell’ambito del diritto al segreto medico.

129. Il legislatore dell’Unione avrebbe dovuto introdurre il principio dell’obbligo per le autorità nazionali autorizzate ad accedere ai dati, da un lato, di cancellarli una volta utilizzati e, dall’altro, di informare le persone interessate di tale accesso, quantomeno a posteriori, una volta eliminato il rischio che tale informazione possa pregiudicare l’efficacia delle misure che giustificano l’impiego dei dati di cui trattasi.

130. La necessità delle diverse garanzie così elencate, non esaustivamente, trova conferma nel fatto che lo stesso legislatore dell’Unione, successivamente all’adozione della direttiva 2006/24, ha adottato la decisione quadro 2008/977 che garantisce la protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, prevedendo esattamente garanzie di tale natura, seppur solo nel quadro delle trasmissioni di dati tra Stati membri. La decisione quadro 2008/977 esclude, infatti, dal suo campo di applicazione ciò che non rientra negli scambi tra Stati membri, come risulta in particolare dal suo considerando 9 (101).

131. In conclusione, la direttiva 2006/24 è, nel suo complesso, incompatibile con l’articolo 52, paragrafo 1, della Carta, in quanto le limitazioni all’esercizio dei diritti fondamentali che essa comporta per effetto dell’obbligo di conservazione dei dati da essa imposto non si accompagnano ai principi indispensabili destinati a disciplinare le garanzie necessarie a inquadrare l’accesso a tali dati e il loro impiego.

132. Occorre ancora osservare a tal riguardo che il fatto che gli Stati membri abbiano di frequente, di propria iniziativa e in forza di esigenze specifiche dei loro ordinamenti giuridici interni, attuato le garanzie che la direttiva 2006/24 non si cura essa stessa di delineare (102), costituisce certamente una circostanza che verrà presa in considerazione, come vedremo nel prosieguo, ma non può evidentemente dispensare il legislatore dell’Unione.

2.      Sulla proporzionalità ai sensi dell’articolo 52, paragrafo 1, della Carta

133. L’articolo 52, paragrafo 1, della Carta impone non soltanto che eventuali limitazioni all’esercizio dei diritti fondamentali siano «previste dalla legge», ma anche che esse avvengano nel rigoroso rispetto del principio di proporzionalità. Tale esigenza di proporzionalità, come già sottolineato, acquisisce nel contesto della Carta una importanza particolare che essa non riveste nel quadro dell’articolo 5, paragrafo 4, TUE. Infatti, ciò che è richiesto in tale contesto non è la proporzionalità come principio generale dell’azione dell’Unione ma, più specificamente, la proporzionalità quale condizione costitutiva per qualsiasi limitazione ai diritti fondamentali.

134. In tale prospettiva, il perseguimento da parte delle istituzioni dell’Unione dell’obiettivo dichiarato dalla direttiva 2006/24, vale a dire garantire la disponibilità dei dati conservati ai fini del perseguimento di reati gravi, potrà essere ammesso solo a condizione che si concili in particolare con il diritto al rispetto della vita privata (103).

135. Occorre qui tuttavia notare che, tenuto conto delle esigenze, esaminate supra, che impongono che la «legge» contorni, quantomeno sotto forma di principi, di garanzie sufficienti l’accesso ai dati raccolti e conservati dai fornitori di servizi di comunicazione elettronica e il loro utilizzo, la proporzionalità della conservazione stessa dei dati imposta dalla direttiva 2006/24 non richiede più, salvo un’eccezione, un esame particolarmente dettagliato al di là di quanto esposto nel prosieguo.

136. La direttiva 2006/24 persegue infatti un obiettivo perfettamente legittimo, ossia garantire la disponibilità dei dati raccolti e conservati al fine di accertare, indagare o perseguire reati gravi e, tenuto conto del controllo limitato che la Corte può esercitare a tal proposito, può essere considerata come adeguata nonché, fatte salve le garanzie di cui deve essere munita, come necessaria alla realizzazione di tale obiettivo ultimo (104). Sono queste garanzie, in particolare, che possono giustificare l’elenco, certamente molto lungo, delle categorie di dati da conservare, previsto dall’articolo 5, della direttiva 2006/24.

137. Il fatto che sia possibile sottrarsi all’ambito di applicazione della direttiva 2006/24 utilizzando determinate modalità di comunicazione è, certo, incontestabilmente idoneo a relativizzare considerevolmente l’efficacia stessa del regime di raccolta dei dati sul traffico e sull’ubicazione che essa istituisce, in particolare per quanto attiene alla criminalità organizzata e al terrorismo. Esso non può tuttavia permettere di ritenere che la raccolta e la conservazione dei dati siano in sé del tutto inadeguate alla realizzazione degli obiettivi perseguiti e non può neppure permettere alla Corte di concludere nel senso che la raccolta e la conservazione dei dati relativi alle comuni comunicazioni elettroniche siano manifestamente prive di qualsiasi utilità.

138. Occorre tuttavia, con riferimento alla necessità della misura, insistere qui sull’importanza delle disposizioni dell’articolo 14 della direttiva 2006/24, che prevede l’obbligo per la Commissione di redigere una (105) relazione (106) sulla sua applicazione, basandosi, in particolare, sulle statistiche che devono preparare gli Stati membri in forza dell’articolo 10 della stessa, e proporre su tale base le modifiche che si rendano eventualmente necessarie, segnatamente per quanto attiene all’elenco delle categorie di dati da raccogliere e da conservare e al periodo di conservazione.

139. In tal senso e posto che la direttiva 2006/24 non contiene nessuna norma che preveda il suo venir meno della sua efficacia («sunset clause»), è compito del legislatore dell’Unione procedere ad un riesame periodico delle circostanze che giustificano la grave limitazione all’esercizio del diritto al rispetto della vita privata che essa comporta, permettendogli quindi di esaminare se tali circostanze continuino a ricorrere e adeguare o abrogare, di conseguenza, tale limitazione.

140. Fatta questa precisazione, l’eccezione che ho menzionato in precedenza riguarda la proporzionalità dell’articolo 6 della direttiva 2006/24, che fissa la durata del periodo di conservazione dei dati raccolti.

141. L’articolo 6 della direttiva 2006/24 fissa uno degli elementi fondamentali della conservazione dei dati che tale direttiva armonizza o, eventualmente, istituisce, vale a dire la sua portata limitata nel tempo. Tutti i dati conservati sono infatti destinati, in linea di principio, a sparire con il tempo, fermo restando che non potrebbe essere altrimenti. Tuttavia, a differenza del principio sancito dalla direttiva 2002/58, il cui articolo 6, paragrafo 1, prevede che i dati sul traffico trattati e immagazzinati siano cancellati o resi anonimi a partire dal momento in cui essi non sono più necessari ai fini della trasmissione di una comunicazione (107), l’obbligo di garantire la scomparsa di tali dati non si impone in modo quasi immediato, ma solo una volta che sia trascorso un certo lasso di tempo. Gli Stati membri sono tenuti a garantire la conservazione dei dati raccolti per un periodo che non può in nessun caso essere inferiore a sei mesi e che, fatta salva la deroga prevista all’articolo 12 della direttiva 2006/24, non può essere superiore a due anni, incombendo agli Stati membri fissare in concreto tale durata.

142. Con tale previsione, la conservazione dei dati («data retention») che ci occupa acquisisce una dimensione di continuità temporale che contribuisce in modo decisivo alla qualificazione dell’ingerenza nel diritto alla vita privata determinata dalla direttiva 2006/24, in particolare per opposizione rispetto all’ingerenza che produrrebbe la conservazione dei dati a posteriori («data preservation»), il cosiddetto «quick freeze» (108). L’idea secondo cui i dati accumulati di cui trattasi non debbano andare persi per un certo periodo è uno degli aspetti chiave di una misura che ambisce a fornire ai pubblici poteri una maggiore capacità di reazione nei confronti di taluni reati gravi. La questione è tuttavia stabilire se i termini di cui all’articolo 6 della direttiva 2006/24, che prevedono una soglia minima di sei mesi e una massima di due anni, rispondano in modo adeguato alle esigenze del principio di proporzionalità.

143. In tal senso, una volta che si possa considerare come assodato che la misura è, in sé, legittima e adeguata, resta da valutare la sua necessità e da verificare, in concreto, se una misura meno lesiva nei confronti del godimento dei diritti fondamentali di cui trattasi consentirebbe di raggiungere l’obiettivo perseguito. Da questo punto di vista, mi permetto di precisare che non ci si può accontentare di ritenere che sono solo gli Stati membri ad assumersi la responsabilità della fissazione di un eventuale periodo di conservazione sino a due anni. A partire dal momento in cui la direttiva 2006/24, nella sua funzione di armonizzazione, porta il limite superiore di conservazione dei dati a due anni, tale previsione deve essa stessa essere sottoposta al controllo di proporzionalità. È appena il caso di ricordare, a tal riguardo, che la questione non è quella di sapere se, dal punto di vista della repressione dei reati gravi, un periodo più lungo di conservazione e di messa a disposizione dei dati sia preferibile rispetto a un periodo più breve, ma se, nel quadro di un esame della sua proporzionalità, esso sia specificamente necessario.

144. A questo proposito, occorre ricordare anzitutto che l’accumularsi in luoghi imprecisati del ciberspazio, come avviene nell’ipotesi in esame, di dati che riguardano sempre persone concrete e determinate, tende a essere percepito come un’anomalia, a prescindere dalla sua durata. In linea di principio, un simile stato di «ritenzione» di dati attinenti alla vita privata, quand’anche resti tale, non dovrebbe mai verificarsi e, se si verifica, ciò dovrebbe avvenire solo in considerazione di altri imperativi della vita sociale. Una situazione del genere può avere solo carattere eccezionale e, in quanto tale, non può perdurare oltre quanto strettamente necessario.

145. Il periodo di conservazione che può essere ritenuto ammissibile alla luce del principio di proporzionalità non può essere fissato senza riconoscere al legislatore un certo margine di discrezionalità. Ciò non significa tuttavia che su tale aspetto sia escluso qualsiasi controllo di proporzionalità, per quanto difficile.

146. Al riguardo, mi sembra utile ricordare che l’essere umano conduce la sua esistenza in un tempo per definizione limitato in cui convergono tanto il passato, la sua storia e in definitiva la sua memoria, quanto il presente, il vissuto più o meno immediato, la consapevolezza di ciò che sta vivendo (109). Anche se difficilmente definibile, una linea, certamente diversa per ciascuno o ciascuna, separa il passato dal presente. Ciò che sembra poco discutibile è la possibilità di distinguere tra la percezione del tempo presente e la percezione del tempo passato. In ciascuna di tali percezioni la consapevolezza della propria vita, specificamente della «vita privata», come vita «registrata» può svolgere un ruolo. E sussiste una differenza a seconda che tale «vita registrata» sia quella percepita come presente o quella vissuta come la propria storia.

147. Ritengo che tali considerazioni possano essere trasposte all’analisi della proporzionalità dell’articolo 6 della direttiva 2006/24. Dato che il principio della conservazione di tutta questa documentazione personale per un certo periodo di tempo è reputato legittimo, resta da chiedersi se sia inevitabile, vale a dire necessario, imporlo ai singoli per un lasso di tempo che si estende non solo al «tempo presente», ma anche al «tempo storico».

148. In tal senso, e nella piena consapevolezza della soggettività che ciò implica, si può ritenere che un periodo di conservazione dei dati «che si misura in mesi» sia ben diverso da un periodo «che si misura in anni». Il primo corrisponderebbe a un periodo della vita percepito come presente e il secondo a un periodo della vita percepito come memoria. L’ingerenza nel diritto al rispetto della vita privata è, in tale prospettiva, ogni volta diversa e la necessità deve poter essere giustificata in relazione a ciascuna di tali ingerenze.

149. Orbene, mentre la necessità dell’ingerenza nella dimensione del tempo presente sembra sufficientemente giustificata, non ravviso nessuna giustificazione per un’ingerenza che si estenda nel tempo passato. In termini più diretti e senza negare che talune attività criminali siano preparate con largo anticipo, non ho rinvenuto, nelle diverse prese di posizione a sostegno della proporzionalità dell’articolo 6 della direttiva 2006/24, nessuna giustificazione sufficiente perché il periodo di conservazione dei dati che gli Stati membri sono chiamati a fissare non possa restare entro un limite inferiore a un anno. In altre parole, e con tutta la prudenza che tale aspetto del controllo della proporzionalità richiede sempre, nessun argomento è stato in grado di persuadermi della necessità di prolungare il periodo di conservazione dei dati oltre un anno.

150. Infine, si deve altresì sottolineare che la direttiva 2006/24 offre essa stessa un argomento supplementare con il meccanismo di proroga del periodo massimo di conservazione dei dati da essa previsto. L’articolo 12 della suddetta direttiva offre in effetti la possibilità agli Stati membri che si trovano dinanzi a circostanze particolari, nella specie non definite, di prolungare il periodo massimo di conservazione fissato in applicazione del suo articolo 6. Una proroga del genere è tuttavia possibile solo per un periodo limitato e deve essere motivata e notificata alla Commissione, la quale dispone di un termine di sei mesi per pronunciarsi sulle misure considerate, vale a dire per verificare se esse costituiscano un mezzo di discriminazione arbitraria o di restrizione dissimulata degli scambi fra gli Stati membri e se esse rappresentino un ostacolo al funzionamento del mercato interno.

151. Pur se la Commissione, in conformità dell’articolo 12, paragrafo 2, della direttiva 2006/24, può respingere tali misure solo per motivi limitati, l’esistenza di un tale meccanismo di proroga mi conforta nel ritenere che la fissazione, mediante l’articolo 6 della suddetta direttiva, di un periodo massimo di conservazione dei dati che, in assenza di circostanze eccezionali, può arrivare ai due anni, non sia necessaria e debba essere considerata incompatibile con i requisiti risultanti dagli articoli 7 e 52, paragrafo 1, della Carta.

152. Ne consegue che l’articolo 6 della direttiva 2006/24 è incompatibile con gli articoli 7 e 52, paragrafo 1, della Carta nei limiti in cui esso impone agli Stati membri di garantire che i dati di cui all’articolo 5 della stessa direttiva siano conservati per un periodo che può raggiungere i due anni.

D –    Sulla terza questione nella causa C‑293/12

153. In considerazione delle risposte fornite alle prime due serie di questioni sottoposte dai giudici del rinvio relativamente alla validità della direttiva 2006/24, non appare necessario rispondere alla terza questione pregiudiziale sottoposta dalla High Court nella causa C‑293/12, relativa agli obblighi, gravanti sui giudici nazionali, di esaminare e valutare la compatibilità dei provvedimenti nazionali di trasposizione di una direttiva con le garanzie previste dalla Carta. Nondimeno, e a ogni buon fine, ritengo, come sottolineato da tutte le parti che hanno presentato osservazioni su questo aspetto, che, alla luce delle disposizioni e nel quadro dell’articolo 51, paragrafo 1, della Carta, tale questione richieda chiaramente una risposta positiva (110).

VI – Sugli effetti nel tempo della dichiarata invalidità

154. Alla luce delle conclusioni cui mi portano le considerazioni che precedono, mi resta da esaminare le conseguenze nel tempo della dichiarazione d’invalidità della direttiva 2006/24.

155. A tal proposito occorre ricordare che quando la Corte, nell’ambito di un procedimento ai sensi dell’articolo 267 TFUE, dichiara invalido un atto emanato dalle istituzioni dell’Unione, la sua decisione produce la conseguenza giuridica di imporre loro l’obbligo di adottare i provvedimenti necessari per porre rimedio all’illegittimità accertata, applicandosi in tal caso per analogia l’obbligo previsto dall’articolo 266 TFUE in caso di sentenza di annullamento (111).

156. Tuttavia, qualora lo giustifichino esigenze imperative connesse alla certezza del diritto, la Corte gode, in forza dell’articolo 264, secondo comma, TFUE, applicabile, per analogia, anche nell’ambito di un rinvio pregiudiziale per la valutazione della validità degli atti adottati dalle istituzioni dell’Unione ai sensi dell’articolo 267 TFUE, di un potere discrezionale per stabilire, in ciascun caso concreto, quali effetti dell’atto considerato debbano considerarsi definitivi (112).

157. Nell’ipotesi in cui l’accertamento dell’invalidità di un atto dell’Unione trovi il suo fondamento in una violazione dei diritti fondamentali, la ponderazione dei diversi interessi coinvolti deve formare oggetto di una valutazione molto attenta. Nel caso di specie, da un lato, non vi sono dubbi circa la rilevanza e anche l’urgenza degli obiettivi ultimi della restrizione dei diritti fondamentali di cui trattasi. Dall’altro, i motivi di invalidità constatati sono di natura particolare. Da una parte, la direttiva 2006/24 è invalida per effetto della mancanza di inquadramento sufficiente delle garanzie disciplinanti l’accesso ai dati raccolti e conservati e il loro impiego (qualità della legge), a cui tuttavia può essere stato posto rimedio nell’ambito delle misure di trasposizione adottate dagli Stati membri. Dall’altro, come risulta dagli elementi forniti alla Corte, gli Stati membri si sono generalmente avvalsi con moderazione delle loro competenze per quanto attiene alla durata massima del periodo di conservazione dei dati.

158. In tali circostanze, occorre sospendere gli effetti della constatazione dell’invalidità della direttiva 2006/24 per dar tempo al legislatore dell’Unione di adottare le misure necessarie per porre rimedio all’invalidità accertata, restando inteso che tali misure devono essere adottate entro un lasso di tempo ragionevole.

VII – Conclusione

159. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sottoposte dalla High Court nella causa C‑293/12 e dal Verfassungsgerichtshof nella causa C‑594/12 nel modo seguente:

«1)      La direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, non è compatibile nel suo complesso con l’articolo 52, paragrafo 1, della Carta, in quanto le limitazioni all’esercizio dei diritti fondamentali che essa comporta, per effetto dell’obbligo di conservazione dei dati da essa imposto, non sono accompagnate dai principi irrinunciabili destinati a disciplinare le garanzie necessarie ad inquadrare l’accesso ai suddetti dati e il loro uso.

2)      L’articolo 6 della direttiva 2006/24 è incompatibile con gli articoli 7 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea in quanto impone agli Stati membri di garantire che i dati di cui al suo articolo 5 siano conservati per un periodo la cui durata massima è fissata in due anni».


1 –      Lingua originale: il francese.


2 –      Si tratta, nel caso di specie, della direttiva del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54).


3 –      In prosieguo: la «Carta».


4 –      Occorre osservare che la trasposizione della direttiva 2006/24 ha dato luogo a numerosi ricorsi per inadempimento e che un ricorso, fondato sull’articolo 260, paragrafo 3, TFUE, è tuttora pendente (causa Commissione/Germania, C‑329/12).


5 –      GU L 281, pag. 31. Sul contenzioso originato dalla trasposizione della suddetta direttiva, v. sentenze del 9 marzo 2010, Commissione/Germania (C‑518/07, Racc. pag. I‑1885); del 16 ottobre 2012, Commissione/Austria (C‑614/10); v. altresì, più in generale, sentenze del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, Racc. pag. I‑4989); del 6 novembre 2003, Lindqvist (C‑101/01, Racc. pag. I‑12971); del 16 dicembre 2008, Huber (C‑524/06, Racc. pag. I‑9705), e Satakunnan Markkinapörssi e Satamedia (C‑73/07, Racc. pag. I‑9831); del 7 maggio 2009, Rijkeboer (C‑553/07, Racc. pag. I‑3889); del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, Racc. pag. I‑11063); del 24 novembre 2011, Scarlet Extended (C‑70/10, Racc. pag. I‑11959), e ASNEF e FECEMD (C‑468/10 e C‑469/10, Racc. pag. I‑12181), nonché del 30 maggio 2013, Worten (C‑342/12).


6 –      GU L 201, pag. 37. Sul contenzioso originato dalla trasposizione della suddetta direttiva, v. sentenze del 28 aprile 2005, Commissione/Lussemburgo (C‑375/04), e Commissione/Belgio (C‑376/04), nonché del 1° giugno 2006, Commissione/Grecia (C‑475/04); v. altresì, più in generale, sentenza del 29 gennaio 2008, Promusicae (C‑275/06, Racc. pag. I‑271); ordinanza del 19 febbraio 2009, LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C‑557/07, Racc. pag. I‑1227); sentenze del 5 maggio 2011, Deutsche Telekom (C‑543/09, Racc. pag. I‑3441); Scarlet Extended, cit.; del 19 aprile 2012, Bonnier Audio e a. (C‑461/10), e del 22 novembre 2012, Probst (C‑119/12).


7 –      In prosieguo: la «legge del 2005 sulla giustizia penale».


8 –      Datenschutzgesetz 2000, BGBl I, 165/1999, nella versione pubblicata nel BGBl. I, 112/2011; in prosieguo: il «DSG».


9 –      Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird,, BGBl I, 27/2011.


10 –      Telekommunikationsgesetz 2003; in prosieguo: il «TKG 2003».


11 –      V., quanto al testo del suddetto articolo, l’allegato I, punto III.2.


12 –      In prosieguo: la «DRI».


13 –      In prosieguo: la «CEDU».


14 –      In prosieguo: il «B‑VG».


15 –      In prosieguo: l’«IHRC».


16 –      In prosieguo: il «GEPD».


17 –      C‑301/06, Racc. pag. I‑593.


18 –      V. articolo 1, paragrafo 1, della direttiva 95/46.


19 –      V. articolo 1, paragrafo 2, della direttiva 95/46.


20 –      V. articoli 10 e 11 della direttiva 95/46.


21 –      V. articolo 12 della direttiva 95/46.


22 –      V. articolo 14 della direttiva 95/46.


23 –      V. articolo 22 della direttiva 95/46.


24 –      Direttiva del Parlamento europeo e del Consiglio, del 15 dicembre 1997, sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (GU 1998, L 24, pag. 1).


25 –      In base alla lettera stessa dell’articolo 1, paragrafo 2, della direttiva 2002/58.


26 –      V. articolo 1, paragrafo 1, della direttiva 2002/58.


27 –      V., in particolare, oltre all’articolo 5, paragrafo 2, l’articolo 15, paragrafo 1, della direttiva 2002/58.


28 –      V. articolo 5, paragrafo 1, della direttiva 2002/58.


29 –      Il corsivo è mio.


30 –      V., in particolare, i primi sei considerando della direttiva 2006/24.


31 –      Per comodità di linguaggio farò riferimento, nel prosieguo, ai «fornitori di servizi di comunicazione elettronica».


32 –      V. considerando 21 e articolo 1, paragrafo 1, della direttiva 2006/24.


33 –      V. considerando 4 e 5 della direttiva 2006/24.


34 –      L’articolo 3, paragrafo 1, della direttiva 2006/24 precisa che esso prevede l’obbligo di conservazione dei dati in deroga agli articoli 5, 6 e 9 della direttiva 2002/58.


35 –      V. punto 84.


36 –      Riprendendo l’espressione utilizzata dalla Corte al punto 80 della sua sentenza Irlanda/Parlamento e Consiglio.


37 –      V. punti 80 e 81.


38 –      V. punto 72.


39 –      V. punti 63, e da 65 a 69.


40 –      V. punti 64 e 70.


41 –      Si trattava, in concreto, di evitare che si accentuassero le differenze tra le diverse normative nazionali; v. sentenza Irlanda/Parlamento e Consiglio, cit. (punti 64 e 70).


42 –      Il corsivo è mio.


43 –      Il considerando 5 della direttiva 2006/24 indica che le varie legislazioni nazionali «differiscono considerevolmente».


44 –      Il corsivo è mio.


45 –      V., al paragrafo 72 infra, le considerazioni che dedicherò a tale sensazione.


46 –      Secondo la cosiddetta dottrina del «chilling effect» (effetto dissuasivo). US Supreme Court, Wiemann v. Updegraff, 344 US 183 (1952); Corte eur. D.U., sentenza del 25 ottobre 2011, Altuğ Taner Akçam c. Turchia, ricorso n. 27520/07, § 81; v., in particolare, «The Chilling Effect in Constitutional Law», Columbia Law Review, 1969, volume 69, n. 5, pag. 808.


47 –      Decisione quadro del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU L 350, pag. 60).


48 –      Come ho già avuto occasione di osservare ai paragrafi da 74 a 80 delle mie conclusioni nella causa che ha dato luogo alla citata sentenza Scarlet Extended.


49 – Su tale nozione, v. segnatamente Hoffmann Riem, W., «Informationelle Selbstbestimmung in der Informationsgesellschaft – auf dem Wege zu einem neuen Konzept des Datenschutzes», Archiv des öffentlichen Rechts, 1998, volume 123, pag. 513; nonché Poullet, Y.,e Rouvroy, A., «Le droit à l’autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l’importance de la vie privée pour la démocratie», in État de droit et virtualité, Benyekhlef, K., e Trudel, P., (ed.), Thémis, Montréal, 2009, pag. 158.


50 –      V. considerando 15 della direttiva 2006/24.


51 –      V. considerando 20 della direttiva 2006/24.


52 –      In questo senso, paragrafo 51 delle conclusioni dell’avvocato generale Kokott nella causa che ha dato luogo alla citata sentenza Promusicae.


53 –      Citata sentenza Volker und Markus Schecke e Eifert. Tale legame è altresì riconosciuto espressamente nelle spiegazioni relative alla Carta; v. spiegazione relativa all’articolo 8 - protezione dei dati di carattere personale, la quale precisa che l’articolo 8 della Carta si fonda in particolare sull’articolo 8 della CEDU, che sancisce il diritto alla vita privata.


54 –      Tale legame comporta in particolare che la giurisprudenza della Corte europea dei diritti dell’uomo sull’interpretazione dell’articolo 8 della CEDU, che sancisce il diritto al rispetto della vita privata e familiare, relativa alla protezione dei dati personali conserva, a norma dell’articolo 52, paragrafo 3, della Carta, piena rilevanza ai fini dell’interpretazione dell’articolo 8 della Carta.


55 –      Citata sentenza Volker und Markus Schecke e Eifert (punto 52).


56 –      La Corte europea dei diritti dell’uomo ha ripetutamente statuito che non le era «né possibile, né necessario tentare di definire in modo esaustivo la nozione di “vita privata”»; v. in particolare sentenza Niemietz c. Germania del 16 dicembre 1992, ricorso n. 13710/88, serie A, n. 251‑B, § 29. Si tratta in ogni caso di una nozione «ampia»; v. sentenza Pretty c. Regno Unito del 19 aprile 2002. Sulla nozione di vita privata, v. in particolare Rubenfeld, J., «The Right of Privacy», Harvard Law Review, 1989, vol. 102, pag. 737; De Schutter, O., «La vie privée entre droit de la personnalité et liberté», Revue trimestrielle des droits de l’homme, 1999, pag. 827; Wachsmann, P., «Le droit au secret de la vie privé» in Sudre, F., Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruylant, 2005, pag. 119; e Rigaux, F., «La protection de la vie privée en Europe», in Le droit commun de l’Europe et l’avenir de l’enseignement juridique, de Witte, B., e Forder, C., (ed.), Metro, Kluwer, 1992, pag. 185.


57 –      V. considerando 9 della direttiva 2006/24.


58 –      V. sentenza Irlanda/Parlamento e Consiglio, cit. (punto 57) e le considerazioni che le dedicherò nel prosieguo.


59 –      V., in particolare, sentenze Leander c. Svezia, del 26 marzo 1987, serie A n. 116, pag. 22, § 48.


60 –      V., in particolare, Corte eur. D.U., sentenza Amann c. Svizzera del 16 febbraio 2000, n. 27798/95, Recueil des arrêts et décisions, 2000‑II, §§ 65, 69 e 80.


61 –      Il corsivo è mio.


62 –      V. considerando 13 e articoli 1, paragrafo 2, e 5, paragrafo 2.


63 V., in questo senso, Nettesheim, M., «Grundrechtsschutz der Privatheit», in Der Schutzauftrag des Rechts, Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer, 2011, Volume 70, pag. 7.


64 –      Sull’ingerenza derivante dalla mera detenzione di informazioni, raccolte peraltro prima dell’entrata in vigore della Convenzione europea dei diritti dell’uomo, v. Corte eur. D.U., sentenza Rotaru c. Romania del 4 maggio 2000, ricorso n. 28341/95, Recueil des arrêts et décisions, 2000‑V, § 46.


65 –      Il considerando 13 della direttiva 2006/24 precisa che l’obbligo di conservazione riguarda soltanto i «dati che sono accessibili», il che implica, per i dati connessi alla posta elettronica su Internet e alla telefonia via Internet, che essa trova applicazione soltanto in relazione «ai dati relativi ai servizi propri dei fornitori di servizi di comunicazione elettronica o di una rete di comunicazione».


66 –      Per riprendere l’espressione impiegata dal Bundesverfassungsgericht nella sua decisione del 2 marzo 2010, n. 1 BvR 256/08, 1 BvR 263/08 e 1 BvR 586/08, http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html.


67 –      Sulla presa in considerazione dell’effetto moltiplicatore delle moderne tecnologie d’informazione, e in particolare di Internet, v., in particolare, Corte eur. D.U., sentenze Mouvement Raëlien Suisse c. Svizzera del 13 gennaio 2011, ricorso n.°16354/06, § 54 e segg.; Akdaş c. Turchia del 16 febbraio 2010, ricorso n. 41056/04, § 28, e Willem c. Francia del 16 luglio 2009, ricorso n. 10883/05, §§ 36 e 38.


68 –      V. articolo 3, paragrafo 1, della direttiva 2006/24, che definisce l’obbligo di conservazione.


69 –      V. articolo 8 della direttiva 2006/24, dal titolo «Condizioni di immagazzinamento dei dati conservati».


70 –      È quanto ha rilevato il Bundesverfassungsgericht nella sua decisione del 2 marzo 2010, cit. (§ 214).


71 – In tal senso, Bast, J., e von Bogdandy, A., in Grabitz, Hilf, Nettesheim, Das Recht der Europäischen Union, Beck, 50. Lieferung 2013, Artikel 5; e Streinz, R., in Streinz, R., (ed.), EUV/AEUV, Beck, 2a ed., 2012, Artikel 5.


72 –      V. articolo 4, paragrafo 2, lettera a), TFUE.


73 –      V. sentenze del 29 marzo 2012, Commissione/Polonia (C‑504/09 P, non ancora pubblicata nella Raccolta, punto 79), e Commissione/Estonia (C‑505/09 P, punto 81).


74 –      Proposta di direttiva del Parlamento Europeo e del Consiglio riguardante la conservazione di dati trattati nell’ambito della fornitura di servizi pubblici di comunicazione elettronica e che modifica la direttiva 2002/58/CE, COM(2005) 438 def.


75 –      V., in particolare, sentenze del 6 dicembre 2005, ABNA e a. (C‑453/03, C‑11/04, C‑12/04 e C‑194/04, Racc. pag. I‑10423, punto 68); dell’8 giugno 2010, Vodafone e a. (C‑58/08, Racc. pag. I‑4999, punto 51), e Volker und Markus Schecke e Eifert, cit. (punto 74).


76 –      Qualificazione utilizzata dalla Corte nella sentenza Irlanda/Parlamento e Consiglio, cit. (punto 85).


77 –      V., in particolare, sentenza del 14 maggio 2009, Azienda Agricola Disarò Antonio e a. (C‑34/08, Racc. pag. I‑4023, punti da 76 a 83).


78 –      Ibidem (punto 76 e la giurisprudenza citata).


79 –      V., in particolare, sentenza del 19 novembre 1998, Regno Unito/Consiglio (C‑150/94, Racc. pag. I‑7235).


80 –      V., in particolare, sentenze del 1° febbraio 2007, Sison/Consiglio (C‑266/05 P, Racc. pag. I‑1233, punti da 32 a 34); del 16 dicembre 2008, Arcelor Atlantique e Lorraine e a. (C‑127/07, Racc. pag. I‑9895, punto 57), e Vodafone e a., cit. (punto 52).


81 –      V. sentenza Vodafone e a., cit. (punto 53).


82 –      V., in particolare, sentenze del 12 luglio 2001, Jippes e a. (C‑189/01, Racc. pag. I‑5689, punti 82 e 83); del 10 dicembre 2002, British American Tobacco (Investments) e Imperial Tobacco (C‑491/01, Racc. pag. I‑11453, punto 123); del 12 luglio 2005, Alliance for Natural Health e a. (C‑154/04 e C‑155/04, Racc. pag. I‑6451, punto 52), e del 28 luglio 2011, Agrana Zucker (C‑309/10, Racc. pag. I‑7333, punto 84)


83 –      V. considerando 6 della direttiva 2006/24.


84 –      V. considerando 6 della direttiva 2006/24. V. altresì la relazione sulla valutazione dell’applicazione della direttiva sulla conservazione dei dati (direttiva 2006/24/CE) presentata dalla Commissione al Parlamento europeo e al Consiglio, del 18 aprile 2011, COM(2011) 225 def., punto 3.2; in prosieguo: la «relazione sulla valutazione dell’applicazione della direttiva 2006/24».


85 –      V. sentenza Irlanda/Parlamento e Consiglio, cit. (punto 85).


86 –      Occorre sottolineare che la Corte, ad oggi, non ha avuto occasione di pronunciarsi né sul contenuto dei requisiti minimi della «qualità della legge», né sugli obblighi gravanti rispettivamente sulle istituzioni e sugli Stati membri dell’Unione a tal proposito.


87 –      V., a tale riguardo, paragrafi da 88 a 100 delle mie conclusioni nella causa che ha dato luogo alla sentenza Scarlet.


88 –      Come ha fatto il Bundesverfassungsgericht nella decisione del 2 marzo 2010, cit., §§ da 197 a 203.


89 –      V. in questo senso anche citata sentenza Irlanda/Parlamento e Consiglio.


90 –      V. considerando 54 e articolo 13, paragrafi 1 e 2, della direttiva 95/46 e articolo 15, paragrafo 1, della direttiva 2002/58.


91 –      Il solo riferimento a tale requisito rinvenibile nella direttiva 2006/24 si trova nel suo considerando 17, il quale precisa che è fondamentale che gli Stati membri adottino misure legislative per assicurare che i dati conservati siano trasmessi solo alle autorità nazionali competenti, conformemente alla legislazione nazionale e nel pieno rispetto dei diritti fondamentali delle persone interessate. Tale precisazione non è tuttavia presente nelle norme del corrispondente articolo 4 della direttiva 2006/24.


92 –      Occorre qui ricordare, come osservato dalla Corte, che dal considerando 10 e dall’articolo 1 della direttiva 95/46 risulta che essa si propone anche di non indebolire la protezione assicurata dalle norme nazionali esistenti, ma, al contrario, di garantire, nell’Unione, un elevato grado di tutela delle libertà e dei diritti fondamentali con riguardo al trattamento dei dati personali; v. sentenza del 9 marzo 2010, Commissione/Germania, cit. (punto 22).


93 –      L’articolo 4 della direttiva 2006/24 precisa che incombe agli Stati membri il compito di garantire che i dati conservati «siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali» e, più in particolare, di definire «le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati».


94 –      Il corsivo è mio.


95 –      V., su questo punto, i paragrafi 122 e segg. delle conclusioni dell’avvocato generale Bot nella causa che ha dato luogo alla citata sentenza Irlanda/Parlamento e Consiglio. V. altresì articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, e la decisione quadro 2008/977.


96 –      Il corsivo è mio.


97 –      Sul trattamento dei dati personali aventi ad oggetto le attività dello Stato nei settori del diritto penale, della pubblica sicurezza o dalla sicurezza dello Stato, v. articolo 3, paragrafo 2, primo trattino, della direttiva 95/46.


98 –      V. articolo 1, paragrafo 2, e considerando 7 e 9 della stessa decisione quadro.


99 –      V. considerando 21 e articolo 1, paragrafo 1, della direttiva 2006/24.


100 –      L’articolo 4 della direttiva 2006/24 riserva l’accesso ai dati conservati alle autorità nazionali competenti, il che comporta che tale accesso non è necessariamente riservato alle autorità giudiziarie.


101 –      V. anche articolo 1, paragrafo 2, e considerando 7 della decisione quadro 2008/977.


102 –      A tal riguardo occorre sottolineare che la trasposizione della direttiva 2006/24 nei diversi Stati membri non è stata priva di difficoltà e continua a sollevare problemi di vario tipo, come testimoniano le decisioni rese dalla Curtea Constituțională (Corte costituzionale rumena, v. decisione dell’8 ottobre 2009, n. 1.258; per una traduzione in inglese, v. <http://www.ccr.ro/files/products/D1258_091.pdf>), dal Bundesverfassungsgericht (Corte costituzionale federale tedesca, v. decisione del 2 marzo 2010, cit.), dall’Ústavní Soud (Corte costituzionale ceca, v. sentenza del 22 marzo 2011, Pl. ÚS 24/10; per una traduzione in inglese, v. <http://www.usoud.cz/en/decisions/?tx_ttnews%5Btt_news%5D= 40&cHash=bbaa1c5b1a7d6704af6370fdfce5d34c>), dal Varhoven administrativen sad (Corte suprema amministrativa della Bulgaria, decisione dell’11 dicembre 2008, n. 13627) o ancora dall’Anotato Dikastirio tis Kypriakis Dimokratias [Corte suprema di Cipro, decisione del 1° febbraio 2011, n. 183(Ι)/2007]. Un ricorso sarebbe stato presentato dinanzi alla Alkotmánybíróság (Corte costituzionale ungherese, v. «Hungarian Data Retention Law – Challenged at the Constitutional Court», EDRI‑Gram n. 6.11, 4 giugno 2008) e un altro penderebbe dinanzi all’Ustavno sodišče (Corte costituzionale slovena, v. «Slovenia: Information Commissioner challenges the Data Retention Law», EDRI‑Gram n. 11.6, 27 marzo 2013).


103 – V. sentenza Volker und Markus Schecke e Eifert, cit. (punto 76).


104 –      Il considerando 9 della direttiva 2006/24 precisa a tal proposito che essa rappresenta uno «strumento investigativo necessario ed efficace per le autorità di contrasto in vari Stati membri, riguardanti in particolare reati gravi come la criminalità organizzata e il terrorismo». Su questo punto, v. relazione sulla valutazione dell’applicazione della direttiva 2006/24.


105 –      Il corsivo è mio.


106 –      La Commissione ha soddisfatto il suo obbligo al riguardo con la pubblicazione della valutazione dell’applicazione della direttiva 2006/24.


107 –      Sull’onnipresenza nella direttiva 2002/58 del principio secondo cui i dati devono essere cancellati, v. più in generale i suoi considerando 22, 23, 26, 27 e 28.


108 –      È tale conservazione a posteriori a essere prevista in particolare dall’articolo 16 della convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001. Su questo concetto, v. relazione sulla valutazione dell’applicazione della direttiva 2006/24.


109 – Elias, N., Du temps, Fayard, 1998; e Rosa, H., Accélération. Une critique sociale du temps, La Découverte, 2013.


110 – V., in particolare, sentenze del 23 novembre 2010, Tsakouridis (C‑145/09, Racc. pag. I‑11979, punti da 50 a 52); del 21 febbraio 2013, Banif Plus Bank (C‑472/11, punto 29), e del 26 febbraio 2013, Åkerberg Fransson (C‑617/10, punti 21 e da 25 a 30).


111 –      V., in particolare, sentenza del 9 settembre 2008, FIAMM e a./Consiglio e Commissione (C‑120/06 P e C‑121/06 P, Racc. pag. I‑6513, punto 123).


112 –      V., in particolare, sentenze dell’8 novembre 2001, Silos (C‑228/99, Racc. pag. I‑8401, punto 35), e del 22 dicembre 2008, Régie Networks (C‑333/07, Racc. pag. I‑10807, punto 121).