Causa C‑207/16

Procedimento promosso dal Ministerio Fiscal

(domanda di pronuncia pregiudiziale proposta dall’Audiencia Provincial de Tarragona)

«Rinvio pregiudiziale – Comunicazioni elettroniche – Trattamento dei dati personali – Direttiva 2002/58/CE – Articoli 1 e 3 – Ambito di applicazione – Riservatezza delle comunicazioni elettroniche – Tutela – Articoli 5 e 15, paragrafo 1 – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8 – Dati raccolti nell’ambito della fornitura di servizi di comunicazione elettronica – Accesso delle autorità nazionali ai dati a fini di indagine – Soglia di gravità del reato che possa giustificare l’accesso ai dati»

Massime – Sentenza della Corte (Grande Sezione) del 2 ottobre 2018

1. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Ambito di applicazione – Domanda di accesso di una pubblica autorità, nell’ambito di un’istruttoria penale, a dati conservati dai fornitori dei servizi di comunicazione elettronica – Inclusione

   [Direttive del Parlamento europeo e del Consiglio 95/46, art. 2, b), e 2002/58, come modificata dalla direttiva 2009/136, considerando 15 e artt. 1, §§ 1 e 3, e 2, commi 1 e 2, b)]

2. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Interpretazione restrittiva – Obiettivi idonei a giustificare l’adozione di una limitazione – Tassatività

   (Direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

3. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Accesso delle pubbliche autorità ai dati diretti a identificare i titolari delle carte SIM attivate con un telefono cellulare rubato – Ingerenza nei diritti al rispetto della vita privata e alla tutela dei dati personali – Non gravità – Giustificazione fondata sull’obiettivo di prevenzione, ricerca, accertamento e perseguimento dei reati

   (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

1.  V. il testo della decisione.

   (v. punti 32, 38‑42)

2.  V. il testo della decisione.

   (v. punto 52)

3.  L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che l’accesso delle autorità pubbliche ai dati che mirano all’identificazione dei titolari di carte SIM attivate con un telefono cellulare rubato, come il cognome, il nome e, se del caso, l’indirizzo di tali titolari, comporta un’ingerenza nei diritti fondamentali di questi ultimi, sanciti dai suddetti articoli della Carta dei diritti fondamentali, che non presenta una gravità tale da dover limitare il suddetto accesso, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave.

   A tal riguardo, la domanda di cui al procedimento principale attraverso la quale la polizia giudiziaria chiede, ai fini di un’indagine penale, l’autorizzazione giudiziaria per l’accesso a dati personali conservati da alcuni fornitori di servizi di comunicazioni elettroniche, ha il solo scopo di identificare i titolari delle carte SIM attivate, per un periodo di dodici giorni, con il codice IMEI del telefono cellulare rubato. Come rilevato al precedente punto 40, tale domanda riguarda l’accesso ai soli numeri di telefono corrispondenti a tali carte SIM e ai dati relativi all’identità civile dei titolari di dette carte, quali il loro cognome e, se del caso, indirizzo. Al contrario, tali dati non riguardano, come confermato sia dal governo spagnolo sia dal pubblico ministero in udienza, le comunicazioni effettuate con il telefono cellulare rubato o l’ubicazione di quest’ultimo. Senza una verifica incrociata dei dati relativi alle comunicazioni effettuate con tali schede SIM e dei dati relativi all’ubicazione, questi dati non permettono di conoscere né la data, né l’ora, né la durata, né i destinatari delle comunicazioni effettuate con la o le carte SIM in questione, né i luoghi in cui dette comunicazioni sono avvenute o la frequenza delle stesse con talune persone nel corso di un determinato periodo. Questi dati non permettono quindi di trarre conclusioni precise sulla vita privata delle persone i cui dati sono oggetto di attenzione. In tali circostanze, l’accesso ai soli dati oggetto della domanda di cui trattasi nel procedimento principale non può essere qualificato come un’ingerenza «grave» nei diritti fondamentali delle persone i cui dati sono oggetto di attenzione.

   Come risulta dai punti da 53 a 57 della presente sentenza, l’ingerenza che un accesso a tali dati comporterebbe può quindi essere giustificata dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di «reati» in generale, di cui all’articolo 15, paragrafo 1, primo periodo, della direttiva 2002/58, senza che sia necessario che tali reati siano qualificati come «gravi».

   (v. punti 59‑63 e dispositivo)