Nella causa n. C‐178/22, originata da un rinvio pregiudiziale del Tribunale di Bolzano, la Corte di giustizia ha emesso una significativa decisione riguardante l’accesso dell’Autorità giudiziaria ai tabulati telefonici dei fornitori di servizi di comunicazione elettronica.
Secondo la legislazione italiana, questo tipo di accesso è limitato a reati specifici – tra cui rientra il furto aggravato – a condizione che vi sia l’autorizzazione di un giudice. La Corte ha ribadito che l’accesso autorizzato deve riguardare esclusivamente individui che sono sospettati di aver commesso reati gravi, con la precisazione che la definizione di ciò che costituisce un “reato grave” deve essere in ogni caso individuata dai singoli Stati membri.
Tuttavia, la Corte ha chiarito che il giudice responsabile dell’autorizzazione deve avere il potere di negare o restringere tale accesso se determina che la lesione dei diritti fondamentali dell’individuo – tutela della vita privata e protezione dei dati personali – sia eccessiva, a fronte di un reato considerato manifestamente non grave “alla luce delle condizioni sociali esistenti nello Stato membro interessato”.
Il procedimento principale
Dopo due denunce per furti di telefoni cellulari, sono stati iscritti due procedimenti penali presso la Procura della Repubblica di Bolzano per furto aggravato ex artt. 624 e 625 c.p.. Per identificare gli autori dei furti, il pubblico ministero aveva richiesto al Giudice delle indagini preliminari di Bolzano l’autorizzazione per acquisire i tabulati telefonici dai fornitori di servizi di telecomunicazioni. Le richieste includevano una vasta gamma di dati, tra cui utenze, codici IMEI, siti web visitati, orari e durata delle comunicazioni, dati di localizzazione delle celle utilizzate e i dati personali degli intestatari delle utenze.
Il cuore della questione sollevata dal Giudice per le indagini preliminari riguarda la conformità dell’articolo 132, comma 3, del Codice privacy[1] (che disciplina la conservazione dei dati di traffico per l’accertamento e la repressione dei reati) con l’articolo 15, paragrafo 1, della direttiva 2002/58/CE, come interpretato dalla Corte di Giustizia nella sentenza del 2 marzo 2021, Prokuratuur[2].
La normativa italiana, nel dettaglio, permette l’accesso ai tabulati telefonici per perseguire reati puniti con la pena della reclusione di almeno tre anni, un criterio che il giudice del rinvio temeva potesse includere anche reati di minore gravità, come i furti di cellulare, certamente non ritenuti gravi minacce per la sicurezza pubblica.
Secondo la sentenza Prokuratuur, tali accessi ai dati sono giustificabili solo se mirano a combattere reati seri, come gravi minacce alla sicurezza statale, e dovrebbero essere proporzionali alla gravità dell’ingerenza nei diritti fondamentali, in base agli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’Unione Europea[3]. Il giudice di Bolzano aveva quindi espresso dubbi sull’ampia discrezionalità lasciata al legislatore italiano e sul rischio di un’applicazione eccessivamente estensiva di questa norma, in violazione del principio di proporzionalità.
I dubbi sulla questione
Incidentalmente, la Corte si è pronunciata sulla ricevibilità della questione, contestata dai governi italiano e irlandese. In particolare, questi sostenevano che la richiesta del giudice assumesse carattere ipotetico, domandando anche la compatibilità dell’articolo 15, paragrafo 1, della direttiva 2002/58 anche con altri reati di minore gravità diversi da quelli del procedimento principale.
Tuttavia, la giurisprudenza[4] della Corte Europea ha già stabilito che le domande di interpretazione del diritto dell’Unione proposte dai giudici nazionali sono generalmente considerate rilevanti e ricevibili, a meno che non emerga chiaramente che la richiesta non ha alcuna connessione con la realtà del caso o l’oggetto del procedimento principale, o che il problema sia puramente ipotetico. Inoltre, la Corte ha il dovere di rispondere alle questioni sollevate quando queste riguardano l’interpretazione del diritto dell’Unione.
Al contrario, visto che il giudice ha riprodotto integralmente il dettato dell’articolo 132, comma 3, Codice Privacy nella questione pregiudiziale, e dato che questo ricomprende i reati per i quali sono state richieste le autorizzazioni di accesso ai dati nel caso di specie, la Corte ha ritenuto che la questione non abbia un carattere ipotetico e sia pertanto ricevibile.
La questione pregiudiziale
La Corte ha ritenuto di precisare in premessa il proprio potere di intervento nei casi di rinvio pregiudiziale. Ed in particolare, ha ribadito di non poter interpretare la normativa nazionale dei singoli Stati membri né di verificarne la conformità dal diritto dell’Unione. Difatti, nell’ambito della procedura ex art. 267, la Corte può solo interpretare il diritto dell’Unione nei limiti delle competenze di quest’ultima.
Ed anche qualora la questione sia formulata in modo improprio, i giudici di Lussemburgo possono solo individuare gli elementi di diritto dell’Unione che richiedono un’interpretazione sulla base della materia di cui è causa, anche prendendo in esame norme non considerate dal giudice nazionale.
Rispetto alla materia in discussione, un elemento critico nella giurisprudenza recente citata nella sentenza è rappresentato dalla necessità di una conservazione dei dati sia limitata e differenziata in base alla gravità dei reati. L’accesso ai dati, infatti, non dovrebbe essere generalizzato o indifferenziato ma deve essere specificamente giustificato da obiettivi legittimi e gravi, come la lotta a forme severe di criminalità o la prevenzione di serie minacce alla sicurezza pubblica.
Un altro aspetto rilevante, inoltre, riguarda il controllo preventivo di tale accesso. La normativa nazionale, a parere del decidente, dovrebbe prevedere un controllo giudiziario o amministrativo indipendente per garantire che ogni accesso ai dati sia giustificato e limitato ai casi in cui sia strettamente necessario. Questo controllo è fondamentale per assicurare che non si verifichino abusi e che l’accesso ai dati sia effettuato solo quando effettivamente giustificato da circostanze che lo rendono proporzionale e necessario.
La Corte ha anche precisato che la gravità dell’ingerenza non è mitigata dalla breve durata del periodo di raccolta dei dati (nel caso di specie due mesi). Infatti, l’insieme dei dati raccolti è in ogni caso in grado di rivelare dettagli significativi sulla vita privata degli individui coinvolti.
La sentenza, poi, specifica che è irrilevante, ai fini della valutazione della gravità dell’ingerenza nei diritti fondamentali, il fatto che i dati accessibili non appartengano ai proprietari originali dei telefoni ma alle persone che li hanno utilizzati dopo i furti. La direttiva 2002/58, infatti, impone la riservatezza delle comunicazioni elettroniche e dei dati relativi al traffico indipendentemente dall’identità degli utenti; a tali fini, viene definita “utente” qualsiasi persona fisica che utilizzi tali servizi per scopi privati o commerciali, indipendentemente dal fatto che sia abbonata o meno al servizio.
Infine, la questione include la considerazione di quali reati possono essere considerati sufficientemente gravi da giustificare un’ingerenza nei diritti fondamentali garantiti dalla Carta. La definizione di “reati gravi” deve riflettere un equilibrio tra la necessità di combattere la criminalità e la necessità di proteggere i diritti fondamentali degli individui. Gli Stati membri hanno sì una certa discrezionalità nella definizione di questi reati – dovuta anche alle differenze di realtà sociali e tradizioni giuridiche – ma devono esercitarla in modo da rispettare i principi di proporzionalità e necessità, senza estendere eccessivamente la portata dell’accesso ai dati personali.
Anche alla luce della sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a.[5], la Corte critica la scelta del legislatore italiano di individuare una soglia edittale dei “reati gravi” particolarmente bassa quale quella ex art. 132 comma 3 Codice Privacy.
L’individuazione di tali reati nel diritto nazionale consente un accesso molto invasivo alle comunicazioni degli individui; pertanto, non deve essere talmente ampia da rendere l’accesso a tali dati la regola anziché l’eccezione. Di conseguenza, non può ricomprendere la maggior parte dei reati previsti dall’ordinamento, che è quanto avviene con una soglia di pena reclusiva fissata ad un livello eccessivamente basso – come è quella dei tre anni nel caso di specie.
Al tempo stesso, la lettura della normativa nazionale porta la Corte a ritenere che anche una soglia tanto bassa non violi necessariamente il principio di proporzionalità. Infatti, laddove i dati richiesti non consentano di trarre conclusioni precise sulla vita delle persone cui appartengono, l’accesso potrebbe non integrare una grave ingerenza meritevole di tutela.
Tuttavia, al tempo stesso, il giudice nazionale deve poter negare o limitare l’accesso ogni qualvolta ritenga che vi sia effettivamente una grave ingerenza a fronte di un reato manifestamente non grave.
La decisione
Pertanto, alla luce di tale ragionamento, la Corte ha stabilito il seguente principio di diritto: “L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, dev’essere interpretato nel senso che esso non osta a una disposizione nazionale che impone al giudice nazionale – allorché interviene in sede di controllo preventivo a seguito di una richiesta motivata di accesso a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a permettere di trarre precise conclusioni sulla vita privata dell’utente di un mezzo di comunicazione elettronica, conservati dai fornitori di servizi di comunicazione elettronica, presentata da un’autorità nazionale competente nell’ambito di un’indagine penale – di autorizzare tale accesso qualora quest’ultimo sia richiesto ai fini dell’accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni, purché sussistano sufficienti indizi di tali reati e detti dati siano rilevanti per l’accertamento dei fatti, a condizione, tuttavia, che tale giudice abbia la possibilità di negare detto accesso se quest’ultimo è richiesto nell’ambito di un’indagine vertente su un reato manifestamente non grave, alla luce delle condizioni sociali esistenti nello Stato membro interessato.”
Avv. Antonio Laudisa
Avv. Marco Della Bruna
Scarica qui la sentenza della Corte.
Riferimenti
[1] D. Lgs. 196 del 30 giugno 2003.
[3] Articolo 7 – Rispetto della vita privata e della vita familiare
“Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.”
Articolo 8 – Protezione dei dati di carattere personale
“1.Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.”
Articolo 11 – Libertà di espressione e d’informazione
“1. Ogni persona ha diritto alla libertà di espressione. Tale diritto include la libertà di opinione e la libertà di ricevere o di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera.
2. La libertà dei media e il loro pluralismo sono rispettati.”
[4] Sentenza del 21 marzo 2023, Mercedes-Benz Group (Responsabilità dei produttori di veicoli muniti di impianti di manipolazione), C‐100/21, EU:C:2023:229, punto 52 e giurisprudenza citata