Un’applicaizone dell’eccezione, posta dall’art. 15.1 dir. 2002/58 sulla tutela della privacy nelle comunicazioni elettronico (ancora vigente dopo 22 anni in un settore dai cambianti tecnologici continui !!) , alla indagini nelle violazioni di copuyright è fatta da C. Giust. 30.04.2024, C-470/21.
Risposta della CG alla domanda interpretativa, relativa ad una disposizione del cod. propr. int. francese:
L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.
deve essere interpretato nel senso che:
esso non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, affinché tale autorità possa identificare i titolari di tali indirizzi, utilizzati per attività che possono costituire violazioni del genere, e possa adottare, eventualmente, misure nei loro confronti, purché, in forza di tale normativa,
– tali dati siano conservati in condizioni e secondo modalità tecniche che garantiscano che sia escluso che tale conservazione possa consentire di trarre conclusioni precise sulla vita privata di detti titolari – ad esempio tracciandone il profilo dettagliato – ciò può essere conseguito, in particolare, imponendo ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione delle diverse categorie di dati personali, quali i dati relativi all’identità civile, gli indirizzi IP nonché i dati relativi al traffico e i dati relativi all’ubicazione, che garantisca una separazione effettivamente stagna di tali diverse categorie di dati tale da impedire, nella fase della conservazione, qualsiasi utilizzo combinato di dette diverse categorie di dati, e per un periodo non superiore allo stretto necessario,
– l’accesso della suddetta autorità pubblica a tali dati conservati in maniera separata ed effettivamente stagna serva esclusivamente a identificare la persona sospettata di aver commesso un reato e sia accompagnato dalle garanzie necessarie per escludere che, salvo in situazioni atipiche, tale accesso possa consentire di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP – ad esempio tracciandone il profilo dettagliato – ciò che implica, in particolare, che sia vietato ai funzionari di tale autorità, autorizzati ad avere un siffatto accesso, di divulgare, in qualsiasi forma, informazioni sul contenuto dei file consultati da detti titolari – salvo al solo fine di adire il pubblico ministero –; procedere a un tracciamento del percorso di navigazione di tali titolari e, più in generale, utilizzare tali indirizzi IP per uno scopo diverso da quello di identificare i loro titolari ai fini dell’adozione di eventuali misure contro questi ultimi,
– la possibilità, per le persone incaricate dell’esame dei fatti all’interno di detta autorità pubblica, di mettere in relazione tali dati con i file contenenti elementi che consentono di conoscere il titolo di opere protette la cui messa a disposizione in Internet ha giustificato la raccolta degli indirizzi IP da parte di organismi degli aventi diritto, sia subordinata, nelle ipotesi di nuova reiterazione di un’attività lesiva dei diritti d’autore o dei diritti connessi da parte di uno stesso soggetto, a un controllo, da parte di un giudice o di un organismo amministrativo indipendente, che non può essere interamente automatizzato e deve avvenire prima di tale messa in relazione, in quanto tale messa in relazione può, in tali ipotesi, consentire di trarre precise conclusioni sulla vita privata di detto soggetto, il cui indirizzo IP sia stato utilizzato per attività che possono ledere i diritti d’autore o i diritti connessi,
– il sistema di trattamento dei dati utilizzato dall’autorità pubblica sia sottoposto, a intervalli regolari, ad un controllo da parte di un organismo indipendente, avente la qualità di terzo rispetto alla suddetta autorità pubblica, al fine di verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso e uso impropri o illeciti di tali dati, nonché la sua efficacia e affidabilità nel rilevare eventuali violazioni.