Pubbl. Mar, 17 Set 2024
La pronuncia della Corte di Giustizia dell’Unione europea nella causa C-470/21: “Un possibile passo indietro nella Data Retention Saga”
Modifica pagina
Antonio Vertuccio
La necessità di operare un bilanciamento tra l’ingerenza nella sfera personale degli individui e la tutela del loro diritto alla privacy ha dato vita alla “Data Retention Saga” nella giurisprudenza della Corte di Giustizia dell’Unione Europea (CGUE). In questo filone giurisprudenziale si innesta la pronuncia della CGUE in merito alla causa C- 470/21, avente a oggetto l’acquisizione degli indirizzi IP degli individui per la tutela del diritto d’autore. La sentenza in questione fornisce molteplici spunti di riflessione sul tema della Data Retention e fa sorgere la rinnovata esigenza di delimitare con precisione i termini di un arduo contemperamento, necessario per salvaguardare l’essenza del diritto alla privacy degli individui.
ENG
The ruling of the Court of Justice of the European Union in case C-470/21: “A possible step backwards in the Data Retention Saga”
The need to strike a balance between interference in the personal sphere of individuals and the protection of their right to privacy has given rise to the ”Data Retention Saga” in the jurisprudence of the Court of Justice of the European Union (CJEU). The judgment of the CJEU in the case C-470/21, concerning the acquisition of IP addresses of individuals for the protection of copyright, fits into this jurisprudential trend. The ruling in question provides many food for thought on the topic of Data Retention and gives rise to the renewed need to precisely delimit the terms of an arduous reconciliation, necessary to safeguard the essence of the right to privacy of individuals.Sommario: 1. Introduzione; 2. Procedimento principale e questioni pregiudiziali; 3. Breve ricostruzione delle potestà esplicabili dall’Hadopi; 4. La sentenza della Corte di Giustizia dell’Unione europea nella causa C-470/21: “L’acquisizione degli indirizzi IP per la tutela del diritto d’autore è legittima in presenza di talune condizioni"; 5. Analisi della pronuncia della Corte di Giustizia dell’Unione europea: “Una ricostruzione parzialmente condivisibile ”; 6. Conclusioni
- Introduzione
Dall’anno 2014 la Corte di Giustizia dell’Unione europea (CGUE) ha emanato una serie di pronunce tese a delineare un legittimo bilanciamento tra la tutela del diritto alla privacy degli individui e la conservazione dei dati personali da parte delle pubbliche autorità per la salvaguardia della sicurezza pubblica e lo svolgimento di attività investigative in ambito penalistico. Queste sentenze hanno dato vita a un filone giurisprudenziale, denominato “Data Retention Saga”, connotato da molteplici profili di complessità. La necessità di configurare una corretto contemperamento tra la salvaguardia del diritto alla privacy e il perseguimento di scopi pubblici repressivi ha indotto i giudici di Lussemburgo a concentrare gli sforzi ermeneutici su quanto disposto dall’articolo 15 della direttiva 2002/58/CE[1].
L’articolo 15 della suddetta direttiva, anche ribattezzata direttiva e-Privacy, consente agli Stati membri di adottare disposizioni legislative tese a derogare agli obblighi di protezione della privacy degli individui, che la stessa direttiva impone[2]. Le misure deroganti sono adottabili dagli Stati se necessarie, opportune e proporzionate all’interno di una società democratica per la salvaguardia della sicurezza nazionale e per lo svolgimento di attività d’indagine (prevenzione, ricerca, accertamento e perseguimento di condotte criminose) atta al perseguimento dei reati. La CGUE ha cercato di sopperire all’asettica formulazione dell’articolo 15 della direttiva, determinando gli effettivi presupposti che legittimano l’ingerenza nella sfera privata degli individui per scopi pubblici. In questa prospettiva, la Corte ha affermato che le misure pubbliche intrusive, che sovente si sono concretizzate nella conservazione dei dati relativi al traffico e all’ubicazione[3], sono legittime se volte a contrastare gravi forme di criminalità e subordinate al controllo di un’autorità pubblica indipendente.
Orbene, nell’ottobre del 2021 si radicava dinanzi la CGUE la causa C-470/21, a seguito di un rinvio pregiudiziale ex articolo 267[4] del Trattato sul funzionamento dell’Unione europea (TFUE)[5], sollevato dal Consiglio di Stato francese, avente a oggetto proprio l’interpretazione dell’articolo 15 della direttiva e-Privacy. Il citato procedimento si innesta nel filone giurisprudenziale “Data Retention Saga” e si basa sulle questioni giuridiche e fattuali affini a quelle sulle quali la CGUE è già intervenuta. I giudici di Lussemburgo si sono pronunciati nella causa in questione, facendo sorgere spunti di riflessione in merito all’evoluzione della “Data Retention Saga”.
La precipua finalità di questo articolo è sviluppare un approfondimento in ordine all’argomentazione giuridica sottesa alla pronuncia della CGUE. In questa prospettiva, i parametri utilizzati per vagliare quanto affermato dalla Corte saranno l’articolo 52 della Carta dei diritti fondamentali dell’Unione europea[6], l’articolo 15 della direttiva e-Privacy e l’orientamento giurisprudenziale, sommariamente introdotto, della CGUE sul tema della sacrificabilità del diritto alla privacy per il perseguimento di finalità pubbliche.
2. Procedimento principale e questioni pregiudiziali
Nell’agosto del 2019 la Quadrature du net, la Federation des fournisseurs d’accèss à Internet associatifs, il Franciliens. Net e il French Data Network proponevano dinanzi al Consiglio di Stato francese una domanda giudiziale tesa ad annullare la decisione del Primo Ministro francese di non accogliere la loro richiesta di abrogazione del decreto 5/2010[7], emanato per la tutela del diritto d’autore. In particolare, i ricorrenti ponevano alla base delle proprie doglianze la presunta illegittimità delle statuizioni contenute nel decreto 5/2010, in quanto le stesse legittimavano un accesso pubblico sproporzionato ai dati di connessione degli individui per reati non gravi, riconducibili alle violazioni del diritto d’autore commesse su Internet.
Al contempo, contestavano l’assenza di controlli circa tale accesso; infatti, il decreto 5/2010 non subordinava l’ingerenza ad alcun controllo preventivo da parte di un giudice o di un’autorità in grado di garantire effettiva indipendenza e imparzialità. Il Consiglio di Stato francese chiedeva alla CGUE di chiarire se l’articolo 15 della direttiva e-Privacy consentisse a un’autorità amministrativa di accedere a dati personali degli individui (relativi all’identità civile corrispondenti a indirizzi IP) per fini repressivi. Inoltre, il Consiglio di Stato chiedeva alla Corte di Lussemburgo di chiarire se l’accesso dell’autorità pubblica ai dati personali dovesse essere subordinato a un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente[8].
In ultima istanza, veniva posta dinanzi la CGUE un’ulteriore questione pregiudiziale volta a stabilire se la direttiva e-Privacy fosse ostativa all’estrinsecazione dell’attività di controllo preventivo da parte di un servizio interno all’organismo pubblico, connotato da effettiva indipendenza e imparzialità.
3. Breve ricostruzione delle potestà esplicabili dall’Hadopi
Le riportate rimostranze dei ricorrenti nel procedimento principale si concentravano sulle potestà attribuite nell’ordinamento francese all’Haute Autoritè pour la diffusion des oeuvres et la protection des droits sur l’Internet (Hadopi[9]).Il Codice della proprietà intellettuale francese attribuisce all’Hadopi una funzione di protezione delle opere e degli oggetti ai quali è correlato un diritto d’autore o un diritto connesso sulle reti di comunicazione elettronica.
L’Hadopi è l’autorità pubblica indipendente francese, composta da un collegio e da una commissione per la protezione dei diritti, che svolge, come anticipato, una funzione di salvaguardia delle opere riconducibili alla sussistenza di un diritto d’autore nell’ambiente digitale. La suddetta attività è volta prevalentemente a reprimere le violazioni del diritto d’autore commesse sulle reti di comunicazione elettronica, utilizzate per la fornitura di servizi di comunicazione al pubblico online. In particolare, l’Hadopi monitora l’uso delle opere intellettuali su Internet, contrasta la pirateria e svolge una funzione consultiva nei confronti del Parlamento francese. L’Hadopi agisce su ricorso di agenti giurati e autorizzati, designati dagli organismi di difesa professionale regolarmente costituiti, dagli organismi di gestione collettiva e dal Centro nazionale della cinematografia e dell’immagine animata.
I menzionati soggetti raccolgono gli indirizzi IP dei sospettati e procedono a inviarli all’Hadopi. Ricevuti tali dati, i membri dell’Hadopi hanno la possibilità di accedere a un ampio novero di documenti dei soggetti segnalati, qualunque ne sia il supporto, compresi i dati che sono conservati e trattati a valle dagli operatori di comunicazione elettroniche e dai fornitori di servizi a fini repressivi.
Infatti, il Codice della proprietà intellettuale dispone che gli operatori di comunicazioni elettroniche e i fornitori di servizi sono tenuti a comunicare i dati personali e le informazioni precisate nel decreto 5/2010 per rendere possibile il trattamento a fini repressivi[10]. Questa statuizione è correlabile al Codice delle poste delle telecomunicazioni francese, che stabilisce quali tipi di dati sono tenuti a conservare gli operatori di comunicazioni elettroniche[11].
I membri del collegio dell’Autorità possono acquisire i dati relativi all’identità, all’indirizzo postale, all’indirizzo di posta elettronica e i recapiti telefonici dell’abbonato dagli operatori di comunicazioni elettroniche. Dunque, tale intrusione da parte dell’Hadopi, che si sostanzia nell’accesso ai dati relativi all’identità civile degli individui corrispondenti agli indirizzi IP precedentemente raccolti, è volta a risalire ai titolari dei suddetti indirizzi, utilizzati per porre in essere gli illeciti, e adottare misure nei loro confronti. Questa ingerenza nella sfera privata degli individui presuppone che il sospettato abbia effettuato un accesso ai servizi di comunicazione al pubblico online al fine di riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere e oggetti protetti in assenza dell’autorizzazione dei titolari dei diritti.
Qualora emergano violazioni di questo tipo l’Hadopi può inviare all’abbonato una raccomandazione, contenente un richiamo alle disposizioni di legge di riferimento con contestuale intimazione a rispettare l’obbligo da esse definito. Inoltre, la raccomandazione è tesa ad avvertire l’individuo circa le sanzioni previste per la condotta illecita. In caso di reiterazione della contestata divulgazione, i membri del collegio possono inviare una nuova raccomandazione entro sei mesi dalla prima comunicazione. Il richiamato meccanismo procedurale si pone in stretta correlazione con l’articolo 331-29 del Codice della proprietà intellettuale, il quale consente all’Hadopi di creare un trattamento automatizzato dei dati personali per le persone che sono oggetto di un procedimento.
Il trattamento automatizzato è prodromico all’attuazione di tutti gli atti procedimentali connessi, nonché necessario per la promulgazione delle informazioni nei confronti degli organismi di difesa professionale e degli eventuali ricorsi all’autorità giudiziaria. Le richiamate disposizioni consentono di prendere atto della portata dei dati potenzialmente acquisibili per fini repressivi. Questi riferimenti normativi hanno una portata determinante ai fini delle valutazioni che successivamente verranno esplicate in sede di bilanciamento[12].
4. La sentenza della Corte di Giustizia dell’Unione europea nella causa C-470/21: “L’acquisizione degli indirizzi IP per la tutela del diritto d’autore è legittima a talune condizioni"
Nel pronunciarsi sulla causa in questione, la CGUE ha fatto talune precisazioni prodromiche a delimitare l’oggetto dell’analisi. In particolare, ha chiarito che le questioni sollevate dal giudice del rinvio sono relative al trattamento, diviso in due tempi, effettuato a valle dai fornitori di accesso a Internet su richiesta dell’Hadopi[13]. Orbene, in merito all’ingerenza che viene a concretizzarsi nel caso concreto, la CGUE ha chiarito che l’obbligo imposto dall’Hadopi ai fornitori di servizi di comunicazione elettronica di garantire la conservazione generalizzata e indifferenziata degli indirizzi IP può essere giustificato dall’obiettivo della lotta contro i reati in generale, qualora sia escluso effettivamente che tale conservazione possa generare ingerenze gravi nella vita privata dell’interessato mediante un collegamento di tali indirizzi IP con un insieme di dati relativi al traffico o all’ubicazione, che siano stati parimenti conservati da tali fornitori.
In tal senso, quindi, la Corte non ha ancorato l’ingerenza in questione alla lotta contro la criminalità grave, discostandosi dalle precedenti pronunce che avevano avuto a oggetto proprio la conservazione degli indirizzi IP. Al contempo, sulla falsariga della riporta premessa, i giudici di Lussemburgo hanno affermato che uno Stato membro che intenda imporre ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP al fine di conseguire un obiettivo connesso alla lotta contro i reati in generale deve assicurarsi che le modalità di conservazione dei dati siano tali da garantire che non sia possibile trarre conclusioni precise sulla vita privata delle persone interessate. Al fine di garantire che sia esclusa una combinazione di dati che consenta di trarre conclusioni precise sulla vita privata dell’interessato, le modalità di conservazione devono essere tali da garantire una separazione effettivamente stagna delle diverse categorie di dati.
Dunque, la Corte ha affermato che l’articolo 15, della direttiva 2002/58 consente di imporre una conservazione generalizzata e indifferenziata degli indirizzi IP ai fini di un obiettivo di lotta contro i reati in generale purché questi dati siano conservati in modo completamente separato dalle altre categorie di dati e ciò sia controllato a intervalli regolari da un organismo indipendente. Invece, in relazione all’eventuale necessità di un controllo preventivo da parte di un giudice o un’autorità amministrativa circa l’accesso da parte dell’autorità pubblica, la Corte si è soffermata sul tipo di interferenza che connotava i precedenti giurisprudenziali.
Infatti, i giudici di Lussemburgo hanno evidenziato che il controllo preventivo da parte di un’autorità indipendente era stato ritenuto necessario nella giurisprudenza della CGUE in virtù della grave ingerenza nella sfera privata degli individui che si concretizzava nei casi posti al suo vaglio[14]. Invero, i giudici di Lussemburgo evidenziavano che nella presente causa non veniva in rilievo un’ingerenza della stessa tipologia di quelle che avevano indotto la Corte a delineare questo controllo. Per queste ragioni, nel caso di specie non era necessario un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente[15].
5. Analisi della pronuncia della Corte di Giustizia dell’Unione europea:”Una ricostruzione parzialmente condivisibile ”
Per sviluppare delle modeste valutazioni in ordine alla condivisibilità della richiamata pronuncia è necessario prendere in considerazione il dato normativo di riferimento e la giurisprudenza della CGUE in tema di data retention[16]. L’articolo 15 della direttiva e-Privacy consente agli Stati membri di derogare al principio di riservatezza delle comunicazioni elettroniche con delle misure pubbliche necessarie, opportune e proporzionate all’interno di una società democratica. La CGUE ha evidenziato che il suddetto articolo deve essere letto alla luce degli articoli 7[17], 8[18] e 52 della Carta dei diritti fondamentali dell’Unione europea. L’articolo 52 della Carta assume una valenza dirimente nel bilanciamento tra la tutela di diritti che in determinati casi si pongono in contrapposizione[19].
Il suddetto articolo dispone che eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla Carta devono essere previste dalla legge e rispettare il contenuto essenziale di questi diritti e libertà. Inoltre, le potenziali ingerenze devono rispettare il principio di proporzionalità e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Questa disposizione attribuisce una valenza determinante al principio di proporzionalità, quale principale parametro per valutare la legittimità di misure pubbliche ingerenti.
Sul fronte strettamente giurisprudenziale, la Corte di Lussemburgo ha interpretato l’articolo 15 della direttiva e-Privacy in modo restrittivo, infatti, ha subordinato la conservazione dei dati relativi al traffico e all’ubicazione dei consociati alla necessità di contrastare le gravi forme di criminalità[20].
Al contempo, però, con un successivo arresto[21] la CGUE ha chiarito che qualora vengano in rilievo ingerenze meno gravi rispetto alla conservazione generalizzata e indiscriminata dei dati relativi al traffico e all’ubicazione, anche il contrasto alla criminalità in generale può giustificare l’intrusione nella sfera privata degli individui. Con la suddetta pronuncia, la Corte non è intervenuta sulla definizione dei criteri utili per comprendere quali reati rientrino nel novero della criminalità grave. In questa prospettiva si ritiene che la nozione “forme gravi di criminalità” debba essere interpretata in modo indipendente dalle concezioni di ciascun Stato membro.
La riportata interpretazione autonoma[22] porta a ritenere che gli interessi relativi alla tutela dei diritti di proprietà intellettuale non possano essere accostati a quelli sottesi alla lotta alle forme gravi di criminalità. Successivamente, i giudici di Lussemburgo hanno chiarito in quali casi sia possibili acquisire gli indirizzi IP degli individui. La pronuncia in questione è di grande interesse per il caso de quo, dal momento che la causa di cui trattasi ha a oggetto proprio la conservazione degli indirizzi IP. I giudici di Lussemburgo hanno ancorato la conservazione degli indirizzi IP alla lotta alle gravi forme di criminalità e alla prevenzione di minacce gravi alla sicurezza pubblica[23].
Questo orientamento giurisprudenziale dava preminenza alle finalità invasive per cui possono essere utilizzati gli indirizzi IP. I giudici facevano notare che attraverso gli indirizzi IP poteva essere effettuato il tracciamento completo del percorso di navigazione di un utente di Internet e per questa ragione poteva essere stabilito il profilo dettagliato di quest’ultimo. Invece, sul fronte strettamente normativo, come anticipato, occorre prendere in considerazione l’articolo 15 della direttiva e-Privacy e l’articolo 52 della Carte dei diritti fondamentali dell’Unione europea e, quindi, fare riferimento al principio di proporzionalità[24] quale sostrato materiale delle suddette disposizioni, che cercano di governare le ataviche complessità sottese al bilanciamento giuridico. Infatti, il riferimento del legislatore europeo ai termini necessaria, opportuna e proporzionata nell’articolo 15 della direttiva e-Privacy sembra ripercorrere pedissequamente le fasi che intrinsecamente connotano il proportionality test di cui si discorrerà a breve.
Dunque, alla luce delle esposte ragioni, si ritiene di dover utilizzare il principio di proporzionalità, quale parametro principale per valutare la legittimità dell’ingerenza perpetrata dall’Hadopi. Il principio di proporzionalità è scomponibile nei sotto principi dell’idoneità, necessità e del rapporto di proporzionalità in senso stretto[25]. Il controllo circa l’idoneità della misura si estrinseca in una valutazione tesa ad attestare che la misura pubblica non sia palesemente inidonea a perseguire il fine legittimo perseguito. Il sotto principio della necessità implica un controllo circa l’inevitabilità della misura in questione. Questo successivo stadio del giudizio di proporzionalità mira a verificare se esistano altri strumenti in grado di perseguire il fine legittimo, ma meno lesivi dei diritti fondamentali.
Il giudizio di necessità delle limitazioni statali è basato su dati empirici e fattuali di efficacia dei mezzi alternativi. In ultima istanza, il vaglio di proporzionalità in senso stretto impone un giudizio assiologico riguardo alla ragionevolezza del sacrificio imposto alle libertà dei singoli in ragione degli obiettivi di tutela perseguibili mediante la misura pubblica. Questo controllo finale ha un carattere prettamente dinamico ed è incentrato su valutazioni di carattere concreto, atte a prendere in considerazione l’effettiva proporzionalità della misura pubblica. Il proportionality test in questa ultima fase ha a oggetto una valutazione circa l’eventuale eccessivo pregiudizio arrecato nella sfera privata degli individui. La trasposizione del principio di proporzionalità nelle sue diverse articolazioni al caso concreto, oggetto di analisi, induce a sviluppare riflessioni in ordine all’analizzata pronuncia.
La conservazione generale e indifferenziata degli indirizzi IP è certamente idonea a reprimere le violazioni del diritto d’autore commesse online. Inoltre, si potrebbe ritenere che l’ingerenza di cui trattatasi sia strettamente necessaria per la repressione di questi reati. In tal senso, i giudici di Lussemburgo fanno precipuo riferimento all’effettiva necessità di utilizzare tali misure intrusive per scongiurare il rischio di impunità sistemica delle condotte attraverso le quali viene violato il diritto d’autore. In questa prospettiva, gli approdi cui giunge la CGUE potrebbero essere condivisibili, anche in ragione del fatto che l’eventuale estrinsecazione di altri tipi di ingerenze potrebbe essere maggiormente afflittiva per gli individui (come evidenziato dalla stessa Corte). Da questo punto di vista, però, si ritiene di dover evidenziare che la giurisprudenza della CGUE[26] chiarisce che in capo allo Stato membro incombe l’onere di provare che la restrizione sia necessaria per il raggiungimento del fine statale.
Nel caso de quo la normativa nazionale francese (e nello specifico il decreto-legge 5/2010) non sembra contenere alcuna statuizione tesa a ottemperare al descritto onere probatorio. Oltre al rilevato profilo di criticità, occorre applicare il test di proporzionalità in senso stretto al presente caso giurisprudenziale. In questa ottica, si ritiene che sorga l’eloquente necessità di soffermarsi sul dato tecnico, relativo al tipo di ingerenza che può derivare dall’accesso e dalla conservazione degli indirizzi IP degli individui. Infatti, qualora si ritenesse, che l’accesso agli indirizzi IP nel caso de quo non implichi un tracciamento della navigazione dell’utente si potrebbe ritenere che l’ingerenza sia proporzionata allo scopo perseguito.
L’accesso, esperibile a seguito della conservazione, sarebbe teso a risalire all’autore della violazione del diritto d’autore. In questo caso non si verrebbe a sostanziare un eccessivo pregiudizio nella sfera privata dell’individuo. A sostegno di questa ipotesi nel corso della causa è stato evidenziato che la maggior parte gli indirizzi IP cui ha accesso l’Hadopi abbiano un carattere dinamico, mutevole e corrispondano a un’identità precisa solo in unico momento. Invero, questa precisazione non risulta essere risolutiva perché il riferimento alla maggior parte dei casi sembra poter implicare che in talune circostanze non si tratti di indirizzi IP dinamici. Si ritiene di dover rilevare che l’esigenza di salvaguardare la privacy venga effettivamente soddisfatta solo qualora esistano condizioni generali che tutelino tutti gli individui in modo predefinito e chiaro. Al contempo, si ritiene di dover evidenziare che a prescindere da questi rilievi di carattere preliminare, dal procedimento in questione emerga l’assenza di statuizioni atte a imporre un divieto di tracciamento della navigazione degli utenti.
La mancanza di prescrizioni di questo tipo non legittima supposizioni circa l’effettiva attività compiuta da parte della suddetta autorità amministrativa francese (volta in sostanza a risalire al titolare dell’indirizzo con il quale è stato compiuto l’illecito), così come sancita a livello normativo, ma impone delle valutazioni in ordine alla necessità di garantire a livello legislativo l’inaccessibilità al percorso di navigazione online degli individui. A parer di chi scrive, dalla delimitazione di questo presupposto dipende l’esito del test di proporzionalità in senso stretto e i relativi approdi cui si può pervenire. Infatti, in base alla giurisprudenza analizzata e al tipo di ingerenza che verrebbe a concretizzarsi con l’eventuale tracciamento della navigazione online si potrebbe ritenere che la sola necessità di contrastare gravi forme di criminalità (tra cui non rientrano le violazioni del diritto d’autore del caso de quo) giustifichi l’accesso agli indirizzi IP da parte dell’Hadopi.
In quest’ottica, inoltre, è possibile richiamare la giurisprudenza[27] della CGUE volta ad affermare che le normative nazionali debbano prevedere in modo chiaro le condizioni sostanziali e procedurali che disciplinano l’accesso delle autorità nazionali competenti ai dati interessati. Dunque, si ritiene che le conclusioni a cui è giunta la CGUE su questo aspetto siano condivisibili e ossequiose della portata precettiva del principio di proporzionalità, in quanto tese a parametrare i termini del bilanciamento al modo in cui vengono conservati gli indirizzi IP e alla necessità di evitare il tracciamento del profilo dettagliato dell’individuo. Per quanto concerne, invece, la supposta superfluità del controllo indipendente di un giudice o un’autorità amministrativa, in un precedente giurisprudenziale la CGUE ha chiarito che l’autorità deputata a svolgere il controllo debba svolgere la propria attività in qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo da esercitare un controllo obiettivo e imparziale[28].
Dalla lettura di questa pronuncia sembra potersi desumere che la CGUE abbia voluto chiarire che il Pubblico Ministero, che svolge le indagini nel caso concreto, non possa essere considerato terzo e imparziale rispetto alla vicenda che lo ha coinvolto. L’intervento della CGUE era teso a delineare le condizioni necessarie affinché il controllo potesse essere terzo e imparziale. Dalla ratio della pronuncia non sembra deducibile che la Corte di Lussemburgo abbia voluto correlare questo controllo ex ante ai soli casi in ingerenza grave. Pertanto, si ritiene che le conclusioni cui giunge la Corte sul controllo ex ante non siano condivisibili, poiché non è estrapolabile la volontà dei giudici di imporre l’autorizzazione dell’autorità indipendente ai soli casi di ingerenza grave. Anzi, come detto, la pronuncia in questione era tesa a chiarire quale autorità potesse effettuare il controllo ex ante in modo effettivamente imparziale. Inoltre, l’immanente rilevanza delle descritte questioni tecniche cui sono subordinate le successive valutazioni giuridiche rende ancor più necessario un controllo ex ante teso a verificare che nel caso concreto non si siano configurate malpractises in grado di far profilare un’ingerenza sproporzionata nella sfera personale degli individui.
6. Conclusioni
L’analizzata pronuncia della CGUE consente di sviluppare nuove riflessioni sulla tematica della data retention e rappresenta una testimonianza di quanto sia difficile operare un corretto bilanciamento tra la salvaguardia del diritto alla privacy e il perseguimento di finalità pubbliche repressive. Per analizzare, in chiave critica, la sentenza della Corte è stato utilizzato quale parametro di legittimità il principio di proporzionalità. L’impiego del suddetto parametro è dovuto al fatto che il principio di proporzionalità è stato valorizzato sia dalla Carta dei diritti fondamentali dell’Unione europea che dalla giurisprudenza della CGUE. Orbene, alla luce delle considerazioni mosse antecedentemente, si ritiene di dover avanzare talune considerazioni circa l’interpretazione dell’articolo 15 direttiva e-Privacy confacenti a quanto affermato dalla CGUE. Infatti, in continuità con quanto affermato dalla Corte, si ritiene che l’ingerenza perpetrata dall’Hadopi, sostanziatasi nella conservazione generalizzata e indifferenziata degli indirizzi IP, possa risultare effettivamente proporzionata solo in presenza di una statuizione legislativa atta a configurare un divieto di accesso agli indirizzi IP per tracciare il percorso di navigazione degli utenti su Internet.
Al contempo, a modesto parere dello scrivente, le conclusioni cui giunge la Corte circa il controllo da parte di un’autorità indipendente sull’accesso da parte dell’Autorità pubblica ai dati personali non sembrano cogliere la ratio che ha portato la Corte a pronunciarsi su questo aspetto. Invero, i giudici di Lussemburgo hanno chiarito che il controllo in questione non possa essere espletato dal Pubblico Ministero, in quanto organo non terzo rispetto alla vicenda procedurale instauratasi. Non sembra in alcuno modo desumersi che la CGUE abbia voluto subordinare il controllo imparziale al grado d’ingerenza nella sfera privata degli individui.
Le riportate riflessioni, sviluppate su basi normative e giurisprudenziali, sono strettamente correlabili all’auspicio che la giurisprudenza della CGUE continui, in modo proporzionato e ragionevole, a salvaguardare l’essenza del diritto alla privacy, sottraendola alle logiche, pur necessarie, del bilanciamento giuridico.
[1] Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, Parlamento europeo e Consiglio, Bruxelles, 12 luglio 2002.
[2] L’articolo 5 della direttiva 2002/58/CE impone agli Stati membri di assicurare, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare, essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, a opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. L’articolo 6 della direttiva 2002/58/CE dispone che i dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1. L’articolo 9 della direttiva statuisce che se i dati relativi all’ubicazione diversi dai dati relativi al traffico, relativi agli utenti o abbonati di reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico possono essere sottoposti a trattamento, essi possono esserlo soltanto a condizione che siano stati resi anonimi o che l’utente o l´abbonato abbiano dato il loro consenso, e sempre nella misura e per la durata necessaria per la fornitura di un servizio a valore aggiunto. Prima di chiedere il loro consenso, il fornitore del servizio deve informare gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti a trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi a un terzo per la prestazione del servizio a valore aggiunto. Gli utenti e gli abbonati devono avere la possibilità di ritirare il loro consenso al trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico in qualsiasi momento.
[3] La direttiva 2002/58/CE definisce i dati relativi al traffico come qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione. Invece, dati relativi all’ubicazione sono i dati trattati in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico.
[4] La Corte di Giustizia dell'Unione europea è competente a pronunciarsi, in via pregiudiziale: a) sull'interpretazione dei trattati; b) sulla validità e l'interpretazione degli atti compiuti dalle istituzioni, dagli organi o dagli organismi dell'Unione. Quando una questione del genere è sollevata dinanzi a una giurisdizione di uno degli Stati membri, tale giurisdizione può, qualora reputi necessaria per emanare la sua sentenza una decisione su questo punto, domandare alla Corte di pronunciarsi sulla questione. Quando una questione del genere è sollevata in un giudizio pendente davanti a una giurisdizione nazionale, avverso le cui decisioni non possa proporsi un ricorso giurisdizionale di diritto interno, tale giurisdizione è tenuta a rivolgersi alla Corte. Quando una questione del genere è sollevata in un giudizio pendente davanti a una giurisdizione nazionale e riguardante una persona in stato di detenzione, la Corte statuisce il più rapidamente possibile. In ordine alle funzioni e all’oggetto del rinvio pregiudiziale si rinvia a G. Tesauro, Manuale di diritto dell’Unione Europea, Napoli, Editoriale Scientifica s.r.l., a cura di P. De Pasquale e F. Ferraro, 2018, pp. 360 ss.
[5] Trattato sul funzionamento dell’Unione europea, Roma, 1957.
[6] Carta dei diritti fondamentali dell’Unione europea, Nizza, 7 dicembre 2000.
[7] Il decreto 5/2010 disciplina il trattamento pubblico dei dati personali, effettuato per la tutela del diritto d’autore nell’ambiente digitale.
[8] In occasione del menzionato rinvio pregiudiziale, il giudice del rinvio evidenziava che l’autorità amministrativa francese, incaricata (Hadopi) ad accedere ai dati di connessione degli individui, poneva a fondamento della propria attività di repressione delle raccomandazioni, che costituivano estrinsecazione di un meccanismo di “risposta mediata”. Le raccomandazioni avevano quale presupposto imprescindibile la raccolta dei dati relativi all’identità civile degli utenti interessati. Per questa ragione il giudice del rinvio riteneva che la subordinazione dell’attività di raccolta dei dati a un controllo preventivo di un’autorità ad hoc avrebbe reso impossibile, in termini logistici e temporali, l’invio dell’elevato numero di raccomandazioni di cui si serviva l’Hadopi nel suo operato.
[9] Al fine di contestualizzare le funzioni esplicate da questa Autorità pubblica indipendente può essere utile un riferimento alla corrispettiva Autorità presente nell’ordinamento giuridico italiano. Nell’ ordinamento giuridico italiano sono attribuite all’Autorità Indipendente per le garanzie nelle comunicazioni (AGCOM) le funzioni in materia di tutela del diritto d’autore e della proprietà intellettuale. L’ampio novero di competenze dell’AGCOM è delineato dal d.lgs. 177/2021. In ambito europeo la fonte derivata dell’Unione europea di riferimento per la tutela del diritto d’autore è la direttiva 2019/790, tesa ad armonizzare le legislazioni degli Stati membri relative al diritto d’autore e ai diritti connessi.
[10] L’allegato del decreto 5/2010 dispone che i dati provenienti dagli agenti giurati possono essere i seguenti: data e ora dei fatti, indirizzo IP degli abbonati interessati, protocolli peer – to – peer utilizzato, pseudonimo utilizzato dall’abbonato, informazioni relative alle opere o agli altri oggetti protetti interessati dai fatti, nome del file come presente sulla stazione dell’abbonato e fornitore di accesso a Internet presso il quale l’accesso è stato sottoscritto o che ha fornito la risorsa tecnica IP. I dati che possono essere raccolti dati presso gli operatori di comunicazioni elettroniche e fornitori di servizi sono i seguenti: nome e cognome, indirizzo postale e indirizzo di posta elettronica, recapiti telefonici, indirizzo dell’impianto telefonico dell’abbonato, fornitore di accesso a Internet che utilizza le risorse tecniche del fornitore di accesso e data di inizio della sospensione dell’accesso a un servizio di comunicazione al pubblico online.
[11] L’articolo L. 34-1 del Codice delle poste e delle telecomunicazioni francese stabilisce che ai fini dei procedimenti penali gli operatori di comunicazioni elettroniche sono tenuti a conservare le informazioni relative all’identità anagrafica dell’utente. Inoltre, ai fini della lotta alla criminalità e ai reati gravi, della prevenzione delle minacce gravi alla pubblica sicurezza e della salvaguardia della sicurezza nazionale, gli operatori di comunicazioni elettroniche sono tenuti a conservare i dati tecnici che consentano di identificare l’origine della connessione o quelli relativi alle apparecchiature terminali impiegate.
[12] Sul tema del bilanciamento giuridico si rinvia a: F. FERRI, Il bilanciamento dei diritti fondamentali nel mercato unico digitale, «Diritto internazionale dell’economia», Torino, Giappichelli editore, 2021, pp. 87 ss.
[13] La CGUE ha fatto tale precisazione operando una distinzione tra il primo trattamento, effettuato a monte da agenti giurati autorizzati di organismi degli aventi diritto, che si svolge in due tempi (in un primo tempo sono raccolti sulle reti tra pari peer to peer indirizzi IP che appaiono essere stati utilizzati per attività che possono costituire una violazione di un diritto d’autore o di un diritto connesso e in un secondo tempo sono messi a disposizione dell’Hadopi sotto forma di verbali un insieme di dati personali e informazioni) e il secondo trattamento, effettuato a valle dai fornitori di accesso a Internet su richiesta dell’Hadopi, suddiviso anch’esso in due tempi (in un primo tempo, gli indirizzi IP raccolti a monte sono messi in relazione con i titolari di tali indirizzi e in un secondo momento sono messi a disposizione di tale autorità pubblica un insieme di dati personali e informazioni relativi a questi titolari, vertenti essenzialmente sulla loro identità civile. Tali dati sono essenzialmente il cognome e i nomi, l’indirizzo postale e gli indirizzi di posta elettronica, i recapiti telefonici nonché l’indirizzo dell’installazione telefonica dell’abbonato).
[14] Corte di Giustizia dell’Unione europea, H.K. C. Prokuratur, nella causa C- 746/18, Lussemburgo, sentenza del 2 marzo 2021; Corte di Giustizia dell’Unione europea, G.D. c. The Commissioner of the Garda Siochiana, nella causa C-140/20, Lussemburgo, sentenza del 5 aprile 2022.
[15] I giudici di Lussemburgo hanno affermato che differenti valutazioni dovevano essere sviluppate nel caso in cui l’Hadopi mettesse in atto il meccanismo di risposta graduata cui si è fatto riferimento. Infatti, in questo caso viene in rilievo l’esigenza di scongiurare un’ingerenza sproporzionata nella sfera privata dell’individuo, dovuta al fatto che l’Hadopi potrebbe incrociare i dati relativi all’identità civile di una persona, che è già oggetto di due raccomandazioni corrispondenti a un indirizzo IP. Per questo la Corte ha affermato che la normativa nazionale debba prevedere in qualche fase del procedimento un controllo da parte di un giudice o di un organo amministrativo indipendente.
[16] Circa la Data Retention Saga si rimanda a: M.NINO, L’annullamento del regime della conservazione dei dati di traffico nell’Unione Europea da parte della Corte di Giustizia UE: prospettive ed evoluzioni future del sistema europeo di data retention, IL DIRITTO DELL’UNIONE EUROPEA, Fasc. 4, 2014; J. SAFERT, Bulk data Interception/Retention Judgments of the CJEU – A Victory and Defeat for privacy, European Law Blog, 2020; G.FORMICI, L’incerto futuro della data retention nell’unione europea: osservazioni a partire dalla sentenza H.K. v. Prokuratur, SIDIBLOG, 2021.
[17] L’articolo 7 della Carta dei diritti fondamentali dell’Unione europea dispone che ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.
[18] L’ articolo 8 della Carta dei diritti fondamentali dell’Unione europea dispone che ogni individuo ha diritto alla protezione dei dati personali che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
[19] Nelle pronunce della CGUE la sicurezza suole essere interpretata come interesse pubblico. Sul punto V. F. FERRI, Il bilanciamento dei diritti fondamentali nel mercato unico digitale, «DIRITTO INTERNAZIONALE DELL’ECONOMIA» Torino, Giappichelli Editore, 2021, pp. 183 ss.
[20] Corte di Giustizia dell’Unione europea, Tele2 Sverige c. Post – Och telestryrelsen, nelle cause C – 203/15 e C – 698/15, Lussemburgo, sentenza del 21 dicembre 2016. Per un’analisi delle pronunce della Corte di Giustizia dell’Unione europea sulla Data Retention Saga si rinvia a R. FLOR e S. MARCOLINI, Dalla data retention alle indagini ad alto contenuto tecnologico, Giappichelli, 2022, da p. 3 a p. 32.
[21] Corte di Giustizia dell’Unione europea, Ministerio Fiscal, nella causa C-207/26, Lussemburgo, sentenza del 2 ottobre 2018.
[22] Conclusioni dell’Avvocato Generale Szupunar nella causa C – 597/19, Lussemburgo, 17/12/2020.
[23] Corte di Giustizia dell’Unione europea, La Quadrature du net, French Data Network, Fèderation des fournisseurs d’accès à Internet associatifs e Igwan.net c. Premier ministre, Garde des Sceaux, mistre de la Justice, Ministre des Armeès, nelle cause riunite C- 511/18, C- 512/18 e C-520/18, Lussemburgo, sentenza del 6 ottobre 2020.
[24] Per un’analisi della valenza centrale del principio di proporzionalità, quale parametro principale per la valutazione della legittimità della misure pubbliche ingerenti nella sfera privata dei consociati si rimanda a D.BEATTY, The ultimate rule of law, Oxford, 2004.
[25] Sulla portata del principio di proporzionalità e le relative caratteristiche della struttura trifasica si rinvia a: O. LAGODNY, Strafrecht vor den Schranken der Grundrechte, J.C.B. Mohr Tubingen, 1996; J. MCBRIDE, The principle of proportionality in the Laws of Europe, Hart Publishing, 1999; C. SOTIS, Il diritto senza codice. Uno studio sul sistema penale europeo vigente, Milano, Giuffrè, 2007; T. HARBO, The function of principale of proportionality in EU law, EJL, 2010; P. DE SENA, Proportionality and Human Rights in International Law: Some “Utilirian” Reflections, Rivista di diritto internazionale, n. 4/2016; N. RECCHIA, Il principio di proporzionalità nel diritto penale, Itinerari di diritto penale, Giappichelli, 2020, p. 164 ss.
[26] Corte di Giustizia dell’Unione europea, Sandoz, nella causa C-174/82, Lussemburgo, 1983.
[27] Corte di Giustizia dell’Unione europea, Tele2 Sverige AB c. Post-och telestyrelsen, nelle cause riunite C-203/15 e 698/15, Lussemburgo, sentenza del 21 dicembre 2016.
[28] Corte di Giustizia dell’Unione europea, H.K. c. Prokuratur, nella causa C-746/18, Lussemburgo, sentenza del 2 marzo 2021.