Violazioni di copyright e accesso ai dati sulla identità civile dietro un numero IP, eseguito durante le indagini: Il § art. 15.1 della direttiva sulla privacy nelle comunicazioni elettroniche

Un’applicaizone dell’eccezione, posta dall’art. 15.1 dir. 2002/58 sulla tutela della privacy nelle comunicazioni elettronico (ancora vigente dopo 22 anni in un settore dai cambianti tecnologici continui !!) , alla indagini nelle violazioni di copuyright è fatta da C. Giust. 30.04.2024, C-470/21.

Risposta della CG alla domanda interpretativa, relativa ad una disposizione del cod. propr. int. francese:

L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.

deve essere interpretato nel senso che:

esso non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, affinché tale autorità possa identificare i titolari di tali indirizzi, utilizzati per attività che possono costituire violazioni del genere, e possa adottare, eventualmente, misure nei loro confronti, purché, in forza di tale normativa,

–        tali dati siano conservati in condizioni e secondo modalità tecniche che garantiscano che sia escluso che tale conservazione possa consentire di trarre conclusioni precise sulla vita privata di detti titolari – ad esempio tracciandone il profilo dettagliato – ciò può essere conseguito, in particolare, imponendo ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione delle diverse categorie di dati personali, quali i dati relativi all’identità civile, gli indirizzi IP nonché i dati relativi al traffico e i dati relativi all’ubicazione, che garantisca una separazione effettivamente stagna di tali diverse categorie di dati tale da impedire, nella fase della conservazione, qualsiasi utilizzo combinato di dette diverse categorie di dati, e per un periodo non superiore allo stretto necessario,

–        l’accesso della suddetta autorità pubblica a tali dati conservati in maniera separata ed effettivamente stagna serva esclusivamente a identificare la persona sospettata di aver commesso un reato e sia accompagnato dalle garanzie necessarie per escludere che, salvo in situazioni atipiche, tale accesso possa consentire di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP – ad esempio tracciandone il profilo dettagliato – ciò che implica, in particolare, che sia vietato ai funzionari di tale autorità, autorizzati ad avere un siffatto accesso, di divulgare, in qualsiasi forma, informazioni sul contenuto dei file consultati da detti titolari – salvo al solo fine di adire il pubblico ministero –; procedere a un tracciamento del percorso di navigazione di tali titolari e, più in generale, utilizzare tali indirizzi IP per uno scopo diverso da quello di identificare i loro titolari ai fini dell’adozione di eventuali misure contro questi ultimi,

–        la possibilità, per le persone incaricate dell’esame dei fatti all’interno di detta autorità pubblica, di mettere in relazione tali dati con i file contenenti elementi che consentono di conoscere il titolo di opere protette la cui messa a disposizione in Internet ha giustificato la raccolta degli indirizzi IP da parte di organismi degli aventi diritto, sia subordinata, nelle ipotesi di nuova reiterazione di un’attività lesiva dei diritti d’autore o dei diritti connessi da parte di uno stesso soggetto, a un controllo, da parte di un giudice o di un organismo amministrativo indipendente, che non può essere interamente automatizzato e deve avvenire prima di tale messa in relazione, in quanto tale messa in relazione può, in tali ipotesi, consentire di trarre precise conclusioni sulla vita privata di detto soggetto, il cui indirizzo IP sia stato utilizzato per attività che possono ledere i diritti d’autore o i diritti connessi,

–        il sistema di trattamento dei dati utilizzato dall’autorità pubblica sia sottoposto, a intervalli regolari, ad un controllo da parte di un organismo indipendente, avente la qualità di terzo rispetto alla suddetta autorità pubblica, al fine di verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso e uso impropri o illeciti di tali dati, nonché la sua efficacia e affidabilità nel rilevare eventuali violazioni.

Restrittiva interpretazione delle facoltà di derogare alla pricacy elettronica ex art. 15 dir. 58 del 2002

corte giust. 7 settembre 2023 , C-162/22, in un caso di corruzione che usa dati raccolti ad altro fine:

art. 15 cit.: <<«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE]» >>.

Ebene, circa il secondo caso di legittima deroga (eprseguimento reati), <<Per quanto riguarda l’obiettivo di prevenzione, ricerca, accertamento e perseguimento dei reati, la Corte ha rilevato che, conformemente al principio di proporzionalità, solo la lotta alle forme gravi di criminalità e la prevenzione di minacce gravi alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione. Pertanto, solo le ingerenze in tali diritti fondamentali che non presentano un carattere grave possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale (sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 59 e giurisprudenza ivi citata)>>, § 37.

e poi:

<<Orbene, tali considerazioni si applicano mutatis mutandis a un uso successivo dei dati relativi al traffico e a dati relativi all’ubicazione conservati da fornitori di servizi di comunicazione elettronica in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 ai fini della lotta alla criminalità grave. In effetti, tali dati non possono, dopo essere stati conservati e messi a disposizione delle autorità competenti ai fini della lotta alla criminalità grave, essere trasmessi ad altre autorità e utilizzati al fine di realizzare obiettivi, quali, come nel caso di specie, la lotta a una condotta illecita di natura corruttiva, che sono di importanza minore, nella gerarchia degli obiettivi di interesse generale, rispetto a quello della lotta alla criminalità grave e della prevenzione delle minacce gravi alla sicurezza pubblica. Infatti, autorizzare, in una situazione del genere, l’accesso ai dati conservati sarebbe contrario a tale gerarchia degli obiettivi di interesse generale richiamata ai punti 33, da 35 a 37 e 40 della presente sentenza (v., in tal senso, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 99)>>, § 41.

Errore:  primo, la dir. non chiede che si tratti di reati “gravi”, essendo solo interpretazione non condivisibile; secondo, la corruzione di un  magistrato è assai grave e giustifica la deroga