Causa C-470/21

La Quadrature du Net
e
Fédération des fournisseurs d’accès à Internet associatifs
e
Franciliens.net et French Data Network

contro

Premier ministre
e
Ministère de la Culture

[domanda di pronuncia pregiudiziale proposta dal Conseil d’État (Consiglio di Stato, Francia)]

Sentenza della Corte (seduta plenaria) del 30 aprile 2024

«Rinvio pregiudiziale – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58/CE – Riservatezza nelle comunicazioni elettroniche – Tutela – Articolo 5 e articolo 15, paragrafo 1 – Carta dei diritti fondamentali dell'Unione europea – Articoli 7, 8 e 11 e articolo 52, paragrafo 1 – Normativa nazionale diretta a combattere, mediante l’azione di un’autorità pubblica, le contraffazioni commesse in Internet – Procedura della cosiddetta «risposta graduata» – Raccolta a monte, da parte di organismi degli aventi diritto, degli indirizzi IP utilizzati per attività lesive dei diritti d’autore e o dei diritti connessi – Accesso a valle, da parte dell’autorità pubblica incaricata della tutela dei diritti d’autore e dei diritti connessi, a dati relativi all’identità civile corrispondenti a detti indirizzi IP conservati dai fornitori di servizi della di comunicazioni elettroniche – Trattamento automatizzato – Necessità di un previo controllo da parte di un giudice o di un organismo amministrativo indipendente – Condizioni sostanziali e procedurali – Garanzie contro i rischi di abuso nonché contro ogni accesso a tali dati e ogni uso illeciti degli stessi»

1. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di trattamento di dati personali – Raccolta, ad opera degli organismi degli aventi diritto, degli indirizzi IP di utenti di una rete tra pari (peer to peer) per il loro utilizzo in procedimenti amministrativi o giudiziari – Inclusione

   [Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 4, punto 2, e 6, § 1, comma 1, f)]

   (v. punti 54, 60-62)

2. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Ambito di applicazione – Messa in relazione, ad opera dei fornitori di servizi di comunicazione elettronica, degli indirizzi IP raccolti con i titolari di detti indirizzi, per l'utilizzo di tali dati in procedimenti amministrativi o giurisdizionali – Inclusione

   (Direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 3)

   (v. punti 55, 63)

3. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Normativa nazionale che prevede la conservazione generalizzata e indifferenziata dei dati relativi all'identità civile corrispondenti a indirizzi IP – Obiettivo della lotta ai reati in generale – Ammissibilità – Presupposti – Obbligo per uno Stato membro di prevedere requisiti rigorosi relativi alle modalità di conservazione di detti dati

   (Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

   (v. punti 65-70, 73-93)

4. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Normativa nazionale che consente a un'autorità pubblica di accedere ai dati relativi all'identità civile corrispondenti a indirizzi IP – Normativa diretta a combattere le lesioni dei diritti d'autore e dei diritti connessi commesse su Internet – Ammissibilità – Presupposti

   (Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

   (v. punti 95-104, 110-114, 116-119, 122, 164 e dispositivo)

5. Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Normativa nazionale che consente a un'autorità pubblica di accedere ai dati relativi all'identità civile corrispondenti a indirizzi IP – Normativa diretta a combattere le lesioni dei diritti d'autore e dei diritti connessi commesse su Internet – Esigenza di un controllo previo all’accesso a tali dati effettuato da un giudice o da un organismo amministrativo indipendente – Portata – Modalità di detto controllo previo

   (Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 11 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, art. 15, § 1)

   (v. punti 124-143, 145, 146, 148-151, 164 e dispositivo)

6. Ravvicinamento delle legislazioni – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Directive 2016/680 – Ambito di applicazione – Nozione di autorità pubblica – Autorità nazionale priva di poteri decisionali incaricata di avvertire le persone sospettate di aver commesso reati – Inclusione – Applicabilità delle garanzie sostanziali e procedurali

   (Direttiva del Parlamento europeo e del Consiglio 2016/680, art. 3)

   (v. punti 157-163)

Sintesi

Negli ultimi anni la Corte è stata chiamata, a più riprese, a pronunciarsi sulla conservazione dei dati personali e l'accesso ad essi nel settore delle comunicazioni elettroniche e ha elaborato, di conseguenza, una ricca giurisprudenza in materia ( 1 ). Adita in via pregiudiziale dal Conseil d'État (Consiglio di Stato, Francia), la Corte in seduta plenaria sviluppa tale giurisprudenza fornendo precisazioni riguardanti, da un lato, le condizioni nelle quali si può considerare che una conservazione generalizzata di indirizzi IP da parte di fornitori di servizi di comunicazione elettronica non comporta un'ingerenza grave nei diritti al rispetto della vita privata, alla protezione dei dati personali nonché alla libertà di espressione garantiti dalla Carta ( 2 ), e, dall'altro, la possibilità, per un'autorità pubblica, di accedere a taluni dati personali conservati nel rispetto di tali condizioni, nell'ambito della lotta contro i reati concernenti violazioni dei diritti di proprietà intellettuale commessi online.

Nel caso di specie, quattro associazioni hanno presentato al Premier ministre (Primo ministro, Francia) una domanda di abrogazione del decreto relativo al trattamento automatizzato di dati personali ( 3 ). Poiché tale domanda non ha sortito effetti, tali associazioni hanno adito il Conseil d'État (Consiglio di Stato) con un ricorso diretto all'annullamento di tale decisione implicita di rigetto. A loro avviso, tale decreto nonché le disposizioni che ne costituiscono il fondamento normativo ( 4 ) violano il diritto dell'Unione.

In base alla legislazione francese, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) (Alta Autorità per la diffusione delle opere e la protezione dei diritti su Internet, Hadopi), per poter identificare i responsabili di lesioni dei diritti d'autore o dei diritti connessi commesse online, è autorizzata ad accedere a taluni dati che i fornitori di servizi di comunicazione elettronica sono tenuti a conservare. Tali dati riguardano l'identità civile di un interessato corrispondenti al suo indirizzo IP precedentemente raccolto da organismi degli aventi diritto. Una volta identificato il titolare dell'indirizzo IP utilizzato per attività che comportano una siffatta lesione, l'Hadopi segue la procedura della cosiddetta «risposta graduale». In concreto, essa è autorizzata ad inviare a tale persona due raccomandazioni assimilabili ad avvertimenti e, se le attività persistono, una lettera che le notifica che le sue attività sono perseguibili penalmente. Infine, essa ha il diritto di adire il pubblico ministero ai fini dell'azione penale nei confronti di detta persona ( 5 ).

In tale contesto, il Conseil d'État (Consiglio di Stato) ha interrogato la Corte sull'interpretazione della direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta ( 6 ).

Giudizio della Corte

In primo luogo, per quanto riguarda la conservazione dei dati relativi all'identità civile e dei corrispondenti indirizzi IP, la Corte sottolinea che non tutte le conservazioni generalizzate e indifferenziate degli indirizzi IP costituiscono necessariamente un'ingerenza grave nei diritti al rispetto della vita privata, alla protezione dei dati personali nonché alla libertà di espressione garantiti dalla Carta.

L'obbligo di garantire una siffatta conservazione può essere giustificato dall'obiettivo della lotta contro i reati in generale, qualora sia effettivamente escluso che tale conservazione possa generare ingerenze gravi nella vita privata dell’interessato per effetto della possibilità di trarre conclusioni precise su di essa, in particolare mettendo in relazione tali indirizzi IP con un insieme di dati relativi al traffico o all'ubicazione.

Pertanto, uno Stato membro che intenda imporre ai fornitori di servizi di comunicazione elettronica un siffatto obbligo deve assicurarsi che le modalità di conservazione di tali dati escludano che possano essere tratte conclusioni precise sulla vita privata degli interessati.

La Corte precisa che le modalità di conservazione devono, a tal fine, riguardare la struttura stessa della conservazione che, in sostanza, deve essere organizzata in modo da garantire una separazione effettivamente stagna delle diverse categorie di dati conservati. Pertanto, le norme nazionali relative a tali modalità devono garantire che ciascuna categoria di dati, compresi i dati relativi all'identità civile e gli indirizzi IP, sia conservata in modo completamente separato dalle altre categorie di dati conservati e che tale separazione sia effettivamente stagna, mediante un dispositivo informatico sicuro e affidabile. Inoltre, tali norme, allorché prevedono la possibilità di mettere in relazione gli indirizzi IP conservati con l'identità civile dell’interessato a fini di lotta contro i reati, devono consentire una siffatta messa in relazione solo mediante l'uso di un procedimento tecnico efficiente che non metta in discussione l'efficacia della separazione stagna di tali categorie di dati. L'affidabilità di tale separazione deve essere oggetto di un controllo regolare da parte di un'autorità pubblica terza. Sempre che la normativa nazionale applicabile preveda siffatti rigorosi requisiti, non può essere qualificata come «grave» l'ingerenza risultante da tale conservazione degli indirizzi IP.

Pertanto, la Corte conclude che, in presenza di un dispositivo legislativo che garantisca che nessuna combinazione di dati consentirà di trarre conclusioni precise sulla vita privata delle persone i cui dati sono conservati, la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, non osta a che uno Stato membro imponga un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP, per una durata che non ecceda lo stretto necessario, ai fini di un obiettivo di lotta contro i reati in generale.

In secondo luogo, per quanto riguarda l'accesso a dati relativi all'identità civile corrispondenti a indirizzi IP, la Corte dichiara che la direttiva «vita privata e comunicazioni elettroniche», letta alla luce della Carta, non osta, in linea di principio, a una normativa nazionale che consente l'accesso, da parte di un'autorità pubblica, a tali dati conservati dai fornitori di servizi di comunicazione elettronica in maniera separata ed effettivamente stagna, al solo scopo di permettere a tale autorità di identificare i titolari di tali indirizzi sospettati di essere responsabili di lesioni dei diritti d'autore e dei diritti connessi su Internet e di adottare misure nei loro confronti. In un caso del genere, la normativa nazionale deve vietare agli agenti che dispongono di siffatto accesso, anzitutto, di divulgare sotto qualsiasi forma informazioni sul contenuto dei file consultati da tali titolari, salvo al solo scopo di adire il pubblico ministero, inoltre, di effettuare qualsiasi tracciamento del percorso di navigazione di tali titolari e, infine, di utilizzare tali indirizzi IP a fini diversi dall'adozione delle suddette misure.

In tale contesto, la Corte ricorda in particolare che, pur se la libertà di espressione e la riservatezza dei dati personali sono preoccupazioni primarie, tali diritti fondamentali non sono tuttavia assoluti. Nell'ambito di un bilanciamento dei diritti e degli interessi in gioco, infatti, questi ultimi devono talvolta lasciare il passo dinanzi ad altri diritti fondamentali e ad imperativi di interesse generale quali la difesa dell'ordine pubblico e la prevenzione dei reati o la protezione dei diritti e delle libertà altrui. Ciò si verifica, in particolare, qualora la preponderanza accordata a dette preoccupazioni primarie sia tale da ostacolare l'efficacia di un'indagine penale, in particolare rendendo impossibile o eccessivamente difficile l'identificazione effettiva dell'autore di un reato e l'irrogazione di una sanzione nei suoi confronti.

In detto stesso contesto, la Corte fa altresì riferimento alla sua giurisprudenza secondo la quale, per quanto riguarda la lotta contro i reati che violano i diritti d'autore o i diritti connessi commessi online, la circostanza che l'accesso agli indirizzi IP possa costituire l'unico mezzo di indagine che consenta l'identificazione dell’interessato tende a dimostrare che la conservazione di tali indirizzi e l'accesso agli stessi sono strettamente necessari alla realizzazione dell'obiettivo perseguito e soddisfano quindi il requisito di proporzionalità. Non consentire un siffatto accesso comporterebbe inoltre un rischio reale di impunità sistemica di reati commessi online o la cui commissione o preparazione è agevolata dalle caratteristiche proprie di Internet. Ebbene, l'esistenza di un siffatto rischio costituisce una circostanza rilevante al fine di valutare, nell'ambito di un bilanciamento dei diversi diritti e interessi in gioco, se un'ingerenza nei diritti al rispetto della vita privata, alla protezione dei dati personali nonché alla libertà di espressione sia una misura proporzionata rispetto all'obiettivo della lotta contro i reati.

In terzo luogo, pronunciandosi sulla questione se l'accesso dell'autorità pubblica a dati relativi all'identità civile corrispondenti a un indirizzo IP debba essere subordinato a un controllo previo da parte di un giudice o di un organismo amministrativo indipendente, la Corte ritiene che la necessità di un controllo siffatto si imponga qualora, nel contesto di una normativa nazionale, tale accesso comporti il rischio di una grave ingerenza nei diritti fondamentali della persona interessata, nel senso che esso potrebbe consentire a tale autorità pubblica di trarre conclusioni precise sulla vita privata di tale persona e, se del caso, di tracciarne il profilo dettagliato. Viceversa, tale necessità di un controllo preventivo non è destinata ad applicarsi quando non può essere qualificata come grave l'ingerenza nei diritti fondamentali.

A tal riguardo, la Corte precisa che, nel caso in cui sia istituito un dispositivo di conservazione che garantisca una separazione effettivamente stagna delle diverse categorie di dati conservati, l'accesso dell'autorità pubblica ai dati relativi all'identità civile corrispondenti agli indirizzi IP non è, in linea di principio, subordinato al requisito di un controllo previo. Un siffatto accesso al solo scopo di identificare il titolare di un indirizzo IP non costituisce, infatti, di regola, una grave ingerenza nei diritti summenzionati.

Tuttavia, la Corte non esclude che, in situazioni atipiche, sussista il rischio che, nell'ambito di un procedimento come il procedimento di risposta graduata di cui trattasi nel procedimento principale, l'autorità pubblica possa trarre conclusioni precise sulla vita privata dell'interessato, in particolare qualora questi compia attività che ledono i diritti d'autore o i diritti connessi, su reti tra pari (peer to peer), in modo ripetuto, se non su larga scala, in relazione ad opere protette di tipo particolare, atte a rivelare informazioni, eventualmente sensibili, sulla vita privata di detta persona.

Nel caso di specie, un titolare di un indirizzo IP può essere particolarmente esposto a un rischio siffatto qualora l'autorità pubblica sia chiamata a decidere se adire o meno il pubblico ministero affinché egli sia perseguito penalmente. Infatti, l'intensità della lesione del diritto al rispetto della vita privata può aumentare man mano che la procedura di risposta graduata, che opera secondo un processo sequenziale, percorra le diverse fasi che la compongono. L'accesso dell'autorità competente al complesso dei dati, relativi alla persona interessata e accumulati nel corso delle varie fasi di tale procedimento, può consentire di trarre conclusioni precise sulla vita privata di quest'ultima. Di conseguenza, la normativa nazionale deve prevedere un controllo previo il quale deve avvenire prima che l'autorità pubblica possa mettere in relazione i dati relativi all’identità civile e siffatto insieme di dati, e prima dell'eventuale invio della lettera di notifica in cui si constata che tale persona ha compiuto fatti perseguibili penalmente. Tale controllo deve peraltro preservare l'efficacia della procedura di risposta graduata consentendo, in particolare, di individuare i casi di possibile nuova reiterazione del comportamento illecito di cui trattasi. A tal fine, detta procedura deve essere organizzata e strutturata in modo tale che i dati relativi all’identità civile di una persona corrispondenti a indirizzi IP precedentemente raccolti su Internet non possano essere automaticamente messi in relazione, ad opera delle persone incaricate dell'esame dei fatti in seno all'autorità pubblica competente, con elementi di cui quest'ultima già dispone e che potrebbero consentire di trarre conclusioni precise sulla vita privata di tale persona.

Inoltre, per quanto riguarda l'oggetto del controllo preventivo, la Corte rileva che, nel caso in cui la persona interessata sia sospettata di aver commesso un reato rientrante negli illeciti penali in generale, il giudice o l'organismo amministrativo indipendente incaricato di tale controllo deve negare l'accesso qualora quest'ultimo consenta all'autorità pubblica di trarre conclusioni precise sulla vita privata di detta persona. Per contro, dovrebbe essere consentito anche un accesso che consenta di trarre siffatte conclusioni precise nel caso in cui l’interessato sia sospettato di aver commesso reati considerati dallo Stato membro interessato lesivi di un interesse fondamentale della società e rientranti quindi nelle forme gravi di criminalità.

La Corte precisa altresì che un controllo preventivo non può in alcun caso essere completamente automatizzato poiché, trattandosi di un'indagine penale, un siffatto controllo richiede il bilanciamento, da un lato, degli interessi legittimi connessi alla lotta contro la criminalità e, dall'altro, del rispetto della vita privata e della protezione dei dati personali. Tale bilanciamento richiede l'intervento di una persona fisica, è ciò è tanto più necessario in quanto l'automaticità e la grande scala del trattamento di dati di cui trattasi comportano rischi per la vita privata.

La Corte conclude, pertanto, che la possibilità, per le persone incaricate dell'esame dei fatti in seno all'autorità pubblica, di mettere in relazione dati relativi all'identità civile di una persona corrispondenti a un indirizzo IP con i file contenenti elementi che consentono di conoscere il titolo di opere protette la cui messa a disposizione su Internet ha giustificato la raccolta degli indirizzi IP da parte di organismi degli aventi diritto deve essere subordinata, in ipotesi di una nuova reiterazione di un'attività lesiva dei diritti d'autore o dei diritti connessi da parte di una stessa persona, ad un controllo da parte di un giudice o di un organismo amministrativo indipendente. Tale controllo non può essere interamente automatizzato e deve avvenire prima di tale messa in relazione, che può consentire, in ipotesi del genere, di trarre precise conclusioni sulla vita privata di detto soggetto, il cui indirizzo IP sia stato utilizzato per attività che possono ledere i diritti d'autore o i diritti connessi.

In quarto e ultimo luogo, la Corte rileva che il sistema di trattamento dei dati utilizzato dall'autorità pubblica deve essere oggetto, a intervalli regolari, di un controllo da parte di un organismo indipendente avente la qualità di terzo rispetto a tale autorità pubblica. Tale controllo mira a verificare l'integrità del sistema, comprese le garanzie effettive contro i rischi di accesso e uso impropri o illeciti di tali dati, nonché la sua efficacia e affidabilità nell'individuare eventuali violazioni.

In tale contesto, la Corte osserva che, nel caso di specie, il trattamento automatizzato dei dati personali effettuato dall'autorità pubblica sulla base delle informazioni relative alle contraffazioni constatate dagli organismi degli aventi diritto può comportare un certo numero di falsi positivi e soprattutto il rischio che un numero di dati potenzialmente molto elevato sia sviato da terzi a fini abusivi o illeciti, il che spiega la necessità di un siffatto controllo.

Inoltre, essa aggiunge che tale trattamento deve rispettare le norme specifiche di protezione dei dati personali previste dalla direttiva 2016/680 ( 7 ). Infatti, nel caso di specie, anche se l'autorità pubblica non dispone di poteri decisionali propri nell'ambito della procedura cosiddetta di risposta graduata, essa deve essere qualificata come «autorità pubblica» coinvolta nella prevenzione e nell'individuazione dei reati, e rientra quindi nel suo ambito di applicazione. Pertanto, le persone coinvolte in un siffatto procedimento devono beneficiare dell’insieme di garanzie sostanziali e procedurali prescritte dalla direttiva 2016/680, riguardo alle quali spetta al giudice del rinvio verificare se esse siano previste dalla normativa nazionale.

( 1 ) V., in particolare, sentenze del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C-203/15 e C-698/15, EU:C:2016:970), del 2 ottobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788), del 6 ottobre 2020, La Quadrature du Net e a. (C-511/18, C-512/18 e C-520/18, EU:C:2020:791), del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C-746/18, EU:C:2021:152), del 17 giugno 2021, M.I.C.M. (C-597/19, EU:C:2021:492), e del 5 aprile 2022, Commissioner of An Garda Síochána e a. (C-140/20, EU:C:2022:258).

( 2 ) Articoli 7, 8 e 11 della Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»).

( 3 ) Décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (Decreto n. 2010-236, del 5 marzo 2010, relativo al trattamento automatizzato di dati personali autorizzato dall'articolo L. 331-29 del codice della proprietà intellettuale denominato «Sistema di gestione delle misure per la protezione delle opere su Internet») (JORF n. 56 del 7 marzo 2010, testo n. 19), come modificato dal décret no 2017-924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (decreto n. 2017-924, del 6 maggio 2017, relativo alla gestione dei diritti d'autore e dei diritti connessi da parte di un organismo di gestione di diritti e recante modifica del codice della proprietà intellettuale) (JORF n. 109 del 10 maggio 2017, testo n. 176).

( 4 ) In particolare, l'articolo L. 331-21, commi dal terzo al quinto, del codice della proprietà intellettuale.

( 5 ) A decorrere dal 1o gennaio 2022, l'Hadopi si è fusa con il Conseil supérieur de l’audiovisuel (CSA) (Consiglio superiore dell'audiovisivo, CSA), un'altra autorità pubblica indipendente, per costituire l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) (autorità di regolamentazione per la comunicazione audiovisiva e digitale, ARCOM). Tuttavia, la procedura di risposta graduale è rimasta sostanzialmente invariata.

( 6 ) Articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva “vita privata e comunicazioni elettroniche”»), letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta.

( 7 ) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).