Corte di Giustizia, seduta plenaria, sentenza del 30 aprile 2024,
La Quadrature du Net e a. () e lutte contre la contrefaçon),
causa C-470/21, ECLI:EU:C:2024:370
Segnaliamo ai lettori la recente sentenza della Corte di Giustizia UE, con la quale si è deciso che:
- l’art. 15, par. 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli artt. 7, 8, 11 e 52, par. 1, della Carta dei diritti fondamentali dell’Unione europea deve essere interpretato nel senso che esso non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, affinché tale autorità possa identificare i titolari di tali indirizzi, utilizzati per attività che possono costituire violazioni del genere, e possa adottare, eventualmente, misure nei loro confronti, purché, in forza di tale normativa,
- tali dati siano conservati in condizioni e secondo modalità tecniche che garantiscano che sia escluso che tale conservazione possa consentire di trarre conclusioni precise sulla vita privata di detti titolari – ad esempio tracciandone il profilo dettagliato – ciò può essere conseguito, in particolare, imponendo ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione delle diverse categorie di dati personali, quali i dati relativi all’identità civile, gli indirizzi IP nonché i dati relativi al traffico e i dati relativi all’ubicazione, che garantisca una separazione effettivamente stagna di tali diverse categorie di dati tale da impedire, nella fase della conservazione, qualsiasi utilizzo combinato di dette diverse categorie di dati, e per un periodo non superiore allo stretto necessario,
- l’accesso della suddetta autorità pubblica a tali dati conservati in maniera separata ed effettivamente stagna serva esclusivamente a identificare la persona sospettata di aver commesso un reato e sia accompagnato dalle garanzie necessarie per escludere che, salvo in situazioni atipiche, tale accesso possa consentire di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP – ad esempio tracciandone il profilo dettagliato – ciò che implica, in particolare, che sia vietato ai funzionari di tale autorità, autorizzati ad avere un siffatto accesso, di divulgare, in qualsiasi forma, informazioni sul contenuto dei file consultati da detti titolari – salvo al solo fine di adire il pubblico ministero –; procedere a un tracciamento del percorso di navigazione di tali titolari e, più in generale, utilizzare tali indirizzi IP per uno scopo diverso da quello di identificare i loro titolari ai fini dell’adozione di eventuali misure contro questi ultimi,
- la possibilità, per le persone incaricate dell’esame dei fatti all’interno di detta autorità pubblica, di mettere in relazione tali dati con i file contenenti elementi che consentono di conoscere il titolo di opere protette la cui messa a disposizione in Internet ha giustificato la raccolta degli indirizzi IP da parte di organismi degli aventi diritto, sia subordinata, nelle ipotesi di nuova reiterazione di un’attività lesiva dei diritti d’autore o dei diritti connessi da parte di uno stesso soggetto, a un controllo, da parte di un giudice o di un organismo amministrativo indipendente, che non può essere interamente automatizzato e deve avvenire prima di tale messa in relazione, in quanto tale messa in relazione può, in tali ipotesi, consentire di trarre precise conclusioni sulla vita privata di detto soggetto, il cui indirizzo IP sia stato utilizzato per attività che possono ledere i diritti d’autore o i diritti connessi,
- il sistema di trattamento dei dati utilizzato dall’autorità pubblica sia sottoposto, a intervalli regolari, ad un controllo da parte di un organismo indipendente, avente la qualità di terzo rispetto alla suddetta autorità pubblica, al fine di verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso e uso impropri o illeciti di tali dati, nonché la sua efficacia e affidabilità nel rilevare eventuali violazioni.
Normativa di riferimento
- Artt. 2, 4, 6, 9 e 23, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
- Artt. 2, 3, 5, 6, 15, direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)
- Art. 3, direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio
- Art. 8, direttiva 2004/48/CE del Parlamento europeo e del Consiglio del 29 aprile 2004 sul rispetto dei diritti di proprietà intellettuale
Precedenti
- Corte di Giustizia, Quinta Sezione, sentenza del 17 giugno 2021, M.I.C.M., C‑597/19, EU:C:2021:492
- Corte di Giustizia, Grande Sezione, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C‑252/21, EU:C:2023:537
- Corte di Giustizia, Grande Sezione, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18,EU:C:2021:152
- Corte di Giustizia, Grande Sezione, sentenza del 6 ottobre 2020, La Quadrature du Net e a., cause riunite C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791
- Corte di Giustizia, Grande Sezione, sentenza del 2 ottobre 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788
- Corte di Giustizia, Grande Sezione, sentenza del 29 gennaio 2008, Promusicae, C‑275/06, EU:C:2008:54
- Corte di Giustizia, Grande Sezione, sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a., C‑203/15 e C‑698/15, EU:C:2016:970
- Corte di Giustizia, Grande Sezione, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258
- Corte di Giustizia, Grande Sezione, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559
- Corte EDU, Quarta Sezione, sentenza del 24 aprile 2018, Benedik c. Slovenia, ricorso n. 62357/14, CE:ECHR:2018:0424JUD006235714
- Corte EDU, Grande Camera, sentenza del 17 ottobre 2019, López Ribalda e a. c. Spagna, ricorsi nn. 1874/13 e 8567/13, CE:ECHR:2019:1017JUD000187413
- Corte EDU, Quinta Sezione, sentenza del 17 dicembre 2009, Gardel c. Francia, ricorso n. 16428, CE:ECHR:2009:1217JUD001642805
- Corte EDU, Quarta Sezione, 2 marzo 2009, K.U. c. Finlandia, ricorso n. 2872/02, CE:ECHR:2008:1202JUD000287202