Causa C‑217/04
Regno Unito di Gran Bretagna e Irlanda del Nord
contro
Parlamento europeo
e
Consiglio dell’Unione europea
«Regolamento (CE) n. 460/2004 — Agenzia europea per la sicurezza delle reti e dell’informazione — Scelta del fondamento normativo»
Conclusioni dell’avvocato generale J. Kokott, presentate il 22 settembre 2005
Sentenza della Corte (Grande Sezione) 2 maggio 2006
Massime della sentenza
1. Ravvicinamento delle legislazioni — Art. 95 CE — Portata
(Art. 95 CE)
2. Ravvicinamento delle legislazioni — Settore delle telecomunicazioni
[Art. 95 CE; regolamento (CEE) del Parlamento europeo e del Consiglio n. 460/2004]
1. Con l’espressione «misure relative al ravvicinamento» di cui all’art. 95 CE, gli autori del Trattato hanno voluto attribuire al legislatore comunitario, in funzione del contesto generale e delle circostanze specifiche della materia da armonizzare, un margine di discrezionalità in merito alla tecnica di ravvicinamento più appropriata per ottenere il risultato auspicato, segnatamente in settori caratterizzati da particolarità tecniche complesse.
In proposito, nulla nel tenore testuale dell’art. 95 CE permette di concludere che i provvedimenti adottati dal legislatore comunitario sul fondamento di tale disposizione debbano limitarsi, quanto ai loro destinatari, ai soli Stati membri. Può infatti rendersi necessario prevedere, sulla scorta di una valutazione rimessa al detto legislatore, l’istituzione di un organismo comunitario incaricato di contribuire alla realizzazione di un processo di armonizzazione nelle situazioni in cui, per agevolare l’attuazione e l’applicazione uniformi di atti fondati su tale norma, appaia appropriata l’adozione di misure di accompagnamento e di inquadramento non vincolanti.
Tuttavia, le mansioni affidate a un organismo del genere devono riconnettersi strettamente alle materie che costituiscono oggetto degli atti di ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri. È quanto avviene, in particolare, qualora l’organismo comunitario così istituito fornisca prestazioni alle autorità nazionali e/o agli operatori idonee ad incidere sull’attuazione omogenea degli strumenti di armonizzazione e ad agevolarne l’applicazione.
(v. punti 43‑45)
2. Correttamente il regolamento n. 460/2004, che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione, è fondato sull’art. 95 CE.
In primo luogo, infatti, per quanto riguarda gli obiettivi assegnati all’Agenzia dall’art. 2 del detto regolamento, la direttiva 2002/21, che istituisce un ambito normativo comune per le reti ed i servizi di comunicazione elettronica, è diretta, come risulta dal suo art. 1, n. 1, ad istituire un quadro normativo armonizzato per la disciplina dei servizi di comunicazione elettronica, delle reti di comunicazione elettronica e delle risorse e servizi correlati. Inoltre, numerose disposizioni delle direttive speciali riflettono le preoccupazioni del legislatore comunitario in merito alla sicurezza delle reti e dell’informazione. Così è nel caso delle direttive 2002/20, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica, 2002/22, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, 2002/58, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e 1999/93, relativa ad un quadro comunitario per le firme elettroniche. Peraltro, i compiti affidati all’Agenzia in forza dell’art. 3 dello stesso regolamento sono strettamente connessi agli obiettivi perseguiti dalla direttiva 2002/21 e dalle direttive speciali nel settore della sicurezza delle reti e dell’informazione.
In secondo luogo, per quanto riguarda l’attuazione della normativa comunitaria in materia, il detto regolamento non costituisce un provvedimento isolato, inscrivendosi invece in un contesto normativo, delimitato dalla direttiva 2002/21 nonché dalle direttive speciali relative alle reti e alle comunicazioni elettroniche, diretto alla realizzazione del mercato interno nel settore delle comunicazioni elettroniche. Inoltre, trovandosi di fronte a una materia che implica tecnologie non soltanto complesse, ma altresì in rapido mutamento, il legislatore comunitario ha ritenuto che l’istituzione di un organismo comunitario quale l’Agenzia fosse un mezzo adeguato per prevenire l’insorgere di disparità potenzialmente idonee a creare ostacoli al buon funzionamento del mercato interno in materia.
Infine, dal combinato disposto degli artt. 25, nn. 1 e 2, e 27 del regolamento, secondo i quali l’Agenzia dovrebbe essere istituita per un periodo limitato e il suo funzionamento dovrebbe essere sottoposto a una valutazione destinata ad accertare se tale periodo debba essere prorogato, risulta che il legislatore comunitario ha ritenuto appropriato effettuare, prima di adottare una decisione sulla sorte dell’Agenzia, una valutazione dell’efficacia dell’azione di tale Agenzia nonché del suo effettivo contributo all’attuazione della direttiva 2002/21 e delle direttive speciali.
(v. punti 47‑48, 50‑55, 58, 60‑62, 65‑67)
SENTENZA DELLA CORTE (Grande Sezione)
2 maggio 2006 (*)
«Regolamento (CE) n. 460/2004 – Agenzia europea per la sicurezza delle reti e dell’informazione – Scelta del fondamento normativo»
Nella causa C-217/04,
avente ad oggetto un ricorso d’annullamento, ai sensi dell’art. 230 CE, proposto il 20 maggio 2004,
Regno Unito di Gran Bretagna e Irlanda del Nord, rappresentato dal sig. M. Bethell, in qualità di agente, assistito da Lord Goldsmith e dal sig. N. Paines, QC, nonché dal sig. T. Ward, barrister,
ricorrente,
contro
Parlamento europeo, rappresentato dai sigg. K. Bradley e U. Rösslein, in qualità di agenti, con domicilio eletto in Lussemburgo,
Consiglio dell’Unione europea, rappresentato dalla sig.ra M. Veiga e dal sig. A. Lopes Sabino, in qualità di agenti,
convenuti,
sostenuti da:
Repubblica di Finlandia, rappresentata dalle sig.re T. Pynnä e A. Guimaraes-Purokoski, in qualità di agenti,
Commissione delle Comunità europee, rappresentata dai sigg. F. Benyon e M. Shotter, in qualità di agenti, con domicilio eletto in Lussemburgo,
intervenienti,
LA CORTE (Grande Sezione),
composta dal sig. V. Skouris, presidente, dai sigg. P. Jann, C.W.A. Timmermans, A. Rosas e J. Malenovský, presidenti di sezione, dal sig. R. Schintgen, dalla sig.ra N. Colneric, dai sigg. S. von Bahr e J.N. Cunha Rodrigues, dalla sig.ra R. Silva de Lapuerta (relatore), dai sigg. M. Ilešič, J. Klučka e U. Lõhmus, giudici,
avvocato generale: sig.ra J. Kokott
cancelliere: sig.ra K. Sztranc, amministratore
vista la fase scritta del procedimento e in seguito alla trattazione orale del 7 settembre 2005,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 22 settembre 2005,
ha pronunciato la seguente
Sentenza
1 Con il suo ricorso, il Regno Unito di Gran Bretagna e Irlanda del Nord domanda l’annullamento del regolamento (CE) del Parlamento europeo e del Consiglio 10 marzo 2004, n. 460, che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione (GU L 77, pag. 1; in prosieguo: il «regolamento»).
2 Con ordinanza del presidente della Corte 25 novembre 2004, la Repubblica di Finlandia e la Commissione delle Comunità europee sono state ammesse a intervenire a sostegno delle conclusioni del Parlamento europeo e del Consiglio dell’Unione europea.
Contesto normativo
Normativa comunitaria in generale
3 La direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/21/CE, che istituisce un ambito normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva «quadro») (GU L 108, pag. 33), mira, ai sensi dell’art. 1, n. 1, a creare un quadro normativo armonizzato per la disciplina dei servizi di comunicazione elettronica nonché delle risorse e servizi correlati. Essa definisce, in particolare, le funzioni delle autorità nazionali di regolamentazione ed istituisce le procedure atte a garantire l’applicazione armonizzata del quadro normativo nella Comunità.
4 La normativa comunitaria relativa alle reti e comunicazioni elettroniche comprende inoltre le seguenti direttive (in prosieguo: le «direttive speciali»):
– la direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/19/CE, relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime (direttiva «accesso») (GU L 108, pag. 7);
– la direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/20/CE, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica (direttiva «autorizzazioni») (GU L 108, pag. 21);
– la direttiva del Parlamento europeo e del Consiglio 7 marzo 2002, 2002/22/CE, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva «servizio universale») (GU L 108, pag. 51);
– la direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 37);
– la direttiva del Parlamento europeo e del Consiglio 13 dicembre 1999, 1999/93/CE, relativa ad un quadro comunitario per le firme elettroniche (GU 2000, L 13, pag. 12; in prosieguo: la «direttiva “firme elettroniche”»);
– la direttiva del Parlamento europeo e del Consiglio 8 giugno 2000, 2000/31/CE, relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («direttiva sul commercio elettronico») (GU L 178, pag. 1).
5 Con decisione 29 luglio 2002, 2002/627/CE (GU L 200, pag. 38), la Commissione ha istituito il gruppo dei regolatori europei per le reti ed i servizi di comunicazione elettronica.
Il regolamento
6 Il regolamento è stato adottato sulla base dell’art. 95 CE. Il suo art. 1, n. 1, istituisce un’Agenzia europea per la sicurezza delle reti e dell’informazione (in prosieguo: l’«Agenzia»).
7 Ai sensi dell’art. 1, n. 2, del regolamento, il compito dell’Agenzia consiste nell’«assiste[re] la Commissione e gli Stati membri, e di conseguenza [nel collaborare] con la comunità degli operatori economici, al fine di aiutarli a soddisfare i requisiti di sicurezza delle reti e dell’informazione, assicurando in tal modo il buon funzionamento del mercato interno, compresi quelli previsti dalla normativa comunitaria attuale e futura, quale la direttiva 2002/21/CE».
8 L’art. 2 del regolamento, intitolato «Obiettivi», ha il seguente tenore:
«1. L’Agenzia accresce la capacità della Comunità e degli Stati membri e, di conseguenza, della comunità degli operatori economici di prevenire e affrontare i problemi di sicurezza delle reti e dell’informazione e di reagirvi.
2. L’Agenzia fornisce assistenza e consulenza alla Commissione e agli Stati membri su questioni connesse con la sicurezza delle reti e dell’informazione che rientrano nelle sue competenze come previsto dal presente regolamento.
3. Sulla base degli sforzi compiuti a livello nazionale e comunitario l’Agenzia sviluppa un alto livello di competenze. Essa si serve di tali competenze per stimolare un’ampia cooperazione tra attori dei settori pubblico e privato.
4. L’Agenzia assiste la Commissione, su richiesta, nei lavori tecnici preparatori intesi ad aggiornare e sviluppare la normativa comunitaria nel settore della sicurezza delle reti e dell’informazione».
9 L’art. 3 del regolamento definisce i compiti che l’Agenzia deve svolgere «per assicurare che siano rispettati l’ambito di applicazione e gli obiettivi di cui agli artt. 1 e 2». Tali compiti sono i seguenti:
«a) raccogliere le informazioni appropriate per analizzare rischi attuali ed emergenti e, in particolare a livello europeo, quelli che potrebbero avere un impatto sul buon funzionamento e sulla disponibilità di reti elettroniche di comunicazione e l’autenticità, integrità e riservatezza delle informazioni accessibili e da esse trasmesse, nonché fornire i risultati delle analisi agli Stati membri e alla Commissione;
b) fornire consulenza e, su richiesta e nell’ambito dei suoi obiettivi, assistenza al Parlamento europeo, alla Commissione, agli organismi comunitari o ad organismi nazionali competenti designati dagli Stati membri;
c) migliorare la cooperazione tra i diversi soggetti che operano nel settore della sicurezza delle reti e dell’informazione, tra l’altro organizzando periodicamente consultazioni con l’industria, le università nonché con altri settori interessati e creando reti di contatto per gli organismi comunitari, gli enti pubblici designati dagli Stati membri, gli enti privati e le organizzazioni di consumatori;
d) agevolare la cooperazione tra la Commissione e gli Stati membri nell’elaborazione di metodologie comuni al fine di prevenire, affrontare e risolvere problemi attinenti alla sicurezza delle reti e dell’informazione;
e) contribuire a sensibilizzare il pubblico e a mettere tempestivamente a disposizione di tutti gli utenti informazioni obiettive e complete sui temi legati alla sicurezza delle reti e dell’informazione, promuovendo tra l’altro scambi di migliori prassi attuali, anche per quanto riguarda i metodi di allertamento degli utenti, e ricercando una sinergia tra le iniziative del settore pubblico e privato;
f) assistere la Commissione e gli Stati membri nel loro dialogo con l’industria al fine di affrontare i problemi di sicurezza nei prodotti hardware e software;
g) seguire l’evoluzione delle norme sulla sicurezza delle reti e dell’informazione per prodotti e servizi;
h) consigliare la Commissione sulla ricerca nel settore della sicurezza delle reti e dell’informazione così come sull’uso efficace delle tecnologie di prevenzione dei rischi;
i) promuovere attività di valutazione dei rischi, soluzioni interoperabili per la loro gestione e studi sulle soluzioni per una gestione della prevenzione all’interno delle organizzazioni del settore pubblico e privato;
j) contribuire agli sforzi comunitari in materia di cooperazione con i paesi terzi e, se del caso, con organizzazioni internazionali al fine di promuovere un approccio globale comune alle questioni legate alla sicurezza delle reti e dell’informazione, contribuendo in tal modo allo sviluppo di una cultura in materia di sicurezza delle reti e dell’informazione;
k) formulare in modo indipendente conclusioni, orientamenti e consulenza su argomenti che rientrano nel suo ambito di applicazione e tra i suoi obiettivi».
10 Le sezioni 2 e 3 del regolamento riguardano rispettivamente l’organizzazione e il funzionamento dell’Agenzia.
Sul ricorso
Argomenti delle parti
11 A sostegno della domanda di annullamento del regolamento, il Regno Unito afferma che l’art. 95 CE non fornisce un fondamento normativo adeguato per l’adozione di tale regolamento. Il potere conferito al legislatore comunitario dall’art. 95 CE sarebbe quello di armonizzare le legislazioni nazionali e non quello di istituire organismi comunitari attribuendo loro determinati compiti.
12 A parere del Regno Unito, il criterio da applicare consiste nel verificare se lo strumento adottato in forza dell’art. 95 CE persegua una finalità che potrebbe essere conseguita mediante l’adozione simultanea di una legislazione identica in ciascuno Stato membro. Se così fosse, il regolamento armonizzerebbe i diritti nazionali. Se, per contro, il regolamento «fa qualcosa in più», che non avrebbe potuto farsi mediante l’adozione simultanea di una legislazione identica a livello degli Stati membri, se, cioè, legifera in settori che esulano dall’ambito della capacità di questi ultimi, individualmente considerati, non si tratterebbe di un provvedimento di armonizzazione.
13 Il Regno Unito ammette che un provvedimento di armonizzazione adottato in forza dell’art. 95 CE possa contenere disposizioni che, di per sé, non costituiscono armonizzazione delle legislazioni nazionali, qualora tali disposizioni siano semplicemente incidentali o siano volte all’attuazione di disposizioni che, per parte loro, armonizzano i diritti nazionali.
14 Il detto Stato membro ritiene che nessuna delle disposizioni del regolamento ravvicini, ancorché indirettamente o limitatamente, le normative nazionali. Sarebbe anzi espressamente preclusa all’Agenzia la possibilità di interferire con le competenze degli organismi nazionali, posto che essa dovrebbe limitarsi a fornire consulenze non vincolanti nel settore interessato.
15 Il Regno Unito rileva che il regolamento fa fronte ai rischi che la complessità della materia comporta per il buon funzionamento del mercato interno non già mediante l’armonizzazione delle normative nazionali, bensì attraverso la creazione di un organismo comunitario dotato di ruolo consultivo. Orbene, il fatto che un provvedimento comunitario possa giovare al funzionamento del mercato interno non implicherebbe che si tratti di una misura di armonizzazione ai sensi dell’art. 95 CE.
16 Il Regno Unito precisa che la prestazione di consulenze non vincolanti non equivale a un «ravvicinamento delle disposizioni legislative, regolamentari ed amministrative» ai sensi dell’art. 95 CE. Per giunta, il moltiplicarsi di consulenze del genere potrebbe in pratica determinare un aumento delle disparità esistenti tra le normative nazionali. Il fatto che le consulenze fornite dall’Agenzia possano indurre gli Stati membri ad esercitare in maniera simile la discrezionalità di cui dispongono in forza della direttiva-quadro e delle direttive speciali costituirebbe una mera speculazione.
17 Il detto Stato membro sottolinea che le funzioni dell’Agenzia si limitano a sviluppare le competenze e a fornire consulenza a un’ampia gamma di destinatari potenziali, e che l’unico nesso possibile eventualmente esistente tra le mansioni che essa assolve e l’armonizzazione del diritto sarebbe quello risultante dal fatto che essa fornisce assistenza alla Commissione. Orbene, tale ruolo, che sembra configurare una funzione di ricerca tecnica, presenterebbe un collegamento troppo remoto con la legislazione comunitaria di armonizzazione delle norme nazionali.
18 Il Regno Unito ritiene che l’esistenza della direttiva-quadro e delle direttive speciali non modifichi tali considerazioni. Le attività dell’Agenzia, infatti, si estenderebbero ben al di là dell’ambito di applicazione di tali direttive. Inoltre, la prestazione di consulenze non vincolanti, come prevista dal regolamento, non agevolerebbe l’attuazione di tali direttive, posto che questa funzione sarebbe riservata esclusivamente ad organismi competenti degli Stati membri diversi dall’Agenzia.
19 Esso rileva che il ruolo attribuito a quest’ultima sarebbe più ampio di quello delineato all’ambito di applicazione delle direttive speciali, in quanto il regolamento riguarderebbe la sicurezza non soltanto delle reti di comunicazione, ma anche dei sistemi di informazione, come le banche dati.
20 Il Regno Unito sostiene inoltre che la motivazione del regolamento è insufficiente in merito all’eventuale verificarsi di ostacoli agli scambi dovuti all’esistenza di normative nazionali divergenti in merito alla sicurezza dell’informazione. Orbene, la mera possibilità di un’applicazione eterogenea dei requisiti di sicurezza delle reti e il fatto che tali requisiti possano condurre a soluzioni inefficaci e ad ostacoli al mercato interno non possono costituire una motivazione sufficiente in proposito.
21 Lo Stato membro ricorrente riconosce che la creazione dell’Agenzia è conforme a una finalità condivisibile, vale a dire l’istituzione, da parte della Comunità, di un proprio centro di conoscenze nel settore della sicurezza delle reti e dell’informazione. Precisa inoltre di non opporsi al contenuto delle disposizioni del regolamento, ma conclude che esso, per tutti i motivi dedotti, avrebbe dovuto fondarsi sull’art. 308 CE.
22 Il Parlamento afferma che l’art. 95 CE non specifica fino a qual punto l’atto comunitario progettato debba operare il ravvicinamento degli ordinamenti giuridici degli Stati membri. Il Trattato CE non imporrebbe che provvedimenti adottati su tale fondamento normativo ravvicinino le disposizioni sostanziali delle normative nazionali quando sia più appropriato un grado inferiore di azione comunitaria. Sarebbe infatti sufficiente che un provvedimento fondato sulla detta disposizione sia relativo al ravvicinamento delle disposizioni nazionali, anche ove tale provvedimento non operi esso stesso un ravvicinamento siffatto.
23 Il Parlamento rileva che il regolamento intende provvedere al ravvicinamento di talune disposizioni che gli Stati membri hanno adottato o si accingono ad adottare, nel settore della sicurezza delle reti e dell’informazione, al fine di agevolare un’attuazione efficace della legislazione comunitaria esistente in materia. In tale contesto, il ricorso a un fondamento normativo diverso e più restrittivo sarebbe incoerente, dato che il regolamento dovrebbe essere valutato in quanto complemento ad un insieme di direttive attinenti al mercato interno delle reti e dei servizi di comunicazione elettronica.
24 Il Parlamento afferma che il legislatore ha ritenuto appropriato adottare un approccio comune ai problemi attuali e prevedibili in merito alla sicurezza delle reti e dell’informazione, istituendo un organismo incaricato di consigliare le autorità pubbliche a livello comunitario e nazionale, nell’ambito di una stretta concertazione con il settore privato. I tre settori di attività dell’Agenzia, vale a dire la raccolta e diffusione dell’informazione, le funzioni consultive nonché la missione di cooperazione, contribuirebbero all’adozione di un approccio comune ai vari aspetti attinenti alla sicurezza delle reti e dell’informazione.
25 Il Parlamento sottolinea che, quantunque, in teoria, la Comunità avrebbe potuto adottare norme di armonizzazione delle disposizioni degli Stati membri in merito a tutte o ad alcune delle materie su cui verte il regolamento, il legislatore comunitario, vista la complessità tecnica del settore e la sua rapida evoluzione, ha elaborato il regolamento per impedire l’insorgere di ostacoli agli scambi e la perdita di efficacia che discenderebbe dall’adozione non coordinata di applicazioni tecniche e organizzative da parte degli Stati membri. Il legislatore avrebbe tentato di pervenirvi mediante un «ravvicinamento a bassa intensità», grazie al quale gli Stati membri sarebbero in grado di adottare atti omogenei idonei ad attuare i vari strumenti comunitari relativi alle comunicazioni elettroniche, creando un centro di conoscenze incaricato di fornire orientamenti, consulenza e assistenza in materia.
26 Il Parlamento aggiunge che il fatto che le disposizioni di armonizzazione sostanziali siano state definite nella direttiva-quadro e nelle direttive speciali non muta la natura di misura complementare del regolamento, concepito per agevolare l’attuazione di tali direttive.
27 Secondo il Parlamento, le funzioni dell’Agenzia sono relativamente modeste, nel senso che non includono il potere di adottare «standard». La prestazione di consulenze provenienti da un centro di conoscenze unico, autorevole a livello europeo, contribuirebbe infatti ad adottare posizioni comuni in situazioni in cui la Comunità e gli attori nazionali rischiano di ricevere consulenze tecniche disparate. Le diverse forme di cooperazione incoraggiate dall’Agenzia agevolerebbero anch’esse il ravvicinamento delle condizioni del mercato e l’adozione, da parte degli Stati membri, di misure idonee a far fronte ai problemi della sicurezza dell’informazione.
28 Il Parlamento europeo sostiene infine che, ove la Corte dovesse dichiarare che il regolamento non può fondarsi sull’art. 95 CE, esso può in ogni caso fondarsi sui poteri impliciti conferiti al legislatore comunitario da questa stessa disposizione. Sotto il profilo di questi poteri impliciti, la creazione dell’Agenzia potrebbe essere considerata indispensabile per garantire che siano raggiunti gli obiettivi perseguiti dalle direttive speciali.
29 Il Consiglio sostiene che il ravvicinamento di cui all’art. 95 CE riguarda non soltanto le legislazioni nazionali, ma anche le disposizioni regolamentari ed amministrative degli Stati membri. Peraltro, atti adottati sulla scorta di questo fondamento normativo potrebbero contenere disposizioni che, di per sé, non costituiscono norme di armonizzazione, ma che agevolano il ravvicinamento delle normative nazionali. In particolare, nulla nel testo di tale articolo impedirebbe al legislatore di creare un organismo comunitario incaricato di apportare competenze specializzate in un settore che è già oggetto di strumenti di armonizzazione.
30 Il Consiglio precisa in proposito che l’art. 95 CE non esclude la possibilità che il legislatore comunitario adotti provvedimenti diretti a prevenire l’insorgere di ostacoli futuri agli scambi dovuti all’evoluzione eterogenea delle legislazioni nazionali. Il legislatore sarebbe infatti competente ad adottare atti che, pur non costituendo essi stessi norme di armonizzazione, siano direttamente pertinenti al ravvicinamento delle norme nazionali, segnatamente al fine di prevenire il verificarsi di soluzioni inefficaci e di evoluzioni eterogenee delle normative degli Stati membri.
31 Il Consiglio rileva che, aiutando la Commissione a svolgere i lavori tecnici preparatori della legislazione comunitaria, l’Agenzia apporterà, ancorché mediante consulenze non vincolanti, un contributo decisivo all’armonizzazione delle normative e delle prassi nazionali nel settore della sicurezza delle reti e dell’informazione nonché all’aggiornamento, allo sviluppo e all’attuazione di tale normativa.
32 Secondo il Consiglio, il parere di un’autorità indipendente, che fornisca consulenza tecnica su richiesta della Commissione e degli Stati membri, agevola la trasposizione nel diritto interno degli Stati membri delle direttive adottate in materia. Il regolamento non avrebbe quindi un effetto accessorio o sussidiario in termini di armonizzazione delle condizioni del mercato all’interno della Comunità, bensì contribuirebbe direttamente al ravvicinamento delle normative nazionali.
33 Il Consiglio sostiene infine che l’art. 308 CE conferisce al legislatore comunitario una competenza legislativa soltanto residua nei settori in cui alla Comunità non è stato conferito il potere legislativo sostanziale di realizzare determinati obiettivi. Qualora esista, in realtà, un fondamento normativo specifico per l’adozione di un atto comunitario, il ricorso all’art. 308 CE è escluso, posto che quest’ultimo costituisce soltanto un fondamento giuridico «residuale».
34 La Repubblica di Finlandia afferma che gli obiettivi e il contenuto del regolamento sono strettamente connessi all’instaurazione e al buon funzionamento del mercato interno. Il compito fondamentale dell’Agenzia consisterebbe infatti nel garantire un livello elevato ed efficace di sicurezza delle reti e dell’informazione, nonché nel ridurre gli ostacoli al funzionamento del mercato interno costituiti dalle differenze esistenti tra le normative degli Stati membri in materia.
35 Il detto Stato membro ritiene che l’Agenzia agevoli l’applicazione uniforme delle disposizioni comunitarie in materia di reti e di servizi di comunicazione elettronica. L’Agenzia mirerebbe, segnatamente, a prevenire i futuri ostacoli al commercio che potrebbero discendere dalla complessità e dalla tecnicità delle reti elettroniche nonché dalle divergenze a livello di prassi degli Stati membri.
36 La Repubblica di Finlandia ritiene che, in sede di identificazione del fondamento normativo per disposizioni che istituiscono un ente comunitario, occorrerebbe tener conto del grado di ravvicinamento della legislazione comunitaria relativa al settore di cui trattasi. Posto che l’armonizzazione realizzata dalle norme comunitarie relative alle reti e ai servizi di comunicazione elettronica è già in fase avanzata, la normativa istituita a livello della Comunità potrebbe rendere necessari, per assicurare una prassi applicativa uniforme di tali disposizioni, provvedimenti che vadano oltre quelli solitamente adottati in materia.
37 La Commissione ritiene che il regolamento configuri, considerati la sua finalità e il suo contenuto, un provvedimento che agevola direttamente l’attuazione e l’applicazione armonizzate di talune direttive fondate sull’art. 95 CE. Una delle principali caratteristiche della normativa vigente sarebbe infatti costituita dalla circostanza che gran parte dell’applicazione dettagliata di quest’ultima è decentralizzata ed affidata alle autorità di regolamentazione nazionali.
38 La detta istituzione sostiene che la creazione dell’Agenzia si inscrive in una nozione più ampia di armonizzazione, laddove agevola, segnatamente, l’applicazione armonizzata di direttive comunitarie da parte delle autorità di regolamentazione nazionali. L’obiettivo del regolamento eccederebbe, infatti, la mera creazione dell’Agenzia, posto che essa dovrebbe fornire consulenza e assistenza alla Commissione nonché alle dette autorità. Esisterebbe pertanto un nesso tra la creazione dell’Agenzia e il contesto normativo comunitario relativo alle comunicazioni elettroniche.
39 La Commissione afferma che la direttiva-quadro crea un sistema armonizzato per la regolamentazione dei servizi e delle reti di comunicazione elettronica nonché delle risorse collegate. Questa direttiva fisserebbe i compiti di cui sono incaricate le autorità di regolamentazione nazionali, stabilendo una serie di procedure volte a garantire l’applicazione armonizzata del meccanismo di cui trattasi nell’insieme della Comunità.
40 Essa rileva che, benché i parametri relativi all’applicazione decentralizzata di tali direttive siano chiaramente definiti, non può escludersi che, nell’esercitare la competenza discrezionale attribuita alle autorità di regolamentazione nazionali, queste assumano posizioni divergenti. L’Agenzia sarebbe stata istituita per aiutare tali autorità a pervenire a una comprensione tecnica comune delle questioni relative alla sicurezza delle reti e dell’informazione.
41 La Commissione aggiunge che l’Agenzia funziona entro i limiti dei parametri armonizzati del contesto normativo comunitario delle comunicazioni elettroniche, e poco importa che il ruolo di tale organismo non sia stato definito in sede di adozione di questo contesto generale.
Giudizio della Corte
Sulla portata dell’art. 95 CE
42 Per quanto riguarda la portata delle competenze legislative previste dall’art. 95 CE, occorre ricordare che, come la Corte ha dichiarato al punto 44 della sentenza 6 dicembre 2005, causa C-66/04, Regno Unito/Parlamento e Consiglio (Racc. pag. I-10553), questa disposizione è utilizzata come fondamento normativo solo quando risulti obiettivamente ed effettivamente dall’atto giuridico che quest’ultimo ha come fine il miglioramento delle condizioni di attuazione e di funzionamento del mercato interno.
43 La Corte ha rilevato altresì, al punto 45 della citata sentenza Regno Unito/Parlamento e Consiglio, che, con l’espressione «misure relative al ravvicinamento» di cui all’art. 95 CE, gli autori del Trattato hanno voluto attribuire al legislatore comunitario, in funzione del contesto generale e delle circostanze specifiche della materia da armonizzare, un margine di discrezionalità in merito alla tecnica di ravvicinamento più appropriata per ottenere il risultato auspicato, in particolare in settori caratterizzati da particolarità tecniche complesse.
44 Si deve aggiungere in proposito che nulla nel tenore testuale dell’art. 95 CE permette di concludere che i provvedimenti adottati dal legislatore comunitario sul fondamento di tale disposizioni debbano limitarsi, quanto ai loro destinatari, ai soli Stati membri. Può infatti rendersi necessario prevedere, sulla scorta di una valutazione rimessa al detto legislatore, l’istituzione di un organismo comunitario incaricato di contribuire alla realizzazione di un processo di armonizzazione nelle situazioni in cui, per agevolare l’attuazione e l’applicazione uniformi di atti fondati su tale norma, appaia appropriata l’adozione di misure di accompagnamento e di inquadramento non vincolanti.
45 Occorre tuttavia sottolineare che le mansioni affidate a un organismo del genere devono riconnettersi strettamente alle materie che costituiscono oggetto degli atti di ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri. È quanto avviene, in particolare, qualora l’organismo comunitario così istituito fornisca prestazioni alle autorità nazionali e/o agli operatori idonee ad incidere sull’attuazione omogenea degli strumenti di armonizzazione e ad agevolarne l’applicazione.
Sulla conformità del regolamento ai requisiti dell’art. 95 CE
46 Poste tali premesse, occorre esaminare se gli obiettivi assegnati all’Agenzia dall’art. 2 del regolamento e i compiti conferitile in forza dell’art. 3 dello stesso siano conformi ai precetti enunciati ai punti 44 e 45 della presente sentenza.
47 A tal fine è d’uopo determinare, in un primo tempo, se tali obiettivi e compiti siano strettamente connessi alle materie che costituiscono oggetto degli strumenti descritti all’art. 1, n. 2, del regolamento come «normativa comunitaria attuale» nonché, in caso affermativo e in un secondo tempo, se si possa ritenere che tali obiettivi e compiti accompagnino e inquadrino l’attuazione di tale legislazione.
48 Per quanto riguarda la direttiva-quadro, cui fa riferimento il nono ‘considerando’ del regolamento, risulta dal suo art. 1, n. 1, che essa è diretta ad istituire un quadro normativo armonizzato per la disciplina dei servizi di comunicazione elettronica, delle reti di comunicazione elettronica e delle risorse e servizi correlati. La detta direttiva definisce le funzioni delle autorità nazionali di regolamentazione ed istituisce una serie di procedure atte a garantire l’applicazione armonizzata del quadro normativo nella Comunità.
49 Il sedicesimo ‘considerando’ della direttiva-quadro indica in proposito che le dette autorità si ispirano ad un insieme armonizzato di obiettivi e di principi. Questi ultimi sono enunciati all’art. 8 della sesta direttiva; tra loro si annoverano, tra l’altro, un livello elevato di protezione dei dati personali e della vita privata nonché l’integrità e la sicurezza delle reti di comunicazione pubbliche [v. art. 8, n. 4, lett. c) e f), della direttiva-quadro].
50 Si deve altresì rilevare che numerose disposizioni delle direttive speciali riflettono le preoccupazioni del legislatore comunitario in merito alla sicurezza delle reti e dell’informazione.
51 In primo luogo, come risulta dal sesto ‘considerando’ del regolamento, la direttiva «autorizzazioni» menziona, nella parte A, punti 7 e 16, dell’allegato, la tutela dei dati a carattere personale e della vita privata nel settore delle comunicazioni elettroniche nonché la sicurezza delle reti pubbliche contro l’accesso non autorizzato.
52 In secondo luogo, come risulta dal settimo ‘considerando’ del regolamento, la direttiva «servizio universale» mira a garantire l’integrità e la disponibilità delle reti telefoniche pubbliche. A tal proposito, l’art. 23 di questa direttiva dispone che gli Stati membri adottano tutte le misure necessarie per garantire tali funzionalità, in particolare in caso di incidenti gravi di rete o in caso di forza maggiore.
53 In terzo luogo, come precisa l’ottavo ‘considerando’ del regolamento, la direttiva «vita privata e comunicazioni elettroniche» impone al fornitore di un servizio di comunicazione elettronica accessibile al pubblico di prendere appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei servizi di cui trattasi nonché la riservatezza delle comunicazioni e dei relativi dati sul traffico. Tali obblighi si riflettono in particolare negli artt. 4 e 5 della detta direttiva, aventi ad oggetto, rispettivamente, la sicurezza delle reti e la riservatezza delle comunicazioni.
54 In quarto luogo, l’art. 17 della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), prevede che gli Stati membri dispongano che il responsabile del trattamento dei dati attui le misure tecniche e organizzative appropriate al fine di garantire la protezione dei dati personali contro la distruzione accidentale o illecita, la perdita accidentale, l’alterazione, la diffusione o l’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, nonché contro qualsiasi altra forma illecita di trattamento di dati personali.
55 In quinto luogo, si deve ricordare che la direttiva «firme elettroniche» dispone, all’art. 3, n. 4, che organismi competenti, designati dagli Stati membri, determinano le modalità relative alla conformità dei dispositivi per la creazione di firme sicure.
56 Per quanto riguarda i compiti affidati all’Agenzia, si deve anzitutto rilevare che essi vertono sulla raccolta di informazioni appropriate per analizzare i rischi attuali ed emergenti, in particolare quelli che potrebbero avere un impatto sul buon funzionamento e sulla disponibilità di reti elettroniche di comunicazione nonché sull’autenticità, integrità e riservatezza delle dette comunicazioni. L’Agenzia è altresì chiamata a elaborare «metodologie comuni» destinate a prevenire i problemi di sicurezza, a contribuire alla sensibilizzazione degli utenti e a promuovere gli scambi delle «migliori prassi attuali» nonché i «metodi di allertamento» e le attività di valutazione e di gestione dei rischi.
57 L’Agenzia è, inoltre, incaricata di migliorare la cooperazione tra i diversi soggetti che operano nel settore della sicurezza delle reti e dell’informazione, di fornire assistenza alla Commissione e agli Stati membri nel dialogo che conducono con l’industria al fine di affrontare i problemi di sicurezza posti dai prodotti harware e software, nonché di contribuire alle iniziative comunitarie dirette a cooperare con gli Stati terzi e, se del caso, con organizzazioni internazionali per promuovere un approccio globale comune rispetto alla problematica della sicurezza delle reti e dell’informazione.
58 Di conseguenza, i compiti affidati all’Agenzia in forza dell’art. 3 del regolamento sono strettamente connessi agli obiettivi perseguiti dalla direttiva-quadro e dalle direttive speciali nel settore della sicurezza delle reti e dell’informazione.
59 Ciò premesso, come già dichiarato al punto 47 della presente sentenza, occorre accertare se si possa ritenere che i compiti dell’Agenzia accompagnino e inquadrino l’attuazione della legislazione comunitaria in materia, vale a dire se l’istituzione dell’Agenzia nonché gli obiettivi e compiti assegnatile dal regolamento possano qualificarsi come «misure relative al ravvicinamento» ai sensi dell’art. 95 CE.
60 Tenuto conto delle caratteristiche della materia, occorre rilevare che il regolamento non costituisce un provvedimento isolato, inscrivendosi invece in un contesto normativo delimitato dalla direttiva-quadro nonché dalle direttive speciali, diretto alla realizzazione del mercato interno nel settore delle comunicazioni elettroniche.
61 Risulta inoltre dagli atti che il legislatore comunitario si è trovato di fronte a una materia che implica tecnologie non soltanto complesse, ma altresì in rapido mutamento. Ne ha concluso che era prevedibile che la trasposizione e l’applicazione della direttiva-quadro e delle direttive speciali dessero luogo a divergenze tra gli Stati membri.
62 In simili circostanze, il legislatore comunitario ha ritenuto che l’istituzione di un organismo comunitario quale l’Agenzia fosse un mezzo adeguato per prevenire l’insorgere di disparità potenzialmente idonee a creare ostacoli al buon funzionamento del mercato interno in materia.
63 Giova infatti ricordare che dal terzo e dal decimo ‘considerando’ del regolamento risulta che, vista la complessità tecnica delle reti e dei sistemi di informazione, la varietà dei prodotti e dei servizi interconnessi nonché la moltitudine di attori privati e pubblici, ognuno dotato di responsabilità, il legislatore comunitario ha ritenuto che il buon funzionamento del mercato interno rischiasse di essere compromesso da un’applicazione eterogenea dei requisiti tecnici enunciati nella direttiva‑quadro e nelle direttive speciali.
64 In tale contesto, il legislatore comunitario ben ha potuto ritenere che il parere di un’autorità indipendente destinata a fornire consulenza tecnica su richiesta della Commissione e degli Stati membri potesse agevolare la trasposizione di tali direttive nel diritto interno degli Stati membri e la loro attuazione a livello nazionale.
65 Occorre infine ricordare che, conformemente all’art. 27 del regolamento, l’Agenzia è istituita a decorrere dal 14 marzo 2004 per un periodo di cinque anni e che, ai sensi dell’art. 25, nn. 1 e 2, dello stesso regolamento, la Commissione è tenuta a procedere, entro il 17 marzo 2007, a una valutazione dei risultati ottenuti dall’Agenzia nel realizzare i suoi obiettivi e nello svolgimento delle sue funzioni nonché con riferimento alle sue prassi operative.
66 Risulta quindi dal combinato disposto di queste due norme che il legislatore comunitario ha ritenuto appropriato effettuare, prima di adottare una decisione sulla sorte dell’Agenzia, una valutazione dell’efficacia dell’azione di tale Agenzia nonché del suo effettivo contributo all’attuazione della direttiva-quadro e delle direttive speciali.
67 Ciò considerato, e alla luce dell’insieme degli elementi del fascicolo, si deve concludere che correttamente il regolamento è fondato sull’art. 95 CE, cosicché il ricorso dev’essere respinto.
Sulle spese
68 Ai sensi dell’ art. 69, n. 2, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda. Poiché il Parlamento e il Consiglio hanno concluso per la condanna del Regno Unito, quest’ultimo, rimasto soccombente, dev’essere condannato alle spese. Conformemente al n. 4 dello stesso articolo, la Repubblica di Finlandia e la Commissione sopportano le proprie spese.
Per questi motivi, la Corte (Grande Sezione) dichiara e statuisce:
1) Il ricorso è respinto.
2) Il Regno Unito di Gran Bretagna e Irlanda del Nord è condannato alle spese.
3) La Repubblica di Finlandia e la Commissione delle Comunità europee sopportano le proprie spese.
Firme
* Lingua processuale: l'inglese.