Il diritto dell'Unione europea osta ad una normativa nazionale che impone ad un fornitore di servizi di comunicazione elettronica di effettuare la trasmissione o la conservazione generale ed indiscriminata di dati relativi al traffico e di dati relativi all'ubicazione al fine di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale.
Corte di Giustizia dell'Unione Europea
COMUNICATO STAMPA n. 123/20
Lussemburgo, 6 ottobre 2020
Sentenze nella causa C-623/17, Privacy International, e nelle cause riunite C-511/18, La Quadrature du Net e a., C-512/18, French Data Network e a., e C-520/18, Ordre des barreaux francophones et germanophone e a.
La Corte di giustizia conferma che il diritto dell'Unione europea osta ad una normativa nazionale che impone ad un fornitore di servizi di comunicazione elettronica di effettuare la trasmissione o la conservazione generale ed indiscriminata di dati relativi al traffico e di dati relativi all'ubicazione al fine di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale.
Tuttavia, in situazioni in cui uno Stato membro si trovi ad affrontare una grave minaccia alla sicurezza nazionale che si riveli reale e presente o prevedibile, tale Stato membro può derogare all'obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche imponendo, mediante misure legislative, la conservazione generale e indiscriminata di tali dati per un periodo di tempo limitato allo stretto necessario, ma che può essere prorogato se la minaccia persiste. Per quanto riguarda la lotta contro le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica, uno Stato membro può anche prevedere la conservazione mirata di tali dati nonché la loro rapida conservazione. Tale interferenza con i diritti fondamentali deve essere accompagnata da salvaguardie efficaci e deve essere sottoposta al controllo di un tribunale o di un'autorità amministrativa indipendente. Analogamente, uno Stato membro può effettuare una conservazione generale e indiscriminata degli indirizzi IP assegnati alla fonte di una comunicazione quando il periodo di conservazione è limitato allo stretto necessario, o anche effettuare una conservazione generale e indiscriminata dei dati relativi all'identità civile degli utenti dei mezzi di comunicazione elettronica, e in quest'ultimo caso la conservazione non è soggetta a un limite di tempo specifico.
Negli ultimi anni, la Corte di giustizia si è pronunciata, in diverse sentenze, in merito al mantenimento di e accesso ai dati personali nel campo delle comunicazioni elettroniche.
Così, nella sentenza 8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12), la Corte ha dichiarato la direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 1). 54), invalida in quanto l'ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali, riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la "Carta"), derivante dall'obbligo generale di conservazione dei dati relativi al traffico e dei dati relativi all'ubicazione previsto da tale direttiva, non era limitata allo stretto necessario.
Nella sentenza 21 dicembre 2016, Tele2 Sverige e Watson e a. (C-203/15 e C-698/15) (v. comunicato stampa n. 145/16), la Corte ha poi interpretato l'art. 15, n. 1, della direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 1). 37), come modificata dalla direttiva del Parlamento europeo e del Consiglio 25 novembre 2009, 2009/136/CE (GU L 337, pag. 11) (in prosieguo: la "direttiva relativa alla vita privata e alle comunicazioni elettroniche"). Tale articolo autorizza gli Stati membri - per motivi di tutela, in particolare, della sicurezza nazionale - ad adottare "misure legislative" intese a limitare la portata di taluni diritti e obblighi previsti dalla direttiva. Infine, nella sentenza 2 ottobre 2018, Ministerio Fiscal (C-207/16) (v. comunicato stampa n. 141/18), la Corte ha interpretato l'art. 15, n. 1, di tale direttiva in una causa riguardante l'accesso delle autorità pubbliche ai dati relativi all'identità civile degli utenti di mezzi di comunicazione elettronica.
In particolare, la sentenza nella causa Tele2 Sverige e Watson e a., in cui la Corte ha ritenuto, tra l'altro, che gli Stati membri non potessero imporre ai fornitori di servizi di comunicazione elettronica di conservare in modo generale e indiscriminato i dati relativi al traffico e i dati relativi all'ubicazione, ha suscitato in alcuni Stati la preoccupazione di essere stati privati di uno strumento che essi ritengono necessario per salvaguardare la sicurezza nazionale e per combattere la criminalità.
È in tale contesto che sono stati avviati procedimenti dinanzi al Investigatory Powers Tribunal (Regno Unito) (Privacy International, C-623/17), al Conseil d'État (Consiglio di Stato, Francia) (La Quadrature du Net e a., cause riunite C-511/18 e C-512/18) e alla Cour constitutionnelle (Corte costituzionale), Belgio) (Ordre des barreaux francophones et germanophone e altri, C-520/18) concernente la legittimità della legislazione adottata da taluni Stati membri in tali settori, che prevede in particolare l'obbligo per i fornitori di servizi di comunicazione elettronica di trasmettere i dati relativi al traffico e i dati relativi all'ubicazione degli utenti a un'autorità pubblica o di conservare tali dati in modo generale o indiscriminato.
Con due sentenze della Grande Sezione pronunciate il 6 ottobre 2020, la Corte dichiara, in primo luogo, che la direttiva relativa alla vita privata e alle comunicazioni elettroniche è applicabile alla normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di effettuare operazioni di trattamento dei dati personali, come la loro trasmissione alle autorità pubbliche o la loro conservazione, ai fini della salvaguardia della sicurezza nazionale e della lotta alla criminalità.
Inoltre, pur confermando la sua giurisprudenza derivante dalla sentenza nella causa Tele2 Sverige e Watson e a., relativa al carattere sproporzionato della conservazione generale e indiscriminata dei dati relativi al traffico e dei dati relativi all'ubicazione, la Corte fornisce chiarimenti, tra l'altro, sulla portata dei poteri conferiti agli Stati membri da tale direttiva in materia di conservazione di tali dati per le finalità sopra menzionate. In primo luogo, la Corte si preoccupa di dissipare i dubbi sull'applicabilità della direttiva sulla tutela della vita privata e sulle comunicazioni elettroniche sollevati nelle presenti cause. Diversi Stati membri che hanno presentato osservazioni scritte alla Corte hanno espresso opinioni divergenti al riguardo.
Esse hanno sostenuto, in particolare, che la direttiva non si applica alla normativa nazionale in questione, in quanto la finalità di tale normativa è la salvaguardia della sicurezza nazionale, che è di esclusiva competenza degli Stati membri, come attestato, in particolare, dall'art. 4, n. 2, terza frase, del TUE.
La Corte ritiene tuttavia che la normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di conservare i dati relativi al traffico e i dati relativi all'ubicazione o di trasmettere tali dati alle autorità nazionali di sicurezza e di intelligence a tal fine rientra nell'ambito di applicazione di tale direttiva.
La Corte ricorda poi che la direttiva sulla tutela della vita privata e sulle comunicazioni elettroniche (Articolo 15, paragrafi 1 e 3, della direttiva 2002/58) non prevede consentire l'eccezione all'obbligo di principio di garantire la riservatezza dei dati elettronici comunicazioni e i relativi dati e al divieto di archiviazione di tali dati per diventare il regola. Ciò significa che la direttiva non autorizza gli Stati membri ad adottare, tra l'altro ai fini della sicurezza nazionale, le misure legislative volte a limitare la portata di diritti e obblighi previsti da tale direttiva, in particolare l'obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico (Articolo 5, paragrafo 1, della direttiva 2002/58), a meno che tali misure non siano conformi a i principi generali del diritto dell'Unione europea, compreso il principio di proporzionalità, e i diritti fondamentali garantiti dalla Carta (in particolare, gli articoli 7, 8 e 11 e l'articolo 52, paragrafo 1, della Carta).
In tale contesto, la Corte dichiara, in primo luogo, nella causa Privacy International, che la direttiva sulla vita privata e sulle comunicazioni elettroniche, letta alla luce della Carta, osta ad una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di effettuare la trasmissione generale ed indiscriminata di dati relativi al traffico e di dati relativi all'ubicazione alle agenzie di sicurezza e di intelligence al fine di salvaguardare la sicurezza nazionale.
In secondo luogo, nelle cause riunite La Quadrature du Net e a. e Ordre des barreaux francophones et germanophone e a., la Corte dichiara che la direttiva osta a misure legislative che impongano ai fornitori di servizi di comunicazione elettronica di effettuare la conservazione generale e indiscriminata dei dati relativi al traffico e dei dati relativi all'ubicazione a titolo preventivo. Tali obblighi di trasmissione e di conservazione di tali dati in modo generale e indiscriminato costituiscono interferenze particolarmente gravi con i diritti fondamentali garantiti dalla Carta, laddove non vi sia alcun nesso tra la condotta dei soggetti i cui dati sono interessati e l'obiettivo perseguito dalla normativa in questione.
Analogamente, la Corte interpreta l'articolo 23, paragrafo 1, del regolamento generale sulla protezione dei dati, alla luce della Carta, in quanto osta ad una normativa nazionale che imponga ai fornitori di accesso ai servizi di comunicazione pubblica online e ai fornitori di servizi di hosting di conservare, in modo generale e indiscriminato, in particolare, i dati personali relativi a tali servizi. Per contro, la Corte dichiara che, in situazioni in cui lo Stato membro interessato si trovi di fronte ad una grave minaccia alla sicurezza nazionale che si riveli reale e presente o prevedibile, la direttiva sulla vita privata e sulle comunicazioni elettroniche, letta alla luce della Carta, non osta al ricorso ad un'ordinanza che imponga ai fornitori di servizi di comunicazione elettronica di conservare, in modo generale e indiscriminato, i dati relativi al traffico e i dati relativi all'ubicazione.
In tale contesto, la Corte precisa che la decisione che impone tale ordine, per un periodo di tempo limitato allo stretto necessario, deve essere sottoposta ad un controllo effettivo da parte di un giudice o di un organo amministrativo indipendente la cui decisione è vincolante, al fine di verificare l'esistenza di una di tali situazioni e il rispetto delle condizioni e delle garanzie previste. In tali circostanze, tale direttiva non osta neppure all'analisi automatizzata dei dati, in particolare dei dati relativi al traffico e all'ubicazione, di tutti gli utenti dei mezzi di comunicazione elettronica.
La Corte aggiunge che la direttiva relativa alla vita privata e alle comunicazioni elettroniche - Regolamento (UE) del Parlamento europeo e del Consiglio 27 aprile 2016, n. 2016/679, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119, pag. 1) -, letta alla luce della Carta, non osta a misure legislative che consentano il ricorso alla conservazione mirata, limitata nel tempo allo stretto necessario, dei dati relativi al traffico e all'ubicazione, che è limitata, in base a fattori oggettivi e non discriminatori, in funzione delle categorie di persone interessate o utilizzando un criterio geografico.
Parimenti, tale direttiva non osta a misure legislative che prevedano la conservazione generale e indiscriminata degli indirizzi IP assegnati alla fonte di una comunicazione, purché il periodo di conservazione sia limitato allo stretto necessario, o a misure che prevedano tale conservazione di dati relativi all'identità civile degli utenti di mezzi di comunicazione elettronica, senza che, in quest'ultimo caso, gli Stati membri siano tenuti a limitare il periodo di conservazione. Inoltre, tale direttiva non osta ad una misura legislativa che consenta il ricorso alla conservazione accelerata dei dati a disposizione dei fornitori di servizi, qualora si verifichino situazioni in cui si renda necessario conservare tali dati al di là dei periodi di conservazione previsti dalla legge per far luce su reati gravi o attacchi alla sicurezza nazionale, qualora tali reati o attacchi siano già stati accertati o la loro esistenza possa essere ragionevolmente sospettata.
Inoltre, la Corte dichiara che la direttiva relativa alla vita privata e alle comunicazioni elettroniche, letta alla luce della Carta, non osta ad una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di ricorrere alla raccolta in tempo reale, in particolare, di dati relativi al traffico e di dati relativi all'ubicazione, quando tale raccolta è limitata a persone per le quali sussiste un valido motivo di sospettare che siano coinvolte in un modo o nell'altro in attività terroristiche ed è soggetta ad un controllo preventivo effettuato da un tribunale o da un organo amministrativo indipendente la cui decisione è vincolante, per garantire che tale raccolta in tempo reale sia autorizzata solo nei limiti dello stretto necessario. In casi urgenti, la revisione deve avvenire tempestivamente.
Infine, la Corte affronta la questione del mantenimento degli effetti temporali di una normativa nazionale ritenuta incompatibile con il diritto dell'Unione. A tal riguardo, essa dispone che il giudice nazionale non può applicare una disposizione di diritto nazionale che lo autorizzi a limitare gli effetti temporali di una dichiarazione di illegittimità che è tenuto a fare in relazione ad una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione generale e indiscriminata dei dati relativi al traffico e all'ubicazione incompatibile con la direttiva relativa alla vita privata e alle comunicazioni elettroniche, letta alla luce della Carta.
Ciò premesso, al fine di fornire un'utile risposta al giudice del rinvio, la Corte di giustizia ricorda che, allo stato attuale del diritto dell'Unione, spetta unicamente al diritto nazionale determinare le norme relative a all'ammissibilità e la valutazione, nei procedimenti penali contro persone sospettate di aver commesso reati gravi, delle informazioni e delle prove ottenute dalla conservazione dei dati in violazione del diritto dell'UE.
Tuttavia, la Corte precisa che la direttiva relativa alla vita privata e alle comunicazioni elettroniche, interpretata alla luce del principio di effettività, impone ai giudici penali nazionali di non tener conto delle informazioni e delle prove ottenute mediante la conservazione generale e indiscriminata dei dati relativi al traffico e dei dati relativi all'ubicazione, in violazione del diritto dell'Unione, nell'ambito di un siffatto procedimento penale, qualora le persone sospettate di aver commesso reati non siano in grado di pronunciarsi efficacemente su tali informazioni e prove.