Data protection

Privacy e dati telefonici. Dietrofront della Corte di Giustizia Ue ‘Accesso consentito anche per reati non gravi’

di |

I reati che non sono particolarmente gravi possono giustificare un accesso ai dati personali conservati dai fornitori di servizi di comunicazione elettronica quando tale accesso non comporta una limitazione grave della vita privata.

Nel contesto delle indagini su una rapina con sottrazione di un portafoglio e di un telefono cellulare, la polizia giudiziaria spagnola ha chiesto al giudice istruttore competente di accordarle l’accesso ai dati di identificazione degli utenti dei numeri di telefono attivati dal telefono rubato per un periodo di dodici giorni a partire dalla data della rapina. Il giudice istruttore ha respinto tale domanda con la motivazione che, in particolare, i fatti all’origine dell’indagine penale non avrebbero integrato gli estremi di un reato «grave» – vale a dire, secondo il diritto spagnolo, un reato punibile con pena detentiva superiore a cinque anni – posto che l’accesso ai dati di identificazione era in effetti possibile solamente per tale tipo di reati. Il Ministerio Fiscal (pubblico ministero spagnolo) ha interposto appello avverso tale decisione dinanzi all’Audiencia Provincial de Tarragona (Corte d’appello di Tarragona, Spagna).

La direttiva relativa alla vita privata e alle comunicazioni elettroniche [1] prevede che gli Stati membri possano limitare i diritti dei cittadini qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata, all’interno di una società democratica, per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica, e per la prevenzione, ricerca, accertamento e perseguimento dei reati ovvero dell’uso non autorizzato del sistema di comunicazione elettronica.

L’Audiencia Provincial de Tarragona spiega che, dopo l’adozione della decisione del giudice istruttore, il legislatore spagnolo ha introdotto due criteri alternativi per determinare il livello di gravità di un reato rispetto al quale siano autorizzate la conservazione e la comunicazione dei dati personali. Il primo è un criterio materiale, riferito a reati specifici e gravi che sono particolarmente lesivi dei beni giuridici individuali e collettivi. Il secondo è un criterio normativo formale, che fissa una soglia minima di tre anni di reclusione, soglia che comprenderebbe la maggior parte dei reati. Inoltre, il giudice spagnolo ritiene che l’interesse dello Stato a reprimere i comportamenti penalmente illeciti non possa giustificare ingerenze sproporzionate nei diritti fondamentali previsti dalla Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). L’Audiencia Provincial de Tarragona interroga quindi la Corte di giustizia sulla fissazione della soglia di gravità dei reati a partire dalla quale sia giustificata un’ingerenza nei diritti fondamentali, come l’accesso da parte delle autorità nazionali competenti ai dati personali conservati dai fornitori di servizi di comunicazione elettronica.

Con la sua odierna sentenza, la Corte ricorda che l’accesso delle autorità pubbliche ai dati personali conservati dai fornitori di servizi di comunicazione elettronica, nel contesto della fase istruttoria di un procedimento penale, rientra nell’ambito di applicazione della direttiva. Inoltre, l’accesso ai dati che mirano all’identificazione dei titolari di carte SIM attivate con un telefono cellulare rubato, come il cognome, il nome e, se del caso, l’indirizzo di tali titolari, comporta un’ingerenza nei diritti fondamentali di questi ultimi, sanciti nella Carta. Tuttavia, essa dichiara che tale ingerenza non presenta una gravità tale da dover limitare il suddetto accesso, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave.

La Corte segnala che l’accesso delle autorità pubbliche ai dati personali conservati dai fornitori di servizi di comunicazione elettronica costituisce un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati, sanciti nella Carta, persino in mancanza di circostanze che permettano di qualificare tale ingerenza come «grave» e senza che rilevi il fatto che le informazioni in questione relative alla vita privata siano o meno delicate o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza. La direttiva elenca tuttavia gli obiettivi idonei a giustificare una normativa nazionale che disciplini l’accesso delle autorità pubbliche a questi dati e che deroghi pertanto al principio della riservatezza delle comunicazioni elettroniche. Questo elenco ha carattere tassativo, di modo che tale accesso deve rispondere in modo effettivo e rigoroso ad uno di questi obiettivi. La Corte osserva a tal proposito che, per quanto riguarda l’obiettivo di prevenzione, ricerca, accertamento e perseguimento dei reati, la formulazione della direttiva non limita tale obiettivo alla lotta contro i soli reati gravi, ma si riferisce ai «reati» in generale.

Nella sua sentenza Tele2 Sverige [2], la Corte ha affermato che soltanto la lotta contro la criminalità grave è idonea a giustificare un accesso delle autorità pubbliche a dati personali conservati dai fornitori di servizi di comunicazione che, considerati nel loro insieme, consentano di trarre conclusioni precise sulla vita privata delle persone i cui dati sono oggetto di attenzione. Tale interpretazione era tuttavia motivata dal fatto che l’obiettivo perseguito da una normativa che disciplina tale accesso deve essere adeguato alla gravità dell’ingerenza nei diritti fondamentali in questione che tale operazione determina. In conformità al principio di proporzionalità, infatti, una grave ingerenza può essere giustificata, in tale ambito, solo da un obiettivo di lotta contro la criminalità che deve essere qualificata come «grave». Al contrario, qualora l’ingerenza non sia grave, detto accesso può essere giustificato da un obiettivo di prevenzione, ricerca, accertamento e perseguimento di un «reato» in generale.

La Corte sostiene che l’accesso ai soli dati oggetto della domanda in questione non può essere qualificato come un’ingerenza «grave» nei diritti fondamentali delle persone i cui dati sono oggetto di attenzione, poiché questi dati non permettono di trarre conclusioni precise sulla loro vita privata. La Corte ne trae la conclusione che l’ingerenza che un accesso a tali dati comporterebbe può quindi essere giustificata dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di «reati» in generale, senza che sia necessario che tali reati siano qualificati come «gravi».

[1] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11).

[2] Sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, v. comunicato stampa n. 145/16).