CONCLUSIONI DELL’AVVOCATO GENERALE
ANTHONY MICHAEL COLLINS
presentate l’8 giugno 2023 (1)
Causa C‑178/22
Ignoti
con l’intervento di:
Procura della Repubblica presso il Tribunale di Bolzano
[domanda di pronuncia pregiudiziale proposta dal Tribunale di Bolzano (Italia)]
«Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Riservatezza delle comunicazioni – Fornitori di servizi di comunicazione elettronica – Direttiva 2002/58/CE – Articolo 1, paragrafo 3, e articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8, 11 e articolo 52, paragrafo 1 – Richiesta del pubblico ministero di accedere ai dati ai fini delle indagini e del perseguimento del furto aggravato di un telefono cellulare – Definizione di “reato grave” idoneo a giustificare una grave ingerenza nei diritti fondamentali – Portata del controllo preventivo diretto a garantire il rispetto del requisito della commissione di un reato grave – Principio di proporzionalità»
I. Introduzione
1. La Procura della Repubblica presso il Tribunale di Bolzano (Italia) (in prosieguo: il «pubblico ministero di Bolzano») chiede al Tribunale di Bolzano (Italia) di autorizzare, ai sensi del diritto nazionale, l’accesso a dati conservati dai fornitori di servizi di comunicazione elettronica che permettano, in particolare, di rintracciare e identificare la fonte e la destinazione di comunicazioni effettuate mediante telefoni cellulari.
2. Nel contesto di tale richiesta, il Tribunale di Bolzano chiede alla Corte di giustizia di interpretare l’articolo 15, paragrafo 1, della direttiva 2002/58/CE (2). Tale disposizione consente agli Stati membri di introdurre eccezioni all’obbligo, enunciato in tale direttiva (3), di garantire la riservatezza delle comunicazioni elettroniche. Nella sentenza nella causa Prokuratuur (4), la Corte ha dichiarato che l’accesso ai dati che consentono di trarre precise conclusioni sulla vita privata di un utente, in applicazione di disposizioni adottate in base all’articolo 15, paragrafo 1, della direttiva 2002/58, costituisce una grave ingerenza nei diritti fondamentali e nei principi sanciti agli articoli 7, 8, 11 e all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») (5). Siffatto accesso non può essere autorizzato a fini di prevenzione, ricerca, accertamento e perseguimento di «reati in generale». Esso può essere concesso soltanto nell’ambito di procedure aventi per scopo la lotta contro le «forme gravi di criminalità» (6) e deve essere subordinato a un controllo preventivo effettuato da un giudice o da un’entità amministrativa indipendente al fine di garantire il rispetto di tale requisito (7). Il Tribunale di Bolzano chiede alla Corte di chiarire due aspetti della sentenza Prokuratuur: la nozione di «forme gravi di criminalità» e la portata del controllo preventivo che un giudice deve effettuare sulla base di una disposizione di diritto nazionale che gli impone di autorizzare l’accesso a dati conservati da fornitori di servizi di comunicazione elettronica.
II. Contesto normativo
A. Diritto dell’Unione
3. L’articolo 5 della direttiva 2002/58, intitolato «Riservatezza delle comunicazioni», prevede quanto segue:
«1. Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. (…)
(…)».
4. L’articolo 6 della direttiva 2002/58, intitolato «Dati sul traffico», così dispone:
«1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1.
(…)
5. Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto l’autorità dei fornitori della rete pubblica di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dell’accertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento di tali attività.
(…)».
5. L’articolo 9 della direttiva 2002/58, intitolato «Dati relativi all’ubicazione diversi dai dati relativi al traffico», stabilisce quanto segue:
«1. Se i dati relativi all’ubicazione diversi dai dati relativi al traffico, relativi agli utenti o abbonati di reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico possono essere sottoposti a trattamento, essi possono esserlo soltanto a condizione che siano stati resi anonimi o che l’utente o l’abbonato abbiano dato il loro consenso, e sempre nella misura e per la durata necessaria per la fornitura di un servizio a valore aggiunto. Prima di chiedere il loro consenso, il fornitore del servizio deve informare gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti a trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. Gli utenti e gli abbonati devono avere la possibilità di ritirare il loro consenso al trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico in qualsiasi momento.
(…)».
6. L’articolo 15, paragrafo 1, della direttiva 2002/58 è formulato come segue:
«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE [(8)], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea».
B. Diritto nazionale
7. L’articolo 132, comma 3, del decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali (9), come recentemente modificato dall’articolo 1 del decreto-legge 30 settembre 2021 n. 132 - Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP (10), convertito con modificazioni nella legge 23 novembre 2021 n. 178 (11) (in prosieguo: l’«articolo 132, comma 3, del decreto legislativo n. 196/2003») prevede quanto segue:
«3. Entro il termine di conservazione imposto dalla legge [id est: 24 mesi dalla data della comunicazione], se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti, previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private;
(…)
3-quater: I dati acquisiti in violazione delle disposizioni dei commi 3 e 3-bis non possono essere utilizzati».
8. L’articolo 4 del codice di procedura penale, intitolato «Regole per la determinazione della competenza», così dispone:
«Per determinare la competenza si ha riguardo alla pena stabilita dalla legge per ciascun reato consumato o tentato. Non si tiene conto della continuazione, della recidiva e delle circostanze del reato, fatta eccezione delle circostanze aggravanti per le quali la legge stabilisce una pena di specie diversa da quella ordinaria del reato e di quelle ad effetto speciale».
9. Secondo il giudice del rinvio, il pubblico ministero può perseguire d’ufficio il reato di furto aggravato (12). Ai sensi dell’articolo 625 del codice penale, il colpevole di furto aggravato è punito con una pena ad effetto speciale consistente nella reclusione da due a sei anni e nella multa da EUR 927 a EUR 1 500. L’articolo 624 del codice penale stabilisce che il colpevole di furto semplice, perseguibile a querela della persona offesa, è punito con la reclusione da sei mesi a tre anni e con una multa da EUR 154 a EUR 516.
III. Procedimenti principali e questione pregiudiziale
10. Il pubblico ministero di Bolzano ha avviato due procedimenti penali a carico di ignoti per il furto aggravato di telefoni cellulari, in applicazione degli articoli 624 e 625 del codice penale (13). Al fine di rintracciare i colpevoli, egli ha chiesto al giudice del rinvio, ai sensi dell’articolo 132, comma 3, del decreto legislativo n. 196/2003, «l’autorizzazione ad acquisire presso tutte le compagnie telefoniche tutti i dati in loro possesso, con metodo di tracciamento e localizzazione (in particolare utenze ed eventualmente codici IMEI chiamati/chiamanti, siti visitati/raggiunti, orario e durata della chiamata/connessione ed indicazione delle celle e/o ripetitori interessati, utenze ed IMEI mittenti/destinatari degli SMS o MMS e, ove possibile, generalità dei relativi intestatari) delle conversazioni/comunicazioni telefoniche e connessioni effettuate, anche in roaming, in entrata e in uscita anche se chiamate prive di fatturazione (squilli) dalla data del furto fino alla data di elaborazione della richiesta».
11. Il giudice del rinvio dubita della compatibilità dell’articolo 132, comma 3, del decreto legislativo n. 196/2003 con l’articolo 15, paragrafo 1, della direttiva 2002/58, come interpretato nella sentenza Prokuratuur. Esso osserva che, il 7 settembre 2021, la Corte suprema di cassazione (Italia) (14) ha statuito che, poiché i giudici nazionali dispongono di un margine di discrezionalità nel determinare quali reati costituiscano «forme gravi di criminalità [e] gravi minacce alla sicurezza pubblica», la sentenza Prokuratuur non è direttamente applicabile dai giudici nazionali. A seguito della sentenza della Corte suprema di cassazione, il legislatore italiano ha adottato il decreto legge n. 132, del 30 settembre 2021, il cui articolo 132, comma 3, individua come reati gravi ai fini dell’acquisizione di tabulati telefonici, in particolare, i reati per i quali la legge stabilisce la pena della «reclusione non inferiore nel massimo a tre anni (...)».
12. Secondo il giudice del rinvio, limite edittale di pena previsto all’articolo 132, comma 3, del decreto legislativo n. 196/2003 per la qualificazione di un reato come grave è tale per cui nell’ambito di applicazione di detta norma rientrano reati che destano scarso allarme sociale e che sono puniti soltanto su querela di parte (15). L’accesso ai tabulati telefonici può quindi essere ottenuto, in forza di detta disposizione, in presenza di un furto di un oggetto di valore minimo, come un telefono cellulare o una bicicletta. La soglia prevista all’articolo 132, comma 3, del decreto legislativo n. 196/2003 violerebbe quindi il principio di proporzionalità, alla luce dell’articolo 52, paragrafo 1, della Carta, il quale impone sempre un bilanciamento tra la gravità del reato oggetto di indagine e la limitazione del godimento di un diritto fondamentale. Il perseguimento di siffatti reati minori non giustifica l’imposizione di limiti al godimento dei diritti fondamentali al rispetto della vita privata, alla protezione dei dati di carattere personale e alla libertà di espressione e di informazione (16).
13. Il giudice del rinvio spiega che i giudici italiani dispongono di un margine discrezionale molto ristretto nel negare l’autorizzazione all’acquisizione dei tabulati telefonici, poiché questa deve essere rilasciata in presenza di «sufficienti indizi di reati» e se siffatta autorizzazione è «rilevant[e] per l’accertamento dei fatti». I giudici, in particolare, non sono competenti a valutare la gravità del reato oggetto dell’indagine. È il legislatore ad aver operato detta valutazione allorché ha stabilito, in termini generali e senza differenziare tra i vari tipi di reato, che l’accesso ai tabulati deve essere concesso, segnatamente, in relazione alle indagini su tutti i reati puniti con la pena della reclusione non inferiore nel massimo a tre anni.
14. In tale contesto, il Tribunale di Bolzano ha deciso di sospendere i procedimenti e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’articolo 15, comma 1 della [direttiva 2002/58] osta alla normativa nazionale dell’articolo 132 del [decreto legislativo n. 196/2003], il cui comma 3 (...) così stabilisce:
“3. Entro il termine di conservazione imposto dalla legge, se sussistono sufficienti indizi di reati per i quali la legge stabilisce la pena dell’ergastolo o della reclusione non inferiore nel massimo a tre anni, determinata a norma dell’articolo 4 del codice di procedura penale, e di reati di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi, ove rilevanti per l’accertamento dei fatti, i dati sono acquisiti, previa autorizzazione rilasciata dal giudice con decreto motivato, su richiesta del pubblico ministero o su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private”».
IV. Procedimento dinanzi alla Corte
15. I governi ceco ed estone, l’Irlanda, i governi francese, italiano, cipriota, ungherese, dei Paesi Bassi, austriaco e polacco, nonché la Commissione europea, hanno presentato osservazioni scritte.
16. Tali parti interessate e il pubblico ministero di Bolzano hanno svolto le loro difese orali e risposto ai quesiti posti dalla Corte nel corso dell’udienza del 21 marzo 2023.
V. Valutazione
A. Ricevibilità
17. Il governo italiano e l’Irlanda sostengono che una parte della domanda di pronuncia pregiudiziale è irricevibile. Sulla base dei fatti esposti dell’ordinanza di rinvio, la richiesta di accesso è stata formulata nel contesto di indagini relative a furti aggravati di telefoni cellulari. L’Irlanda sottolinea che il pubblico ministero può perseguire d’ufficio tali reati. Detta competenza è un riflesso del fatto che la natura e gli effetti del reato colpiscono la società in generale. La domanda di pronuncia pregiudiziale ha quindi carattere ipotetico nella misura in cui riguarda anche reati che possono essere perseguiti soltanto a querela di parte. Il governo italiano rileva che il giudice del rinvio richiama una serie di reati non pertinenti nei procedimenti dinanzi ad esso pendenti. Il governo italiano e la Commissione sostengono che, nonostante il riferimento, nell’ordinanza di rinvio, alla pena della «reclusione non inferiore nel massimo a tre anni», ai sensi dell’articolo 625 del codice penale il reato di furto aggravato è punito con la reclusione da due a sei anni. La Commissione suggerisce pertanto alla Corte di riformulare la questione. Anche il governo francese chiede alla Corte di riformulare la questione. Esso ritiene che, sebbene la Corte possa interpretare disposizioni del diritto dell’Unione, essa non è competente a valutare la compatibilità di norme di diritto interno con la normativa dell’Unione.
18. La questione del giudice del rinvio invita letteralmente la Corte a pronunciarsi sulla compatibilità di una disposizione di diritto nazionale con il diritto dell’Unione. Ciò, di per sé, non impedisce di fornire al giudice del rinvio un’interpretazione del diritto dell’Unione, nel caso di specie dell’articolo 15, paragrafo 1, della direttiva 2002/58, che consentirà a tale giudice di statuire sulla compatibilità di qualsiasi disposizione nazionale oggetto del procedimento di cui è investito (17).
19. Dalla domanda di pronuncia pregiudiziale risulta che il pubblico ministero di Bolzano ha chiesto l’accesso ai dati, segnatamente, per indagare e perseguire due episodi di reato di furto aggravato di telefoni cellulari, in applicazione dell’articolo 625 del codice penale. In tali circostanze, i riferimenti contenuti nell’ordinanza di rinvio ad altri reati, tra cui quelli di cui all’articolo 624 del codice penale (furto semplice) (18), sono irrilevanti ai fini della decisione sulle richieste pendenti dinanzi al giudice del rinvio (19). Nella parte in cui la questione pregiudiziale verte sulla richiesta del pubblico ministero di Bolzano di accedere a dati al fine di indagare sulla commissione di reati di furto aggravato, essa non è ipotetica. Limiterò quindi la mia valutazione dell’applicazione dell’articolo 132, comma 3, del decreto legislativo n. 196/2003 ai fatti descritti dal giudice del rinvio che riguardano i furti aggravati di telefoni cellulari.
B. Merito
1. Osservazioni preliminari
20. La domanda di pronuncia pregiudiziale in esame trae origine da una richiesta del pubblico ministero di Bolzano di accedere a dati conservati da fornitori di servizi di comunicazione elettronica. Essa non riguarda la conservazione di tali dati né la sua liceità ai sensi, in particolare, dell’articolo 15, paragrafo 1, della direttiva 2002/58 (20). I dati consistono in informazioni concernenti le comunicazioni in entrata e in uscita (21) effettuate mediante i telefoni cellulari rubati, nonché in dati relativi all’ubicazione (22). Sebbene i dati non includano il contenuto delle comunicazioni, essi consentono di trarre precise conclusioni sulla vita privata delle persone cui si riferiscono i dati in parola, l’accesso ai quali sembra costituire una «grave» ingerenza nei loro diritti fondamentali (23). L’ingerenza che l’accesso a tali dati comporta può essere giustificata dall’obiettivo (24), indicato all’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58, di prevenzione, ricerca, accertamento e perseguimento di «reati gravi», ma non di reati in generale. Nell’interpretare l’articolo 15, paragrafo 1, della direttiva 2002/58, la Corte opera un collegamento tra la gravità dell’ingerenza nei diritti fondamentali di una persona e la gravità del reato oggetto di indagine (25).
2. Competenza degli Stati membri a definire i «reati gravi»
21. La direttiva 2002/58 disciplina le attività dei fornitori di servizi di comunicazione elettronica in relazione al trattamento dei dati personali (26). L’articolo 1, paragrafo 3, esclude espressamente dall’ambito di applicazione della direttiva 2002/58 le attività dello Stato in determinati settori quali la sicurezza pubblica, la difesa, la sicurezza dello Stato e il diritto penale. Le attività indicate all’articolo 15, paragrafo 1, della direttiva 2002/58 coincidono sostanzialmente con quelle descritte all’articolo 1, paragrafo 3, di quest’ultima e includono attività dello Stato nel settore del diritto penale che sono espressamente escluse dall’ambito di applicazione della direttiva 2002/58 (27). Sussiste quindi un nesso evidente tra le attività dello Stato che l’articolo 1, paragrafo 3, della direttiva 2002/58 esclude dall’ambito di applicazione di tale direttiva e le disposizioni legislative che gli Stati membri possono adottare in forza dell’articolo 15, paragrafo 1, della stessa (28).
22. Nonostante tale chiaro nesso, secondo una giurisprudenza costante della Corte, poiché l’articolo 15, paragrafo 1, della direttiva 2002/58 autorizza espressamente gli Stati membri ad adottare le disposizioni legislative nazionali ivi descritte, siffatte disposizioni rientrano nell’ambito di applicazione della direttiva. Da tale giurisprudenza discende che la nozione di «attività», comprese le «attività dello Stato in settori che rientrano nel diritto penale» di cui all’articolo 1, paragrafo 3, della direttiva 2002/58, non comprende le disposizioni legislative menzionate all’articolo 15, paragrafo 1, di quest’ultima (29).
23. Né l’articolo 2 della direttiva 2002/58, che contiene una serie di definizioni ai fini dell’applicazione di tale direttiva, né altre disposizioni della direttiva 2002/58, ivi compreso l’articolo 15, paragrafo 1, definiscono il termine «reati». La direttiva 2002/58 non contiene un elenco di «reati» (30). Inoltre, la giurisprudenza in materia di interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 non definisce tale nozione (31).
24. Nonostante l’assenza di siffatte definizioni, la direttiva 2002/58 non stabilisce che ogni Stato membro debba definire i «reati» conformemente al proprio diritto nazionale (32). Secondo una giurisprudenza costante della Corte, in forza di quanto imposto tanto dall’applicazione uniforme del diritto dell’Unione quanto dal principio d’uguaglianza discende che una disposizione di diritto dell’Unione che non contenga alcun espresso richiamo al diritto degli Stati membri per quanto riguarda la determinazione del suo senso e della sua portata dà normalmente luogo, nell’intera Unione, ad un’interpretazione autonoma ed uniforme. Nel contesto dell’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, il termine «reati» potrebbe, almeno in linea di principio, essere considerato come una nozione autonoma di diritto dell’Unione, che deve essere interpretata in modo uniforme nel territorio di tutti gli Stati membri (33).
25. I 10 Stati membri che hanno presentato osservazioni alla Corte e la Commissione sono tuttavia unanimemente concordi nel ritenere che spetti a ciascuno Stato membro definire i «reati», ivi compresi i reati gravi, richiamati all’articolo 15, paragrafo 1, della direttiva 2002/58 mediante rinvio al diritto nazionale.
26. Condivido tali argomenti per le ragioni esposte nel prosieguo.
27. In primo luogo, la Corte ha già precisato che, nel contesto dell’articolo 15, paragrafo 1, della direttiva 2002/58, spetta agli Stati membri definire gli interessi essenziali della propria sicurezza e decidere le misure idonee a garantire la loro sicurezza interna ed esterna (34). Sebbene non l’abbia espressamente dichiarato, la Corte sembra quindi aver ritenuto che l’espressione «sicurezza nazionale» di cui all’articolo 15, paragrafo 1, della direttiva 2002/58 non sia una nozione autonoma di diritto dell’Unione, nonostante l’assenza di definizione di tale espressione o di un rinvio espresso al diritto degli Stati membri (35). Non vedo alcun motivo per cui questo stesso approccio non debba applicarsi al potere degli Stati membri di definire i «reati» o i «reati gravi» ai fini dell’articolo 15, paragrafo 1, della direttiva 2002/58. I termini «reati», «sicurezza pubblica» e «sicurezza nazionale» contenuti in tale disposizione possono essere considerati noscitur a sociis, poiché risulta che il legislatore dell’Unione ha inteso trattare ciascuno di essi in modo analogo, anche per quanto riguarda il modo in cui sono definiti (36).
28. In secondo luogo, l’articolo 4, paragrafo 2, TUE impone all’Unione di rispettare l’identità nazionale degli Stati membri insita nella loro struttura fondamentale, politica e costituzionale. Inoltre, nel preambolo della Carta si riconosce che, mentre l’Unione contribuisce alla salvaguardia e allo sviluppo di valori comuni, essa rispetta la diversità delle culture e delle tradizioni dei popoli d’Europa. La definizione dei reati e delle sanzioni (37) riflette le sensibilità e le tradizioni nazionali, che variano notevolmente non soltanto da uno Stato membro all’altro, ma anche nel corso tempo, parallelamente rispetto alle trasformazioni della società (38).
29. In tale contesto si può osservare che, nella definizione dei reati e delle sanzioni, gli Stati membri tengono conto, in misura variabile, di una gamma di diversi fattori. La valutazione, da parte di uno Stato membro, della «gravità» di un determinato reato si riflette spesso, se non immancabilmente, nella gravità della sanzione prevista. La durata di una pena detentiva può riflettere l’analisi di una serie di fattori, tra i quali la «gravità» intrinseca percepita di un reato e la sua «gravità» relativa rispetto ad altri reati. Non è stato addotto alcun motivo per cui gli Stati membri dovrebbero astenersi dall’esercitare siffatta competenza o, di fatto, perché dovrebbe trovare applicazione un approccio diverso alla definizione di «reati», di «reati gravi» o di «reati in generale» nel contesto specifico di cui trattasi.
30. La competenza degli Stati membri nel settore del diritto penale lascia impregiudicata la competenza di cui gode l’Unione nello stabilire, in determinati casi, ad esempio, norme minime che definiscono reati e sanzioni in relazione alla criminalità particolarmente grave che presentano una dimensione transnazionale derivante dal carattere o dalle implicazioni di tali reati o da una particolare necessità di combatterli su basi comuni (39). Il legislatore dell’Unione non ha tuttavia stabilito norme relative alla definizione dei reati di cui all’articolo 15, paragrafo 1, della direttiva 2002/58 (40). Infatti, come indicato in precedenza (41), dalla formulazione dell’articolo 1, paragrafo 3, della direttiva 2002/58 risulta che, nell’adottare tale direttiva, il legislatore dell’Unione non ha inteso esercitare alcuna competenza in materia penale.
31. Queste due ragioni sono sufficienti a spiegare il motivo per cui, nonostante il fatto che le disposizioni legislative nazionali adottate in forza dell’articolo 15, paragrafo 1, della direttiva 2002/58 ai fini della ricerca e del perseguimento dei reati rientrino nell’ambito di applicazione di tale strumento, gli Stati membri restano competenti a definire i «reati», ivi compresi i «reati gravi», e a determinare le sanzioni applicabili alle relative condotte (42).
3. Livello di controllo dell’esercizio della facoltà di cui all’articolo 15, paragrafo 1, della direttiva 2002/58 di derogare al principio di riservatezza
32. La Corte ha sottolineato che la facoltà di derogare (43), segnatamente, al principio di riservatezza sancito all’articolo 5, paragrafo 1, della direttiva 2002/58, deve essere interpretata in maniera restrittiva, affinché essa non divenga la regola generale, privando così detto principio della sua portata (44). L’esercizio di detta facoltà deve quindi rispettare, in particolare, i principi di equivalenza (45) e di effettività (46). Esso deve altresì rispettare i principi generali del diritto dell’Unione, ivi compreso il principio di proporzionalità (47), nonché gli articoli 7, 8, 11 (48) e l’articolo 52, paragrafo 1, della Carta (49). L’obiettivo della lotta contro la criminalità grave deve sempre essere conciliato con il godimento dei diritti fondamentali in tal modo pregiudicati. I diritti sanciti dagli articoli 7, 8 e 11 della Carta non appaiono come prerogative assolute, e il loro esercizio va considerato alla luce della loro funzione sociale (50). L’articolo 52, paragrafo 1, della Carta stabilisce quindi che le limitazioni all’esercizio di tali diritti, quali previste dalla legge, devono rispettare il contenuto essenziale di detti diritti e, nel rispetto del principio di proporzionalità, essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione europea o all’esigenza di proteggere i diritti e le libertà altrui. Le disposizioni legislative nazionali adottate in applicazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 devono quindi rispondere effettivamente e rigorosamente a uno degli obiettivi enunciati in tale disposizione. Esse devono essere fondate su criteri oggettivi, essere giuridicamente vincolanti e prevedere norme chiare e precise che indichino le condizioni sostanziali e procedurali alle quali i fornitori di servizi di comunicazione elettronica devono concedere alle autorità nazionali competenti l’accesso ai dati (51).
33. Al fine di garantire, in pratica, il pieno rispetto di tali condizioni, l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato, in linea di principio (52), ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente (53), a seguito di una richiesta motivata delle autorità suddette e dell’informazione delle persone interessate (54). Secondo una costante giurisprudenza, nell’effettuare detto controllo preventivo il giudice o l’entità amministrativa indipendente deve conciliare i diversi interessi e diritti in gioco, al fine di garantire un giusto equilibrio tra le necessità dell’indagine e della salvaguardia dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali degli interessati (55).
34. Nel caso di specie, l’articolo 132, comma 3, del decreto legislativo n. 196/2003 fissa le condizioni alle quali il giudice nazionale deve ingiungere ai fornitori di servizi di comunicazione elettronica di concedere al pubblico ministero, su richiesta di quest’ultimo, l’accesso ai dati. È pacifico (56) che l’articolo 132, comma 3, del decreto legislativo n. 196/2003 enuncia in modo chiaro e preciso le circostanze e le condizioni alle quali un giudice nazionale può ingiungere ai fornitori di servizi di comunicazione elettronica di fornire siffatto accesso. Il giudice del rinvio ritiene, tuttavia, che la pena della «reclusione non inferiore nel massimo a tre anni» sia di portata eccessiva, poiché riconduce nell’ambito di applicazione della disposizione in parola reati, quali il furto semplice, che destano scarso allarme sociale.
35. Sebbene l’articolo 132, comma 3, del decreto legislativo n. 196/2003 riguardi, potenzialmente, un’ampia gamma di reati, la Corte non dispone, nell’ambito del presente procedimento, di alcun elemento idoneo a dimostrare che in esso ricada un numero talmente elevato di reati da rendere l’accesso ai dati ai sensi di tale disposizione la regola anziché l’eccezione (57). La soglia della reclusione non inferiore nel massimo a tre anni, di cui a detta disposizione, non appare eccessivamente bassa (58). Per analogia, l’articolo 3, punto 9, della direttiva 2016/681 (59) definisce i «reati gravi» come i «reati elencati nell’allegato II, che siano punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni conformemente al diritto nazionale di uno Stato membro» (60). La Corte ha tuttavia dichiarato che, nella misura in cui l’articolo 3, punto 9, della direttiva 2016/681 fa riferimento alla pena massima applicabile, e non alla pena minima, non è escluso che i «dati [di cui trattasi] possano essere oggetto di un trattamento a fini di lotta contro reati che, pur soddisfacendo il criterio previsto da tale disposizione relativo alla soglia di gravità, rientrino, tenuto conto delle peculiarità del sistema penale nazionale, non nei reati gravi, bensì nei reati comuni» (61).
36. La pena di tre anni di cui all’articolo 132, comma 3, del decreto legislativo n. 196/2003 si riferisce alla pena massima applicabile e potrebbe quindi applicarsi a reati quali il furto semplice (62). Occorre quindi esaminare in che modo l’articolo 132, comma 3, del decreto legislativo n. 196/2003 è applicato nella pratica. Fatta salva la verifica del giudice del rinvio, l’articolo 132, comma 3, del decreto legislativo n. 196/2003 pare stabilire due diversi livelli di controllo preventivo da parte del giudice nazionale, a seconda della natura dei reati oggetto di indagine.
37. Il primo di questi livelli di controllo impone (63) ai giudici nazionali di autorizzare il pubblico ministero ad accedere ai dati conservati dai fornitori di servizi di comunicazione elettronica qualora siffatti dati siano rilevanti per l’accertamento dei fatti e sussistano sufficienti indizi della commissione di un reato di minaccia e di molestia o disturbo alle persone col mezzo del telefono, quando la minaccia, la molestia e il disturbo sono gravi. Il giudice nazionale deve quindi procedere a una valutazione individuale della gravità del reato di cui si tratti e verificare se l’indagine e il perseguimento di tale reato giustifichino una limitazione dei diritti generali sanciti agli articoli 7, 8 e 11 della Carta, nonché dei diritti specifici contenuti negli articoli 5, 6 e 9 della direttiva 2002/58. Detto livello esige una valutazione individuale, nel caso concreto, della questione se l’ingerenza in siffatti diritti sia proporzionata rispetto all’obiettivo di interesse generale della lotta contro la criminalità.
38. Di converso, il secondo livello di controllo, pertinente nell’ambito del presente procedimento, impone (64) ai giudici nazionali di autorizzare il pubblico ministero ad accedere ai dati conservati dai fornitori di servizi di comunicazione elettronica qualora siffatti dati siano rilevanti per l’accertamento dei fatti e sussistano sufficienti indizi della commissione di reati puniti, segnatamente, con la pena della reclusione non inferiore nel massimo a tre anni. In tal caso, il ruolo del giudice nazionale si limita alla verifica del fatto che tali requisiti oggettivi ricorrano, senza alcuna possibilità di effettuare una valutazione individuale degli interessi in gioco (65). Il controllo effettuato dal giudice nazionale ai sensi dell’articolo 132, comma 3, del decreto legislativo n. 196/2003 è quindi svincolato da qualsiasi collegamento effettivo con le circostanze specifiche della causa di cui è investito.
39. Sebbene i giudici nazionali possano non essere competenti a sindacare la definizione dei reati da parte del legislatore o la decisione di quest’ultimo quanto alla gravità degli stessi (66), detti giudici devono tuttavia essere competenti a effettuare una valutazione individuale della questione se la concessione dell’accesso, in applicazione di disposizioni legislative adottate in base all’articolo 15, paragrafo 1, della direttiva 2002/58, a dati sensibili che consentono di trarre precise conclusioni sulla vita privata di un utente, accesso che, quindi, costituisce una grave ingerenza nei diritti fondamentali sanciti agli articoli 7, 8, 11 e all’articolo 52, paragrafo 1, della Carta, sia proporzionata.
40. Ne consegue che, ai sensi delle disposizioni adottate sulla base dell’articolo 15, paragrafo 1, della direttiva 2002/58 l’accesso a dati sensibili non può essere concesso salvo che i) il reato di cui trattasi raggiunga la soglia di gravità previamente determinata dal legislatore nazionale e ii) un giudice o un’altra entità amministrativa indipendente stabilisca, a seguito di una valutazione o controllo individuali, che l’ingerenza nei diritti fondamentali determinata dalla concessione di detto accesso sia proporzionata, alla luce dell’obiettivo di interesse generale della lotta contro la criminalità in un caso concreto. In taluni casi, tuttavia, l’accesso a siffatti dati può essere negato anche qualora il reato raggiunga la soglia di gravità prevista dal diritto nazionale.
41. Il reato di furto aggravato di cui al presente procedimento è considerato «grave» ai sensi del diritto nazionale poiché è punibile, segnatamente, con la pena della reclusione da due a sei anni, nel rispetto, dunque, della soglia di gravità prevista all’articolo 132, comma 3, del decreto legislativo n. 196/2003 (67). Non risulta che, nell’applicazione di disposizioni adottate in base all’articolo 15, paragrafo 1, della direttiva 2002/58, i giudici italiani siano competenti a rimettere in discussione la qualificazione del furto aggravato come «reato grave» ai sensi del diritto nazionale. Qualora la soglia fissata dal diritto nazionale non sia raggiunta, il giudice del rinvio non può pertanto concedere l’accesso ai dati richiesti (68).
42. Qualora la soglia fissata dal legislatore nazionale sia raggiunta, il giudice del rinvio deve, in applicazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, controllare se, alla luce di tutte le circostanze che caratterizzano lo specifico caso di cui trattasi, l’ingerenza nei diritti fondamentali determinata dalla concessione dell’accesso a dati sensibili sia proporzionata all’obiettivo di interesse generale della lotta contro tale reato. Il giudice del rinvio deve, a detto riguardo, tenere conto e ponderare tutti i diritti e gli interessi pertinenti, compresi, segnatamente, i danni causati ai diritti di proprietà delle vittime tutelati dall’articolo 17 della Carta, nonché il fatto che i telefoni cellulari possono contenere informazioni altamente sensibili relative alla vita privata, professionale e finanziaria dei loro proprietari (69). L’accesso ai dati in parola può essere l’unico mezzo efficace disponibile per indagare e perseguire i reati di cui trattasi e per garantire che i loro autori, al momento ignoti, non restino impuniti. Anche i diritti dei terzi (70) devono essere presi in considerazione.
43. Per quanto riguarda i diritti dei terzi, dal fascicolo del giudice del rinvio risulta (71) che il pubblico ministero di Bolzano ha chiesto l’accesso ai dati relativi alle comunicazioni effettuate con i telefoni cellulari rubati dal 29 ottobre 2021, per quanto concerne il primo furto commesso il 27 ottobre 2021 (72) e dal 20 novembre 2021, per quanto concerne il secondo furto, commesso in tale data (73). Queste date mostrano che le richieste di accesso incidono, in misura molto limitata, sui diritti delle vittime garantiti, in particolare, dagli articoli 7, 8 e 11 della Carta (74). Il governo italiano ha altresì indicato, nelle sue osservazioni scritte, che il procedimento nazionale verte unicamente su dati utili per individuare l’autore o gli autori dei furti di cui trattasi. Nel caso in cui siano individuate chiamate verso terzi o provenienti da terzi non connesse al furto, tali dati sarebbero distrutti, conformemente all’articolo 269 del codice di procedura penale (75). Infine, l’articolo 132, comma 3-quater, del decreto legislativo n. 196/2003 prevede che i dati acquisiti in violazione delle disposizioni di cui ai commi 3 e 3-bis non possono essere utilizzati (76).
VI. Conclusione
44. Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere alla questione pregiudiziale sottoposta dal Tribunale di Bolzano (Italia) nei seguenti termini:
L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, nonché gli articoli 7, 8, 11 e l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea
devono essere interpretati nel senso che essi non ostano a una normativa nazionale che impone al giudice di autorizzare il pubblico ministero ad accedere a dati legittimamente conservati dai fornitori di servizi di comunicazione elettronica e che consentono di trarre precise conclusioni sulla vita privata di un utente, qualora tali dati siano rilevanti per l’accertamento dei fatti e sussistano sufficienti indizi della commissione di un reato grave, come definito dal diritto nazionale, punito con la pena della reclusione non inferiore nel massimo a tre anni. Prima di concedere l’accesso, il giudice nazionale deve effettuare una valutazione individuale della questione se l’ingerenza nei diritti fondamentali determinata dalla concessione di siffatto accesso sia proporzionata, alla luce, segnatamente, della gravità del reato in discussione e dei fatti del caso di cui trattasi.