Con decisione del 6 aprile 2017, H.K. è stata condannata dal Tribunale di primo grado dell’Estonia a una pena detentiva di due anni per aver commesso, tra il 17 gennaio 2015 e il 1° febbraio 2016, vari furti di beni (di valore compreso tra 3 e 40 euro) nonché di somme di denaro (per importi compresi tra EUR 5,20 e EUR 2 100, per aver utilizzato la carta bancaria di un terzo, causando a quest’ultimo un danno di EUR 3 941,82, e per aver compiuto atti di violenza nei confronti di persone partecipanti ad un procedimento giudiziario a suo carico.
Ai fini della condanna di H.K. per tali reati il Tribunale si è fondato, tra l’altro, su vari processi verbali redatti in base a dati relativi a comunicazioni elettroniche che l’autorità incaricata dell’indagine aveva raccolto presso un fornitore di servizi di telecomunicazioni elettroniche dopo aver ottenuto varie autorizzazioni dalla Procura distrettuale. H.K. ha proposto un ricorso per cassazione avverso quest’ultima decisione dinanzi alla Corte suprema dell’Estonia, contestando, tra l’altro, l’ammissibilità dei processi verbali redatti in base ai dati ottenuti presso il fornitore di servizi di comunicazioni elettroniche.
Il giudice del rinvio nutre dubbi quanto alla possibilità di considerare il pubblico ministero estone come un’autorità amministrativa indipendente, ai sensi del punto 120 della sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970), che può autorizzare l’accesso dell’autorità incaricata dell’indagine a dati relativi alle comunicazioni elettroniche come quelli di cui all’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche. Il giudice del rinvio rileva che i suoi dubbi riguardo all’indipendenza richiesta dal diritto dell’Unione sono principalmente dovuti al fatto che il pubblico ministero non solo dirige il procedimento istruttorio, ma rappresenta anche la pubblica accusa nel processo, essendo tale autorità, ai sensi del diritto nazionale, parte nel procedimento penale.
La Corte di giustizia europea ha dichiarato che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
Seppur apprezzabile la sentenza della Corte di giustizia europea perché rappresenta un’affermazione di principi generali, comunque già stabiliti nella sentenza Tele2 del 2016, occorre riprendere un passaggio della stessa per constatare un aspetto caratteristico della vicenda: “Inoltre, risulta dal fascicolo a disposizione della Corte, come confermato anche dal governo estone e dal Prokuratuur all’udienza, che il pubblico ministero estone è organizzato in modo gerarchico e che le domande di accesso ai dati relativi al traffico e ai dati relativi all’ubicazione non sono soggette ad un requisito di forma particolare e possono essere presentate dal procuratore stesso.” Quindi tale libertà “organizzativa” è sembrata in contrasto con quanto previsto dallo stesso diritto estone “L’autorità incaricata dell’indagine può, con l’autorizzazione del pubblico ministero nel corso del procedimento istruttorio, o con l’autorizzazione del giudice nel corso del processo, richiedere a un fornitore di servizi di comunicazione elettronica i dati …. Nella suddetta autorizzazione alla richiesta di dati viene specificato il periodo con riferimento al quale la richiesta di dati viene autorizzata, con l’esatta indicazione delle date. Ai sensi del presente articolo, i dati possono essere richiesti soltanto laddove ciò sia indispensabile al fine di raggiungere lo scopo del procedimento penale” una prassi che quindi, al contrario, rispetta una forma ed affida all’autorità incaricata alle indagini la giustificazione della richiesta dei dati.
Si riporta di seguito il testo integrale della sentenza.
SENTENZA DELLA CORTE (Grande Sezione)
2 marzo 2021
«Rinvio pregiudiziale – Trattamento dei dati personali nel settore delle comunicazioni elettroniche – Direttiva 2002/58/CE – Fornitori di servizi di comunicazioni elettroniche – Riservatezza delle comunicazioni – Limitazioni – Articolo 15, paragrafo 1 – Articoli 7, 8 e 11, nonché articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Normativa che prevede la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione da parte dei fornitori di servizi di comunicazioni elettroniche – Accesso delle autorità nazionali ai dati conservati per finalità di indagine – Lotta contro la criminalità in generale – Autorizzazione concessa dal pubblico ministero – Utilizzazione dei dati nel quadro del processo penale come elementi di prova – Ammissibilità»
Nella causa C‑746/18,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Riigikohus (Corte suprema, Estonia), con decisione del 12 novembre 2018, pervenuta in cancelleria il 29 novembre 2018, nel procedimento penale contro
H.K.,
con l’intervento di:
Prokuratuur,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, R. Silva de Lapuerta, vicepresidente, J.‑C. Bonichot, A. Arabadjiev, A. Prechal e L. Bay Larsen, presidenti di sezione, T. von Danwitz (relatore), M. Safjan, K. Jürimäe, C. Lycourgos e P.G. Xuereb, giudici,
avvocato generale: G. Pitruzzella
cancelliere: C. Strömholm, amministratrice
vista la fase scritta del procedimento e in seguito all’udienza del 15 ottobre 2019,
considerate le osservazioni presentate:
– per H.K., da S. Reinsaar, vandeadvokaat;
– per il Prokuratuur, da T. Pern e M. Voogma, in qualità di agenti;
– per il governo estone, da N. Grünberg, in qualità di agente;
– per il governo danese, da J. Nymann‑Lindegren e M.S. Wolff, in qualità di agenti;
– per l’Irlanda, da M. Browne, G. Hodge e J. Quaney nonché da A. Joyce, in qualità di agenti, assistiti da D. Fennelly, barrister;
– per il governo francese, inizialmente da D. Dubois, D. Colas, E. de Moustier e A.‑L. Desjonquères, successivamente da D. Dubois, E. de Moustier e A.‑L. Desjonquères, in qualità di agenti;
– per il governo lettone, inizialmente da V. Kalniņa e I. Kucina, successivamente da V. Soņeca e V. Kalniņa, in qualità di agenti;
– per il governo ungherese, da M.Z. Fehér e A. Pokoraczki, in qualità di agenti;
– per il governo polacco, da B. Majczyna, in qualità di agente;
– per il governo portoghese, da L. Inez Fernandes, P. Barros da Costa, L. Medeiros e I. Oliveira, in qualità di agenti;
– per il governo finlandese, da J. Heliskoski, in qualità di agente;
– per il governo del Regno Unito, da S. Brandon e Z. Lavery, in qualità di agenti, assistiti da G. Facenna, QC, e da C. Knight, barrister;
– per la Commissione europea, inizialmente da H. Kranenborg, M. Wasmeier, P. Costa de Oliveira e K. Toomus, successivamente da H. Kranenborg, M. Wasmeier e E. Randvere, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 21 gennaio 2020,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»), letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
2 Tale domanda è stata presentata nell’ambito di un procedimento penale instaurato a carico di H.K. per le imputazioni di furto, di uso della carta bancaria di un terzo e di violenza nei confronti di persone partecipanti ad un procedimento giudiziario.
Contesto normativo
Diritto dell’Unione
3 I considerando 2 e 11 della direttiva 2002/58 enunciano quanto segue:
«(2) La presente direttiva mira a rispettare i diritti fondamentali e si attiene ai principi riconosciuti in particolare dalla [Carta]. In particolare, la presente direttiva mira a garantire il pieno rispetto dei diritti di cui agli articoli 7 e 8 di tale Carta.
(…)
(11) La presente direttiva, analogamente alla direttiva [95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], non affronta le questioni relative alla tutela dei diritti e delle libertà fondamentali inerenti ad attività che non sono disciplinate dal diritto [dell’Unione]. Lascia pertanto inalterato l’equilibrio esistente tra il diritto dei cittadini alla vita privata e la possibilità per gli Stati membri di prendere i provvedimenti di cui all’articolo 15, paragrafo 1, della presente direttiva, necessari per tutelare la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) e l’applicazione della legge penale. Di conseguenza, la presente direttiva non pregiudica la facoltà degli Stati membri di effettuare intercettazioni legali di comunicazioni elettroniche o di prendere altre misure, se necessario, per ciascuno di tali scopi e conformemente alla Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali [firmata a Roma il 4 novembre 1950], come interpretata dalle sentenze della Corte europea dei diritti dell’uomo. Tali misure devono essere appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla precitata Convenzione europea di salvaguardia dei diritti dell’uomo e delle libertà fondamentali».
4 L’articolo 2 della direttiva 2002/58, intitolato «Definizioni», recita:
«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva [95/46] e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [(GU 2002, L 108, pag. 33)].
Si applicano inoltre le seguenti definizioni:
a) “utente”: qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
b) “dati relativi al traffico”: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
c) “dati relativi all’ubicazione”: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico;
d) “comunicazione”: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse, come parte di un servizio di radiodiffusione, al pubblico tramite una rete di comunicazione elettronica salvo quando le informazioni possono essere collegate all’abbonato o utente che riceve le informazioni che può essere identificato;
(…)».
5 L’articolo 5 della direttiva 2002/58, intitolato «Riservatezza delle comunicazioni», recita:
«1. Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite [una] rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza.
(…)
3. Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio».
6 L’articolo 6 della direttiva 2002/58, dal titolo «Dati sul traffico», così dispone:
«1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica [di comunicazioni] o di un servizio [di comunicazioni elettroniche accessibili al pubblico] devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l’articolo 15, paragrafo 1.
2. I dati relativi al traffico che risultano necessari ai fini della fatturazione per l’abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.
3. Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui al paragrafo 1 nella misura e per la durata necessaria per siffatti servizi (…) o per la commercializzazione, sempre che l’abbonato o l’utente a cui i dati si riferiscono abbia espresso preliminarmente il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento.
(…)
5. Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto l’autorità dei fornitori dell[e] ret[i] pubblic[he] di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dell’accertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento di tali attività.
(…)».
7 L’articolo 9 della direttiva 2002/58, dal titolo «Dati relativi all’ubicazione diversi dai dati relativi al traffico», prevede, al paragrafo 1, quanto segue:
«Se i dati relativi all’ubicazione diversi dai dati relativi al traffico, relativi agli utenti o abbonati di reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico possono essere sottoposti a trattamento, essi possono esserlo soltanto a condizione che siano stati resi anonimi o che l’utente o l’abbonato abbiano dato il loro consenso, e sempre nella misura e per la durata necessaria per la fornitura di un servizio a valore aggiunto. Prima di chiedere il loro consenso, il fornitore del servizio deve informare gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti a trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. (…)».
8 L’articolo 15 di detta direttiva, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]», recita, al paragrafo 1:
«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto [dell’Unione], compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea».
Diritto estone
Legge relativa alle comunicazioni elettroniche
9 L’articolo 1111 dell’elektroonilise side seadus (legge relativa alle comunicazioni elettroniche, RT I 2004, 87, 593; RT I, 22.05.2018, 3), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: la «legge relativa alle comunicazioni elettroniche»), intitolato «Obbligo di conservare i dati», prevede quanto segue:
«(…)
(2) I fornitori di servizi di telefonia fissa e di telefonia mobile nonché di servizi di rete di telefonia fissa e di telefonia mobile sono obbligati a conservare i seguenti dati:
1) il numero telefonico del chiamante nonché il nome e il recapito dell’abbonato;
2) il numero telefonico del chiamato nonché il nome e il recapito dell’abbonato;
3) in caso di utilizzo di servizi supplementari come l’inoltro o il trasferimento di chiamata, il numero selezionato nonché il nome e il recapito dell’abbonato;
4) la data e l’ora di inizio e fine di una chiamata;
5) il servizio di telefonia fissa o mobile utilizzato;
6) il codice identificativo internazionale di abbonato di telefonia mobile (International Mobile Subscriber Identity – IMSI) del soggetto chiamante e del soggetto chiamato;
7) il codice identificativo internazionale di apparecchiatura di telefonia mobile (International Mobile Equipment Identity – IMEI) del soggetto chiamante e del soggetto chiamato;
8) l’etichetta di ubicazione all’inizio della chiamata;
9) i dati per identificare l’ubicazione geografica delle cellule facendo riferimento alle loro etichette di ubicazione nel periodo in cui vengono conservati i dati sulle comunicazioni;
10) nel caso di servizi prepagati anonimi, la data e l’ora della prima attivazione della carta e l’etichetta di ubicazione del luogo in cui è stata effettuata l’attivazione;
(…)
(4) I dati indicati nei paragrafi 2 e 3 del presente articolo vengono conservati per un periodo di un anno dalla data della comunicazione, se tali dati vengono creati o trattati nell’ambito della fornitura di un servizio di comunicazione. (…)
(…)
(11) I dati indicati nei paragrafi 2 e 3 del presente articolo vengono comunicati:
1) ai sensi del kriminaalmenetluse seadustik [(codice di procedura penale)], a un’autorità inquirente, a un’autorità autorizzata ad applicare misure di sorveglianza, al pubblico ministero e al giudice;
(…)».
Codice di procedura penale
10 L’articolo 17 del codice di procedura penale (kriminaalmenetluse seadustik, RT I 2003, 27, 166; RT I, 31.05.2018, 22) dispone quanto segue:
«(1) Sono parti del procedimento giudiziario: il pubblico ministero, (…).
(…)».
11 L’articolo 30 del codice suddetto ha il seguente tenore:
«(1) Il pubblico ministero dirige il procedimento istruttorio, di cui assicura la legittimità e l’efficacia, e rappresenta la pubblica accusa in giudizio.
(2) I poteri del pubblico ministero nel procedimento penale vengono esercitati, in nome del pubblico ministero, da un procuratore, il quale agisce in modo indipendente ed è soggetto soltanto alla legge».
12 L’articolo 901 del medesimo codice prevede quanto segue:
«(…)
(2) L’autorità incaricata dell’indagine può, con l’autorizzazione del pubblico ministero nel corso del procedimento istruttorio, o con l’autorizzazione del giudice nel corso del processo, richiedere a un fornitore di servizi di comunicazione elettronica i dati elencati nell’articolo 1111, paragrafi 2 e 3, della legge relativa alle comunicazioni elettroniche, non menzionati nel precedente paragrafo 1. Nella suddetta autorizzazione alla richiesta di dati viene specificato il periodo con riferimento al quale la richiesta di dati viene autorizzata, con l’esatta indicazione delle date.
(3) Ai sensi del presente articolo, i dati possono essere richiesti soltanto laddove ciò sia indispensabile al fine di raggiungere lo scopo del procedimento penale».
13 L’articolo 211 del codice di procedura penale dispone quanto segue:
«(1) Lo scopo del procedimento istruttorio è di raccogliere prove e di predisporre le altre condizioni necessarie per lo svolgimento di un processo.
(2) Nel procedimento istruttorio l’autorità incaricata dell’indagine e il pubblico ministero verificano gli elementi a carico e quelli a discarico raccolti nei confronti del sospettato o dell’indagato».
Legge relativa al pubblico ministero
14 L’articolo 1 della prokuratuuriseadus (legge relativa al pubblico ministero, RT I 1998, 41, 625; RT I, 06.07.2018, 20), nella versione applicabile ai fatti di cui al procedimento principale, prevede quanto segue:
«(1) Il pubblico ministero è un’autorità soggetta alla sfera di competenza del Ministero della Giustizia, la quale partecipa alla pianificazione delle misure di sorveglianza necessarie per la lotta e l’accertamento dei reati, dirige la fase istruttoria, di cui assicura la legittimità e l’efficacia, rappresenta la pubblica accusa in giudizio ed esercita le ulteriori funzioni assegnategli dalla legge.
(11) Il pubblico ministero, nell’esercizio delle funzioni assegnategli dalla legge, è indipendente e agisce conformemente alla presente legge, alle altre leggi e agli atti normativi emanati sulla base di tali leggi.
(…)».
15 L’articolo 2, paragrafo 2, di detta legge è così formulato:
«Il procuratore, nell’esercizio delle proprie funzioni, è indipendente e agisce esclusivamente secondo la legge e secondo il proprio convincimento».
Procedimento principale e questioni pregiudiziali
16 Con decisione del 6 aprile 2017, H.K. è stata condannata dal Viru Maakohus (Tribunale di primo grado di Viru, Estonia) a una pena detentiva di due anni per aver commesso, tra il 17 gennaio 2015 e il 1° febbraio 2016, vari furti di beni (di valore compreso tra EUR 3 e EUR 40) nonché di somme di denaro (per importi compresi tra EUR 5,20 e EUR 2 100, per aver utilizzato la carta bancaria di un terzo, causando a quest’ultimo un danno di EUR 3 941,82, e per aver compiuto atti di violenza nei confronti di persone partecipanti ad un procedimento giudiziario a suo carico.
17 Ai fini della condanna di H.K. per tali reati, il Viru Maakohus (Tribunale di primo grado di Viru) si è fondato, tra l’altro, su vari processi verbali redatti in base a dati relativi a comunicazioni elettroniche, ai sensi dell’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche, che l’autorità incaricata dell’indagine aveva raccolto presso un fornitore di servizi di telecomunicazioni elettroniche nel corso del procedimento istruttorio, dopo aver ottenuto, ai sensi dell’articolo 901 del codice di procedura penale, varie autorizzazioni a tal fine dal Viru Ringkonnaprokuratuur (Procura distrettuale di Viru, Estonia). Tali autorizzazioni, concesse il 28 gennaio e il 2 febbraio 2015, il 2 novembre 2015, nonché il 25 febbraio 2016, riguardavano i dati relativi a vari numeri di telefono di H.K. e diversi codici internazionali di identificazione di apparecchiatura di telefonia mobile di quest’ultima, per il periodo dal 1º gennaio al 2 febbraio 2015, per il giorno 21 settembre 2015, nonché per il periodo dal 1º marzo 2015 al 19 febbraio 2016.
18 H.K. ha proposto appello contro la sentenza del Viru Maakohus (Tribunale di primo grado di Viru) dinanzi alla Tartu Ringkonnakohus (Corte d’appello di Tartu, Estonia), che ha respinto tale appello con decisione del 17 novembre 2017.
19 H.K. ha proposto un ricorso per cassazione avverso quest’ultima decisione dinanzi alla Riigikohus (Corte suprema, Estonia), contestando, tra l’altro, l’ammissibilità dei processi verbali redatti in base ai dati ottenuti presso il fornitore di servizi di comunicazioni elettroniche. A suo avviso, risulterebbe dalla sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970; in prosieguo: la «sentenza Tele2»), che le disposizioni dell’articolo 1111 della legge relativa alle comunicazioni elettroniche che prevedono l’obbligo dei fornitori di servizi di conservare dati relativi alle comunicazioni, nonché l’utilizzazione di tali dati ai fini della sua condanna, sono contrari all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11, nonché dell’articolo 52, paragrafo 1, della Carta.
20 Secondo il giudice del rinvio, si pone la questione se i processi verbali redatti in base ai dati contemplati dall’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche possano essere considerati come costituenti elementi di prova ammissibili. Detto giudice fa osservare che l’ammissibilità dei processi verbali in discussione nel procedimento principale quali elementi di prova impone di stabilire in quale misura la raccolta dei dati in base ai quali i suddetti processi verbali sono stati redatti sia stata conforme all’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11, nonché dell’articolo 52, paragrafo 1, della Carta.
21 Detto giudice considera che la risposta a tale questione presuppone di stabilire se il suddetto articolo 15, paragrafo 1, letto alla luce della Carta, debba essere interpretato nel senso che l’accesso delle autorità nazionali a dati che consentano di identificare la fonte e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile di un sospettato, di determinare la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il materiale di comunicazione mobile utilizzato, costituisce un’ingerenza nei diritti fondamentali in questione di gravità tale che tale accesso dovrebbe essere limitato alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo per il quale le autorità nazionali hanno richiesto l’accesso ai dati conservati.
22 Il giudice del rinvio ritiene tuttavia che la durata di tale periodo costituisca un elemento essenziale per valutare la gravità dell’ingerenza consistente nell’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione. Pertanto, qualora detto periodo sia molto breve o la quantità di dati raccolti sia molto limitata, occorrerebbe chiedersi se l’obiettivo della lotta contro la criminalità in generale, e non soltanto della lotta contro le forme gravi di criminalità, possa giustificare una siffatta ingerenza.
23 Infine, il giudice del rinvio nutre dubbi quanto alla possibilità di considerare il pubblico ministero estone come un’autorità amministrativa indipendente, ai sensi del punto 120 della sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970), che può autorizzare l’accesso dell’autorità incaricata dell’indagine a dati relativi alle comunicazioni elettroniche come quelli di cui all’articolo 1111, paragrafo 2, della legge relativa alle comunicazioni elettroniche.
24 Il pubblico ministero dirigerebbe il procedimento istruttorio, garantendo al contempo la legalità e l’efficacia di quest’ultimo. Poiché l’obiettivo di tale procedimento è, in particolare, la raccolta di prove, l’autorità incaricata dell’indagine e il pubblico ministero verificherebbero gli elementi a carico e gli elementi a discarico raccolti contro qualsiasi persona sospettata o indagata. Se il pubblico ministero è convinto che siano state raccolte tutte le prove necessarie, esso eserciterebbe l’azione penale nei confronti dell’accusato. Le competenze del pubblico ministero verrebbero esercitate in suo nome da un procuratore che agisce in modo indipendente, così come risulterebbe dall’articolo 30, paragrafi 1 e 2, del codice di procedura penale, nonché dagli articoli 1 e 2 della legge relativa al pubblico ministero.
25 In tale contesto, il giudice del rinvio rileva che i suoi dubbi riguardo all’indipendenza richiesta dal diritto dell’Unione sono principalmente dovuti al fatto che il pubblico ministero non solo dirige il procedimento istruttorio, ma rappresenta anche la pubblica accusa nel processo, essendo tale autorità, ai sensi del diritto nazionale, parte nel procedimento penale.
26 Alla luce di tali circostanze, il Riigikohus (Corte suprema) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 15, paragrafo 1, della direttiva [2002/58] debba essere interpretato, alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della [Carta], nel senso che, in un procedimento penale, l’accesso di autorità nazionali a dati che consentano di rintracciare e identificare la fonte e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile del sospettato, di determinare la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il materiale di comunicazione mobile utilizzato, costituisce un’ingerenza nei diritti fondamentali sanciti dai suddetti articoli della Carta di gravità tale che detto accesso debba essere limitato, nel contesto della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, alla lotta contro le forme gravi di criminalità, indipendentemente dal periodo al quale si riferiscono i dati conservati cui le autorità nazionali hanno accesso.
2) Se l’articolo 15, paragrafo 1, della direttiva [2002/58] debba essere interpretato, sulla scorta del principio di proporzionalità enunciato nella [sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788)], punti da 55 a 57, nel senso che, qualora la quantità dei dati menzionati nella prima questione, ai quali le autorità nazionali hanno accesso, non sia grande (sia per il tipo di dati che per la loro estensione nel tempo), la conseguente ingerenza nei diritti fondamentali può essere giustificata, in generale, dall’obiettivo della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, e che quanto più notevole è la quantità di dati cui le autorità nazionali hanno accesso, tanto più gravi devono essere i reati perseguiti mediante tale ingerenza.
3) Se il requisito indicato nel secondo punto del dispositivo della [sentenza del 21 dicembre 2016, Tele2 (C‑203/15 e C‑698/15, EU:C:2016:970)], secondo cui l’accesso ai dati da parte delle autorità nazionali competenti dev’essere soggetto ad un controllo preventivo da parte di un giudice o di un’autorità amministrativa indipendente, implichi che l’articolo 15, paragrafo 1, della direttiva [2002/58] deve essere interpretato nel senso che può considerarsi come un’autorità amministrativa indipendente il pubblico ministero, il quale dirige il procedimento istruttorio e che, per legge, è tenuto ad agire in modo indipendente, restando soggetto soltanto alla legge e verificando, nell’ambito del procedimento istruttorio, sia gli elementi a carico sia quelli a discarico relativi all’indagato, ma che successivamente, nel procedimento giudiziario, rappresenta la pubblica accusa».
Sulle questioni pregiudiziali
Sulla prima e sulla seconda questione
27 Con le sue questioni pregiudiziali prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità e dalla natura dei dati disponibili per tale periodo.
28 A questo proposito, risulta dalla domanda di pronuncia pregiudiziale che, come confermato dal governo estone all’udienza, i dati ai quali l’autorità nazionale incaricata dell’indagine ha avuto accesso nella causa di cui al procedimento principale sono quelli indicati ai sensi dell’articolo 1111, paragrafi 2 e 4, della legge relativa alle comunicazioni elettroniche, i quali impongono ai fornitori di servizi di comunicazioni elettroniche un obbligo di conservare in maniera generalizzata e indifferenziata i dati relativi al traffico e i dati relativi all’ubicazione per quanto riguarda la telefonia fissa e mobile, per un periodo di un anno. Tali dati consentono, in particolare, di rintracciare e di identificare la fonte e la destinazione di una comunicazione a partire dal telefono fisso o mobile di una persona, di stabilire la data, l’ora, la durata e la natura di tale comunicazione, di identificare le apparecchiature di comunicazione utilizzate, nonché di localizzare il telefono mobile senza che una comunicazione sia necessariamente trasmessa. Inoltre, i dati suddetti offrono la possibilità di accertare la frequenza delle comunicazioni dell’utente con determinate persone in un dato periodo. Peraltro, come confermato dal governo estone all’udienza, l’accesso ai dati suddetti può, quando si tratti di lotta contro la criminalità, essere richiesto per qualsiasi tipo di reato.
29 Per quanto riguarda le condizioni alle quali l’accesso ai dati relativi al traffico e ai dati relativi all’ubicazione conservati dai fornitori di servizi di comunicazioni elettroniche può, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, essere concesso ad autorità pubbliche, in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, la Corte ha statuito che tale accesso può essere concesso soltanto se e in quanto tali dati siano stati conservati da detti fornitori in un modo conforme al citato articolo 15, paragrafo 1 (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 167).
30 A questo proposito, la Corte ha altresì statuito che il citato articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, osta a misure legislative che prevedano, per finalità siffatte, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 168).
31 Quanto agli obiettivi idonei a giustificare un accesso delle autorità pubbliche ai dati conservati dai fornitori di servizi di comunicazione elettronica in applicazione di una misura conforme alle disposizioni sopra menzionate, risulta, da un lato, dalla giurisprudenza della Corte che un siffatto accesso può essere giustificato soltanto dall’obiettivo di interesse generale per il quale tale conservazione è stata imposta ai suddetti fornitori di servizi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 166).
32 Dall’altro lato, la Corte ha statuito che la possibilità per gli Stati membri di giustificare una limitazione ai diritti e agli obblighi previsti, segnatamente, dagli articoli 5, 6 e 9 della direttiva 2002/58 deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito mediante questa limitazione sia correlata alla gravità dell’ingerenza suddetta (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 131 e la giurisprudenza ivi citata).
33 Per quanto riguarda l’obiettivo, cui mira la normativa in discussione nel procedimento principale, della prevenzione, della ricerca, dell’accertamento e del perseguimento dei reati, conformemente al principio di proporzionalità, soltanto la lotta contro le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione, sia questa generalizzata e indifferenziata oppure mirata. Pertanto, soltanto ingerenze nei suddetti diritti fondamentali che non presentino un carattere grave possono essere giustificate dall’obiettivo, cui mira la normativa in discussione nel procedimento principale, della prevenzione, della ricerca, dell’accertamento e del perseguimento di reati in generale (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 140 nonché 146).
34 A questo proposito, è stato statuito, in particolare, che le misure legislative riguardanti il trattamento dei dati relativi all’identità civile degli utenti dei mezzi di comunicazione elettronica come tali, e segnatamente la conservazione di tali dati e l’accesso agli stessi, al solo scopo di identificare l’utente interessato, e senza che tali dati possano essere associati ad informazioni relative alle comunicazioni effettuate, possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale, al quale fa riferimento l’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58. Infatti, tali dati non consentono, di per sé soli, di conoscere la data, l’ora, la durata e i destinatari delle comunicazioni effettuate, né i luoghi in cui tali comunicazioni sono avvenute o la frequenza delle stesse con determinate persone nel corso di un dato periodo, cosicché essi non forniscono, a parte le coordinate degli utenti dei mezzi di comunicazione elettronica, quali i loro indirizzi, alcuna informazione sulle comunicazioni effettuate e, di conseguenza, sulla loro vita privata. Pertanto, l’ingerenza causata da una misura riguardante questi dati non può, in linea di principio, essere qualificata come grave (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 157 e 158 nonché la giurisprudenza ivi citata).
35 Date tali circostanze, soltanto gli obiettivi della lotta contro le forme gravi di criminalità o della prevenzione di gravi minacce per la sicurezza pubblica sono atti a giustificare l’accesso delle autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali utilizzate da quest’ultimo e tali da permettere di trarre precise conclusioni sulla vita privata delle persone interessate (v., in tal senso, sentenza del 2 ottobre 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punto 54), senza che altri fattori attinenti alla proporzionalità di una domanda di accesso, come la durata del periodo per il quale viene richiesto l’accesso a tali dati, possano avere come effetto che l’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale sia idoneo a giustificare tale accesso.
36 Occorre rilevare che l’accesso a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, come quelli conservati sul fondamento dell’articolo 1111 della legge relativa alle comunicazioni elettroniche, può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 117).
37 Certamente, come suggerisce il giudice del rinvio, maggiore è la durata del periodo per il quale viene richiesto l’accesso, più grande è, in linea di principio, la quantità di dati che possono essere conservati dai fornitori di servizi di comunicazioni elettroniche, relativi alle comunicazioni elettroniche effettuate, ai luoghi di soggiorno frequentati, nonché agli spostamenti compiuti dall’utente di un mezzo di comunicazione elettronica, consentendo in tal modo di ricavare, a partire dai dati consultati, un maggior numero di conclusioni sulla vita privata di tale utente. Una constatazione analoga può essere effettuata anche per quanto riguarda le categorie di dati richiesti.
38 Mira dunque a soddisfare il requisito di proporzionalità, in virtù del quale le deroghe alla protezione dei dati personali e le limitazioni di quest’ultima devono compiersi entro i limiti dello stretto necessario (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 130 nonché la giurisprudenza ivi citata), il fatto che le autorità nazionali competenti siano tenute a garantire, in ciascun caso di specie, che tanto la categoria o le categorie di dati interessati, quanto la durata per la quale è richiesto l’accesso a questi ultimi, siano, in funzione delle circostanze del caso di specie, limitate a quanto è strettamente necessario ai fini dell’indagine in questione.
39 Tuttavia, l’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, derivante dall’accesso, da parte di un’autorità pubblica, a un insieme di dati relativi al traffico o di dati relativi all’ubicazione, suscettibili di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da esso utilizzate, presenta in ogni caso un carattere grave indipendentemente dalla durata del periodo per il quale è richiesto l’accesso a tali dati e dalla quantità o dalla natura dei dati disponibili per un periodo siffatto, qualora, come nella fattispecie di cui al procedimento principale, questo insieme di dati sia tale da permettere di trarre precise conclusioni sulla vita privata della persona o delle persone interessate.
40 A tale riguardo, anche l’accesso a un quantitativo limitato di dati relativi al traffico o di dati relativi all’ubicazione, oppure l’accesso a dati per un breve periodo, possono essere idonei a fornire precise informazioni sulla vita privata di un utente di un mezzo di comunicazione elettronica. Inoltre, la quantità dei dati disponibili e le informazioni concrete sulla vita privata della persona interessata che ne derivano sono circostanze che possono essere valutate solo dopo la consultazione dei dati suddetti. Orbene, l’autorizzazione all’accesso concessa dal giudice o dall’autorità indipendente competente interviene necessariamente prima che i dati e le informazioni che ne derivano possano essere consultati. Pertanto, la valutazione della gravità dell’ingerenza costituita dall’accesso si effettua necessariamente in funzione del rischio generalmente afferente alla categoria di dati richiesti per la vita privata delle persone interessate, senza che rilevi, peraltro, sapere se le informazioni relative alla vita privata che ne derivano abbiano o meno, concretamente, un carattere sensibile.
41 Infine, tenuto conto del fatto che il giudice del rinvio è investito di una domanda con cui viene dedotta l’inammissibilità dei processi verbali redatti in base ai dati relativi al traffico e ai dati relativi all’ubicazione, in quanto le disposizioni dell’articolo 1111 della legge relativa alle comunicazioni elettroniche sarebbero contrarie all’articolo 15, paragrafo 1, della direttiva 2002/58 sotto il profilo sia della conservazione dei dati sia dell’accesso a questi ultimi, occorre ricordare che, allo stato attuale del diritto dell’Unione, spetta, in linea di principio, al solo diritto nazionale stabilire le regole relative all’ammissibilità e alla valutazione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti criminali, di informazioni e di elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati in questione, contraria al diritto dell’Unione (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 222), od anche mediante un accesso delle autorità nazionali ai dati suddetti, contrario a tale diritto dell’Unione.
42 Infatti, secondo una consolidata giurisprudenza, in assenza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro, in virtù del principio dell’autonomia procedurale, stabilire le regole di procedura applicabili ai ricorsi giurisdizionali destinati a garantire la tutela dei diritti riconosciuti ai singoli dal diritto dell’Unione, a condizione però che le regole suddette non siano meno favorevoli di quelle disciplinanti situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano impossibile in pratica o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 223 nonché la giurisprudenza ivi citata).
43 Per quanto riguarda più in particolare il principio di effettività, occorre ricordare che le norme nazionali relative all’ammissibilità e all’utilizzazione delle informazioni e degli elementi di prova hanno come obiettivo, in virtù delle scelte operate dal diritto nazionale, di evitare che informazioni ed elementi di prova ottenuti in modo illegittimo arrechino indebitamente pregiudizio a una persona sospettata di avere commesso dei reati. Orbene, tale obiettivo può, a seconda del diritto nazionale, essere raggiunto non solo mediante un divieto di utilizzare informazioni ed elementi di prova siffatti, ma anche mediante norme e prassi nazionali che disciplinino la valutazione e la ponderazione delle informazioni e degli elementi di prova, o addirittura tenendo conto del loro carattere illegittimo in sede di determinazione della pena (sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 225).
44 La necessità di escludere informazioni ed elementi di prova ottenuti in violazione delle prescrizioni del diritto dell’Unione deve essere valutata alla luce, in particolare, del rischio che l’ammissibilità di informazioni ed elementi di prova siffatti comporta per il rispetto del principio del contraddittorio e, pertanto, del diritto ad un processo equo. Orbene, un organo giurisdizionale, il quale consideri che una parte non è in grado di svolgere efficacemente le proprie osservazioni in merito a un mezzo di prova rientrante in una materia estranea alla conoscenza dei giudici e idoneo ad influire in modo preponderante sulla valutazione dei fatti, deve constatare una violazione del diritto ad un processo equo ed escludere tale mezzo di prova al fine di evitare una violazione siffatta. Pertanto, il principio di effettività impone al giudice penale nazionale di escludere informazioni ed elementi di prova che siano stati ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione incompatibile con il diritto dell’Unione, od anche mediante un accesso dell’autorità competente a tali dati in violazione del diritto dell’Unione, nell’ambito di un procedimento penale instaurato nei confronti di persone sospettate di atti di criminalità, qualora tali persone non siano in grado di svolgere efficacemente le proprie osservazioni in merito alle informazioni e agli elementi di prova suddetti, riconducibili ad una materia estranea alla conoscenza dei giudici e idonei ad influire in maniera preponderante sulla valutazione dei fatti (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 226 e 227).
45 Alla luce delle considerazioni che precedono, occorre rispondere alla prima e alla seconda questione dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.
Sulla terza questione
46 Con la sua terza questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
47 Il giudice del rinvio precisa al riguardo che, se è pur vero che il pubblico ministero estone è tenuto, conformemente al diritto nazionale, ad agire in modo indipendente, è soggetto soltanto alla legge e deve esaminare gli elementi a carico e quelli a discarico nel corso del procedimento istruttorio, l’obiettivo di tale procedimento resta nondimeno quello di raccogliere elementi di prova nonché di pervenire al soddisfacimento degli altri presupposti necessari per lo svolgimento di un processo. Sarebbe questa stessa autorità a rappresentare la pubblica accusa nel processo, ed essa dunque sarebbe altresì parte nel procedimento. Inoltre, risulta dal fascicolo a disposizione della Corte, come confermato anche dal governo estone e dal Prokuratuur all’udienza, che il pubblico ministero estone è organizzato in modo gerarchico e che le domande di accesso ai dati relativi al traffico e ai dati relativi all’ubicazione non sono soggette ad un requisito di forma particolare e possono essere presentate dal procuratore stesso. Infine, le persone ai cui dati può essere accordato l’accesso non sarebbero soltanto quelle sospettate di essere coinvolte in un reato.
48 È vero, come già dichiarato dalla Corte, che spetta al diritto nazionale stabilire le condizioni alle quali i fornitori di servizi di comunicazioni elettroniche devono accordare alle autorità nazionali competenti l’accesso ai dati di cui essi dispongono. Tuttavia, per soddisfare il requisito di proporzionalità, tale normativa deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura in questione e fissino dei requisiti minimi, di modo che le persone i cui dati personali vengono in discussione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abusi. Tale normativa deve essere legalmente vincolante nell’ordinamento interno e precisare in quali circostanze e a quali condizioni possa essere adottata una misura che prevede il trattamento di dati del genere, in modo da garantire che l’ingerenza sia limitata allo stretto necessario (v., in tal senso, sentenze del 21 dicembre 2016, Tele2, C‑203/15 e C‑698/15, EU:C:2016:970, punti 117 e 118; del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 68, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 132 e la giurisprudenza ivi citata).
49 In particolare, una normativa nazionale che disciplini l’accesso delle autorità competenti a dati relativi al traffico e a dati relativi all’ubicazione conservati, adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, non può limitarsi a esigere che l’accesso delle autorità ai dati risponda alla finalità perseguita da tale normativa, ma deve altresì prevedere le condizioni sostanziali e procedurali che disciplinano tale utilizzo (sentenze del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 77, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, e C‑512/18, e a., punto 176 e la giurisprudenza ivi citata).
50 Pertanto, e poiché un accesso generale a tutti i dati conservati, indipendentemente da un qualche collegamento, almeno indiretto, con la finalità perseguita, non può considerarsi limitato allo stretto necessario, la normativa nazionale in questione deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati in questione. A questo proposito, un accesso siffatto può, in linea di principio, essere consentito, in relazione con l’obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, di commettere o di aver commesso un illecito grave, o anche di essere implicate in una maniera o in un’altra in un illecito del genere. Tuttavia, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l’accesso ai dati di altre persone potrebbe essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo (v., in tal senso, sentenze del 21 dicembre 2016, Tele2, C‑203/15 e C‑698/15, EU:C:2016:970, punto 119, nonché del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 188).
51 Al fine di garantire, in pratica, il pieno rispetto di tali condizioni, è essenziale che l’accesso delle autorità nazionali competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente, e che la decisione di tale giudice o di tale entità intervenga a seguito di una richiesta motivata delle autorità suddette presentata, in particolare, nell’ambito di procedure di prevenzione o di accertamento di reati ovvero nel contesto di azioni penali esercitate. In caso di urgenza debitamente giustificata, il controllo deve intervenire entro termini brevi (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 189 e la giurisprudenza ivi citata).
52 Tale controllo preventivo richiede, tra l’altro, come rilevato, in sostanza, dall’avvocato generale al paragrafo 105 delle sue conclusioni, che il giudice o l’entità incaricata di effettuare il controllo medesimo disponga di tutte le attribuzioni e presenti tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in gioco. Per quanto riguarda, più in particolare, un’indagine penale, tale controllo preventivo richiede che detto giudice o detta entità sia in grado di garantire un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso.
53 Qualora tale controllo venga effettuato non da un giudice bensì da un’entità amministrativa indipendente, quest’ultima deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna [v., in tal senso, sentenza del 9 marzo 2010, Commissione/Germania, C‑518/07, EU:C:2010:125, punto 25, nonché parere 1/15 (Accordo PNR UE‑Canada), del 26 luglio 2017, EU:C:2017:592, punti 229 e 230].
54 Dalle considerazioni che precedono risulta che il requisito di indipendenza che l’autorità incaricata di esercitare il controllo preventivo deve soddisfare, ricordato al punto 51 della presente sentenza, impone che tale autorità abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che la prima sia in grado di esercitare tale controllo in modo obiettivo e imparziale al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica, come rilevato in sostanza dall’avvocato generale al paragrafo 126 delle sue conclusioni, che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale.
55 Ciò non si verifica nel caso di un pubblico ministero che dirige il procedimento di indagine ed esercita, se del caso, l’azione penale. Infatti, il pubblico ministero non ha il compito di dirimere in piena indipendenza una controversia, bensì quello di sottoporla, se del caso, al giudice competente, in quanto parte nel processo che esercita l’azione penale.
56 La circostanza che il pubblico ministero sia tenuto, conformemente alle norme che disciplinano le sue competenze e il suo status, a verificare gli elementi a carico e quelli a discarico, a garantire la legittimità del procedimento istruttorio e ad agire unicamente in base alla legge ed al suo convincimento non può essere sufficiente per conferirgli lo status di terzo rispetto agli interessi in gioco nel senso descritto al punto 52 della presente sentenza.
57 Ne consegue che il pubblico ministero non è in grado di effettuare il controllo preventivo di cui al punto 51 della presente sentenza.
58 Poiché il giudice del rinvio ha sollevato, peraltro, la questione se si possa supplire all’assenza di un controllo effettuato da un’autorità indipendente mediante un controllo successivo, da parte di un giudice, della legittimità dell’accesso di un’autorità nazionale ai dati relativi al traffico e ai dati relativi all’ubicazione, occorre rilevare che il controllo indipendente deve intervenire, come richiesto dalla giurisprudenza richiamata al punto 51 della presente sentenza, previamente a qualsiasi accesso, salvo situazioni di urgenza debitamente giustificate, nel qual caso il controllo deve avvenire entro termini brevi. Come rilevato dall’avvocato generale al paragrafo 128 delle sue conclusioni, un siffatto controllo successivo non consentirebbe di rispondere all’obiettivo di un controllo preventivo, consistente nell’impedire che venga autorizzato un accesso ai dati in questione eccedente i limiti dello stretto necessario.
59 In tali circostanze, occorre rispondere alla terza questione pregiudiziale dichiarando che l’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
Sulle spese
60 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale consenta l’accesso di autorità pubbliche ad un insieme di dati relativi al traffico o di dati relativi all’ubicazione, idonei a fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da costui utilizzate e a permettere di trarre precise conclusioni sulla sua vita privata, per finalità di prevenzione, ricerca, accertamento e perseguimento di reati, senza che tale accesso sia circoscritto a procedure aventi per scopo la lotta contro le forme gravi di criminalità o la prevenzione di gravi minacce alla sicurezza pubblica, e ciò indipendentemente dalla durata del periodo per il quale l’accesso ai dati suddetti viene richiesto, nonché dalla quantità o dalla natura dei dati disponibili per tale periodo.
2) L’articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli articoli 7, 8 e 11 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale renda il pubblico ministero, il cui compito è di dirigere il procedimento istruttorio penale e di esercitare, eventualmente, l’azione penale in un successivo procedimento, competente ad autorizzare l’accesso di un’autorità pubblica ai dati relativi al traffico e ai dati relativi all’ubicazione ai fini di un’istruttoria penale.
Firme
