(Studio legale G.Patrizi, G.Arrigo, G.Dobici)
Corte di Giustizia UE. Sentenza 30 Aprile 2024 nella causa C-470/21, La Quadrature du Net e a. (Dati personali e lotta contro la contraffazione).
Lotta contro i reati e ingerenza nei diritti fondamentali: un’autorità pubblica nazionale incaricata della lotta contro le contraffazioni commesse online può accedere ai dati identificativi a partire da un indirizzo IP. La Corte precisa i requisiti relativi alle modalità di conservazione di tali dati e di accesso agli stessi.
1.Gli Stati membri possono imporre ai fornitori di accesso a Internet un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP per lottare contro i reati in generale, purché tale conservazione non consenta di trarre conclusioni precise sulla vita privata dell’interessato.
Ciò può essere realizzato mediante modalità di conservazione che garantiscano una separazione effettivamente stagna degli indirizzi IP e delle altre categorie di dati personali, in particolare i dati relativi all’identità civile.
Gli Stati membri possono inoltre, a determinate condizioni, autorizzare l’autorità nazionale competente ad accedere ai dati relativi all’identità civile riferentisi a indirizzi IP, purché sia assicurata una conservazione tale che garantisca una separazione stagna delle diverse categorie di dati.
Allorché, in situazioni atipiche, le specificità di un procedimento nazionale che disciplina un accesso siffatto possono, per il fatto di mettere in relazione dati e informazioni raccolti, consentire di trarre conclusioni precise sulla vita privata dell’interessato, l’accesso deve essere assoggettato a un previo controllo da parte di un giudice o di un ente amministrativo indipendente.
Al fine di proteggere le opere coperte da un diritto d’autore o da un diritto connesso dai reati commessi su Internet, un decreto francese ha introdotto due trattamenti di dati personali.
Il primo consiste nella raccolta, da parte di organismi che rappresentano gli autori, di indirizzi IP che appaiono essere stati utilizzati su siti tra pari (peer-to-peer) per la commissione di tali reati nonché nella loro messa a disposizione dell’ Alta autorità francese per la diffusione delle opere e la tutela dei diritti su Internet (Hadopi)[1].
Il secondo comprende in particolare la messa in relazione, da parte dei fornitori di accesso a Internet che agiscono su richiesta della Hadopi, dell’indirizzo IP e dei dati relativi all’identità civile del suo titolare.
Detti trattamenti di dati consentono a tale autorità di avviare, nei confronti delle persone identificate, un procedimento che combina misure pedagogiche e repressive, che può dar luogo a un deferimento alla procura nei casi più gravi.
2.Quattro associazioni per la tutela dei diritti e delle libertà su Internet hanno proposto dinanzi al Consiglio di Stato francese un ricorso diretto all’annullamento del decreto di cui trattasi. Tale giudice chiede alla Corte di giustizia se i suddetti trattamenti di dati siano compatibili con il diritto dell’Unione.
La Corte, pronunciandosi in seduta plenaria, dichiara che la conservazione generalizzata e indifferenziata di indirizzi IP non costituisce necessariamente una grave ingerenza nei diritti fondamentali. Una conservazione di questo tipo è autorizzata allorché la normativa nazionale impone modalità di conservazione che garantiscano una separazione effettivamente stagna delle diverse categorie di dati personali, escludendo così che possano essere tratte conclusioni precise sulla vita privata dell’interessato.
La Corte precisa altresì che il diritto dell’Unione non osta a una normativa nazionale che autorizza l’autorità pubblica competente, al solo scopo di identificare la persona sospettata di aver commesso un reato, ad accedere ai dati relativi all’identità civile corrispondenti a un indirizzo IP, conservati separatamente e in maniera effettivamente stagna dai fornitori di accesso a Internet. Gli Stati membri devono tuttavia garantire che tale accesso non consenta di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP di cui trattasi. Ciò implica che si deve vietare agli agenti che dispongono di tale accesso di divulgare informazioni sul contenuto degli archivi consultati, di effettuare un tracciamento del percorso di navigazione a partire dagli indirizzi IP e di utilizzare tali indirizzi a fini diversi dall’identificazione dei loro titolari ai fini dell’adozione di eventuali misure.
Quando l’accesso a dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica ha il solo scopo di identificare l’utente interessato, non è indispensabile un previo controllo di tale accesso da parte di un giudice o di un ente amministrativo indipendente in quanto tale accesso comporta un’ingerenza nei diritti fondamentali che non può essere qualificata come grave. Detto controllo deve tuttavia essere previsto allorché le specificità di una procedura nazionale che disciplina un accesso siffatto possono, per il fatto di mettere in relazione i dati e le informazioni raccolti nel corso delle diverse fasi di tale procedura, consentire di trarre conclusioni precise sulla vita privata dell’interessato e, pertanto, comportare una grave ingerenza nei diritti fondamentali. In un caso del genere, tale controllo da parte di un giudice o di un ente amministrativo indipendente deve avvenire prima che abbia luogo tale messa in relazione, preservando al contempo l’efficacia di detta procedura, consentendo, in particolare, di individuare i casi di nuova possibile reiterazione del comportamento illecito di cui trattasi.
[1] Il 1° gennaio 2022 la Hadopi e il Consiglio superiore dell’audiovisivo (CSA) si sono fusi creando l’Autorità di regolamentazione della comunicazione audiovisiva e digitale (Arcom). Successivamente è stata attivata la procedura di risposta graduata, sostanzialmente immutata, da parte di due membri del collegio dell’Arcom, uno designato dal Consiglio di Stato e l’altro dalla Corte di cassazione.
Commenti recenti