CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:702

Cause riunite C‑793/19 e C‑794/19

Bundesrepublik Deutschland

contro

SpaceNet AG
e
Telekom Deutschland GmbH

(domande di pronuncia pregiudiziale, proposte dal Bundesverwaltungsgericht)

Sentenza della Corte (Grande Sezione) del 20 settembre 2022

«Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Riservatezza delle comunicazioni – Fornitori di servizi di comunicazione elettronica – Conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione – Direttiva 2002/58/CE – Articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 6, 7, 8 e 11 nonché articolo 52, paragrafo 1 – Articolo 4, paragrafo 2, TUE»

1. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Ambito di applicazione – Normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di conservare dati relativi al traffico e all’ubicazione – Fini di salvaguardia della sicurezza nazionale e di lotta alla criminalità – Inclusione

(Art. 4, § 2, TUE; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, artt. 1, §§ 1 e 3, 3 e 15, § 1)

(v. punto 48)

2. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazioni elettroniche la conservazione generalizzata e indiscriminata dei dati relativi al traffico e all’ubicazione – Obiettivo di lotta alla criminalità grave e di prevenzione delle minacce gravi alla pubblica sicurezza – Inammissibilità – Durata del periodo di conservazione generalizzata e indiscriminata di tali dati – Irrilevanza – Misure nazionali relative alla conservazione di determinate categorie di dati – Fini di salvaguardia della sicurezza nazionale, di lotta alla criminalità grave e di prevenzione delle minacce gravi alla pubblica sicurezza – Ammissibilità – Presupposti

(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

(v. punti 49-75, 77-81, 83-85, 87-94, 97-99, 110, 113, 116-121, 127-131 e disp.)

Sintesi

In questi ultimi anni, la Corte si è pronunciata, in diverse sentenze, in merito alla conservazione e alla consultazione dei dati personali nel settore delle comunicazioni elettroniche (1).

Più di recente, con la sentenza La Quadrature du net e a. (2), pronunciata in Grande Sezione il 6 ottobre 2020, la Corte ha confermato la propria giurisprudenza derivante dalla sentenza Tele2 Sverige e Watson e a. (3) sul carattere sproporzionato di una conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione attinenti alle comunicazioni elettroniche. Essa ha aggiunto parimenti precisazioni, segnatamente in merito alla portata dei poteri che la direttiva «relativa alla vita privata e alle comunicazioni elettroniche» attribuisce agli Stati membri in materia di conservazione di dati di tal genere a fini di salvaguardia della sicurezza nazionale, di lotta alla criminalità e di salvaguardia della pubblica sicurezza.

Nelle presenti cause riunite, due domande di pronuncia pregiudiziale sono state proposte dal Bundesverwaltungsgericht (Corte amministrativa federale, Germania), investita di un ricorso per cassazione (Revision), da parte della Repubblica federale di Germania avverso due sentenze che avevano accolto i ricorsi proposti da due società, SpaceNet AG (causa C‑793/19) e Telekom Deutschland GmbH (causa C‑794/19), fornitrici di servizi di accesso a Internet. Mediante tali ricorsi, queste società contestavano l’obbligo, imposto dalla normativa tedesca (4), di conservare dati relativi al traffico e dati relativi all’ubicazione attinenti alle comunicazioni elettroniche dei loro clienti.

I dubbi formulati dal giudice del rinvio vertevano segnatamente sulla compatibilità con la direttiva «relativa alla vita private alle comunicazioni elettroniche» (5), letta alla luce della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») (6) e dell’articolo 4, paragrafo 2, TUE, di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, segnatamente a fini di repressione dei reati gravi o di prevenzione di un rischio concreto per la sicurezza nazionale, la conservazione generalizzata e indiscriminata della parte essenziale dei dati relativi al traffico e dei dati relativi all’ubicazione degli utenti di tali servizi, prevedendo un periodo di conservazione di diverse settimane, nonché delle norme dirette a garantire una tutela efficace dei dati conservati contro i rischi di abuso nonché contro qualunque consultazione illecita di tali dati.

Con la sua sentenza la Corte, riunita in Grande Sezione, conferma, precisandone la portata, la giurisprudenza derivante dalla sentenza La Quadrature du Net e a., e, più di recente, dalla sentenza Commissioner of An Garda Síochána e a. (7). Essa ricorda segnatamente che la conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione attinenti alle comunicazioni elettroniche non è autorizzata, in via preventiva, a fini di lotta contro i reati gravi e di prevenzione di minacce gravi alla pubblica sicurezza.

Giudizio della Corte

La Corte inizia confermando l’applicabilità della direttiva «relativa alla vita privata e alle comunicazioni elettroniche» alla normativa nazionale in questione per poi sviluppare un richiamo didattico dei principi ricavati dalla sua giurisprudenza, prima di procedere a un esame particolareggiato delle caratteristiche della normativa nazionale in questione, messe in evidenza dal giudice del rinvio.

Per quanto concerne anzitutto la portata dei dati conservati, la Corte rileva che l’obbligo di conservazione previsto dalla normativa nazionale in questione si estende a un insieme molto ampio di dati relativi al traffico e di dati relativi all’ubicazione, che riguarda la quasi totalità delle persone componenti la popolazione, senza che queste ultime si trovino, anche solo indirettamente, in una situazione che possa dar luogo a procedimenti penali. Essa rileva parimenti che tale normativa impone la conservazione, senza motivo, generalizzata e indiscriminata da un punto di vista personale, cronologico e geografico, della parte essenziale dei dati relativi al traffico e dei dati relativi all’ubicazione, la cui portata corrisponde sostanzialmente a quella dei dati conservati nelle cause che hanno portato alla sentenza La Quadrature du net e a. Pertanto, in considerazione di tale giurisprudenza, la Corte giudica che un obbligo di conservazione dei dati quale quello in questione nel caso di specie non può essere considerato come una conservazione mirata dei dati.

Per quanto poi riguarda la durata di conservazione dei dati, la Corte ricorda che dalla direttiva «relativa alla vita privata e alle comunicazioni elettroniche» (8) risulta che la durata di conservazione prevista di una misura nazionale che imponga un obbligo generalizzato e indiscriminato di conservazione è certamente un fattore rilevante, insieme ad altri, al fine di determinare se il diritto dell’Unione osti a una misura del genere, posto che detta direttiva impone che tale periodo di tempo sia «limitato». Tuttavia, la gravità dell’ingerenza discende dal rischio, segnatamente in considerazione del loro numero e della loro diversità, che i dati conservati, considerati nel loro insieme, consentano di trarre conclusioni molto precise riguardanti la vita privata della o delle persone i cui dati siano stati conservati e, in particolare, forniscano i mezzi per costruire il profilo dello o degli interessati, informazione che, in considerazione del diritto al rispetto della vita privata, è delicata tanto quanto il contenuto stesso delle comunicazioni. Pertanto, la conservazione dei dati relativi al traffico o dei dati relativi all’ubicazione presenta comunque un carattere grave, indipendentemente dalla durata del periodo di conservazione, dalla quantità o dalla natura dei dati conservati, quando il complesso di dati conservati può consentire di trarre conclusioni di tal genere (9).

Infine, per quanto concerne le garanzie dirette a proteggere i dati conservati contro i rischi di abuso e contro qualunque consultazione illecita, la Corte, basandosi sulla sua precedente giurisprudenza, rileva che la conservazione dei dati e la consultazione dei medesimi costituiscono ingerenze distinte nei diritti fondamentali degli interessati, che richiedono giustificazioni distinte. Da ciò discende che una normativa nazionale che garantisca il pieno rispetto delle condizioni derivanti dalla giurisprudenza in materia di consultazione dei dati conservati non può essere in grado, di per se stessa, di limitare, e nemmeno di porre rimedio, alla grave ingerenza nei diritti degli interessati che deriverebbe dalla conservazione generalizzata di tali dati.

Peraltro, al fine di rispondere a taluni argomenti sviluppati dinanzi ad essa, la Corte rileva, in primo luogo, che una minaccia per la sicurezza nazionale deve essere reale e attuale o, quanto meno, prevedibile, ipotesi che presuppone il verificarsi di circostanze sufficientemente concrete, per poter giustificare una misura di conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione, per un tempo limitato. Una minaccia di tal genere si distingue pertanto, per la sua natura, la sua gravità e il carattere specifico delle circostanze che la costituiscono, dal rischio generico e permanente dell’insorgere di tensioni o turbative, anche gravi, della pubblica sicurezza o da quello di reati gravi. Pertanto la criminalità, anche particolarmente grave, non può essere assimilata a una minaccia per la sicurezza nazionale.

Essa rileva, in secondo luogo, che il fatto di autorizzare, a fini di lotta contro i reati gravi, una consultazione dei dati relativi al traffico e dei dati relativi all’ubicazione conservati in modo generalizzato e indiscriminato, per far fronte a una minaccia grave per la sicurezza nazionale, sarebbe contrario alla gerarchia degli obiettivi di interesse generale che possono giustificare una misura adottata a titolo della direttiva «relativa alla vita privata e alle comunicazioni elettroniche» (10). Infatti, ciò porterebbe a consentire che la consultazione possa essere giustificata da un obiettivo di importanza minore di quello che abbia giustificato la conservazione, ossia la salvaguardia della sicurezza nazionale, il che rischierebbe di privare di qualsiasi effetto il divieto di procedere a una conservazione generalizzata e indiscriminata a fini di lotta contro i reati gravi.

La Corte, confermando la propria giurisprudenza anteriore, concluse dichiarando che la direttiva «relativa alla vita privata e alle comunicazioni elettroniche», letta alla luce della Carta, osta a misure legislative nazionali che prevedono, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla pubblica sicurezza, la conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione.

Viceversa, essa non osta a misure legislative nazionali che consentano, a fini di salvaguardia della sicurezza nazionale, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica di procedere a una conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione, in situazioni nelle quali lo Stato membro interessato affronti una minaccia grave per la sicurezza nazionale che risulti reale e attuale o prevedibile. A questo proposito, la Corte precisa che il provvedimento che prevede tale ingiunzione può essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto ad accertare l’esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie che devono essere previste, e che detta ingiunzione può essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma che sia rinnovabile in caso di persistenza di tale minaccia.

Questa direttiva, letta alla luce della Carta, non osta nemmeno a misure legislative nazionali che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta ai reati gravi e di prevenzione delle minacce gravi alla pubblica sicurezza, una conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di interessati o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile.

Lo stesso dicasi per misure legislative nazionali che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta ai reati gravi e di prevenzione delle minacce gravi alla pubblica sicurezza, la conservazione generalizzata e indiscriminata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario, nonché dei dati relativi all’identità anagrafica degli utenti di mezzi di comunicazione elettronica, per i quali sia pacifico che la conservazione possa contribuire alla lotta contro i reati gravi, purché tali dati consentano di identificare le persone che hanno fatto uso di siffatti mezzi nel contesto della preparazione o commissione di un atto rientrante fra i reati gravi.

Il ragionamento non cambia per quanto concerne le misure legislative nazionali che consentano, a fini di lotta ai reati gravi e, a fortiori, di salvaguardia della sicurezza nazionale, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica, mediante un provvedimento dell’autorità competente soggetto a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui detti fornitori di servizi dispongono.

Tuttavia, la Corte precisa che tutte le suddette misure devono garantire, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che gli interessati dispongano di garanzie effettive contro il rischio di abusi. Queste diverse misure possono essere applicate congiuntamente, in base alla scelta del legislatore nazionale e rispettando i limiti dello stretto necessario.

1 Sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970), e del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788).

2 Sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791). V., anche, la sentenza pronunciata lo stesso giorno, Privacy International (C‑623/17, EU:C:2020:790), riguardante la trasmissione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione.

3 In tale sentenza, la Corte ha dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita private alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37; in prosieguo: la «direttiva “relativa alla vita privata e alle comunicazioni elettroniche”»), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11), osta a una normativa nazionale che preveda la conservazione generalizzata e indiscriminata dei dati relativi al traffico e dei dati relativi all’ubicazione a fini di lotta contro la criminalità.

4 Combinato disposto dell’articolo 113a, paragrafo 1, e dell’articolo 113b del Telekommunikationsgesetz (legge tedesca in materia di telecomunicazioni), del 22 giugno 2004 (BGBl. 2004 I, pag. 1190), nella versione applicabile nel procedimento principale.

5 Per l’esattezza, l’articolo 15, paragrafo 1, della direttiva 2002/58.

6 Articoli da 6 a 8, 11 e 52, paragrafo 1, della Carta.

7 Sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a. (C‑140/20, EU:C:2022:258).

8 Per l’esattezza, dall’articolo 15, paragrafo 1, seconda frase, della direttiva 2002/58.

9 V., per quanto riguarda la consultazione di dati di tal genere, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152, punto 39).

10 Questa gerarchia è consacrata nella giurisprudenza della Corte, segnatamente nella sentenza La Quadrature du Net e a., nei punti 135 e 136. In virtù di questa gerarchia, la lotta contro la criminalità grave riveste un’importanza minore rispetto alla salvaguardia della sicurezza nazionale.