CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:258

Causa C‑140/20

G.D.

contro

Commissioner of An Garda Síochána e a.

[Domanda di pronuncia pregiudiziale proposta dalla Supreme Court (Irlanda)]

Sentenza della Corte (Grande Sezione) del 5 aprile 2022

«Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Riservatezza delle comunicazioni – Fornitori di servizi di comunicazione elettronica – Conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Accesso ai dati conservati – Controllo giurisdizionale a posteriori – Direttiva 2002/58/CE – Articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 11 nonché articolo 52, paragrafo 1 – Possibilità, per un giudice nazionale, di limitare nel tempo gli effetti di una declaratoria di invalidità riguardante una normativa nazionale incompatibile con il diritto dell’Unione – Esclusione»

1. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazioni elettroniche la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Obiettivo di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica – Inammissibilità – Misure nazionali che prevedono la conservazione mirata di tali dati sulla base di elementi oggettivi e non discriminatori e per un periodo temporalmente limitato allo stretto necessario – Misure nazionali che prevedono la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti alla fonte di una connessione, per un periodo temporalmente limitato allo stretto necessario – Misure nazionali che prevedono la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica – Misure nazionali che prevedono il ricorso a un’ingiunzione nei confronti dei fornitori di servizi di comunicazione elettronica di procedere per un periodo determinato, alla conservazione rapida dei dati relativi al traffico e dei dati relativi all’ubicazione – Obiettivo di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica – Ammissibilità – Presupposti

(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

(v. punti 51-57, 62-65, 71-74, 83-87, 91-93, 97-101, dispositivo 1)

2. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazioni elettroniche la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Accesso delle autorità nazionali ai dati conservati ai fini di indagini penali – Autorizzazione all’accesso data da un funzionario di polizia, assistito da un’unità istituita all’interno della polizia e che gode di una certa autonomia nell’esercizio della sua missione – Accesso soggetto a un controllo a posteriori da parte di un organo giurisdizionale – Inammissibilità

(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

(v. punti 65-82, dispositivo 2)

3. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazioni elettroniche la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Obiettivo di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica – Inammissibilità – Declaratoria d’invalidità della normativa nazionale che prevede tali misure, in considerazione della sua incompatibilità con il diritto dell’Unione. – Facoltà per il giudice nazionale di limitare gli effetti nel tempo di tale declaratoria – Insussistenza

(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

(v. punti 118, 119, 122-128, dispositivo 3)

Sintesi

In questi ultimi anni la Corte si è pronunciata, in varie sentenze, sulla conservazione e l’accesso ai dati personali nel settore delle comunicazioni elettroniche (1).

In particolare, con due sentenze pronunciate in Grande Sezione (2), il 6 ottobre 2020, la Corte ha confermato la sua giurisprudenza derivante dalla sentenza Tele2 Sverige, sul carattere sproporzionato della conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione. Essa ha inoltre fornito precisazioni, in particolare, quanto alla portata dei poteri riconosciuti dalla direttiva «relativa alla vita privata e alle comunicazioni elettroniche» agli Stati membri in materia di conservazione di simili dati ai fini della salvaguardia della sicurezza nazionale e della lotta alla criminalità.

Nella presente causa, la domanda di pronuncia pregiudiziale è stata presentata dalla Supreme Court (Corte suprema, Irlanda) nell’ambito di un procedimento civile promosso da una persona condannata all’ergastolo per un omicidio commesso in Irlanda. Quest’ultima contestava la compatibilità con il diritto dell’Unione di talune disposizioni della legge nazionale relativa alla conservazione dei dati generati nell’ambito delle comunicazioni elettroniche (3). In forza di tale legge (4), dati relativi al traffico e dati relativi all’ubicazione di chiamate telefoniche dell’accusato erano stati conservati dai fornitori di servizi di comunicazione elettronica e resi accessibili alle autorità di polizia. I dubbi espressi dal giudice del rinvio vertevano in particolare sulla compatibilità con la «direttiva relativa alla vita privata e alle comunicazioni elettroniche» (5), letta alla luce della Carta (6), di un regime di conservazione generalizzata e indifferenziata di tali dati, in relazione alla lotta alla criminalità grave.

Con la sua sentenza, pronunciata in Grande Sezione, la Corte conferma, precisandone la portata, la giurisprudenza derivante dalla sentenza La Quadrature du Net e a., ricordando che la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione relativi alle comunicazioni elettroniche non è autorizzata ai fini della lotta alla criminalità grave e la prevenzione delle minacce gravi alla sicurezza pubblica. Essa conferma altresì la giurisprudenza scaturita dalla sentenza Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (7), in particolare per quanto riguarda l’obbligo di subordinare l’accesso delle autorità nazionali competenti a detti dati conservati ad un controllo preventivo effettuato o da un giudice o da un organo amministrativo indipendente, nei confronti di un funzionario di polizia.

Giudizio della Corte

La Corte dichiara, in primo luogo, che la direttiva «relativa alla vita privata e alle comunicazioni elettroniche», letta alla luce della Carta, osta a misure legislative che prevedano, a titolo preventivo, per finalità di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. Infatti, tenuto conto, da un lato, degli effetti dissuasivi sull’esercizio dei diritti fondamentali (8) che tale conservazione può determinare e, dall’altro, della gravità dell’ingerenza che essa comporta, una siffatta conservazione deve costituire l’eccezione e non la regola al sistema istituito dalla direttiva, cosicché tali dati non possano essere oggetto di una conservazione sistematica e continuativa. La criminalità, anche particolarmente grave, non può essere equiparata a una minaccia per la sicurezza nazionale, in quanto una siffatta equiparazione potrebbe introdurre una categoria intermedia tra la sicurezza nazionale e la sicurezza pubblica, per applicare alla seconda i requisiti inerenti alla prima.

Invece, la direttiva «relativa alla vita privata e alle comunicazioni elettroniche», letta alla luce della Carta, non osta a misure legislative che prevedano, per fini di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico, per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile. Essa aggiunge che una siffatta misura di conservazione riguardante luoghi o infrastrutture frequentati regolarmente da un numero molto elevato di persone o luoghi strategici, quali aeroporti, stazioni, porti marittimi o zone di pedaggio, può consentire alle autorità competenti di ottenere informazioni sulla presenza, in tali luoghi o aree geografiche, delle persone che vi utilizzano un mezzo di comunicazione elettronica e di trarne conclusioni sulla loro presenza e sulla loro attività in detti luoghi o aree geografiche per fini di lotta alla criminalità grave. In ogni caso, l’eventuale esistenza di difficoltà nel definire con precisione le ipotesi e le condizioni alle quali si può effettuare la conservazione mirata non può giustificare il fatto che gli Stati membri prevedano una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione.

Tale direttiva, letta alla luce della Carta, non osta neppure a misure legislative che prevedano, ai medesimi fini, la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario, nonché dei dati relativi all’identità civile degli utenti di comunicazioni elettroniche. Per quanto riguarda quest’ultimo aspetto, la Corte precisa in particolare che né la direttiva «relativa alla vita privata e alle comunicazioni elettroniche» né alcun altro atto di diritto dell’Unione ostano a una normativa nazionale, avente ad oggetto la lotta alla criminalità grave, in forza della quale l’acquisizione di un mezzo di comunicazione elettronica, quale una carta SIM prepagata, è subordinata alla verifica di documenti ufficiali che provino l’identità civile dell’acquirente e alla registrazione, da parte del venditore, delle informazioni che ne derivano, essendo il venditore eventualmente tenuto a fornire alle autorità competenti tali informazioni.

Lo stesso dicasi per quanto attiene alle misure legislative che prevedano, sempre per fini di lotta alla criminalità grave e di prevenzione delle minacce gravi alla sicurezza pubblica, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica, mediante un provvedimento dell’autorità competente soggetto a un controllo giurisdizionale effettivo, di procedere, per un periodo determinato, alla conservazione rapida («quick freeze») dei dati relativi al traffico e dei dati relativi all’ubicazione di cui dispongono. Infatti, solo la lotta alla criminalità grave e, a fortiori, la salvaguardia della sicurezza nazionale sono idonee a giustificare una simile conservazione, a condizione che tale misura e l’accesso ai dati conservati rispettino i limiti dello stretto necessario. La Corte ricorda che una simile misura di conservazione rapida può essere estesa ai dati relativi al traffico e ai dati relativi all’ubicazione di persone diverse da quelle sospettate di aver progettato o commesso un reato grave o un attentato alla sicurezza nazionale, purché tali dati possano contribuire, sulla base di elementi oggettivi e non discriminatori, all’accertamento di un siffatto reato o attentato alla sicurezza nazionale, quali i dati della vittima o del suo ambiente sociale o professionale.

Tuttavia, la Corte precisa, poi, che tutte le summenzionate misure legislative devono garantire, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi. Le diverse misure di conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione possono, a scelta del legislatore nazionale e nel rispetto dei limiti dello stretto necessario, essere applicate congiuntamente.

Inoltre, la Corte precisa che il fatto di autorizzare, per fini di lotta alla criminalità grave, l’accesso a simili dati conservati in modo generalizzato e indifferenziato, per far fronte a una minaccia grave alla sicurezza nazionale, sarebbe contrario alla gerarchia degli obiettivi di interesse generale in grado di giustificare una misura adottata in forza della direttiva «relativa alla vita privata e alle comunicazioni elettroniche» (9). Infatti, ciò significherebbe consentire che l’accesso possa essere giustificato da un obiettivo di importanza minore rispetto a quello che ha giustificato la conservazione, vale a dire la salvaguardia della sicurezza nazionale, rischiando in tal modo di privare di ogni effetto utile il divieto di procedere alla conservazione generalizzata e indifferenziata per fini di lotta alla criminalità grave.

In secondo luogo, la Corte decide che la direttiva «relativa alla vita privata e alle comunicazioni elettroniche», letta alla luce della Carta, osta a una normativa nazionale, in forza della quale il trattamento centralizzato delle domande di accesso a dati conservati dai fornitori di servizi di comunicazione elettronica, provenienti dalla polizia nell’ambito della ricerca e del perseguimento di reati gravi, è affidato a un funzionario di polizia, anche se assistito da un’unità istituita all’interno della polizia, che gode di una certa autonomia nell’esercizio della sua missione e le cui decisioni possono essere successivamente sottoposte a controllo giurisdizionale. Infatti, da un lato, un funzionario di tale tipo non soddisfa i requisiti di indipendenza e di imparzialità che si impongono ad un’autorità amministrativa che esercita il controllo preventivo delle domande di accesso ai dati provenienti dalle autorità nazionali competenti, in quanto egli non ha la qualità di terzo rispetto a tali autorità. Dall’altro, sebbene la decisione di un funzionario di questo tipo possa essere oggetto di un controllo giurisdizionale esercitato a posteriori, tale controllo non può sostituirsi ad un controllo indipendente e, salvo casi di urgenza debitamente giustificata, preventivo.

In terzo luogo, infine, la Corte conferma la propria giurisprudenza secondo cui il diritto dell’Unione osta a che un giudice nazionale limiti nel tempo gli effetti di una declaratoria di invalidità ad esso spettante, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, a causa dell’incompatibilità di tale normativa con la direttiva «relativa alla vita privata e alle comunicazioni elettroniche». Ciò premesso, la Corte ricorda che l’ammissibilità degli elementi di prova ottenuti mediante una siffatta conservazione, conformemente al principio di autonomia procedurale degli Stati membri, rientra nel diritto nazionale, fatto salvo il rispetto, in particolare, dei principi di equivalenza e di effettività.

1 In tal senso, nella sentenza dell’8 aprile 2014 Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238) la Corte ha dichiarato invalida la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54), con la motivazione che l’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), che conteneva l’obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione previsto da tale direttiva non era limitato allo stretto necessario. Nella sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970), la Corte ha poi dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (in prosieguo: la direttiva «relativa alla vita privata e alle comunicazioni elettroniche») (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) osta a una normativa nazionale che prevede la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione per finalità di lotta alle forme gravi di criminalità. Infine, nella sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:18), la Corte ha interpretato tale medesimo articolo 15, paragrafo 1, in una causa che riguardava l’accesso delle autorità pubbliche ai dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica.

2 Sentenze del 6 ottobre 2020, Privacy International (C‑623/17, EU:C:2020:790) e La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791).

3 Communications (Retention of Data) Act 2011 [legge del 2011 sulle comunicazioni (conservazione dei dati)]. Tale legge è stata adottata al fine di recepire nell’ordinamento giuridico irlandese la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54).

4 La legge autorizza, per ragioni che vanno oltre quelle inerenti alla salvaguardia della sicurezza nazionale, la conservazione preventiva, generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli abbonati per un periodo di due anni.

5 Precisamente l’articolo 15, paragrafo 1, della direttiva 2002/58.

6 In particolare degli articoli 7, 8, 11 e 52, 41 della Carta.

7 Sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152).

8 Sanciti agli articoli da 7 a 11 della Carta.

9 Tale gerarchia è sancita nella giurisprudenza della Corte, e in particolare nella sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C-511/18, C-512/18 e C-520/18, EU:C:2020:791), punti 135 e 136. In base a tale gerarchia, la lotta alla criminalità grave riveste un’importanza minore rispetto alla salvaguardia della sicurezza nazionale.