CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:7

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 15 gennaio 2020 (1)

Causa C‑520/18

Ordre des barreaux francophones et germanophone,

Académie Fiscale ASBL,

UA,

Liga voor Mensenrechten ASBL,

Ligue des Droits de l’Homme ASBL,

VZ,

WY,

contro

Conseil des ministres,

con l’intervento di:

Child Focus

[domanda di pronuncia pregiudiziale proposta dalla Cour constitutionnelle (Corte costituzionale, Belgio)

«Domanda di pronuncia pregiudiziale – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58/CE – Ambito di applicazione – Articolo 1, paragrafo 3 – Articolo 15, paragrafo 1 – Articolo 4, paragrafo 2, TUE – Carta dei diritti fondamentali dell’Unione europea – Articoli 4, 6, 7, 8, 11 e 52, paragrafo 1 – Obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione – Efficacia delle indagini penali e altri obiettivi di interesse pubblico»

1. Negli ultimi anni la Corte di giustizia ha mantenuto un orientamento giurisprudenziale costante in materia di conservazione e accesso ai dati personali, di cui sono pietre miliari:

– la sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (2), nella quale essa ha dichiarato l’invalidità della direttiva 2006/24/CE (3) in quanto consentiva un’ingerenza non proporzionata nei diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea;

– la sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (4), nella quale ha interpretato l’articolo 15, paragrafo 1, della direttiva 2002/58/CE (5);

– la sentenza del 2 ottobre 2018, Ministerio Fiscal (6), nella quale ha confermato l’interpretazione della medesima disposizione della direttiva 2002/58.

2. Tali sentenze (in particolare la seconda) suscitano preoccupazione nelle autorità di taluni Stati membri, che temono di venire così private di uno strumento a loro avviso imprescindibile per la salvaguardia della sicurezza nazionale e la lotta contro la criminalità e il terrorismo. Alcuni di detti Stati membri chiedono quindi di invertire o temperare la giurisprudenza in parola.

3. Organi giurisdizionali degli Stati membri hanno evidenziato la medesima preoccupazione in quattro domande di pronuncia pregiudiziale (7) per le quali presento parimenti in data odierna le mie conclusioni.

4. Le quattro cause sollevano, anzitutto, il problema dell’applicazione della direttiva 2002/58 ad attività inerenti alla sicurezza nazionale e alla lotta contro il terrorismo. Qualora detta direttiva fosse applicabile in tale contesto, occorrerebbe allora chiarire in quale misura gli Stati membri possano limitare il diritto alla vita privata da essa tutelato. Infine, si dovrà esaminare fino a che punto le diverse normative nazionali (quelle del Regno Unito (8), belga (9) e francese (10)) in materia siano conformi al diritto dell’Unione, come interpretato dalla Corte.

5. Dopo aver preso conoscenza della sentenza Digital Rights, la Cour constitutionnelle (Corte costituzionale, Belgio) ha annullato la normativa nazionale che aveva trasposto parzialmente nel diritto interno la direttiva 2006/24, dichiarata invalida in detta sentenza. Il legislatore belga ha quindi adottato una nuova disciplina, la cui compatibilità con il diritto dell’Unione è stata rimessa in dubbio in seguito alla sentenza Tele2 Sverige e Watson.

6. Una particolarità del presente rinvio consiste nel fatto che esso evoca la possibilità di prorogare provvisoriamente gli effetti di una normativa nazionale il cui annullamento da parte dei giudici nazionali si imponga in ragione della sua incompatibilità con il diritto dell’Unione.

I. Contesto normativo

A. Diritto dell’Unione

7. Rinvio alla parte corrispondente delle mie conclusioni nelle cause C‑511/18 e C‑512/18.

B. Diritto nazionale. Loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (11)

8. L’articolo 4 dispone che l’articolo 126 della loi du 13 juin 2005 relative aux communications électroniques (12) abbia la seguente formulazione:

«1. Fatta salva la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [legge dell’8 dicembre 1992 sulla protezione della vita privata in materia di trattamento dei dati personali], i fornitori di servizi di telefonia pubblica, compresi quelli via Internet, di accesso a Internet e di posta elettronica su Internet, gli operatori che forniscono reti pubbliche di comunicazioni elettroniche, nonché gli operatori che forniscono uno di tali servizi, conservano i dati di cui al paragrafo 3, che sono da essi generati o trattati nell’ambito della fornitura dei rispettivi servizi di comunicazione.

Il contenuto delle comunicazioni non è disciplinato dal presente articolo.

(…)

2. Solamente le seguenti autorità possono ottenere, su semplice richiesta, dai fornitori e dagli operatori di cui al paragrafo 1, primo comma, dati conservati ai sensi del presente articolo, per le finalità e alle condizioni elencate in appresso:

1^o le autorità giudiziarie, nell’ambito della ricerca, dell’accertamento e del perseguimento di reati, per l’esecuzione delle misure di cui agli articoli 46 bis e 88 bis del code d’instruction criminelle [codice di procedura penale] e nel rispetto delle condizioni previste da tali disposizioni;

2^o i servizi di intelligence e di sicurezza, per la realizzazione di missioni di informazione che prevedono l’impiego dei metodi di raccolta di dati di cui agli articoli 16/2, 18/7 e 18/8 della loi du 30 novembre 1998 organique des services de renseignement et de Sécurité ^[(13)^];

3^o gli ufficiali di polizia giudiziaria dell’Institut [belge des services postaux et des télécommunications (IBPT) (Istituto belga dei servizi postali e delle telecomunicazioni, Belgio); in prosieguo anche solo: l’«Istituto»], nell’ambito della ricerca, dell’accertamento e del perseguimento di reati che costituiscono una violazione delle [norme di sicurezza delle reti] e del presente articolo;

4^o i servizi di emergenza che prestano assistenza in loco, quando, in seguito a una chiamata d’emergenza, non ottengono dal fornitore o dall’operatore interessato i dati identificativi del chiamante (…) oppure ottengono dati incompleti o inesatti. Possono richiedersi solamente i dati identificativi del chiamante e non oltre le 24 ore successive alla chiamata;

5^o l’ufficiale di polizia giudiziaria della Cellule des personnes disparues de la Police Fédérale [Cellula “Persone scomparse” della Polizia federale, Belgio], nell’ambito delle proprie funzioni di soccorso a persone in stato di pericolo, di ricerca di persone la cui scomparsa desti sospetti e in presenza di circostanze o indizi gravi che indichino che l’integrità fisica della persona scomparsa è in pericolo imminente. Solamente i dati di cui al paragrafo 3, primo e secondo comma, riguardanti la persona scomparsa e conservati nel corso delle 48 ore che precedono la richiesta dei dati possono essere richiesti all’operatore o al fornitore interessato per mezzo di un’autorità di polizia designata dal Re;

6^o il Service de médiation pour les télécommunications [Servizio di mediazione per le telecomunicazioni, Belgio], al fine di identificare la persona che abbia fatto un uso illecito di una rete o di un servizio di comunicazione elettronica (…). Possono richiedersi solamente i dati identificativi.

I fornitori e gli operatori di cui al paragrafo 1, primo comma, assicurano che i dati di cui al paragrafo 3 siano accessibili senza alcuna limitazione a partire dal Belgio e che tali dati e qualsiasi altra informazione necessaria che riguardi detti dati siano trasmessi senza indugio ed esclusivamente alle autorità di cui al presente paragrafo.

Fatte salve altre disposizioni di legge, i fornitori e gli operatori di cui al paragrafo 1, primo comma, non possono utilizzare i dati conservati ai sensi del paragrafo 3 per altre finalità.

3. I dati che consentono l’identificazione dell’utente o dell’abbonato e dei mezzi di comunicazione, ad eccezione dei dati previsti in particolare dai commi secondo e terzo, sono conservati per dodici mesi a decorrere dalla data a partire dalla quale è possibile effettuare per l’ultima volta una comunicazione tramite il servizio utilizzato.

I dati relativi all’accesso e alla connessione dell’apparecchiatura terminale alla rete e al servizio, nonché i dati relativi all’ubicazione di tale apparecchiatura, compreso il punto del terminale della rete, sono conservati per dodici mesi a decorrere dalla data della comunicazione.

I dati delle comunicazioni, ad eccezione del loro contenuto, comprese la loro origine e destinazione, sono conservati per dodici mesi a partire dalla data della comunicazione.

Il Re stabilisce, con decreto del Conseil de ministres [Consiglio dei ministri, Belgio], su proposta del Ministre de la Justice [Ministro della Giustizia, Belgio] e del Ministre e previo parere della Commission de la protection de la vie privée [Commissione per la protezione della vita privata, Belgio] e dell’Istituto, i dati che devono essere conservati per ciascuna delle categorie di cui ai commi dal primo al terzo, nonché i requisiti che tali dati devono osservare.

4. Al fine di conservare i dati di cui al paragrafo 3, i fornitori e gli operatori di cui al paragrafo 1, primo comma:

1^o garantiscono che i dati conservati siano della stessa qualità e siano soggetti agli stessi standard di sicurezza e tutela dei dati in rete;

2° curano che i dati conservati siano oggetto di adeguate misure tecniche e organizzative intese a proteggerli da una distruzione accidentale o illecita, da perdita o alterazione accidentale, da immagazzinamento, trattamento, accesso o divulgazione non autorizzati o illeciti;

3° garantiscono che l’accesso ai dati conservati per rispondere alle richieste delle autorità di cui al paragrafo 2 sia effettuato esclusivamente da uno o più membri della Cellula di coordinamento di cui all’articolo 126/1, paragrafo 1;

4° conservano i dati nel territorio dell’Unione europea;

5° predispongono misure di protezione tecnologica che rendono i dati conservati, a partire della loro registrazione, illeggibili e inutilizzabili da parte di chiunque non sia autorizzato ad avervi accesso;

6° distruggono i dati conservati su qualsiasi supporto allo scadere del termine per la loro conservazione stabilito al paragrafo 3, fatti salvi gli articoli 122 e 123;

7° garantiscono una tracciabilità dell’utilizzazione dei dati conservati per ciascuna richiesta di dati presentata dalle autorità di cui al paragrafo 2.

La tracciabilità di cui al comma precedente è assicurata tramite un registro. L’Istituto e la Commissione per la protezione della vita privata possono consultare detto registro oppure richiederne copia integrale o parziale. L’Istituto e la Commissione per la protezione della vita privata stipulano un protocollo di collaborazione relativo alla consultazione e al controllo del contenuto del registro.

5. Ogni anno il Ministro e il Ministro della Giustizia trasmetteranno alla Camera dei rappresentanti statistiche relative alla conservazione dei dati generati o trattati nell’ambito della fornitura di servizi o reti di comunicazione accessibili al pubblico.

Tali statistiche comprendono in particolare:

1° i casi in cui sono state trasmesse informazioni alle autorità competenti conformemente alla legislazione nazionale applicabile,

2° il tempo trascorso fra la data in cui le informazioni sono state conservate e la data in cui le autorità competenti ne hanno richiesto la trasmissione,

3° i casi in cui non è stato possibile soddisfare le richieste di dati.

Tali statistiche non possono contenere dati personali.

(…)».

9. L’articolo 5 inserisce un articolo 126/1, nella legge del 2005, del seguente tenore:

«1. Tra gli operatori e i fornitori di cui all’articolo 126, paragrafo 1, primo comma, è costituita una Cellula di coordinamento responsabile per la fornitura alle autorità belghe autorizzate dalla legge, su loro richiesta, di dati conservati ai sensi degli articoli 122, 123 e 126, dei dati identificativi del chiamante ai sensi dell’articolo 107, paragrafo 2, primo comma, o dei dati che possono essere richiesti ai sensi degli articoli 46 bis, 88 bis e 90 ter del codice di procedura penale e degli articoli 18/7, 18/8, 18/16 e 18/17 della [legge del 1998].

(…)

2. Gli operatori e i fornitori di cui all’articolo 126, paragrafo 1, primo comma, prevedono procedure interne per poter rispondere alle richieste di accesso delle autorità ai dati personali degli utenti. Su richiesta, essi mettono a disposizione dell’Istituto informazioni relative a tali procedure, al numero di richieste ricevute, alla base giuridica invocata e alle risposte fornite.

(…)

3. Gli operatori e i fornitori di cui all’articolo 126, paragrafo 1, primo comma, designano uno o più dipendenti preposti alla protezione dei dati personali, i quali devono soddisfare le condizioni cumulative elencate al paragrafo 1, terzo comma.

(…)

Nell’esercizio delle proprie funzioni, il dipendente preposto alla protezione dei dati personali agisce in modo indipendente e ha accesso a tutti i dati personali trasmessi alle autorità, nonché a tutti i locali del fornitore o dell’operatore a tal fine rilevanti.

(…)

4. Il Re, con decreto del Consiglio dei ministri, previo parere della Commissione per la protezione della vita privata e dell’Istituto, stabilisce:

(…)

2° i requisiti che la Cellula di coordinamento deve rispettare, tenuto conto della situazione degli operatori e fornitori che ricevono un numero limitato di richieste da parte delle autorità giudiziarie, non hanno una sede in Belgio o operano principalmente dall’estero;

3° le informazioni che devono essere fornite all’Istituto e alla Commissione per la protezione della vita privata ai sensi dei paragrafi 1 e 3, nonché le autorità che hanno accesso a tali informazioni;

4° le altre norme che disciplinano la collaborazione degli operatori e dei fornitori di cui all’articolo 126, paragrafo 1, primo comma, con le autorità belghe o con alcune di esse, per trasmettere le informazioni di cui al paragrafo 1, ivi compresi, se necessario e per autorità interessata, la forma e il contenuto della richiesta.

(…)».

10. L’articolo 8 stabilisce che l’articolo 46 bis, paragrafo 1, del codice di procedura penale abbia il seguente tenore:

«1. Nell’ambito di indagini volte all’accertamento di delitti gravi e altri delitti, il procureur du Roi [procuratore del Re, Belgio] può, con decisione motivata e scritta, ricorrendo all’occorrenza all’operatore di una rete di comunicazione elettronica o al fornitore di un servizio di comunicazione elettronica o a un’autorità di polizia designata dal Re, procedere o far procedere, sulla base di tutti i dati in suo possesso o tramite accesso ai fascicoli dei clienti dell’operatore o del fornitore del servizio:

1° all’identificazione dell’abbonato o dell’utente abituale di un servizio di comunicazione elettronica o del mezzo di comunicazione elettronica utilizzato;

2° all’identificazione dei servizi di comunicazione elettronica a cui una determinata persona sia abbonata o che siano da essa abitualmente utilizzati.

La motivazione deve riflettere la proporzionalità [del provvedimento], tenuto conto del rispetto della vita privata, e il [suo] carattere sussidiario rispetto a ogni altro dovere di indagine.

In casi di estrema urgenza, ogni ufficiale di polizia giudiziaria può, previo accordo verbale del procuratore del Re e con decisione motivata e scritta, richiedere i suddetti dati. L’ufficiale di polizia giudiziaria comunica tale decisione motivata e scritta nonché le informazioni raccolte nell’arco di 24 ore al procuratore del Re e motiva per il resto l’estrema urgenza.

Per reati che non possono comportare la detenzione correttiva principale di un anno o una pena superiore, il procuratore del Re o, in caso di estrema urgenza, l’ufficiale di polizia giudiziaria possono richiedere solo i dati di cui al primo comma relativi a un periodo di tempo corrispondente ai sei mesi che precedono la loro decisione.

2. Ogni operatore di rete di comunicazione elettronica e ogni fornitore di servizio di comunicazione elettronica ai quali sia richiesto di trasmettere i dati di cui al paragrafo 1 forniscono al procuratore del Re o all’ufficiale di polizia giudiziaria i dati che sono stati loro richiesti entro un termine fissato dal Re (…).

(…)

Chiunque, in ragione delle sue funzioni, abbia conoscenza del provvedimento o vi abbia concorso, è tenuto al segreto. Le violazioni del segreto sono punite secondo quanto previsto dall’articolo 458 del codice penale.

Il rifiuto di trasmissione dei dati è sanzionato con una pena pecuniaria da EUR 26 a EUR 10 000».

11. L’articolo 9 modifica come segue l’articolo 88 bis del codice di procedura penale:

«1. Se constano indizi gravi che i reati sono tali da comportare la detenzione correttiva principale di un anno o una pena superiore, e quando ritenga che sussistano circostanze che rendono il rilevamento di comunicazioni elettroniche o la localizzazione della loro origine o destinazione necessari per la determinazione della verità, il giudice istruttore può far procedere, ricorrendo all’occorrenza, direttamente o per il tramite di un’autorità di polizia designata dal Re, all’assistenza tecnica dell’operatore di una rete di comunicazione elettronica o del fornitore di un servizio di comunicazione elettronica:

1° al rilevamento dei dati relativi al traffico di mezzi di comunicazione elettronica a partire dai quali o verso i quali sono inviate o sono state inviate comunicazioni elettroniche;

2° alla localizzazione dell’origine o della destinazione di comunicazioni elettroniche.

Nei casi di cui al primo comma, per ogni mezzo di comunicazione elettronica di cui siano rilevati i dati relativi alle chiamate e di cui sia localizzata l’origine o la destinazione della telecomunicazione devono essere indicati e messi a verbale il giorno, l’ora, la durata e, se necessario, il luogo della comunicazione elettronica.

Il giudice istruttore, con ordinanza motivata, indica le circostanze di fatto che giustificano l’adozione del provvedimento, la sua proporzionalità, tenuto conto del rispetto della vita privata, e il suo carattere sussidiario rispetto a ogni altro dovere di indagine.

Egli determina ugualmente l’efficacia temporale del provvedimento, non potendo tale durata eccedere i due mesi a decorrere dalla data dell’ordinanza, salvo rinnovo, e, all’occorrenza, il periodo anteriore cui l’ordinanza si applica ai sensi del paragrafo 2.

(…)

2. Con riferimento all’applicazione del provvedimento di cui al paragrafo 1, primo comma, ai dati relativi al traffico o all’ubicazione conservati ai sensi dell’articolo 126 della [legge del 2005] si applicano le seguenti disposizioni:

– per i reati di cui al libro II, titolo I ter, del code pénal [codice penale], il giudice istruttore, nell’ordinanza, può richiedere i dati relativi al periodo di tempo corrispondente ai dodici mesi che precedono l’adozione dell’ordinanza;

– per gli altri reati di cui all’articolo 90 ter, paragrafi da 2 a 4, che non rientrano nelle fattispecie di cui al primo trattino o per i reati che sono commessi nell’ambito di un’organizzazione criminale ai sensi dell’articolo 324 bis del codice penale, o per i reati che comportano la detenzione correttiva principale di cinque anni o una pena superiore, il giudice istruttore, nell’ordinanza, può richiedere i dati relativi al periodo di tempo corrispondente ai nove mesi che precedono l’adozione dell’ordinanza;

– per gli altri reati, il giudice istruttore può richiedere esclusivamente i dati relativi al periodo di tempo corrispondente ai sei mesi che precedono l’adozione dell’ordinanza.

3. Il provvedimento non può riguardare i mezzi di comunicazione elettronica di un avvocato o di un medico, salvo il caso in cui si sospetti che tali soggetti abbiano commesso un reato di cui al paragrafo 1 o vi abbiano concorso oppure quando precise circostanze inducono a credere che i loro mezzi di comunicazione elettronica siano utilizzati da terzi che si sospetta abbiano commesso un reato di cui al paragrafo 1.

L’esecuzione del provvedimento non può avvenire senza che ne siano informati, a seconda del caso, il presidente dell’ordine degli avvocati o il rappresentante dell’ordine provinciale dei medici. Il giudice istruttore informa queste stesse persone degli elementi che ritiene essere coperti dal segreto professionale. Tali elementi non devono essere messi a verbale.

4. (…)

(…)».

12. Ai sensi dell’articolo 12, l’articolo 13 della legge del 1998 è così riformulato:

«I servizi di intelligence e di sicurezza possono ricercare, raccogliere, ricevere e trattare informazioni e dati personali che possono essere utili all’esercizio delle loro funzioni e tenere aggiornata una documentazione relativa, in particolare, a eventi, gruppi e persone che rivestono un interesse per l’esercizio delle loro funzioni.

Le informazioni contenute nella documentazione devono essere rilevanti per le finalità d’archivio e limitarsi alle esigenze connesse a dette finalità.

I servizi di intelligence e di sicurezza garantiscono la sicurezza dei dati delle proprie fonti e di quelle che forniscono informazioni e dati personali a tali fonti.

Gli agenti dei servizi di intelligence e di sicurezza hanno accesso a notizie, informazioni e dati personali raccolti e trattati dal rispettivo servizio, a condizione che siano utili all’esercizio delle loro funzioni o mansioni».

13. L’articolo 14 riformula l’articolo 18/3 [della legge del 1998], il quale prevede ora quanto segue:

«1. I metodi specifici di raccolta di dati di cui all’articolo 18/2, paragrafo 1, possono essere impiegati, tenuto conto della minaccia potenziale di cui all’articolo 18/1, quando i metodi ordinari di raccolta di dati non sono considerati sufficienti per garantire il reperimento delle informazioni necessarie alla realizzazione di una missione di intelligence. Il metodo specifico deve essere scelto in funzione della gravità della minaccia potenziale in relazione alla quale viene impiegato.

Il metodo specifico può essere impiegato solo in seguito a decisione scritta e motivata del dirigente del servizio e previa notifica di detta decisione alla Commissione.

2. La decisione del dirigente del servizio indica:

1° la natura del metodo specifico;

2° a seconda dei casi, le persone fisiche o giuridiche, le associazioni o i gruppi, gli oggetti, i luoghi, gli eventi o le informazioni che il metodo specifico concerne;

3° la minaccia potenziale che giustifica il metodo specifico;

4° le circostanze di fatto che giustificano il metodo specifico, la motivazione in termini di sussidiarietà e di proporzionalità, incluso il collegamento tra gli elementi di cui ai punti 2° e 3°;

5° il periodo durante il quale il metodo specifico può essere impiegato, a decorrere dalla notifica della decisione alla Commissione;

(…)

9° all’occorrenza, gli indizi gravi che dimostrino che l’avvocato, il medico o il giornalista concorre o ha concorso, personalmente e attivamente, al sorgere e allo svilupparsi della minaccia potenziale;

10° nei casi in cui si applica l’articolo 18/8, la motivazione della durata del periodo a cui la raccolta dei dati fa riferimento;

(…)

8. Il dirigente del servizio interrompe l’impiego del metodo specifico quando la minaccia potenziale che lo giustifica è venuta meno, quando il metodo non è più utile al raggiungimento dell’obiettivo per il quale era stato impiegato o se constata una violazione di legge. Egli informa, nel più breve termine possibile, la Commissione della sua decisione».

14. L’articolo 18/8 della legge del 1998 è così riformulato:

«1. I servizi di intelligence e di sicurezza possono, nell’interesse dell’esercizio delle proprie funzioni e a tal fine richiedendo, se necessario, l’assistenza tecnica dell’operatore di una rete di comunicazioni elettroniche o del fornitore di un servizio di comunicazione elettronica, procedere o far procedere:

1° al rilevamento dei dati di traffico dei mezzi di comunicazione elettronica a partire dai quali o verso i quali sono inviate o sono state inviate comunicazioni elettroniche;

2° alla localizzazione dell’origine o della destinazione di comunicazioni elettroniche.

(…)

2. Con riferimento all’applicazione del metodo di cui al paragrafo 1 ai dati conservati ai sensi dell’articolo 126 della [legge del 2005] (…) si applicano le seguenti disposizioni:

1° nel caso di minacce potenziali derivanti da un’attività riconducibile a organizzazioni criminali o organizzazioni settarie pericolose, il dirigente del servizio, nella sua decisione, può richiedere solo i dati relativi al periodo di tempo corrispondente ai sei mesi che precedono l’adozione di detta decisione;

2° nel caso di minacce potenziali diverse da quelle di cui ai punti 1° e 3°, il dirigente del servizio, nella sua decisione, può richiedere i dati relativi al periodo di tempo corrispondente ai nove mesi che precedono l’adozione di detta decisione;

3° nel caso di minacce potenziali derivanti da un’attività riconducibile a terrorismo o estremismo, il dirigente del servizio, nella sua decisione, può richiedere i dati relativi al periodo di tempo corrispondente ai dodici mesi che precedono l’adozione di detta decisione.

(…)».

II. Fatti e questioni pregiudiziali

15. Con sentenza dell’11 giugno 2015 (14), la Cour constitutionnelle (Corte costituzionale) ha annullato la nuova versione dell’articolo 126 della legge del 2005, per gli stessi motivi che avevano indotto la Corte di giustizia a dichiarare invalida la direttiva 2006/24 nella sentenza Digital Rights.

16. Il legislatore nazionale, tenuto conto di tale annullamento, ha adottato (prima che fosse pronunciata la sentenza Tele2 Sverige e Watson) la legge del 29 maggio 2016.

17. VZ e a., l’Ordre des barreaux francophones et germanophone (in prosieguo: l’«Ordre des barreaux»), la Liga voor Mensenrechten ASBL (in prosieguo: la «LMR»), la Ligue des Droits de l’Homme ASBL (in prosieguo: la «LDH») e l’Académie Fiscale ASBL (in prosieguo: l’«Académie Fiscale») hanno proposto dinanzi al giudice del rinvio una serie di ricorsi costituzionali contro detta legge, sostenendo, in sintesi, che essa andava oltre quanto strettamente necessario e non prevedeva sufficienti garanzie di tutela.

18. In tale contesto, la Cour constitutionnelle (Corte costituzionale) ha sottoposto alla Corte di giustizia le seguenti questioni:

«1) Se l’articolo 15, paragrafo 1, della direttiva 2002/58/CE, letto in combinato disposto con il diritto alla sicurezza, quale garantito dall’articolo 6 della Carta dei diritti fondamentali dell’Unione europea [in prosieguo: la “Carta”], e con il diritto al rispetto dei dati di carattere personale, quale garantito dagli articoli 7, 8 e 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale, come quella di cui trattasi nel procedimento principale, che prevede un obbligo generale per gli operatori e i fornitori di servizi di comunicazione elettronica di conservare i dati relativi al traffico e all’ubicazione ai sensi della direttiva 2002/58/CE, da essi generati o trattati nel quadro della fornitura di detti servizi, normativa nazionale che non si prefigge come obiettivo esclusivamente la ricerca, l’accertamento e il perseguimento di fatti di criminalità grave, ma anche la garanzia della sicurezza nazionale, della difesa del territorio e della sicurezza pubblica, la ricerca, l’accertamento e il perseguimento di fatti diversi da quelli di criminalità grave o la prevenzione dell’uso non autorizzato dei sistemi di comunicazione elettronica, oppure la realizzazione di altro obiettivo identificato dall’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 [del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1)], e che è inoltre soggetta alle garanzie che essa stessa specifica per quanto concerne la conservazione dei dati e la loro consultazione.

2) Se l’articolo 15, paragrafo 1, della direttiva 2002/58/CE, in combinato disposto con gli articoli 4, 7, 8, 11 e 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale, come quella di cui trattasi nel procedimento principale, che prevede un obbligo generale per gli operatori e i fornitori di servizi di comunicazione elettronica di conservare i dati relativi al traffico e all’ubicazione ai sensi della direttiva 2002/58/CE, da essi generati o trattati nel quadro della fornitura di detti servizi, se tale normativa ha segnatamente come obiettivo quello di dare attuazione agli obblighi positivi che gravano sulle autorità in forza degli articoli 4 e 8 della Carta, ovvero di prevedere un quadro normativo che permetta lo svolgimento di indagini penali preliminari effettive e una repressione effettiva degli abusi sessuali sui minori e che permetta in concreto di identificare l’autore di tali reati anche quando sono impiegati mezzi di comunicazione elettronica.

3) Qualora, sulla base delle risposte fornite alla prima o alla seconda questione pregiudiziale, la Cour constitutionnelle [Corte costituzionale] giunga alla conclusione che la legge impugnata viola uno o più fra gli obblighi derivanti dalle disposizioni che tali questioni menzionano, se possano essere mantenuti provvisoriamente gli effetti della legge [controversa] al fine di evitare una situazione di incertezza giuridica e di permettere che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per il raggiungimento degli obiettivi previsti dalla legge».

III. Procedimento dinanzi alla Corte

19. La domanda di pronuncia pregiudiziale è pervenuta alla cancelleria della Corte il 2 agosto 2018.

20. Hanno presentato osservazioni scritte VZ e a., l’Académie Fiscale, la LMR, la LDH, l’Ordre des barreaux, la Fondation pour Enfants Disparus et Sexuellement Exploités (Child Focus), i governi belga, ceco, cipriota, danese, dei Paesi Bassi, del Regno Unito, estone, francese, irlandese, polacco, spagnolo, svedese, tedesco e ungherese, nonché la Commissione.

21. Il 9 settembre 2019 si è svolta un’udienza pubblica, comune anche alle cause C‑511/18, C‑512/18 e C‑623/17, alla quale hanno partecipato le parti dei quattro procedimenti principali, i governi sopra menzionati e quello norvegese, la Commissione e il Garante europeo della protezione dei dati.

IV. Analisi

22. La prima questione la presente domanda di pronuncia pregiudiziale coincide, in sostanza, con quelle di cui alle cause C‑511/18 e C‑512/18. Se ne distingue, tuttavia, sotto il profilo degli obiettivi perseguiti dalla normativa nazionale: essi non sono unicamente la lotta contro il terrorismo e le forme più gravi di criminalità, o la salvaguardia della sicurezza nazionale, ma altresì la «difesa del territorio e della sicurezza pubblica, la ricerca, l’accertamento e il perseguimento di fatti diversi da quelli di criminalità grave» nonché, in generale, quelli menzionati all’articolo 23, paragrafo 1, del regolamento 2016/679.

23. La seconda questione è connessa alla prima, ma la completa nel senso che viene chiesto se gli obblighi positivi che incombono alle autorità pubbliche in materia di ricerca e sanzione degli abusi sessuali sui minori giustifichino le misure controverse.

24. La terza questione è formulata per l’ipotesi in cui la normativa nazionale risultasse incompatibile con il diritto dell’Unione. Il giudice del rinvio domanda se, in tale ipotesi, possa mantenere provvisoriamente gli effetti della legge del 29 maggio 2016.

25. Esaminerò tali questioni analizzando, in primo luogo, l’applicabilità della direttiva 2002/58, e rinviando a tal fine alle mie conclusioni negli altri procedimenti pregiudiziali sopra menzionati. In secondo luogo, indicherò i principali orientamenti della giurisprudenza della Corte in materia e i suoi possibili sviluppi. Infine, affronterò la soluzione delle singole questioni pregiudiziali.

A. Applicabilità della direttiva 2002/58

26. Come nelle altre tre domande di pronuncia pregiudiziale, anche in quella presente è stata messa in dubbio l’applicabilità della direttiva 2002/58. Data l’identità delle posizioni sostenute dagli Stati membri al riguardo, rinvio sul punto alle conclusioni nelle cause C‑511/18 e C‑512/18 (15).

B. La giurisprudenza della Corte sulla conservazione e l’accesso delle autorità pubbliche ai dati personali nel quadro della direttiva 2002/58

1. Il principio di riservatezza delle comunicazioni e dei dati connessi

27. Le disposizioni della direttiva 2002/58 «precisano e integrano» la direttiva 95/46/CE (16) al fine di conseguire un elevato livello di tutela dei dati personali nel contesto della fornitura di servizi di comunicazione elettronica (17).

28. L’articolo 5, paragrafo 1, della direttiva 2002/58 enuncia che gli Stati membri devono assicurare, con disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché la riservatezza dei relativi dati di traffico.

29. La riservatezza delle comunicazioni implica, tra l’altro (articolo 5, paragrafo 1, seconda frase, della direttiva 2002/58), il divieto per le persone diverse dagli utenti di memorizzare, senza consenso di questi ultimi, i dati relativi al traffico attinenti alle comunicazioni elettroniche. Sono previste eccezioni per «le persone autorizzate legalmente (…) e la memorizzazione tecnica necessaria alla trasmissione di una comunicazione» (18).

30. Gli articoli 5, 6 e 9, paragrafo 1, della direttiva 2002/58 sono intesi a preservare la riservatezza delle comunicazioni e dei dati connessi e a ridurre al minimo il rischio di abuso. La loro portata deve essere valutata alla luce del considerando 30 di detta direttiva, secondo il quale «[i] sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari» (19).

31. Per quanto riguarda tali dati, si possono distinguere:

– i dati relativi al traffico, che possono essere trattati e memorizzati soltanto nella misura e per la durata necessaria per la fatturazione e la commercializzazione dei servizi nonché per la fornitura di servizi a valore aggiunto (articolo 6 della direttiva 2002/58). Al termine di tale periodo, i dati che sono stati trattati e memorizzati devono essere cancellati o resi anonimi (20);

– i dati relativi all’ubicazione diversi dai dati relativi al traffico, che possono essere trattati soltanto in presenza di determinate condizioni e dopo essere stati resi anonimi o previo consenso degli utenti o degli abbonati (articolo 9, paragrafo 1, della direttiva 2002/58) (21).

2. La clausola di limitazione prevista all’articolo 15, paragrafo 1, della direttiva 2002/58

32. L’articolo 15, paragrafo 1, della direttiva 2002/58 autorizza gli Stati membri ad «adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9» di tale direttiva.

33. Eventuali limitazioni devono costituire, «ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica».

34. Tale elencazione di obiettivi presenta carattere esaustivo (22): a titolo d’esempio («tra l’altro»), sono consentite le «misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo».

35. In ogni caso, «[t]utte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea». Di conseguenza, l’articolo 15, paragrafo 1, della direttiva 2002/58 deve essere interpretato alla luce dei diritti fondamentali garantiti dalla Carta (23).

36. Fra tali diritti sanciti dalla Carta, la Corte ha menzionato, per quanto qui rileva, il diritto alla vita privata (articolo 7), il diritto alla protezione dei dati personali (articolo 8) e il diritto alla libertà di espressione (articolo 11) (24).

37. La Corte ha inoltre sottolineato, quale criterio per la sua interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, che le limitazioni dell’obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ad esse correlati devono essere interpretate in maniera restrittiva.

38. Segnatamente, ha escluso «che la deroga al suddetto obbligo di principio e, in particolare, al divieto di memorizzare tali dati, previsto dall’articolo 5 della medesima direttiva, divenga la regola, a pena di privare quest’ultima norma di gran parte della sua portata» (25).

39. Questa duplice osservazione mi sembra decisiva per comprendere perché la Corte abbia ritenuto incompatibile con la direttiva 2002/58 la conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione delle comunicazioni elettroniche.

40. Con tale dichiarazione, la Corte si è limitata ad applicare «strettamente» (26) il criterio di proporzionalità che aveva già utilizzato in precedenza (27): «la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione esige che le deroghe e le restrizioni alla tutela dei dati personali intervengano entro i limiti dello stretto necessario» (28).

3. La proporzionalità nella conservazione dei dati

a) Il carattere sproporzionato di una conservazione generalizzata e indifferenziata

41. La Corte ha riconosciuto che la lotta contro la criminalità grave, in particolare contro la criminalità organizzata e il terrorismo, è di capitale importanza per garantire la sicurezza pubblica e che la sua efficacia può dipendere in larga misura dall’uso delle moderne tecniche di indagine. Ha aggiunto che, «[t]uttavia, simile obiettivo di interesse generale, per quanto fondamentale, non può di per sé giustificare il fatto che una misura di conservazione, come quella istituita dalla direttiva 2006/24, sia considerata necessaria ai fini della suddetta lotta» (29).

42. Per stabilire se una misura di tal genere sia limitata allo stretto indispensabile, la Corte ha sottolineato, anzitutto, la particolare gravità dell’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta (30). Particolare gravità derivata, per l’appunto, dal fatto che la normativa nazionale prevedeva «una conservazione generalizzata e indifferenziata dell’insieme dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica, e che essa obbliga[va] i fornitori di servizi di comunicazione elettronica a conservare tali dati in maniera sistematica e continua, e ciò senza alcuna eccezione» (31).

43. L’ingerenza che siffatta misura comportava nella vita dei cittadini si riflette nelle valutazioni della Corte relative agli effetti della conservazione dei dati.

Tali dati (32)

– «permettono di ritrovare e di identificare la fonte di una comunicazione e la destinazione di quest’ultima, di stabilire la data, l’ora, la durata e il tipo di una comunicazione, nonché il materiale di comunicazione degli utenti, e di localizzare il materiale di comunicazione mobile» (33);

– «permettono, in particolare, di sapere quale sia la persona con la quale un abbonato o un utente iscritto ha comunicato e attraverso quale mezzo, come pure di stabilire il tempo della comunicazione, nonché il luogo a partire dal quale quest’ultima ha avuto luogo. Inoltre, essi permettono di conoscere la frequenza delle comunicazioni dell’abbonato o dell’utente iscritto con talune persone durante un periodo determinato» (34);

– «sono idonei a consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati» (35);

– «forniscono gli strumenti per stabilire (…) il profilo delle persone interessate, informazione tanto sensibile, in rapporto al diritto al rispetto della vita privata, quanto il contenuto stesso delle comunicazioni» (36).

44. L’ingerenza può inoltre ingenerare «nello spirito delle persone riguardate la sensazione che la loro vita privata costituisca l’oggetto di una sorveglianza continua», in quanto «la conservazione dei dati [viene] effettuata senza che gli utenti dei servizi di comunicazione elettronica ne siano informati» (37).

45. Tenuto conto dell’ampiezza di tale ingerenza, soltanto la lotta contro i reati gravi sarebbe idonea a giustificare una misura di conservazione con simili caratteristiche (38). Detta misura, tuttavia, non può diventare la regola generale, giacché «il sistema istituito dalla direttiva 2002/58 esige che tale conservazione dei dati sia l’eccezione» (39).

46. Dal fatto che la misura in questione non prevedeva «alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito» (40) e «non richiede[va] alcuna correlazione tra i dati di cui si prevede[va] la conservazione e una minaccia per la sicurezza pubblica» (41) risultavano poi le seguenti due caratteristiche:

– da un lato, la misura in parola riguardava «in maniera globale l’insieme delle persone che si avvalgono di servizi di comunicazione elettronica, senza che tali persone si trovino, anche solo indirettamente, in una situazione suscettibile di dar luogo ad azioni penali. (…) Inoltre, essa non prevede[va] alcuna eccezione, di modo che essa si applica[va] anche a persone le cui comunicazioni sono sottoposte, secondo le norme del diritto nazionale, al segreto professionale» (42);

– dall’altro, «(…) essa non [era] limitata ad una conservazione avente ad oggetto dati relativi ad un periodo di tempo e/o a una zona geografica e/o una cerchia di persone suscettibili di essere implicate in una maniera o in un’altra in una violazione grave, oppure persone che potrebbero, per altri motivi, contribuire, mediante la conservazione dei loro dati, alla lotta contro la criminalità» (43).

47. In tali circostanze, la normativa nazionale esaminata travalicava i limiti dello stretto necessario. Essa non poteva quindi essere considerata giustificata, in una società democratica, così come richiede l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta (44).

b) La possibilità di una conservazione mirata dei dati

48. La Corte ha riconosciuto la conformità al diritto dell’Unione di una normativa nazionale che «consenta, a titolo preventivo, la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione, per finalità di lotta contro la criminalità grave» (45).

49. La validità di tale conservazione mirata dei dati è subordinata alla condizione che essa «sia, per quanto riguarda le categorie di dati da conservare, i mezzi di comunicazione interessati, le persone riguardate, nonché la durata di conservazione prevista, limitata allo stretto necessario».

50. I criteri forniti dalla sentenza Tele2 Sverige e Watson per stabilire quando ricorrano dette condizioni non sono esaustivi (e forse non potevano esserlo) e appaiono formulati in termini piuttosto generali. Per rispettarli, gli Stati membri:

– devono prevedere norme chiare e precise che disciplinino la portata e l’applicazione di una siffatta misura di conservazione dei dati (46);

– devono fissare «criteri oggettivi, istituendo un rapporto tra i dati da conservare e l’obiettivo perseguito» (47); e

– devono basarsi «su elementi oggettivi, che permettano di prendere in considerazione un pubblico i cui dati sono idonei a rivelare una connessione, almeno indiretta, con atti di criminalità grave, a contribuire in un modo o in un altro alla lotta contro la criminalità grave, o a prevenire un grave rischio per la sicurezza pubblica» (48).

51. In relazione a tali elementi oggettivi, la Corte menziona a titolo di esempio la possibilità di utilizzare un criterio geografico per delimitare il pubblico e le situazioni potenzialmente riguardati. L’evocazione di tale criterio, cui hanno fatto riferimento in termini critici alcuni Stati membri, non è intesa, a mio avviso, a limitare ad esso l’elenco dei fattori di selettività ammessi.

4. La proporzionalità nell’accesso ai dati

a) La sentenza Tele2 Sverige e Watson

52. La Corte esamina l’accesso delle autorità nazionali ai dati indipendentemente dall’ampiezza dell’obbligo di conservazione che sarebbe imposto ai fornitori di servizi di comunicazione elettronica e, in particolare, dal carattere generalizzato o specifico della conservazione dei dati (49).

53. Infatti, sebbene la ratio della conservazione consista nel consentire il successivo accesso ai dati, l’una e l’altro possono provocare distinte violazioni dei diritti fondamentali tutelati dalla Carta. Tale differenziazione non implica, tuttavia, che alcune delle considerazioni relative alla conservazione non siano applicabili anche all’accesso ai dati conservati.

54. In tale ottica, l’accesso:

– «deve rispondere in modo effettivo e rigoroso ad uno [degli] obiettivi» previsti dall’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58. Inoltre, deve esistere una correlazione tra la gravità dell’ingerenza e l’obiettivo perseguito. Un’ingerenza qualificata come grave può essere giustificata unicamente dalla lotta contro la criminalità grave (50);

– può essere autorizzato soltanto entro i limiti dello stretto necessario (51). Occorre peraltro che le misure legislative prevedano «norme chiare e precise che indichino in quali circostanze e a quali condizioni i fornitori di servizi di comunicazione elettronica devono concedere alle autorità nazionali competenti l’accesso ai dati. Allo stesso modo, una misura di questa natura deve essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale» (52);

– più in particolare, le normative nazionali devono stabilire «le condizioni sostanziali e procedurali che disciplinano l’accesso delle autorità nazionali competenti ai dati conservati» (53).

55. Da quanto precede si può dedurre che «un accesso generale a tutti i dati conservati, indipendentemente da una qualche connessione, almeno indiretta, con la finalità perseguita, non può essere considerato limitato allo stretto necessario» (54).

56. Secondo la Corte, «la normativa nazionale in questione deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati degli abbonati o degli utenti iscritti» (55). A tale proposito, «un accesso può, in linea di principio, essere consentito, in relazione con l’obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso una violazione grave, o anche di essere implicate in una maniera o in un’altra in una violazione siffatta» (56).

57. In altri termini, le norme nazionali che concedono alle autorità nazionali competenti l’accesso ai dati conservati devono avere una portata sufficientemente limitata. Deve esistere un collegamento tra le persone interessate e l’obiettivo perseguito, in modo che l’accesso non riguardi un numero significativo di persone, o addirittura tutte le persone, tutti i mezzi di comunicazione elettronica e tutti i dati memorizzati.

58. Tali regole possono nondimeno essere temperate in determinate circostanze. La Corte si riferisce a «situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo». In siffatte situazioni, «l’accesso ai dati di altre persone potrebbe essere parimenti concesso quando sussistano elementi oggettivi che consentano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro simili attività» (57).

59. Tale chiarimento fornito dalla Corte implica che gli Stati membri possano istituire un regime particolare di accesso ai dati più ampio, quando eccezionalmente risulti necessario per contrastare le minacce agli interessi fondamentali dello Stato (la sicurezza nazionale, la difesa e la sicurezza pubblica) (58), in modo da includere anche persone che presentino solo un collegamento indiretto con detti rischi.

60. L’accesso delle autorità nazionali ai dati conservati, di qualunque tipo esso sia, deve essere subordinato a tre condizioni:

– deve essere soggetto, «in linea di principio, salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente». La decisione di detto giudice o di detta entità deve essere adottata «a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale» (59);

– «le autorità nazionali competenti alle quali è stato consentito l’accesso ai dati conservati ne diano notizia alle persone interessate, nell’ambito delle procedure nazionali applicabili, a partire dal momento in cui tale comunicazione non è suscettibile di compromettere le indagini condotte dalle autorità summenzionate» (60);

– gli Stati membri devono adottare norme sulla sicurezza e la protezione dei dati conservati dai fornitori di servizi di comunicazione elettronica, onde evitare l’uso indebito e l’accesso illecito ai dati (61).

b) La sentenza Ministerio Fiscal

61. In tale causa si chiedeva se fosse compatibile con l’articolo 15, paragrafo 1, della direttiva 2002/58, interpretato alla luce degli articoli 7 e 8 della Carta, una normativa nazionale che prevede l’accesso delle autorità competenti ai dati relativi all’identità civile dei titolari di talune carte SIM.

62. La Corte ha dichiarato che l’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58 non limita l’obiettivo di prevenzione, ricerca, accertamento e perseguimento dei reati alla sola lotta contro i reati gravi, ma fa riferimento ai «reati» in generale (62).

63. Inoltre, affinché l’accesso ai dati da parte delle autorità nazionali competenti sia giustificato, deve esistere una correlazione tra la gravità dell’ingerenza e la gravità dei reati di cui trattasi. Di conseguenza:

– «una grave ingerenza può essere giustificata (…) solo da un obiettivo di lotta contro la criminalità che deve essere qualificata come “grave»”» (63);

– invece, «qualora l’ingerenza che comporta tale accesso non sia grave, detto accesso può essere giustificato da un obiettivo di prevenzione, ricerca, accertamento e perseguimento di un “reato” in generale» (64).

64. Muovendo da tale premessa, e diversamente che nella sentenza Tele2 Sverige e Watson, la Corte non ha qualificato come «grave» l’ingerenza nei diritti tutelati agli articoli 7 e 8 della Carta, in quanto la domanda di accesso aveva «il solo scopo di identificare i titolari delle carte SIM attivate, per un periodo di dodici giorni, con il codice IMEI del telefono cellulare rubato» (65).

65. Per mettere in risalto la minore gravità dell’ingerenza, la Corte ha spiegato che «i dati oggetto della domanda di accesso di cui al procedimento principale consentono unicamente di collegare, nel corso di un determinato periodo, la o le carte SIM attivate con il telefono cellulare rubato con l’identità civile dei titolari di tali carte SIM. Senza una verifica incrociata dei dati relativi alle comunicazioni effettuate con tali schede SIM e dei dati relativi all’ubicazione, questi dati non permettono di conoscere né la data, né l’ora, né la durata, né i destinatari delle comunicazioni effettuate con la o le carte SIM in questione, né i luoghi in cui dette comunicazioni sono avvenute o la frequenza di esse con talune persone nel corso di un determinato periodo. Questi dati non permettono quindi di trarre conclusioni precise sulla vita privata delle persone i cui dati sono oggetto di attenzione» (66).

66. Nella causa definita con la sentenza Ministerio Fiscal non si chiedeva se i dati personali oggetto di accesso fossero stati conservati dai fornitori di comunicazioni elettroniche in conformità con le condizioni previste dall’articolo 15, paragrafo 1, della direttiva 2002/58, interpretate alla luce degli articoli 7 e 8 della Carta (67). Non è stata esaminata neppure la questione se fossero o meno soddisfatte le altre condizioni di accesso risultanti da detto articolo.

67. Pertanto, la lettura della sentenza Ministerio Fiscal non consente di dedurre alcun mutamento nella giurisprudenza della Corte relativa all’incompatibilità con il diritto dell’Unione di un regime nazionale che autorizza la conservazione generalizzata e indifferenziata dei dati, ai sensi della sentenza Tele2 Sverige e Watson.

68. Ritengo tuttavia che la Corte, riconoscendo la validità del regime di accesso limitato a taluni dati personali (quelli relativi all’identità civile dei titolari di carte SIM), ammetta implicitamente la conservazione di questi stessi dati da parte dei fornitori del servizio.

C. Le principali critiche alla giurisprudenza della Corte

69. Sia il giudice del rinvio che la maggioranza degli Stati membri che hanno presentato osservazioni invitano la Corte a chiarire, temperare o addirittura riconsiderare vari aspetti della sua giurisprudenza in materia, sulla quale vertono le loro critiche.

70. La maggior parte di dette critiche, velate o esplicite, era già stata espressa in occasione della sentenza Digital Rights e respinta nella sentenza Tele2 Sverige e Watson. Esse ricompaiono ora per evidenziare, in sintesi, che sarebbero sufficienti norme rigorose sull’accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica, che possano compensare, in qualche modo, la gravità dell’ingerenza che la conservazione generalizzata e indifferenziata di tali dati comporta.

71. Alcune di tali critiche evidenziano poi la necessità di adottare misure realmente efficaci per la lotta contro le minacce gravi alla sicurezza, e contro la criminalità in generale, e si chiede alla Corte di tenere conto del diritto alla sicurezza (articolo 6 della Carta), nonché del margine di discrezionalità di cui dispongono gli Stati membri per salvaguardare la sicurezza nazionale. In alcuni casi si aggiunge che la Corte non ha preso in considerazione la natura preventiva dell’intervento dei servizi di sicurezza e di intelligence.

D. La mia valutazione delle critiche e le precisazioni che si potrebbero apportare alla giurisprudenza della Corte

72. A mio avviso, la Corte dovrebbe mantenere la posizione di principio che ha assunto nelle sue sentenze precedenti: un obbligo generalizzato e indifferenziato di conservazione di tutti i dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti iscritti comporta una violazione sproporzionata dei diritti fondamentali tutelati dagli articoli 7, 8 e 11 della Carta.

73. A sensu contrario, una normativa nazionale che prevedesse restrizioni adeguate alla conservazione di alcuni di tali dati, generati nel contesto della fornitura di servizi di comunicazione elettronica, potrebbe essere compatibile con il diritto dell’Unione. La chiave risiede quindi nella conservazione limitata dei dati in parola.

74. Per i motivi che illustrerò nel prosieguo, tale conservazione limitata non dovrebbe essere solo quella avente ad oggetto una zona geografica o una categoria di persone precisamente individuate: dalle discussioni su questi criteri di conservazione emerge che essi potrebbero essere impraticabili, o inefficaci rispetto ai fini perseguiti, o addirittura diventare una fonte di discriminazione.

75. Anzitutto, non condivido l’argomentazione critica che sostiene il binomio «conservazione più ampia in cambio di un accesso più limitato». Secondo il ragionamento della Corte, che condivido, la conservazione e l’accesso ai dati costituiscono due tipi diversi di ingerenza. Quand’anche la conservazione dei dati risulti sensata in vista di un eventuale accesso successivo delle autorità competenti, ciascuna di tali ingerenze deve essere giustificata separatamente, mediante un esame specifico alla luce dell’obiettivo perseguito.

76. Pertanto, un sistema nazionale che prevede la conservazione generalizzata e indifferenziata dei dati non può essere giustificato con il fatto che, nel contempo, le sue disposizioni introducono requisiti rigorosi, sostanziali e procedurali, per l’accesso a tali dati.

77. Devono quindi esservi disposizioni specificamente riguardanti la conservazione dei dati che la subordinino a determinate condizioni per evitare che essa assuma carattere generalizzato e indifferenziato. Solo in tal modo ne viene garantita la compatibilità con l’articolo 15, paragrafo 1, della direttiva 2002/58, alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta.

78. Tale è peraltro l’approccio adottato dai gruppi di lavoro riunitisi in seno al Consiglio per definire norme sulla conservazione e sull’accesso compatibili con la giurisprudenza della Corte, che esamina in parallelo i due tipi di ingerenza (68).

79. L’applicazione di limiti a ciascuno di questi due tipi di ingerenze permetterà di valutare se il loro eventuale effetto cumulativo, combinato con solide garanzie, sia in grado di mitigare l’incidenza della conservazione dei dati sui diritti fondamentali tutelati dagli articoli 7, 8 e 11 della Carta, garantendo al contempo l’efficacia delle indagini.

80. Per proteggere tali diritti, il sistema deve:

– prevedere una conservazione dei dati soggetta a limiti e differenze in funzione dell’obiettivo perseguito;

– prevedere l’accesso ai dati solo nella misura strettamente necessaria per lo scopo perseguito e sotto il controllo di un giudice o di un’autorità amministrativa indipendente.

81. La giustificazione dell’obbligo per i fornitori di servizi di comunicazione elettronica di conservare taluni dati, e non unicamente per la gestione delle loro obbligazioni contrattuali nei confronti degli utenti, si rafforza in parallelo con il progresso tecnologico. Se si ammette che tale conservazione è utile per prevenire e contrastare la criminalità (il che appare difficilmente contestabile (69)), non sarebbe logico limitarne la portata al mero utilizzo dei dati che gli operatori conservano per svolgere le loro attività commerciali e solo per il tempo necessario ai fini di dette attività.

82. Una volta riconosciuta l’utilità di un obbligo di conservazione dei dati per tutelare la sicurezza nazionale e contrastare la criminalità, al di là di quella che gli operatori possono effettuare per le loro esigenze tecniche e commerciali, è indispensabile definire i contorni di tale obbligo.

83. Qualsiasi regime di conservazione deve essere rigorosamente conforme allo scopo perseguito, in modo che non possa trasformarsi in una conservazione indifferenziata (70). Deve inoltre escludere che l’insieme di tali dati fornisca un ritratto dell’interessato (vale a dire, delle sue attività abituali e delle sue relazioni sociali) simile o analogo a quello che si otterrebbe conoscendo il contenuto delle comunicazioni.

84. Per evitare malintesi e incomprensioni, è importante tenere conto di quanto la Corte non ha dichiarato nelle sentenze Digital Rigths e Tele2 Sverige e Watson. In dette sentenze non è stata censurata l’esistenza in sé di un regime di conservazione dei dati in quanto strumento utile per la lotta contro la criminalità. Al contrario, è stata riconosciuta la legittimità dell’obiettivo di prevenire e reprimere i reati, nonché l’utilità di un regime di conservazione dei dati per conseguire tale obiettivo.

85. Ciò che, ripeto, è stato escluso in quei casi, e fermamente, è che l’Unione o i suoi Stati membri possano, invocando tale obiettivo, imporre la conservazione indifferenziata di tutti i dati generati nell’ambito della fornitura di servizi di comunicazione elettronica e l’accesso generalizzato a detti dati.

86. Occorre quindi trovare modalità di conservazione dei dati che preservino quest’ultima da qualificazioni («generalizzata e indifferenziata») incompatibili con la protezione richiesta dagli articoli 7, 8 e 11 della Carta.

87. Una di tali modalità sarebbe la conservazione mirata dei dati relativi ad un pubblico specifico (in teoria, quello che presenta certi collegamenti, più o meno diretti, con le minacce più gravi) o ad un’area geografica determinata.

88. Questo approccio, tuttavia, presenta alcune difficoltà.

– L’identificazione di un gruppo di potenziali aggressori sarebbe probabilmente insufficiente qualora essi utilizzassero tecniche di anonimizzazione o falsificassero la loro identità. La scelta di tali gruppi potrebbe inoltre portare ad introdurre un regime di sospetto generalizzato su alcuni segmenti della popolazione ed essere qualificata come discriminatoria, a seconda dell’algoritmo utilizzato.

– La selezione in base a criteri geografici (che, per essere efficace, dovrebbe riguardare aree non molto ristrette) solleva gli stessi problemi e ne aggiunge altri, come osservato in udienza dal Garante europeo della protezione dei dati, in quanto potrebbe stigmatizzare determinate aree.

89. Peraltro, potrebbe esservi una certa contraddizione tra il carattere preventivo della conservazione riguardante un pubblico specifico o un’area geografica determinata e il fatto che non si conoscano in anticipo gli autori dei reati, né il luogo e il momento della loro commissione.

90. Ad ogni modo, non si deve escludere che si trovino formule di conservazione mirata basate su tali criteri che siano utili per raggiungere gli obiettivi sopra indicati. Spetta al potere legislativo, in ogni Stato membro o per tutta l’Unione, elaborare formule siffatte, rispettose della protezione dei diritti fondamentali tutelati dalla Corte.

91. Sarebbe un errore credere che la conservazione mirata di dati relativi ad un pubblico specifico o ad un’area geografica determinata sia l’unica formula che la Corte considera compatibile con l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta.

92. Si possono trovare, insisto, altre modalità di conservazione mirata dei dati, oltre a quelle incentrate su gruppi specifici di persone o aree geografiche. È quanto hanno ritenuto anche i gruppi di lavoro del Consiglio cui ho accennato in precedenza: essi hanno preso in considerazione, segnatamente, come vie da esplorare, la limitazione delle categorie di dati conservati (71), la pseudonimizzazione dei dati (72), la fissazione di periodi di conservazione limitati (73), l’esclusione di determinate categorie di fornitori di servizi di comunicazione elettronica (74), le autorizzazioni alla conservazione rinnovabili (75), l’obbligo di conservare i dati memorizzati nell’Unione o il controllo sistematico e costante da parte di un’autorità amministrativa indipendente delle garanzie offerte dai fornitori di servizi di comunicazione elettronica contro l’uso indebito dei dati.

93. A mio avviso, per conformarsi alla giurisprudenza della Corte, si dovrebbe preferire una conservazione temporanea di alcune categorie di dati relativi al traffico e all’ubicazione, limitate in funzione delle strette esigenze di sicurezza, che non consentissero, nel loro insieme, di ottenere un’immagine precisa e dettagliata della vita delle persone interessate.

94. A livello pratico, ciò significa che, per le due categorie principali (dati relativi al traffico e dati relativi all’ubicazione) devono essere conservati, mediante gli opportuni filtri, soltanto i dati minimi ritenuti assolutamente indispensabili per la prevenzione e il controllo efficaci della criminalità e per la salvaguardia della sicurezza nazionale.

95. Spetta agli Stati membri o alle istituzioni dell’Unione effettuare tale selezione, per via legislativa (con l’aiuto dei propri esperti), rinunciando a qualsiasi tentativo di imporre una conservazione generalizzata e indifferenziata di tutti i dati relativi al traffico e all’ubicazione.

96. In aggiunta a tale limitazione per categorie, i dati potranno essere conservati solo per un certo periodo, in modo che non consentano di offrire un’immagine dettagliata della vita delle persone interessate. Tale periodo di conservazione deve inoltre essere adattato in funzione della natura dei dati, così che quelli che forniscono informazioni più precise sullo stile di vita e le abitudini di dette persone siano conservati per un periodo di tempo più breve (76).

97. In altri termini, la diversificazione del periodo di conservazione di ciascuna categoria di dati, in funzione della sua utilità per conseguire gli obiettivi di sicurezza, è una strada che deve essere esplorata. Riducendo il periodo in cui le varie categorie di dati sono conservate simultaneamente (e, pertanto, possono essere utilizzate per trovare correlazioni che rivelino lo stile di vita delle persone interessate), si estende la protezione del diritto tutelato dall’articolo 8 della Carta.

98. In tal senso si è espresso in udienza il Garante europeo della protezione dei dati: più sono le categorie di metadati conservate e più è lungo il periodo di conservazione, tanto più facile sarà definire il profilo dettagliato di una persona, e viceversa (77).

99. Peraltro, come è parimenti emerso in udienza, risulta difficile tracciare il confine fra taluni metadati delle comunicazioni elettroniche e il contenuto di queste medesime comunicazioni. Alcuni metadati possono essere altrettanto o ancor più rivelatori del contenuto stesso delle comunicazioni: ciò potrebbe valere per gli indirizzi (URL) delle pagine web visitate (78). Ne consegue che occorrerebbe prestare particolare attenzione a questo genere di dati e ad altri analoghi, per limitare al massimo la necessità e la durata della loro conservazione.

100. Trovare una soluzione equilibrata non è facile, giacché la tecnica consistente nell’incrociare e mettere in relazione tra loro i dati conservati consente ai servizi di indagine e vigilanza di identificare un sospetto o una minaccia, a seconda dei casi. Tuttavia, esiste una gradualità tra la conservazione dei dati finalizzata all’individuazione di tale sospetto o minaccia e quella che ha il risultato di offrire un ritratto particolareggiato della vita di una persona.

101. In attesa di una disciplina comune per l’intera Unione in tale specifica materia, ritengo che non si possa chiedere alla Corte di assumere funzioni normative e di puntualizzare, minuziosamente, quali categorie di dati possano essere conservate e per quanto tempo. Spetta alle istituzioni dell’Unione e agli Stati membri, una volta fissati i limiti che, secondo la Corte, derivano dalla Carta, collocare il cursore nella posizione giusta per conseguire un equilibrio fra la tutela della sicurezza e i diritti fondamentali protetti dalla Carta.

102. È vero che prescindere dalle informazioni ricavabili da un maggior numero di dati conservati potrebbe rendere più difficile, in alcuni casi, la lotta contro le potenziali minacce. Ma si tratta di un tributo, come altri, che i poteri pubblici devono pagare quando si impongono l’obbligo di salvaguardare i diritti fondamentali.

103. Così come nessuno proporrebbe un obbligo ex ante di conservazione generalizzata e indifferenziata dei contenuti delle comunicazioni elettroniche private (neppure qualora la legge garantisse la limitazione del successivo accesso a detti contenuti), allo stesso modo i metadati di tali comunicazioni, che possono riflettere informazioni altrettanto sensibili quanto i contenuti stessi, non devono poter essere oggetto di una conservazione indifferenziata e generalizzata.

104. La difficoltà legislativa – che riconosco – di definire con precisione i casi e le condizioni in cui si possa effettuare una conservazione mirata non giustifica il fatto che gli Stati membri, facendo dell’eccezione una norma, trasformino la conservazione generalizzata di dati personali nel principio chiave della loro legislazione. Se così fosse, si ammetterebbe la durata a tempo indeterminato di un pregiudizio rilevante al diritto alla protezione dei dati personali.

105. Devo aggiungere che nulla osta a che, in situazioni propriamente eccezionali, caratterizzate da una minaccia imminente o da un rischio di carattere straordinario tali da giustificare la dichiarazione ufficiale dello stato di emergenza in uno Stato membro, la legislazione nazionale preveda, per un periodo di tempo limitato, la possibilità di imporre un obbligo di conservazione dei dati tanto ampio e generalizzato quanto si ritenga necessario.

106. In un tale contesto si potrebbe adottare una normativa che consenta specificamente una conservazione dei dati (e l’accesso agli stessi) più ampia, secondo condizioni e procedure che assicurino l’eccezionalità di tali misure, per quanto attiene alla loro portata sostanziale e alla loro durata, con adeguate garanzie giurisdizionali.

107. Dall’esame comparato dei regimi normativi che disciplinano le situazioni costituzionali di emergenza risulta che non è impossibile delimitare le situazioni di fatto idonee a determinare l’applicazione di un regime normativo particolare, stabilendo quale autorità possa adottare tale decisione, a quali condizioni e sotto quale controllo (79).

E. Le risposte specifiche alle tre questioni pregiudiziali

1. Osservazioni preliminari

108. Il giudice del rinvio chiede un’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 in relazione a vari diritti garantiti dalla Carta: il diritto al rispetto della vita privata e della vita familiare (articolo 7), il diritto alla protezione dei dati di carattere personale (articolo 8) e il diritto alla libertà di espressione e di informazione (articolo 11).

109. Come ho indicato nelle conclusioni relative alle cause C‑511/18 e C‑512/18, sono questi in effetti i diritti che, secondo la Corte, potrebbero risultare lesi nei casi in esame.

110. Tuttavia, la Cour constitutionnelle (Corte costituzionale) richiama del pari gli articoli 4 e 6 della Carta, cui si riferiscono rispettivamente la seconda e la prima questione pregiudiziale.

111. Per quel che riguarda l’articolo 6 della Carta, che garantisce il diritto alla libertà e alla sicurezza, esso è stato invocato anche nelle cause C‑511/18 e C‑512/18 e sulla sua pertinenza mi sono pronunciato nelle relative conclusioni, alle quali rinvio (80).

112. Quanto all’articolo 4 della Carta, poiché la risposta non dipende tanto dall’analisi della legislazione interna, per confrontarla con il diritto dell’Unione, quanto dall’interpretazione di tale precetto, mi sembra opportuno risolvere anzitutto la questione che vi fa riferimento.

2. Sulla seconda questione pregiudiziale

113. Il riferimento alla proibizione della tortura, delle pene e dei trattamenti inumani o degradanti, garantita dall’articolo 4 della Carta, è operato invero unicamente nella presente domanda di pronuncia pregiudiziale, ciò che mi impone di prenderlo in esame.

114. Richiamando l’articolo 4 della Carta, il giudice del rinvio intende evidenziare che la normativa nazionale è diretta anche ad assolvere l’obbligo positivo gravante sul potere pubblico di provvedere «un quadro normativo che permetta lo svolgimento di indagini preliminari effettive e una repressione effettiva degli abusi sessuali sui minori e che permetta in concreto di identificare l’autore di tali reati anche quando sono impiegati mezzi di comunicazione elettronica» (81).

115. A mio avviso, tale particolare obbligo positivo non è molto diverso da tutti gli obblighi specifici nei quali si traduce, per lo Stato, la proclamazione di un catalogo di diritti fondamentali. I diritti alla vita (articolo 2 della Carta), all’integrità fisica (articolo 3 della Carta) o alla protezione dei dati (articolo 8 della Carta), al pari delle libertà di espressione (articolo 11 della Carta) o di pensiero, di coscienza e di religione (articolo 10 della Carta), comportano per lo Stato l’obbligo di istituire un quadro normativo nel quale sia garantito il loro effettivo godimento, se del caso mediante l’amministrazione della forza, che è monopolio del potere pubblico, nei confronti di chiunque intenda impedirlo od ostacolarlo (82).

116. Quanto agli abusi sessuali sui minori, la Corte EDU ritiene che i minori e altre persone vulnerabili abbiano un diritto qualificato alla protezione dello Stato, mediante l’adozione di norme di natura penale che sanzionino in modo efficace e con effetti deterrenti la commissione di tali reati (83).

117. Siffatto diritto qualificato alla protezione non ricade solo nell’ambito di applicazione dell’articolo 4 della Carta, giacché potrebbero invocarsi naturalmente l’articolo 1 (dignità umana) o l’articolo 3 (diritto all’integrità fisica e psichica).

118. Se pure l’obbligo positivo dei poteri pubblici di garantire la tutela dei minori e di altre persone vulnerabili non deve essere ignorato nella ponderazione dei beni giuridici interessati dalla normativa nazionale (84), esso non può neppure però tradursi in «oneri eccessivi» per il potere pubblico (85) né essere soddisfatto prescindendo dalla legalità o dal rispetto degli altri diritti fondamentali (86).

3. Sulla prima questione pregiudiziale

119. Il giudice del rinvio chiede, in sintesi, se il diritto dell’Unione osti alla legge nazionale sulla quale è chiamato a pronunciarsi nell’ambito del ricorso costituzionale.

120. Poiché la Corte di giustizia ha già fornito l’interpretazione della direttiva 2002/58 conforme alle correlate disposizioni della Carta, la risposta alla questione pregiudiziale dovrà tenere conto della dottrina stabilita nella sentenze Tele2 Sverige e Watson, se del caso con le precisazioni che si aggiungono ora.

121. Muovendo da tale premessa, i criteri interpretativi che possono essere offerti alla Cour constitutionnelle (Corte Costituzionale) affinché valuti, autonomamente, la conformità della normativa interna al diritto dell’Unione devono vertere, separatamente, sulla conservazione e sull’accesso ai dati, come disciplinati da detta normativa nazionale.

a) I requisiti della conservazione dei dati

122. Il governo belga sottolinea di voler stabilire un quadro giuridico chiaro, che comprenda le garanzie necessarie per la tutela della vita privata, anziché basarsi sulla prassi degli operatori di servizi di comunicazione elettronica relativa alla conservazione dei dati ai fini della fatturazione e del trattamento delle richieste di informazioni dei clienti.

123. Secondo detto governo, l’obbligo generale e preventivo di conservazione dei dati non ha quale unico scopo la ricerca, l’accertamento e il perseguimento dei reati gravi, ma altresì la salvaguardia della sicurezza nazionale, la difesa del territorio e della pubblica sicurezza, la ricerca, l’accertamento e il perseguimento di atti diversi dai reati gravi, la prevenzione dell’utilizzo vietato dei sistemi di comunicazione elettronica (87) o qualsiasi altro obiettivo indicato all’articolo 23, paragrafo 1, del regolamento 2016/679.

124. Secondo il governo belga:

– la conservazione dei dati, in quanto tale, non consente di trarre conclusioni molto precise sulla vita privata delle persone interessate: siffatte conclusioni potrebbero trarsi solo nella misura in cui fosse anche fornito l’accesso ai dati conservati;

– la legge contiene riserve intese a tutelare la vita privata; tra le altre, la conservazione dei dati non riguarda il contenuto delle comunicazioni; le garanzie relative alla giustificazione della conservazione, il diritto di accesso, il diritto di rettifica e altri diritti sono pienamente applicabili; i fornitori e gli operatori devono sottoporre i dati conservati ai medesimi obblighi e alle medesime misure di sicurezza e protezione applicabili ai dati in rete, impedendone la distruzione accidentale o illecita nonché la perdita o l’alterazione accidentale;

– i dati possono essere conservati per dodici mesi (trascorsi i quali devono essere distrutti) e soltanto nel territorio dell’Unione;

– i fornitori e gli operatori devono attuare misure di protezione tecnologica che rendano i dati conservati, a partire dalla loro registrazione, illeggibili e inutilizzabili da parte di chiunque non sia autorizzato ad avervi accesso;

– in ogni caso, tali operazioni sono effettuate sotto il controllo dell’organismo belga di regolamentazione dei settori delle poste e delle telecomunicazioni e dell’Autorità per la protezione dei dati.

125. Nonostante tali garanzie, certamente la legislazione belga impone agli operatori e ai fornitori di servizi di comunicazione elettronica l’obbligo, generale e indifferenziato, di conservare i dati relativi al traffico e all’ubicazione, ai sensi della direttiva 2002/58, trattati nel contesto della fornitura di tali servizi. Il periodo di conservazione, come già rilevato, è di dodici mesi, in generale: non è prevista alcuna limitazione temporale in funzione della categoria di dati conservati.

126. Tale obbligo di conservazione generalizzata e indifferenziata si applica in modo permanente e continuato. Quand’anche il suo obiettivo sia la prevenzione, la ricerca, l’accertamento e il perseguimento di tutti i tipi di reati (da quelli che presentano un nesso con la sicurezza nazionale o la difesa, o quelli particolarmente gravi, a quelli per i quali è prevista una pena detentiva inferiore a un anno), un obbligo siffatto non è conforme alla giurisprudenza della Corte e pertanto non può essere ritenuto compatibile con la Carta.

127. Al fine di adeguarsi a tale giurisprudenza, il legislatore belga dovrà esplorare altre vie (come quelle che ho menzionato in precedenza), che introducano formule di conservazione limitata. Tali formule, variabili in funzione della categoria di dati, devono essere conformi al principio secondo cui deve essere conservato solo il minimo di dati indispensabile, a seconda del rischio o della minaccia, e per un periodo di tempo limitato, che dipenderà dalla natura delle informazioni conservate. Ad ogni modo, la conservazione non può offrire una mappatura precisa della vita privata, delle abitudini, del comportamento o delle relazioni sociali degli interessati.

b) Le condizioni dell’accesso delle autorità pubbliche ai dati conservati

128. A mio avviso, le condizioni indicate nella sentenza Tele2 Sverige e Watson (88) sono ancora adeguate anche per quanto riguarda l’accesso: la normativa nazionale deve prevedere le condizioni sostanziali e procedurali che disciplinano l’accesso delle autorità competenti ai dati conservati (89).

129. Il governo belga precisa che l’articolo 126, paragrafo 2, della legge del 2005 (90) individua restrittivamente le autorità nazionali che possono ricevere i dati conservati ai sensi del paragrafo 1 del medesimo articolo.

130. Fra tali autorità rientrano quelle propriamente giudiziarie e il Pubblico ministero, le forze di sicurezza dello Stato, il Servizio generale di intelligence e sicurezza, sotto il controllo di commissioni indipendenti, i funzionari di polizia giudiziaria dell’Istituto belga dei servizi postali e delle telecomunicazioni, i servizi di emergenza, i funzionari di polizia giudiziaria della Cellula «Persone scomparse» della Polizia federale, il Servizio di mediazione per le telecomunicazioni e l’organo di vigilanza finanziaria.

131. In generale, il governo belga afferma che la normativa interna non consente ai diversi servizi di accedere ai dati per perseguire attivamente le minacce non identificate o in relazione alle quali non esistano indizi concreti. Pertanto, le autorità nazionali non potrebbero semplicemente accedere ai dati di comunicazione grezzi ed elaborarli automaticamente per ottenere informazioni e prevenire attivamente i pericoli per la sicurezza.

132. Secondo il medesimo governo, l’accesso ai dati è sottoposto a condizioni rigorose, in funzione dello status di ogni singola autorità nazionale competente.

133. La risposta alla prima questione pregiudiziale non richiede, a mio avviso, che la Corte proceda ad un’analisi esaustiva delle condizioni alle quali ciascuna di dette autorità può ottenere i dati conservati. Tale compito spetta piuttosto al giudice del rinvio, che dovrà svolgerlo alla luce degli orientamenti della giurisprudenza Tele2 Sverige e Watson e Ministerio Fiscal.

134. Peraltro, secondo le informazioni fornite dal governo belga, esistono notevoli differenze tra le condizioni di accesso che riguardano le autorità giudiziarie o il Pubblico ministero (91), ai fini della ricerca, dell’accertamento e del perseguimento dei reati, ai sensi degli articoli 46 bis (92) e 88 bis (93) del codice di procedura penale, e quelle che si applicano ad altre autorità.

135. Quanto ai servizi di intelligence e di sicurezza, ai sensi della legge del 1998, la richiesta di accesso ai dati relativi al traffico e all’ubicazione conservati dagli operatori deve fondarsi su criteri oggettivi per garantire che esso sia limitato allo stretto necessario, sulla base di una minaccia già identificata (94). Sono previsti periodi di accesso diversi (sei, nove o dodici mesi) a seconda della minaccia potenziale e la richiesta deve rispettare i principi di proporzionalità e di sussidiarietà. È stato inoltre istituito un sistema di controllo da parte di un’autorità indipendente (95).

136. Quanto ai funzionari di polizia giudiziaria dell’Istituto belga dei servizi postali e delle telecomunicazioni (IBPT), il loro accesso ai dati conservati dagli operatori di telecomunicazioni è consentito, sotto il controllo del Pubblico ministero, in casi specifici molto limitati (96) e, secondo il governo belga, la loro attività non si estende alle persone i cui dati sono conservati.

137. Per quanto riguarda i servizi di emergenza che prestano assistenza in loco, essi possono chiedere i dati dell’autore di una chiamata di emergenza quando, in seguito alla stessa, non ottengono dal fornitore o dall’operatore i dati identificativi del chiamante oppure ottengono dati incompleti o inesatti.

138. Quanto agli agenti di polizia giudiziaria assegnati alla Cellula «Persone scomparse» della Polizia federale, essi possono chiedere all’operatore i dati necessari per il ritrovamento di una persona scomparsa la cui integrità fisica sia in pericolo imminente. L’accesso, subordinato a condizioni rigorose, è limitato ai dati che consentono di identificare l’utente e a quelli relativi all’accesso e alla connessione dei terminali alla rete e al servizio, nonché all’ubicazione di tali apparecchiature, ed è circoscritto ai dati conservati nelle 48 ore precedenti alla richiesta.

139. Dal canto suo, il Servizio di mediazione per le telecomunicazioni può chiedere soltanto i dati identificativi della persona che ha usato indebitamente una rete o un servizio di comunicazione elettronica. In questo caso non è previsto un controllo preventivo da parte di un’autorità giudiziaria o di un’autorità amministrativa indipendente (diversa dal Servizio stesso).

140. Infine, allo scopo di contrastare i reati finanziari, anche l’organo di vigilanza finanziaria può ottenere l’accesso ai dati relativi al traffico e all’ubicazione, previa autorizzazione del giudice istruttore.

141. Dalla descrizione delle suddette modalità e condizioni di accesso ai dati conservati, previste per ciascuna delle autorità autorizzate ad ottenerli, emerge una varietà di casi e tutele la cui conformità ai criteri utilizzati dalla Corte nella sua giurisprudenza (97) deve essere valutata nel dettaglio dal giudice del rinvio.

142. Rilevo, ad esempio, che nel contesto della normativa controversa non sembra che le autorità nazionali competenti siano sistematicamente tenute ad informare le persone interessate (sempre che tale informazione non comprometta le indagini in corso) che i loro dati sono stati consultati. Né sembra che siano previste, almeno in alcuni casi, come quelli relativi ai reati finanziari, regole predefinite riguardo alla gravità di questi ultimi, per giustificare l’accesso ai relativi dati. Il nesso tra l’intensità dell’ingerenza e la gravità del reato oggetto di indagine, ai sensi della sentenza Ministerio Fiscal, non appare sempre chiaro.

143. Ad ogni modo, ritengo che le considerazioni relative all’accesso delle autorità ai dati passino in secondo piano quando, per i motivi già illustrati, è la stessa conservazione generalizzata e indifferenziata di tali dati la ragione principale per cui la normativa nazionale sulla quale verte la presente domanda di pronuncia pregiudiziale non risulta conforme al diritto dell’Unione.

4. Sulla terza questione pregiudiziale

144. La Cour constitutionnelle (Corte costituzionale) domanda se, nell’ipotesi in cui, alla luce della risposta della Corte, fosse dichiarato che la normativa nazionale è incompatibile con il diritto dell’Unione, si possano mantenere provvisoriamente gli effetti di detta normativa. In tal modo si eviterebbe una situazione di incertezza giuridica e si permetterebbe che i dati raccolti e conservati possano ancora essere utilizzati per gli scopi perseguiti.

145. È giurisprudenza costante che «soltanto la Corte può, eccezionalmente e per considerazioni imperative di certezza del diritto, concedere una sospensione provvisoria dell’effetto di disapplicazione esercitato da una norma di diritto dell’Unione rispetto a norme di diritto interno con esso in contrasto». Se «i giudici nazionali avessero il potere di attribuire alle norme nazionali il primato, anche solo provvisoriamente, in caso di contrasto con il diritto dell’Unione, ne risulterebbe pregiudicata l’applicazione uniforme del diritto dell’Unione» (98).

146. La Commissione ritiene che, poiché la Corte non ha limitato gli effetti nel tempo dell’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, si dovrebbe rispondere in senso negativo a tale questione del giudice del rinvio (99).

147. La Corte ha tuttavia dichiarato, nella sentenza del 28 febbraio 2012, Inter‑Environnement Wallonie e Terre wallonne (100), che un giudice nazionale, davanti a un’esigenza imperativa legata alla protezione dell’ambiente, può essere eccezionalmente autorizzato ad applicare una disposizione nazionale che gli consente di mantenere determinati effetti di un atto nazionale annullato a causa della violazione di una norma giuridica dell’Unione (101).

148. Tale orientamento giurisprudenziale è stato confermato dalla sentenza del 29 luglio 2019, Inter‑Environnement Wallonie e Bond Beter Leefmilieu Vlaanderen (102). Sebbene essa sia stata pronunciata nel contesto della tutela dell’ambiente e riguardi la sicurezza dell’approvvigionamento di energia elettrica, non vedo motivi per escluderne l’applicazione in altri settori del diritto dell’Unione, segnatamente in quello ora in esame.

149. Se un’«esigenza imperativa legata alla protezione dell’ambiente» può giustificare il fatto che, eccezionalmente, i giudici nazionali mantengano determinati effetti di una disposizione interna incompatibile con il diritto dell’Unione, è perché la tutela dell’ambiente rappresenta «uno degli obiettivi essenziali dell’Unione e riveste carattere tanto trasversale quanto fondamentale» (103).

150. Orbene, tra le finalità dell’Unione rientra del pari la costituzione di uno spazio di sicurezza (articolo 3 TUE), che include il rispetto delle funzioni essenziali dello Stato, in special modo le funzioni di mantenimento dell’ordine pubblico e di tutela della sicurezza nazionale (articolo 4, paragrafo 2, TUE). Si tratta di un obiettivo non meno «trasversale e fondamentale» della tutela dell’ambiente, in quanto la sua realizzazione costituisce la condizione necessaria per l’istituzione di un quadro normativo idoneo a garantire l’effettivo godimento dei diritti e delle libertà fondamentali.

151. A mio avviso, ragioni imperative legate alla tutela della sicurezza nazionale potrebbero giustificare, nel caso di specie, che la Corte autorizzasse, eccezionalmente, il giudice del rinvio a mantenere quanto meno alcuni effetti della legge controversa.

152. Tale mantenimento presupporrebbe che il giudice del rinvio, alla luce della pronuncia della Corte, ritenesse la normativa interna incompatibile con il diritto dell’Unione e considerasse estremamente pregiudizievoli le ripercussioni sulla sicurezza pubblica o la sicurezza dello Stato che potrebbero avere il suo annullamento immediato (qualora l’annullamento fosse, secondo il diritto interno, la conseguenza di detta incompatibilità) o la sua disapplicazione.

153. Il mantenimento in via provvisoria (della totalità o di una parte) degli effetti della norma nazionale richiederebbe, inoltre, che:

– lo scopo della proroga fosse evitare una lacuna normativa dagli effetti altrettanto deleteri quanto quelli dell’applicazione della normativa controversa, lacuna impossibile da colmare con altri mezzi e che implicherebbe la perdita per le autorità nazionali di un valido strumento per garantire la sicurezza dello Stato, e

– durasse solo per il lasso di tempo strettamente necessario all’adozione delle misure in grado di rimediare all’incompatibilità con il diritto dell’Unione rilevata (104).

154. Militano a favore di questa soluzione anche le difficoltà comportate dall’adeguamento delle normative nazionali alla dottrina stabilita nella causa Tele2 Sverige e Watson (105) e il fatto che il legislatore belga abbia manifestato la propria volontà di conformarsi alla sentenza Digital Rights mediante la modifica della propria legislazione. Tale precedente induce a ritenere che esso procederà del pari ad adeguare la legge del 29 maggio 2016, adottata prima di prendere conoscenza della sentenza Tele2 Sverige e Watson, ai principi risultanti da quest’ultima.

V. Conclusione

155. Alla luce delle suesposte considerazioni, propongo alla Corte di rispondere alla Cour constitutionnelle (Corte costituzionale, Belgio) nei termini seguenti:

«1) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), in combinato disposto con gli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che:

– esso osta ad una normativa nazionale che impone agli operatori e ai fornitori di servizi di comunicazione elettronica l’obbligo di conservare, in modo generale e indifferenziato, i dati relativi al traffico e all’ubicazione di tutti gli abbonati e utenti, in relazione a tutti i mezzi di comunicazione elettronica.

– Al riguardo è irrilevante la circostanza che tale normativa nazionale non si prefigga come obiettivo soltanto la ricerca, l’accertamento e il perseguimento dei reati, gravi o meno, ma altresì la sicurezza nazionale, la difesa del territorio, la sicurezza pubblica, la prevenzione dell’uso non autorizzato dei sistemi di comunicazione elettronica o qualsiasi altro obiettivo previsto all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

– Al riguardo è irrilevante pure la circostanza che l’accesso ai dati conservati sia soggetto a specifiche garanzie. Spetta al giudice del rinvio verificare se la normativa nazionale che disciplina le condizioni di detto accesso da parte delle autorità competenti lo limiti a casi specifici la cui gravità renda indispensabile l’ingerenza, lo sottoponga al controllo preventivo (salvo in casi di urgenza) di un giudice o di un’autorità indipendente e ne preveda la comunicazione alle persone interessate, sempre che tale comunicazione non comprometta l’azione di dette autorità.

2) Gli articoli 4 e 6 della Carta dei diritti fondamentali dell’Unione europea non influiscono sull’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, in combinato disposto con le altre disposizioni della Carta considerate, in modo tale da ostare alla constatazione dell’incompatibilità con il diritto dell’Unione di una normativa come quella controversa nel procedimento principale.

3) Un giudice nazionale può, se il diritto interno lo consente, mantenere eccezionalmente e in via provvisoria gli effetti di una normativa come quella di cui trattasi nel procedimento principale, anche nel caso in cui essa risulti incompatibile con il diritto dell’Unione, qualora siffatto mantenimento sia giustificato da considerazioni imperative connesse alle minacce alla sicurezza pubblica o alla sicurezza nazionale, cui non si potrebbe far fronte mediante altri mezzi e alternative. Detto mantenimento può durare soltanto per il tempo strettamente necessario a porre rimedio a tale incompatibilità con il diritto dell’Unione».

1 Lingua originale: lo spagnolo.

2 C‑293/12 e C‑594/12, in prosieguo: la «sentenza Digital Rights», EU:C:2014:238.

3 Direttiva del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54).

4 C‑203/15 e C‑698/15, in prosieguo: la «sentenza Tele2 Sverige e Watson», EU:C:2016:970.

5 Direttiva del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37).

6 C‑207/16, in prosieguo: la «sentenza Ministerio Fiscal», EU:C:2018:788.

7 Oltre che di quella presente (C‑520/18, Ordre des barreaux francophones et germanophone e a.), si tratta delle cause riunite C‑511/18 e C‑512/18, La Quadrature du Net e a., e della causa C‑623/17, Privacy International.

8 Causa Privacy International, C‑623/17.

9 Causa Ordre des barreaux francophones et germanophone e a., C‑520/18.

10 Cause riunite La Quadrature du Net e a., C‑511/18 e C‑512/18.

11 Legge del 29 maggio 2016 sulla raccolta e conservazione dei dati nel settore delle comunicazioni elettroniche (Moniteur belge del 18 luglio 2016, pag. 44717; in prosieguo: la «legge del 29 maggio 2016»).

12 Legge del 13 giugno 2005 sulle comunicazioni elettroniche (Moniteur belge del 20 giugno 2005, pag. 28070; in prosieguo: la «legge del 2005»).

13 Legge organica del 30 novembre 1998 sui servizi di intelligence e di sicurezza (Moniteur belge del 18 dicembre 1998, pag. 40312; in prosieguo: la «legge del 1998»).

14 Sentenza n. 84/2015, Moniteur belge dell’11 agosto 2015.

15 Paragrafi 40 e segg.

16 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). V. articolo 1, paragrafo 2, della direttiva 2002/58. La direttiva 95/46 è stata abrogata, a decorrere dal 25 maggio 2018, dal regolamento 2016/679. Pertanto, nella misura in cui la direttiva 2002/58 rinvia alla direttiva 95/46 o non stabilisce norme proprie, occorre tenere conto delle disposizioni di tale regolamento (v. articolo 94, paragrafi 1 e 2, del regolamento 2016/679).

17 Sentenza Tele2 Sverige e Watson, punti 82 e 83.

18 Ibidem, punto 85 e giurisprudenza citata.

19 Ibidem, punto 87. Il corsivo è mio.

20 Ibidem, punto 86 e giurisprudenza citata.

21 Ibidem, punto 86 in fine.

22 Ibidem, punto 90.

23 Ibidem, punto 91 e giurisprudenza citata.

24 Ibidem, punto 93 e giurisprudenza citata.

25 Ibidem, punto 89.

26 L’impiego di tale avverbio nella sentenza Tele2 Sverige e Watson, punto 95, proviene dal considerando 11 della direttiva 2002/58.

27 Sentenza Digital Rights, punto 48: «tenuto conto, da un lato, del ruolo importante svolto dalla protezione dei dati personali sotto il profilo del diritto fondamentale al rispetto della vita privata e, dall’altro, della portata e della gravità dell’ingerenza in tale suddetto diritto che la direttiva 2006/24 comporta, il potere discrezionale del legislatore dell’Unione risulta ridotto e di conseguenza è necessario procedere ad un controllo stretto».

28 Sentenza Tele2 Sverige e Watson, punto 96 e giurisprudenza citata.

29 Sentenza Digital Rights, punto 51. Nello stesso senso, sentenza Tele2 Sverige e Watson, punto 103.

30 Sentenze Digital Rights, punto 65, e Tele2 Sverige e Watson, punto 100.

31 Sentenza Tele2 Sverige e Watson, punto 97. Il corsivo è mio.

32 Come il nome e l’indirizzo dell’abbonato o utente iscritto, il numero di telefono del chiamante e il numero chiamato, nonché un indirizzo IP per i servizi Internet.

33 Sentenza Tele2 Sverige e Watson, punto 98.

34 Ibidem, punto 98.

35 Ibidem, punto 99.

36 Ibidem, punto 99 in fine.

37 Ibidem, punto 100.

38 Ibidem, punto 102.

39 Ibidem, punto 104.

40 Ibidem, punto 105.

41 Ibidem, punto 106.

42 Ibidem, punto 105.

43 Ibidem, punto 106.

44 Ibidem, punto 107.

45 Ibidem, punto 108. Il corsivo è mio.

46 Ibidem, punto 109. In particolare, essi devono indicare «in quali circostanze e a quali condizioni una misura di conservazione dei dati può, a titolo preventivo, essere adottata, garantendo così che una misura siffatta sia limitata allo stretto necessario».

47 Ibidem, punto 110.

48 Ibidem, punto 111.

49 Ibidem, punto 113.

50 Ibidem, punto 115.

51 Ibidem, punto 116.

52 Ibidem, punto 117.

53 Ibidem, punto 118.

54 Ibidem, punto 119.

55 Idem.

56 Idem. Il corsivo è mio.

57 Idem.

58 Oltre alle attività di terrorismo, potrebbero giustificare siffatta eccezionalità altre circostanze, quale un attacco informatico su vasta scala contro infrastrutture critiche dello Stato o una minaccia legata alla proliferazione nucleare.

59 Sentenza Tele2 Sverige e Watson, punto 120.

60 Ibidem, punto 121.

61 Ibidem, punto 122.

62 Sentenza Ministerio Fiscal, punto 53.

63 Ibidem, punto 56.

64 Ibidem, punto 57.

65 Ibidem, punto 59. Si trattava dell’accesso ai «numeri di telefono corrispondenti a tali carte SIM e ai dati relativi all’identità civile dei titolari di dette carte, quali il loro cognome e, se del caso, indirizzo. Al contrario, tali dati non riguardano, come confermato sia dal governo spagnolo sia dal Pubblico ministero in udienza, le comunicazioni effettuate con il telefono cellulare rubato o l’ubicazione di quest’ultimo».

66 Ibidem, punto 60.

67 Sentenza Ministerio Fiscal, punto 49.

68 Gli Stati membri partecipano dal 2017 a un gruppo di lavoro il cui scopo è adeguare le rispettive legislazioni ai criteri fissati dalla giurisprudenza della Corte in tale materia [Groupe Échange d’informations et protection des données (DAPIX)].

69 In ogni caso, la determinazione di tali tecniche di indagine e la valutazione della loro efficacia rientrano nel margine di discrezionalità degli Stati membri.

70 Sentenze Digital Rights, punto 57, e Tele2 Sverige e Watson, punto 105.

71 Sarebbero esclusi dall’obbligo di conservazione i dati che non siano strettamente indispensabili e oggettivamente necessari per la prevenzione e il perseguimento dei reati e la tutela della sicurezza pubblica. In particolare, occorrerebbe indicare, in funzione dell’obiettivo da raggiungere, quali tipi di dati relativi agli abbonati o al traffico o all’ubicazione debbano essere obbligatoriamente conservati per conseguire tale obiettivo. Sarebbero esclusi, segnatamente, i dati che non sono ritenuti indispensabili per la ricerca e il perseguimento dei reati.

72 Metodo con cui i nomi sono sostituiti da pseudonimi, in modo che i dati non siano più collegati a un nome. A differenza dell’anonimizzazione, la pseudonimizzazione permette di ricollegare i dati al nome dell’interessato.

73 Si potrebbe valutare la possibilità di modulare i periodi di conservazione in funzione delle diverse categorie di dati, tenendo conto del loro carattere più o meno intrusivo nella vita privata delle persone. Dovrebbe inoltre essere prevista l’eliminazione permanente dei dati al termine del periodo di conservazione.

74 Si potrebbe prendere in considerazione la possibilità di non imporre l’obbligo di conservazione dei dati a tutti i fornitori di servizi di comunicazione elettronica, prevedendolo invece in funzione delle loro dimensioni e del tipo di servizi offerto, con esclusione, ad esempio, di quelli che offrono servizi altamente specializzati.

75 I sistemi di autorizzazione potrebbero basarsi su valutazioni periodiche delle minacce in ciascuno Stato membro. Occorre garantire che il nesso tra i dati conservati e l’obiettivo perseguito si crei e si adatti alla situazione specifica di ciascuno Stato membro. Pertanto, le autorizzazioni alla conservazione accordate ai fornitori potrebbero comportare la conservazione di alcuni tipi di dati per un periodo di tempo determinato, in funzione della valutazione della minaccia. Siffatte autorizzazioni potrebbero essere concesse da un giudice o da un’autorità amministrativa indipendente e comporterebbero una revisione periodica degli elementi indispensabili di tale conservazione.

76 Sembra essere questo il sistema applicato nella Repubblica federale di Germania, il cui governo ha indicato in udienza che, ai sensi della sua legislazione, il periodo di conservazione dei dati relativi al traffico è di dieci settimane, mentre il periodo di conservazione dei dati relativi all’ubicazione è di sole quattro settimane. Ad avviso della Repubblica francese, invece, sarebbe necessario un periodo annuale di conservazione dei dati relativi al traffico o all’ubicazione, mentre un termine inferiore all’anno avrebbe l’effetto di limitare l’efficacia dei servizi di polizia giudiziaria.

77 Ovviamente, si deve garantire che i fornitori di servizi di comunicazione elettronica cancellino per sempre i dati alla fine del periodo di conservazione (ad eccezione dei dati che possono continuare ad essere conservati a fini commerciali, conformemente alla direttiva 2002/58).

78 In udienza, il governo francese ha affermato che le URL sono escluse dai dati di connessione per i quali la sua legislazione prevede un obbligo generale di conservazione.

79 Ackerman, B., «The Emergency Constitution», Yale Law Journal, vol. 113, 2004, pagg. da 1029 a 1092; Ferejohn, J. e Pasquino, P., «The Law of the Exception: A typology of Emergency Powers», International Journal of Constitutional Law, vol. 2, 2004, pagg. da 210 a 239.

80 Conclusioni nelle cause C‑511/18 e C‑512/18, paragrafi 95 e segg.

81 Enunciato della seconda questione, in fine. Tale riferimento ai mezzi di comunicazione elettronica spiega perché la questione menzioni un secondo obbligo positivo incombente agli Stati, quello imposto dall’articolo 8 della Carta riguardo alla protezione dei dati di carattere personale. Il duplice riferimento all’articolo 8 della Carta rivela che il giudice del rinvio attribuisce ai diritti della Carta, sulla base della loro natura, una duplice funzione: di limite all’obbligo controverso e di giustificazione di detto obbligo.

82 Tale obbligo di efficacia si traduce in un obbligo di risultato per il potere pubblico nello Stato sociale o assistenziale, in cui, oltre al riconoscimento formale dei diritti, assume rilievo la realizzazione pratica del loro contenuto materiale.

83 Corte EDU, sentenza del 2 dicembre 2008, K.U. c. Finlandia, (ECHR:2008:1202JUD000287202, § 46).

84 A tale proposito, ritengo che ai diritti evocati dal giudice del rinvio (in quanto limiti dell’obbligo controverso, e non in quanto giustificazione) si potrebbero aggiungere il diritto a un ricorso effettivo (articolo 47 della Carta) o il diritto alla difesa (articolo 48 della Carta), la cui eventuale lesione è stata parimenti discussa nei procedimenti principali. Tuttavia, il dispositivo della decisione di rinvio si riferisce soltanto agli articoli 7, 8, 11 e 52, paragrafo 1, della Carta.

85 Corte EDU, sentenza del 28 ottobre 1998, Osman c. Regno Unito (CE:ECHR:1998:1028JUD002345294, § 116).

86 Ibidem, § 116 in fine: «(è necessario) assicurare che la polizia eserciti il proprio potere di contrastare e prevenire la criminalità rispettando pienamente le vie legali e le altre garanzie che limitano legittimamente la portata dei suoi atti di indagine penale». V. altresì Corte EDU, sentenza del 2 dicembre 2008, K.U.C. Finlandia (CE:ECHR:2008:1202JUD000287202, § 48). Analogamente, la Corte di giustizia ha dichiarato nella sentenza del 29 luglio 2019, Gambino e Hyka (C‑38/18, EU:C:2019:628, punto 49), che i diritti della vittima di un reato non possono pregiudicare il godimento effettivo di quelli spettanti all’imputato.

87 L’obbligo è inoltre giustificato dalla finalità di reagire a una chiamata ai servizi di emergenza o di trovare una persona scomparsa la cui integrità fisica sia in pericolo imminente.

88 V. paragrafo 60 delle presenti conclusioni.

89 Sentenza Tele2 Sverige e Watson, punto 118.

90 Articolo 126, nella versione risultante dalla legge del 29 maggio 2016.

91 L’idoneità del Pubblico ministero ad adottare provvedimenti di questo tipo è oggetto di discussione nel procedimento pregiudiziale C‑746/18, HK/Prokuratur, ancora pendente.

92 Spetta al Pubblico ministero chiedere agli operatori i dati identificativi, mediante provvedimento motivato e scritto (orale nei casi urgenti), che dimostri la proporzionalità della misura, per quanto riguarda il rispetto della vita privata, e la sua sussidiarietà rispetto a ogni altro dovere di indagine. Per i reati che non comportano una pena detentiva principale di un anno o una pena più grave, il Pubblico ministero può chiedere soltanto i dati relativi ad un periodo di tempo corrispondente ai sei mesi che precedono il suo provvedimento.

93 La competenza ad ordinare agli operatori la raccolta delle comunicazioni elettroniche o dei dati relativi al traffico e all’ubicazione conservati spetta al giudice istruttore, il quale può adottare tale provvedimento se sussistono gravi indizi di reati puniti con determinate pene, mediante ordinanza motivata e scritta (oralmente in caso di urgenza) soggetta agli stessi requisiti di proporzionalità e sussidiarietà applicabili in relazione al Pubblico ministero. Sono previste eccezioni quando il provvedimento riguardi determinate categorie professionali protette (ad esempio, avvocati o medici).

94 Il provvedimento deve indicare, a seconda dei casi, le persone fisiche o giuridiche, le associazioni o i gruppi di fatto, gli oggetti, i luoghi, gli eventi o le informazioni che il metodo specifico concerne. Deve inoltre indicare il collegamento tra la finalità dei dati richiesti e la minaccia potenziale che giustifica tale metodo in particolare.

95 Si tratta della Commissione amministrativa per il controllo dei metodi specifici ed eccezionali di raccolta dei dati da parte dei servizi di intelligence e di sicurezza (Commissione BIM) e del Comitato permanente per il controllo dei servizi di intelligence (Comitato R). Il governo belga ha indicato che la Commissione BIM è incaricata della sorveglianza dei metodi di ricerca utilizzati dai servizi di intelligence e di sicurezza, sui quali esercita un controllo in prima linea. Detta commissione, composta da giudici, svolge le sue funzioni in piena autonomia. È inoltre previsto un controllo indipendente in seconda linea da parte del Comitato R.

96 Tale accesso è consentito ai fini della ricerca, dell’accertamento e del perseguimento dei reati di cui agli articoli 114 (sicurezza delle reti), 124 (riservatezza delle comunicazioni elettroniche) e 126 (conservazione dei dati e accesso) della legge del 2005.

97 Rinvio al paragrafo 60 delle presenti conclusioni

98 Sentenza del 28 luglio 2016, Association France Nature Environnement (C‑379/15, EU:C:2016:603, punto 33).

99 Punto 100 delle osservazioni scritte della Commissione.

100 C‑41/11, EU:C:2012:103.

101 Sentenza del 28 febbraio 2012, Inter‑Environnement Wallonie e Terre wallonne (C‑41/11, EU:C:2012:103, punto 58). Nella sentenza del 28 luglio 2016, Association France Nature Environnement (C‑379/15, EU:C:2016:603, punto 34), la Corte ha dedotto da tale affermazione che «ha inteso riconoscere, caso per caso ed eccezionalmente, al giudice nazionale la facoltà di amministrare gli effetti dell’annullamento di una norma nazionale dichiarata incompatibile con il diritto dell’Unione».

102 C‑411/17 ((EU:C:2019:622, punto 178).

103 Sentenza del 28 febbraio 2012, Inter‑Environnement Wallonie e Terre wallonne (C‑41/11, EU:C:2012:103, punto 57).

104 Sentenza del 28 febbraio 2012, Inter‑Environnement Wallonie e Terre wallonne (C‑41/11; EU:C:2012:103, punto 62).

105 Punto 45 delle osservazioni scritte del governo danese.