CONCLUSIONI DELL’AVVOCATO GENERALE
MANUEL CAMPOS SÁNCHEZ-BORDONA
presentate il 18 novembre 2021 (1)
Causa C‑140/20
G.D.
contro
The Commissioner of the Garda Síochána,
Minister for Communications, Energy and Natural Resources,
Attorney General
[domanda di pronuncia pregiudiziale proposta dalla Supreme Court (Corte suprema, Irlanda)]
«Domanda di pronuncia pregiudiziale – Telecomunicazioni – Trattamento dei dati personali – Riservatezza delle comunicazioni – Fornitori di servizi di comunicazione elettronica – Direttiva 2002/58/CE – Articolo 15, paragrafo 1 – Articolo 4, paragrafo 2, TUE – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8, 11 e 52, paragrafo 1 – Conservazione generalizzata e indifferenziata dei dati relativi al traffico e alla localizzazione – Accesso ai dati conservati – Utilizzo dei dati conservati come elemento di prova in un processo penale»
1. La presente domanda di pronuncia pregiudiziale – alla quale si aggiungono quelle delle cause riunite C‑793/19, SpaceNet, e C‑794/19, Telekom Deutschland, sulle quali presento parimenti le mie conclusioni (2) in data odierna – evidenzia, ancora una volta, la preoccupazione suscitata in alcuni Stati membri dalla giurisprudenza della Corte in materia di conservazione e accesso ai dati personali generati nel settore delle comunicazioni elettroniche.
2. Nelle conclusioni relative alle cause C‑511/18 e C‑512/18, La Quadrature du Net e a. (3), e C‑520/18, Ordre des barreaux francophones et germanophone e a. (4), ho indicato quali tappe più importanti di tale giurisprudenza, fino ad allora, quelle seguenti:
– la sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (5), che ha dichiarato l’invalidità della direttiva 2006/24/CE (6) in quanto comportava un’ingerenza non proporzionata nei diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»);
– la sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (7), in cui è stato dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58/CE (8) osta ad una normativa nazionale che preveda una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione per finalità di lotta contro le forme gravi di criminalità;
– la sentenza del 2 ottobre 2018, Ministerio Fiscal (9), che ha confermato l’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, precisando l’importanza a tale riguardo del principio di proporzionalità.
3. Nel 2018 taluni giudici di alcuni Stati membri si sono rivolti alla Corte, nelle rispettive domande di pronuncia pregiudiziale, esprimendo i loro dubbi sulla questione se tali sentenze (del 2014, 2016 e 2018) potessero privare le autorità statali di uno strumento necessario per la salvaguardia della sicurezza nazionale e la lotta contro la criminalità e il terrorismo.
4. Quattro di dette domande di pronuncia pregiudiziale hanno dato luogo alle sentenze Privacy International (10) e La Quadrature du Net e a. (11), entrambe del 6 ottobre 2020, che hanno sostanzialmente confermato la giurisprudenza della sentenza Tele2 Sverige, pur introducendo alcune sfumature aggiuntive.
5. Per la loro provenienza (la Grande Sezione della Corte), il loro contenuto e il loro intento di illustrare nel dettaglio, in dialogo con i giudici del rinvio, i motivi che, nonostante tutto, giustificano le tesi ivi esposte, ci si potrebbe attendere che queste due sentenze «riepilogative» del 6 ottobre 2020 abbiano risolto il dibattito. A qualsiasi altra domanda di pronuncia pregiudiziale sul medesimo argomento corrisponderebbe quindi un’ordinanza motivata ai sensi dell’articolo 99 del regolamento di procedura della Corte di giustizia.
6. Tuttavia, prima del 6 ottobre 2020 erano pervenute presso la cancelleria della Corte altre tre domande di pronuncia pregiudiziale (quella del presente procedimento e quelle delle cause riunite C‑793/19 e C‑794/19) il cui contenuto metteva nuovamente in discussione la giurisprudenza elaborata in merito all’articolo 15, paragrafo 1, della direttiva 2002/58.
7. La Corte ha comunicato ai giudici del rinvio le sentenze del 6 ottobre 2020, affinché ritirassero, se lo volevano, le loro domande di pronuncia pregiudiziale. Dinanzi alla sua volontà di mantenerla, come spiegherò nel prosieguo (12), è stato deciso di non applicare l’articolo 99 del regolamento di procedura e di lasciare che la Grande Sezione della Corte risponda a tale questione.
I. Contesto normativo
A. Diritto dell’Unione. Direttiva 2002/58
8. Ai sensi dell’articolo 5 («Riservatezza delle comunicazioni»), paragrafo 1:
«Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza».
9. L’articolo 6 («Dati sul traffico») così dispone:
«1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1.
2. I dati relativi al traffico che risultano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.
(…)».
10. L’articolo 15 («Applicazione di alcune disposizioni della direttiva 95/46/CE») (13), prevede, al paragrafo 1, quanto segue:
«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea».
B. Diritto nazionale. Communications (Retention of Data) Act 2011 [legge del 2011 sulle comunicazioni (conservazione dei dati); in prosieguo: la «legge del 2011»]
11. Al punto 3 della decisione di rinvio, la Supreme Court (Corte suprema, Irlanda) illustra la normativa nazionale come segue:
– «La legge del 2011 è stata promulgata con il preciso scopo di dare attuazione alla direttiva 2006/24.
– L’articolo 3 della legge impone a tutti i prestatori di servizi di conservare i “dati relativi alla telefonia fissa e alla telefonia mobile” per un periodo di due anni.
– Si tratta dei dati che identificano la fonte, la destinazione, la data e l’ora di inizio e di fine di una comunicazione, il tipo di comunicazione in questione nonché il tipo e l’ubicazione geografica delle apparecchiature di comunicazione utilizzate. Il contenuto delle comunicazioni non rientra in questo tipo di dati.
– I dati conservati possono essere consultati e divulgati in seguito a un’istanza di divulgazione. L’articolo 6 della legge del 2011 stabilisce le condizioni alle quali può essere presentata un’istanza di divulgazione e il paragrafo 1 stabilisce che un membro dell’An Garda Síochána (corpo di polizia nazionale, Irlanda), di grado non inferiore a “chief superintendent” (sovrintendente capo), possa presentare un’istanza di divulgazione qualora tale membro ritenga che i dati siano necessari, tra l’altro, alla prevenzione, all’accertamento, alle indagini o al perseguimento di reati gravi. Per “reato grave” si intende un reato punibile con la detenzione per un periodo pari o superiore a cinque anni, nonché gli altri reati elencati all’allegato 1 della legge [del 2011].
– Tra i meccanismi di sorveglianza previsti dalla legge del 2011 figurano la procedura di reclamo di cui all’articolo 10 della stessa e le funzioni di un “designated judge” (giudice designato), come previsto all’articolo 12, al quale è affidato il compito di esaminare l’applicazione delle disposizioni [di detta] legge.
– (...) In materia di politica interna, il Commissioner of the Garda Síochána (Commissario della polizia nazionale) ha stabilito che le istanze di divulgazione dei dati relativi alla telefonia presentate ai sensi della legge del 2011 [avrebbero dovuto] essere trattate, in modo centralizzato, da un unico sovrintendente capo. In materia di divulgazione, il sovrintendente capo responsabile era il capo della sezione sicurezza e informazione della polizia nazionale ed è tale soggetto che decide in ultima analisi se presentare un’istanza di divulgazione ai prestatori di servizi di comunicazione ai sensi delle disposizioni della legge del 2011. Una piccola unità indipendente, nota sotto il nome di Telecommunications Liaison Unit (unità di collegamento per le telecomunicazioni: in prosieguo: la “TLU”) è stata istituita al fine di supportare le funzioni del sovrintendente capo inquirente e per fungere da unico punto di contatto con i prestatori di servizi.
– Nei periodi pertinenti al presente procedimento, tutte le istanze di divulgazione dovevano essere approvate in primo luogo da un “superintendent” (sovrintendente) o da un “inspector” (ispettore) che agisse in tale veste, e poi inviate alla TLU per essere trattate da quest’ultima. Gli inquirenti avevano ricevuto l’ordine di includere sufficienti dettagli nell’istanza al fine di consentire l’adozione di una decisione informata, nonché di tenere presente che il sovrintendente capo avrebbe potuto, successivamente, dover giustificare la decisione dinanzi all’autorità giudiziaria o dinanzi al giudice designato dalla High Court (Alta Corte, Irlanda). La TLU e il sovrintendente capo inquirente sono tenuti a verificare la legittimità, la proporzionalità e la necessità delle istanze di divulgazione presentate dai membri della Polizia nazionale. Le istanze ritenute non conformi ai requisiti di legge o ai protocolli interni della polizia nazionale venivano rinviate per ottenere ulteriori chiarimenti o informazioni. Ai sensi di un protocollo d’intesa emesso nel maggio 2011, i prestatori di servizi non avrebbero trattato le istanze di dati relativi alle telefonate che non fossero pervenute attraverso il citato procedimento. La TLU è inoltre soggetta a verifica da parte del Data Protection Commissioner (Garante per la protezione dei dati personali, Irlanda)».
12. L’allegato I della decisione di rinvio contiene alcune precisazioni aggiuntive sul contenuto della legge del 2011. Secondo tali precisazioni:
– l’articolo 1 della legge del 2011 definisce la nozione di «dati» come «i dati relativi al traffico o all’ubicazione e i dati correlati per identificare l’abbonato o utente»;
– l’articolo 6, paragrafo 1, della legge del 2011 autorizza un funzionario di polizia, nei termini sopra indicati, ad accedere a tali dati qualora ritenga che essi siano necessari a fin di: a) prevenzione, ricerca, accertamento o perseguimento di un reato grave; b) salvaguardia della sicurezza dello Stato e c) tutela della vita umana.
II. Fatti, procedimento e questioni pregiudiziali
13. Nel 2015 G.D. è stato condannato all’ergastolo per omicidio. Durante il processo d’appello dinanzi alla Irish Court of Appeal (Corte d’appello, Irlanda) egli ha contestato, senza successo, l’ammissibilità di taluni elementi di prova a carico basati su dati di telefonia conservati conformemente alla legge nazionale.
14. Parallelamente all’appello penale, G.D. ha avviato un procedimento civile (14) dinanzi alla High Court (Alta Corte, Irlanda) per contestare la validità di alcune disposizioni della legge del 2011 in forza delle quali sono stati conservati i suddetti dati di telefonia ed è stato possibile accedervi.
15. Con decisione del 6 dicembre 2018, la High Court (Alta Corte) ha accolto il ricorso con cui G.D. chiedeva che l’articolo 6, paragrafo 1, lettera a), della legge del 2011 fosse dichiarato contrario all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 52, paragrafo 1, della Carta.
16. Il governo irlandese ha impugnato tale decisione dinanzi alla Supreme Court (Corte Suprema), la quale sottopone alla Corte le seguenti questioni pregiudiziali:
«1) Se un regime generale o universale di conservazione dei dati, anche soggetto a rigorose restrizioni in materia di conservazione e accesso, sia di per sé contrario alle disposizioni dell’articolo 15 della direttiva 2002/58(…), per come interpretate alla luce della [Carta].
2) Se, nel valutare la concessione di una declaratoria di incompatibilità di una misura nazionale attuata ai sensi della direttiva 2006/24(…) e che prevede un regime generale di conservazione dei dati (soggetto ai necessari rigorosi controlli in materia di conservazione e/o di accesso) e, in particolare, nel valutare la proporzionalità di tale regime, un giudice nazionale possa tener conto della circostanza che i dati possono essere legalmente conservati da prestatori di servizi per fini commerciali propri e potrebbe essere richiesta una loro conservazione per motivi di sicurezza nazionale esclusi dalle disposizioni della direttiva 2002/58(…).
3) Nel valutare la compatibilità con il diritto dell’Unione e, in particolare, con i diritti della Carta, di una misura nazionale di accesso ai dati conservati, quali criteri dovrebbe applicare un giudice nazionale per stabilire se un siffatto regime di accesso preveda il necessario controllo preventivo indipendente, come stabilito dalla Corte di giustizia nella sua giurisprudenza. In tale contesto, se un giudice nazionale possa, nell’ambito di tale valutazione, tener conto dell’esistenza di un controllo ex post di natura giurisdizionale o indipendente.
4) In ogni caso, se un giudice nazionale sia tenuto a dichiarare l’incompatibilità di una misura nazionale con le disposizioni dell’articolo 15 della direttiva 2002/58(…), qualora tale misura nazionale preveda un regime generale di conservazione dei dati ai fini della lotta contro reati gravi e laddove il giudice nazionale abbia concluso, sulla base di tutti gli elementi di prova disponibili, che tale conservazione sia al contempo indispensabile e strettamente necessaria al raggiungimento dell’obiettivo della lotta contro reati gravi.
5) Qualora un giudice nazionale sia tenuto a dichiarare l’incompatibilità di una misura nazionale rispetto alle disposizioni dell’articolo 15 della direttiva 2002/58(…), come interpretate alla luce della Carta, se tale giudice abbia il diritto di limitare gli effetti nel tempo di tale declaratoria, ove ritenga che, in caso contrario, ciò comporterebbe un “conseguente disordine e un danno all’interesse pubblico” [conformemente all’approccio adottato, ad esempio, nella sentenza R (National Council for Civil Liberties)/Secretary of State for Home Department e Secretary of State for Foreign Affairs [2018] EWHC 975, punto 46].
6) Se un giudice nazionale, chiamato a dichiarare l’incompatibilità della legislazione nazionale con l’articolo 15 della direttiva 2002/58(…) e/o a disapplicare tale legislazione e/o a dichiarare che l’applicazione di tale legislazione ha violato i diritti di un singolo, sia nell’ambito di un procedimento avviato al fine di agevolare un dibattito sull’ammissibilità delle prove nell’ambito di un procedimento penale che in altro ambito, possa essere autorizzato a rifiutare l’emissione di tale provvedimento in relazione ai dati conservati in applicazione della disposizione nazionale adottata nel rispetto dell’obbligo di cui all’articolo 288 TFUE di introdurre fedelmente nel diritto nazionale le disposizioni di una direttiva, o a limitare l’efficacia di tale declaratoria al periodo successivo alla dichiarazione di invalidità della direttiva 2006/24(…) pronunciata dalla CGUE l’8 aprile 2014».
17. La Supreme Court (Corte Suprema) fa presente che prove come quelle presentate nel procedimento penale a carico di G.D. sono decisive per individuare e giudicare talune categorie di reati gravi. Essa sottolinea che, se non fosse ammissibile la conservazione universale dei metadati, nonostante qualsivoglia condizione di accesso, gli autori di molti di questi gravi reati non potrebbero essere individuati e perseguiti con successo.
18. In quest’ottica, essa svolge le seguenti considerazioni:
– forme alternative di conservazione dei dati, tramite targeting geografico o altro, sarebbero inefficaci per il raggiungimento degli obiettivi di prevenzione, indagine, accertamento e perseguimento di almeno alcuni tipi di reati gravi e potrebbero, inoltre, comportare una potenziale violazione di altri diritti dell’individuo;
– l’obiettivo della conservazione dei dati con mezzi meno drastici rispetto a quelli di un regime generale di conservazione dei dati, fatte salve le necessarie garanzie, è impraticabile;
– gli obiettivi di prevenzione, indagine, accertamento e perseguimento di reati gravi sarebbero notevolmente compromessi in assenza di un regime generale di conservazione dei dati.
III. Procedimento dinanzi alla Corte
19. La domanda di pronuncia pregiudiziale è prevenuta alla cancelleria della Corte il 25 marzo 2020.
20. Hanno presentato osservazioni scritte G.D., il Commissioner of the Garda Síochána (Commissario della polizia nazionale), i governi belga, ceco, cipriota, danese, dei Paesi Bassi, estone, finlandese, francese, polacco, portoghese, spagnolo e svedese, nonché la Commissione europea.
21. Invitato a pronunciarsi sull’eventuale ritiro della domanda pregiudiziale dopo la pronuncia della sentenza La Quadrature du Net, il giudice del rinvio ha comunicato, con lettera registrata il 27 ottobre 2020, che intendeva mantenerla (15).
22. L’udienza pubblica, comune alle cause riunite C‑793/19, SpaceNet, e C‑794/19, Telekom Deutschland, si è tenuta il 13 settembre 2021. Sono comparse le parti che avevano presentato osservazioni scritte (ad eccezione dei governi belga, ceco e portoghese) e il Garante europeo della protezione dei dati.
IV. Analisi
A. Considerazioni preliminari
23. La maggioranza delle parti intervenute nel procedimento concorda sul fatto che le sei questioni pregiudiziali della Supreme Court (Corte Suprema) relative all’articolo 15, paragrafo 1, della direttiva 2002/58 possono essere riunite in tre gruppi, concernenti:
– la legittimità di un sistema di conservazione generalizzata e indifferenziata dei dati, di per sé e per quanto riguarda la lotta contro le forme gravi di criminalità (questioni prima, seconda e quarta);
– le caratteristiche che deve soddisfare, se del caso, l’accesso ai dati conservati (terza questione);
– la possibilità di limitare nel tempo gli effetti di un’eventuale dichiarazione di incompatibilità con il diritto dell’Unione della normativa nazionale in materia (questioni quinta e sesta).
24. A mio avviso, tutte le suddette questioni hanno ricevuto una risposta esaustiva nelle sentenze La Quadrature du Net e del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (16).
25. Per quanto riguarda la sentenza La Quadrature du Net, il giudice del rinvio, una volta ricevutane comunicazione, è stato particolarmente laconico nel rispondere alla Corte.
26. Dopo avere ammesso che tale sentenza contribuisce a chiarire il diritto dell’Unione, esso ha dichiarato, semplicemente, che «la fattispecie sottesa al procedimento in cui la Supreme Court [Corte suprema] ha sollevato la questione pregiudiziale differisce in modo significativo dal tipo di situazioni sottese ai procedimenti che hanno dato luogo a detta sentenza» (17).
27. Tali affermazioni del giudice del rinvio, successive alla sua domanda di pronuncia pregiudiziale, non arrivano a rimettere in discussione la giurisprudenza della sentenza La Quadrature du Net (come hanno invece fatto alcuni dei governi intervenuti nel procedimento) né richiedono chiarimenti sul suo contenuto.
28. Sebbene le «situazioni sottese» (18) ai procedimenti definiti con la sentenza La Quadrature du Net siano diverse da quella del presente rinvio pregiudiziale, ciò che rileva è che la giurisprudenza stabilita in detta sentenza, in via generale, dalla Corte si impone erga omnes ed è vincolante per tutti gli organi giurisdizionali degli Stati membri relativamente all’interpretazione della direttiva 2002/58.
29. Per quanto riguarda l’accesso ai dati conservati, ritengo inoltre che la sentenza Prokuratuur, successiva alla decisione del giudice del rinvio di mantenere la domanda di pronuncia pregiudiziale, dissipi i dubbi ivi sollevati.
30. In siffatte circostanze, e diversamente dall’approccio che seguo nelle conclusioni SpaceNet e Deutsche Telekom (19), in quelle presenti mi limiterò a trarre le conseguenze che derivano, per la domanda di pronuncia pregiudiziale in esame, come formulata inizialmente, dalle sentenze La Quadrature du Net e Prokuratuur.
B. Conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione (questioni pregiudiziali prima, seconda e quarta)
31. Il giudice del rinvio chiede, in sintesi:
– se l’articolo 15, paragrafo 1, della direttiva 2002/58, interpretato alla luce della Carta, osti a un regime generale di conservazione dei dati;
– se, nell’esaminare una normativa nazionale che istituisce un regime di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, soggetto a controlli rigorosi, sia rilevante la circostanza che i dati possano essere legalmente conservati da prestatori di servizi per fini commerciali propri e possa essere richiesta una loro conservazione per motivi di sicurezza nazionale;
– se l’incompatibilità di una legislazione nazionale con l’articolo 15 della direttiva 2002/58 sussista laddove detta legislazione imponga la conservazione generalizzata di tali dati ai fini della lotta contro le forme gravi di criminalità.
32. Come sostengo anche nelle conclusioni SpaceNet e Telekom Deutschland (20), la risposta a tali questioni non può essere diversa da quella pronunciata dalla Corte nella sentenza La Quadrature du Net, che ha riepilogato la giurisprudenza al riguardo.
33. Devo quindi rammentare, anzitutto, la giurisprudenza elaborata della Corte nella suddetta sentenza, il cui punto 168 la riassume come segue:
«[L]’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che osta a misure legislative che prevedono, ai fini di cui all’articolo 15, paragrafo 1, a titolo preventivo, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. Per contro, l’articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, non osta a misure legislative
– che consentano, a fini di salvaguardia della sicurezza nazionale, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica di procedere a una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, in situazioni nelle quali lo Stato membro interessato affronti una minaccia grave per la sicurezza nazionale che risulti reale e attuale o prevedibile, e il provvedimento che prevede tale ingiunzione possa essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto ad accertare l’esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie che devono essere previste, e detta ingiunzione possa essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma sia rinnovabile in caso di persistenza di tale minaccia;
– che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta alle forme gravi di criminalità e di prevenzione delle minacce gravi alla sicurezza pubblica, una conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile;
– che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta alle forme gravi di criminalità e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario;
– che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta alla criminalità e di salvaguardia della sicurezza pubblica, una conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, e
– che consentano, a fini di lotta alle forme gravi di criminalità e, a fortiori, di salvaguardia della sicurezza nazionale, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica, mediante un provvedimento dell’autorità competente soggetto a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione di cui detti fornitori di servizi dispongono,
se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi».
34. L’idea chiave della giurisprudenza della Corte relativa alla direttiva 2002/58 è che gli utenti dei mezzi di comunicazione elettronica hanno il diritto di attendersi, in linea di principio, che le loro comunicazioni e i dati a queste correlati rimangano anonimi e non possano essere registrati, salvo loro consenso (21).
35. L’articolo 15, paragrafo 1, della direttiva 2002/58 ammette deroghe all’obbligo di garantire la riservatezza e agli obblighi corrispondenti. La sentenza La Quadrature du Net si sofferma sulla conciliazione di tali deroghe con i diritti fondamentali il cui esercizio potrebbe essere leso (22).
36. La conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione potrebbe essere giustificata, secondo la Corte, solo dall’obiettivo della salvaguardia della sicurezza nazionale, la cui importanza «supera quella degli altri obiettivi di cui all’articolo 15, paragrafo 1, della direttiva 2002/58» (23).
37. In tal caso (sicurezza nazionale), la Corte ha dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, «non osta, in linea di principio, a una misura legislativa che autorizzi le autorità competenti ad imporre ai fornitori di servizi di comunicazione elettronica di procedere alla conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli utenti dei mezzi di comunicazione elettronica per un periodo limitato, se ricorrono circostanze sufficientemente concrete che consentono di ritenere che lo Stato membro interessato affronti una minaccia grave (...) per la sicurezza nazionale che si rivela reale e attuale o prevedibile» (24).
38. Tali prescrizioni determinano certamente un regime più rigoroso e restrittivo di quello risultante dalla giurisprudenza della Corte europea dei diritti dell’uomo (Corte EDU) relativa all’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU). Il fatto che il «significato e la portata» dei diritti della Carta corrispondenti a quelli della CEDU debbano essere uguali a quelli conferiti da quest’ultima non preclude, ai sensi dell’articolo 52, paragrafo 3, in fine, della Carta, che il diritto dell’Unione conceda una protezione più estesa.
39. Inoltre, la giurisprudenza elaborata dalla Corte EDU nelle sentenze del 25 maggio 2021, Big Brother Watch e a. c. Regno Unito (25) e Centrum för Rättvisa c. Svezia (26), nonché in quella del 4 dicembre 2015, Zakharov c. Russia (27), riguarda casi che, come è stata la posizione prevalente in udienza, non sono equiparabili a quelli in discussione nel presente rinvio pregiudiziale. In quest’ultimo, la soluzione va cercata applicando normative nazionali ritenute conformi alla disciplina esaustiva della direttiva 2002/58, come interpretata dalla Corte.
40. A prescindere dal parere sul richiamo alla sicurezza nazionale, nella sentenza La Quadrature du Net, in quanto motivo per derogare, a determinate condizioni, al divieto di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione (a mio avviso, i limiti posti dalla Corte sono eccessivamente ampi), devono essere rispettate le prescrizioni elencate ai punti da 137 a 139 di detta sentenza.
41. Al di fuori di tale ipotesi, occorrerà esaminare se la disciplina nazionale si basi su criteri sufficientemente mirati per rispettare le condizioni che, secondo la giurisprudenza della Corte, possono giustificare un’ingerenza particolarmente grave, quale la conservazione di dati, nei diritti fondamentali interessati.
42. Orbene, il senso della sentenza La Quadrature du Net non sarebbe rispettato se le sue dichiarazioni riguardo alla sicurezza nazionale potessero essere applicate a reati, anche gravi, che non attentino a quest’ultima, bensì alla sicurezza pubblica o ad altri interessi giuridicamente tutelati.
43. La Corte ha quindi distinto attentamente le misure legislative nazionali che prevedono la conservazione preventiva, generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione a fini di salvaguardia della sicurezza nazionale (punti da 134 a 139 della sentenza La Quadrature du Net) da quelle che attengono alla lotta contro la criminalità e alla salvaguardia della sicurezza pubblica (punti da 140 a 151 di tale sentenza). Le une e le altre non possono avere la medesima portata, salvo privare tale distinzione di qualsiasi significato.
44. Gli strumenti di conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione ai fini della lotta contro le forme gravi di criminalità sono indicati, ripeto, ai punti da 140 a 151 della sentenza La Quadrature du Net. Ad essi occorre aggiungere, per identica finalità, quelli che autorizzano la conservazione preventiva degli indirizzi IP e dei dati relativi all’identità civile della persona (punti da 152 a 159 di detta sentenza), nonché la «conservazione rapida» dei dati relativi al traffico e dei dati relativi all’ubicazione (punti da 160 a 166 della sentenza citata).
45. Il giudice del rinvio chiede indicazioni, in concreto, sull’incidenza della «circostanza che i dati possano essere legalmente conservati da prestatori di servizi per fini commerciali propri e possa essere richiesta una loro conservazione per motivi di sicurezza nazionale esclusi dalle disposizioni della direttiva 2002/58».
46. Orbene, per quanto riguarda i dati che tali operatori memorizzano a fini commerciali, la sentenza La Quadrature du Net li collega allo scopo per il quale sono stati raccolti e ne autorizza solo l’eventuale «conservazione rapida» nei termini dei succitati punti da 160 a 166 di detta sentenza.
47. Gli imperativi della sicurezza nazionale autorizzano, nel modo e con le garanzie ed entro i limiti indicati nella sentenza La Quadrature du Net, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi alla localizzazione. Ciò non vale, tuttavia, per l’obiettivo di perseguire i reati, anche gravi, menzionati all’articolo 6, paragrafo 1, lettera a), della legge del 2011, sul quale verte il rinvio pregiudiziale.
48. Quanto ai problemi sollevati dalla conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione (28), rinvio, per il resto, ai punti da 43 a 50 delle mie conclusioni SpaceNet e Telekom Deutschland.
49. Se non si può chiedere alla Corte di assumere funzioni normative e di puntualizzare, minuziosamente, quali categorie di dati possano essere conservate e per quanto tempo (29), tanto meno essa potrà arrogarsi, nell’interpretare l’articolo 15, paragrafo 1, della direttiva 2002/58, il ruolo del legislatore, introducendo in tale disposizione categorie intermedie tra la sicurezza nazionale e la sicurezza pubblica, per applicare alla seconda requisiti inerenti alla prima.
50. Come ha affermato la Corte, «l’elenco degli obiettivi di cui all’articolo 15, paragrafo 1, prima frase, di tale direttiva ha carattere tassativo, di modo che una misura legislativa adottata ai sensi di detta disposizione deve rispondere in modo effettivo e rigoroso ad uno di questi obiettivi» (30).
51. La proposta formulata dalla Commissione in udienza (31) (introdurre un tertium genus di violazioni) estenderebbe fino a limiti imprecisati l’unica causa idonea a giustificare una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – ossia la sicurezza nazionale – equiparando alle minacce a quest’ultima quelle derivanti dalle forme gravi di criminalità.
52. Le difficoltà evidenziate nell’ambito di tale dibattito in udienza, nel delimitare le fattispecie criminose che potrebbero costituire siffatto tertium genus, confermano che non è questo un compito che spetti ad un organo giurisdizionale.
53. Occorre inoltre rilevare che la Corte, laddove descrive le «attività tali da destabilizzare gravemente le strutture» di un paese e, nella stessa misura, da attentare alle «funzioni essenziali dello Stato e [a]gli interessi fondamentali della società», si riferisce alle «strutture costituzionali, politiche, economiche o sociali fondamentali» di detto paese (32).
54. A partire da tali premesse, la normativa irlandese descritta dal giudice del rinvio non presenta differenze significative rispetto alle legislazioni esaminate nei procedimenti in cui è stata pronunciata la sentenza La Quadrature du Net. A prescindere dal regime di accesso ai dati istituito dalla legge del 2011 (sul quale verte la terza questione pregiudiziale), le norme sulla conservazione imposte da tale legge sono analoghe a quelle analizzate in detta sentenza e comportano quindi un’identica violazione dell’articolo 15, paragrafo 1, della direttiva 2002/58.
55. Infatti, la normativa irlandese autorizza, per ragioni che vanno oltre quelle inerenti alla salvaguardia della sicurezza nazionale, la conservazione preventiva, generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati per un periodo di due anni.
56. In sintesi, suggerisco di rispondere alle questioni pregiudiziali prima, seconda e quarta della Supreme Court (Corte Suprema) negli stessi termini in cui si è pronunciata la Corte nella sentenza La Quadrature du Net.
C. Accesso ai dati conservati (terza questione pregiudiziale)
57. Il giudice del rinvio chiede quali criteri debba prendere in considerazione per stabilire se le norme nazionali sull’accesso ai dati conservati contemplino il controllo preventivo richiesto dalla giurisprudenza della Corte, o se sia sufficiente un controllo, giurisdizionale o indipendente, ex post.
58. La sentenza Prokuratuur ha risposto anche a tale questione. Al fine di garantire il rispetto delle condizioni cui deve rispondere la normativa che disciplina l’accesso ai dati conservati (33), «è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate» (34).
59. Secondo la Corte, detto «controllo preventivo richiede, tra l’altro, (…) che il giudice o l’entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in gioco. Per quanto riguarda, più in particolare, un’indagine penale, tale controllo preventivo richiede che detto giudice o detta entità sia in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso» (35).
60. Se il controllo preventivo è affidato a un’autorità indipendente, essa «deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna» (36).
61. Per la precisione, «il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare (…) impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica (...) che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale» (37).
62. Secondo la descrizione delle norme irlandesi fornita dal giudice del rinvio, l’accesso ai dati conservati non sembra essere soggetto al controllo preventivo di un organo giurisdizionale o di un’autorità indipendente, bensì alla discrezionalità di un funzionario di polizia di un determinato rango, il quale decide se presentare, o meno, la richiesta ai fornitori del servizio.
63. Spetta al giudice del rinvio verificare se il funzionario al quale la legislazione nazionale affida il controllo preventivo dell’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione conservati rivesta lo status di «autorità indipendente» e la qualità di «terzo» richiesti dalla giurisprudenza della Corte.
64. Nell’effettuare tale verifica, il giudice competente dovrà tenere presente che, nella sentenza Prokuratuur, è stato escluso che il pubblico ministero di uno Stato membro possieda siffatte qualità di indipendenza e di «terzo» quando svolge, allo stesso tempo, funzioni istruttorie in un procedimento penale.
65. La sentenza Prokuratuur offre una risposta (negativa) anche per quanto riguarda la possibilità che il controllo cui fa riferimento il giudice del rinvio abbia luogo ex post:
– non «si [può] supplire all’assenza di un controllo effettuato da un’autorità indipendente mediante un controllo successivo, da parte di un giudice, della legittimità dell’accesso di un’autorità nazionale ai dati relativi al traffico e ai dati relativi all’ubicazione»;
– «il controllo indipendente deve intervenire (...) previamente a qualsiasi accesso, salvo situazioni di urgenza debitamente giustificate, nel qual caso il controllo deve avvenire entro termini brevi» (38).
D. Possibilità di limitare nel tempo gli effetti di una declaratoria di incompatibilità della normativa nazionale con il diritto dell’Unione (questioni quinta e sesta)
66. La Supreme Court (Corte Suprema) chiede, infine, se:
– possa limitare gli effetti nel tempo di una declaratoria di incompatibilità della normativa nazionale con l’articolo 15 della direttiva 2002/58, ove, in caso contrario, ciò comporterebbe un «conseguente disordine e un danno all’interesse pubblico» e
– possa, di fronte a una richiesta di disapplicazione della normativa nazionale adottata per recepire le disposizioni di una direttiva, respingere tale richiesta o limitare l’efficacia della propria declaratoria al periodo successivo alla dichiarazione di invalidità della direttiva 2006/24 pronunciata dalla Corte l’8 aprile 2014 (39).
67. Di nuovo, la soluzione a tale interrogativo è rinvenibile nella sentenza La Quadrature du Net, che si è attenuta alla giurisprudenza tradizionale in materia.
68. Nella causa C‑520/18, la Cour constitutionnelle (Corte costituzionale) belga aveva sottoposto alla Corte una questione analoga a quella della Supreme Court (Corte suprema) irlandese oggetto del presente rinvio pregiudiziale (40).
69. Nel rispondere a tale questione nella sentenza La Quadrature du Net, la Corte, dopo avere ricordato i requisiti derivanti dal principio del primato del diritto dell’Unione (punti 214 e 215), ha ripreso la sua giurisprudenza relativa alla limitazione degli effetti delle sue sentenze: «[s]olo la Corte può, eccezionalmente e per considerazioni imperative di certezza del diritto, concedere una sospensione provvisoria dell’effetto di disapplicazione esercitato da una norma di diritto dell’Unione rispetto a norme di diritto interno con essa in contrasto. Una siffatta limitazione nel tempo degli effetti dell’interpretazione data dalla Corte a tale diritto [dell’Unione] può essere concessa solo nella stessa sentenza che statuisce sull’interpretazione richiesta» (41).
70. Subito dopo essa ha dichiarato che, «a differenza dell’omissione di un obbligo procedurale quale la valutazione preliminare delle incidenze di un progetto nell’ambito specifico della tutela dell’ambiente, una violazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, non può essere oggetto di regolarizzazione mediante una procedura analoga a quella menzionata al punto precedente. Infatti, il mantenimento degli effetti di una normativa nazionale, come quella di cui trattasi nei procedimenti principali, implicherebbe che detta normativa continui ad imporre ai fornitori di servizi di comunicazione elettronica obblighi che risultano contrari al diritto dell’Unione e comportano ingerenze gravi nei diritti fondamentali delle persone i cui dati sono stati conservati» (42).
71. Da tale premessa la Corte ha dedotto che «il giudice del rinvio non può applicare una disposizione del suo diritto nazionale che lo autorizza a limitare nel tempo gli effetti di una dichiarazione di illegittimità ad esso incombente, in forza di tale diritto, della legislazione nazionale di cui trattasi nei procedimenti principali» (43).
72. Tali considerazioni sono pienamente applicabili alle questioni pregiudiziali quinta e sesta della Supreme Court (Corte Suprema).
73. In primo luogo, è irrilevante che la normativa nazionale di cui trattasi sia stata adottata al fine di recepire nel diritto interno la direttiva 2006/24. L’elemento decisivo, a questo proposito, è che il contenuto della norma nazionale sia conforme al diritto dell’Unione nel suo complesso, circostanza che non ricorre nel caso di specie.
74. L’invalidità di una direttiva, dichiarata dalla Corte in considerazione della sua incompatibilità con disposizioni sostanziali dei Trattati, implica che questa stessa incompatibilità con il diritto primario dell’Unione riguardi le norme nazionali che si limitano a recepire tale direttiva.
75. Il giudice del rinvio afferma che la legge del 2011 è stata emanata per rispettare l’articolo 288 TFUE, recependo nel diritto irlandese la direttiva 2006/24. Nessuno nega che sia così, ma, come ho appena osservato, ciò che rileva è che detta direttiva era invalida fin dall’inizio (come dichiarato dalla sentenza Digital Rights), in quanto comportava un’ingerenza non proporzionata nei diritti sanciti dagli articoli 7 e 8 della Carta, e che alla conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione occorre applicare la direttiva 2002/58, come interpretata dalla Corte.
76. In secondo luogo, è noto che le sentenze pregiudiziali di interpretazione della Corte hanno efficacia dal momento dell’entrata in vigore della norma di diritto dell’Unione oggetto di interpretazione (44).
77. Se pure la limitazione nel tempo degli effetti dell’interpretazione del diritto dell’Unione data dalla Corte può essere ammessa solo nella sentenza stessa che si pronuncia sull’interpretazione richiesta, ricordo che ciò non si è verificato nella sentenza Digital Rights, richiamata dal giudice del rinvio.
78. Ciò non è accaduto neppure:
– nella sentenza Tele2 Sverige, pronunciata il 21 dicembre 2016, che ha interpretato la direttiva 2002/58 dichiarando che essa osta a una normativa nazionale che prevede la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, per quanto riguarda la lotta contro le forme gravi di criminalità;
– nella sentenza La Quadrature du Net, che, il 6 ottobre 2020, ha nuovamente confermato l’interpretazione della direttiva 2002/58 nel modo che si è già spiegato.
79. In terzo luogo, nel presente rinvio non vengono risolti i problemi inerenti all’esclusione delle prove nel procedimento penale a carico della persona che è stata condannata per omicidio. Al contrario, si tratta qui di un procedimento civile [come lo qualifica la Supreme Court (Corte Suprema)] che deve essere definito mediante un confronto oggettivo tra la legislazione nazionale e il diritto dell’Unione.
80. Ciò è posto in rilievo dal giudice del rinvio: «nell’ambito del ricorso attualmente pendente dinanzi a questo Giudice [la Supreme Court (Corte Suprema)], l’unica questione sollevata è se la High Court (Alta Corte) abbia dichiarato correttamente che l’articolo 6, paragrafo 1, lettera a), della legge [del 2011] era incompatibile con il diritto dell’Unione» (45).
81. La risposta a tale «unica questione» è che l’articolo 6, paragrafo 1, lettera a), della legge del 2011 non è conforme al diritto dell’Unione e non vi sono motivi per posticipare l’efficacia della sentenza che deve dichiararlo.
V. Conclusione
82. In considerazione di quanto precede, suggerisco alla Corte di rispondere alla Supreme Court (Corte suprema, Irlanda) nei termini seguenti:
«1) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e dell’articolo 4, paragrafo 2, TUE, deve essere interpretato nel senso che osta a una normativa nazionale che:
– imponga ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di conservare, in modo preventivo, generalizzato e indifferenziato, i dati relativi al traffico e i dati relativi all’ubicazione degli utenti finali di detti servizi per finalità diverse dalla salvaguardia della sicurezza nazionale di fronte a una minaccia che risulti reale e attuale o prevedibile;
– non subordini l’accesso delle autorità competenti ai dati relativi al traffico e ai dati relativi all’ubicazione conservati ad un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente.
2. Un organo giurisdizionale nazionale non può limitare nel tempo gli effetti di una dichiarazione di illegittimità di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica, ai fini, in particolare, della salvaguardia della sicurezza nazionale e della lotta alla criminalità, un obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione incompatibile con l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali».