Cause riunite C‑293/12 e C‑594/12
Digital Rights Ireland Ltd
contro
Minister for Communications, Marine and Natural Resources e a.
e
Kärntner Landesregierung e a.
[domande di pronuncia pregiudiziale proposte dalla High Court (Irlanda) e dal Verfassungsgerichtshof]
«Comunicazioni elettroniche – Direttiva 2006/24/CE – Servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – Conservazione di dati generati o trattati nell’ambito della fornitura di tali servizi – Validità – Articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione europea»
Massime – Sentenza della Corte (Grande Sezione) dell’8 aprile 2014
1. Diritti fondamentali – Carta dei diritti fondamentali dell’Unione europea – Rispetto della vita privata – Tutela dei dati personali – Conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – Direttiva 2006/24 – Obbligo per i fornitori di conservare taluni dati in vista di un’eventuale comunicazione alle autorità nazionali – Ingerenza ai sensi degli articoli 7 e 8 della Carta
(Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; direttiva del Parlamento europeo e del Consiglio 2006/24, artt. 3, 4, 5, 6 e 8)
2. Diritti fondamentali – Carta dei diritti fondamentali dell’Unione europea – Limitazione all’esercizio dei diritti e delle libertà sanciti dalla Carta – Presupposti – Conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – Direttiva 2006/24 – Obbligo per i fornitori di conservare taluni dati in vista di un’eventuale comunicazione alle autorità nazionali – Pregiudizio al contenuto essenziale dei diritti fondamentali – Insussistenza – Obiettivo di tutela della sicurezza pubblica
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2006/24)
3. Diritti fondamentali – Carta dei diritti fondamentali dell’Unione europea – Limitazione all’esercizio dei diritti e delle libertà sanciti dalla Carta – Presupposti – Conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – Direttiva 2006/24 – Obbligo per i fornitori di conservare taluni dati in vista di un’eventuale comunicazione alle autorità nazionali – Violazione del principio di proporzionalità
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2006/24)
1. L’obbligo imposto dagli articoli 3 e 6 della direttiva 2006/24, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, ai fornitori di detti servizi di conservare per un certo periodo dati relativi alla vita privata di una persona e alle sue comunicazioni, come quelli previsti dall’articolo 5 della suddetta direttiva, costituisce di per sé un’ingerenza nei diritti garantiti dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, anche gli articoli 4 e 8 della direttiva 2006/24, i quali prevedono regole relative all’accesso delle autorità nazionali competenti ai dati, sono costitutivi di un’ingerenza nei diritti garantiti dall’articolo 7 della Carta.
Parimenti, la direttiva 2006/24 è costitutiva di un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito dall’articolo 8 della Carta, poiché prevede un trattamento dei dati personali.
Tale ingerenza si rivela essere di vasta portata e va considerata particolarmente grave. Inoltre, il fatto che la conservazione dei dati e l’utilizzo ulteriore degli stessi siano effettuati senza che l’abbonato o l’utente registrato ne siano informati può ingenerare nelle persone interessate la sensazione che la loro vita privata sia oggetto di costante sorveglianza.
(v. punti 34‑37)
2. Conformemente all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti da quest’ultima devono essere previste dalla legge, rispettare il loro contenuto essenziale e, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni a detti diritti e libertà solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
In primo luogo, sebbene la conservazione dei dati imposta dalla direttiva 2006/24, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, costituisca un’ingerenza particolarmente grave nel diritto fondamentale al rispetto della vita privata e negli altri diritti sanciti all’articolo 7 della Carta, essa non è tale da pregiudicare il loro contenuto essenziale poiché, come deriva dall’articolo 1, paragrafo 2, della stessa direttiva, quest’ultima non permette di venire a conoscenza del contenuto delle comunicazioni elettroniche in quanto tale. Tale conservazione dei dati non è neppure idonea a pregiudicare il contenuto essenziale del diritto fondamentale alla protezione dei dati personali, sancito all’articolo 8 della Carta, considerato che la direttiva 2006/24 prevede, all’articolo 7, una regola relativa alla protezione e alla sicurezza dei dati.
In secondo luogo, l’obiettivo sostanziale della direttiva 2006/24 consiste, come risulta dall’articolo 1, paragrafo 1, della stessa, nel garantire la disponibilità dei suddetti dati a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale. L’obiettivo sostanziale della direttiva è pertanto quello di contribuire alla lotta contro la criminalità grave e, di conseguenza, in ultima analisi, alla sicurezza pubblica. Pertanto, la conservazione dei dati in vista dell’accesso eventuale agli stessi da parte delle autorità nazionali competenti, imposta dalla direttiva 2006/24, risponde effettivamente a un obiettivo di interesse generale.
(v. punti 38‑41, 44)
3. La direttiva 2006/24, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, è invalida.
Infatti, la lotta contro la criminalità grave, in particolare contro la criminalità organizzata e il terrorismo, è certamente di capitale importanza per garantire la sicurezza pubblica e la sua efficacia può dipendere in larga misura dall’uso delle moderne tecniche di indagine. Tuttavia, simile obiettivo di interesse generale, per quanto fondamentale, non può di per sé giustificare il fatto che una misura di conservazione di dati, come quella istituita dalla direttiva 2006/24, sia considerata necessaria ai fini della suddetta lotta.
La tutela dei dati personali, risultante dall’obbligo esplicito previsto all’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, riveste un’importanza particolare per il diritto al rispetto della vita privata sancito dall’articolo 7 della stessa. Pertanto, la normativa dell’Unione di cui trattasi deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati sono stati conservati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati.
Risulta che la direttiva 2006/24 concerne tutti i mezzi di comunicazione elettronica il cui uso è estremamente diffuso e di importanza crescente nella vita quotidiana di ciascuno e riguarda tutti gli abbonati e gli utenti registrati. Essa implica pertanto un’ingerenza nei diritti fondamentali della quasi totalità della popolazione europea.
Orbene, in primo luogo, la direttiva 2006/24 riguarda in maniera generale qualsiasi persona e qualsiasi mezzo di comunicazione elettronica nonché l’insieme dei dati relativi al traffico senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo di lotta contro i reati gravi.
In secondo luogo, la direttiva 2006/24 non prevede alcun criterio oggettivo che permetta di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, di accertamento o di indagini penali riguardanti reati che possano, con riguardo alla portata e alla gravità dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, essere considerati sufficientemente gravi da giustificare siffatta ingerenza. Inoltre, la direttiva 2006/24 non contiene le condizioni sostanziali e procedurali relative all’accesso delle autorità nazionali competenti ai dati e al loro uso ulteriore.
In terzo luogo, la direttiva 2006/24 impone la conservazione dei dati per un periodo di almeno sei mesi senza che venga effettuata alcuna distinzione tra le categorie di dati a seconda della loro eventuale utilità ai fini dell’obiettivo perseguito o a seconda delle persone interessate. Inoltre, non è precisato che la determinazione della durata di conservazione debba basarsi su criteri obiettivi al fine di garantire che sia limitata allo stretto necessario.
Ne consegue che la direttiva 2006/24 comporta un’ingerenza nei suddetti diritti fondamentali di vasta portata e di particolare gravità nell’ordinamento giuridico dell’Unione, senza che siffatta ingerenza sia regolamentata con precisione da disposizioni che permettano di garantire che essa sia effettivamente limitata a quanto strettamente necessario.
Infine, la direttiva 2006/24 non prevede garanzie sufficienti, come richieste dall’articolo 8 della Carta, che permettano di assicurare una protezione efficace dei dati conservati contro i rischi di abuso nonché contro eventuali accessi e usi illeciti dei suddetti dati.
Dall’insieme delle considerazioni che precedono risulta che adottando la direttiva 2006/24, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, il legislatore dell’Unione ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta.
(v. punti 51, 53, 54, 56, 57, 60, 61, 63‑66, 69 e dispositivo)