Sulla conservazione dei dati nei servizi di comunicazione elettronica

La direttiva 2006/24/CE concerne in modo preponderante il funzionamento del mercato interno, in quanto le sue disposizioni sono essenzialmente limitate alle
attività dei fornitori di servizi e non disciplinano l’accesso ai dati,
né il loro uso da parte delle autorità di polizia o giudiziarie degli
Stati membri. Le misure previste dalla direttiva non implicano, di per sé, un intervento repressivo delle autorità degli Stati membri. Le questioni che rientrano, in linea di principio, nel settore di
competenza della cooperazione di polizia e giudiziaria in materia
penale, sono state escluse dalle disposizioni della direttiva.

La direttiva 2006/24/CE ha modificato le disposizioni della direttiva 95/46/CE sulla tutela della vita privata nel settore delle comunicazioni elettroniche: entrambe sono basate sull’art. 95 CE.

. . . . .

Corte di Giustizia, grande sezione

Sentenza del 10 febbraio 2009

(presidente Skouris, relatore Cunha
Rodrigues)

Direttiva 2006/24/CE: Conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica – Scelta del fondamento normativo. Causa C‑301/06

1. L’Irlanda chiede alla Corte di annullare la direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, per il motivo che non è stata adottata sulla base del fondamento normativo corretto.

Contesto normativo

La direttiva 95/46/CE

2 La direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, stabilisce norme relative al trattamento dei dati personali al fine di tutelare i diritti delle persone fisiche a tale riguardo, assicurando al contempo la libera circolazione di tali dati nella Comunità europea.

3 L’art. 3, n. 2, della direttiva 95/46 prevede quanto segue:

«Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:

– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
– effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

La direttiva 2002/58/CE

4 La direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 37), è stata adottata allo scopo di completare la direttiva 95/46 con disposizioni specifiche per il settore delle telecomunicazioni.

5 Ai sensi dell’art. 6, n. 1, della direttiva 2002/58:

«I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica [accessibili al pubblico] devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1».

6 L’art. 15, n. 1, della medesima direttiva dispone quanto segue:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo [devono essere] conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del Trattato sull’Unione europea».

La direttiva 2006/24

7 I ‘considerando’ dal quinto all’undicesimo della direttiva 2006/24 enunciano quanto segue:

«5) Diversi Stati membri hanno adottato normative sulla conservazione di dati da parte dei fornitori dei servizi a fini di prevenzione, indagine, accertamento e perseguimento dei reati. Le disposizioni delle varie legislazioni nazionali differiscono considerevolmente.

6) Le differenze giuridiche e tecniche fra le disposizioni nazionali relative alla conservazione dei dati ai fini di prevenzione, indagine, accertamento e perseguimento dei reati costituiscono un ostacolo al mercato interno delle comunicazioni elettroniche, giacché i fornitori dei servizi devono rispettare esigenze diverse per quanto riguarda i tipi di dati relativi al traffico e i tipi di dati relativi all’ubicazione da conservare e le condizioni e la durata di tale conservazione.

7) Le conclusioni del Consiglio “Giustizia e affari interni” del 19 dicembre 2002 sottolineano che, a motivo dell’importante aumento delle possibilità offerte dalle comunicazioni elettroniche, i dati relativi all’uso di queste ultime costituiscono uno strumento particolarmente importante e valido nella prevenzione, indagine, accertamento e perseguimento dei reati, in particolare della criminalità organizzata.

8) Con la dichiarazione sulla lotta al terrorismo, adottata il 25 marzo 2004, il Consiglio europeo ha incaricato il Consiglio di esaminare misure relative all’istituzione di norme sulla conservazione dei dati relativi al traffico delle comunicazioni da parte dei fornitori di servizi.

9) In base all’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali [in prosieguo: la “CEDU”], ogni persona ha diritto al rispetto della sua vita privata e della sua corrispondenza. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria tra l’altro per la sicurezza nazionale, l’ordine pubblico, la prevenzione di disordini o reati, la protezione dei diritti e delle libertà altrui. Giacché la conservazione dei dati si è dimostrata uno strumento investigativo necessario ed efficace per le autorità di contrasto in vari Stati membri, riguardanti in particolare reati gravi come la criminalità organizzata e il terrorismo, risulta necessario assicurare che i dati conservati restino a disposizione delle autorità di contrasto per un certo periodo di tempo alle condizioni previste dalla presente direttiva. L’adozione di uno strumento concernente la conservazione dei dati in conformità dei requisiti dell’articolo 8 della CEDU costituisce pertanto una misura necessaria.

10) Il 13 luglio 2005 il Consiglio ha ribadito nella sua dichiarazione di condanna degli attacchi terroristici di Londra la necessità di adottare al più presto misure comuni in materia di conservazione dei dati relativi alle telecomunicazioni.

11) Data l’importanza dei dati relativi al traffico e dei dati relativi all’ubicazione per l’indagine, l’accertamento e il perseguimento dei reati, come dimostrato da lavori di ricerca e dall’esperienza pratica di diversi Stati membri, è necessario garantire a livello europeo la conservazione, per un certo periodo di tempo, alle condizioni previste dalla presente direttiva, dei dati generati o trattati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione».

8 Secondo il ventunesimo ‘considerando’ della stessa direttiva:

«Poiché gli obiettivi della presente direttiva, ossia l’armonizzazione degli obblighi, per i fornitori, di conservare certi dati e di garantire che essi siano disponibili a fini di indagine, accertamento e perseguimento di reati gravi quali definiti da ciascuno Stato membro nella propria legislazione nazionale, non possono essere realizzati in misura sufficiente dagli Stati membri e possono dunque, a causa della dimensione e degli effetti della presente direttiva, essere realizzati meglio a livello comunitario, la Comunità può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 [CE]. La presente direttiva si limita a quanto necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo».

9 Il venticinquesimo ‘considerando’ della suddetta direttiva è così redatto:

«La presente direttiva lascia impregiudicata la facoltà degli Stati membri di adottare misure legislative concernenti il diritto di accesso e ricorso ai dati da parte di autorità nazionali da essi designate. Le questioni relative all’accesso ai dati conservati ai sensi della presente direttiva da parte di autorità nazionali per attività di cui all’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46/CE ricadono al di fuori del campo di applicazione del diritto comunitario. Esse tuttavia possono formare oggetto di legislazione nazionale o di azione ai sensi del titolo VI del Trattato sull’Unione europea. Tali normative o azioni devono rispettare pienamente i diritti fondamentali che risultano dalle tradizioni costituzionali comuni degli Stati membri e che sono garantiti dalla CEDU. (…)».

10 L’art. 1, n. 1, della direttiva 2006/24 così prevede:

«La presente direttiva ha l’obiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, relativi alla conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale».

11 L’art. 3, n. 1, della suddetta direttiva dispone quanto segue:

«In deroga agli articoli 5, 6 e 9 della direttiva 2002/58/CE, gli Stati membri adottano misure per garantire che i dati di cui all’articolo 5 della presente direttiva, qualora siano generati o trattati nel quadro della fornitura dei servizi di comunicazione interessati da fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione nell’ambito della loro giurisdizione, siano conservati conformemente alle disposizioni della presente direttiva».

12 L’art. 4 della direttiva in questione precisa che:

«Gli Stati membri adottano misure per garantire che i dati conservati ai sensi della presente direttiva siano trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali. Le procedure da seguire e le condizioni da rispettare per avere accesso ai dati conservati in conformità dei criteri di necessità e di proporzionalità sono definite da ogni Stato membro nella legislazione nazionale, con riserva delle disposizioni in materia del diritto dell’Unione europea o del diritto pubblico internazionale e in particolare della CEDU, secondo l’interpretazione della Corte europea dei diritti dell’uomo».

13 L’art. 5 della direttiva 2006/24 recita come segue:

«1. Gli Stati membri provvedono affinché in applicazione della presente direttiva siano conservate le seguenti categorie di dati:
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
(…)
b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione:
(…)
c) i dati necessari per determinare la data, l’ora e la durata di una comunicazione:
(…)
d) i dati necessari per determinare il tipo di comunicazione:
(…)
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature:
(…)
f) i dati necessari per determinare l’ubicazione delle apparecchiature di comunicazione mobile:
(…)
2. A norma della presente direttiva, non può essere conservato alcun dato relativo al contenuto della comunicazione».

14 L’art. 6 della suddetta direttiva così dispone:

«Gli Stati membri provvedono affinché le categorie di dati di cui all’articolo 5 siano conservate per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione».

15 L’art. 7 della stessa direttiva prevede quanto segue:

«Fatte salve le disposizioni adottate in conformità della direttiva 95/46/CE e della direttiva 2002/58/CE, ogni Stato membro provvede a che i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione rispettino, come minimo, i seguenti principi di sicurezza dei dati per quanto concerne i dati conservati in conformità della presente direttiva:
(…)».

16 A norma dell’art. 8 della direttiva 2006/24:

«Gli Stati membri provvedono affinché i dati di cui all’articolo 5 siano conservati conformemente alla presente direttiva in modo che i dati conservati e ogni altra informazione necessaria ad essi collegata possano essere trasmessi immediatamente alle autorità competenti su loro richiesta».

17 L’art. 11 della stessa direttiva è così redatto:

«All’articolo 15 della direttiva 2002/58/CE è inserito il seguente paragrafo:

“1 bis. Il paragrafo 1 non si applica ai dati la cui conservazione è specificamente prevista dalla direttiva [2006/24], ai fini di cui all’articolo 1, paragrafo 1, di tale direttiva”».

Fatti

18 Il 28 aprile 2004 la Repubblica francese, l’Irlanda, il Regno di Svezia e il Regno Unito di Gran Bretagna e Irlanda del Nord hanno presentato al Consiglio un’iniziativa ai fini dell’adozione di una decisione quadro fondata sugli artt. 31, n. 1, lett. c), UE e 34, n. 2, lett. b), UE. Tale progetto riguardava la conservazione dei dati trattati e memorizzati nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico o dei dati sulle reti pubbliche di comunicazione a fini di prevenzione, ricerca, accertamento e perseguimento della criminalità e dei reati, compreso il terrorismo (documento del Consiglio n. 8958/04).

19 La Commissione delle Comunità europee si è pronunciata a favore del fondamento normativo utilizzato in tale progetto di decisione quadro per quanto riguarda una parte di quest’ultimo. In particolare essa ha ricordato che l’art. 47 UE non consente che un atto fondato sul Trattato UE modifichi l’acquis communautaire, nella fattispecie le direttive 95/46 e 2002/58. Ritenendo che la determinazione delle categorie di dati da conservare e del relativo periodo di conservazione rientrasse nella competenza del legislatore comunitario, la Commissione si è riservata il diritto di presentare una proposta di direttiva.

20 Il 21 settembre 2005 la Commissione ha adottato una proposta di direttiva del Parlamento europeo e del Consiglio, riguardante la conservazione di dati trattati nell’ambito della fornitura di servizi pubblici di comunicazione elettronica e che modifica la direttiva 2002/58 [COM(2005) 438 def.], proposta che era fondata sull’art. 95 CE.

21 Durante la sessione del 1° e del 2 dicembre 2005 il Consiglio ha optato per l’adozione di una direttiva sul fondamento normativo del Trattato CE, anziché perseguire l’adozione di una decisione quadro.

22 Il 14 dicembre 2005 il Parlamento europeo ha emesso il proprio parere conformemente alla procedura di codecisione prevista all’art. 251 CE.

23 Il Consiglio ha adottato a maggioranza qualificata la direttiva 2006/24 durante la sessione del 21 febbraio 2006. L’Irlanda e la Repubblica slovacca hanno votato contro l’adozione di tale testo.

Conclusioni delle parti

24 L’Irlanda chiede che la Corte voglia:

– annullare la direttiva 2006/24, in quanto non adottata sulla base di un fondamento normativo adeguato, e
– condannare il Consiglio ed il Parlamento alle spese.

25 Il Parlamento chiede che la Corte voglia:

– in via principale, dichiarare infondato il ricorso, e
– condannare l’Irlanda a sopportare tutte le spese inerenti al presente procedimento,
– in subordine, nel caso in cui la direttiva 2006/24 fosse annullata dalla Corte, dichiarare che tale direttiva continuerà ad essere applicata fino all’entrata in vigore di un nuovo atto.

26 Il Consiglio chiede alla Corte di:

– respingere il ricorso proposto dall’Irlanda, e
– condannare tale Stato membro alle spese.

27 Con ordinanze del presidente della Corte 1° febbraio 2007, la Repubblica slovacca è stata autorizzata ad intervenire a sostegno delle conclusioni dell’Irlanda, mentre il Regno di Spagna, il Regno dei Paesi Bassi, la Commissione ed il Garante europeo della protezione dei dati sono stati autorizzati a intervenire a sostegno delle conclusioni del Parlamento e del Consiglio.

Sul ricorso

Argomenti delle parti

28 L’Irlanda fa valere che la scelta dell’art. 95 CE quale fondamento normativo della direttiva 2006/24 è un errore fondamentale. Né tale articolo né alcun’altra disposizione del Trattato CE sarebbero idonei a fornire un fondamento normativo adeguato alla direttiva in parola. Tale Stato membro afferma principalmente che l’unico scopo o, in subordine, lo scopo principale o predominante della direttiva in parola è agevolare l’indagine, l’accertamento e il perseguimento di reati, ivi inclusi quelli in materia di terrorismo. Pertanto l’unico fondamento normativo ammissibile per i provvedimenti contenuti nella direttiva 2006/24 sarebbe il titolo VI del Trattato UE, in particolare gli artt. 30 UE 31, n. 1, lett. c), UE, e 34, n. 2, lett. b), UE.

29 Secondo l’Irlanda l’esame, segnatamente, dei ‘considerando’ dal settimo all’undicesimo e del ventunesimo della direttiva 2006/24 nonché delle disposizioni fondamentali di quest’ultima, in particolare dell’art. 1, n. 1, dimostra che il riferimento all’art. 95 CE quale fondamento normativo di tale direttiva è inadeguato ed ingiustificabile. La direttiva in questione sarebbe chiaramente orientata alla repressione dei reati.

30 Per tale Stato membro è assodato che i provvedimenti fondati sull’art. 95 CE devono avere quale «centro di gravità» il ravvicinamento delle legislazioni nazionali al fine di migliorare il funzionamento del mercato interno (v., in particolare, sentenza 30 maggio 2006, cause riunite C‑317/04 e C‑318/04, Parlamento/Consiglio e Commissione, Racc. pag. I‑4721). Le disposizioni della direttiva 2006/24 riguarderebbero invece la repressione dei reati e non sarebbero dirette a porre rimedio agli eventuali difetti del mercato interno.

31 In subordine, quand’anche, in contrasto con la tesi fondamentale sostenuta dall’Irlanda, la Corte dovesse dichiarare che la direttiva 2006/24 ha effettivamente lo scopo, in particolare, di prevenire distorsioni della concorrenza od ostacoli al mercato interno, questo Stato membro sostiene che tale scopo dovrebbe essere considerato meramente incidentale rispetto allo scopo principale o predominante, cioè il contrasto della criminalità.

32 L’Irlanda aggiunge che la direttiva 2002/58 potrebbe essere modificata da un’altra direttiva, ma il legislatore comunitario non sarebbe autorizzato a ricorrere ad una direttiva di modifica, adottata sul fondamento dell’art. 95 CE, per introdurre nella direttiva 2002/58 disposizioni che esulano dalla competenza devoluta alla Comunità in virtù del primo pilastro. Gli obblighi destinati a garantire la disponibilità dei dati a fini di indagine, accertamento e perseguimento di reati rientrerebbero in una materia che non può essere oggetto di uno strumento basato sul titolo VI del Trattato UE. L’adozione di un siffatto strumento legislativo non inciderebbe quindi sulle disposizioni della suddetta direttiva ai sensi dell’art. 47 UE. Se il verbo «pregiudicare», utilizzato in tale articolo, fosse inteso correttamente, occorrerebbe interpretarlo nel senso che vieta che atti comunitari ed atti dell’Unione possano accavallarsi qualora si tratti di materie secondarie e senza importanza.

33 La Repubblica slovacca sostiene la tesi dell’Irlanda. Essa ritiene che l’art. 95 CE non possa costituire il fondamento normativo della direttiva 2006/24, dato che lo scopo principale di quest’ultima non è eliminare gli ostacoli e le distorsioni nel mercato interno. Tale direttiva armonizzerebbe la conservazione dei dati personali al di là degli obiettivi commerciali al fine di agevolare l’azione dello Stato in materia di diritto penale e, pertanto, essa non potrebbe essere adottata nell’ambito delle competenze della Comunità.

34 Secondo tale Stato membro la conservazione dei dati personali nella misura richiesta dalla direttiva 2006/24 condurrebbe ad una notevole ingerenza nel diritto dei singoli al rispetto della loro vita privata, tutelato dall’art. 8 della CEDU. Sarebbe dubbio che un’ingerenza così grave possa essere giustificata da motivi economici, nella specie un migliore funzionamento del mercato interno. L’adozione di un atto al di fuori della competenza della Comunità, il cui scopo principale e non dissimulato sarebbe il contrasto della criminalità e del terrorismo, rappresenterebbe una soluzione più appropriata, che offrirebbe una motivazione più adeguata per l’ingerenza nel diritto al rispetto della vita privata.

35 Il Parlamento fa valere che l’Irlanda opera una lettura selettiva delle disposizioni della direttiva 2006/24. A suo avviso, il quinto e il sesto ‘considerando’ di quest’ultima preciserebbero che lo scopo principale e predominante della stessa è eliminare gli ostacoli al mercato interno delle comunicazioni elettroniche e il venticinquesimo ‘considerando’ conferma che l’accesso e l’uso dei dati conservati non rientrano nella competenza comunitaria.

36 Il Parlamento sostiene che, in seguito agli attentati terroristici dell’11 settembre 2001 a New York (Stati Uniti), dell’11 marzo 2004 a Madrid (Spagna) e del 7 luglio 2005 a Londra (Regno Unito), alcuni Stati membri hanno adottato regole diverse in materia di conservazione dei dati. Secondo tale istituzione, siffatte differenze avrebbero potuto ostacolare la fornitura di servizi di comunicazione elettronica. Il Parlamento considera che la conservazione dei dati costituisca un elemento di costo rilevante per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazioni (in prosieguo: i «fornitori di servizi») e che l’esistenza di norme diverse in materia possa falsare la concorrenza nel mercato interno. Esso aggiunge che lo scopo principale della direttiva 2006/24 consiste nell’armonizzare gli obblighi imposti dagli Stati membri ai fornitori di comunicazioni elettroniche in materia di conservazione dei dati. Ne discenderebbe che il fondamento normativo corretto di tale direttiva è l’art. 95 CE.

37 Il Parlamento fa anche valere che l’importanza attribuita alla repressione della criminalità non osta a che tale direttiva sia fondata sull’art. 95 CE. Benché la repressione della criminalità abbia chiaramente influito sulle scelte operate nella direttiva stessa, tale influenza non vizierebbe la scelta dell’art. 95 CE quale fondamento normativo.

38 Inoltre l’art. 4 della direttiva 2006/24 disporrebbe, sulla scia del venticinquesimo ‘considerando’ di quest’ultima, che le condizioni di accesso e di trattamento dei dati conservati vanno definite dagli Stati membri con riserva delle disposizioni del diritto dell’Unione nonché del diritto internazionale e, segnatamente, della CEDU. Tale approccio sarebbe diverso da quello accolto per le misure oggetto della causa all’origine della citata sentenza Parlamento/Consiglio e Commissione, allorché le compagnie aeree sono state costrette ad accordare l’accesso ai dati dei passeggeri ad autorità di polizia e giudiziarie di uno Stato terzo. Così la suddetta direttiva rispetterebbe la ripartizione delle competenze tra il primo ed il terzo pilastro.

39 Secondo il Parlamento, se pure l’immagazzinamento dei dati personali di un singolo possa, in linea di principio, costituire un’ingerenza ai sensi dell’art. 8 della CEDU, tale ingerenza può essere giustificata, in forza di tale articolo, da ragioni di pubblica sicurezza e di prevenzione dei reati. La questione della giustificazione di una siffatta ingerenza andrebbe tenuta distinta da quella della scelta del fondamento normativo corretto all’interno dell’ordinamento giuridico dell’Unione, poiché tali questioni non presentano tra loro alcun nesso.

40 Il Consiglio fa valere che, negli anni successivi all’adozione della direttiva 2002/58, le autorità nazionali preposte alla repressione dei reati si sono occupate in misura sempre maggiore dello sfruttamento a fini criminosi delle innovazioni nel settore dei servizi di comunicazione elettronica. A suo parere tali nuove preoccupazioni hanno indotto gli Stati membri ad adottare misure dirette ad impedire la cancellazione dei dati relativi a dette comunicazioni e a garantirne la disponibilità per le autorità di polizia e giudiziarie. Tale istituzione fa valere che il carattere divergente delle stesse misure iniziava a perturbare il buon funzionamento del mercato interno. Il quinto e il sesto ‘considerando’ della direttiva 2006/24 sarebbero espliciti a tale riguardo.

41 Questa situazione avrebbe obbligato il legislatore comunitario ad assicurare che norme comuni siano imposte ai fornitori di servizi quanto alle condizioni di esercizio delle loro attività.

42 Proprio per tali motivi, nel corso del 2006, il legislatore comunitario ha ritenuto necessario porre fine all’obbligo di cancellare i dati imposto dagli artt. 5, 6 e 9 della direttiva 2002/58 e prevedere che, in futuro, i dati di cui all’art. 5 della direttiva 2006/24 debbano essere obbligatoriamente conservati per un certo periodo. Tale modifica obbligherebbe gli Stati membri a garantire la conservazione dei suddetti dati per una durata minima di sei mesi e massima di due anni a decorrere dalla data della comunicazione. Lo scopo di tale modifica sarebbe stato di imporre ai fornitori di servizi il rispetto di condizioni precise e armonizzate per quanto riguarda la cancellazione o meno dei dati personali di cui all’art. 5 della direttiva 2006/24, istituendo così regole comuni nella Comunità al fine di garantire l’unicità del mercato interno.

43 Il Consiglio conclude che, se l’esigenza di contrastare la criminalità, ivi compreso il terrorismo, è stata un fattore determinante nella decisione di modificare la portata dei diritti e degli obblighi previsti agli artt. 5, 6 e 9 della direttiva 2002/58, tale circostanza non esclude che la direttiva 2006/24 dovesse essere adottata sul fondamento dell’art. 95 CE.

44 Né gli artt. 30 UE, 31 UE e 34 UE né alcun altro articolo del Trattato UE potrebbero costituire il fondamento di un atto avente, in sostanza, l’obiettivo di modificare le condizioni di esercizio delle attività dei fornitori di servizi, o di rendere inapplicabile a questi ultimi il regime stabilito dalla direttiva 2002/58.

45 Una normativa relativa alle categorie di dati che i fornitori di servizi devono conservare ed alla durata di conservazione dei medesimi, che modificasse gli obblighi imposti a questi ultimi dalla direttiva 2002/58, non potrebbe essere oggetto di un atto fondato sul titolo VI del Trattato UE. Infatti l’adozione di un atto siffatto influirebbe sulle disposizioni di tale direttiva, il che costituirebbe una violazione dell’art. 47 UE.

46 Secondo il Consiglio i diritti tutelati dall’art. 8 della CEDU non sono assoluti e possono essere oggetto di restrizioni alle condizioni di cui al punto 2 del medesimo articolo. La conservazione dei dati, quale prevista dalla direttiva 2006/24, perseguirebbe un legittimo interesse pubblico, riconosciuto dall’art. 8, punto 2, della CEDU, e costituirebbe un mezzo adeguato per tutelare tale interesse.

47 Il Regno di Spagna ed il Regno dei Paesi Bassi sostengono che, come risulta dai ‘considerando’ primo, secondo, quinto e sesto della direttiva 2006/24, quest’ultima ha principalmente lo scopo di eliminare gli ostacoli al mercato interno generati dalle differenze giuridiche e tecniche esistenti tra le disposizioni nazionali degli Stati membri. A loro avviso, la suddetta direttiva disciplina la conservazione dei dati allo scopo di eliminare tale genere di ostacoli, da una parte armonizzando l’obbligo di conservazione dei dati e, dall’altra, precisando gli elementi su cui verte tale obbligo, quali le categorie di dati da conservare e la durata di conservazione di questi ultimi.

48 Il fatto che, a tenore dell’art. 1, la direttiva 2006/24 operi tale armonizzazione, «allo scopo di garanti[re] la disponibilità [di tali dati] a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale», sarebbe un’altra questione. Tale direttiva non disciplinerebbe il trattamento di dati da parte delle autorità pubbliche o di polizia degli Stati membri. Al contrario, l’armonizzazione concernerebbe unicamente gli aspetti della conservazione dei dati che riguardano direttamente le attività commerciali dei fornitori di servizi.

49 Nei limiti in cui la suddetta direttiva modifica la direttiva 2002/58 e presenta un nesso con la direttiva 95/46, le modifiche che essa implica potrebbero essere debitamente effettuate solo attraverso un atto comunitario e non già tramite un atto facente capo al Trattato UE.

50 La Commissione ricorda che, prima dell’adozione della direttiva 2006/24, vari Stati membri avevano posto in essere, in applicazione dell’art. 15, n. 1, della direttiva 2002/58, misure nazionali relative alla conservazione dei dati. Essa sottolinea le significative divergenze esistenti fra tali misure. Ad esempio, i periodi di conservazione avrebbero oscillato fra i tre mesi dei Paesi Bassi e i quattro anni dell’Irlanda. A suo avviso gli obblighi relativi alla conservazione dei dati hanno notevoli implicazioni economiche per i fornitori di servizi. Una divergenza fra tali obblighi potrebbe comportare gravi distorsioni del mercato interno. In tale contesto sarebbe stato legittimo adottare la direttiva 2006/24 sul fondamento dell’art. 95 CE.

51 Peraltro tale direttiva limiterebbe, in modo armonizzato a livello comunitario, gli obblighi previsti dalla direttiva 2002/58. Poiché quest’ultima è fondata sull’art. 95 CE, il fondamento normativo della direttiva 2006/24 non potrebbe essere diverso.

52 La menzione dell’indagine, dell’accertamento e del perseguimento di reati gravi, figurante all’art. 1, n. 1, della direttiva 2006/24, rientrerebbe nel diritto comunitario in quanto servirebbe a indicare l’obiettivo legittimo delle restrizioni imposte da tale direttiva ai diritti delle persone in materia di protezione dei dati. Siffatta indicazione sarebbe necessaria sia per rispettare gli obblighi imposti dalle direttive 95/46 e 2002/58, sia per conformarsi all’art. 8 della CEDU.

53 Il Garante europeo fa valere che l’oggetto della direttiva 2006/24 rientra nell’art. 95 CE poiché, da una parte, tale direttiva ha un impatto diretto sulle attività economiche dei fornitori di servizi e può quindi concorrere all’instaurazione ed al funzionamento del mercato interno e, dall’altra, se il legislatore comunitario non fosse intervenuto, si sarebbe potuta verificare una distorsione di concorrenza sullo stesso mercato interno. Lo scopo consistente nella repressione dei reati non sarebbe né l’unico né, addirittura, quello preponderante della suddetta direttiva. Al contrario, quest’ultima sarebbe in primo luogo diretta a concorrere all’instaurazione ed al funzionamento del mercato interno nonché all’eliminazione delle distorsioni di concorrenza. Tale direttiva armonizzerebbe le disposizioni nazionali relative alla conservazione di taluni dati da parte di imprese private, nell’ambito della loro normale attività economica.

54 Inoltre la direttiva 2006/24 modificherebbe la direttiva 2002/58, che è stata adottata sul fondamento dell’art. 95 CE, e dovrebbe conseguentemente essere adottata sul medesimo fondamento normativo. A norma dell’art. 47 UE, solo il legislatore comunitario sarebbe competente a modificare obblighi nati da una direttiva fondata sul Trattato CE.

55 Secondo il Garante europeo, se il Trattato CE non potesse costituire il fondamento della direttiva 2006/24, le disposizioni di diritto comunitario relative alla protezione dei dati non proteggerebbero i cittadini qualora il trattamento dei loro dati personali agevolasse la repressione della criminalità. In tal caso il regime generale di protezione dei dati in forza del diritto comunitario si applicherebbe al trattamento dei dati a fini commerciali, ma non al trattamento degli stessi dati a fini di tutela dell’ordine pubblico. Ne deriverebbero distinzioni difficili per i fornitori di servizi ed una riduzione del livello di protezione degli interessati. Sarebbe opportuno evitare tale situazione. Tale necessità di coerenza giustificherebbe l’adozione della direttiva 2006/24 in forza del Trattato CE.

Giudizio della Corte

56 Occorre preliminarmente rilevare che la questione delle competenze dell’Unione europea si presenta diversamente a seconda che la competenza in questione sia già stata conferita all’Unione europea in senso ampio o non sia stata ancora conferita a quest’ultima. Nella prima ipotesi occorre statuire sulla ripartizione delle competenze in seno all’Unione e, più particolarmente, sulla questione se occorra procedere tramite direttiva sul fondamento del Trattato CE o tramite decisione quadro sul fondamento del Trattato UE. Viceversa, nella seconda ipotesi, occorre statuire sulla ripartizione delle competenze tra l’Unione e gli Stati membri e, più particolarmente, sulla questione se l’Unione abbia sconfinato nelle competenze di questi ultimi. Il presente caso rientra nella prima ipotesi.

57 Occorre anche precisare che il ricorso proposto dall’Irlanda verte unicamente sulla scelta del fondamento normativo e non già su un’eventuale violazione dei diritti fondamentali derivanti dalle ingerenze nell’esercizio del diritto al rispetto della vita privata, che la direttiva 2006/24 implica.

58 L’Irlanda, sostenuta dalla Repubblica slovacca, fa valere che la direttiva 2006/24 non può essere fondata sull’art. 95 CE, dato che il «centro di gravità» di quest’ultima non riguarda il funzionamento del mercato interno. Tale direttiva avrebbe come unico scopo, o almeno come scopo principale, l’indagine, l’accertamento ed il perseguimento di reati.

59 Tale posizione non può essere accolta.

60 Secondo una giurisprudenza costante della Corte, la scelta del fondamento normativo di un atto deve basarsi su elementi oggettivi, suscettibili di sindacato giurisdizionale, tra i quali figurano, in particolare, lo scopo e il contenuto dell’atto (v. sentenza 23 ottobre 2007, causa C‑440/05, Commissione/Consiglio, Racc. pag. I‑9097, punto 61 e giurisprudenza ivi citata).

61 La direttiva 2006/24 è stata adottata sul fondamento del Trattato CE e, in particolare, dell’art. 95 di quest’ultimo.

62 L’art. 95, n. 1, CE dispone che il Consiglio adotta le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno.

63 Il legislatore comunitario può ricorrere all’art. 95 CE, segnatamente in caso di divergenze tra le normative nazionali allorché siffatte divergenze sono tali da ostacolare le libertà fondamentali o da causare distorsioni della concorrenza, e quindi da incidere direttamente sul funzionamento del mercato interno (v., in tal senso, sentenza 12 dicembre 2006, causa C‑380/03, Germania/Parlamento e Consiglio, Racc. pag. I‑11573, punto 37 e giurisprudenza ivi citata).

64 Inoltre, se il ricorso all’art. 95 CE come fondamento normativo è possibile al fine di prevenire futuri ostacoli agli scambi dovuti allo sviluppo eterogeneo delle legislazioni nazionali, l’insorgere di tali ostacoli deve apparire probabile e la misura di cui trattasi deve avere ad oggetto la loro prevenzione (sentenza Germania/Parlamento e Consiglio, cit., punto 38 e giurisprudenza ivi citata).

65 È opportuno verificare se la situazione che ha condotto all’adozione della direttiva 2006/24 soddisfi i presupposti descritti ai due punti precedenti.

66 Come risulta dal quinto e dal sesto ‘considerando’ della suddetta direttiva, il legislatore comunitario ha preso le mosse dalla constatazione che esistevano differenze giuridiche e tecniche tra le normative nazionali relative alla conservazione di dati da parte dei fornitori di servizi.

67 A tal riguardo gli elementi presentati alla Corte confermano che, in seguito agli attentati terroristici menzionati al punto 36 della presente sentenza, vari Stati membri, consapevoli del fatto che i dati relativi alle comunicazioni elettroniche sono un mezzo efficace di accertamento e repressione dei reati, ivi compreso il terrorismo, hanno adottato misure in forza dell’art. 15, n. 1, della direttiva 2002/58, al fine di imporre ai fornitori di servizi obblighi relativi alla conservazione di tali dati.

68 Risulta del pari dagli atti di causa che gli obblighi relativi alla conservazione dei dati hanno implicazioni economiche sostanziali per i fornitori di servizi in quanto possono comportare investimenti e costi di esercizio rilevanti.

69 Gli elementi forniti alla Corte attestano peraltro che le misure nazionali adottate sino al 2005 in forza dell’art. 15, n. 1, della direttiva 2002/58 presentavano divergenze importanti, in particolare quanto alla natura dei dati conservati ed alla durata di conservazione di questi ultimi.

70 Infine era del tutto prevedibile che gli Stati membri che non si fossero ancora muniti di una normativa in materia di conservazione dei dati avrebbero adottato norme in materia che avrebbero potuto accentuare ulteriormente le differenze tra le diverse misure nazionali in essere.

71 Dati tali elementi, risulta che le divergenze tra le varie normative nazionali, adottate in materia di conservazione dei dati relativi alle comunicazioni elettroniche, potevano avere un’incidenza diretta sul funzionamento del mercato interno e che era prevedibile che tale incidenza tendesse ad aggravarsi.

72 Una situazione siffatta giustificava che il legislatore comunitario perseguisse l’obiettivo di tutelare il buon funzionamento del mercato interno adottando norme armonizzate.

73 Va peraltro rilevato che, prevedendo un livello armonizzato di conservazione dei dati relativi alle comunicazioni elettroniche, la direttiva 2006/24 ha modificato le disposizioni della direttiva 2002/58.

74 Quest’ultima direttiva è fondata sull’art. 95 CE.

75 In forza dell’art. 47 UE, nessuna disposizione del Trattato CE può essere intaccata da una disposizione del Trattato UE. Il medesimo principio figura al primo comma dell’art. 29 UE, che introduce il titolo VI di quest’ultimo Trattato, rubricato «Disposizioni sulla cooperazione di polizia e giudiziaria in materia penale» (sentenza Commissione/Consiglio, cit., punto 52).

76 Stabilendo che nessuna disposizione del Trattato UE pregiudica i Trattati istitutivi delle Comunità europee o i Trattati e gli atti susseguenti che li hanno modificati o completati, l’art. 47 UE si prefigge infatti, conformemente agli artt. 2, quinto trattino, UE e 3, primo comma, UE, di mantenere integralmente l’acquis communautaire e di svilupparlo (sentenza 20 maggio 2008, causa C‑91/05, Commissione/Consiglio, non ancora pubblicata nella Raccolta, punto 59).

77 Spetta dunque alla Corte vigilare affinché gli atti che il Consiglio considera rientrare nell’ambito del titolo VI del Trattato UE e che per loro stessa natura sono idonei a produrre effetti giuridici non sconfinino nelle competenze che le disposizioni del Trattato CE attribuiscono alla Comunità (sentenza 20 maggio 2008, Commissione/Consiglio, cit., punto 33 e giurisprudenza ivi citata).

78 Nei limiti in cui la modifica della direttiva 2002/58 operata attraverso la direttiva 2006/24 rientra nelle competenze comunitarie, quest’ultima poteva essere fondata su una disposizione del Trattato UE senza violare l’art. 47 di quest’ultimo.

79 Al fine di determinare se il legislatore abbia scelto il fondamento normativo adeguato per l’adozione della direttiva 2006/24, occorre ancora, come discende dal punto 60 della presente sentenza, esaminare il contenuto materiale delle disposizioni di quest’ultima.

80 È necessario constatare in proposito che le disposizioni di tale direttiva sono essenzialmente limitate alle attività dei fornitori di servizi e non disciplinano né l’accesso ai dati né il loro uso da parte delle autorità di polizia o giudiziarie degli Stati membri.

81 Più precisamente le disposizioni della direttiva 2006/24 sono dirette al ravvicinamento delle legislazioni nazionali concernenti l’obbligo di conservazione dei dati (art. 3), le categorie di dati da conservare (art. 5), i periodi di conservazione dei dati (art. 6), la protezione e la sicurezza dei dati (art. 7) nonché le condizioni di immagazzinamento di questi ultimi (art. 8).

82 Viceversa le misure previste dalla direttiva 2006/24 non implicano, di per se stesse, un intervento repressivo delle autorità degli Stati membri. Come emerge segnatamente dall’art. 3 di tale direttiva, è previsto che i fornitori di servizi debbano conservare solo i dati generati o trattati nel quadro della fornitura dei servizi di comunicazione interessati. Tali dati sono unicamente quelli strettamente collegati all’esercizio dell’attività commerciale dei fornitori stessi.

83 La direttiva 2006/24 disciplina quindi operazioni che sono indipendenti dall’attuazione di qualsiasi eventuale azione di cooperazione di polizia e giudiziaria in materia penale. Essa non armonizza né la questione dell’accesso ai dati da parte delle autorità nazionali competenti in materia di repressione, né quella relativa al ricorso ai medesimi ed al loro scambio fra le autorità in parola. Tali questioni, rientranti in linea di principio nell’ambito coperto dal titolo VI del Trattato UE, sono state escluse dalle disposizioni di detta direttiva, com’è indicato segnatamente al venticinquesimo ‘considerando’ ed all’art. 4 di quest’ultima.

84 Ne consegue che il contenuto materiale della direttiva 2006/24 ha essenzialmente come oggetto le attività dei fornitori di servizi nel settore interessato del mercato interno, ad esclusione delle attività statali rientranti nel titolo VI del Trattato UE.

85 Visto tale contenuto materiale, occorre concludere che la direttiva 2006/24 concerne in maniera preponderante il funzionamento del mercato interno.

86 Avverso tale conclusione l’Irlanda fa valere che, con la citata sentenza Parlamento/Consiglio e Commissione, la Corte ha annullato la decisione del Consiglio 17 maggio 2004, 2004/496/CE, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del Dipartimento per la Sicurezza interna degli Stati Uniti (GU L 183, pag. 83, e – rettifica – GU 2005, L 255, pag. 168).

87 Al punto 68 della citata sentenza Parlamento/Consiglio e Commissione, la Corte ha considerato che il suddetto accordo riguardava lo stesso trasferimento di dati della decisione della Commissione 14 maggio 2004, 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti United States’ Bureau of Customs and Border Protection (GU L 235, pag. 11).

88 Quest’ultima decisione era relativa al trasferimento dei dati dei passeggeri, provenienti dai sistemi di prenotazione dei vettori aerei situati sul territorio degli Stati membri, all’Ufficio delle dogane e della protezione delle frontiere del Dipartimento per la Sicurezza interna degli Stati Uniti. La Corte ha constatato che tale decisione aveva come oggetto un trattamento di dati non necessario alla realizzazione di una prestazione di servizi da parte dei vettori aerei, ma ritenuto necessario per salvaguardare la sicurezza pubblica e a fini repressivi. Ai punti 57‑59 della citata sentenza Parlamento/Consiglio e Commissione, la Corte ha dichiarato che un siffatto trattamento di dati rientrava nell’art. 3, n. 2, della direttiva 95/46, a norma del quale tale direttiva non è applicabile, segnatamente, ai trattamenti di dati personali aventi ad oggetto la sicurezza pubblica e le attività dello Stato in materia di diritto penale. La Corte ha pertanto concluso che la decisione 2004/535 non rientrava nell’ambito di applicazione della direttiva 95/46.

89 Poiché l’accordo oggetto della decisione 2004/496 riguardava, al pari della decisione 2004/535, un trattamento di dati che era escluso dall’ambito di applicazione della direttiva 95/46, la Corte ha dichiarato che la decisione 2004/96 non poteva essere stata validamente adottata sul fondamento dell’art. 95 CE (sentenza Parlamento/Consiglio e Commissione, cit., punti 68 e 69).

90 Considerazioni del genere non possono essere estese alla direttiva 2006/24.

91 Infatti, diversamente dalla decisione 2004/496, che concerneva un trasferimento di dati personali che s’inseriscono in un contesto istituito dai pubblici poteri al fine di garantire la sicurezza pubblica, la direttiva 2006/24 riguarda le attività dei fornitori di servizi nel mercato interno e non comporta alcuna regolamentazione delle attività dei pubblici poteri a fini repressivi.

92 Ne risulta che gli argomenti che l’Irlanda ha desunto dall’annullamento della decisione 2004/496, ad opera della citata sentenza Parlamento/Consiglio e Commissione, non possono essere accolti.

93 Dato l’insieme delle considerazioni precedenti, occorre giudicare che l’adozione della direttiva 2006/24 doveva avvenire sul fondamento dell’art. 95 CE.

94 Conseguentemente il presente ricorso dev’essere respinto.

Sulle spese

95 Ai sensi dell’art. 69, n. 2, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda. Poiché il Parlamento e il Consiglio ne hanno fatto domanda, l’Irlanda, rimasta soccombente, va condannata alle spese. In applicazione del n. 4, primo comma, del medesimo articolo, gli intervenienti nella causa sopportano le proprie spese.

Per questi motivi,
la Corte (Grande Sezione) dichiara e statuisce:

1) Il ricorso è respinto.

2) L’Irlanda è condannata alle spese.

3) Il Regno di Spagna, il Regno dei Paesi Bassi, la Repubblica slovacca, la Commissione delle Comunità europee ed il Garante europeo della protezione dei dati sopporteranno le proprie spese.

Redazione

Lo studio legale Giurdanella & Partners dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I giovani bravi sono sempre i benvenuti nel nostro studio legale. Per uno stage o per iniziare la pratica professionale presso lo studio, scriveteci o mandate il vostro cv a segreteria@giurdanella.it