This document is an excerpt from the EUR-Lex website
Document 62018CJ0511
Sentenza della Corte (Grande Sezione) del 6 ottobre 2020.
La Quadrature du Net e a. contro Premier ministre e a.
Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Fornitori di servizi di comunicazione elettronica – Fornitori di servizi di hosting e fornitori di accesso a Internet – Conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Analisi automatizzata dei dati – Accesso in tempo reale ai dati – Salvaguardia della sicurezza nazionale e lotta al terrorismo – Lotta alla criminalità – Direttiva 2002/58/CE – Ambito di applicazione – Articolo 1, paragrafo3, e articolo 3 – Riservatezza delle comunicazioni elettroniche – Tutela – Articolo 5 e articolo 15, paragrafo 1 – Direttiva 2000/31/CE – Ambito di applicazione – Carta dei diritti fondamentali dell’Unione europea – Articoli 4, da 6 a 8 e 11 e articolo 52, paragrafo 1 – Articolo 4, paragrafo 2, TUE.
Cause riunite C-511/18, C-512/18 e C-520/18.
Sentenza della Corte (Grande Sezione) del 6 ottobre 2020.
La Quadrature du Net e a. contro Premier ministre e a.
Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Fornitori di servizi di comunicazione elettronica – Fornitori di servizi di hosting e fornitori di accesso a Internet – Conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione – Analisi automatizzata dei dati – Accesso in tempo reale ai dati – Salvaguardia della sicurezza nazionale e lotta al terrorismo – Lotta alla criminalità – Direttiva 2002/58/CE – Ambito di applicazione – Articolo 1, paragrafo3, e articolo 3 – Riservatezza delle comunicazioni elettroniche – Tutela – Articolo 5 e articolo 15, paragrafo 1 – Direttiva 2000/31/CE – Ambito di applicazione – Carta dei diritti fondamentali dell’Unione europea – Articoli 4, da 6 a 8 e 11 e articolo 52, paragrafo 1 – Articolo 4, paragrafo 2, TUE.
Cause riunite C-511/18, C-512/18 e C-520/18.
Court reports – general
ECLI identifier: ECLI:EU:C:2020:791
Cause riunite C‑511/18, C‑512/18 e C‑520/18
La Quadrature du Net e a.
contro
Premier ministre e a.
[domande di pronuncia pregiudiziale proposte dal Conseil d’État (Francia) e dalla Cour constitutionnelle (Belgio)]
Sentenza della Corte (Grande Sezione) del 6 ottobre 2020
«Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Fornitori di servizi di comunicazione elettronica – Fornitori di servizi di hosting e fornitori di accesso a Internet – Conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati di ubicazione – Analisi automatizzata dei dati – Accesso in tempo reale ai dati – Salvaguardia della sicurezza nazionale e lotta al terrorismo – Lotta alla criminalità – Direttiva 2002/58/CE – Ambito di applicazione – Articolo 1, paragrafo 3, e articolo 3 – Riservatezza delle comunicazioni elettroniche – Tutela – Articolo 5 e articolo 15, paragrafo 1 – Direttiva 2000/31/CE – Ambito di applicazione – Carta dei diritti fondamentali dell’Unione europea – Articoli 4, da 6 a 8 e 11 e articolo 52, paragrafo 1 – Articolo 4, paragrafo 2, TUE»
-
Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Ambito di applicazione – Normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di conservare dati relativi al traffico e all’ubicazione – Obiettivi di tutela della sicurezza nazionale e di lotta alla criminalità – Inclusione
(art. 4, § 2, TUE; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, artt. 1, § § 1 e 3, 3 e 15, § 1)
(v. punti 92‑96, 98‑101, 103, 104)
-
Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione – Obiettivo di tutela della sicurezza nazionale – Inammissibilità – Misure nazionali che consentono la conservazione generalizzata e indifferenziata di tali dati in caso di minaccia grave e imminente per la sicurezza nazionale – Ammissibilità – Misure nazionali che consentono la conservazione mirata e rapida per un periodo determinato di tali dati sulla base di elementi oggettivi e non discriminatori – Misure nazionali che prevedono la conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario – Misure nazionali che prevedono la conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica senza limitazione a un periodo determinato – Obiettivo di tutela della sicurezza nazionale – Ammissibilità – Presupposti
(Art. 4, § 2, TUE; Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 5, § 1, e 15, § 1)
(v. punti 107, 109, 111‑119, 122‑128, 130‑165, 168, dispositivo 1)
-
Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica il ricorso all’analisi automatizzata e alla raccolta in tempo reale dei dati relativi al traffico e all’ubicazione – Ammissibilità – Presupposti
(Art. 4, § 2, TUE; Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 5, § 1, e 15, § 1)
(v. punti 172‑174, 175‑182, 186‑192, dispositivo 2)
-
Ravvicinamento delle legislazioni – Commercio elettronico – Direttiva 2000/31 – Ambito di applicazione – Protezione della riservatezza delle comunicazioni e delle persone fisiche rispetto al trattamento dei dati personali nell’ambito dei servizi della società dell’informazione – Esclusione – Applicabilità, a seconda dei casi, della direttiva 2002/58 o del regolamento 2016/679
[Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 10 e art. 23, §§ 1 e 2; direttive del Parlamento europeo e del Consiglio 2001/31, considerando 14 e 15 e art. 1, §§ 2 e 5, 2, a), e 2002/58, come modificata dalla direttiva 2009/136, art. 5, § 1, e 15, § 1]
(v. punti 197‑202, 204, 205, 207‑212, dispositivo 3)
-
Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Misure nazionali che impongono ai fornitori di servizi di comunicazione elettronica la conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione – Obiettivo di tutela della sicurezza nazionale – Inammissibilità – Annullamento, da parte del giudice nazionale, di misure incompatibili con gli obblighi derivanti da tale direttiva – Possibilità di mantenere gli effetti di tali misure – Presupposti – Inapplicabilità nel caso di specie – Conseguenze da trarne per il giudice nazionale
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 5, § 1, e 15, § 1)
(v. punti 216‑220, 223‑228, dispositivo 4)
Sintesi
La Corte di giustizia conferma che il diritto dell’Unione osta a una normativa nazionale che impone a un fornitore di servizi di comunicazione elettronica, a fini di lotta ai reati in generale o di salvaguardia della sicurezza nazionale, la trasmissione o la conservazione generalizzata e indifferenziata di dati relativi al traffico e all’ubicazione
Per contro, in situazioni in cui uno Stato membro affronta una minaccia grave per la sicurezza nazionale che si rivela reale e attuale o prevedibile, esso può derogare all’obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche imponendo, mediante misure legislative, una conservazione generalizzata e indifferenziata di tali dati per un periodo temporalmente limitato allo stretto necessario, ma rinnovabile in caso di persistenza della minaccia. Per quanto riguarda la lotta alle forme gravi di criminalità e la prevenzione delle minacce gravi alla sicurezza pubblica, uno Stato membro può prevedere anche la conservazione mirata di detti dati nonché la loro conservazione rapida. Una siffatta ingerenza nei diritti fondamentali deve essere accompagnata da garanzie effettive e controllata da un giudice o da un’autorità amministrativa indipendente. Allo stesso modo, uno Stato membro può procedere a una conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una comunicazione qualora la durata della conservazione sia limitata allo stretto necessario o, ancora, procedere a una conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica, in quest’ultimo caso senza limitazione a un periodo determinato
In questi ultimi anni la Corte di giustizia si è pronunciata, in varie sentenze, sulla conservazione e l’accesso ai dati personali nel settore delle comunicazioni elettroniche ( 1 ). La giurisprudenza che ne deriva, in particolare la sentenza Tele2 Sverige e Watson e a., nella quale essa ha in particolare considerato che gli Stati membri non potevano imporre ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione, ha suscitato le preoccupazioni di taluni Stati, che temono di essere stati privati di uno strumento che ritengono necessario per la salvaguardia della sicurezza nazionale e per la lotta alla criminalità.
In tale contesto l’Investigatory Powers Tribunal (Tribunale incaricato dei poteri di indagine, Regno Unito) (Privacy International, C‑623/17), il Conseil d’État (Consiglio di Stato, Francia) (La Quadrature du Net e a., cause riunite C‑511/18 e C‑512/18) nonché la Cour constitutionnelle (Corte costituzionale, Belgio) (Ordre des barreaux francophones et germanophone e a., C‑520/18) sono stati chiamati a pronunciarsi su controversie relative alla legittimità delle normative adottate da taluni Stati membri in tali settori, che prevedono, in particolare, l’obbligo per i fornitori di servizi di comunicazione elettronica di trasmettere a un’autorità pubblica o di conservare in maniera generalizzata o indifferenziata i dati degli utenti relativi al traffico e all’ubicazione.
Con due sentenze pronunciate dalla Grande Sezione il 6 ottobre 2020, la Corte dichiara anzitutto che la direttiva «vita privata e comunicazioni elettroniche» si applica a normative nazionali che impongono ai fornitori di servizi di comunicazione elettronica di procedere, ai fini della salvaguardia della sicurezza nazionale e della lotta alla criminalità, a trattamenti di dati personali, come la loro trasmissione ad autorità pubbliche o la loro conservazione. Inoltre, pur confermando la propria giurisprudenza derivante dalla sentenza Tele2 Sverige e Watson e a., sul carattere sproporzionato di una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione, la Corte fornisce precisazioni, in particolare, sulla portata dei poteri che tale direttiva riconosce agli Stati membri in materia di conservazione di tali dati ai fini summenzionati.
Anzitutto, la Corte provvede a dissipare i dubbi sull’applicabilità della direttiva «vita privata e comunicazioni elettroniche» sollevati nell’ambito delle presenti cause. Infatti, diversi Stati membri che hanno presentato osservazioni scritte alla Corte hanno espresso opinioni divergenti al riguardo. Essi hanno sostenuto, in particolare, che tale direttiva non troverebbe applicazione alle normative nazionali di cui trattasi, in quanto esse hanno come obiettivo la salvaguardia della sicurezza nazionale, che rientrerebbe unicamente nella loro competenza, come testimonierebbe in particolare l’articolo 4, paragrafo 2, terza frase, TUE. La Corte considera tuttavia che normative nazionali che impongono ai fornitori di servizi di comunicazione elettronica di conservare dati relativi al traffico e all’ubicazione, o ancora di trasmettere tali dati alle autorità nazionali preposte alla sicurezza e alle autorità di intelligence a tal fine, rientrano nell’ambito di applicazione della direttiva.
La Corte ricorda poi che la «direttiva vita privata e alle comunicazioni elettroniche» ( 2 ) non consente che la deroga all’obbligo di principio di garantire la riservatezza delle comunicazioni elettroniche e dei dati ad esse relativi e al divieto di memorizzare tali dati divenga la regola. Ciò implica che tale direttiva autorizza gli Stati membri ad adottare, tra l’altro a fini di sicurezza nazionale, misure legislative intese a limitare la portata dei diritti e degli obblighi previsti da tale direttiva, in particolare l’obbligo di garantire la riservatezza delle comunicazioni e dei dati relativi al traffico ( 3 ), soltanto nel rispetto dei principi generali del diritto dell’Unione, tra i quali figura il principio di proporzionalità, e dei diritti fondamentali garantiti dalla Carta ( 4 ).
In tale contesto, la Corte ritiene, da un lato, nella causa Privacy International, che la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, osti a una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica, al fine di salvaguardare la sicurezza nazionale, la trasmissione generalizzata e indifferenziata ai servizi di sicurezza e di intelligence dei dati relativi al traffico e all’ubicazione. Dall’altro lato, nelle cause riunite La Quadrature du Net e a. nonché nella causa Ordre des barreaux francophones et germanophone e a., la Corte ritiene che questa stessa direttiva osti a misure legislative che impongono ai fornitori di servizi di comunicazione elettronica, a titolo preventivo, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione. Infatti, tali obblighi di trasmissione e di conservazione generalizzata e indifferenziata di tali dati costituiscono ingerenze particolarmente gravi nei diritti fondamentali garantiti dalla Carta, senza che il comportamento delle persone i cui dati sono interessati presenti un nesso con l’obiettivo perseguito dalla normativa di cui trattasi. Analogamente, la Corte interpreta l’articolo 23, paragrafo 1, del regolamento generale sulla protezione dei dati ( 5 ), letto alla luce della Carta, nel senso che esso osta a una normativa nazionale che impone ai fornitori di accesso a servizi di comunicazione al pubblico online e ai fornitori di servizi di hosting la conservazione generalizzata e indifferenziata, segnatamente, dei dati personali relativi a tali servizi.
Per contro, la Corte ritiene che, in situazioni in cui lo Stato membro interessato affronta una grave minaccia per la sicurezza nazionale che risulta reale e attuale o prevedibile, la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, non osta al fatto di ingiungere ai fornitori di servizi di comunicazione elettronica di conservare in maniera generalizzata e indifferenziata dati relativi al traffico e all’ubicazione. In tale contesto, la Corte precisa che la decisione che prevede tale ingiunzione, per un periodo temporalmente limitato allo stretto necessario, deve essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, al fine di verificare l’esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie previste. In queste stesse circostanze, detta direttiva non osta neppure all’analisi automatizzata dei dati, in particolare quelli relativi al traffico e all’ubicazione, di tutti gli utenti di mezzi di comunicazione elettronica.
La Corte aggiunge che la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, non osta a misure legislative che consentano il ricorso a una conservazione mirata, temporalmente limitata allo stretto necessario, dei dati relativi al traffico e all’ubicazione, che sia delimitata, sulla base di elementi oggettivi e non discriminatori, in funzione delle categorie di persone interessate o mediante un criterio geografico. Parimenti, tale direttiva non osta a siffatte misure che prevedono una conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una comunicazione, purché la durata della conservazione sia limitata allo stretto necessario, né a quelle che prevedono una siffatta conservazione dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica, e gli Stati membri non sono tenuti, in quest’ultimo caso, a limitare nel tempo la conservazione. Inoltre, detta direttiva non osta a una misura legislativa che consente il ricorso a una conservazione rapida dei dati di cui dispongono i fornitori di servizi qualora si presentino situazioni in cui si verifichi la necessità di conservare detti dati oltre i termini legali di conservazione dei dati al fine di indagare su reati gravi o scongiurare minacce alla sicurezza nazionale, qualora tali reati o minacce siano già stati accertati o la loro esistenza possa essere ragionevolmente sospettata.
Inoltre, la Corte dichiara che la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, non osta a una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica di ricorrere alla raccolta in tempo reale, in particolare, dei dati relativi al traffico e all’ubicazione, qualora tale raccolta sia limitata alle persone nei confronti delle quali esiste un valido motivo per sospettare che esse siano implicate, in un modo o nell’altro, in attività di terrorismo e sia soggetta a un controllo preventivo, effettuato da un giudice o da un organo amministrativo indipendente, la cui decisione abbia effetto vincolante, che si accerti che tale raccolta in tempo reale sia autorizzata soltanto nei limiti di quanto strettamente necessario. In caso di emergenza, il controllo deve avvenire tempestivamente.
Infine, la Corte affronta la questione del mantenimento degli effetti nel tempo di una normativa nazionale giudicata incompatibile con il diritto dell’Unione. A tal riguardo, essa ritiene che un giudice nazionale non possa applicare una disposizione del suo diritto nazionale che lo autorizzi a limitare nel tempo gli effetti di una dichiarazione di illegittimità ad esso incombente, nei confronti di una normativa nazionale che impone ai fornitori di servizi di comunicazione elettronica una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione, giudicata incompatibile con la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta.
Ciò premesso, al fine di fornire una risposta utile al giudice nazionale, la Corte ricorda che l’ammissibilità e la valutazione di elementi di prova ottenuti mediante una conservazione di dati contraria al diritto dell’Unione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate di avere commesso reati gravi, rientra, allo stato attuale del diritto dell’Unione, unicamente nel diritto nazionale. Tuttavia, la Corte precisa che la direttiva «vita privata e comunicazioni elettroniche», interpretata alla luce del principio di effettività, esige che il giudice penale nazionale non tenga conto degli elementi di prova ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e all’ubicazione incompatibile con il diritto dell’Unione, nell’ambito di un siffatto procedimento penale, qualora le persone sospettate di avere commesso reati non siano in grado di prendere efficacemente posizione su tali elementi di prova.
( 1 ) In tal senso, nella sentenza dell’8 aprile 2014Digital Rights Ireland e a (C‑293/12 e C‑594/12, EU:C:2014:238) (v. CP n. 54/14), la Corte ha dichiarato invalida la direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54), con la motivazione che l’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), che conteneva l’obbligo generale di conservazione dei dati relativi al traffico e all’ubicazione previsto da tale direttiva non era limitato allo stretto necessario. Nella sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970) (v. CP no 145/16), la Corte ha poi interpretato l’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva “vita privata e comunicazioni elettroniche”»). Tale articolo autorizza gli Stati membri — per motivi di tutela, tra l’altro, della sicurezza nazionale — ad adottare «misure legislative» al fine di limitare la portata di taluni diritti e obblighi previsti dalla direttiva. Infine, nella sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788) (v. CP n. 141/18), la Corte ha interpretato tale medesimo articolo 15, paragrafo 1, in una causa che riguardava l’accesso delle autorità pubbliche ai dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica.
( 2 ) Articolo 15, paragrafi 1 e 3, della direttiva 2002/58.
( 3 ) Articolo 5, paragrafo 1, della direttiva 2002/58.
( 4 ) In particolare, articoli 7, 8 e 11 nonché articolo 52, paragrafo 1, della Carta.
( 5 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).