
La Corte di Giustizia UE ha emanato in questi giorni un’interessante sentenza in tema di accesso ai dati dei cittadini (in particolare indirizzi IP) da parte di autorità pubbliche per scopi di indagine e perseguimento dei reati.
Tra le misure necessarie, opportune e proporzionate all’interno di una società democratica per la prevenzione, ricerca, accertamento e perseguimento dei reati – ivi compresi quelli commessi attraverso l’uso non autorizzato del sistema di comunicazione elettronica – la Corte di Giustizia dell’Unione Europea, con sentenza del 30 aprile 2024 (C-470/21) ha statuito che vi possa rientrare anche l’accesso, da parte di un’autorità pubblica nazionale responsabile della lotta alla contraffazione online, ai dati identificativi dei presunti colpevoli sulla base di un indirizzo IP.
La domanda su cui la CGUE si è pronunciata verteva sull’interpretazione dell’art. 15 par. 1 della direttiva CE 2002/58 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore della comunicazione elettronica; in particolare il quesito è stato presentato alla Corte nell’ambito di una controversia tra il Primo ministro francese, da un lato, e La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net e French Data Network, dall’altro, e verteva sul trattamento automatizzato di dati a carattere personale da parte di un organismo di gestione di diritti per finalità connesse alla tutela dei diritti d’autore e dei diritti connessi.
La pronuncia ha dunque fatto luce su un aspetto, allo stato non disciplinato espressamente dal diritto comunitario, ma fondamentale in termini di bilanciamento dei diritti – e in particolare del diritto dei cittadini alla vita privata, da un lato, e del diritto alla tutela delle opere dell’ingegno, dall’altro.
La Corte ha così chiarito che l’autorità nazionale preposta alla tutela del diritto d’autore può accedere ai dati conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, incrociando i dati relativi all’identità civile con gli indirizzi IP, purché siano soddisfatte le seguenti condizioni:
-
I dati devono essere conservati in modo da non poter trarre alcuna informazione concernente la vita privata dei titolari degli indirizzi IP: ciò può essere realizzato mediante modalità di conservazione che garantiscano una separazione effettivamente stagna degli indirizzi IP e delle altre categorie di dati personali, in particolare i dati relativi all’identità civile.
-
L’accesso a tali dati deve essere consentito esclusivamente al fine di identificare la persona sospetta di aver commesso un reato e deve essere soggetto a garanzie necessarie affinché tale accesso non consenta di divulgare informazioni sul contenuto dei files consultati, salvo che per gli scopi per cui tale misura è stata predisposta.
-
Il sistema di trattamento dei dati utilizzato dall’autorità pubblica deve essere soggetto a una revisione svolta a intervalli regolari da un organismo indipendente che agisce come parte terza rispetto a tale autorità pubblica volta a verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso abusivo o illegale a tali dati o di utilizzo degli stessi, nonché la sua efficacia e affidabilità nell’individuare potenziali comportamenti illeciti.
In definitiva con tale pronuncia la Corte ha affermato che l’applicazione dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE (relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore contro le violazioni di tali diritti commesse su Internet, ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, qualora tale accesso sia finalizzato all’identificazione dei titolari di tali indirizzi che si siano resi responsabili di violazioni del diritto d’autore e purché siano rispettate le condizioni di cui sopra.