SENTENZA DELLA CORTE (Grande Sezione)
4 ottobre 2024 ( *1 )
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati – Direttiva (UE) 2016/680 – Articolo 3, punto 2 – Nozione di “trattamento” – Articolo 4 – Principi relativi al trattamento dei dati personali – Articolo 4, paragrafo 1, lettera c) – Principio della “minimizzazione dei dati” – Articoli 7, 8 e 47 nonché articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Requisito secondo il quale le limitazioni all’esercizio di un diritto fondamentale devono essere “previste dalla legge” – Proporzionalità – Valutazione della proporzionalità alla luce di tutti gli elementi pertinenti – Controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente – Articolo 13 – Informazioni da rendere disponibili o da fornire all’interessato – Limiti – Articolo 54 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento – Indagine di polizia in materia di traffico di stupefacenti – Tentativo di sblocco di un telefono cellulare da parte delle autorità di polizia per accedere, ai fini dell’indagine, ai dati contenuti in tale telefono»
Nella causa C‑548/21,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria), con decisione del 1o settembre 2021, pervenuta in cancelleria il 6 settembre 2021, nel procedimento
CG
contro
Bezirkshauptmannschaft Landeck,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, Z. Csehi e O. Spineanu-Matei, presidenti di sezione, P.G. Xuereb (relatore), I. Jarukaitis, A. Kumin, N. Jääskinen e M. Gavalec, giudici,
avvocato generale: M. Campos Sánchez-Bordona
cancelliere: C. Di Bella, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 16 gennaio 2023,
considerate le osservazioni presentate:
– | per il governo austriaco, da A. Posch, J. Schmoll, K. Ibili e E. Riedl, in qualità di agenti; |
– | per il governo danese, da M.P.B. Jespersen, V. Pasternak Jørgensen, M. Søndahl Wolff e Y.T. Thyregod Kollberg, in qualità di agenti; |
– | per il governo tedesco, da J. Möller e M. Hellmann, in qualità di agenti; |
– | per il governo estone, da M. Kriisa, in qualità di agente; |
– | per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Lane, in qualità di agenti, assistiti da R. Farrell, SC, D. Fennelly, BL, e D. O’Reilly, solicitor; |
– | per il governo francese, da R. Bénard, A. Daniel, A.-L. Desjonquères e J. Illouz, in qualità di agenti; |
– | per il governo cipriota, da I. Neophytou, in qualità di agente; |
– | per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti; |
– | per il governo dei Paesi Bassi, da M.K. Bulterman, A. Hanje e J. Langer, in qualità di agenti; |
– | per il governo polacco, da B. Majczyna, in qualità di agente; |
– | per il governo finlandese, da A. Laine, in qualità di agente; |
– | per il governo svedese, da J. Lundberg, H. Eklinder, C. Meyer-Seitz, A.M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev e O. Simonsson, in qualità di agenti; |
– | per il governo norvegese, da F. Bergsjø, H. Busch, K. Moe Winther e P. Wennerås, in qualità di agenti; |
– | per la Commissione europea, da G. Braun, S.L. Kalėda, H. Kranenborg e F. Wilman, in qualità di agenti, |
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 20 aprile 2023,
ha pronunciato la seguente
Sentenza
1 | La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»), letto alla luce degli articoli 7, 8, 11, 41 e 47 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). |
2 | Tale domanda è stata presentata nell’ambito di una controversia tra CG e la Bezirkshauptmannschaft Landeck (autorità amministrativa distrettuale di Landeck, Austria) in merito al sequestro del telefono cellulare di CG da parte delle autorità di polizia e ai tentativi di queste ultime, nell’ambito di un’indagine in materia di traffico di stupefacenti, di sbloccare tale telefono per accedere ai dati in esso contenuti. |
Contesto normativo
Diritto dell’Unione
Direttiva 2002/58
3 | L’articolo 1 della direttiva 2002/58, rubricato «Finalità e campo d’applicazione», così dispone: «1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità. (...) 3. La presente direttiva non si applica alle attività che esulano dal campo di applicazione del trattato che istituisce la Comunità europea, quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale». |
4 | L’articolo 3 di tale direttiva, intitolato «Servizi interessati», prevede quanto segue: «La presente direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nella Comunità, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati». |
5 | L’articolo 5 di detta direttiva, rubricato «Riservatezza delle comunicazioni», al paragrafo 1 dispone: «Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza». |
6 | L’articolo 15 della medesima direttiva, rubricato «Applicazione di alcune disposizioni della direttiva 95/46/ CE», al paragrafo 1 recita: «Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE]». |
Direttiva (UE) 2016/680
7 | I considerando 2, 4, 7, 10, 11, 15, 26, 37, 44, 46 e 104 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), sono formulati nei termini seguenti:
(...)
(...)
(...)
(...)
(...)
(...)
(...)
(...)
(...)
|
8 | L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», ai suoi paragrafi 1 e 2 così dispone: «1. La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica. 2. Ai sensi della presente direttiva gli Stati membri:
|
9 | L’articolo 2 di detta direttiva, rubricato «Ambito di applicazione», ai paragrafi 1 e 3 prevede quanto segue: «1. La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1. (...) 3. La presente direttiva non si applica ai trattamenti di dati personali:
(...)». |
10 | A termini dell’articolo 3 della medesima direttiva, recante il titolo «Definizioni»: «Ai fini della presente direttiva si intende per:
(...)
(...)». |
11 | L’articolo 4 della direttiva 2016/680, rubricato «Principi applicabili al trattamento di dati personali», al paragrafo 1 dispone: «Gli Stati membri dispongono che i dati personali siano:
(...)». |
12 | L’articolo 6 di tale direttiva, rubricato «Distinzione tra diverse categorie di interessati», recita: «Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:
|
13 | L’articolo 10 di detta direttiva, intitolato «Trattamento di categorie particolari di dati personali», è formulato nei seguenti termini: «Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell’interessato e soltanto:
|
14 | L’articolo 13 della direttiva 2016/680, rubricato «Informazioni da rendere disponibili o da fornire all’interessato», così dispone: «1. Gli Stati membri dispongono che il titolare del trattamento metta a disposizione dell’interessato almeno le seguenti informazioni:
2. In aggiunta alle informazioni di cui al paragrafo 1, gli Stati membri dispongono per legge che il titolare del trattamento fornisca all’interessato, in casi specifici, le seguenti ulteriori informazioni per consentire l’esercizio dei diritti dell’interessato:
3. Gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:
(...)». |
15 | L’articolo 54 di tale direttiva, rubricato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», recita: «Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 52, l’interessato abbia il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni». |
Diritto austriaco
16 | L’articolo 27, paragrafo 1, del Suchtmittelgesetz (legge sugli stupefacenti), del 5 settembre 1997 (BGBl. I, 112/1997), nella versione applicabile alla controversia principale, dispone: «Chiunque, illegalmente
(...) è punito con una pena detentiva fino a un massimo di un anno o con una pena pecuniaria giornaliera fino a un massimo di 360 giorni. (...)». |
17 | L’articolo 17 dello Strafgesetzbuch (codice penale), del 1o gennaio 1975 (BGBl., 60/1974), nella versione applicabile alla controversia principale (in prosieguo: lo «StGB»), recita: «(1) I delitti sono atti intenzionali punibili con l’ergastolo o con una pena detentiva superiore a tre anni. (2) Tutti gli altri reati sono contravvenzioni». |
18 | L’articolo 18 della Strafprozessordnung (codice di procedura penale), del 30 dicembre 1975 (BGBl., 631/1975), nella versione applicabile alla controversia principale (in prosieguo: la «StPO»), così prevede: «(1) La polizia giudiziaria è incaricata di svolgere compiti al servizio dell’amministrazione della giustizia penale (articolo 10, paragrafo 1, punto 6, del Bundes-Verfassungsgesetz [(legge costituzionale federale)]). (2) Le indagini di polizia giudiziaria sono di competenza delle autorità di sicurezza, la cui organizzazione e competenza territoriale sono disciplinate dalle disposizioni del Sicherheitspolizeigesetz [legge sulla polizia di sicurezza)] relative all’organizzazione dell’amministrazione della pubblica sicurezza. (3) Gli organi del servizio di pubblica sicurezza (articolo 5, secondo comma, del Sicherheitspolizeigesetz [(legge sulla polizia di sicurezza)] assicurano il servizio esecutivo della polizia giudiziaria, che consiste nell’indagine e nel perseguimento dei reati conformemente alle disposizioni della presente legge. (...)». |
19 | L’articolo 99, paragrafo 1, della StPO dispone: «La polizia giudiziaria indaga d’ufficio o sulla base di una denuncia, nel rispetto dei provvedimenti del pubblico ministero e dei giudici (articolo 105, paragrafo 2)». |
Procedimento principale e questioni pregiudiziali
20 | Il 23 febbraio 2021, durante un controllo in materia di stupefacenti, un pacco indirizzato a CG, contenente 85 grammi di cannabis, è stato sequestrato dagli agenti dell’ufficio doganale di Innsbruck (Austria). Tale pacco è stato trasmesso, per esame, al commissariato centrale di polizia di St. Anton am Arlberg (Austria). |
21 | Il 6 marzo 2021, due agenti di polizia di tale commissariato hanno effettuato una perquisizione nell’appartamento di CG, nel corso della quale l’hanno interrogato in merito al mittente del pacco e hanno perquisito il suo alloggio. Durante tale perquisizione, i funzionari di polizia hanno chiesto di accedere ai dati di connessione del telefono cellulare di CG. A seguito del rifiuto opposto da quest’ultimo, gli agenti di polizia hanno proceduto al sequestro del telefono cellulare, contenente una carta SIM e una carta SD, e hanno consegnato a CG il verbale di sequestro. |
22 | Successivamente, detto telefono cellulare è stato consegnato, ai fini del suo sblocco, ad un esperto della stazione di polizia del distretto di Landeck (Austria). Poiché questi non era riuscito a sbloccare il telefono cellulare di cui trattasi, quest’ultimo è stato inviato al Bundeskriminalamt (Ufficio federale di polizia giudiziaria) di Vienna (Austria), dove è stato compiuto un nuovo tentativo di sblocco. |
23 | Il sequestro del telefono cellulare di CG nonché i successivi tentativi di analizzare tale telefono sono stati effettuati di propria iniziativa dagli agenti di polizia interessati, senza che questi ultimi fossero stati autorizzati dal pubblico ministero o da un giudice. |
24 | Il 31 marzo 2021 CG ha proposto dinanzi al Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria), il giudice del rinvio, un ricorso diretto a contestare la legittimità del sequestro del suo telefono cellulare. Quest’ultimo è stato restituito a CG il 20 aprile 2021. |
25 | CG non è stato immediatamente informato dei tentativi di analizzare il suo telefono cellulare. Ne è venuto a conoscenza soltanto quando l’agente di polizia che aveva proceduto al sequestro del telefono cellulare e aveva intrapreso, successivamente, le azioni volte ad analizzarne i dati digitali, è stato interrogato in qualità di testimone nell’ambito del procedimento pendente dinanzi al giudice del rinvio. Tali tentativi non sono stati neppure documentati nel fascicolo della polizia giudiziaria. |
26 | Alla luce di tali elementi, il giudice del rinvio si chiede, in primo luogo, se, in considerazione dei punti da 52 a 61 della sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), e della giurisprudenza citata in tali punti, l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta, debba essere interpretato nel senso che un accesso completo e non controllato a tutti i dati contenuti in un telefono cellulare, ossia i dati di connessione, il contenuto delle comunicazioni, le fotografie e la cronologia di navigazione, che possono fornire un’immagine molto dettagliata e approfondita di quasi tutti i settori della vita privata dell’interessato, costituisce un’ingerenza talmente grave nei diritti fondamentali sanciti da tali articoli 7 e 8 che, in materia di prevenzione, ricerca, accertamento e perseguimento di reati, tale accesso deve essere limitato alla lotta contro i reati gravi. |
27 | A tale riguardo, detto giudice precisa che il reato contestato a CG nell’ambito del procedimento di indagine penale di cui trattasi nel procedimento principale è previsto all’articolo 27, paragrafo 1, della legge sugli stupefacenti ed è punibile con una pena detentiva massima di un anno e costituisce, alla luce della classificazione dell’articolo 17 dello StGB, solo una contravvenzione. |
28 | In secondo luogo, dopo aver ricordato gli insegnamenti derivanti dai punti da 48 a 54 della sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152), nonché dalla giurisprudenza citata in tali punti, detto giudice si chiede se l’articolo 15, paragrafo 1, della direttiva 2002/58 osti a una normativa nazionale come quella risultante dal combinato disposto dell’articolo 18 e dell’articolo 99, paragrafo 1, della StPO, in forza del quale, nel corso di un procedimento di indagine penale, la polizia giudiziaria può procurarsi, senza l’autorizzazione di un giudice o di un organo amministrativo indipendente, un accesso completo e non controllato a tutti i dati digitali contenuti in un telefono cellulare. |
29 | In terzo e ultimo luogo, dopo aver sottolineato che l’articolo 18 della StPO, in combinato disposto con l’articolo 99, paragrafo 1, della StPO, non prevede alcun obbligo, in capo alle autorità di polizia, di documentare le misure di analisi digitale di un telefono cellulare, o ancora di informare il suo proprietario dell’esistenza di tali misure, di modo che quest’ultimo possa, se del caso, opporvisi mediante un ricorso giurisdizionale preventivo o a posteriori, il giudice del rinvio si interroga sulla compatibilità di tali disposizioni della StPO con il principio della parità delle armi e con il diritto a un ricorso giurisdizionale effettivo, ai sensi dell’articolo 47 della Carta. |
30 | In tale contesto, il Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
|
Procedimento dinanzi alla Corte
31 | Il 20 ottobre 2021 la Corte ha rivolto una richiesta di informazioni al giudice del rinvio con la quale ha invitato tale giudice a indicarle se la direttiva 2016/680 potesse essere pertinente nell’ambito del procedimento principale e, se del caso, ad esporle le disposizioni di diritto nazionale che recepiscono tale direttiva nel diritto austriaco che potrebbero applicarsi nel caso di specie. |
32 | L’11 novembre 2021 il giudice del rinvio ha risposto a tale richiesta indicando, in particolare, che le disposizioni di detta direttiva dovevano essere rispettate in tale causa. Tale risposta è stata notificata, unitamente alla decisione di rinvio, agli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea. |
33 | L’8 novembre 2022, in applicazione dell’articolo 61 del regolamento di procedura della Corte, la Corte ha chiesto ai partecipanti alla fase orale del procedimento di concentrare le loro difese orali sulla direttiva 2016/680 e di rispondere, all’udienza di discussione, a taluni quesiti relativi a tale direttiva. |
Sulla domanda di riapertura della fase orale del procedimento
34 | In seguito alla presentazione delle conclusioni dell’avvocato generale, con atto depositato presso la cancelleria della Corte il 17 maggio 2023, il governo austriaco ha presentato una domanda di rettifica di tali conclusioni per il motivo che esse avrebbero presentato in maniera inesatta la posizione da esso espressa nelle sue osservazioni sia scritte sia orali e avrebbero comportato errori di ordine fattuale. |
35 | Infatti, secondo tale governo, da un lato, il paragrafo 50 delle conclusioni dell’avvocato generale, in combinato disposto con la nota a piè di pagina 14 delle stesse, lascerebbe intendere che, secondo detto governo, un tentativo di accesso ai dati contenuti in un telefono cellulare, come quello di cui trattasi nel procedimento principale, non può costituire un trattamento di dati personali, ai sensi dell’articolo 3, punto 2, della direttiva 2016/680. Orbene, lo stesso governo avrebbe sostenuto il contrario, all’udienza dinanzi alla Corte, aderendo espressamente alla posizione esposta dalla Commissione europea nelle sue osservazioni scritte, secondo la quale da un’interpretazione sistematica di tale direttiva, letta alla luce dei suoi obiettivi, risulterebbe che essa disciplina non solo i trattamenti propriamente detti, ma anche operazioni che intervengono a monte di questi ultimi, come un tentativo di trattamento, senza che l’applicazione di detta direttiva sia subordinata alla condizione che tale tentativo di trattamento sia stato effettuato con successo. |
36 | D’altra parte, il governo austriaco sostiene che il paragrafo 27 delle conclusioni dell’avvocato generale si basa su fatti erronei, in quanto lascia intendere che i tentativi di trattamento menzionati al punto 22 della presente sentenza non sarebbero stati documentati nel fascicolo della polizia giudiziaria. In proposito, tale governo precisa che, contrariamente a quanto risulta da tale paragrafo 27 nonché dalla domanda di pronuncia pregiudiziale, esso ha esposto, nelle sue osservazioni scritte, che tali tentativi di trattamento erano stati documentati in due relazioni redatte dagli agenti di polizia incaricati dell’indagine nel procedimento principale e che tali relazioni erano state successivamente versate al fascicolo del pubblico ministero. |
37 | Con decisione del presidente della Corte del 23 maggio 2023, la domanda del governo austriaco diretta ad ottenere la rettifica delle conclusioni dell’avvocato generale è stata riqualificata come domanda di riapertura della fase orale del procedimento, ai sensi dell’articolo 83 del regolamento di procedura. |
38 | A tale proposito occorre rilevare, da un lato, che né lo Statuto della Corte di giustizia dell’Unione europea né il regolamento di procedura prevedono la facoltà, per gli interessati menzionati all’articolo 23 di tale Statuto, di depositare osservazioni in risposta alle conclusioni presentate dall’avvocato generale. Dall’altro lato, ai sensi dell’articolo 252, secondo comma, TFUE, l’avvocato generale presenta pubblicamente, con assoluta imparzialità e in piena indipendenza, conclusioni motivate sulle cause che, conformemente al suddetto Statuto, richiedono il suo intervento. La Corte non è vincolata né a tali conclusioni né alle motivazioni in base alle quali l’avvocato generale giunge a formularle. Di conseguenza, il disaccordo di una parte interessata con le conclusioni dell’avvocato generale, quali che siano le questioni da esso esaminate nelle sue conclusioni, non può costituire, di per sé, un motivo che giustifichi la riapertura della fase orale (sentenza del 14 marzo 2024, f6 Cigarettenfabrik,C‑336/22, EU:C:2024:226, punto 25 e giurisprudenza citata). |
39 | Senza dubbio, conformemente all’articolo 83 del suo regolamento di procedura, la Corte può, in qualsiasi momento, sentito l’avvocato generale, disporre la riapertura della fase orale del procedimento, in particolare se essa non si ritiene sufficientemente edotta, oppure quando, dopo la chiusura di tale fase, una parte ha addotto un fatto nuovo tale da influenzare in modo decisivo la decisione della Corte, oppure quando la causa dev’essere decisa sulla base di un argomento che non è stato oggetto di discussione. |
40 | Tuttavia, nel caso di specie, la Corte ritiene, al termine della fase scritta del procedimento e dell’udienza svoltasi dinanzi ad essa, di disporre di tutti gli elementi necessari per statuire sulla presente domanda di pronuncia pregiudiziale. Inoltre, gli elementi invocati dal governo austriaco a sostegno della sua domanda di riapertura della fase orale del procedimento non costituiscono fatti nuovi tali da influenzare in modo decisivo la decisione che essa è chiamata a pronunciare nella presente causa. |
41 | Per quanto attiene, più in particolare, agli elementi di ordine fattuale rilevati al punto 36 della presente sentenza, si deve rammentare che, nell’ambito di un procedimento pregiudiziale, alla Corte spetta non già stabilire se dei fatti allegati siano dimostrati, ma unicamente procedere all’interpretazione delle pertinenti disposizioni del diritto dell’Unione (v., in tal senso, sentenza del 31 gennaio 2023, Puig Gordi e a., C‑158/21, EU:C:2023:57, punto 36). Infatti, secondo la giurisprudenza della Corte, le questioni relative all’interpretazione del diritto dell’Unione sono poste dal giudice nazionale nel quadro normativo e fattuale che questi definisce sotto la propria responsabilità, e di cui non spetta alla Corte verificare l’esattezza [v., in tal senso, sentenza del 18 giugno 2024, Bundesrepublik Deutschland (Effetto di una decisione di riconoscimento dello status di rifugiato), C‑753/22, EU:C:2024:524, punto 44 e giurisprudenza citata]. |
42 | In tali circostanze, la Corte, sentito l’avvocato generale, ritiene che non occorra disporre la riapertura della fase orale del procedimento. |
Sulla ricevibilità della domanda di pronuncia pregiudiziale
43 | Alcune delle parti interessate che hanno depositato osservazioni scritte nell’ambito del presente procedimento hanno contestato la ricevibilità della domanda di pronuncia pregiudiziale nel suo complesso o di alcune delle questioni sollevate dal giudice del rinvio. |
44 | In primo luogo, i governi austriaco, francese e svedese sostengono che la decisione di rinvio non soddisfa i requisiti previsti all’articolo 94 del regolamento di procedura, in quanto non conterrebbe gli elementi di fatto e di diritto necessari per fornire una risposta utile a tale giudice. |
45 | In secondo luogo, il governo austriaco sostiene, da un lato, che, con la seconda e la terza questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se le disposizioni degli articoli 18 e 99 della StPO, lette congiuntamente, siano conformi al diritto dell’Unione. Orbene, poiché tali disposizioni non stabiliscono le condizioni alle quali deve effettuarsi l’analisi dei supporti dei dati sequestrati, tali questioni non avrebbero alcun rapporto con l’oggetto della controversia principale. Esso afferma, d’altro canto, che, in forza del diritto austriaco, per procedere al sequestro di un telefono cellulare o per tentare di accedere ai dati contenuti in tale telefono è necessaria una decisione del pubblico ministero. Tale giudice dovrebbe quindi accertare una violazione del diritto austriaco, cosicché le questioni sollevate da detto giudice non sarebbero necessarie alla soluzione della controversia e, pertanto, non occorrerebbe statuire sulla domanda di pronuncia pregiudiziale. |
46 | In via preliminare occorre ricordare che, per giurisprudenza costante, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, allorché le questioni sollevate riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606, punto 61 e giurisprudenza citata). |
47 | Ne consegue che le questioni relative al diritto dell’Unione godono di una presunzione di rilevanza. Il diniego della Corte di statuire su una questione pregiudiziale posta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure, ancora, qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606 punto 62 e giurisprudenza citata). |
48 | Per quanto riguarda, in primo luogo, l’argomento vertente sul mancato rispetto dei requisiti di cui all’articolo 94 del regolamento di procedura, occorre rilevare che, secondo una giurisprudenza costante, ormai recepita in tale articolo 94, lettere a) e b), l’esigenza di giungere a un’interpretazione del diritto dell’Unione che sia utile al giudice nazionale impone che quest’ultimo definisca il contesto materiale e normativo in cui si inseriscono le questioni sollevate, o almeno che esso spieghi le ipotesi di fatto su cui tali questioni sono fondate. Inoltre, è indispensabile che, come enunciato in detto articolo 94, lettera c), la domanda di pronuncia pregiudiziale contenga l’illustrazione dei motivi che hanno indotto il giudice del rinvio ad interrogarsi sull’interpretazione o sulla validità di determinate disposizioni del diritto dell’Unione, ed indichi il collegamento che esso stabilisce tra dette disposizioni e la normativa nazionale applicabile al procedimento principale (sentenza del 21 dicembre 2023, European Superleague Company,C‑333/21, EU:C:2023:1011, punto 59 e giurisprudenza citata). |
49 | Nel caso di specie, per quanto riguarda il contesto di fatto, il giudice del rinvio ha precisato, nella sua domanda di pronuncia pregiudiziale, che le autorità di polizia austriache, dopo aver sequestrato il telefono cellulare di CG nell’ambito di un’indagine di polizia in materia di traffico di stupefacenti, hanno tentato, in due occasioni, di accedere ai dati contenuti in tale telefono, di propria iniziativa, senza disporre di una previa autorizzazione del pubblico ministero o di un giudice a tal fine. Esso ha altresì precisato che CG è venuto a conoscenza dei tentativi di accesso ai dati contenuti nel suo telefono cellulare solo nel momento in cui ha sentito la testimonianza di un agente di polizia. Infine, esso ha indicato che tali tentativi di accesso non erano stati neppure documentati nel fascicolo costituito dalla polizia giudiziaria. |
50 | Per quanto riguarda il quadro normativo, tale giudice ha precisato che le disposizioni nazionali da esso richiamate nella decisione di rinvio consentivano un tentativo di accesso ai dati contenuti in un telefono cellulare a fini di prevenzione, ricerca, accertamento e perseguimento di reati, senza limitare tale possibilità soltanto ai fini della lotta contro i reati gravi, senza sottoporre tale tentativo di accesso a un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente e senza prevedere che gli interessati fossero informati di detto tentativo, al fine, in particolare, di potervisi opporre con la proposizione di un ricorso giurisdizionale. |
51 | Inoltre, detto giudice ha precisato, come risulta dai punti da 26 a 29 della presente sentenza, le ragioni che lo hanno indotto a presentare la sua domanda di pronuncia pregiudiziale alla Corte e il nesso che, a suo avviso, esiste tra le disposizioni del diritto dell’Unione e della Carta indicate in tale domanda e quelle del diritto austriaco applicabili, a suo avviso, alla controversia principale. |
52 | Gli elementi di cui ai punti da 49 a 51 della presente sentenza consentono quindi di ritenere che la domanda di pronuncia pregiudiziale soddisfi i requisiti previsti all’articolo 94 del regolamento di procedura. |
53 | In secondo luogo, per quanto riguarda gli argomenti relativi al fatto che le disposizioni del diritto austriaco di cui alla seconda e alla terza questione pregiudiziale non sarebbero pertinenti e che il giudice del rinvio avrebbe dovuto constatare una violazione di tale diritto, occorre ricordare che non compete alla Corte pronunciarsi sull’interpretazione delle disposizioni nazionali e giudicare se l’interpretazione o l’applicazione a cui procede il giudice nazionale sia corretta, poiché un’interpretazione del genere rientra nella competenza esclusiva di quest’ultimo [sentenza del 15 giugno 2023, Getin Noble Bank (Sospensione dell’esecuzione di un contratto di credito), C‑287/22, EU:C:2023:491, punto 32 e giurisprudenza citata]. |
54 | Nel caso di specie, dalla domanda di pronuncia pregiudiziale e, in particolare, dalla formulazione delle questioni pregiudiziali risulta che il giudice del rinvio ritiene, da un lato, che tali disposizioni del diritto austriaco siano applicabili alla controversia principale e, dall’altro, che un tentativo di accesso ai dati contenuti in un telefono cellulare, senza previa autorizzazione del pubblico ministero o di un giudice, come quello di cui trattasi nel procedimento principale, sia consentito dal diritto austriaco. Conformemente alla giurisprudenza citata al punto precedente della presente sentenza, non spetta alla Corte pronunciarsi su tale interpretazione delle suddette disposizioni. |
55 | Ne consegue che le questioni sollevate dal giudice del rinvio sono ricevibili. |
Nel merito
56 | Il governo austriaco sostiene, nelle sue osservazioni scritte, che la Corte non è competente a rispondere alla prima e alla seconda questione pregiudiziale, dato che tali questioni vertono sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58, sebbene sia evidente che tale direttiva non si applichi alla controversia principale. In udienza vari governi hanno sostenuto che una riformulazione delle questioni pregiudiziali alla luce della direttiva 2016/680 non fosse possibile. In particolare, il governo austriaco ha sottolineato che il fatto che quest’ultima direttiva non contenga disposizioni equivalenti all’articolo 5 e all’articolo 15, paragrafo 1, della direttiva 2002/58 osta a tale riformulazione. Il governo francese ha invece sostenuto che il potere di riformulare le questioni pregiudiziali incontra uno dei suoi limiti nel diritto, per gli Stati membri, di presentare osservazioni scritte. Infatti, secondo quest’ultimo governo, tale diritto verrebbe privato di qualsiasi efficacia se il contesto normativo del procedimento potesse essere radicalmente modificato al momento della riformulazione delle questioni pregiudiziali da parte della Corte. |
57 | A tale proposito, occorre ricordare che la Corte ha dichiarato, basandosi in particolare sull’articolo 1, paragrafi 1 e 3, e sull’articolo 3 della direttiva 2002/58, che, quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di servizi di tali comunicazioni, la protezione dei dati delle persone interessate non ricade nell’ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale, fatta salva l’applicazione della direttiva 2016/680 (sentenze del 6 ottobre 2020, Privacy International,C‑623/17, EU:C:2020:790, punto 48, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 103). |
58 | Orbene, è pacifico che la controversia principale riguarda il tentativo di accesso a dati personali contenuti in un telefono cellulare direttamente da parte delle autorità di polizia, senza che fosse stato richiesto un qualsivoglia intervento di un fornitore di servizi di comunicazione elettronica. |
59 | Pertanto, è evidente che tale controversia non rientra nell’ambito di applicazione della direttiva 2002/58, alla quale fanno riferimento la prima e la seconda questione pregiudiziale. |
60 | Occorre tuttavia ricordare che, secondo una giurisprudenza costante, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita dall’articolo 267 TFUE spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia che gli è sottoposta. In tale prospettiva spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. Inoltre, la Corte può essere condotta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nella formulazione delle sue questioni [sentenze del 15 luglio 2021, Ministrstvo za obrambo,C‑742/19, EU:C:2021:597, punto 31 e giurisprudenza citata, nonché del 18 giugno 2024, Generalstaatsanwaltschaft Hamm (Domanda di estradizione di un rifugiato verso la Turchia), C‑352/22, EU:C:2024:521, punto 47]. |
61 | Invero, il fatto che un giudice nazionale abbia, sul piano formale, formulato una questione pregiudiziale facendo riferimento a talune disposizioni del diritto dell’Unione non osta a che la Corte fornisca a detto giudice tutti gli elementi di interpretazione che possono essere utili per la soluzione della causa di cui è investito, indipendentemente dalla circostanza che esso vi abbia fatto o no riferimento nell’enunciazione delle sue questioni. Spetta, al riguardo, alla Corte trarre dall’insieme degli elementi forniti dal giudice nazionale, e, in particolare, dalla motivazione della decisione di rinvio, gli elementi di diritto dell’Unione che richiedano un’interpretazione, tenuto conto dell’oggetto della controversia (sentenza del 22 giugno 2022, Volvo e DAF Trucks, C‑267/20, EU:C:2022:494, punto 28 e giurisprudenza citata). |
62 | Senza dubbio, in forza di una giurisprudenza costante, le informazioni trasmesse con la decisione di rinvio devono non solo consentire alla Corte di fornire soluzioni utili, ma altresì dare ai governi degli Stati membri e agli altri interessati la possibilità di presentare osservazioni ai sensi dell’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea (sentenza del 21 dicembre 2023, Royal Antwerp Football Club,C‑680/21, EU:C:2023:1010, punto 32 e giurisprudenza citata). |
63 | Tuttavia, come risulta dai punti da 31 a 33 della presente sentenza, in risposta alla richiesta di informazioni rivolta dalla Corte al giudice del rinvio, quest’ultimo ha indicato che la direttiva 2016/680 era applicabile alla controversia principale. Nelle loro osservazioni scritte, le parti interessate hanno potuto prendere posizione sull’interpretazione di tale direttiva e sulla sua rilevanza per il procedimento principale. Inoltre, ai fini dell’udienza di discussione, la Corte ha chiesto ai partecipanti alla fase orale del procedimento di rispondere, nel corso di tale udienza, a taluni quesiti relativi alla suddetta direttiva. In particolare, essa li ha invitati a prendere posizione sulla rilevanza dell’articolo 4 di quest’ultima per rispondere alla prima questione pregiudiziale nonché sulla rilevanza degli articoli 13 e 54 della direttiva medesima per rispondere alla terza questione pregiudiziale. |
64 | Di conseguenza, la circostanza che la prima e la seconda questione pregiudiziale vertano sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58 e non sulla direttiva 2016/680 non osta alla riformulazione delle questioni sollevate dal giudice del rinvio alla luce delle disposizioni rilevanti, per la presente causa, di quest’ultima direttiva e, pertanto, alla competenza della Corte a rispondere a tali questioni. |
65 | Tale conclusione non è rimessa in discussione dall’argomento dell’Irlanda e dei governi francese e norvegese secondo cui un tentativo di accesso a dati personali non rientra nell’ambito di applicazione della direttiva 2016/680, dal momento che quest’ultima si applica solo ai trattamenti effettivamente eseguiti. |
66 | Tali governi sostengono, in proposito, che l’interpretazione delle disposizioni di tale direttiva non sarebbe utile alla soluzione della controversia principale, al pari di quella della Carta, in quanto quest’ultima si applica solo quando gli Stati membri attuano il diritto dell’Unione. |
67 | Tuttavia, qualora non appaia in modo manifesto che l’interpretazione di un atto di diritto dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia principale, come avviene per la direttiva 2016/680 nel caso di specie, l’obiezione relativa all’inapplicabilità di tale atto al procedimento principale rientra nel merito delle questioni (v., per analogia, sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606, punto 66 e giurisprudenza citata). |
68 | Pertanto, occorre esaminare, in via preliminare, se un tentativo di accesso, da parte delle autorità di polizia, ai dati contenuti in un telefono cellulare rientri nell’ambito di applicazione ratione materiae di tale direttiva. |
Sull’applicazione della direttiva 2016/680 a un tentativo di accesso ai dati contenuti in un telefono cellulare
69 | L’articolo 2, paragrafo 1, della direttiva 2016/680 definisce il suo ambito di applicazione materiale. Secondo tale disposizione, la direttiva «si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1», ossia, in particolare, a fini «di prevenzione, indagine, accertamento e perseguimento di reati». |
70 | L’articolo 3, punto 2, di detta direttiva definisce la nozione di «trattamento» come comprendente «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (...) l’estrazione, la consultazione» o ancora la «diffusione o qualsiasi altra forma di messa a disposizione». |
71 | Dalla formulazione stessa dell’articolo 3, punto 2, della direttiva 2016/680 e, in particolare, dall’utilizzo delle espressioni «qualsiasi operazione o insieme di operazioni» e «qualsiasi altra forma di messa a disposizione» risulta quindi che il legislatore dell’Unione ha inteso attribuire una portata ampia alla nozione di «trattamento» e, pertanto, all’ambito di applicazione ratione materiae di tale direttiva. Tale interpretazione è corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni menzionate in detta disposizione [v., per analogia, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 35]. |
72 | Tali elementi testuali depongono quindi nel senso di un’interpretazione secondo la quale, quando le autorità di polizia sequestrano un telefono e lo manipolano a fini di estrazione e consultazione dei dati personali contenuti in tale telefono, esse iniziano un trattamento ai sensi dell’articolo 3, punto 2, della direttiva 2016/680, quand’anche tali autorità non dovessero riuscire, per ragioni tecniche, ad accedere a tali dati. |
73 | Tale interpretazione è confermata dal contesto in cui si inserisce l’articolo 3, punto 2, della direttiva 2016/680. Infatti, ai sensi dell’articolo 4, paragrafo 1, lettera b), di tale direttiva, gli Stati membri dispongono che i dati personali siano raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità. Quest’ultima disposizione sancisce il principio di limitazione delle finalità [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 122]. Orbene, l’effettività di tale principio esige necessariamente che la finalità della raccolta sia determinata sin dalla fase in cui le autorità competenti tentano di accedere a dati personali, poiché un siffatto tentativo, qualora si riveli proficuo, è tale da consentire a tali autorità, in particolare, di raccogliere, estrarre o consultare immediatamente i dati in questione. |
74 | Per quanto riguarda gli obiettivi della direttiva 2016/680, essa mira in particolare, come risulta dai suoi considerando 4, 7 e 15, a garantire un livello elevato di protezione dei dati personali delle persone fisiche. |
75 | Orbene, tale obiettivo sarebbe rimesso in discussione se un tentativo di accesso a dati personali contenuti in un telefono cellulare non potesse essere qualificato come «trattamento» di tali dati. Infatti, un’interpretazione della direttiva 2016/680 in tal senso esporrebbe le persone interessate da un siffatto tentativo di accesso a un rischio significativo che una violazione dei principi stabiliti da tale direttiva non possa più essere evitata. |
76 | Occorre inoltre rilevare che tale interpretazione è conforme al principio della certezza del diritto, il quale, conformemente alla costante giurisprudenza della Corte, esige che l’applicazione delle norme di diritto sia prevedibile per i singoli, in particolare quando esse possono avere conseguenze sfavorevoli (sentenza del 27 giugno 2024, Gestore dei Servizi Energetici,C‑148/23, EU:C:2024:555, punto 42 e giurisprudenza citata). Infatti, un’interpretazione secondo la quale l’applicabilità della direttiva 2016/680 dipenda dal successo del tentativo di accesso a dati personali contenuti in un telefono cellulare creerebbe tanto per le autorità nazionali competenti quanto per i singoli un’incertezza incompatibile con tale principio. |
77 | Da quanto precede risulta che un tentativo di accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia ai fini di un’indagine in materia penale, come quella di cui trattasi nel procedimento principale, rientra, come considerato dall’avvocato generale al paragrafo 53 delle sue conclusioni, nell’ambito di applicazione della direttiva 2016/680. |
Sulle questioni prima e seconda
78 | Il giudice del rinvio ha espressamente contemplato, nelle sue questioni prima e seconda, da un lato, l’articolo 15, paragrafo 1, della direttiva 2002/58, il quale richiede in particolare che le misure legislative di cui consente l’adozione da parte degli Stati membri, volte a limitare la portata dei diritti e degli obblighi previsti da varie disposizioni di tale direttiva, costituiscano una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, o per garantire la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati, o dell’uso non autorizzato del sistema di comunicazione elettronica e, dall’altro, l’articolo 52, paragrafo 1, della Carta, che sancisce il principio di proporzionalità nel contesto della limitazione all’esercizio dei diritti e delle libertà riconosciuti dalla Carta. |
79 | Orbene, ai sensi dell’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, gli Stati membri devono prevedere che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Tale disposizione richiede quindi il rispetto, da parte degli Stati membri, del principio di «minimizzazione dei dati», che dà espressione al principio di proporzionalità [sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 41 e giurisprudenza citata). |
80 | Ne consegue che, in particolare, la raccolta di dati personali nell’ambito di un procedimento penale e la loro conservazione da parte delle autorità di polizia per le finalità di cui all’articolo 1, paragrafo 1, di tale direttiva devono, come qualsiasi trattamento rientrante nel campo di applicazione di quest’ultima, rispettare quest’ultimo principio (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 42 e giurisprudenza citata). |
81 | Pertanto, occorre considerare che, con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, osti a una normativa nazionale che riconosce alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento dei reati in generale e che non assoggetta l’esercizio di tale possibilità a un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente. |
82 | In via preliminare, occorre rilevare che, come risulta dai considerando 2 e 4 della direttiva 2016/680, costruendo al contempo un quadro giuridico solido e coerente in materia di protezione dei dati personali al fine di garantire il rispetto del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, riconosciuto all’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE, tale direttiva è intesa a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione [v., in tal senso, sentenza del 25 febbraio 2021, Commissione/Spagna (Direttiva sui dati personali – Settore penale), C‑658/19, EU:C:2021:138, punto 75]. |
83 | A tal fine, la direttiva 2016/680 mira in particolare, come rilevato al punto 74 della presente sentenza, a garantire un livello elevato di protezione dei dati personali delle persone fisiche. |
84 | A tale proposito, occorre ricordare che, come evidenziato dal considerando 104 della direttiva 2016/680, le limitazioni che tale direttiva consente di apportare al diritto alla protezione dei dati personali, previsto all’articolo 8 della Carta, nonché al diritto al rispetto della vita privata e familiare, tutelato dall’articolo 7 di tale Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, di quest’ultima, i quali includono il rispetto del principio di proporzionalità (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 33). |
85 | Infatti, tali diritti fondamentali non sono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale e bilanciati con altri diritti fondamentali. Eventuali limitazioni all’esercizio di detti diritti fondamentali, conformemente all’articolo 52, paragrafo 1, della Carta, deve essere prevista dalla legge e rispettare il contenuto essenziale dei medesimi diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta le limitazioni controverse deve prevedere norme chiare e precise che ne disciplinano la portata e l’applicazione (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 39 e giurisprudenza citata). |
86 | Per quanto riguarda, in primo luogo, la finalità di interesse generale che può giustificare una limitazione all’esercizio dei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, come quella derivante dalla normativa di cui trattasi nel procedimento principale, occorre sottolineare che un trattamento di dati personali nell’ambito di un’indagine di polizia diretta alla repressione di un reato, come un tentativo di accesso ai dati contenuti in un telefono cellulare, deve essere considerato, in linea di principio, effettivamente rispondente a una finalità di interesse generale riconosciuta dall’Unione, ai sensi dell’articolo 52, paragrafo 1, della Carta. |
87 | Per quanto attiene, in secondo luogo, al requisito della necessità di tale limitazione, come sottolineato, in sostanza, nel considerando 26 della direttiva 2016/680, tale requisito non è soddisfatto quando l’obiettivo di interesse generale perseguito sia ragionevolmente conseguibile in modo altrettanto efficace con altri mezzi, meno pregiudizievoli per i diritti fondamentali degli interessati (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 40 e giurisprudenza citata). |
88 | Per contro, il requisito della necessità è soddisfatto qualora l’obiettivo perseguito dal trattamento di dati di cui trattasi non possa ragionevolmente essere conseguito in modo altrettanto efficace con altri mezzi meno lesivi dei diritti fondamentali delle persone interessate, in particolare dei diritti al rispetto della vita privata e familiare e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia)C‑205/21, EU:C:2023:49, punto 126 e giurisprudenza citata). |
89 | Per quanto concerne, in terzo luogo, la proporzionalità della limitazione all’esercizio dei diritti fondamentali garantiti agli articoli 7 e 8 della Carta, derivante da tali trattamenti, essa implica una ponderazione di tutti gli elementi pertinenti del caso di specie (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punti 62 e 63 e giurisprudenza citata). |
90 | Tra tali elementi rientrano, in particolare, la gravità della limitazione così apportata all’esercizio dei diritti fondamentali di cui trattasi, la quale dipende dalla natura e dalla sensibilità dei dati ai quali le autorità di polizia competenti possono avere accesso, l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione, il collegamento esistente tra il proprietario del telefono cellulare e il reato di cui trattasi o, ancora, la pertinenza dei dati in questione per l’accertamento dei fatti. |
91 | Per quanto riguarda, in primo luogo, la gravità della limitazione dei diritti fondamentali risultante da una normativa come quella di cui trattasi nel procedimento principale, dalla decisione di rinvio risulta che tale normativa consente alle autorità di polizia competenti di accedere, senza previa autorizzazione, ai dati contenuti in un telefono cellulare. |
92 | Tale accesso può riguardare, a seconda del contenuto del telefono cellulare di cui trattasi e delle scelte operate da tali autorità di polizia, non soltanto dati relativi al traffico e alla localizzazione, ma anche fotografie e la cronologia di navigazione su Internet effettuata con tale telefono, o addirittura una parte del contenuto delle comunicazioni effettuate con detto telefono, in particolare consultando i messaggi che vi sono conservati. |
93 | L’accesso a questo insieme di dati può consentire di trarre conclusioni molto precise riguardo alla vita privata della persona interessata, quali le sue abitudini di vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tale persona e gli ambienti sociali da essa frequentati. |
94 | Infine, non si può escludere che i dati contenuti in un telefono cellulare possano includere dati particolarmente sensibili, come dati personali che rivelano l’origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche, sensibilità che giustifica la protezione specifica richiesta rispetto ad essi dall’articolo 10 della direttiva 2016/680, la quale si estende anche a dati che rivelano indirettamente, al termine di un’operazione intellettiva di deduzione o di concordanza, informazioni di questo tipo [v., per analogia, sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C‑204/21, EU:C:2023:442, punto 344]. |
95 | L’ingerenza nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta, cui può dar luogo l’applicazione di una normativa come quella di cui trattasi nel procedimento principale, deve pertanto essere considerata grave, se non addirittura particolarmente grave. |
96 | Per quanto attiene, in secondo luogo, all’importanza dell’obiettivo perseguito, occorre sottolineare che la gravità del reato oggetto dell’indagine costituisce uno dei parametri centrali in sede di esame della proporzionalità della grave ingerenza costituita dall’accesso ai dati personali contenuti in un telefono cellulare e che consentono di trarre conclusioni precise sulla vita privata dell’interessato. |
97 | Tuttavia, ritenere che solo la lotta contro i reati gravi possa giustificare l’accesso a dati contenuti in un telefono cellulare limiterebbe i poteri di indagine delle autorità competenti, ai sensi della direttiva 2016/680, nei confronti dei reati in generale. Ne risulterebbe un aumento del rischio di impunità per detti reati, tenuto conto dell’importanza che tali dati possono avere per le indagini penali. Pertanto, una siffatta limitazione non rispetterebbe la natura specifica dei compiti svolti da tali autorità ai fini enunciati all’articolo 1, paragrafo 1, di tale direttiva, evidenziata ai considerando 10 e 11 di quest’ultima, e nuocerebbe all’obiettivo della realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione perseguito da detta direttiva. |
98 | Ciò premesso, tali considerazioni non pregiudicano il requisito derivante dall’articolo 52, paragrafo 1, della Carta, secondo cui eventuali limitazioni all’esercizio di un diritto fondamentale devono essere «previste dalla legge», requisito che implica che la base giuridica che autorizza una simile limitazione ne definisca la portata in modo sufficientemente chiaro e preciso [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 65 e giurisprudenza citata]. |
99 | Al fine di soddisfare tale requisito, spetta al legislatore nazionale definire in modo sufficientemente preciso gli elementi, in particolare la natura o le categorie dei reati di cui trattasi, da prendere in considerazione. |
100 | Per quanto riguarda, in terzo luogo, il legame esistente tra il proprietario del telefono cellulare e il reato di cui trattasi nonché la rilevanza dei dati di cui trattasi ai fini dell’accertamento dei fatti, dall’articolo 6 della direttiva 2016/680 risulta che la nozione di «interessato» comprende diverse categorie di persone, ossia, in sostanza, le persone sospettate, per fondati motivi, di avere commesso o di stare per commettere un reato, le persone condannate per un reato, le vittime o potenziali vittime di tali reati, nonché le altre parti rispetto a un reato che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti. Secondo tale articolo, gli Stati membri sono tenuti a prevedere che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati. |
101 | A tale proposito, per quanto riguarda, in particolare, l’accesso a dati contenuti nel telefono cellulare della persona sottoposta ad indagine penale, come nel procedimento principale, è necessario che l’esistenza di sospetti ragionevoli nei suoi confronti, indicanti che essa ha commesso, commette o intende commettere un reato, o che è implicata in un modo o nell’altro in tale reato, sia suffragata da elementi oggettivi e sufficienti. |
102 | Segnatamente al fine di garantire che il principio di proporzionalità sia rispettato in ciascun caso concreto effettuando una ponderazione di tutti gli elementi pertinenti, qualora l’accesso ai dati personali da parte delle autorità nazionali competenti comporti il rischio di un’ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali dell’interessato, è essenziale che tale accesso sia subordinato a un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente. |
103 | Tale controllo preventivo richiede che il giudice o l’organo amministrativo indipendente incaricato di effettuarlo disponga di tutti i poteri e presenti tutte le garanzie necessarie per assicurare un contemperamento dei vari legittimi interessi e diritti in gioco. Per quanto riguarda più in particolare un’indagine penale, un controllo di questo tipo esige che tale giudice o tale organo sia in grado di garantire un giusto equilibrio tra, da un lato, i legittimi interessi connessi alle necessità dell’indagine nell’ambito della lotta alla criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso. |
104 | Tale controllo indipendente, in una situazione come quella descritta al punto 102 della presente sentenza, deve intervenire prima di qualsiasi tentativo di accesso ai dati di cui trattasi, salvo in casi di urgenza debitamente comprovati, nel qual caso detto controllo deve avvenire in tempi brevi. Infatti, un controllo successivo non consentirebbe di rispondere all’obiettivo del controllo preventivo, che consiste nell’impedire che sia autorizzato un accesso ai dati di cui trattasi che ecceda i limiti dello stretto necessario. |
105 | In particolare, il giudice o l’organo amministrativo indipendente, che interviene nell’ambito di un controllo preventivo effettuato a seguito di una domanda di accesso motivata rientrante nell’ambito di applicazione della direttiva 2016/680, dev’essere autorizzato a rifiutare o a limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali costituita da detto accesso sarebbe sproporzionata tenuto conto di tutti gli elementi pertinenti. |
106 | Un rifiuto o una limitazione dell’accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia competenti, devono quindi essere disposti se, tenendo conto della gravità del reato e delle esigenze dell’indagine, un accesso al contenuto delle comunicazioni o a dati sensibili non appare giustificato. |
107 | Per quanto riguarda, in particolare, i trattamenti di dati sensibili, occorre tenere conto dei requisiti posti dall’articolo 10 della direttiva 2016/680, la cui finalità è di garantire una maggiore protezione nei confronti di tali trattamenti che possono creare, come risulta dal considerando 37 di detta direttiva, rischi significativi per le libertà e i diritti fondamentali, quali il diritto al rispetto della vita privata e familiare e il diritto alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta. A tal fine, come risulta dai termini stessi del richiamato articolo 10, il requisito secondo cui il trattamento di simili dati è autorizzato «solo se strettamente necessario» deve essere interpretato nel senso che esso definisce condizioni rafforzate di liceità del trattamento dei dati sensibili, alla luce di quelle che discendono dall’articolo 4, paragrafo 1, lettere b) e c), nonché dall’articolo 8, paragrafo 1, della suddetta direttiva, le quali si riferiscono soltanto alla «necessità» di un trattamento di dati rientrante, in generale, nell’ambito di applicazione della medesima direttiva [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punti 116 e 117 e giurisprudenza citata]. |
108 | Così, da un lato, l’impiego dell’avverbio «solo» dinanzi all’espressione «se strettamente necessario» sottolinea che il trattamento di categorie particolari di dati, ai sensi di detto articolo 10, può essere considerato necessario solo in un numero limitato di casi. Dall’altro lato, il carattere «strettamente» necessario di un trattamento di simili dati implica che tale necessità sia valutata in modo particolarmente rigoroso [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 118]. |
109 | Orbene, nel caso di specie, il giudice del rinvio indica che, nel corso di un procedimento di indagine penale, le autorità di polizia austriache sono autorizzate ad accedere ai dati contenuti in un telefono cellulare. Inoltre, esso precisa che tale accesso non è soggetto, in linea di principio, alla previa autorizzazione di un giudice o di un’autorità amministrativa indipendente. Spetta tuttavia unicamente a tale giudice trarre le conseguenze dalle precisazioni fornite in particolare ai punti da 102 a 108 della presente sentenza nel procedimento principale. |
110 | Da quanto precede risulta che occorre rispondere alla prima e alla seconda questione dichiarando che l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, dev’essere interpretato nel senso che esso non osta a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale, se tale normativa:
|
Sulla terza questione
111 | Dalla decisione di rinvio risulta che, con la sua terza questione, il giudice del rinvio intende, in sostanza, stabilire se CG avrebbe dovuto essere informato dei tentativi di accesso ai dati contenuti nel suo telefono cellulare al fine di poter esercitare il suo diritto a un ricorso effettivo garantito dall’articolo 47 della Carta. |
112 | A tale riguardo, le disposizioni pertinenti della direttiva 2016/680 sono, da un lato, l’articolo 13 di tale direttiva, intitolato «Informazioni da rendere disponibili o da fornire all’interessato», e, dall’altro, l’articolo 54 di detta direttiva, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento». |
113 | Occorre altresì ricordare, come evidenziato dal considerando 104 della direttiva 2016/680, che le limitazioni apportate da tale direttiva al diritto a un ricorso effettivo e a un giudice imparziale, tutelato dall’articolo 47 della Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, di quest’ultima, i quali includono il rispetto del principio di proporzionalità. |
114 | Occorre quindi considerare che, con la sua terza questione, il giudice del rinvio chiede, in sostanza, se gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, debbano essere interpretati nel senso che ostano a una normativa nazionale che consente alle autorità competenti in materia penale di tentare di accedere ai dati contenuti in un telefono cellulare senza informarne l’interessato. |
115 | Dall’articolo 13, paragrafo 2, lettera d), della direttiva 2016/680 risulta che, in aggiunta alle informazioni di cui al paragrafo 1, quali l’identità del titolare del trattamento, la finalità di tale trattamento e il diritto di proporre reclamo a un’autorità di controllo che devono essere messe a disposizione dell’interessato, gli Stati membri dispongono, per legge, che il titolare del trattamento fornisca all’interessato per consentirgli di esercitare i suoi diritti, se necessario, ulteriori informazioni, in particolare nel caso in cui i dati personali siano raccolti all’insaputa dell’interessato. |
116 | L’articolo 13, paragrafo 3, lettere a) e b), della direttiva 2016/680 autorizza tuttavia il legislatore nazionale a limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2, «nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata», in particolare, al fine di «non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari» o «non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali». |
117 | Infine, occorre rilevare che l’articolo 54 della direttiva 2016/680, che dà espressione all’articolo 47 della Carta, impone agli Stati membri di disporre che, qualora una persona ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma di tale direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni, tale persona abbia diritto a un ricorso giurisdizionale effettivo. |
118 | Dalla giurisprudenza risulta che il diritto a un ricorso giurisdizionale effettivo, garantito dall’articolo 47 della Carta, richiede, in linea di principio, che l’interessato possa conoscere la motivazione della decisione adottata nei suoi confronti, al fine di consentirgli di difendere i suoi diritti nelle migliori condizioni possibili e di decidere, con piena cognizione di causa, se gli sia utile adire il giudice competente, e al fine di consentire pienamente a quest’ultimo di esercitare il controllo sulla legittimità di tale decisione [sentenza del 16 novembre 2023, Ligue des droits humains (Verifica del trattamento dei dati da parte dell’autorità di controllo), C‑333/22, EU:C:2023:874, punto 58]. |
119 | Se è pur vero che tale diritto non costituisce una prerogativa assoluta e che, conformemente all’articolo 52, paragrafo 1, della Carta, possono esservi apportate limitazioni, ciò avviene a condizione che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale dei diritti e delle libertà di cui trattasi e che, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui [sentenza del 16 novembre 2023, Ligue des droits humains (Verifica del trattamento dei dati da parte dell’autorità di controllo), C‑333/22, EU:C:2023:874, punto 59]. |
120 | Pertanto, dalle disposizioni citate ai punti da 115 a 119 della presente sentenza risulta che spetta alle autorità nazionali competenti che siano state autorizzate, da un giudice o da un organo amministrativo indipendente, ad accedere ai dati conservati, informare gli interessati, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali tale autorizzazione si basa, dal momento in cui ciò non rischia di compromettere le indagini condotte da tali autorità, e mettere a loro disposizione tutte le informazioni di cui all’articolo 13, paragrafo 1, della direttiva 2016/680. Tali informazioni sono infatti necessarie per consentire a tali persone di esercitare, in particolare, il diritto di ricorso, esplicitamente previsto all’articolo 54 della direttiva 2016/680 [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione), C‑350/21, EU:C:2022:896, punto 70 e giurisprudenza citata]. |
121 | Al contrario, una normativa nazionale che escluda, in generale, qualsiasi diritto a ottenere tali informazioni non sarebbe conforme al diritto dell’Unione [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione), C‑350/21, EU:C:2022:896, punto 71]. |
122 | Nel caso di specie, dalla decisione di rinvio risulta che CG sapeva che il suo telefono cellulare era stato sequestrato quando le autorità di polizia austriache hanno tentato invano di sbloccarlo al fine di accedere ai dati in esso contenuti. In tali circostanze, non sembra che informare CG del fatto che tali autorità avrebbero cercato di accedere a tali dati rischiasse di compromettere le indagini, cosicché egli avrebbe dovuto esserne preventivamente informato. |
123 | Da quanto precede risulta che occorre rispondere alla terza questione dichiarando che gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, devono essere interpretati nel senso che ostano a una normativa nazionale che autorizza le autorità competenti a tentare di accedere a dati contenuti in un telefono cellulare senza informare l’interessato, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a dette autorità in forza di tale direttiva. |
Sulle spese
124 | Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. |
Per questi motivi, la Corte (Grande Sezione) dichiara: |
|
|
Firme |
( *1 ) Lingua processuale: il tedesco
CONCLUSIONI DELL’AVVOCATO GENERALE
M. CAMPOS SÁNCHEZ-BORDONA
presentate il 20 aprile 2023 ( 1 )
Causa C‑548/21
C.G.
contro
Bezirkshauptmannschaft Landeck
[domanda di pronuncia pregiudiziale proposta dal Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria)]
«Rinvio pregiudiziale – Telecomunicazioni – Protezione dei dati personali – Direttiva (UE) 2016/680 – Procedimento penale –Tentativo di accesso delle autorità pubbliche ai dati registrati in un telefono cellulare senza autorizzazione giudiziaria o di un’entità amministrativa indipendente»
1. | La domanda di pronuncia pregiudiziale in esame verte, in sintesi, sulle condizioni che le autorità di polizia devono rispettare per accedere ai dati conservati nel telefono cellulare della persona nei confronti della quale è in corso un’indagine penale. |
2. | Come cercherò di spiegare, il rinvio pregiudiziale presenta notevoli lacune per quanto riguarda la sua ricevibilità. Qualora la Corte di giustizia decidesse comunque di esaminare il merito, dovrà pronunciarsi sui rispettivi ambiti di applicazione della direttiva 2002/58/CE ( 2 ) e della direttiva (UE) 2016/680 ( 3 ). |
I. Contesto normativo
A. Diritto dell’Unione
1. Regolamento (UE) 2016/679 ( 4 )
3. | L’articolo 2 («Ambito di applicazione materiale»), paragrafo 2, così dispone: «Il presente regolamento non si applica ai trattamenti di dati personali: (…)
|
2. Direttiva 2016/680
4. | Il considerando 2 enuncia quanto segue: «I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei loro dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali (…). La presente direttiva è intesa a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia». |
5. | Il considerando 46 è così formulato: «Qualsiasi limitazione dei diritti dell’interessato deve essere conforme alla Carta e alla CEDU, come interpretate nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell’uomo [ ( 5 )], e rispettare in particolare la sostanza di tali diritti e libertà». |
6. | Il considerando 49 così recita: «Se i dati personali sono trattati nel corso di un’indagine penale e di un procedimento giudiziario penale, gli Stati membri dovrebbero poter prevedere che i diritti di informazione, accesso, rettifica o cancellazione di dati personali e limitazione di trattamento siano esercitati conformemente alle norme nazionali sui procedimenti giudiziari». |
7. | L’articolo 1 («Oggetto e obiettivi») dispone quanto segue: «1. La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica. 2. Ai sensi della presente direttiva gli Stati membri:
(…) 3. La presente direttiva non pregiudica la facoltà degli Stati membri di prevedere garanzie più elevate di quelle in essa stabilite per la tutela dei diritti e delle libertà dell’interessato con riguardo al trattamento dei dati personali da parte delle autorità competenti». |
8. | L’articolo 2 («Ambito di applicazione»), paragrafo 1, così recita: «La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1». |
9. | L’articolo 3 («Definizioni») stabilisce quanto segue: «Ai fini della presente direttiva si intende per: (…)
(…)
(…)». |
10. | L’articolo 4 («Principi applicabili al trattamento di dati personali»), paragrafo 1, così dispone: «Gli Stati membri dispongono che i dati personali siano:
(…)
|
11. | L’articolo 8 («Liceità del trattamento») stabilisce quanto segue: «1. Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l’esecuzione di un compito di un’autorità competente, per le finalità di cui all’articolo 1, paragrafo 1, e si basa sul diritto dell’Unione o dello Stato membro. 2. Il diritto dello Stato membro che disciplina il trattamento nell’ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento». |
12. | L’articolo 13 («Informazioni da rendere disponibili o da fornire all’interessato») così dispone: «1. Gli Stati membri dispongono che il titolare del trattamento metta a disposizione dell’interessato almeno le seguenti informazioni: (…)
(…) 3. Gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:
(…)». |
13. | Ai sensi dell’articolo 15 («Limitazioni del diritto di accesso»), paragrafo 1: «Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, il diritto di accesso dell’interessato nella misura e per il tempo in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:
|
14. | In forza dell’articolo 27 («Valutazione d’impatto sulla protezione dei dati»): «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, gli Stati membri dispongono che il titolare del trattamento effettui, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. 2. La valutazione di cui al paragrafo 1 contiene almeno una descrizione generale dei trattamenti previsti, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare tali rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità alla presente direttiva, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione». |
15. | L’articolo 28 («Consultazione preventiva dell’autorità di controllo») così recita: «1. Gli Stati membri dispongono che il titolare del trattamento o il responsabile del trattamento consulti l’autorità di controllo prima del trattamento di dati personali che figureranno in un nuovo archivio di prossima creazione se:
(…)». |
16. | L’articolo 54 («Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento») prevede quanto segue: «Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 52, l’interessato abbia il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni». |
B. Diritto nazionale
17. | L’articolo 18 della Strafprozessordnung ( 6 ) attribuisce alla polizia giudiziaria funzioni che servono all’amministrazione della giustizia penale (paragrafo 1). Le indagini della polizia giudiziaria sono di competenza delle autorità preposte alla sicurezza (paragrafo 2). Gli organi del servizio di sicurezza pubblica forniscono il servizio esecutivo di polizia giudiziaria, che consiste nell’indagare e perseguire i reati (paragrafo 3). |
18. | Conformemente all’articolo 99 della StPO, la polizia giudiziaria indaga d’ufficio o sulla base di una denuncia, nel rispetto dei provvedimenti del pubblico ministero e dei giudici (paragrafo 1). Qualora un atto di indagine richieda un provvedimento del pubblico ministero, in caso di pericolo imminente la polizia giudiziaria può esercitare la corrispondente facoltà anche in assenza di tale provvedimento. In tal caso, deve richiedere immediatamente l’autorizzazione (paragrafo 2). |
19. | Ai sensi dell’articolo 111, paragrafo 2, della StPO, quando le informazioni contenute su supporti per dati devono essere oggetto di una raccolta di dati, chiunque è tenuto a consentire l’accesso a tali informazioni e, su richiesta, a consegnare o consentire la realizzazione di un supporto elettronico di dati in un formato di archiviazione comunemente utilizzato. Inoltre, si deve consentire la realizzazione di una copia di riserva delle informazioni contenute nei supporti per dati. |
II. Fatti, controversia e questioni pregiudiziali
20. | C.G. è un cittadino tedesco che lavora e risiede in Austria. |
21. | Il 23 febbraio 2021, durante un controllo sugli stupefacenti, un pacco indirizzato a C.G. e contenente 85 grammi di cannabis in foglie veniva sequestrato dai funzionari dell’ufficio delle dogane di Innsbruck (Austria). |
22. | Il 6 marzo 2021 due agenti di polizia interrogavano C.G. in merito al mittente del pacco e perquisivano la sua abitazione. Nel corso di questa perquisizione, veniva sequestrato il suo telefono cellulare (che conteneva una scheda SIM e una scheda SD) e consegnato il verbale di sequestro. |
23. | Alla richiesta di consentire l’accesso ai tabulati telefonici del suo telefono cellulare, C.G. rifiutava, così come rifiutava di rendere noti i codici di accesso al telefono. |
24. | Il comando di polizia del distretto di Landeck (Austria) non riusciva a sbloccare il telefono cellulare. Esso veniva inviato al Bundeskriminalamt (ufficio federale di polizia giudiziaria) di Vienna (Austria), dove veniva effettuato un nuovo tentativo, non riuscito, di sbloccare il telefono e di leggere i dati in esso contenuti. |
25. | Nel momento in cui sono state adottate dalla polizia, tali misure non erano disposte né da un provvedimento del pubblico ministero né da una decisione giudiziaria. |
26. | Il 31 marzo 2021 C.G. presentava reclamo dinanzi al Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria) contro la misura coercitiva impostagli, impugnando il sequestro del suo telefono cellulare. Quest’ultimo gli veniva restituito il 20 aprile 2021. |
27. | C.G. non è stato informato dei tentativi di analisi del contenuto del telefono cellulare; ne è venuto a conoscenza perché l’agente di polizia che ha eseguito il sequestro e ha successivamente avviato l’analisi digitale è stato sentito come testimone con l’obbligo di dire la verità. Questo tentativo non è neppure documentato in alcun atto della polizia giudiziaria. |
28. | In tale contesto, il Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo) ha sottoposto alla Corte di giustizia le seguenti questioni pregiudiziali:
|
III. Procedimento dinanzi alla Corte di giustizia
29. | La domanda di pronuncia pregiudiziale è pervenuta alla Corte di giustizia il 6 settembre 2021. |
30. | Il 20 ottobre 2021 la Corte ha chiesto al giudice del rinvio di dichiarare se la direttiva 2016/680 potesse essere pertinente nel caso di specie. |
31. | L’11 novembre 2021 il giudice del rinvio ha risposto che la direttiva 2016/680 deve essere applicata nel procedimento principale. |
32. | Hanno presentato osservazioni scritte i governi tedesco, austriaco, cipriota, danese, estone, francese, ungherese, irlandese, dei Paesi Bassi, norvegese, polacco e svedese, nonché la Commissione europea. |
33. | All’udienza tenutasi il 16 gennaio 2023 sono comparsi coloro che avevano presentato osservazioni scritte, ad eccezione dei governi tedesco, ungherese e polacco, nonché il governo finlandese. Essi sono stati tutti invitati dalla Corte di giustizia a concentrare le loro argomentazioni sulla direttiva 2016/680 e a rispondere oralmente a determinati quesiti relativi a quest’ultima. |
IV. Analisi
A. Irricevibilità
34. | Il giudice del rinvio ha inizialmente formulato le sue questioni chiedendo soltanto l’interpretazione della direttiva 2002/58. Tuttavia, quasi tutti gli intervenienti nel procedimento concordano sul fatto che tale direttiva non trova applicazione nella presente causa e che, di conseguenza, la sua interpretazione non è necessaria per risolvere la controversia. |
35. | Ai sensi del suo articolo 3, la direttiva 2002/58 disciplina il «(…) trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nell[’Unione], comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati». |
36. | La Corte di giustizia ha dichiarato che, «quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di detti servizi di comunicazione, la protezione dei dati delle persone interessate non ricade nell’ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale, fatta salva l’applicazione della [direttiva 2016/680]» ( 7 ). |
37. | Nella presente causa, il tentativo di accesso ai dati è stato effettuato direttamente dalle autorità di polizia nell’ambito di un’indagine penale. Non vi è stato alcun intervento dei fornitori di servizi di comunicazioni elettroniche, ai quali non è stato chiesto di comunicare dati personali. La direttiva 2002/58 non è quindi pertinente. |
38. | La norma del diritto dell’Unione che disciplina la presente fattispecie è la direttiva 2016/680, la quale, conformemente al suo articolo 2, paragrafo 1, si applica al trattamento dei dati personali da parte delle autorità competenti «a fini di (…) indagine (…) di reati». |
39. | Quanto precede sarebbe sufficiente per concludere nel senso dell’irricevibilità del rinvio pregiudiziale, come formulato dal giudice nazionale, poiché la norma del diritto dell’Unione di cui chiedeva l’interpretazione non era applicabile al caso di specie. |
40. | È vero, tuttavia, che l’articolo 267 TFUE consente alla Corte di giustizia di riformulare le questioni pregiudiziali che le sono sottoposte o di indicare l’esistenza di altre norme del diritto dell’Unione eventualmente pertinenti, al fine di fornire al giudice nazionale una risposta utile ( 8 ). |
41. | La Corte di giustizia si è rivolta al giudice del rinvio affinché si pronunciasse sull’eventuale incidenza della direttiva 2016/680. Essa gli ha quindi offerto la possibilità di integrare o riformulare le sue questioni. Invece di procedere in tal senso, il giudice del rinvio si è limitato a dichiarare che «nella presente causa occorre, in ogni caso, rispettare le disposizioni della direttiva 2016/680», senza tuttavia individuare le disposizioni di detta direttiva sulle quali nutre dubbi né approfondire altre considerazioni nel merito ( 9 ). |
42. | Secondo la giurisprudenza costante della Corte di giustizia, «è indispensabile, come enunciato all’articolo 94, lettera c), del regolamento di procedura, che la decisione di rinvio contenga l’illustrazione dei motivi che hanno indotto il giudice del rinvio a interrogarsi sull’interpretazione o sulla validità di determinate disposizioni del diritto dell’Unione, nonché il collegamento che esso stabilisce tra dette disposizioni e la normativa nazionale applicabile alla causa principale ( 10 )». |
43. | Da quanto sopra esposto risulta evidente che, nel presente rinvio, sono stati violati i requisiti di cui all’articolo 94 del regolamento di procedura. Anche se la Corte di giustizia dimostra una certa flessibilità al riguardo, la cooperazione con il giudice del rinvio deve essere reciproca: nell’ingiustificata assenza di collaborazione da parte di quest’ultimo nell’esporre i propri dubbi sull’interpretazione del diritto dell’Unione che ritiene applicabile (nella fattispecie, la direttiva 2016/680), mi sembra logico dichiarare irricevibile la domanda di pronuncia pregiudiziale ( 11 ). |
44. | Oltre a quanto sopra, detto giudice:
|
45. | In tali circostanze, anziché riformulare le questioni del giudice a quo, la Corte di giustizia procederebbe a una vera e propria ricostruzione del rinvio pregiudiziale, peraltro basata in parte su considerazioni ipotetiche, piuttosto che su fatti accertati. Tutto questo, ripeto, dopo aver dato all’organo giurisdizionale la possibilità di integrare o riformulare le proprie domande. |
46. | Sono pertanto favorevole a dichiarare irricevibile la domanda di pronuncia pregiudiziale, come richiesto da diversi Stati intervenienti. |
47. | A questa medesima dichiarazione di irricevibilità si dovrebbe ricondurre la circostanza, sottolineata in udienza, che dinanzi al giudice del rinvio non esiste più una vera controversia che richieda l’interpretazione di norme del diritto dell’Unione. |
48. | Infatti, il governo austriaco (da cui dipendono le autorità di polizia coinvolte nell’indagine) riconosce che le azioni di tali autorità sono state illecite e hanno violato i diritti della persona interessata. Poiché, secondo l’ordinanza di rinvio, la domanda del ricorrente dinanzi all’organo giurisdizionale amministrativo era diretta, giustamente, contro le misure di polizia che l’amministrazione resistente considera illecite, la controversia sottoposta al giudice del rinvio si è estinta. |
49. | In ogni caso, laddove la Corte di giustizia non condivida il mio punto di vista, nel prosieguo tratterò, in subordine, i problemi alla base delle questioni pregiudiziali. |
50. | Prima, tuttavia, ritengo necessario escludere l’esistenza di un altro motivo di irricevibilità dedotto da alcuni degli intervenienti nel procedimento ( 14 ). A loro avviso, poiché la direttiva 2016/680 riguarda la protezione delle persone fisiche con riguardo al trattamento dei loro dati, essa non disciplinerebbe casi come quello di cui trattasi, in cui non vi sarebbe stato alcun trattamento, bensì un semplice tentativo di accesso a dati che alla fine non è stato possibile ottenere. |
51. | Secondo la Commissione, invece, l’effetto utile della direttiva 2016/680 dovrebbe privilegiare un’interpretazione del suo oggetto che non si limiti al trattamento dei dati in senso stretto, ma che comprenda anche questioni direttamente collegate ad esso. Una di queste ultime sarebbe il tentativo di accedere ai dati di cui si intende effettuare il trattamento ( 15 ). |
52. | A mio avviso, senza che sia necessario forzare i limiti dell’ambito di applicazione della direttiva 2016/680 ( 16 ), la sua applicazione al caso di specie è giustificata non perché sia avvenuto il sequestro del telefono cellulare ( 17 ), bensì per la successiva condotta delle autorità di polizia volta a estrarre da quest’ultimo determinati dati personali dell’interessato, tentando a tal fine di sbloccarlo e di consentire l’accesso al suo contenuto. |
53. | Tra le operazioni definite come «trattamento» dall’articolo 3, punto 2, della direttiva 2016/680 figura «qualsiasi altra forma di messa a disposizione» dei dati personali, avvenuta nel corso di un’indagine penale. Ritengo che, quando l’autorità di polizia sequestra un telefono in cui sono conservati tali dati e lo manipola per estrarli, avvia una «operazione» di trattamento, anche se questa non va a buon fine per ragioni tecniche attinenti alla sicurezza crittografica. |
54. | Il tentativo fallito di accesso ai dati personali conservati su un telefono cellulare, nell’ambito di un’indagine penale, è disciplinato dalla direttiva 2016/680 per ragioni analoghe a quelle che hanno indotto la Corte di giustizia a dichiarare applicabile la direttiva 2002/58 al tentativo (anch’esso fallito) di ottenere l’autorizzazione giudiziaria per accedere a determinati dati della persona indagata, detenuti da un operatore di comunicazioni elettroniche ( 18 ). |
55. | In tale contesto, se il giudice del rinvio dovesse pronunciarsi sull’illiceità dell’azione di polizia (riconosciuta dal governo austriaco, come ho già esposto), la sua valutazione potrebbe dipendere dalla legittimità dello scopo che con la stessa azione si intende perseguire, indipendentemente dal fatto che la misura sia andata a buon fine o che essa sia stata solo avviata, senza successo. |
B. Nel merito
1. Prima questione pregiudiziale
56. | Il giudice del rinvio desidera sapere se, ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 (eventualmente in combinato disposto con l’articolo 5) e alla luce degli articoli 7 e 8 della Carta, «l’accesso delle autorità pubbliche ai dati conservati nei telefoni cellulari comport[i] un’ingerenza nei diritti fondamentali sanciti da detti articoli della Carta che presenta una gravità tale che il suddetto accesso deve essere limitato, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave». |
57. | Se il rinvio fosse ricevibile, l’inapplicabilità della direttiva 2002/58 imporrebbe di riformulare la prima questione, in modo che la risposta della Corte di giustizia interpreti la direttiva 2016/680. |
58. | Tale risposta dovrebbe chiarire, in successione, se si possa parlare di ingerenza in casi come quello di specie e, laddove vi sia ingerenza, se la direttiva 2016/680 imponga che l’accesso ai dati sia limitato ai casi di lotta contro la criminalità grave. |
59. | Le operazioni di trattamento dei dati possono, per definizione, compromettere i diritti al rispetto della vita privata (articolo 7 della Carta) e alla protezione dei dati personali (articolo 8 della Carta). Le autorità pubbliche devono, pertanto, rispettare le condizioni previste dall’articolo 52, paragrafo 1, della Carta per giustificare la loro interferenza nell’esercizio di tali diritti fondamentali. |
60. | L’interferenza nei diritti tutelati dagli articoli 7 e 8 della Carta sarà ancora maggiore laddove con la stessa: a) si intenda accedere a dati sensibili abitualmente registrati sui telefoni cellulari e la cui conoscenza può rivelare aspetti della vita dei loro titolari che dovrebbero essere tenuti al riparo dalla conoscenza di terzi; e b) si renda possibile l’accesso al contenuto delle comunicazioni. |
61. | Orbene, da un punto di vista generale e alla luce del suo contenuto, la direttiva 2016/680 non può essere interpretata nel senso che i trattamenti di dati ai quali si riferisce sono circoscritti ai soli casi di lotta contro la criminalità grave. |
62. | La direttiva 2016/680 riguarda qualsiasi operazione di trattamento ( 19 ) di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di tutti i tipi di reati. |
63. | Dai principi che la direttiva 2016/680 istituisce in merito al trattamento di dati personali con tali finalità (articolo 4), o dalle condizioni di liceità per effettuarlo (articolo 8), non risulta che, di norma, il trattamento dei dati sia possibile solo nei casi di criminalità grave. |
64. | Una restrizione limitata ai casi di lotta contro la criminalità grave non potrebbe nemmeno fondarsi semplicemente sull’estrapolazione della giurisprudenza della Corte relativa alla direttiva 2002/58 ( 20 ) a casi come quello di specie. |
65. | A mio avviso, non è possibile farlo perché, fatto salvo quanto argomenterò in seguito, tale giurisprudenza riguarda la conservazione generalizzata e indiscriminata dei dati personali di un gruppo generico e indeterminato, effettuata da fornitori di servizi di comunicazione elettronica con sistematicità. La portata dell’ingerenza che questo genere di conservazione comporta per la società nel suo complesso spiega perché la Corte di giustizia sia stata particolarmente rigorosa nel proibirla e nel prevedere eccezioni a tale divieto. |
66. | Ciò non si verifica quando l’accesso che si intende eseguire non riguarda la totalità o grandi gruppi della popolazione (vale a dire i dati personali di un gruppo generico e indeterminato), bensì le informazioni contenute in un particolare telefono cellulare, nell’ambito di un procedimento di indagine penale parimenti particolare, per il quale si applica, specificamente, la direttiva 2016/680. |
67. | La direttiva 2016/680 ha come oggetto soltanto il trattamento di dati da parte delle autorità competenti a fini di prevenzione, indagine accertamento e perseguimento di reati. Tutti i tipi di reati, e non solo quelli gravi. |
68. | Inoltre, come sottolineato da alcuni degli intervenienti nel procedimento pregiudiziale, in assenza di qualsiasi indicazione sulla gravità dei reati nella direttiva 2016/680, quest’ultima potrebbe non essere applicata in modo uniforme negli Stati membri, poiché le valutazioni di ciascun ordinamento nazionale in merito alla maggiore o minore gravità di una condotta punibile differiscono notevolmente ( 21 ). |
69. | La direttiva 2016/680, in definitiva, non impone come condizione di liceità che il trattamento di dati personali da essa disciplinato sia possibile solo ai fini della lotta contro la criminalità grave. |
70. | Quanto precede non osta a che, in applicazione del principio di proporzionalità e caso per caso, il trattamento di dati che le autorità competenti intendono effettuare ai sensi della direttiva 2016/680 sia adeguato sulla base: a) della natura dei reati perseguiti; e b) della qualità dei dati personali cui detto trattamento è indirizzato. |
71. | In questo senso, concordo con alcune dichiarazioni del governo tedesco sulla limitazione dell’accesso ai dati dei telefoni sequestrati, quando questi permettono, sulla base del loro contenuto digitale, di tracciare un profilo completo della personalità dei loro titolari. Secondo il governo tedesco, tale accesso dovrebbe limitarsi ai dati necessari come mezzo di prova in un caso concreto e potrebbe non essere appropriato in presenza di fattori quali «il carattere minore dell’infrazione oggetto dell’indagine o lo scarso valore probatorio dei dati che si intendono ottenere» ( 22 ). |
72. | In astratto, dunque, la direttiva 2016/680 non implica che sia sistematicamente illecito accedere ai dati personali conservati su un telefono cellulare al fine di facilitare le indagini su condotte che possono rientrare nell’ambito della criminalità generale o comune. La valutazione, nello specifico, dell’ammissibilità di tale accesso spetterà all’autorità interessata caso per caso, tenendo conto della sua necessità e del criterio di proporzionalità cui ho appena fatto riferimento. |
73. | Ciò si deduce, a mio avviso, dalle disposizioni della direttiva 2016/680 che stabiliscono le condizioni di validità del trattamento di dati personali nel contesto della lotta contro la criminalità:
|
2. Seconda questione pregiudiziale
74. | Con la seconda questione pregiudiziale, il giudice del rinvio desidera sapere se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, «ost[i] a una normativa nazionale, quale l’articolo 18 in combinato disposto con l’articolo 99, paragrafo 1, della [StPO], in forza della quale le autorità preposte alla sicurezza si procurano autonomamente, nel corso di un’indagine penale, un accesso completo e non controllato a tutti i dati digitali conservati in un telefono cellulare, senza l’autorizzazione di un giudice o di un’entità amministrativa indipendente». |
75. | La formulazione della questione presenta una certa ambiguità. Il giudice del rinvio:
|
76. | Il governo austriaco fornisce una versione della normativa nazionale che non è conforme a quella esposta nell’ordinanza di rinvio. In particolare, sostiene che, conformemente al diritto nazionale, sia il sequestro del telefono (salvo i casi di urgenza) sia l’analisi dei dati in esso conservati sono possibili solo con l’autorizzazione del pubblico ministero ( 23 ). Senza un provvedimento del pubblico ministero, l’utilizzo, da parte della polizia, dei dati conservati su quel telefono è illecito. |
77. | Spetta al giudice del rinvio verificare i termini della normativa nazionale. Nell’ambito del procedimento di cui all’articolo 267 TFUE, la Corte di giustizia non è competente a interpretare il diritto nazionale e spetta unicamente al giudice del rinvio determinare l’esatta portata delle disposizioni legislative, regolamentari e amministrative nazionali ( 24 ). |
78. | Senza voler entrare nella polemica sull’interpretazione del diritto austriaco, mi sembra difficile dedurre dai soli precetti che il giudice del rinvio individua (l’articolo 18 della StPO in combinato disposto con l’articolo 99, paragrafo 1, della medesima legge) le conseguenze che lo stesso trae. Ma, ripeto, si tratta di qualcosa che può decidere solo detto giudice. |
79. | In ogni caso, il giudice del rinvio ritiene che l’orientamento della sentenza Prokuratuur ( 25 ), relativo al controllo preventivo, da parte di un giudice o di un’autorità indipendente, dell’accesso ai dati conservati, possa essere applicabile in una fattispecie come quella in esame. |
80. | Per il governo dei Paesi Bassi, invece, tale dottrina deve essere intesa nel contesto della normativa nazionale che consentiva alle autorità competenti l’accesso generale a tutti i dati sul traffico e sull’ubicazione conservati. Ciò spiegherebbe la richiesta di un’autorizzazione giudiziaria preventiva, che tuttavia potrebbe non essere giustificata nel caso dell’accesso ai dati di un singolo telefono cellulare. |
81. | Su questa stessa linea, il governo norvegese sostiene che tra le numerose garanzie previste dalla direttiva 2016/680 ( 26 ) non figura esplicitamente quella della necessità di un’autorizzazione preventiva da parte di un’autorità giudiziaria o amministrativa indipendente. |
82. | La Commissione, partendo dal presupposto che le disposizioni della direttiva 2016/680 devono essere interpretate alla luce della Carta, sostiene che l’obbligo imposto agli Stati membri dall’articolo 8, paragrafo 1, di tale direttiva (condizioni di liceità del trattamento) comporta la necessità di rispettare i diritti fondamentali garantiti dagli articoli 7 e 8 della Carta. |
83. | Concordo con la Commissione sul fatto che, pur rispettando detti precetti della Carta, i legislatori nazionali sono tenuti a definire le norme necessarie per garantire che l’accesso ai dati sia giustificato in ciascun caso e limitato a quanto strettamente necessario e proporzionato. |
84. | Non è tuttavia necessario che tali norme nazionali abbiano come oggetto specifico l’accesso ai dati personali contenuti, come in questo caso, in un telefono cellulare, potendo essere quelle previste dal diritto nazionale in generale in materia di assunzione di prove. |
85. | A tal riguardo, ho già trascritto il punto 103 della sentenza La Quadrature du Net in merito alle misure degli Stati membri che incidono sulla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di detti servizi di comunicazione ( 27 ). |
86. | Senza che sia, pertanto, necessario dedurre dalla direttiva 2016/680 norme specifiche di natura procedurale che garantiscano la liceità dell’accesso ai dati conservati su un telefono cellulare ( 28 ), si applicheranno le norme nazionali che disciplinano l’esercizio dei poteri di perquisizione e di sequestro nell’ambito delle indagini penali ( 29 ). |
87. | Il rinvio alle disposizioni di diritto interno per garantire la liceità dell’accesso ai sensi della direttiva 2016/680 è, inoltre, in linea con la giurisprudenza della Corte EDU. Proprio in un caso riguardante la Repubblica d’Austria in relazione all’articolo 8 della CEDU (diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza), la Corte EDU ha stabilito che la legge austriaca sul sequestro di oggetti e, in particolare, di documenti, si applica alla perquisizione e al sequestro di dati conservati su supporti informatici ( 30 ). |
88. | Se, come sostiene il governo austriaco, citando la giurisprudenza dell’Oberster Gerichtshof (Corte suprema, Austria), le autorità di polizia non hanno il diritto di accedere ai dati memorizzati su un determinato telefono cellulare senza l’autorizzazione del pubblico ministero, la seconda questione pregiudiziale perde gran parte del suo significato. |
89. | In ogni caso, la risposta a tale questione non può escludere che l’accesso ai dati personali del telefono sequestrato consenta di «ricostruire un quadro molto dettagliato e approfondito di pressoché tutti i settori della vita privata» dell’interessato ( 31 ). Se così fosse, le autorità di polizia non potrebbero fare a meno dell’autorizzazione preventiva di cui alla sentenza Prokuratuur. |
90. | A prima vista, questa affermazione sembrerebbe non essere compatibile con la mancata applicazione al caso di specie della direttiva 2002/58 (che interpreta la sentenza Prokuratuur), come ho sostenuto precedentemente. Tuttavia, ritengo che la ratio di tale sentenza deponga a favore della stessa soluzione. |
91. | Nella controversia che ha dato luogo alla sentenza Prokuratuur, sebbene l’accesso sia stato effettuato ottenendo i dati (metadati) presso i fornitori di servizi di comunicazione elettronica, si trattava, come nel presente caso, di un’unica indagine penale, diretta contro una determinata persona. Si trattava della raccolta di «dati relativi a vari numeri di telefono di (…) e diversi codici internazionali di identificazione di apparecchiatura di telefonia mobile di quest’ultima» ( 32 ). |
92. | A mio parere, nella sentenza Prokuratuur, si possono distinguere due livelli: a) quello che mette in discussione la normativa generale di uno Stato membro relativa alla conservazione generalizzata e indifferenziata e all’accesso successivo ai dati detenuti dai fornitori di servizi; e b) quello del controllo preventivo, per un singolo caso, dell’accesso a tali metadati, qualora consentano di delineare un profilo preciso della vita privata di una persona. |
93. | La circostanza che, nella causa in esame, i dati che rivelano la vita privata non siano detenuti dai fornitori di servizi e siano ottenuti (o si tentino di ottenere) da un unico telefono sequestrato mi sembra di importanza secondaria rispetto alla ratio del requisito del controllo preventivo cui si fa riferimento nella sentenza Prokuratuur. |
94. | Detto controllo preventivo trova il suo fondamento ultimo nella protezione garantita dagli articoli 7 e 8 della Carta. L’autorità che lo effettua deve essere «in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso» ( 33 ). |
3. Terza questione pregiudiziale
95. | Con la terza questione pregiudiziale, il giudice del rinvio desidera sapere se l’articolo 47 della Carta (eventualmente in combinato disposto con gli articoli 41 e 52 della stessa) osti a una normativa come quella austriaca ( 34 ) che «consenta di analizzare digitalmente un telefono cellulare senza che l’interessato ne sia informato preventivamente o, almeno, successivamente all’esecuzione della misura». |
96. | Ritengo che la questione formulata in questi termini possa risultare superflua per risolvere la controversia, in quanto l’interessato ha potuto esercitare il diritto sancito dall’articolo 47 della Carta chiedendo al giudice del rinvio di dichiarare la nullità dell’azione della polizia sul telefono sequestrato, che comprendeva il successivo (e fallito) utilizzo dei dati in esso conservati. |
97. | In merito a questi due momenti dell’azione della polizia, occorre operare una distinzione:
|
98. | Rimangono, dunque, alcune ambiguità circa l’utilizzo dei dati e sulla conoscenza dello stesso da parte dell’interessato che, come ho già sottolineato, il giudice del rinvio avrebbe dovuto chiarire nell’ordinanza di rinvio e che impediscono di dare una risposta utile alla terza questione pregiudiziale. |
99. | In ogni caso, nel caso in cui la Corte di giustizia non ritenga tale questione irricevibile, mi pronuncerò su di essa. In questa ipotesi, e considerata l’inapplicabilità della direttiva 2002/58, essa andrebbe riformulata alla luce della direttiva 2016/680, i cui articoli 13, 15 e 54 forniscono le indicazioni per rispondere. |
100. | Ai sensi della direttiva 2016/680, le informazioni relative al trattamento dei suoi dati che devono essere fornite all’interessato sono quelle che risultano necessarie, tra l’altro, per: a) proporre reclamo a un’autorità di controllo [articolo 13, paragrafo 1, lettera d)]; e b) ottenere una tutela giurisdizionale effettiva contro la violazione dei diritti garantiti dalla direttiva 2016/680, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile (articolo 54). |
101. | Non va tuttavia dimenticato che sia l’articolo 13, paragrafo 3, sia l’articolo 15, paragrafo 1, della direttiva 2016/680 autorizzano gli Stati membri ad adottare misure legislative intese a:
|
102. | In ogni caso, la liceità del trattamento dei dati non dipende dall’adempimento da parte delle autorità competenti degli obblighi (ulteriori) imposti loro dall’articolo 13 della direttiva 2016/680, bensì dalla legittimità della finalità che lo ha giustificato; vale a dire, dal fatto che tali autorità amministrative fossero legittimate ad effettuare il trattamento dei dati personali. |
103. | Da questo punto di vista, il fatto che l’interessato sia stato informato dei tentativi di accesso ai dati conservati nel telefono sequestratogli è, di per sé, irrilevante ai fini della liceità per motivi sostanziali dell’azione di polizia. La condotta del titolare del trattamento eventualmente contraria agli obblighi impostigli dall’articolo 13 della direttiva 2016/680 può avere altre conseguenze, ma, ripeto, non pregiudica di per sé la liceità o l’illiceità del trattamento stesso. |
104. | Spetta al giudice del rinvio stabilire se la normativa nazionale consenta l’esercizio effettivo di tali diritti da parte dell’interessato. |
V. Conclusione
105. | Alla luce di quanto precede, propongo alla Corte di giustizia di dichiarare irricevibile la domanda di pronuncia pregiudiziale presentata dal Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria). In subordine, suggerisco di rispondere a tale domanda nei seguenti termini:
|
( 1 ) Lingua originale: lo spagnolo.
( 2 ) Direttiva del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37).
( 3 ) Direttiva del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
( 4 ) Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1). In prosieguo: l’«RGPD».
( 5 ) In prosieguo: la «Corte EDU».
( 6 ) Codice di procedura penale. In prosieguo: la «StPO». BGBl n. 631/1975, nella versione applicabile al momento dei fatti (BGBl I n. 24/2020).
( 7 ) Sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791; in prosieguo: la «sentenza La Quadrature du Net») punto 103.
( 8 ) Per tutte, sentenza del 28 aprile 2016, Oniors Bio (C‑233/15, EU:C:2016:305), punto 30.
( 9 ) La Corte ha ritenuto necessario invitare le parti a indicare «quali siano, a loro avviso, le disposizioni pertinenti della direttiva 2016/680 alla luce delle quali la Corte dovrebbe, se del caso, riformulare le tre questioni pregiudiziali sollevate dal giudice del rinvio» (quarto dei quesiti posti al fine di ottenere una risposta orale in udienza).
( 10 ) Sentenza del 6 ottobre 2021, Consorzio Italian Management e Catania Multiservizi (C‑561/19, EU:C:2021:799), punto 69.
( 11 ) Concordo con il governo francese su questa valutazione (punti da 36 a 41 delle sue osservazioni scritte).
( 12 ) In tal senso, nella seconda questione pregiudiziale.
( 13 ) Il giudice del rinvio afferma che, «per quanto riguarda i dati di connessione, possono essere ricostruiti quasi tutti i contatti in base alla frequenza, all’orario e alla durata delle comunicazioni; per quanto riguarda le comunicazioni mediante SMS o altri servizi di messaggistica, può essere ricostruito anche il contenuto; anche attraverso l’analisi delle fotografie conservate e delle cronologie del browser viene effettuato un accesso molto intimo nella vita privata dell’interessato».
( 14 ) Mi riferisco, nello specifico, ai governi austriaco, francese, norvegese e dei Paesi Bassi.
( 15 ) Per la Commissione, «è indifferente che i tentativi siano andati o meno a buon fine. Il verificarsi di difficoltà tecniche che impediscono il buon fine dei tentativi di accesso è una circostanza che non può essere conosciuta in anticipo e che non incide sui rischi per la protezione dei dati personali».
( 16 ) In particolare, il ricorso agli articoli 27 e 28 della direttiva 2016/680, suggerito dalla Commissione nelle sue osservazioni scritte, mi sembra superfluo. La «valutazione d’impatto sulla protezione dei dati» di cui all’articolo 27 si riferisce, genericamente, a «un tipo di trattamento» e non a singoli o specifici trattamenti. Ciò emerge dal considerando 58 della direttiva 2016/680: «[l]e valutazioni d’impatto dovrebbero riguardare i sistemi e processi delle operazioni di trattamento pertinenti, non singoli casi» (il corsivo è mio). In udienza, la Commissione ha meglio specificato il richiamo alle due disposizioni, che avrebbe citato solo per sottolineare come la direttiva 2016/680 riguardi anche situazioni preliminari al trattamento dei dati propriamente detto.
( 17 ) La direttiva 2016/680 non disciplina il sequestro del telefono in quanto mezzo di prova nell’ambito di un’indagine penale.
( 18 ) Sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788).
( 19 ) La tipologia delle «operazioni» di cui all’articolo 3, punto 2, della direttiva 2016/680 è abbastanza ampia. V. la sua trascrizione al paragrafo 9 delle presenti conclusioni.
( 20 ) Sentenze La Quadrature du Net e del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970; in prosieguo: la «sentenza Tele2 Sverige e Watson»); del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788); del 6 ottobre 2020, Privacy International (C‑623/17, EU:C:2020:790); e del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152; in prosieguo: la «sentenza Prokuratuur»).
( 21 ) Il governo francese cita come esempio i reati in materia di detenzione e traffico di stupefacenti, sulla cui gravità le norme penali dell’Austria e della Francia differiscono. Il governo svedese si pronuncia in senso analogo.
( 22 ) Osservazioni scritte del governo tedesco, punto 20.
( 23 ) Punto 19 delle osservazioni scritte del governo austriaco. Cita la decisione dell’Oberster Gerichtshof (Corte suprema, Austria) del 13 ottobre 2020 (causa 11 Os 56/20z) che qualifica come illecita, in quanto lesivo dei diritti soggettivi dell’interessato, l’analisi da parte della polizia giudiziaria dei dati di un telefono cellulare senza l’autorizzazione del pubblico ministero.
( 24 ) V. per tutte, sentenza del 28 aprile 2022, SeGEC e a., (C‑277/21, EU:C:2022:318), punto 21.
( 25 ) Sentenza Prokuratuur, punto 51: «è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate».
( 26 ) Oltre a quelle contenute negli articoli 4 e 8, quelle contenute nei capi III («Diritti dell’interessato»), IV («Titolare del trattamento e responsabile del trattamento»), VI («Autorità di controllo indipendenti») e VIII («Ricorsi, responsabilità e sanzioni»).
( 27 ) V. paragrafo 36 delle presenti conclusioni.
( 28 ) Un’impresa la cui difficoltà è testimoniata dagli sforzi compiuti dalla Commissione ai punti da 34 a 39 delle sue osservazioni per contribuire alla definizione di norme chiare e precise per la definizione dei limiti e delle garanzie adeguate per quanto riguarda l’accesso ai dati di un telefono cellulare.
( 29 ) Norme che, come sottolineano, ad esempio, i governi danese e irlandese, esulano dall’ambito di applicazione del diritto dell’Unione, ma che possono servire a soddisfare un requisito derivante da tale diritto.
( 30 ) Corte EDU, 16 ottobre 2007, Wieser e Bicos Beteiligungen c. Austria (CE:ECHR:2007:1016JUD007433601), § 54: «the Austrian Code of Criminal Procedure does not contain specific provisions for the search and seizure of electronic data. However, it contains detailed provisions for the seizure of objects and, in addition, specific rules for the seizure of documents. It is established in the domestic courts’ case-law that these provisions also apply to the search and seizure of electronic data».
( 31 ) V. le dichiarazioni del giudice del rinvio trascritte al paragrafo 44 delle presenti conclusioni.
( 32 ) Sentenza Prokuratuur, punto 17.
( 33 ) Sentenza Prokuratuur, punto 52.
( 34 ) Si riferisce nuovamente all’articolo 18 della StPO in combinato disposto con l’articolo 99 della stessa.
( 35 ) Punto 37 delle sue osservazioni scritte.
( 36 ) V., in tal senso, sentenza Tele2 Sverige e Watson, punto 121. La sua dottrina relativa alla direttiva 2002/58 è trasponibile alla direttiva 2016/680 nel contesto della garanzia della tutela giurisdizionale dei diritti dei titolari di dati oggetto del trattamento.
Nessun commento:
Posta un commento