Edizione provvisoria

CONCLUSIONI DELL’AVVOCATO GENERALE

MACIEJ SZPUNAR

presentate il 27 ottobre 2022 (1)

Causa C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

contro

Premier ministre,

Ministère de la Culture

[domanda di pronuncia pregiudiziale proposta dal Conseil d’État (Consiglio di Stato, Francia)]

«Rinvio pregiudiziale – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Direttiva 2002/58/CE – Articolo 15, paragrafo 1 – Facoltà per gli Stati membri di limitare la portata di taluni diritti ed obblighi – Obbligo di controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente con poteri vincolanti – Dati relativi all’identità civile corrispondenti ad un indirizzo IP»

I.      Introduzione

1.        La questione della conservazione di taluni dati degli utenti di Internet e dell’accesso a tali dati è di permanente attualità ed è oggetto di una giurisprudenza recente ma già abbondante della Corte.

2.        La presente causa offre alla Corte l’occasione di trattare nuovamente tale questione, nel rinnovato contesto della lotta alle violazioni dei diritti di proprietà intellettuale commesse esclusivamente online.

II.    Contesto normativo

A.      Diritto dell’Unione

3.        I considerando 2, 6, 7, 11, 22, 26 e 30 della direttiva 2002/58/CE (2) enunciano quanto segue:

«(2)      La presente direttiva mira a rispettare i diritti fondamentali e si attiene ai principi riconosciuti in particolare dalla [Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»)]. In particolare, la presente direttiva mira a garantire il pieno rispetto dei diritti di cui agli articoli 7 e 8 di tale Carta.

(...)

(6)      L’Internet ha sconvolto le tradizionali strutture del mercato fornendo un’infrastruttura mondiale comune per la fornitura di un’ampia serie di servizi di comunicazione elettronica. I servizi di comunicazione elettronica accessibili al pubblico attraverso l’Internet aprono nuove possibilità agli utenti ma rappresentano anche nuovi pericoli per i loro dati personali e la loro vita privata.

(7)      Nel settore delle reti pubbliche di comunicazione occorre adottare disposizioni legislative, regolamentari e tecniche specificamente finalizzate a tutelare i diritti e le libertà fondamentali delle persone fisiche e i legittimi interessi delle persone giuridiche, con particolare riferimento all’accresciuta capacità di memorizzazione e trattamento dei dati relativi agli abbonati e agli utenti.

(...)

(11)      La presente direttiva, analogamente alla direttiva [95/46/CE (3)], non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto comunitario. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) e l’applicazione della legge penale. Di conseguenza la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali[, firmata a Roma il 4 novembre 1950], come interpretata dalle sentenze della Corte europea dei diritti dell’uomo. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla precitata Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

(...)

(22)      Il divieto di memorizzare comunicazioni e i relativi dati sul traffico da parte di persone diverse dagli utenti o senza il loro consenso non è inteso a vietare eventuali memorizzazioni automatiche, intermedie e temporanee di tali informazioni fintanto che ciò viene fatto unicamente a scopo di trasmissione nella rete di comunicazione elettronica e a condizione che l’informazione non sia memorizzata per un periodo superiore a quanto necessario per la trasmissione e ai fini della gestione del traffico e che durante il periodo di memorizzazione sia assicurata la riservatezza dell’informazione (...).

(...)

(26)      I dati relativi agli abbonati sottoposti a trattamento nell’ambito di reti di comunicazione elettronica per stabilire i collegamenti e per trasmettere informazioni contengono informazioni sulla vita privata delle persone fisiche e riguardano il diritto al rispetto della loro corrispondenza o i legittimi interessi delle persone giuridiche. Tali dati possono essere memorizzati solo nella misura necessaria per la fornitura del servizio ai fini della fatturazione e del pagamento per l’interconnessione, nonché per un periodo di tempo limitato. Qualsiasi ulteriore trattamento di tali dati (...) può essere autorizzato soltanto se l’abbonato abbia espresso il proprio consenso in base ad informazioni esaurienti ed accurate date dal fornitore dei servizi di comunicazione elettronica accessibili al pubblico circa la natura dei successivi trattamenti che egli intende effettuare e circa il diritto dell’abbonato di non dare o di revocare il proprio consenso a tale trattamento (...).

(...)

(30)      I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari (...)».

4.        L’articolo 2 di tale direttiva, intitolato «Definizioni», così recita:

«(...)

Si applicano inoltre le seguenti definizioni:

a)      “utente”: qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;

b)      “dati relativi al traffico”: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;

c)      “dati relativi all’ubicazione”: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico;

d)      “comunicazione”: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato;

(...)».

5.        L’articolo 3 di detta direttiva, intitolato «Servizi interessati», dispone quanto segue:

«La presente direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nella Comunità, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati».

6.        L’articolo 5 della stessa direttiva, intitolato «Riservatezza delle comunicazioni», prevede quanto segue:

«1.      Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza.

(...)

3.      Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».

7.        L’articolo 6 della direttiva 2002/58, intitolato «Dati sul traffico», così recita:

«1.      I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1.

2.      I dati relativi al traffico che risultano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.

(...)».

8.        L’articolo 15, paragrafo 1, di tale direttiva 2002/58, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]», enuncia quanto segue:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto [dell’Unione], compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE]».

B.      Normativa francese

1.      Codice della proprietà intellettuale

9.        L’articolo L. 331-12 del codice della proprietà intellettuale, nella sua versione applicabile alla controversia di cui al procedimento principale (in prosieguo: il «CPI»), dispone quanto segue:

«La Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Alta Autorità per la diffusione delle opere e la protezione dei diritti su Internet; in prosieguo: la “Hadopi”] è un’autorità pubblica indipendente».

10.      L’articolo L. 331-13 del CPI prevede quanto segue:

«La [Hadopi] espleta:

(...)

2°      Una funzione di protezione [delle opere e degli oggetti ai quali è correlato un diritto d’autore o un diritto connesso sulle reti di comunicazione elettronica] nei confronti delle violazioni di tali diritti commesse sulle reti di comunicazione elettronica utilizzate per la fornitura di servizi di comunicazione al pubblico online; (...)».

11.      L’articolo L. 331-15 di tale codice così recita:

«La [Hadopi] è composta da un collegio e da una commissione per la protezione dei diritti (…)

(…)

Nell’esercizio dei loro poteri, i membri del collegio e della commissione per la protezione dei diritti non ricevono istruzioni da nessuna autorità».

12.      L’articolo L. 331-17 di detto codice dispone quanto segue:

«La commissione per la protezione dei diritti è incaricata di adottare le misure previste all’articolo L. 331-25».

13.      L’articolo L. 331-21 dello stesso codice così recita:

«Per l’esercizio dei suoi poteri da parte della commissione per la protezione dei diritti, la [Hadopi] si avvale di agenti pubblici giurati, autorizzati dal [suo] presidente alle condizioni stabilite per decreto adottato previo parere del Conseil d’État [Consiglio di Stato] (...).

I membri della commissione per la protezione dei diritti e gli agenti menzionati al primo comma ricevono i ricorsi indirizzati alla suddetta commissione alle condizioni previste dall’articolo L. 331‑24 e svolgono l’esame dei fatti.

Essi possono ottenere, ai fini del procedimento, tutti i documenti, qualunque ne sia il supporto, compresi i dati conservati e trattati dagli operatori di comunicazioni elettroniche ai sensi dell’articolo L. 34‑1 del code des postes et des communications électroniques [codice delle poste e delle comunicazioni elettroniche] e dai fornitori di servizi di cui all’articolo 6, I, paragrafi 1 e 2, della loi n. 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [legge n. 2004‑575 del 21 giugno 2004 per la fiducia nell’economia digitale].

Essi possono, inoltre, ottenere copia dei documenti menzionati al comma precedente.

Essi possono, in particolare, ottenere dagli operatori di comunicazioni elettroniche l’identità, l’indirizzo postale, l’indirizzo di posta elettronica e i recapiti telefonici dell’abbonato il cui accesso a servizi di comunicazione al pubblico online è stato utilizzato al fine di riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere o oggetti protetti senza l’autorizzazione dei titolari dei diritti (…), laddove questa sia richiesta».

14.      L’articolo L. 331-24 del CPI dispone quanto segue:

«La commissione per la protezione dei diritti agisce su ricorso di agenti giurati e autorizzati (...) designati:

–        dagli organismi di difesa professionale regolarmente costituiti;

–        dagli organismi di gestione collettiva;

–        dal Centre national du cinéma et de l’image animée (Centro nazionale della cinematografia e dell’immagine animata).

La commissione per la protezione dei diritti può parimenti agire sulla base di informazioni che le vengono trasmesse dal procuratore della Repubblica.

Essa non può essere investita di fatti risalenti a più di sei mesi».

15.      L’articolo L. 331-25 di tale codice, disposizione che disciplina la procedura cosiddetta di «risposta graduata», così recita:

«Qualora essa sia investita di fatti idonei a costituire una violazione dell’obbligo definito all’articolo L. 336-3 [del CPI], la commissione per la protezione dei diritti può inviare all’abbonato (...) una raccomandazione contenente richiamo alle disposizioni di cui all’articolo L. 336-3, con l’intimazione di rispettare l’obbligo da esse definito, e lo avverte in merito alle sanzioni previste ai sensi degli articoli L. 335-7 e L. 335-7-1. Tale raccomandazione contiene parimenti un’informazione dell’abbonato sull’offerta legale di contenuti culturali online, sull’esistenza di strumenti di messa in sicurezza che consentono di prevenire gli inadempimenti all’obbligo definito all’articolo L. 336-3 nonché sui pericoli per il rinnovamento della creazione artistica e per l’economia del settore culturale generati dalle pratiche che non rispettano il diritto d’autore e i diritti connessi.

In caso di reiterazione, entro sei mesi a decorrere dall’invio della raccomandazione di cui al primo comma, di fatti idonei a costituire una violazione dell’obbligo definito all’articolo L. 336-3, la commissione può inviare una nuova raccomandazione contenente le stesse informazioni della precedente per via elettronica (…). Essa deve allegare a tale raccomandazione una lettera consegnata contro firma o qualsiasi altro mezzo atto a provare la data di notifica di tale raccomandazione.

Le raccomandazioni inviate sulla base del presente articolo indicano la data e l’ora in cui i fatti idonei a costituire una violazione dell’obbligo definito all’articolo L. 336-3 sono stati constatati. Per contro, esse non divulgano il contenuto delle opere o degli oggetti protetti interessati da tale violazione. Esse indicano i recapiti telefonici, postali ed elettronici ai quali il loro destinatario può inviare, se lo desidera, osservazioni alla commissione per la protezione dei diritti ed ottenere, qualora formuli una richiesta espressa in tal senso, precisazioni sul contenuto delle opere o degli oggetti protetti interessati dalla violazione addebitatagli».

16.      L’articolo L. 331-29 di detto codice dispone quanto segue:

«La [Hadopi] è autorizzata a creare un trattamento automatizzato dei dati personali per le persone che sono oggetto di un procedimento ai sensi della presente sottosezione.

Tale trattamento è diretto all’attuazione, da parte della commissione per la protezione dei diritti, delle misure previste dalla presente sottosezione, di tutti gli atti procedimentali connessi e delle modalità di informazione, nei confronti degli organismi di difesa professionale e degli organismi di gestione collettiva, degli eventuali ricorsi all’autorità giudiziaria e delle notifiche previste al quinto comma dell’articolo L. 335‑7.

Un decreto (...) stabilisce le modalità di applicazione del presente articolo. Esso specifica in particolare:

–        le categorie di dati registrati e il loro periodo di conservazione;

–        i destinatari autorizzati a ricevere la comunicazione di tali dati, in particolare le persone la cui attività consiste nell’offrire accesso a servizi di comunicazione al pubblico online;

–        le condizioni alle quali le persone interessate possono esercitare il loro diritto di accesso ai dati che li riguardano presso la [Hadopi] (...)».

17.      L’articolo R. 331-37 del medesimo codice prevede quanto segue:

«Gli operatori di comunicazioni elettroniche (…) e i fornitori di servizi (…) sono tenuti a comunicare, mediante interconnessione al trattamento automatizzato dei dati personali di cui all’articolo L. 331-29 o mediante un supporto di registrazione che garantisca la loro integrità e sicurezza, i dati personali e le informazioni di cui al punto 2 dell’allegato al [décret n. 2010 236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du [CPI] dénommé «Système de gestion des mesures pour la protection des œuvres sur Internet» (decreto n. 2010 236 del 5 marzo 2010 relativo al trattamento automatizzato dei dati personali autorizzato dall’articolo L. 331-29 del [CPI] denominato «Sistema di gestione delle misure per la protezione delle opere su Internet») (4)] (…) entro un termine di otto giorni dalla trasmissione, da parte della commissione per la protezione dei diritti, dei dati tecnici necessari all’identificazione dell’abbonato il cui accesso a servizi di comunicazione al pubblico online è stato utilizzato al fine di riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere o oggetti protetti senza l’autorizzazione dei titolari dei diritti (…) laddove questa sia richiesta.

(...)».

18.      L’articolo R. 335-5 del CPI dispone quanto segue:

«I.-      Costituisce una negligenza grave, punita con l’ammenda prevista per le contravvenzioni della quinta classe, il fatto, senza motivo legittimo, per la persona titolare di un accesso a servizi di comunicazione al pubblico online, qualora ricorrano le condizioni previste sub II:

1°      o di non avere predisposto uno strumento di messa in sicurezza di tale accesso;

2°      o di avere mancato di diligenza nell’attuazione di tale strumento.

II.-      Le disposizioni sub I si applicano solo qualora ricorrano le due condizioni seguenti:

1°      In applicazione dell’articolo L. 331-25 e nelle forme previste da tale articolo, la commissione per la protezione dei diritti abbia raccomandato al titolare dell’accesso l’attuazione di uno strumento di messa in sicurezza del suo accesso che consenta di prevenire la reiterazione di un uso del medesimo al fine di riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere od oggetti protetti dal diritto d’autore o da un diritto connesso senza l’autorizzazione dei titolari dei diritti (...) laddove questa sia richiesta;

2°      Nell’anno successivo alla presentazione di tale raccomandazione, siffatto accesso venga nuovamente utilizzato ai fini menzionati al punto 1 del presente paragrafo II».

19.      L’articolo L. 336-3 di tale codice enuncia quanto segue:

«Il titolare dell’accesso a servizi di comunicazione al pubblico online è tenuto ad assicurare che tale accesso non sia utilizzato al fine di riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere od oggetti protetti dal diritto d’autore o da un diritto connesso senza l’autorizzazione dei titolari (…) laddove questa sia richiesta.

La violazione da parte del titolare dell’accesso dell’obbligo definito al primo comma non comporta il sorgere della responsabilità penale dell’interessato (...)».

2.      Decreto del 5 marzo 2010

20.      Il decreto del 5 marzo 2010, nella sua versione applicabile ai fatti della controversia di cui al procedimento principale, prevede quanto segue al suo articolo 1:

«Il trattamento di dati personali denominato “Sistema di gestione delle misure per la protezione delle opere su Internet” ha per finalità l’attuazione, da parte della commissione per la protezione dei diritti della [Hadopi]:

1°      delle misure previste dal libro III della parte legislativa del [CPI] (titolo III, capo 1, sezione 3, sottosezione 3) e dal libro III della parte regolamentare dello stesso codice (titolo III, capo I, sezione 2, sottosezione 2);

2°      dei ricorsi al procuratore della Repubblica relativi a fatti idonei a costituire reati previsti agli articoli L. 335-2, L. 335-3, L. 335-4 e R. 335-5 dello stesso codice, nonché dell’informazione degli organismi di difesa professionali e degli organismi di gestione collettiva di tali ricorsi;

(...)».

21.      L’articolo 4 di tale decreto dispone quanto segue:

«I.-      Hanno accesso diretto ai dati personali e alle informazioni menzionate all’allegato al presente decreto gli agenti pubblici giurati autorizzati dal presidente della [Hadopi] in applicazione dell’articolo L. 331-21 del [CPI] e i membri della commissione per la protezione dei diritti menzionata all’articolo 1.

II.-      Gli operatori di comunicazioni elettroniche e i fornitori di servizi menzionati al punto 2 dell’allegato al presente decreto sono destinatari:

–        dei dati tecnici necessari all’identificazione dell’abbonato;

–        delle raccomandazioni previste all’articolo L. 331-25 del [CPI] ai fini del loro invio per via elettronica ai loro abbonati;

–        degli elementi necessari all’attuazione delle pene complementari della sospensione dell’accesso ad un servizio di comunicazione al pubblico online portate a conoscenza della commissione per la protezione dei diritti da parte del procuratore della Repubblica.

III.-       Gli organismi di difesa professionale e gli organismi di gestione collettiva sono informati dell’adizione del procuratore della Repubblica.

IV.-      Le autorità giudiziarie sono destinatarie dei verbali di accertamento di fatti idonei a costituire reati previsti agli articoli L. 335‑2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 e R. 335-5 del [CPI].

Il casellario giudiziale automatizzato è informato dell’esecuzione della pena della sospensione».

22.      L’allegato al decreto del 5 marzo 2010 prevede quanto segue:

«I dati personali e le informazioni registrate nel trattamento denominato “Sistema di gestione delle misure per la protezione delle opere su Internet” sono i seguenti:

1°      Dati personali e informazioni provenienti dagli organismi di difesa professionale regolarmente costituiti, dagli organismi di gestione collettiva, dal Centro nazionale della cinematografia e dell’immagine animata, nonché quelli provenienti dal procuratore della Repubblica:

Quanto ai fatti idonei a costituire una violazione dell’obbligo definito all’articolo L. 336-3 del [CPI]:

Data e ora dei fatti;

Indirizzo IP degli abbonati interessati;

Protocollo peer-to-peer utilizzato;

Pseudonimo utilizzato dall’abbonato;

Informazioni relative alle opere o agli oggetti protetti interessati dai fatti;

Nome del file come presente sulla stazione dell’abbonato (se del caso);

Fornitore di accesso ad Internet presso il quale l’accesso è stato sottoscritto o che ha fornito la risorsa tecnica IP.

(...)

2°      Dati personali ed informazioni relative all’abbonato raccolte presso operatori di comunicazioni elettroniche (...) e fornitori di servizi (...):

Cognome, nomi;

Indirizzo postale e indirizzi di posta elettronica;

Recapiti telefonici;

Indirizzo dell’impianto telefonico dell’abbonato;

Fornitore di accesso ad Internet, che utilizza le risorse tecniche del fornitore di accesso menzionato al punto 1°, presso il quale l’abbonato ha sottoscritto il suo contratto; numero di pratica;

data di inizio della sospensione dell’accesso ad un servizio di comunicazione al pubblico online.

(...)».

3.      Codice delle poste e delle telecomunicazioni

23.      L’articolo L. 34-1 del codice delle poste e delle comunicazioni elettroniche, come modificato dall’articolo 17 della legge n. 2021-998 del 30 luglio 2021 (5) (in prosieguo: il «CPCE»), dispone al suo paragrafo II bis che «gli operatori di comunicazioni elettroniche sono tenuti a conservare:

1°      Ai fini dei procedimenti penali, della prevenzione delle minacce alla pubblica sicurezza e della salvaguardia della sicurezza nazionale, le informazioni relative all’identità anagrafica dell’utente, fino alla scadenza del termine di cinque anni dalla fine della validità del suo contratto;

2°      Per gli stessi scopi di cui al punto 1° del presente paragrafo II bis, le altre informazioni fornite dall’utente al momento della sottoscrizione di un contratto o della creazione di un conto nonché le informazioni relative al pagamento, fino alla scadenza del termine di un anno a decorrere dalla fine della validità del suo contratto o dalla chiusura del suo conto;

3°      Ai fini della lotta alla criminalità e ai reati gravi, della prevenzione delle minacce gravi alla pubblica sicurezza e della salvaguardia della sicurezza nazionale, i dati tecnici che consentano di identificare l’origine della connessione o quelli relativi alle apparecchiature terminali impiegate, fino alla scadenza del termine di un anno dalla connessione o dall’impiego delle apparecchiature terminali».

III. Fatti, questioni pregiudiziali e procedimento dinanzi alla Corte

24.      Con ricorso del 12 agosto 2019 e con due memorie complementari del 12 novembre 2019 e del 6 maggio 2021, La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, il Franciliens.net e il French Data Network hanno proposto dinanzi al Conseil d’État (Consiglio di Stato, Francia) una domanda intesa all’annullamento della decisione implicita con la quale il Primo Ministro ha respinto la loro domanda di abrogazione del decreto del 5 marzo 2010, sebbene tale decreto e le disposizioni che costituiscono la sua base giuridica non solo arrecherebbero un pregiudizio eccessivo ai diritti garantiti dalla Costituzione francese, ma sarebbero parimenti contrari all’articolo 15 della direttiva 2002/58, nonché agli articoli 7, 8, 11 e 52 della Carta.

25.      In particolare, i ricorrenti nel procedimento principale fanno valere che il decreto del 5 marzo 2010 e le disposizioni che ne costituiscono la base giuridica autorizzano un accesso sproporzionato a dati di connessione per reati relativi al diritto d’autore commessi su Internet e non gravi, senza un controllo preventivo da parte di un giudice o di un’autorità che offra garanzie di indipendenza e d’imparzialità.

26.      A tal riguardo, il giudice del rinvio sottolinea, anzitutto, che la Corte, nella sua ultima sentenza La Quadrature du Net e a. (6), ha dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8, 11, e dell’articolo 52, paragrafo 1, della Carta, non osta a misure legislative che prevedano, a fini di salvaguardia della sicurezza nazionale, di lotta alla criminalità e di salvaguardia della sicurezza pubblica, una conservazione generalizzata e indifferenziata dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica. Pertanto, una siffatta conservazione di tali dati sarebbe possibile, senza un termine particolare, a fini generali di ricerca, accertamento e perseguimento dei reati.

27.      Il giudice del rinvio ne desume che il motivo dedotto dai ricorrenti nel procedimento principale relativo all’illegittimità del decreto del 5 marzo 2010, in quanto è stato adottato per contrastare reati non gravi, non possa che essere respinto.

28.      Tale giudice ricorda, poi, che la Corte, nella sua sentenza Tele2 Sverige e Watson (7), ha dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8, 11, e dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale che disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all’ubicazione, e segnatamente l’accesso delle autorità nazionali competenti ai dati conservati, senza sottoporre tale accesso ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente.

29.      Esso rileva che la Corte, nella sentenza Tele2 (8), ha precisato che, al fine di garantire, in pratica, il pieno rispetto di tali condizioni, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato, in linea di principio, salvo casi di urgenza debitamente giustificati, al requisito di un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale.

30.      Il giudice del rinvio sottolinea che la Corte ha richiamato tale requisito nella sentenza La Quadrature du Net e a. (9), in relazione alla raccolta in tempo reale dei dati di connessione da parte dei servizi di intelligence, nonché nella sentenza Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (10), in relazione all’accesso delle autorità nazionali ai dati di connessione.

31.      Tale giudice osserva, infine, che, a partire dalla sua istituzione nel 2009, la Hadopi ha inviato più di 12,7 milioni di raccomandazioni ai titolari di abbonamenti nell’ambito della procedura di risposta graduata prevista all’articolo L. 331-25 del CPI, di cui 827 791 nel corso del solo 2019. Per farlo, gli agenti della commissione per la protezione dei diritti della Hadopi devono essere in grado di raccogliere, ogni anno, una notevole quantità di dati relativi all’identità civile degli utenti interessati. Esso ritiene che, alla luce del volume di tali raccomandazioni, il fatto di sottoporre tale raccolta a un controllo preventivo rischi di rendere impossibile l’attuazione delle raccomandazioni.

32.      È in tali circostanze che il Conseil d’État (Consiglio di Stato) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se i dati relativi all’identità civile corrispondenti a un indirizzo IP rientrino tra i dati di traffico o di ubicazione soggetti, in linea di principio, a un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente con poteri vincolanti.

2)      In caso di risposta affermativa alla prima questione e tenuto conto della bassa sensibilità dei dati relativi all’identità civile degli utenti, compresi i loro recapiti, si pone la questione di stabilire se la direttiva [2002/58], letta alla luce della [Carta], debba essere interpretata nel senso che essa osta a una normativa nazionale che prevede la raccolta di tali dati relativi agli indirizzi IP degli utenti da parte di un’autorità amministrativa, senza un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente con poteri vincolanti.

3)      In caso di risposta affermativa alla seconda questione e tenuto conto della bassa sensibilità dei dati relativi all’identità civile, del fatto che solo tali dati possono essere raccolti al solo scopo di prevenire violazioni di obblighi definiti in modo circostanziato, restrittivo e limitativo dal diritto nazionale, e del fatto che un controllo sistematico dell’accesso ai dati di ogni utente da parte di un giudice o di un’entità amministrativa terza con poteri vincolanti sarebbe tale da compromettere l’espletamento della missione di servizio pubblico affidata all’autorità amministrativa anch’essa indipendente che effettua tale raccolta, si pone la questione di stabilire se la direttiva [2002/58] osti allo svolgimento di tale controllo con modalità appropriate, come un controllo automatizzato, eventualmente sotto la supervisione di un servizio interno all’organismo, che offra garanzie di indipendenza e di imparzialità relativamente agli agenti incaricati di tale raccolta».

33.      Hanno presentato osservazioni scritte i ricorrenti nel procedimento principale, i governi francese, estone, svedese e norvegese, nonché la Commissione europea. Queste stesse parti, ad eccezione del governo estone, nonché i governi danese e finlandese, sono state rappresentate all’udienza tenutasi il 5 luglio 2022.

IV.    Analisi

A.      Sulla prima e sulla seconda questione pregiudiziale

34.      Con la sua prima e seconda questione pregiudiziale, le quali, a mio avviso, devono essere esaminate congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che osta ad una normativa nazionale che consente ad un’autorità amministrativa incaricata di proteggere i diritti d’autore e i diritti connessi contro le violazioni di tali diritti commesse su Internet, di accedere a dati relativi all’identità civile corrispondenti ad indirizzi IP affinché tale autorità possa identificare i titolari di tali indirizzi sospettati di essere responsabili di tali violazioni e possa, se del caso, prendere misure nei loro confronti, senza che tale accesso sia subordinato ad un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente.

1.      Delimitazione delle questioni pregiudiziali

a)      Raccolta preliminare degli indirizzi IP da parte degli organismi di aventi diritto

35.      Dalla decisione di rinvio emerge che il meccanismo di risposta graduata di cui al procedimento principale comporta due trattamenti di dati successivi consistenti, il primo, nella raccolta preliminare, da parte degli organismi di aventi diritto, degli indirizzi IP sulle reti peer-to-peer di coloro che violano il diritto d’autore e, il secondo, nello stabilire il collegamento tra tali indirizzi IP e l’identità civile delle persone da parte della Hadopi a seguito della sua adizione, ai fini dell’invio di raccomandazioni alle persone il cui accesso a servizi di comunicazione al pubblico online sia stato utilizzato in violazione delle norme relative al diritto d’autore.

36.      La prima e la seconda questione pregiudiziale riguardano unicamente il secondo trattamento realizzato dalla Hadopi.

37.      I ricorrenti nel procedimento principale sostengono tuttavia che il primo trattamento dovrebbe essere oggetto di un esame da parte della Corte, poiché, se tali indirizzi IP fossero ottenuti in violazione delle disposizioni della direttiva 2002/58, il loro sfruttamento nell’ambito del secondo trattamento sarebbe necessariamente contrario a tali disposizioni.

38.      Un simile ragionamento non persuade. L’articolo 3, paragrafo 1, della direttiva 2002/58 limita il suo ambito di applicazione al «trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica». Orbene, come precisato dal governo francese in udienza, gli organismi di aventi diritto ottengono gli indirizzi IP in questione non tramite i fornitori di servizi di comunicazione elettronica, bensì direttamente online, tramite la consultazione di dati disponibili pubblicamente.

39.      Si può dunque soltanto constatare che la raccolta preliminare degli indirizzi IP da parte degli organismi di aventi diritto si sottrae alle disposizioni della direttiva 2002/58 e, come rilevato dalla Commissione, potrebbe pertanto essere analizzata alla luce delle disposizioni del regolamento (UE) 2016/679 (11). Un’analisi del genere mi sembra in tal senso eccedere l’ambito delle questioni pregiudiziali sottoposte alla Corte, a maggior ragione in quanto il giudice del rinvio non apporta precisazioni relative alla raccolta preliminare che consentirebbero alla Corte di fornirgli una risposta utile.

40.      In tali circostanze, concentrerò la mia analisi sulla questione dell’accesso, da parte della Hadopi, ai dati relativi all’identità civile corrispondenti ad un indirizzo IP.

b)      Accoppiamento degli indirizzi IP con i dati relativi all’identità civile

41.      La prima e la seconda questione pregiudiziale riguardano «i dati relativi all’identità civile corrispondenti a un indirizzo IP», i quali sarebbero, secondo il giudice del rinvio, di bassa sensibilità. Tale giudice si riferisce esclusivamente, nella sua decisione, ai punti della sentenza La Quadrature du Net e a. relativi alla conservazione dei dati relativi all’identità civile.

42.      È vero che la giurisprudenza della Corte effettua una distinzione tra il regime di conservazione e di accesso degli indirizzi IP e il regime di conservazione e di accesso dei dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, fermo restando che questo secondo regime è meno rigoroso del primo (12).

43.      Tuttavia, mi sembra che il caso di specie, malgrado la formulazione di queste due questioni pregiudiziali, verta non sulla questione del solo accesso ai dati relativi all’identità civile degli utenti di mezzi di comunicazione elettronica, bensì sul collegamento di tali dati agli indirizzi IP di cui la Hadopi dispone a seguito della raccolta e della trasmissione di questi ultimi da parte degli organismi di aventi diritto. Infatti, come rilevato dalla Commissione, l’accesso ai dati relativi all’identità civile da parte della Hadopi è inteso a sbloccare un insieme più ampio di dati, segnatamente gli indirizzi IP e gli estratti di file consultati, e a consentire il loro sfruttamento, fermo restando che i dati relativi all’identità civile e gli indirizzi IP sono, indipendentemente gli uni dagli altri, privi di interesse per le autorità nazionali dal momento che né l’identità civile, né l’indirizzo IP in sé possono fornire informazioni sulle attività delle persone fisiche online se non vengono collegati tra loro.

44.      Ne consegue che, a mio avviso, occorre intendere la prima e la seconda questione pregiudiziale nel senso che esse riguardano non solo i dati relativi all’identità civile degli utenti di un mezzo di comunicazione elettronica ma anche l’accesso agli indirizzi IP che consentono di individuare l’origine di una connessione.

c)      Conservazione degli indirizzi IP da parte dei fornitori di servizi di comunicazione

45.      È vero, come rilevato dal governo francese e dalla Commissione, che le questioni pregiudiziali sottoposte alla Corte non riguardano, sotto il profilo formale, la conservazione dei dati da parte dei fornitori di servizi di comunicazione elettronica, bensì il solo accesso, da parte della Hadopi, a dati relativi all’identità civile corrispondenti ad indirizzi IP.

46.      Tuttavia, la questione dell’accesso da parte della Hadopi a tali dati mi sembra in realtà inscindibile da quella, preliminare, della loro conservazione da parte dei fornitori di servizi di comunicazione. Come sottolineato dalla Corte, la conservazione di dati viene effettuata al solo scopo di rendere, eventualmente, i dati accessibili alle autorità nazionali competenti (13). In altre parole, la conservazione e l’accesso ai dati non possono essere concepiti isolatamente, essendo il secondo dipendente dalla prima.

47.      È vero che la Corte ha già esaminato la compatibilità con l’articolo 15, paragrafo 1, della direttiva 2002/58 di una normativa nazionale relativa al solo accesso da parte delle autorità nazionali competenti a taluni dati personali indipendentemente dalla questione della compatibilità con tale disposizione della conservazione dei dati in questione (14). Si potrebbe pertanto rispondere alle presenti questioni pregiudiziali prescindendo dalla questione se i dati di cui trattasi siano stati conservati in conformità alle disposizioni del diritto dell’Unione.

48.      Tuttavia, rilevo, anzitutto, che, nella sentenza Ministerio Fiscal (15), l’esame svolto dalla Corte in relazione alla compatibilità con il diritto dell’Unione dell’accesso delle autorità nazionali a taluni dati personali risponde rigorosamente agli stessi principi di quello che essa effettua quando si tratta di valutare la compatibilità con il diritto dell’Unione della conservazione di tali dati. Infatti, la Corte fa riferimento esclusivamente alla giurisprudenza elaborata a quest’ultimo riguardo al fine di trasporla alla questione dell’accesso a dati personali. In altre parole, in assenza di esame della compatibilità con il diritto dell’Unione della conservazione di taluni dati, tale esame viene rinviato alla fase della questione dell’accesso a tali dati, cosicché la compatibilità di tale accesso dipende in fine da quella della conservazione.

49.      La Corte ha poi indicato chiaramente che l’accesso a dati personali può essere concesso soltanto se e in quanto tali dati siano stati conservati dai fornitori di servizi di comunicazione elettronica in un modo conforme all’articolo 15, paragrafo 1, della direttiva 2002/58 (16) e che l’accesso a dati personali da parte di soggetti privati per consentire l’avvio, dinanzi ai giudici civili, di procedimenti nei confronti delle violazioni del diritto d’autore, è compatibile con il diritto dell’Unione solo a condizione che tali dati siano conservati in maniera compatibile con tale disposizione (17).

50.      Infine, la Corte dichiara costantemente che l’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione conservati da fornitori in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, il quale deve avvenire nel pieno rispetto delle condizioni risultanti dalla giurisprudenza che ha interpretato la direttiva 2002/58, può, in linea di principio, essere giustificato unicamente dall’obiettivo di interesse generale per il quale siffatta conservazione è stata imposta a tali fornitori (18). In altre parole, la compatibilità con il diritto dell’Unione dell’accesso da parte delle autorità nazionali a taluni dati personali dipende in toto dalla compatibilità con il diritto dell’Unione della conservazione di tali dati.

51.      Ne risulta, a mio avviso, che l’analisi della compatibilità con il diritto dell’Unione di una normativa nazionale che prevede l’accesso da parte di un’autorità nazionale a dati personali presuppone che sia stata previamente accertata la compatibilità con il diritto dell’Unione della conservazione di questi stessi dati.

52.      In tali circostanze, inizierò la mia analisi richiamando la giurisprudenza della Corte relativa alla questione della conservazione degli indirizzi IP attribuiti all’origine di una connessione, al fine di mostrarne i limiti, e di proporre una chiave di lettura adeguata della normativa in questione.

2.      Giurisprudenza della Corte relativa all’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 in relazione a misure volte alla conservazione degli indirizzi IP attribuiti all’origine di una connessione

53.      L’articolo 5, paragrafo 1, della direttiva 2002/58 sancisce il principio di riservatezza sia delle comunicazioni elettroniche sia dei dati relativi al traffico a queste correlati e implica, in particolare, il divieto imposto, in linea di principio, a qualsiasi persona diversa dagli utenti di memorizzare senza il loro consenso tali comunicazioni e dati (19).

54.      Per quanto riguarda il trattamento e la memorizzazione da parte dei fornitori di servizi di comunicazione elettronica dei dati sul traffico relativi agli abbonati ed agli utenti, la direttiva 2002/58 prevede, al suo articolo 6, paragrafo 1, che tali dati debbano essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, e precisa, al suo articolo 6, paragrafo 2, che i dati relativi al traffico che risultano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento. Per quanto riguarda i dati relativi all’ubicazione diversi dai dati relativi al traffico, l’articolo 9, paragrafo 1, di tale direttiva stabilisce che tali dati possono essere trattati soltanto in presenza di determinate condizioni e dopo essere stati resi anonimi oppure con il consenso degli utenti o degli abbonati (20).

55.      Pertanto, adottando la direttiva 2022/58, il legislatore dell’Unione ha concretizzato i diritti sanciti dagli articoli 7 e 8 della Carta, di modo che gli utenti dei mezzi di comunicazione elettronica hanno il diritto di attendersi, in linea di principio, che le loro comunicazioni e i dati a queste correlati, in mancanza del loro consenso, rimangano anonimi e non possano essere registrati (21). Tale direttiva non si limita dunque a disciplinare l’accesso a tali dati mediante garanzie dirette a prevenire gli abusi, ma sancisce altresì, in particolare, il principio del divieto della loro memorizzazione da parte di terzi.

56.      In tali circostanze, nella misura in cui l’articolo 15, paragrafo 1, della direttiva 2002/58 consente agli Stati membri di adottare misure legislative intese a «limitare la portata» dei diritti e degli obblighi previsti, segnatamente, agli articoli 5, 6 e 9 di tale direttiva, come quelli derivanti dai principi di riservatezza delle comunicazioni e del divieto di memorizzazione dei dati ad esse correlati, tale disposizione enuncia un’eccezione alla regola generale prevista, segnatamente, a tali articoli 5, 6 e 9 e deve pertanto, in conformità ad una costante giurisprudenza, essere oggetto di un’interpretazione restrittiva. Una siffatta disposizione non può dunque giustificare che la deroga all’obbligo di principio di garantire la riservatezza delle comunicazioni elettroniche e dei dati a queste correlati e, in particolare, al divieto di memorizzare tali dati, previsto all’articolo 5 di detta direttiva, divenga la regola, salvo privare quest’ultima disposizione della sua portata (22).

57.      Quanto agli obiettivi idonei a giustificare una limitazione dei diritti e degli obblighi previsti, in particolare, agli articoli 5, 6 e 9 della direttiva 2002/58, la Corte ha già dichiarato che l’elenco degli obiettivi di cui all’articolo 15, paragrafo 1, prima frase, di tale direttiva ha carattere tassativo, di modo che una misura legislativa adottata ai sensi di tale disposizione deve rispondere in modo effettivo e rigoroso ad uno di questi obiettivi (23).

58.      Inoltre, dall’articolo 15, paragrafo 1, terza frase, della direttiva 2002/58 risulta che le misure adottate dagli Stati membri in forza di tale disposizione devono rispettare i principi generali del diritto dell’Unione, tra i quali figura il principio di proporzionalità, e assicurare il rispetto dei diritti fondamentali garantiti dalla Carta. A tal riguardo, la Corte ha già dichiarato che l’obbligo imposto da uno Stato membro ai fornitori di servizi di comunicazione elettronica, in forza di una normativa nazionale, di conservare i dati relativi al traffico al fine di renderli, se del caso, accessibili alle autorità nazionali competenti solleva questioni riguardanti il rispetto non soltanto degli articoli 7 e 8 della Carta, relativi, rispettivamente, alla tutela della vita privata e alla protezione dei dati personali, ma anche dell’articolo 11 della Carta, relativo alla libertà di espressione, dal momento che tale libertà costituisce uno dei fondamenti essenziali di una società democratica e pluralista, facente parte dei valori sui quali, a norma dell’articolo 2 TUE, l’Unione è fondata (24).

59.      Ciò premesso, laddove l’articolo 15, paragrafo 1, della direttiva 2002/58 consente agli Stati membri di limitare i diritti e gli obblighi previsti agli articoli 5, 6 e 9 di tale direttiva, siffatta disposizione riflette la circostanza che i diritti sanciti agli articoli 7, 8 e 11 della Carta non appaiono come prerogative assolute, ma vanno considerati alla luce della loro funzione sociale. Infatti, come risulta dal suo articolo 52, paragrafo 1, la Carta ammette limitazioni all’esercizio di tali diritti, purché tali limitazioni siano previste dalla legge, rispettino il contenuto essenziale di detti diritti e, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Pertanto, l’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce della Carta, richiede che si tenga conto allo stesso modo dell’importanza degli obiettivi di salvaguardia della sicurezza nazionale e di lotta alle forme gravi di criminalità nel contribuire alla protezione dei diritti e delle libertà altrui e di quella dei diritti sanciti agli articoli 3, 4, 6 e 7 della Carta (25), dai quali possono parimenti derivare obblighi positivi a carico dei pubblici poteri (26).

60.      Di fronte a questi diversi obblighi positivi, occorre dunque procedere ad un contemperamento dei diversi interessi legittimi e dei diritti in gioco. In tale contesto, dal testo stesso dell’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58 risulta che gli Stati membri possono adottare una misura che deroga al principio della riservatezza qualora tale misura sia «necessaria, opportuna e proporzionata all’interno di una società democratica», fermo restando che il considerando 11 di tale direttiva indica, a tal fine, che una misura siffatta deve essere «strettamente» proporzionata allo scopo perseguito (27).

61.      A tal riguardo, dalla giurisprudenza della Corte risulta che la possibilità per gli Stati membri di giustificare una limitazione dei diritti e degli obblighi previsti, segnatamente, agli articoli 5, 6 e 9 della direttiva 2002/58 deve essere valutata misurando la gravità dell’ingerenza che una restrizione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a tale gravità (28).

62.      Rilevo, inoltre, che la Corte distingue, nella sua giurisprudenza, da un lato, le ingerenze risultanti dall’accesso a dati che, in quanto tali, forniscono informazioni precise sulle comunicazioni in questione e, dunque, sulla vita privata della persona, e per le quali il regime di conservazione è rigoroso e, dall’altro, le ingerenze che risultano dall’accesso a dati che possono fornire simili informazioni solo se abbinati ad altri dati, come gli indirizzi IP (29).

63.      Per quanto riguarda più specificamente gli indirizzi IP, la Corte ha in tal senso rilevato che essi sono generati senza essere collegati a una comunicazione determinata e servono principalmente a identificare, tramite i fornitori di servizi di comunicazione elettronica, la persona fisica proprietaria di un’apparecchiatura terminale a partire dalla quale viene effettuata una comunicazione via Internet. Pertanto, purché siano conservati solo gli indirizzi IP dell’origine della comunicazione e non quelli del destinatario della stessa, questa categoria di dati presenta un grado di sensibilità inferiore rispetto agli altri dati relativi al traffico (30).

64.      La Corte sottolinea al contempo che, poiché gli indirizzi IP possono essere utilizzati per effettuare in particolare il tracciamento completo del percorso di navigazione di un utente di Internet e, di conseguenza, della sua attività online, tali dati consentono di stabilire il profilo dettagliato di quest’ultimo e di trarre conclusioni precise sulla vita privata dell’utente. La conservazione e l’analisi di tali indirizzi IP costituiscono pertanto ingerenze gravi nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, e possono avere effetti dissuasivi sull’esercizio della libertà di espressione garantita all’articolo 11 della stessa (31).

65.      Tuttavia, secondo una giurisprudenza costante, ai fini del necessario contemperamento dei diritti e degli interessi legittimi in gioco richiesto dalla giurisprudenza, occorre tenere conto del fatto che, nel caso di un reato commesso online, l’indirizzo IP può costituire l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione di tale reato (32).

66.      Pertanto, la Corte dichiara che una misura legislativa che preveda la conservazione generalizzata e indifferenziata dei soli indirizzi IP attribuiti all’origine di una connessione non risulta, in linea di principio, contraria all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, posto che tale possibilità deve essere subordinata al rigoroso rispetto delle condizioni sostanziali e procedurali che devono disciplinare l’utilizzo dei dati in questione e fermo restando che, tenuto conto della gravità dell’ingerenza che tale conservazione comporta, solo la lotta alle forme gravi di criminalità e la prevenzione delle minacce gravi alla sicurezza pubblica sono idonee, al pari della salvaguardia della sicurezza nazionale, a giustificare siffatta ingerenza (33).

67.      La Corte precisa inoltre che la durata della conservazione non può eccedere quella strettamente necessaria alla luce dell’obiettivo perseguito e che una misura di questa natura deve prevedere condizioni e garanzie rigorose riguardo all’utilizzo di tali dati (34).

3.      Limiti della giurisprudenza relativa all’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 per quanto riguarda le misure volte alla conservazione degli indirizzi IP attribuiti all’origine di una connessione

68.      La soluzione alla quale la Corte è pervenuta in relazione a misure nazionali volte alla conservazione degli indirizzi IP attribuiti all’origine di una connessione, interpretate alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58, mi sembra tuttavia presentare due difficoltà principali.

a)      Conciliazione con la giurisprudenza relativa alla comunicazione degli indirizzi IP attribuiti all’origine di una connessione nell’ambito dei ricorsi intesi alla tutela dei diritti di proprietà intellettuale

69.      In primo luogo, come ho già menzionato nelle mie conclusioni nella causa M.I.C.M. (35), esiste una tensione certa tra tale linea giurisprudenziale e quella relativa alla comunicazione degli indirizzi IP nell’ambito dei ricorsi intesi alla tutela dei diritti di proprietà intellettuale ai titolari di tali diritti, la quale pone l’accento sull’obbligo degli Stati membri di assicurare ai titolari dei diritti di proprietà intellettuale possibilità concrete di ottenere un risarcimento dei danni risultanti dalle violazioni di tali diritti (36).

70.      Infatti, per quanto riguarda questa seconda linea giurisprudenziale, la Corte dichiara in maniera costante che il diritto dell’Unione non osta a che gli Stati membri prevedano l’obbligo di trasmissione a soggetti privati di dati di carattere personale per consentire l’avvio, dinanzi ai giudici civili, di procedimenti per violazioni del diritto d’autore (37).

71.      La Corte rileva, a tal riguardo, che la possibilità, per gli Stati membri, di prevedere l’obbligo di divulgare dati personali nell’ambito di un procedimento civile discende anzitutto dalla possibilità di prevedere una siffatta divulgazione nell’ambito del perseguimento dei reati in sede penale (38), la quale è stata successivamente estesa ai procedimenti civili.

72.      Al contempo, nel caso degli indirizzi IP, la Corte impone tuttavia che tali dati possano essere conservati unicamente nell’ambito della lotta alle forme gravi di criminalità e della prevenzione delle minacce gravi alla sicurezza pubblica (39).

73.      I tentativi di conciliare queste due linee giurisprudenziali portano, a mio avviso, a risultati inadeguati e non persuadono.

74.      Da un lato, contrariamente a quanto sostenuto dal governo francese in udienza, la lotta alle violazioni dei diritti di proprietà intellettuale non può rientrare nell’ambito della lotta alle forme gravi di criminalità. La nozione di «forme gravi di criminalità» deve, a mio avviso, essere interpretata autonomamente. Essa non può dipendere dalle concezioni di ciascuno Stato membro, salvo permettere un’elusione dei requisiti di cui all’articolo 15, paragrafo 1, della direttiva 2002/58 a seconda che gli Stati membri adottino una concezione estensiva o meno della lotta alle forme gravi di criminalità. Orbene, come ho già rilevato, gli interessi connessi alla tutela dei diritti di proprietà intellettuale non possono essere confusi con quelli sottesi alla lotta alle forme gravi di criminalità (40).

75.      Dall’altro, ammettere la trasmissione di indirizzi IP ai titolari di diritti di proprietà intellettuale nell’ambito dei procedimenti aventi ad oggetto la loro protezione, mentre la loro conservazione è resa possibile solo nell’ambito della lotta alle forme gravi di criminalità, sarebbe chiaramente contrario alla giurisprudenza della Corte relativa alla conservazione dei dati di connessione ed equivarrebbe a privare di effetto utile le condizioni richieste per la conservazione di tali dati, dal momento che sarebbe in ogni caso possibile accedervi per motivi diversi.

76.      Ne consegue, a mio avviso, che la conservazione degli indirizzi IP ai fini della tutela dei diritti di proprietà intellettuale, nonché la loro comunicazione ai titolari di tali diritti nell’ambito dei procedimenti aventi ad oggetto tale tutela potrebbero essere contrarie all’articolo 15, paragrafo 1, della direttiva 2002/58, come interpretata nella giurisprudenza della Corte. L’obbligo di trasmissione a soggetti privati di dati personali per consentire l’avvio, dinanzi ai giudici civili, di procedimenti per violazioni del diritto d’autore, reso tuttavia possibile dalla Corte stessa, è dunque al contempo neutralizzato attraverso la sua propria giurisprudenza relativa alla conservazione degli indirizzi IP da parte dei fornitori di servizi di comunicazione elettronica.

77.      Una siffatta soluzione non è tuttavia soddisfacente in quanto rimetterebbe in discussione l’equilibrio tra i diversi interessi coinvolti che la Corte ha tentato di stabilire, privando i titolari di diritti di proprietà intellettuale del principale, se non unico, strumento di identificazione degli autori delle violazioni di tali diritti online. Tale considerazione mi induce ad illustrare la seconda difficoltà che può risultare, a mio avviso, dalla giurisprudenza della Corte, nel caso delle misure nazionali aventi ad oggetto la conservazione degli indirizzi IP attribuiti all’origine di una connessione interpretata alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58.

b)      Rischio di un’impunità sistemica per i reati commessi esclusivamente online

78.      In tal senso, in secondo luogo, ritengo che tale soluzione sia la fonte di difficoltà pratiche. Come sottolineato dalla Corte stessa, nel caso di un reato commesso esclusivamente online, l’indirizzo IP può costituire l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione di tale reato.

79.      Tuttavia, mi sembra che tale elemento non venga preso interamente in considerazione nel bilanciamento degli interessi in gioco. Dal momento che la Corte limita comunque la possibilità di conservazione degli indirizzi IP all’ambito della lotta contro le forme gravi di criminalità, essa esclude al contempo che tali dati possano essere conservati al fine di combattere i reati in generale, sebbene taluni di siffatti reati possano essere prevenuti, accertati o sanzionati soltanto grazie a detti dati.

80.      In altre parole, la giurisprudenza della Corte potrebbe portare a privare le autorità nazionali del solo strumento di identificazione degli autori di reati online non rientranti tuttavia nell’ambito delle forme gravi di criminalità, come le violazioni dei diritti di proprietà intellettuale. Ne risulterebbe di fatto un’impunità sistemica per i reati commessi esclusivamente online, al di là peraltro delle sole violazioni dei diritti di proprietà intellettuale. Mi riferisco segnatamente agli atti di diffamazione commessi online. Il diritto dell’Unione prevede certo ingiunzioni nei confronti degli intermediari i cui servizi siano utilizzati per la commissione di tali reati (41), ma dalla giurisprudenza della Corte potrebbe risultare che gli autori stessi di tali atti potrebbero non essere mai perseguiti.

81.      Salvo ammettere che tutta una serie di reati non possa mai essere perseguita, ritengo che l’equilibrio tra i diversi interessi in gioco dovrebbe essere oggetto di una nuova analisi.

82.      Queste diverse considerazioni mi inducono a proporre alla Corte un certo ripensamento della giurisprudenza relativa alle misure nazionali aventi ad oggetto la conservazione degli indirizzi IP interpretate alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58.

4.      Proposta di ripensamento della giurisprudenza della Corte relativa all’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58 in relazione a misure aventi ad oggetto la conservazione degli indirizzi IP attribuiti all’origine di una connessione

83.      Alla luce delle considerazioni che precedono, ritengo che l’articolo 15, paragrafo 1, della direttiva 2002/58 dovrebbe essere interpretato nel senso che non osta a misure che prevedano una conservazione generalizzata e indifferenziata degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario, a fini di prevenzione, ricerca, accertamento e perseguimento di reati online per il quali l’indirizzo IP costituisce l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato.

84.      Occorre sottolineare, a tal riguardo, che una simile proposta non rimette in discussione, a mio avviso, il requisito di proporzionalità imposto per la conservazione dei dati, alla luce del carattere grave dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta che tale ingerenza implica (42). Al contrario, essa soddisfa pienamente tale requisito.

85.      Da un lato, la limitazione ai diritti e agli obblighi previsti agli articoli 5, 6 e 9 della direttiva 2002/58 che la conservazione degli indirizzi IP configura persegue un obiettivo di interesse generale adeguato a tale gravità, ossia la prevenzione, la ricerca, l’accertamento e il perseguimento di reati contemplati da testi che resterebbero altrimenti privi di effetto.

86.      Dall’altro, tale limitazione avviene nei limiti dello stretto necessario. Una simile conservazione, infatti, è circoscritta ad ipotesi precise, ossia i reati commessi online e in relazione ai quali l’identificazione dell’autore può avere luogo soltanto grazie all’indirizzo IP che gli è attribuito. In altre parole, si tratta non di autorizzare una conservazione generalizzata e indifferenziata dei dati senza altre condizioni, ma soltanto di permettere il perseguimento di reati non in generale, ma ben determinati.

87.      Tuttavia, se è vero che l’articolo 15, paragrafo 1, della direttiva 2002/58 non osta ad una conservazione generalizzata ed indifferenziata degli indirizzi IP attributi all’origine di una connessione per assicurare la prevenzione, la ricerca, l’accertamento e il perseguimento di reati online per i quali l’indirizzo IP costituisce l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato, occorre inoltre precisare che, secondo la giurisprudenza, tale possibilità deve essere subordinata «al rigoroso rispetto delle condizioni sostanziali e procedurali che devono disciplinare l’utilizzo dei dati in questione» (43). La Corte precisa parimenti che una siffatta misura «deve prevedere condizioni e garanzie rigorose riguardo all’utilizzo di tali dati» (44).

88.      In altre parole, come ho già sottolineato, la conservazione dei dati e l’accesso a tali dati non possono essere concepiti isolatamente. In tali circostanze, se la possibilità per la Hadopi di accedere agli indirizzi IP non è a priori contraria all’articolo 15, paragrafo 1, della direttiva 2002/58 nella misura in cui tali dati siano stati conservati in conformità ai requisiti previsti a tale disposizione, è inoltre necessario, al fine di rispondere alle questioni pregiudiziali sottoposte alla Corte, esaminare se le condizioni di accesso agli indirizzi IP attribuiti all’origine di una connessione da parte della Hadopi siano, a loro volta, conformi a detta disposizione, in particolare con riferimento alla necessità o meno di un controllo preventivo di un siffatto accesso da parte di un giudice o di un’entità amministrativa indipendente.

89.      Dopo aver analizzato la questione preliminare della conservazione degli indirizzi IP attribuiti all’origine di una connessione, procederò all’esame dell’accesso a tali dati da parte della Hadopi alla luce dell’articolo 15, paragrafo 1, della direttiva 2002/58.

5.      Accesso ai dati relativi all’identità civile corrispondenti agli indirizzi IP da parte della Hadopi

90.      Dalla giurisprudenza della Corte si evince, per quanto riguarda gli obiettivi idonei a giustificare una misura nazionale che deroga al principio di riservatezza delle comunicazioni elettroniche, che l’accesso ai dati deve rispondere rigorosamente ed oggettivamente ad uno di tali obiettivi, e che l’obiettivo perseguito da tale misura deve essere commisurato alla gravità dell’ingerenza nei diritti fondamentali che tale accesso comporta (45).

91.      Inoltre, come ho già esposto (46), l’accesso ai dati conservati da fornitori in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 può, in linea di principio, essere giustificato unicamente dall’obiettivo di interesse generale per il quale siffatta conservazione è stata imposta a detti fornitori (47).

92.      La Corte ha in tal senso dichiarato, in conformità al principio di proporzionalità, che un’ingerenza grave può essere giustificata, in materia di prevenzione, ricerca, accertamento e perseguimento di violazioni penali, soltanto da un obiettivo di lotta contro la criminalità, la quale deve parimenti essere qualificata come grave (48).

93.      A tal riguardo, rilevo, contrariamente a quanto sostenuto dal governo francese e dalla Commissione, che l’accesso da parte della Hadopi ai dati relativi all’identità civile corrispondenti ad un indirizzo IP costituisce effettivamente un’ingerenza grave nei diritti fondamentali. Infatti, non si tratta soltanto di accedere ai dati relativi all’identità civile, i quali sono, di per sé, di bassa sensibilità, bensì di collegare tali dati ad un insieme più ampio di dati, ossia l’indirizzo IP, e anche, come sottolineato dai ricorrenti nel procedimento principale, ad un estratto del file scaricato in violazione del diritto d’autore. Si tratta quindi di collegare l’identità civile di una persona al contenuto del file consultato e all’indirizzo IP tramite il quale tale consultazione ha avuto luogo.

94.      Tuttavia, così come sono del parere di consentire parimenti la conservazione di dati che costituisce un’ingerenza grave nei diritti fondamentali ai fini della salvaguardia della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati online per il quali l’indirizzo IP costituisce l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato (49), ritengo che l’accesso a tali dati dovrebbe essere reso possibile al fine di perseguire lo stesso obiettivo, pena ammettere l’impunità generale dei reati commessi esclusivamente online.

95.      L’accesso da parte della Hadopi ai dati relativi all’identità civile abbinati ad un indirizzo IP mi sembra dunque giustificato dall’obiettivo di interesse generale per il quale tale conservazione è stata imposta ai fornitori di servizi di comunicazione elettronica.

96.      La giurisprudenza della Corte precisa tuttavia che una normativa nazionale che disciplina l’accesso delle autorità competenti a dati relativi al traffico e a dati relativi all’ubicazione conservati non può limitarsi ad esigere che l’accesso risponda all’obiettivo perseguito da tale normativa, ma deve prevedere anche le condizioni sostanziali e procedurali che disciplinano l’accesso delle autorità nazionali competenti ai dati interessati (50).

97.      In particolare, la Corte dichiara che, poiché un accesso generale a tutti i dati conservati, indipendentemente da una qualche connessione con la finalità perseguita, non può essere considerato limitato allo stretto necessario, la normativa nazionale deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati degli utenti, in modo da verificare che l’accesso venga accordato soltanto ai dati di persone sospettate di progettare, di commettere o di aver commesso una violazione grave, o di essere implicate in una maniera o in un’altra in una violazione siffatta (51).

98.      In tal senso, secondo la giurisprudenza, al fine di garantire, in pratica, il pieno rispetto di tali condizioni, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato, in linea di principio, ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente (52).

99.      Tuttavia, rilevo che la Corte ha stabilito tale necessità di un controllo preventivo dell’accesso ai dati personali in circostanze peculiari che differiscono dal caso di specie, implicando interferenze particolarmente gravi nella vita privata degli utenti di servizi di comunicazione elettronica.

100. Invero, in ciascuna delle sentenze che avevano sottolineato tale requisito, si trattava di misure nazionali che autorizzavano l’accesso alla totalità dei dati relativi al traffico e all’ubicazione degli utenti concernenti tutti i mezzi di comunicazione elettronica (53) o, quantomeno, la telefonia fissa e mobile (54). Più precisamente, era controverso l’accesso a un «insieme di dati (...) idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata» (55), cosicché il requisito di un controllo preventivo dell’accesso a tali dati da parte di un giudice o di un’entità amministrativa indipendente esiste, a mio avviso, soltanto a tali condizioni.

101. Orbene, da un lato, l’accesso da parte della Hadopi resta limitato all’instaurazione di un collegamento dei dati relativi all’identità civile con l’indirizzo IP utilizzato e con il file consultato in un momento preciso, senza che ciò porti a consentire alle autorità competenti di ricostruire il percorso di navigazione online dell’utente interessato, né, pertanto, di trarre conclusioni precise sulla sua vita privata al di là della conoscenza del file preciso consultato al momento della violazione. Non si tratta dunque di consentire il tracciamento della totalità delle attività online dell’utente in questione.

102. Dall’altro, tali dati riguardano unicamente i dati di persone che, come è stato constatato nei verbali redatti dagli organismi di aventi diritto, hanno posto in essere fatti idonei a costituire una violazione dell’obbligo previsto all’articolo L. 336-3 del CPI. L’accesso da parte della Hadopi ai dati relativi all’identità civile abbinati agli indirizzi IP è dunque strettamente limitato a quanto necessario al conseguimento dell’obiettivo perseguito, ossia consentire la prevenzione, la ricerca, l’accertamento e il perseguimento di reati online per i quali l’indirizzo IP costituisce l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato, nel quale si inscrive il meccanismo di risposta graduata.

103. In tali circostanze, ritengo che l’articolo 15, paragrafo 1, della direttiva 2002/58 non imponga l’esistenza di un controllo preventivo dell’accesso da parte della Hadopi ai dati relativi all’identità civile abbinati agli indirizzi IP degli utenti da parte di un giudice o di un’entità amministrativa indipendente.

104. Inoltre, rilevo, come sottolineato dal governo francese, che l’accesso da parte della Hadopi a tali dati, pur se non è soggetto a un controllo preventivo da parte di un giudice o di un’entità indipendente, non è tuttavia esente da qualsivoglia controllo, dal momento che il file inviato dalla Hadopi agli operatori di comunicazioni elettroniche viene creato ogni giorno da un agente giurato a partire dai ricorsi ricevuti e convalidati, in maniera casuale per campione, prima della loro aggiunta al file (56). Soprattutto, occorre osservare che la procedura di risposta graduata resta soggetta alle disposizioni della direttiva (UE) 2016/680 (57). A tale titolo, le persone fisiche prese in considerazione dalla Hadopi beneficiano di un insieme di garanzie sostanziali e procedurali previste da tale direttiva. Queste ultime includono il diritto di accesso, rettifica e cancellazione dei dati personali trattati dalla Hadopi, nonché la possibilità di procedere ad un reclamo dinanzi ad un’autorità di controllo indipendente, seguito, se del caso, da un ricorso giurisdizionale esperito alle condizioni di diritto comune (58).

105. Pertanto, propongo di rispondere alla prima e alla seconda questione pregiudiziale dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso non osta ad una normativa nazionale che consente la conservazione, da parte dei fornitori di servizi di comunicazioni elettroniche, e l’accesso, da parte di un’autorità amministrativa incaricata di proteggere i diritti d’autore e i diritti connessi contro le violazioni di tali diritti commesse su Internet, limitatamente ai dati relativi all’identità civile corrispondenti ad indirizzi IP, affinché tale autorità possa identificare i titolari di tali indirizzi sospettati di essere responsabili di siffatte violazioni e possa adottare, se del caso, misure nei loro confronti, senza che tale accesso sia subordinato ad un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente, qualora tali dati costituiscano l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato.

B.      Sulla terza questione pregiudiziale

106. Con la sua terza questione pregiudiziale, il giudice del rinvio chiede se, in caso di risposta affermativa alla prima e alla seconda questione, e tenuto conto della bassa sensibilità dei dati relativi all’identità civile, del rigoroso inquadramento dell’accesso ai dati e dell’imperativo di non compromettere la missione di servizio pubblico affidata all’autorità amministrativa in questione, l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8, e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a che il controllo preventivo dell’accesso venga effettuato secondo modalità appropriate, come un controllo automatizzato, eventualmente sotto la supervisione di un servizio interno all’organismo, che offra garanzie di indipendenza e di imparzialità relativamente agli agenti incaricati di tale raccolta.

107. Dal testo della terza questione pregiudiziale nonché dalla risposta scritta del governo francese ai quesiti della Corte emerge che le modalità di controllo appropriate cui viene fatto riferimento in tale questione riguardano non un dispositivo di controllo esistente nel diritto nazionale, bensì le piste che possono essere esplorate e che sono intese a conformare il dispositivo francese con il diritto dell’Unione, se del caso.

108. Orbene, secondo una costante giurisprudenza, una domanda di pronuncia pregiudiziale non ha come obiettivo la formulazione di pareri a carattere consultivo su questioni generali o teoriche, ma mira a soddisfare la necessità di dirimere concretamente una controversia vertente sul diritto dell’Unione (59).

109. Poiché la terza questione pregiudiziale riveste dunque, a mio avviso, un carattere ipotetico, essa deve essere dichiarata irricevibile.

110. In ogni caso, alla luce della risposta che propongo di dare alla prima e alla seconda questione pregiudiziale, non occorre rispondere alla terza questione.

V.      Conclusione

111. Alla luce dell’insieme delle considerazioni che precedono, propongo alla Corte di rispondere nei seguenti termini alle questioni pregiudiziali sollevate dal Conseil d’État (Consiglio di Stato, Francia):

L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea

deve essere interpretato nel senso che:

esso non osta ad una normativa nazionale che consente la conservazione, da parte dei fornitori di servizi di comunicazioni elettroniche, e l’accesso, da parte di un’autorità amministrativa incaricata di proteggere i diritti d’autore e i diritti connessi contro le violazioni di tali diritti commesse su Internet, limitatamente ai dati relativi all’identità civile corrispondenti ad indirizzi IP, affinché tale autorità possa identificare i titolari di tali indirizzi sospettati di essere responsabili di siffatte violazioni e possa adottare, se del caso, misure nei loro confronti, senza che tale accesso sia subordinato ad un controllo preventivo da parte di un giudice o di un’entità amministrativa indipendente, qualora tali dati costituiscano l’unico strumento di indagine che permetta di identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato.

---

1      Lingua originale: il francese.

---

2      Direttiva del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37).

---

3      Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

---

4      JORF del 7 marzo 2010, testo n. 19.

---

5      JORF del 31 luglio 2021, testo n. 1. Questa versione dell’articolo L. 34-1 del CPCE, in vigore dal 31 luglio 2021, è stata adottata a seguito della decisione del Conseil d’État (Consiglio di Stato, Francia) del 21 aprile 2021, n. 393099 (JORF del 25 aprile 2021) che aveva respinto la versione precedente di tale disposizione, la quale includeva un obbligo di conservazione di dati personali «ai fini della ricerca, dell’accertamento e del perseguimento dei reati o di una violazione dell’obbligo stabilito all’articolo L. 336-3 [del CPI]» al solo scopo di consentire, ove necessario, la messa a disposizione, segnatamente, della Hadopi. Con decisione n. 2021-976-977 QPC, del 25 febbraio 2022 (M. Habib A. et autre), il Conseil constitutionnel (Corte costituzionale, Francia) ha dichiarato la contrarietà alla Costituzione di tale precedente versione dell’articolo L. 34-1 del CPCE essenzialmente in quanto, «autorizzando la conservazione generale e indifferenziata dei dati di connessione, le disposizioni contestate arrecano un pregiudizio sproporzionato al diritto al rispetto della vita privata» (punto 13). Tale organo giurisdizionale ha infatti ritenuto che i dati di connessione che devono essere conservati in forza di tali disposizioni vertano non solo sull’identificazione degli utenti dei servizi di comunicazione elettronica bensì anche su altri dati che, «alla luce della loro diversità e dei trattamenti di cui possono essere oggetto, forniscono su tali utenti nonché, se del caso, su terzi, informazioni numerose e precise, particolarmente lesive della loro vita privata» (punto 11).

---

6      V. sentenza del 6 ottobre 2020 (C‑511/18, C‑512/18 e C‑520/18; in prosieguo: la «sentenza La Quadrature du Net e a.», EU:C:2020:791, dispositivo).

---

7      V. sentenza del 21 dicembre 2016 (C‑203/15 e C‑698/15; in prosieguo: la «sentenza Tele2», EU:C:2016:970, dispositivo).

---

8      Punto 120 di tale sentenza.

---

9      Punto 189 di tale sentenza.

---

10      Sentenza del 2 marzo 2021 (C‑746/18; in prosieguo: la «sentenza Prokuratuur», EU:C:2021:152).

---

11      Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).

---

12      V. sentenza La Quadrature du Net e a. (punti 155 e 159).

---

13      V. sentenza Tele2 (punto 79).

---

14      V. sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punto 49).

---

15      Sentenza del 2 ottobre 2018 (C‑207/16, EU:C:2018:788).

---

16      V. sentenza Prokuratuur (punto 29).

---

17      V. sentenza del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punti da 127 a 130).

---

18      V. sentenze La Quadrature du Net e a. (punto 166); del 5 aprile 2022, Commissioner of An Garda Síochána e a. (C‑140/20; in prosieguo: la «sentenza Commissioner of An Garda Síochána e a.» EU:C:2022:258, punto 98), e del 20 settembre 2022, SpaceNet, (C‑793/19 e C‑794/19; in prosieguo: la «sentenza SpaceNet», EU:2002:702, punto 131).

---

19      V. sentenze La Quadrature du Net e a. (punto 107); Commissioner of An Garda Síochána e a. (punto 35), e SpaceNet (punto 52).

---

20      V. sentenze Tele2 (punto 86); La Quadrature du Net e a. (punto 108); Commissioner of An Garda Síochána e a. (punto 38), e SpaceNet (punto 55).

---

21      V. sentenze La Quadrature du Net e a. (punto 109); Commissioner of An Garda Síochána e a. (punto 37), e SpaceNet (punto 54).

---

22      V. sentenze La Quadrature du Net e a. (punti 110 e 111); Commissioner of An Garda Síochána e a. (punto 40), e SpaceNet (punto 57).

---

23      V. sentenze La Quadrature du Net e a. (punto 112); Commissioner of An Garda Síochána e a. (punto 41), e SpaceNet (punto 58).

---

24      V. sentenze La Quadrature du Net e a. (punti 113 e 114); Commissioner of An Garda Síochána e a. (punto 42), e SpaceNet (punto 60).

---

25      V. sentenze La Quadrature du Net e a. (punti da 120 a 122); Commissioner of An Garda Síochána e a. (punto 48), e SpaceNet (punto 63).

---

26      V. sentenze La Quadrature du Net e a. (punti da 120 a 122); Commissioner of An Garda Síochána e a. (punto 49), e SpaceNet (punto 64).

---

27      V. sentenze La Quadrature du Net e a. (punti da 127 a 129); Commissioner of An Garda Síochána e a. (punti 50 e 51), e SpaceNet (punti 65 e 66).

---

28      V. sentenze La Quadrature du Net e a. (punto 131); Commissioner of An Garda Síochána e a. (punto 53), e SpaceNet (punto 68).

---

29      V. paragrafi 41 e segg. delle presenti conclusioni.

---

30      V. sentenza La Quadrature du Net e a. (punto 152).

---

31      V. sentenze La Quadrature du Net e a. (punto 153); Commissioner of An Garda Síochána e a. (punto 73), e SpaceNet (punto 103) (il corsivo è mio).

---

32      V. sentenze La Quadrature du Net e a. (punto 154); Commissioner of An Garda Síochána e a. (punto 73), e SpaceNet (punto 103).

---

33      V. sentenze La Quadrature du Net e a. (punti 155 e 156); Commissioner of An Garda Síochána e a. (punto 74), e SpaceNet (punti 104 e 105).

---

34      V. sentenze La Quadrature du Net e a. (punto 156) e SpaceNet (punto 105).

---

35      C‑597/19, EU:C:2020:1063, paragrafo 98.

---

36      V. le mie conclusioni nella causa M.I.C.M. (C‑597/19, EU:C:2020:1063, paragrafo 97).

---

37      V. sentenze del 19 aprile 2012, Bonnier Audio e a. (C‑461/10, EU:C:2012:219, punto 55); del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 34), e del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punti  da 47  a  54).

---

38      V., in tal senso, sentenza del 29 gennaio 2008, Promusicae (C‑275/06, EU:C:2008:54, punti da 50 a 52).

---

39      V. paragrafo 65 delle presenti conclusioni.

---

40      V. le mie conclusioni nella causa M.I.C.M. (C‑597/19, EU:C:2020:1063, paragrafo 103).

---

41      V. articolo 15, paragrafo 1, della direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («Direttiva sul commercio elettronico») (GU 2000, L 78, pag. 1).

---

42      V. paragrafi 60 e 61 delle presenti conclusioni.

---

43      V. sentenza La Quadrature du Net e a. (punto 155) (il corsivo è mio).

---

44      V. sentenza La Quadrature du Net e a. (punto 156) (il corsivo è mio).

---

45      V. sentenze del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punto 55), e Prokuratuur (punto 32).

---

46      Paragrafo 47 delle presenti conclusioni.

---

47      V. sentenze SpaceNet (punto 131); La Quadrature du Net e a. (punto 166), e Commissioner of An Garda Síochána e a. (punto 98).

---

48      V. sentenze Tele2 (punto 115); del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punto 56), e Prokuratuur (punto 33).

---

49      V. paragrafi 65 e seguenti delle presenti conclusioni.

---

50      V. sentenze Tele2 (punto 118); Prokuratuur (punto 49), e Commissioner of An Garda Síochána e a. (punto 104).

---

51      V. sentenze Tele2 (punto 119); Prokuratuur (punto 50), e Commissioner of An Garda Síochána e a. (punto 105).

---

52      V. sentenze Tele2 (punto 119); Prokuratuur (punto 50), e Commissioner of An Garda Síochána e a. (punto 105).

---

53      V. sentenze Tele2 e Commissioner of An Garda Síochána e a.

---

54      V. sentenza Prokuratuur.

---

55      V. sentenza Prokuratuur (punto 45).

---

56      A titolo accessorio, rilevo che argomenti di fattibilità depongono parimenti contro l’obbligo di un controllo preventivo sistematico. L’esistenza di un sistema organizzato di lotta contro le violazioni del diritto d’autore commesse online, come quello di cui al procedimento principale, presuppone la necessità di trattare considerevoli quantità di dati personali, in linea con il numero di violazioni perseguite, ossia, a titolo di esempio per il 2019, secondo le osservazioni del governo francese, 33 465 richieste di identificazione di indirizzi IP effettuate giornalmente dalla Hadopi. In tale contesto, l’obbligo di un controllo preliminare all’accesso a tali dati rischierebbe di compromettere, nella prassi, il funzionamento dei meccanismi di lotta organizzata contro la contraffazione online, rimettendo in discussione l’equilibrio tra i diritti degli utenti e quelli degli autori.

---

57      Direttiva del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).

---

58      L’insieme di tali garanzie è previsto dalle disposizioni del capo III, titolo III, della loi n. 78-17 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 (legge n. 78-17 relativa all’informatica, ai file e alle libertà, del 6 gennaio 1978 (JORF del 7 gennaio 1978).

---

59      V. sentenze del 26 ottobre 2017, Balgarska energiyna borsa (C‑347/16, EU:C:2017:816, punto 31); del 31 maggio 2018, Confetra e a. (C‑259/16 e C‑260/16, EU:C:2018:370, punto 63), e del 17 ottobre 2019, Elektrorazpredelenie Yug (C‑31/18, EU:C:2019:868, punto 32).