La Corte di Giustizia, nella causa C-548/21, è stata chiamata, in via pregiudiziale, a decidere in ordine alla compatibilità con la normativa dell’Unione della disciplina austriaca applicabile ad un caso di sequestro di un telefono cellulare nell’ambito di un’indagine penale, con successivi (ed infruttuosi) tentativi di accesso completo ai dati in esso contenuti, effettuati dalla polizia austriaca senza alcuna informativa al soggetto interessato. Nello specifico, la Corte si è pronunciata sull’eventualità di dover limitare tale ingerenza solo ai procedimenti per reati “gravi”, sull’eventuale necessità di sottoposizione di tale attività ad un controllo preventivo (o comunque successivo in caso di urgenza) da parte di un giudice o di un’autorità indipendente e sulla doverosità di informativa all’interessato circa l’esecuzione dell’accesso stesso.
In particolare, la questione verte sull’interpretazione degli articoli 5 e 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, sulla tutela dei dati personali e della vita privata nel settore delle comunicazioni elettroniche (nota come direttiva sulla privacy e le comunicazioni elettroniche) (GU 2002, L 201, pag. 37), modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11), di seguito «direttiva 2002/58». Tale interpretazione è stata effettuata alla luce degli articoli 7, 8, 11, 41 e 47, nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (di seguito «Carta»).
Già in passato la Corte è stata chiamata a pronunciarsi su una simile questione [1], riguardante però l’accesso ai tabulati telefonici, relativamente al quale era stata ritenuta applicabile la Direttiva 2002/58. In quel caso, era stata ritenuta conforme al diritto unitario una normativa che limitasse l’accesso solo ai casi di accertamento di reati puniti dal diritto nazionale con la pena della reclusione non inferiore nel massimo a tre anni.
Nel presente caso, invece, pur ripercorrendo il solco di simili principi, è stata operata una rilevante distinzione dovuta alla diversa normativa applicabile all’accesso diretto (Direttiva 2016/680).
Il procedimento principale
La domanda è stata sollevata nell’ambito di una controversia tra tale CG e la Bezirkshauptmannschaft Landeck (autorità amministrativa distrettuale di Landeck, Austria) in merito al sequestro del telefono cellulare di CG da parte della polizia. Le autorità, nel contesto di un’indagine sul traffico di stupefacenti, avevano tentato più volte di sbloccare il dispositivo per accedere ai dati in esso contenuti.
Il 23 febbraio 2021, infatti, durante un controllo antidroga, le autorità doganali di Innsbruck avevano sequestrato un pacco contenente 85 grammi di cannabis, indirizzato a CG. Successivamente, il 6 marzo 2021, la polizia perquisiva l’appartamento di CG, interrogandolo sul mittente del pacco e sequestrandone il telefono dopo il rifiuto di consentire l’accesso ai dati.
Il dispositivo, dopo infruttuosi tentativi nella sede locale, veniva quindi inviato a tecnici dell’Ufficio federale di polizia giudiziaria a Vienna per effettuare altri tentativi di sblocco, il tutto senza alcuna autorizzazione da parte di un Giudice o del Pubblico ministero. CG apprendeva di tali tentativi solo in un secondo momento, poiché questi non venivano documentati, né a lui notificati.
Le questioni pregiudiziali
Il Giudice del rinvio ha sottoposto dunque alla Corte UE le seguenti questioni pregiudiziali:
“1) Se l’articolo 15, paragrafo 1, [della direttiva 2002/58, eventualmente in combinato disposto con l’articolo 5 della stessa], letto alla luce degli articoli 7 e 8 della Carta, debba essere interpretato nel senso che l’accesso delle autorità pubbliche ai dati conservati nei telefoni cellulari comporta un’ingerenza nei diritti fondamentali sanciti da detti articoli della Carta che presenta una gravità tale che il suddetto accesso deve essere limitato, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, alla lotta contro la criminalità grave.
2) Se l’articolo 15, paragrafo 1 della [direttiva 2002/58], letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che osta a una normativa nazionale, quale l’articolo 18 in combinato disposto con l’articolo 99, paragrafo 1, della [StPO], in forza della quale le autorità preposte alla sicurezza si procurano autonomamente, nel corso di un’indagine penale, un accesso completo e non controllato a tutti i dati digitali conservati in un telefono cellulare, senza l’autorizzazione di un giudice o di un’entità amministrativa indipendente.
3) Se l’articolo 47 della Carta, eventualmente in combinato disposto con gli articoli 41 e 52 della Carta, sotto il profilo della parità delle armi e sotto il profilo di un mezzo di ricorso effettivo, debba essere inteso nel senso che osta a una normativa di uno Stato membro, quale l’articolo 18 in combinato disposto con l’articolo 99, paragrafo 1, della [StPO], la quale consenta di analizzare digitalmente un telefono cellulare senza che l’interessato ne sia informato preventivamente o, almeno, successivamente all’esecuzione della misura».”
In ordine alla normativa applicabile nel caso di specie, la Corte già in passato aveva dichiarato che “quando gli Stati membri attuano direttamente misure che derogano alla riservatezza delle comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di servizi di tali comunicazioni, la protezione dei dati delle persone interessate non ricade nell’ambito della direttiva 2002/58, bensì unicamente in quello del diritto nazionale, fatta salva l’applicazione della direttiva 2016/680” [2] (il cui ambito di applicazione riguarda il trattamento dei dati personali da parte delle autorità̀ competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica). Ed infatti, il caso riguardava proprio un tentativo di accesso effettuato direttamente dalle autorità di polizia, senza intervento dei fornitori di servizi, fuoriuscendo dunque dall’ambito di applicazione della direttiva 2002/58.
Al contrario, la Direttiva 2016/680[3], all’art. 3, punto 2, utilizza una nozione ampia di “trattamento”: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
A parere della Corte, la formulazione ampia di tale definizione deporrebbe a favore dell’interpretazione per cui il sequestro e la manipolazione di un telefono ad opera della polizia giudiziaria – finalizzato all’estrazione e consultazione di dati personali – si qualificherebbe quale trattamento ai sensi della Direttiva 2016/680, anche nel caso in cui il tentativo di accesso dovesse fallire per ragioni tecniche.
La prima questione: la limitazione dell’accesso ai soli reati gravi
Sulla base di tale presupposto normativo, per poter comprendere la decisione rispetto alla prima delle questioni poste, è necessaria una premessa sui principi che animano la Direttiva 2016/680. Quest’ultima, infatti, stabilisce una cornice di garanzia dei dati personali basata sui diritti fondamentali sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Al tempo stesso, tuttavia, consente delle limitazioni a tali diritti, purché rispettino il principio di proporzionalità, siano previste dalla legge, siano necessarie e strettamente legate a finalità di interesse generale o alla protezione di altri diritti fondamentali.
Di talché, le restrizioni ai diritti fondamentali devono essere giustificate, necessarie e non eccessive, con norme chiare e precise che ne regolino l’applicazione. L’accesso ai dati personali, come nei casi di procedimenti penali, può essere considerato giustificato se risponde a obiettivi di interesse generale riconosciuti dall’Unione, purché non esistano alternative meno invasive.
In base al principio di proporzionalità, poi, ogni limitazione deve essere valutata considerando la gravità dell’ingerenza, la sensibilità dei dati, la loro rilevanza per l’indagine e l’obiettivo perseguito. È ben noto come accessi non controllati ai dati contenuti nei telefoni cellulari possano costituire ingerenze gravi nei confronti dei diritti fondamentali dell’individuo.
I telefoni, infatti, possono contenere informazioni personali di particolare delicatezza (come origine etnica, opinioni politiche, credenze religiose, orientamento sessuale) che richiedono una attenta protezione.
Alla luce di tali assunti, secondo la Corte una normativa che consenta l’accesso non autorizzato ai dati personali senza un controllo adeguato potrebbe violare i principi fondamentali di proporzionalità e tutela dei diritti sanciti dalla Carta.
L’accesso ai dati personali contenuti in un telefono cellulare, dunque, in quanto può costituire una grave ingerenza nella vita privata, deve essere giustificato dalla proporzionalità rispetto all’obiettivo perseguito. La gravità del reato oggetto dell’indagine rappresenterebbe, in tal senso, un parametro cruciale in questa valutazione.
Al tempo stesso, ritiene la Corte che limitare l’accesso ai dati esclusivamente alla lotta contro i reati gravi ridurrebbe l’efficacia delle indagini per altri reati, aumentando il rischio di impunità e compromettendo l’obiettivo di garantire uno spazio di libertà, sicurezza e giustizia nell’Unione europea. Sotto altro profilo, ogni simile limitazione dei diritti fondamentali deve essere prevista dalla legge e definita con chiarezza e precisione. È compito del legislatore nazionale specificare i parametri, come la natura o le categorie dei reati, che giustificano la necessità di tale accesso.
La seconda questione: l’autorizzazione di un Giudice o di un’autorità indipendente
Nel caso specifico, il giudice del rinvio aveva evidenziato che in Austria l’accesso ai dati non richiede generalmente un’autorizzazione preventiva di un giudice o di un’autorità amministrativa indipendente.
Tuttavia, a parere della Corte, affinché sia rispettato il principio di proporzionalità di cui sopra, è fondamentale che l’accesso ai dati sia subordinato a tale controllo preventivo (salvi i casi di urgenza), dotando il giudice o l’autorità indipendente dei poteri e delle garanzie che consentano di effettuare un giusto bilanciamento dei diritti e degli interessi che vengono in luce; nel caso specifico di un procedimento penale, si tratta di garantire da un lato le esigenze connesse alla lotta alla criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali degli interessati. Talché, dovrebbe essere prevista la possibilità che il giudice investito della richiesta rifiuti o limiti l’accesso laddove individui una sproporzione tra diritti ed esigenze in conflitto e quindi un’ingerenza eccessiva nei diritti fondamentali degli individui.
La terza questione: l’informativa all’interessato
Per quanto attiene alla terza questione sottoposta al vaglio della Corte, vengono in luce, da un lato, l’articolo 13 della Direttiva 2016/680, rubricato “Informazioni da rendere disponibili o da fornire all’interessato”, e, dall’altro, l’articolo 54, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento”.
Secondo tali disposizioni, le autorità nazionali competenti che siano state autorizzate – da un giudice o da un organo amministrativo indipendente – ad accedere ai dati conservati devono informare gli interessati dei motivi sui quali tale autorizzazione si basa, salvo che ciò non rischi di compromettere le indagini. Tali informazioni, infatti, sono necessarie per consentire loro di esercitare un effettivo diritto di ricorso, esplicitamente previsto all’articolo 54 della Direttiva[4] 2016/680. Pertanto, la Corte ha ritenuto che una normativa nazionale che escluda genericamente qualsiasi diritto a ottenere tali informazioni non sarebbe conforme al diritto dell’Unione.
Nel caso sottoposto ai Giudici europei, risulta che l’interessato fosse venuto a conoscenza del sequestro del suo telefono solamente al momento del tentativo di sblocco operato dalla polizia austriaca. Peraltro, non emergeva dagli atti alcun elemento dal quale desumere che informare l’indagato dell’eventuale accesso potesse compromettere l’indagine in corso.
La Corte ha pertanto dichiarato che gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, devono essere interpretati nel senso che ostano a una normativa nazionale che autorizzi le autorità competenti a tentare di accedere a dati contenuti in un telefono cellulare senza informare l’interessato, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a dette autorità in forza di tale direttiva.
La decisione
Alla luce di tali argomentazioni, la Corte ha conseguentemente stabilito i seguenti principi di diritto sulla prima e seconda questione:
“L’articolo 4, paragrafo 1, lettera c), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, dev’essere interpretato nel senso che:
esso non osta a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale, se tale normativa:
- definisce in modo sufficientemente preciso la natura o le categorie dei reati in questione,
- garantisce il rispetto del principio di proporzionalità, e
- subordina l’esercizio di tale possibilità, salvo in casi di urgenza debitamente comprovati, ad un controllo preventivo di un giudice o di un organo amministrativo indipendente.”
Quanto alla terza questione, la Corte ha invece stabilito che “Gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, devono essere interpretati nel senso che:
ostano a una normativa nazionale che autorizza le autorità competenti a tentare di accedere a dati contenuti in un telefono cellulare senza informare l’interessato, nell’ambito dei procedimenti nazionali applicabili, dei motivi sui quali si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un organo amministrativo indipendente, a partire dal momento in cui la comunicazione di tale informazione non rischia più di compromettere i compiti spettanti a dette autorità in forza di tale direttiva.”
Prof. Roberto De Vita – Avvocato penalista
Marco Della Bruna – Avvocato penalista
Riferimenti
[1] Cfr. causa n. C‐178/22.
[2] Sentenze del 6 ottobre 2020, Privacy International, C-623/17, EU:C:2020:790, punto 48, nonché del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 103.
[3] Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (facente parte del c.d. “Pacchetto protezione dati”)
[4] Cfr. Sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione), C-350/21, EU:C:2022:896, punto 70.
