–

per il governo austriaco, da A. Posch, J. Schmoll, K. Ibili e E. Riedl, in qualità di agenti;

–

per il governo danese, da M.P.B. Jespersen, V. Pasternak Jørgensen, M. Søndahl Wolff e Y.T. Thyregod Kollberg, in qualità di agenti;

–

per il governo tedesco, da J. Möller e M. Hellmann, in qualità di agenti;

–

per il governo estone, da M. Kriisa, in qualità di agente;

–

per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Lane, in qualità di agenti, assistiti da R. Farrell, SC, D. Fennelly, BL, e D. O’Reilly, solicitor;

–

per il governo francese, da R. Bénard, A. Daniel, A.-L. Desjonquères e J. Illouz, in qualità di agenti;

–

per il governo cipriota, da I. Neophytou, in qualità di agente;

–

per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;

–

per il governo dei Paesi Bassi, da M.K. Bulterman, A. Hanje e J. Langer, in qualità di agenti;

–

per il governo polacco, da B. Majczyna, in qualità di agente;

–

per il governo finlandese, da A. Laine, in qualità di agente;

–

per il governo svedese, da J. Lundberg, H. Eklinder, C. Meyer-Seitz, A.M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev e O. Simonsson, in qualità di agenti;

–

per il governo norvegese, da F. Bergsjø, H. Busch, K. Moe Winther e P. Wennerås, in qualità di agenti;

–

per la Commissione europea, da G. Braun, S.L. Kalėda, H. Kranenborg e F. Wilman, in qualità di agenti,

1

La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»), letto alla luce degli articoli 7, 8, 11, 41 e 47 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).

2

Tale domanda è stata presentata nell’ambito di una controversia tra CG e la Bezirkshauptmannschaft Landeck (autorità amministrativa distrettuale di Landeck, Austria) in merito al sequestro del telefono cellulare di CG da parte delle autorità di polizia e ai tentativi di queste ultime, nell’ambito di un’indagine in materia di traffico di stupefacenti, di sbloccare tale telefono per accedere ai dati in esso contenuti.

3

L’articolo 1 della direttiva 2002/58, rubricato «Finalità e campo d’applicazione», così dispone:

«1.   La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità.

(...)

3.   La presente direttiva non si applica alle attività che esulano dal campo di applicazione del trattato che istituisce la Comunità europea, quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale».

4

L’articolo 3 di tale direttiva, intitolato «Servizi interessati», prevede quanto segue:

«La presente direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti di comunicazione pubbliche nella Comunità, comprese le reti di comunicazione pubbliche che supportano i dispositivi di raccolta e di identificazione dei dati».

5

L’articolo 5 di detta direttiva, rubricato «Riservatezza delle comunicazioni», al paragrafo 1 dispone:

«Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza».

6

L’articolo 15 della medesima direttiva, rubricato «Applicazione di alcune disposizioni della direttiva 95/46/ CE», al paragrafo 1 recita:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE]».

7

I considerando 2, 4, 7, 10, 11, 15, 26, 37, 44, 46 e 104 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), sono formulati nei termini seguenti:

(...)

(...)

(...)

(...)

(...)

(...)

(...)

(...)

(...)

8

L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», ai suoi paragrafi 1 e 2 così dispone:

«1.   La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

2.   Ai sensi della presente direttiva gli Stati membri:

9

L’articolo 2 di detta direttiva, rubricato «Ambito di applicazione», ai paragrafi 1 e 3 prevede quanto segue:

«1.   La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1.

(...)

3.   La presente direttiva non si applica ai trattamenti di dati personali:

(...)».

10

A termini dell’articolo 3 della medesima direttiva, recante il titolo «Definizioni»:

«Ai fini della presente direttiva si intende per:

(...)

(...)».

11

L’articolo 4 della direttiva 2016/680, rubricato «Principi applicabili al trattamento di dati personali», al paragrafo 1 dispone:

«Gli Stati membri dispongono che i dati personali siano:

(...)».

12

L’articolo 6 di tale direttiva, rubricato «Distinzione tra diverse categorie di interessati», recita:

«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:

13

L’articolo 10 di detta direttiva, intitolato «Trattamento di categorie particolari di dati personali», è formulato nei seguenti termini:

«Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell’interessato e soltanto:

14

L’articolo 13 della direttiva 2016/680, rubricato «Informazioni da rendere disponibili o da fornire all’interessato», così dispone:

«1.   Gli Stati membri dispongono che il titolare del trattamento metta a disposizione dell’interessato almeno le seguenti informazioni:

2.   In aggiunta alle informazioni di cui al paragrafo 1, gli Stati membri dispongono per legge che il titolare del trattamento fornisca all’interessato, in casi specifici, le seguenti ulteriori informazioni per consentire l’esercizio dei diritti dell’interessato:

3.   Gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:

(...)».

15

L’articolo 54 di tale direttiva, rubricato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», recita:

«Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 52, l’interessato abbia il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni».

16

L’articolo 27, paragrafo 1, del Suchtmittelgesetz (legge sugli stupefacenti), del 5 settembre 1997 (BGBl. I, 112/1997), nella versione applicabile alla controversia principale, dispone:

«Chiunque, illegalmente

(...)

è punito con una pena detentiva fino a un massimo di un anno o con una pena pecuniaria giornaliera fino a un massimo di 360 giorni.

(...)».

17

L’articolo 17 dello Strafgesetzbuch (codice penale), del 1o gennaio 1975 (BGBl., 60/1974), nella versione applicabile alla controversia principale (in prosieguo: lo «StGB»), recita:

«(1)   I delitti sono atti intenzionali punibili con l’ergastolo o con una pena detentiva superiore a tre anni.

(2)   Tutti gli altri reati sono contravvenzioni».

18

L’articolo 18 della Strafprozessordnung (codice di procedura penale), del 30 dicembre 1975 (BGBl., 631/1975), nella versione applicabile alla controversia principale (in prosieguo: la «StPO»), così prevede:

«(1)   La polizia giudiziaria è incaricata di svolgere compiti al servizio dell’amministrazione della giustizia penale (articolo 10, paragrafo 1, punto 6, del Bundes-Verfassungsgesetz [(legge costituzionale federale)]).

(2)   Le indagini di polizia giudiziaria sono di competenza delle autorità di sicurezza, la cui organizzazione e competenza territoriale sono disciplinate dalle disposizioni del Sicherheitspolizeigesetz [legge sulla polizia di sicurezza)] relative all’organizzazione dell’amministrazione della pubblica sicurezza.

(3)   Gli organi del servizio di pubblica sicurezza (articolo 5, secondo comma, del Sicherheitspolizeigesetz [(legge sulla polizia di sicurezza)] assicurano il servizio esecutivo della polizia giudiziaria, che consiste nell’indagine e nel perseguimento dei reati conformemente alle disposizioni della presente legge.

(...)».

19

L’articolo 99, paragrafo 1, della StPO dispone:

«La polizia giudiziaria indaga d’ufficio o sulla base di una denuncia, nel rispetto dei provvedimenti del pubblico ministero e dei giudici (articolo 105, paragrafo 2)».

20

Il 23 febbraio 2021, durante un controllo in materia di stupefacenti, un pacco indirizzato a CG, contenente 85 grammi di cannabis, è stato sequestrato dagli agenti dell’ufficio doganale di Innsbruck (Austria). Tale pacco è stato trasmesso, per esame, al commissariato centrale di polizia di St. Anton am Arlberg (Austria).

21

Il 6 marzo 2021, due agenti di polizia di tale commissariato hanno effettuato una perquisizione nell’appartamento di CG, nel corso della quale l’hanno interrogato in merito al mittente del pacco e hanno perquisito il suo alloggio. Durante tale perquisizione, i funzionari di polizia hanno chiesto di accedere ai dati di connessione del telefono cellulare di CG. A seguito del rifiuto opposto da quest’ultimo, gli agenti di polizia hanno proceduto al sequestro del telefono cellulare, contenente una carta SIM e una carta SD, e hanno consegnato a CG il verbale di sequestro.

22

Successivamente, detto telefono cellulare è stato consegnato, ai fini del suo sblocco, ad un esperto della stazione di polizia del distretto di Landeck (Austria). Poiché questi non era riuscito a sbloccare il telefono cellulare di cui trattasi, quest’ultimo è stato inviato al Bundeskriminalamt (Ufficio federale di polizia giudiziaria) di Vienna (Austria), dove è stato compiuto un nuovo tentativo di sblocco.

23

Il sequestro del telefono cellulare di CG nonché i successivi tentativi di analizzare tale telefono sono stati effettuati di propria iniziativa dagli agenti di polizia interessati, senza che questi ultimi fossero stati autorizzati dal pubblico ministero o da un giudice.

24

Il 31 marzo 2021 CG ha proposto dinanzi al Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria), il giudice del rinvio, un ricorso diretto a contestare la legittimità del sequestro del suo telefono cellulare. Quest’ultimo è stato restituito a CG il 20 aprile 2021.

25

CG non è stato immediatamente informato dei tentativi di analizzare il suo telefono cellulare. Ne è venuto a conoscenza soltanto quando l’agente di polizia che aveva proceduto al sequestro del telefono cellulare e aveva intrapreso, successivamente, le azioni volte ad analizzarne i dati digitali, è stato interrogato in qualità di testimone nell’ambito del procedimento pendente dinanzi al giudice del rinvio. Tali tentativi non sono stati neppure documentati nel fascicolo della polizia giudiziaria.

26

Alla luce di tali elementi, il giudice del rinvio si chiede, in primo luogo, se, in considerazione dei punti da 52 a 61 della sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), e della giurisprudenza citata in tali punti, l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7 e 8 della Carta, debba essere interpretato nel senso che un accesso completo e non controllato a tutti i dati contenuti in un telefono cellulare, ossia i dati di connessione, il contenuto delle comunicazioni, le fotografie e la cronologia di navigazione, che possono fornire un’immagine molto dettagliata e approfondita di quasi tutti i settori della vita privata dell’interessato, costituisce un’ingerenza talmente grave nei diritti fondamentali sanciti da tali articoli 7 e 8 che, in materia di prevenzione, ricerca, accertamento e perseguimento di reati, tale accesso deve essere limitato alla lotta contro i reati gravi.

27

A tale riguardo, detto giudice precisa che il reato contestato a CG nell’ambito del procedimento di indagine penale di cui trattasi nel procedimento principale è previsto all’articolo 27, paragrafo 1, della legge sugli stupefacenti ed è punibile con una pena detentiva massima di un anno e costituisce, alla luce della classificazione dell’articolo 17 dello StGB, solo una contravvenzione.

28

In secondo luogo, dopo aver ricordato gli insegnamenti derivanti dai punti da 48 a 54 della sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152), nonché dalla giurisprudenza citata in tali punti, detto giudice si chiede se l’articolo 15, paragrafo 1, della direttiva 2002/58 osti a una normativa nazionale come quella risultante dal combinato disposto dell’articolo 18 e dell’articolo 99, paragrafo 1, della StPO, in forza del quale, nel corso di un procedimento di indagine penale, la polizia giudiziaria può procurarsi, senza l’autorizzazione di un giudice o di un organo amministrativo indipendente, un accesso completo e non controllato a tutti i dati digitali contenuti in un telefono cellulare.

29

In terzo e ultimo luogo, dopo aver sottolineato che l’articolo 18 della StPO, in combinato disposto con l’articolo 99, paragrafo 1, della StPO, non prevede alcun obbligo, in capo alle autorità di polizia, di documentare le misure di analisi digitale di un telefono cellulare, o ancora di informare il suo proprietario dell’esistenza di tali misure, di modo che quest’ultimo possa, se del caso, opporvisi mediante un ricorso giurisdizionale preventivo o a posteriori, il giudice del rinvio si interroga sulla compatibilità di tali disposizioni della StPO con il principio della parità delle armi e con il diritto a un ricorso giurisdizionale effettivo, ai sensi dell’articolo 47 della Carta.

30

In tale contesto, il Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

31

Il 20 ottobre 2021 la Corte ha rivolto una richiesta di informazioni al giudice del rinvio con la quale ha invitato tale giudice a indicarle se la direttiva 2016/680 potesse essere pertinente nell’ambito del procedimento principale e, se del caso, ad esporle le disposizioni di diritto nazionale che recepiscono tale direttiva nel diritto austriaco che potrebbero applicarsi nel caso di specie.

32

L’11 novembre 2021 il giudice del rinvio ha risposto a tale richiesta indicando, in particolare, che le disposizioni di detta direttiva dovevano essere rispettate in tale causa. Tale risposta è stata notificata, unitamente alla decisione di rinvio, agli interessati di cui all’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea.

33

L’8 novembre 2022, in applicazione dell’articolo 61 del regolamento di procedura della Corte, la Corte ha chiesto ai partecipanti alla fase orale del procedimento di concentrare le loro difese orali sulla direttiva 2016/680 e di rispondere, all’udienza di discussione, a taluni quesiti relativi a tale direttiva.

34

In seguito alla presentazione delle conclusioni dell’avvocato generale, con atto depositato presso la cancelleria della Corte il 17 maggio 2023, il governo austriaco ha presentato una domanda di rettifica di tali conclusioni per il motivo che esse avrebbero presentato in maniera inesatta la posizione da esso espressa nelle sue osservazioni sia scritte sia orali e avrebbero comportato errori di ordine fattuale.

35

Infatti, secondo tale governo, da un lato, il paragrafo 50 delle conclusioni dell’avvocato generale, in combinato disposto con la nota a piè di pagina 14 delle stesse, lascerebbe intendere che, secondo detto governo, un tentativo di accesso ai dati contenuti in un telefono cellulare, come quello di cui trattasi nel procedimento principale, non può costituire un trattamento di dati personali, ai sensi dell’articolo 3, punto 2, della direttiva 2016/680. Orbene, lo stesso governo avrebbe sostenuto il contrario, all’udienza dinanzi alla Corte, aderendo espressamente alla posizione esposta dalla Commissione europea nelle sue osservazioni scritte, secondo la quale da un’interpretazione sistematica di tale direttiva, letta alla luce dei suoi obiettivi, risulterebbe che essa disciplina non solo i trattamenti propriamente detti, ma anche operazioni che intervengono a monte di questi ultimi, come un tentativo di trattamento, senza che l’applicazione di detta direttiva sia subordinata alla condizione che tale tentativo di trattamento sia stato effettuato con successo.

36

D’altra parte, il governo austriaco sostiene che il paragrafo 27 delle conclusioni dell’avvocato generale si basa su fatti erronei, in quanto lascia intendere che i tentativi di trattamento menzionati al punto 22 della presente sentenza non sarebbero stati documentati nel fascicolo della polizia giudiziaria. In proposito, tale governo precisa che, contrariamente a quanto risulta da tale paragrafo 27 nonché dalla domanda di pronuncia pregiudiziale, esso ha esposto, nelle sue osservazioni scritte, che tali tentativi di trattamento erano stati documentati in due relazioni redatte dagli agenti di polizia incaricati dell’indagine nel procedimento principale e che tali relazioni erano state successivamente versate al fascicolo del pubblico ministero.

37

Con decisione del presidente della Corte del 23 maggio 2023, la domanda del governo austriaco diretta ad ottenere la rettifica delle conclusioni dell’avvocato generale è stata riqualificata come domanda di riapertura della fase orale del procedimento, ai sensi dell’articolo 83 del regolamento di procedura.

38

A tale proposito occorre rilevare, da un lato, che né lo Statuto della Corte di giustizia dell’Unione europea né il regolamento di procedura prevedono la facoltà, per gli interessati menzionati all’articolo 23 di tale Statuto, di depositare osservazioni in risposta alle conclusioni presentate dall’avvocato generale. Dall’altro lato, ai sensi dell’articolo 252, secondo comma, TFUE, l’avvocato generale presenta pubblicamente, con assoluta imparzialità e in piena indipendenza, conclusioni motivate sulle cause che, conformemente al suddetto Statuto, richiedono il suo intervento. La Corte non è vincolata né a tali conclusioni né alle motivazioni in base alle quali l’avvocato generale giunge a formularle. Di conseguenza, il disaccordo di una parte interessata con le conclusioni dell’avvocato generale, quali che siano le questioni da esso esaminate nelle sue conclusioni, non può costituire, di per sé, un motivo che giustifichi la riapertura della fase orale (sentenza del 14 marzo 2024, f6 Cigarettenfabrik,C‑336/22, EU:C:2024:226, punto 25 e giurisprudenza citata).

39

Senza dubbio, conformemente all’articolo 83 del suo regolamento di procedura, la Corte può, in qualsiasi momento, sentito l’avvocato generale, disporre la riapertura della fase orale del procedimento, in particolare se essa non si ritiene sufficientemente edotta, oppure quando, dopo la chiusura di tale fase, una parte ha addotto un fatto nuovo tale da influenzare in modo decisivo la decisione della Corte, oppure quando la causa dev’essere decisa sulla base di un argomento che non è stato oggetto di discussione.

40

Tuttavia, nel caso di specie, la Corte ritiene, al termine della fase scritta del procedimento e dell’udienza svoltasi dinanzi ad essa, di disporre di tutti gli elementi necessari per statuire sulla presente domanda di pronuncia pregiudiziale. Inoltre, gli elementi invocati dal governo austriaco a sostegno della sua domanda di riapertura della fase orale del procedimento non costituiscono fatti nuovi tali da influenzare in modo decisivo la decisione che essa è chiamata a pronunciare nella presente causa.

41

Per quanto attiene, più in particolare, agli elementi di ordine fattuale rilevati al punto 36 della presente sentenza, si deve rammentare che, nell’ambito di un procedimento pregiudiziale, alla Corte spetta non già stabilire se dei fatti allegati siano dimostrati, ma unicamente procedere all’interpretazione delle pertinenti disposizioni del diritto dell’Unione (v., in tal senso, sentenza del 31 gennaio 2023, Puig Gordi e a., C‑158/21, EU:C:2023:57, punto 36). Infatti, secondo la giurisprudenza della Corte, le questioni relative all’interpretazione del diritto dell’Unione sono poste dal giudice nazionale nel quadro normativo e fattuale che questi definisce sotto la propria responsabilità, e di cui non spetta alla Corte verificare l’esattezza [v., in tal senso, sentenza del 18 giugno 2024, Bundesrepublik Deutschland (Effetto di una decisione di riconoscimento dello status di rifugiato), C‑753/22, EU:C:2024:524, punto 44 e giurisprudenza citata].

42

In tali circostanze, la Corte, sentito l’avvocato generale, ritiene che non occorra disporre la riapertura della fase orale del procedimento.

43

Alcune delle parti interessate che hanno depositato osservazioni scritte nell’ambito del presente procedimento hanno contestato la ricevibilità della domanda di pronuncia pregiudiziale nel suo complesso o di alcune delle questioni sollevate dal giudice del rinvio.

44

In primo luogo, i governi austriaco, francese e svedese sostengono che la decisione di rinvio non soddisfa i requisiti previsti all’articolo 94 del regolamento di procedura, in quanto non conterrebbe gli elementi di fatto e di diritto necessari per fornire una risposta utile a tale giudice.

45

In secondo luogo, il governo austriaco sostiene, da un lato, che, con la seconda e la terza questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se le disposizioni degli articoli 18 e 99 della StPO, lette congiuntamente, siano conformi al diritto dell’Unione. Orbene, poiché tali disposizioni non stabiliscono le condizioni alle quali deve effettuarsi l’analisi dei supporti dei dati sequestrati, tali questioni non avrebbero alcun rapporto con l’oggetto della controversia principale. Esso afferma, d’altro canto, che, in forza del diritto austriaco, per procedere al sequestro di un telefono cellulare o per tentare di accedere ai dati contenuti in tale telefono è necessaria una decisione del pubblico ministero. Tale giudice dovrebbe quindi accertare una violazione del diritto austriaco, cosicché le questioni sollevate da detto giudice non sarebbero necessarie alla soluzione della controversia e, pertanto, non occorrerebbe statuire sulla domanda di pronuncia pregiudiziale.

46

In via preliminare occorre ricordare che, per giurisprudenza costante, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, allorché le questioni sollevate riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606, punto 61 e giurisprudenza citata).

47

Ne consegue che le questioni relative al diritto dell’Unione godono di una presunzione di rilevanza. Il diniego della Corte di statuire su una questione pregiudiziale posta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sia di natura ipotetica oppure, ancora, qualora la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile alle questioni che le vengono sottoposte (sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606 punto 62 e giurisprudenza citata).

48

Per quanto riguarda, in primo luogo, l’argomento vertente sul mancato rispetto dei requisiti di cui all’articolo 94 del regolamento di procedura, occorre rilevare che, secondo una giurisprudenza costante, ormai recepita in tale articolo 94, lettere a) e b), l’esigenza di giungere a un’interpretazione del diritto dell’Unione che sia utile al giudice nazionale impone che quest’ultimo definisca il contesto materiale e normativo in cui si inseriscono le questioni sollevate, o almeno che esso spieghi le ipotesi di fatto su cui tali questioni sono fondate. Inoltre, è indispensabile che, come enunciato in detto articolo 94, lettera c), la domanda di pronuncia pregiudiziale contenga l’illustrazione dei motivi che hanno indotto il giudice del rinvio ad interrogarsi sull’interpretazione o sulla validità di determinate disposizioni del diritto dell’Unione, ed indichi il collegamento che esso stabilisce tra dette disposizioni e la normativa nazionale applicabile al procedimento principale (sentenza del 21 dicembre 2023, European Superleague Company,C‑333/21, EU:C:2023:1011, punto 59 e giurisprudenza citata).

49

Nel caso di specie, per quanto riguarda il contesto di fatto, il giudice del rinvio ha precisato, nella sua domanda di pronuncia pregiudiziale, che le autorità di polizia austriache, dopo aver sequestrato il telefono cellulare di CG nell’ambito di un’indagine di polizia in materia di traffico di stupefacenti, hanno tentato, in due occasioni, di accedere ai dati contenuti in tale telefono, di propria iniziativa, senza disporre di una previa autorizzazione del pubblico ministero o di un giudice a tal fine. Esso ha altresì precisato che CG è venuto a conoscenza dei tentativi di accesso ai dati contenuti nel suo telefono cellulare solo nel momento in cui ha sentito la testimonianza di un agente di polizia. Infine, esso ha indicato che tali tentativi di accesso non erano stati neppure documentati nel fascicolo costituito dalla polizia giudiziaria.

50

Per quanto riguarda il quadro normativo, tale giudice ha precisato che le disposizioni nazionali da esso richiamate nella decisione di rinvio consentivano un tentativo di accesso ai dati contenuti in un telefono cellulare a fini di prevenzione, ricerca, accertamento e perseguimento di reati, senza limitare tale possibilità soltanto ai fini della lotta contro i reati gravi, senza sottoporre tale tentativo di accesso a un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente e senza prevedere che gli interessati fossero informati di detto tentativo, al fine, in particolare, di potervisi opporre con la proposizione di un ricorso giurisdizionale.

51

Inoltre, detto giudice ha precisato, come risulta dai punti da 26 a 29 della presente sentenza, le ragioni che lo hanno indotto a presentare la sua domanda di pronuncia pregiudiziale alla Corte e il nesso che, a suo avviso, esiste tra le disposizioni del diritto dell’Unione e della Carta indicate in tale domanda e quelle del diritto austriaco applicabili, a suo avviso, alla controversia principale.

52

Gli elementi di cui ai punti da 49 a 51 della presente sentenza consentono quindi di ritenere che la domanda di pronuncia pregiudiziale soddisfi i requisiti previsti all’articolo 94 del regolamento di procedura.

53

In secondo luogo, per quanto riguarda gli argomenti relativi al fatto che le disposizioni del diritto austriaco di cui alla seconda e alla terza questione pregiudiziale non sarebbero pertinenti e che il giudice del rinvio avrebbe dovuto constatare una violazione di tale diritto, occorre ricordare che non compete alla Corte pronunciarsi sull’interpretazione delle disposizioni nazionali e giudicare se l’interpretazione o l’applicazione a cui procede il giudice nazionale sia corretta, poiché un’interpretazione del genere rientra nella competenza esclusiva di quest’ultimo [sentenza del 15 giugno 2023, Getin Noble Bank (Sospensione dell’esecuzione di un contratto di credito), C‑287/22, EU:C:2023:491, punto 32 e giurisprudenza citata].

54

Nel caso di specie, dalla domanda di pronuncia pregiudiziale e, in particolare, dalla formulazione delle questioni pregiudiziali risulta che il giudice del rinvio ritiene, da un lato, che tali disposizioni del diritto austriaco siano applicabili alla controversia principale e, dall’altro, che un tentativo di accesso ai dati contenuti in un telefono cellulare, senza previa autorizzazione del pubblico ministero o di un giudice, come quello di cui trattasi nel procedimento principale, sia consentito dal diritto austriaco. Conformemente alla giurisprudenza citata al punto precedente della presente sentenza, non spetta alla Corte pronunciarsi su tale interpretazione delle suddette disposizioni.

55

Ne consegue che le questioni sollevate dal giudice del rinvio sono ricevibili.

56

Il governo austriaco sostiene, nelle sue osservazioni scritte, che la Corte non è competente a rispondere alla prima e alla seconda questione pregiudiziale, dato che tali questioni vertono sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58, sebbene sia evidente che tale direttiva non si applichi alla controversia principale. In udienza vari governi hanno sostenuto che una riformulazione delle questioni pregiudiziali alla luce della direttiva 2016/680 non fosse possibile. In particolare, il governo austriaco ha sottolineato che il fatto che quest’ultima direttiva non contenga disposizioni equivalenti all’articolo 5 e all’articolo 15, paragrafo 1, della direttiva 2002/58 osta a tale riformulazione. Il governo francese ha invece sostenuto che il potere di riformulare le questioni pregiudiziali incontra uno dei suoi limiti nel diritto, per gli Stati membri, di presentare osservazioni scritte. Infatti, secondo quest’ultimo governo, tale diritto verrebbe privato di qualsiasi efficacia se il contesto normativo del procedimento potesse essere radicalmente modificato al momento della riformulazione delle questioni pregiudiziali da parte della Corte.

57

A tale proposito, occorre ricordare che la Corte ha dichiarato, basandosi in particolare sull’articolo 1, paragrafi 1 e 3, e sull’articolo 3 della direttiva 2002/58, che, quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di servizi di tali comunicazioni, la protezione dei dati delle persone interessate non ricade nell’ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale, fatta salva l’applicazione della direttiva 2016/680 (sentenze del 6 ottobre 2020, Privacy International,C‑623/17, EU:C:2020:790, punto 48, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 103).

58

Orbene, è pacifico che la controversia principale riguarda il tentativo di accesso a dati personali contenuti in un telefono cellulare direttamente da parte delle autorità di polizia, senza che fosse stato richiesto un qualsivoglia intervento di un fornitore di servizi di comunicazione elettronica.

59

Pertanto, è evidente che tale controversia non rientra nell’ambito di applicazione della direttiva 2002/58, alla quale fanno riferimento la prima e la seconda questione pregiudiziale.

60

Occorre tuttavia ricordare che, secondo una giurisprudenza costante, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita dall’articolo 267 TFUE spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia che gli è sottoposta. In tale prospettiva spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. Inoltre, la Corte può essere condotta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nella formulazione delle sue questioni [sentenze del 15 luglio 2021, Ministrstvo za obrambo,C‑742/19, EU:C:2021:597, punto 31 e giurisprudenza citata, nonché del 18 giugno 2024, Generalstaatsanwaltschaft Hamm (Domanda di estradizione di un rifugiato verso la Turchia), C‑352/22, EU:C:2024:521, punto 47].

61

Invero, il fatto che un giudice nazionale abbia, sul piano formale, formulato una questione pregiudiziale facendo riferimento a talune disposizioni del diritto dell’Unione non osta a che la Corte fornisca a detto giudice tutti gli elementi di interpretazione che possono essere utili per la soluzione della causa di cui è investito, indipendentemente dalla circostanza che esso vi abbia fatto o no riferimento nell’enunciazione delle sue questioni. Spetta, al riguardo, alla Corte trarre dall’insieme degli elementi forniti dal giudice nazionale, e, in particolare, dalla motivazione della decisione di rinvio, gli elementi di diritto dell’Unione che richiedano un’interpretazione, tenuto conto dell’oggetto della controversia (sentenza del 22 giugno 2022, Volvo e DAF Trucks, C‑267/20, EU:C:2022:494, punto 28 e giurisprudenza citata).

62

Senza dubbio, in forza di una giurisprudenza costante, le informazioni trasmesse con la decisione di rinvio devono non solo consentire alla Corte di fornire soluzioni utili, ma altresì dare ai governi degli Stati membri e agli altri interessati la possibilità di presentare osservazioni ai sensi dell’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea (sentenza del 21 dicembre 2023, Royal Antwerp Football Club,C‑680/21, EU:C:2023:1010, punto 32 e giurisprudenza citata).

63

Tuttavia, come risulta dai punti da 31 a 33 della presente sentenza, in risposta alla richiesta di informazioni rivolta dalla Corte al giudice del rinvio, quest’ultimo ha indicato che la direttiva 2016/680 era applicabile alla controversia principale. Nelle loro osservazioni scritte, le parti interessate hanno potuto prendere posizione sull’interpretazione di tale direttiva e sulla sua rilevanza per il procedimento principale. Inoltre, ai fini dell’udienza di discussione, la Corte ha chiesto ai partecipanti alla fase orale del procedimento di rispondere, nel corso di tale udienza, a taluni quesiti relativi alla suddetta direttiva. In particolare, essa li ha invitati a prendere posizione sulla rilevanza dell’articolo 4 di quest’ultima per rispondere alla prima questione pregiudiziale nonché sulla rilevanza degli articoli 13 e 54 della direttiva medesima per rispondere alla terza questione pregiudiziale.

64

Di conseguenza, la circostanza che la prima e la seconda questione pregiudiziale vertano sull’interpretazione dell’articolo 5 e dell’articolo 15, paragrafo 1, della direttiva 2002/58 e non sulla direttiva 2016/680 non osta alla riformulazione delle questioni sollevate dal giudice del rinvio alla luce delle disposizioni rilevanti, per la presente causa, di quest’ultima direttiva e, pertanto, alla competenza della Corte a rispondere a tali questioni.

65

Tale conclusione non è rimessa in discussione dall’argomento dell’Irlanda e dei governi francese e norvegese secondo cui un tentativo di accesso a dati personali non rientra nell’ambito di applicazione della direttiva 2016/680, dal momento che quest’ultima si applica solo ai trattamenti effettivamente eseguiti.

66

Tali governi sostengono, in proposito, che l’interpretazione delle disposizioni di tale direttiva non sarebbe utile alla soluzione della controversia principale, al pari di quella della Carta, in quanto quest’ultima si applica solo quando gli Stati membri attuano il diritto dell’Unione.

67

Tuttavia, qualora non appaia in modo manifesto che l’interpretazione di un atto di diritto dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia principale, come avviene per la direttiva 2016/680 nel caso di specie, l’obiezione relativa all’inapplicabilità di tale atto al procedimento principale rientra nel merito delle questioni (v., per analogia, sentenza del 24 luglio 2023, Lin,C‑107/23 PPU, EU:C:2023:606, punto 66 e giurisprudenza citata).

68

Pertanto, occorre esaminare, in via preliminare, se un tentativo di accesso, da parte delle autorità di polizia, ai dati contenuti in un telefono cellulare rientri nell’ambito di applicazione ratione materiae di tale direttiva.

69

L’articolo 2, paragrafo 1, della direttiva 2016/680 definisce il suo ambito di applicazione materiale. Secondo tale disposizione, la direttiva «si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1», ossia, in particolare, a fini «di prevenzione, indagine, accertamento e perseguimento di reati».

70

L’articolo 3, punto 2, di detta direttiva definisce la nozione di «trattamento» come comprendente «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (...) l’estrazione, la consultazione» o ancora la «diffusione o qualsiasi altra forma di messa a disposizione».

71

Dalla formulazione stessa dell’articolo 3, punto 2, della direttiva 2016/680 e, in particolare, dall’utilizzo delle espressioni «qualsiasi operazione o insieme di operazioni» e «qualsiasi altra forma di messa a disposizione» risulta quindi che il legislatore dell’Unione ha inteso attribuire una portata ampia alla nozione di «trattamento» e, pertanto, all’ambito di applicazione ratione materiae di tale direttiva. Tale interpretazione è corroborata dal carattere non tassativo, espresso dal vocabolo «come», delle operazioni menzionate in detta disposizione [v., per analogia, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 35].

72

Tali elementi testuali depongono quindi nel senso di un’interpretazione secondo la quale, quando le autorità di polizia sequestrano un telefono e lo manipolano a fini di estrazione e consultazione dei dati personali contenuti in tale telefono, esse iniziano un trattamento ai sensi dell’articolo 3, punto 2, della direttiva 2016/680, quand’anche tali autorità non dovessero riuscire, per ragioni tecniche, ad accedere a tali dati.

73

Tale interpretazione è confermata dal contesto in cui si inserisce l’articolo 3, punto 2, della direttiva 2016/680. Infatti, ai sensi dell’articolo 4, paragrafo 1, lettera b), di tale direttiva, gli Stati membri dispongono che i dati personali siano raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità. Quest’ultima disposizione sancisce il principio di limitazione delle finalità [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 122]. Orbene, l’effettività di tale principio esige necessariamente che la finalità della raccolta sia determinata sin dalla fase in cui le autorità competenti tentano di accedere a dati personali, poiché un siffatto tentativo, qualora si riveli proficuo, è tale da consentire a tali autorità, in particolare, di raccogliere, estrarre o consultare immediatamente i dati in questione.

74

Per quanto riguarda gli obiettivi della direttiva 2016/680, essa mira in particolare, come risulta dai suoi considerando 4, 7 e 15, a garantire un livello elevato di protezione dei dati personali delle persone fisiche.

75

Orbene, tale obiettivo sarebbe rimesso in discussione se un tentativo di accesso a dati personali contenuti in un telefono cellulare non potesse essere qualificato come «trattamento» di tali dati. Infatti, un’interpretazione della direttiva 2016/680 in tal senso esporrebbe le persone interessate da un siffatto tentativo di accesso a un rischio significativo che una violazione dei principi stabiliti da tale direttiva non possa più essere evitata.

76

Occorre inoltre rilevare che tale interpretazione è conforme al principio della certezza del diritto, il quale, conformemente alla costante giurisprudenza della Corte, esige che l’applicazione delle norme di diritto sia prevedibile per i singoli, in particolare quando esse possono avere conseguenze sfavorevoli (sentenza del 27 giugno 2024, Gestore dei Servizi Energetici,C‑148/23, EU:C:2024:555, punto 42 e giurisprudenza citata). Infatti, un’interpretazione secondo la quale l’applicabilità della direttiva 2016/680 dipenda dal successo del tentativo di accesso a dati personali contenuti in un telefono cellulare creerebbe tanto per le autorità nazionali competenti quanto per i singoli un’incertezza incompatibile con tale principio.

77

Da quanto precede risulta che un tentativo di accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia ai fini di un’indagine in materia penale, come quella di cui trattasi nel procedimento principale, rientra, come considerato dall’avvocato generale al paragrafo 53 delle sue conclusioni, nell’ambito di applicazione della direttiva 2016/680.

78

Il giudice del rinvio ha espressamente contemplato, nelle sue questioni prima e seconda, da un lato, l’articolo 15, paragrafo 1, della direttiva 2002/58, il quale richiede in particolare che le misure legislative di cui consente l’adozione da parte degli Stati membri, volte a limitare la portata dei diritti e degli obblighi previsti da varie disposizioni di tale direttiva, costituiscano una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, o per garantire la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati, o dell’uso non autorizzato del sistema di comunicazione elettronica e, dall’altro, l’articolo 52, paragrafo 1, della Carta, che sancisce il principio di proporzionalità nel contesto della limitazione all’esercizio dei diritti e delle libertà riconosciuti dalla Carta.

79

Orbene, ai sensi dell’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, gli Stati membri devono prevedere che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Tale disposizione richiede quindi il rispetto, da parte degli Stati membri, del principio di «minimizzazione dei dati», che dà espressione al principio di proporzionalità [sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 41 e giurisprudenza citata).

80

Ne consegue che, in particolare, la raccolta di dati personali nell’ambito di un procedimento penale e la loro conservazione da parte delle autorità di polizia per le finalità di cui all’articolo 1, paragrafo 1, di tale direttiva devono, come qualsiasi trattamento rientrante nel campo di applicazione di quest’ultima, rispettare quest’ultimo principio (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 42 e giurisprudenza citata).

81

Pertanto, occorre considerare che, con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, osti a una normativa nazionale che riconosce alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento dei reati in generale e che non assoggetta l’esercizio di tale possibilità a un controllo preventivo da parte di un giudice o di un organo amministrativo indipendente.

82

In via preliminare, occorre rilevare che, come risulta dai considerando 2 e 4 della direttiva 2016/680, costruendo al contempo un quadro giuridico solido e coerente in materia di protezione dei dati personali al fine di garantire il rispetto del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, riconosciuto all’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE, tale direttiva è intesa a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione [v., in tal senso, sentenza del 25 febbraio 2021, Commissione/Spagna (Direttiva sui dati personali – Settore penale), C‑658/19, EU:C:2021:138, punto 75].

83

A tal fine, la direttiva 2016/680 mira in particolare, come rilevato al punto 74 della presente sentenza, a garantire un livello elevato di protezione dei dati personali delle persone fisiche.

84

A tale proposito, occorre ricordare che, come evidenziato dal considerando 104 della direttiva 2016/680, le limitazioni che tale direttiva consente di apportare al diritto alla protezione dei dati personali, previsto all’articolo 8 della Carta, nonché al diritto al rispetto della vita privata e familiare, tutelato dall’articolo 7 di tale Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, di quest’ultima, i quali includono il rispetto del principio di proporzionalità (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 33).

85

Infatti, tali diritti fondamentali non sono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale e bilanciati con altri diritti fondamentali. Eventuali limitazioni all’esercizio di detti diritti fondamentali, conformemente all’articolo 52, paragrafo 1, della Carta, deve essere prevista dalla legge e rispettare il contenuto essenziale dei medesimi diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta le limitazioni controverse deve prevedere norme chiare e precise che ne disciplinano la portata e l’applicazione (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 39 e giurisprudenza citata).

86

Per quanto riguarda, in primo luogo, la finalità di interesse generale che può giustificare una limitazione all’esercizio dei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, come quella derivante dalla normativa di cui trattasi nel procedimento principale, occorre sottolineare che un trattamento di dati personali nell’ambito di un’indagine di polizia diretta alla repressione di un reato, come un tentativo di accesso ai dati contenuti in un telefono cellulare, deve essere considerato, in linea di principio, effettivamente rispondente a una finalità di interesse generale riconosciuta dall’Unione, ai sensi dell’articolo 52, paragrafo 1, della Carta.

87

Per quanto attiene, in secondo luogo, al requisito della necessità di tale limitazione, come sottolineato, in sostanza, nel considerando 26 della direttiva 2016/680, tale requisito non è soddisfatto quando l’obiettivo di interesse generale perseguito sia ragionevolmente conseguibile in modo altrettanto efficace con altri mezzi, meno pregiudizievoli per i diritti fondamentali degli interessati (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 40 e giurisprudenza citata).

88

Per contro, il requisito della necessità è soddisfatto qualora l’obiettivo perseguito dal trattamento di dati di cui trattasi non possa ragionevolmente essere conseguito in modo altrettanto efficace con altri mezzi meno lesivi dei diritti fondamentali delle persone interessate, in particolare dei diritti al rispetto della vita privata e familiare e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia)C‑205/21, EU:C:2023:49, punto 126 e giurisprudenza citata).

89

Per quanto concerne, in terzo luogo, la proporzionalità della limitazione all’esercizio dei diritti fondamentali garantiti agli articoli 7 e 8 della Carta, derivante da tali trattamenti, essa implica una ponderazione di tutti gli elementi pertinenti del caso di specie (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, punti 62 e 63 e giurisprudenza citata).

90

Tra tali elementi rientrano, in particolare, la gravità della limitazione così apportata all’esercizio dei diritti fondamentali di cui trattasi, la quale dipende dalla natura e dalla sensibilità dei dati ai quali le autorità di polizia competenti possono avere accesso, l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione, il collegamento esistente tra il proprietario del telefono cellulare e il reato di cui trattasi o, ancora, la pertinenza dei dati in questione per l’accertamento dei fatti.

91

Per quanto riguarda, in primo luogo, la gravità della limitazione dei diritti fondamentali risultante da una normativa come quella di cui trattasi nel procedimento principale, dalla decisione di rinvio risulta che tale normativa consente alle autorità di polizia competenti di accedere, senza previa autorizzazione, ai dati contenuti in un telefono cellulare.

92

Tale accesso può riguardare, a seconda del contenuto del telefono cellulare di cui trattasi e delle scelte operate da tali autorità di polizia, non soltanto dati relativi al traffico e alla localizzazione, ma anche fotografie e la cronologia di navigazione su Internet effettuata con tale telefono, o addirittura una parte del contenuto delle comunicazioni effettuate con detto telefono, in particolare consultando i messaggi che vi sono conservati.

93

L’accesso a questo insieme di dati può consentire di trarre conclusioni molto precise riguardo alla vita privata della persona interessata, quali le sue abitudini di vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tale persona e gli ambienti sociali da essa frequentati.

94

Infine, non si può escludere che i dati contenuti in un telefono cellulare possano includere dati particolarmente sensibili, come dati personali che rivelano l’origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche, sensibilità che giustifica la protezione specifica richiesta rispetto ad essi dall’articolo 10 della direttiva 2016/680, la quale si estende anche a dati che rivelano indirettamente, al termine di un’operazione intellettiva di deduzione o di concordanza, informazioni di questo tipo [v., per analogia, sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C‑204/21, EU:C:2023:442, punto 344].

95

L’ingerenza nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta, cui può dar luogo l’applicazione di una normativa come quella di cui trattasi nel procedimento principale, deve pertanto essere considerata grave, se non addirittura particolarmente grave.

96

Per quanto attiene, in secondo luogo, all’importanza dell’obiettivo perseguito, occorre sottolineare che la gravità del reato oggetto dell’indagine costituisce uno dei parametri centrali in sede di esame della proporzionalità della grave ingerenza costituita dall’accesso ai dati personali contenuti in un telefono cellulare e che consentono di trarre conclusioni precise sulla vita privata dell’interessato.

97

Tuttavia, ritenere che solo la lotta contro i reati gravi possa giustificare l’accesso a dati contenuti in un telefono cellulare limiterebbe i poteri di indagine delle autorità competenti, ai sensi della direttiva 2016/680, nei confronti dei reati in generale. Ne risulterebbe un aumento del rischio di impunità per detti reati, tenuto conto dell’importanza che tali dati possono avere per le indagini penali. Pertanto, una siffatta limitazione non rispetterebbe la natura specifica dei compiti svolti da tali autorità ai fini enunciati all’articolo 1, paragrafo 1, di tale direttiva, evidenziata ai considerando 10 e 11 di quest’ultima, e nuocerebbe all’obiettivo della realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione perseguito da detta direttiva.

98

Ciò premesso, tali considerazioni non pregiudicano il requisito derivante dall’articolo 52, paragrafo 1, della Carta, secondo cui eventuali limitazioni all’esercizio di un diritto fondamentale devono essere «previste dalla legge», requisito che implica che la base giuridica che autorizza una simile limitazione ne definisca la portata in modo sufficientemente chiaro e preciso [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 65 e giurisprudenza citata].

99

Al fine di soddisfare tale requisito, spetta al legislatore nazionale definire in modo sufficientemente preciso gli elementi, in particolare la natura o le categorie dei reati di cui trattasi, da prendere in considerazione.

100

Per quanto riguarda, in terzo luogo, il legame esistente tra il proprietario del telefono cellulare e il reato di cui trattasi nonché la rilevanza dei dati di cui trattasi ai fini dell’accertamento dei fatti, dall’articolo 6 della direttiva 2016/680 risulta che la nozione di «interessato» comprende diverse categorie di persone, ossia, in sostanza, le persone sospettate, per fondati motivi, di avere commesso o di stare per commettere un reato, le persone condannate per un reato, le vittime o potenziali vittime di tali reati, nonché le altre parti rispetto a un reato che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti. Secondo tale articolo, gli Stati membri sono tenuti a prevedere che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati.

101

A tale proposito, per quanto riguarda, in particolare, l’accesso a dati contenuti nel telefono cellulare della persona sottoposta ad indagine penale, come nel procedimento principale, è necessario che l’esistenza di sospetti ragionevoli nei suoi confronti, indicanti che essa ha commesso, commette o intende commettere un reato, o che è implicata in un modo o nell’altro in tale reato, sia suffragata da elementi oggettivi e sufficienti.

102

Segnatamente al fine di garantire che il principio di proporzionalità sia rispettato in ciascun caso concreto effettuando una ponderazione di tutti gli elementi pertinenti, qualora l’accesso ai dati personali da parte delle autorità nazionali competenti comporti il rischio di un’ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali dell’interessato, è essenziale che tale accesso sia subordinato a un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente.

103

Tale controllo preventivo richiede che il giudice o l’organo amministrativo indipendente incaricato di effettuarlo disponga di tutti i poteri e presenti tutte le garanzie necessarie per assicurare un contemperamento dei vari legittimi interessi e diritti in gioco. Per quanto riguarda più in particolare un’indagine penale, un controllo di questo tipo esige che tale giudice o tale organo sia in grado di garantire un giusto equilibrio tra, da un lato, i legittimi interessi connessi alle necessità dell’indagine nell’ambito della lotta alla criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso.

104

Tale controllo indipendente, in una situazione come quella descritta al punto 102 della presente sentenza, deve intervenire prima di qualsiasi tentativo di accesso ai dati di cui trattasi, salvo in casi di urgenza debitamente comprovati, nel qual caso detto controllo deve avvenire in tempi brevi. Infatti, un controllo successivo non consentirebbe di rispondere all’obiettivo del controllo preventivo, che consiste nell’impedire che sia autorizzato un accesso ai dati di cui trattasi che ecceda i limiti dello stretto necessario.

105

In particolare, il giudice o l’organo amministrativo indipendente, che interviene nell’ambito di un controllo preventivo effettuato a seguito di una domanda di accesso motivata rientrante nell’ambito di applicazione della direttiva 2016/680, dev’essere autorizzato a rifiutare o a limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali costituita da detto accesso sarebbe sproporzionata tenuto conto di tutti gli elementi pertinenti.

106

Un rifiuto o una limitazione dell’accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia competenti, devono quindi essere disposti se, tenendo conto della gravità del reato e delle esigenze dell’indagine, un accesso al contenuto delle comunicazioni o a dati sensibili non appare giustificato.

107

Per quanto riguarda, in particolare, i trattamenti di dati sensibili, occorre tenere conto dei requisiti posti dall’articolo 10 della direttiva 2016/680, la cui finalità è di garantire una maggiore protezione nei confronti di tali trattamenti che possono creare, come risulta dal considerando 37 di detta direttiva, rischi significativi per le libertà e i diritti fondamentali, quali il diritto al rispetto della vita privata e familiare e il diritto alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta. A tal fine, come risulta dai termini stessi del richiamato articolo 10, il requisito secondo cui il trattamento di simili dati è autorizzato «solo se strettamente necessario» deve essere interpretato nel senso che esso definisce condizioni rafforzate di liceità del trattamento dei dati sensibili, alla luce di quelle che discendono dall’articolo 4, paragrafo 1, lettere b) e c), nonché dall’articolo 8, paragrafo 1, della suddetta direttiva, le quali si riferiscono soltanto alla «necessità» di un trattamento di dati rientrante, in generale, nell’ambito di applicazione della medesima direttiva [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punti 116 e 117 e giurisprudenza citata].

108

Così, da un lato, l’impiego dell’avverbio «solo» dinanzi all’espressione «se strettamente necessario» sottolinea che il trattamento di categorie particolari di dati, ai sensi di detto articolo 10, può essere considerato necessario solo in un numero limitato di casi. Dall’altro lato, il carattere «strettamente» necessario di un trattamento di simili dati implica che tale necessità sia valutata in modo particolarmente rigoroso [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 118].

109

Orbene, nel caso di specie, il giudice del rinvio indica che, nel corso di un procedimento di indagine penale, le autorità di polizia austriache sono autorizzate ad accedere ai dati contenuti in un telefono cellulare. Inoltre, esso precisa che tale accesso non è soggetto, in linea di principio, alla previa autorizzazione di un giudice o di un’autorità amministrativa indipendente. Spetta tuttavia unicamente a tale giudice trarre le conseguenze dalle precisazioni fornite in particolare ai punti da 102 a 108 della presente sentenza nel procedimento principale.

110

Da quanto precede risulta che occorre rispondere alla prima e alla seconda questione dichiarando che l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, dev’essere interpretato nel senso che esso non osta a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale, se tale normativa:

111

Dalla decisione di rinvio risulta che, con la sua terza questione, il giudice del rinvio intende, in sostanza, stabilire se CG avrebbe dovuto essere informato dei tentativi di accesso ai dati contenuti nel suo telefono cellulare al fine di poter esercitare il suo diritto a un ricorso effettivo garantito dall’articolo 47 della Carta.

112

A tale riguardo, le disposizioni pertinenti della direttiva 2016/680 sono, da un lato, l’articolo 13 di tale direttiva, intitolato «Informazioni da rendere disponibili o da fornire all’interessato», e, dall’altro, l’articolo 54 di detta direttiva, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento».

113

Occorre altresì ricordare, come evidenziato dal considerando 104 della direttiva 2016/680, che le limitazioni apportate da tale direttiva al diritto a un ricorso effettivo e a un giudice imparziale, tutelato dall’articolo 47 della Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, di quest’ultima, i quali includono il rispetto del principio di proporzionalità.

114

Occorre quindi considerare che, con la sua terza questione, il giudice del rinvio chiede, in sostanza, se gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, debbano essere interpretati nel senso che ostano a una normativa nazionale che consente alle autorità competenti in materia penale di tentare di accedere ai dati contenuti in un telefono cellulare senza informarne l’interessato.

115

Dall’articolo 13, paragrafo 2, lettera d), della direttiva 2016/680 risulta che, in aggiunta alle informazioni di cui al paragrafo 1, quali l’identità del titolare del trattamento, la finalità di tale trattamento e il diritto di proporre reclamo a un’autorità di controllo che devono essere messe a disposizione dell’interessato, gli Stati membri dispongono, per legge, che il titolare del trattamento fornisca all’interessato per consentirgli di esercitare i suoi diritti, se necessario, ulteriori informazioni, in particolare nel caso in cui i dati personali siano raccolti all’insaputa dell’interessato.

116

L’articolo 13, paragrafo 3, lettere a) e b), della direttiva 2016/680 autorizza tuttavia il legislatore nazionale a limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2, «nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata», in particolare, al fine di «non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari» o «non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali».

117

Infine, occorre rilevare che l’articolo 54 della direttiva 2016/680, che dà espressione all’articolo 47 della Carta, impone agli Stati membri di disporre che, qualora una persona ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma di tale direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni, tale persona abbia diritto a un ricorso giurisdizionale effettivo.

118

Dalla giurisprudenza risulta che il diritto a un ricorso giurisdizionale effettivo, garantito dall’articolo 47 della Carta, richiede, in linea di principio, che l’interessato possa conoscere la motivazione della decisione adottata nei suoi confronti, al fine di consentirgli di difendere i suoi diritti nelle migliori condizioni possibili e di decidere, con piena cognizione di causa, se gli sia utile adire il giudice competente, e al fine di consentire pienamente a quest’ultimo di esercitare il controllo sulla legittimità di tale decisione [sentenza del 16 novembre 2023, Ligue des droits humains (Verifica del trattamento dei dati da parte dell’autorità di controllo), C‑333/22, EU:C:2023:874, punto 58].

119

Se è pur vero che tale diritto non costituisce una prerogativa assoluta e che, conformemente all’articolo 52, paragrafo 1, della Carta, possono esservi apportate limitazioni, ciò avviene a condizione che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale dei diritti e delle libertà di cui trattasi e che, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui [sentenza del 16 novembre 2023, Ligue des droits humains (Verifica del trattamento dei dati da parte dell’autorità di controllo), C‑333/22, EU:C:2023:874, punto 59].

120

Pertanto, dalle disposizioni citate ai punti da 115 a 119 della presente sentenza risulta che spetta alle autorità nazionali competenti che siano state autorizzate, da un giudice o da un organo amministrativo indipendente, ad accedere ai dati conservati, informare gli interessati, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali tale autorizzazione si basa, dal momento in cui ciò non rischia di compromettere le indagini condotte da tali autorità, e mettere a loro disposizione tutte le informazioni di cui all’articolo 13, paragrafo 1, della direttiva 2016/680. Tali informazioni sono infatti necessarie per consentire a tali persone di esercitare, in particolare, il diritto di ricorso, esplicitamente previsto all’articolo 54 della direttiva 2016/680 [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione), C‑350/21, EU:C:2022:896, punto 70 e giurisprudenza citata].

121

Al contrario, una normativa nazionale che escluda, in generale, qualsiasi diritto a ottenere tali informazioni non sarebbe conforme al diritto dell’Unione [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione), C‑350/21, EU:C:2022:896, punto 71].

122

Nel caso di specie, dalla decisione di rinvio risulta che CG sapeva che il suo telefono cellulare era stato sequestrato quando le autorità di polizia austriache hanno tentato invano di sbloccarlo al fine di accedere ai dati in esso contenuti. In tali circostanze, non sembra che informare CG del fatto che tali autorità avrebbero cercato di accedere a tali dati rischiasse di compromettere le indagini, cosicché egli avrebbe dovuto esserne preventivamente informato.

123

Da quanto precede risulta che occorre rispondere alla terza questione dichiarando che gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, devono essere interpretati nel senso che ostano a una normativa nazionale che autorizza le autorità competenti a tentare di accedere a dati contenuti in un telefono cellulare senza informare l’interessato, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a dette autorità in forza di tale direttiva.

124

Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara: