This document is an excerpt from the EUR-Lex website
Document 62021CJ0548
Sentenza della Corte (Grande Sezione) del 4 ottobre 2024.
C.G. contro Bezirkshauptmannschaft Landeck.
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati – Direttiva 2016/680/UE – Articolo 3, punto 2 – Nozione di “trattamento” – Articolo 4 – Principi relativi al trattamento dei dati personali – Articolo 4, paragrafo 1, lettera c) – Principio della “minimizzazione dei dati” – Articoli 7, 8 e 47 nonché articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Requisito secondo il quale le limitazioni all’esercizio di un diritto fondamentale devono essere “previste dalla legge” – Proporzionalità – Valutazione della proporzionalità alla luce di tutti gli elementi pertinenti – Controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente – Articolo 13 – Informazioni da rendere disponibili o da fornire all’interessato – Limiti – Articolo 54 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento – Indagine di polizia in materia di traffico di stupefacenti – Tentativo di sblocco di un telefono cellulare da parte delle autorità di polizia per accedere, ai fini dell’indagine, ai dati contenuti in tale telefono.
Causa C-548/21.
Sentenza della Corte (Grande Sezione) del 4 ottobre 2024.
C.G. contro Bezirkshauptmannschaft Landeck.
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati – Direttiva 2016/680/UE – Articolo 3, punto 2 – Nozione di “trattamento” – Articolo 4 – Principi relativi al trattamento dei dati personali – Articolo 4, paragrafo 1, lettera c) – Principio della “minimizzazione dei dati” – Articoli 7, 8 e 47 nonché articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Requisito secondo il quale le limitazioni all’esercizio di un diritto fondamentale devono essere “previste dalla legge” – Proporzionalità – Valutazione della proporzionalità alla luce di tutti gli elementi pertinenti – Controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente – Articolo 13 – Informazioni da rendere disponibili o da fornire all’interessato – Limiti – Articolo 54 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento – Indagine di polizia in materia di traffico di stupefacenti – Tentativo di sblocco di un telefono cellulare da parte delle autorità di polizia per accedere, ai fini dell’indagine, ai dati contenuti in tale telefono.
Causa C-548/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:830
Causa C‑548/21
CG
contro
Bezirkshauptmannschaft Landeck
(domanda di pronuncia pregiudiziale proposta dal Landesverwaltungsgericht Tirol)
Sentenza della Corte (Grande Sezione) del 4 ottobre 2024
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati – Direttiva 2016/680/UE – Articolo 3, punto 2 – Nozione di “trattamento” – Articolo 4 – Principi relativi al trattamento dei dati personali – Articolo 4, paragrafo 1, lettera c) – Principio della “minimizzazione dei dati” – Articoli 7, 8 e 47 nonché articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Requisito secondo il quale le limitazioni all’esercizio di un diritto fondamentale devono essere “previste dalla legge” – Proporzionalità – Valutazione della proporzionalità alla luce di tutti gli elementi pertinenti – Controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente – Articolo 13 – Informazioni da rendere disponibili o da fornire all’interessato – Limiti – Articolo 54 – Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento – Indagine di polizia in materia di traffico di stupefacenti – Tentativo di sblocco di un telefono cellulare da parte delle autorità di polizia per accedere, ai fini dell’indagine, ai dati contenuti in tale telefono»
-
Ravvicinamento delle legislazioni – Settore delle telecomunicazioni – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58 – Ambito di applicazione – Tentativo delle autorità di polizia di accedere ai dati personali contenuti in un telefono cellulare ai fini di un’indagine penale – Assenza di intervento dei fornitori di servizi di comunicazione elettronica – Esclusione
(Direttiva del Parlamento europeo e del Consiglio 2002/58, come modificata dalla direttiva 2009/136, artt. 1, §§ 1 e 3, e 3)
(v. punti 57‑59)
-
Ravvicinamento delle legislazioni – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Direttiva 2016/680 – Ambito di applicazione – Tentativo delle autorità di polizia di accedere ai dati personali contenuti in un telefono cellulare ai fini di un’indagine penale – Inclusione
(Direttiva del Parlamento europeo e del Consiglio 2016/680, art. 2, §§ 1 e 3, punto 2)
(v. punti 71‑77)
-
Ravvicinamento delle legislazioni – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Direttiva 2016/680 – Principi relativi al trattamento dei dati personali – Principi di minimizzazione dei dati e di proporzionalità – Indagine di polizia in materia di traffico di stupefacenti – Normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale – Ammissibilità – Presupposti
[Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/680, art. 4, § 1, c)]
(v. punti 84‑86, 89‑93, 95‑106, 109, 110, dispositivo 1)
-
Ravvicinamento delle legislazioni – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Direttiva 2016/680 – Informazione dell’interessato – Diritto ad un ricorso giurisdizionale effettivo – Indagine di polizia in materia di traffico di stupefacenti – Normativa nazionale che autorizza le autorità competenti a tentare di accedere ai dati contenuti in un telefono cellulare senza informare l’interessato dei motivi di tale autorizzazione – Inammissibilità – Obbligo delle autorità competenti di informare l’interessato di tali motivi – Portata
(Carta dei diritti fondamentali dell’Unione europea, artt. 47 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/680, artt. 13 e 54)
(v. punti 115‑123, dispositivo 2)
Sintesi
Adita in via pregiudiziale dal Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria), la Grande Sezione della Corte precisa, da un lato, le condizioni alle quali le autorità nazionali competenti possono accedere ai dati contenuti in un telefono cellulare a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale, alla luce della direttiva 2016/680 ( 1 ). Dall’altro, essa riconosce il diritto dell’interessato a essere informato dei motivi sui quali si fonda l’autorizzazione di accesso a tali dati, e ciò a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a tali autorità.
Il 23 febbraio 2021, durante un controllo in materia di stupefacenti, un pacco indirizzato a CG, contenente 85 grammi di cannabis, è stato sequestrato dagli agenti doganali austriaci. Tale pacco è stato trasmesso, per esame, alle autorità di polizia austriache. Il 6 marzo 2021, nell’ambito di un’indagine di polizia in materia di traffico di stupefacenti, due agenti di polizia hanno effettuato una perquisizione presso il domicilio di CG e l’hanno interrogato in merito al mittente del pacco. A seguito del rifiuto di CG di rendere accessibili agli agenti di polizia i dati di connessione del suo telefono cellulare, questi ultimi hanno proceduto al sequestro del telefono.
Successivamente, il telefono cellulare di CG è stato oggetto di vari tentativi di sblocco effettuati da diversi agenti di polizia. Nel caso di specie, sia il sequestro del telefono che i successivi tentativi di analizzarlo sono stati effettuati dagli agenti di polizia senza autorizzazione del pubblico ministero o di un giudice.
Il 31 marzo 2021 CG ha proposto un ricorso dinanzi al giudice del rinvio al fine di contestare la legittimità del sequestro del suo telefono cellulare, che gli è stato restituito il 20 aprile 2021. CG non è stato immediatamente informato dei tentativi di analizzare il suo telefono e ne ha preso conoscenza nell’ambito del procedimento pendente dinanzi al giudice del rinvio.
In tale contesto, il giudice del rinvio chiede se, alla luce della direttiva relativa alla vita privata e alle comunicazioni elettroniche ( 2 ), un accesso completo e non controllato a tutti i dati contenuti in un telefono cellulare costituisca un’ingerenza talmente grave nei diritti fondamentali ( 3 ) tale da rendere necessaria una limitazione di detto accesso alla lotta contro i reati gravi. Esso si chiede altresì se, da un lato, tale direttiva ( 4 ) osti a una normativa nazionale in forza della quale la polizia giudiziaria può, nel corso di un procedimento di indagine penale, procurarsi un accesso completo e non controllato a tutti i dati contenuti in un telefono cellulare, senza l’autorizzazione di un giudice o di un organo amministrativo indipendente, e, dall’altro, se questa stessa normativa nazionale sia compatibile con il diritto a un ricorso giurisdizionale effettivo, nella misura in cui essa non obbliga le autorità di polizia ad informare il proprietario di un telefono cellulare in ordine alle misure di analisi digitale di tale telefono.
Giudizio della Corte
In via preliminare, la Corte rileva che un tentativo di accesso ai dati personali contenuti in un telefono cellulare direttamente da parte delle autorità di polizia senza alcun intervento di un fornitore di servizi di comunicazione elettronica, come quello riguardante CG, non rientra nell’ambito di applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.
In primo luogo, la Corte constata che un tentativo di accesso di questo tipo rientra nell’ambito di applicazione della direttiva 2016/680. A tale proposito, essa precisa che, alla luce dell’ampia portata che il legislatore dell’Unione europea ha inteso attribuire alla nozione di «trattamento» ( 5 ), quando le autorità di polizia sequestrano un telefono e lo manipolano a fini di estrazione e di consultazione dei dati personali contenuti in tale telefono, esse avviano un «trattamento», anche qualora tali autorità non riescano, per ragioni tecniche, ad accedere a tali dati. Infatti, l’effettività del principio di limitazione delle finalità ( 6 ) esige necessariamente che la finalità della raccolta sia determinata sin dalla fase in cui le autorità competenti tentano di accedere ai dati personali, poiché questo tentativo, qualora si riveli proficuo, è tale da consentire a tali autorità, in particolare, di raccogliere, estrarre o consultare immediatamente i dati in questione. Se tale tentativo non potesse essere qualificato come «trattamento» dei dati, l’elevato livello di protezione dei dati personali delle persone fisiche verrebbe messo in discussione. Allo stesso modo, se l’applicabilità della direttiva 2016/680 dipendesse dal successo del tentativo di accesso ai dati personali contenuti in un telefono cellulare, ciò creerebbe tanto per le autorità nazionali competenti quanto per i singoli un’incertezza incompatibile con il principio di certezza del diritto.
In secondo luogo, la Corte analizza se il principio di «minimizzazione dei dati» ( 7 ), in quanto espressione del principio di proporzionalità, osti a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale, senza sottoporre l’esercizio di tale possibilità a un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente. La Corte ricorda quindi che le limitazioni dei diritti fondamentali in materia di vita privata e familiare e di protezione dei dati personali ( 8 ) devono rispettare il principio di proporzionalità e possono essere apportate solo laddove siano necessarie e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione. In tal senso, da un lato, la Corte constata che un trattamento di dati personali nell’ambito di un’indagine di polizia diretta alla repressione di un reato, come un tentativo di accesso ai dati contenuti in un telefono cellulare, dev’essere considerato, in linea di principio, effettivamente rispondente a un obiettivo di interesse generale riconosciuto dall’Unione. Dall’altro lato, essa rileva che la proporzionalità delle limitazioni all’esercizio dei diritti fondamentali in materia di rispetto della vita privata e di protezione dei dati personali, derivante da tale trattamento, implica una ponderazione di tutti gli elementi rilevanti del caso di specie.
Così, sotto un primo profilo, per quanto riguarda la gravità di una limitazione di tali diritti fondamentali risultante da una normativa che consente alle autorità di polizia competenti di accedere, senza previa autorizzazione, ai dati contenuti in un telefono cellulare, la Corte precisa che tale accesso può riguardare, a seconda del contenuto del telefono cellulare di cui trattasi e delle scelte operate da tali autorità, una serie molto ampia di dati, e potrebbe quindi consentire di trarre conclusioni molto precise riguardo alla vita privata dell’interessato. Pertanto, una tale ingerenza nei diritti fondamentali in materia di rispetto della vita privata e di protezione dei dati personali dev’essere considerata grave, se non addirittura particolarmente grave.
Sotto un secondo profilo, la Corte indica che la gravità del reato oggetto dell’indagine è un elemento centrale nell’esame della proporzionalità dell’ingerenza grave costituita dall’accesso ai dati personali contenuti in un telefono cellulare. Tuttavia, ritenere che solo la lotta ai reati gravi possa giustificare l’accesso a tali dati limiterebbe i poteri di indagine delle autorità competenti riguardo ai reati in generale, disconoscerebbe la natura specifica dei compiti svolti da tali autorità e nuocerebbe all’obiettivo della realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione. Ciò premesso, al fine di soddisfare il requisito secondo cui eventuali limitazioni all’esercizio di un diritto fondamentale devono essere «previste dalla legge» ( 9 ), spetta al legislatore nazionale definire in modo sufficientemente preciso gli elementi, in particolare la natura o le categorie dei reati pertinenti, che devono essere presi in considerazione.
Sotto un terzo profilo, la Corte osserva che, al fine di garantire il rispetto del principio di proporzionalità, qualora l’accesso delle autorità nazionali competenti ai dati personali comporti il rischio di un’ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali dell’interessato, tale accesso dev’essere subordinato a un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente. Tale controllo deve intervenire prima di qualsiasi tentativo di accesso ai dati in questione, salvo in casi di urgenza debitamente comprovati, nel qual caso tale controllo deve avvenire in tempi brevi. Nell’ambito di tale controllo, il giudice o l’organo amministrativo indipendente dev’essere legittimato a respingere o a limitare una domanda di accesso rientrante nell’ambito di applicazione della direttiva 2016/680 qualora constati che l’ingerenza nei diritti fondamentali costituita da tale accesso sarebbe sproporzionata. Nel caso di specie, un rifiuto o una limitazione dell’accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia competenti, devono essere disposti se, tenendo conto della gravità del reato e delle esigenze dell’indagine, un accesso al contenuto delle comunicazioni o a dati sensibili non appare giustificato.
Alla luce di quanto precede, la Corte conclude che il principio di minimizzazione dei dati, letto alla luce dei diritti alla protezione dei dati personali e al rispetto della vita privata, non osta a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale. Tale ammissibilità è tuttavia subordinata al rispetto dei principi di legalità e di proporzionalità nonché all’esistenza di un controllo preventivo dell’esercizio del diritto di accesso a tali dati effettuato da un giudice o da un organo amministrativo indipendente.
In terzo luogo, la Corte si pronuncia sulla questione se CG avrebbe dovuto essere informato dei tentativi di accesso ai dati contenuti nel suo telefono cellulare ( 10 ). Essa constata in proposito che le autorità nazionali competenti che sono state autorizzate da un giudice o da un organo amministrativo indipendente ad accedere a dati conservati devono informare gli interessati dei motivi sui quali tale autorizzazione si fonda, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere le indagini condotte da tali autorità. Queste stesse autorità devono mettere a disposizione degli interessati tutte le informazioni previste dalla direttiva 2016/680 ( 11 ) affinché questi ultimi possano esercitare, in particolare, il loro diritto a un ricorso effettivo ( 12 ). Pertanto, una normativa nazionale che escluda, in generale, qualsiasi diritto a ottenere tali informazioni non sarebbe conforme al diritto dell’Unione. Nel caso di specie, la Corte constata che CG avrebbe dovuto essere previamente informato dei tentativi di accesso ai dati contenuti nel suo telefono cellulare. Infatti, poiché il telefono cellulare di CG era già stato sequestrato al momento dei tentativi di sblocco da parte delle autorità di polizia, non sembra che informarlo di tali tentativi di accesso potesse nuocere all’indagine. Pertanto, la Corte conclude che le disposizioni della direttiva 2016/680, lette alla luce della Carta ( 13 ), ostano a una normativa nazionale che autorizza le autorità competenti ad accedere a dati contenuti in un telefono cellulare senza informare l’interessato dei motivi su cui si fonda l’autorizzazione da parte di un giudice o di un organo amministrativo indipendente ad accedere a tali dati, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a tali autorità.
( 1 ) Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
( 2 ) E più i particolare dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva relativa alla vita privata e alle comunicazioni elettroniche»).
( 3 ) Previsti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
( 4 ) E più precisamente l’articolo 15, paragrafo 1, della direttiva relativa alla vita privata e alle comunicazioni elettroniche.
( 5 ) Ai sensi dell’articolo 3, punto 2, della direttiva 2016/680, la nozione di «trattamento» è definita come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali (...)».
( 6 ) Articolo 4, paragrafo 1, lettera b), della direttiva 2016/680.
( 7 ) Come previsto dall’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in forza del quale gli Stati membri devono prevedere che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati.
( 8 ) Articoli 7 e 8 della Carta.
( 9 ) Articolo 52, paragrafo 1, della Carta.
( 10 ) Articolo 47 della Carta.
( 11 ) Di cui all’articolo 13, paragrafo 1, della direttiva 2016/680.
( 12 ) Articolo 54 della direttiva 2016/680.
( 13 ) Più in particolare, gli articoli 13 e 54 della direttiva 2016/680, letti alla luce degli articoli 47 e 52, paragrafo 1, della Carta.