Author: Giordana Ambrosino, Marco Bacini, Nadia Mangiardi.
Committee: Cybersecurity strategic Committee
Date: 30/06/2024
Sommario
1. Introduzione
2. “Quadrature du net” e la corte di Giustizia dell’Unione Europea
3. Ulteriori indirizzi giurisprudenziali della Corte di Giustizia
4. Condizioni per il Trattamento dei Dati Personali nel Contesto delle Comunicazioni Elettroniche
5. EPPO e la Protezione dei Dati Personali
6. Conclusione
1. Introduzione
Nel mondo odierno la tecnologia pervade sempre più aspetti della nostra vita.
Dal lavoro alla sanità, dall’istruzione all’intrattenimento, nulla ha potuto tirarsi indietro dall’espansione tecnologica, tantomeno hanno potuto farlo i mezzi di comunicazioni, i quali con la rete Internet sono mutati radicalmente.
E’ proprio dentro questa fitta connessione di comunicazioni composta da messaggi, chiamate, downloads e una schiera infinita di dati che il cybercrime ha preso piede. L’Unione europea ha avuto, e tuttora ha, il dovere di non tirarsi indietro, al fine di promulgare una legislazione unitaria in tutti gli Stati membri.
Questo saggio esamina e evidenzia i risultati della recente giurisprudenza della CGUE in relazione con l’attività investigativa del European Public Prosecutor Office (EPPO).
2. “Quadrature du net” e la corte di Giustizia dell’Unione Europea
La Corte di Giustizia dell’Unione Europea, nella sentenza del 30 aprile 20241, ha esaminato una richiesta di pronuncia preliminare riguardante la legalità del decreto francese n. 2010- 236 sulla protezione dei diritti d’autore su Internet, valutandone la compatibilità con la direttiva 2002/58/CE sulla protezione dei dati personali e la Carta dei diritti fondamentali dell’Unione Europea2.
La questione centrale era se l’accesso delle autorità pubbliche ai dati relativi all’identità civile associati a un indirizzo IP, conservati dai fornitori di servizi di comunicazioni elettroniche per contrastare le violazioni del diritto d’autore online, fosse giustificato ai sensi dell’articolo 15 della direttiva 2002/58. La Corte ha stabilito che l’articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che non osta all’adozione di una normativa nazionale che autorizzi l’autorità pubblica responsabile della tutela del diritto d’autore online ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile associata agli indirizzi IP precedentemente raccolti, affinché tale autorità possa identificare i titolari di tali indirizzi.
Tale accesso, secondo la giurisprudenza della Corte, è consentito solo se i dati personali sono stati conservati in conformità con la direttiva 2002/58 e se l’accesso è giustificato ai fini di perseguimento dei reati, nel caso di specie si tratta di reati di contraffazione commessi in rete. L’accesso è dunque garantito purché l’ingerenza nei diritti fondamentali non sia grave, in un’ottica di costante bilanciamento tra l’interessi legittimi relativi alle esigenze dell’indagine nel contesto della lotta alla criminalità e i diritti fondamentali alla vita privata, alla protezione dei dati personali, alla libertà di espressione e d’informazione e in virtù del principio di proporzionalità come garantiti degli articoli 7, 8, 11 e 52, paragrafo 1 della Carta3.
Ciò può essere garantito imponendo, ai fornitori di servizi di comunicazione, l’obbligo di conservare le varie categorie di dati personali, quali ad esempio i dati relativi all’identità civile, agli indirizzi IP, al traffico e all’ubicazione degli utenti, in modo tale da garantire una separazione realmente stagna di queste diverse categorie di dati, impedendo così, nella fase di conservazione, un qualsiasi uso combinato o utilizzo degli stessi per un periodo non superiore a quello strettamente necessario.
Pertanto, la Corte ha stabilito che l’accesso ai dati sopra menzionati deve essere soggetto a una revisione preventiva da parte di un tribunale o di un organismo amministrativo indipendente, tranne nei casi di urgenza giustificata. Tale misura assicura che l’accesso sia limitato a quanto strettamente necessario e che venga garantito un equilibrio tra gli interessi legittimi e i diritti coinvolti.
3. Ulteriori indirizzi giurisprudenziali della Corte di Giustizia
L’indirizzo fornito dalla Corte di Giustizia nella sentenza “Quadrature du net” si inserisce in un’ottica ben precisa, in un’ottica regolamentare volta a rafforzare i vincoli esistenti anche nei confronti delle Autorità pubbliche nello svolgimento di indagini penali, tra cui si inserisce anche l’EPPO.
Tra le molteplici sentenze, che gradualmente hanno definito l’attuale quadro normativo entro cui i singoli come le autorità pubbliche devono districarsi, salta all’occhio una decisione (C-178/22) 4 avente per oggetto una domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Giudice delle indagini preliminari presso il Tribunale di Bolzano durante lo svolgimento di procedimenti penali a carico di ignoti. Nel caso di specie il pubblico ministero aveva presentato una richiesta al GIP, volta ad ottenere un’autorizzazione per l’accesso ai dati personali degli indagati conservati dai fornitori di servizi di comunicazione elettronica. La questione dibattuta è se la richiesta di accesso ai dati personali degli indagati da parte di autorità pubblica, costituendo un’ingerenza nei diritti fondamentali dei cittadini dell’Unione, come garantiti nella Carta, fosse giustificata dalla gravità del reato in questione. La legislazione nazionale col decreto legislativo n.196/20035 stabilisce le condizioni alle quali l’accesso a tali dati è consentito, subordinandolo a 3 presupposti:
- Perseguimento di reati gravi puniti con la pena della reclusione non inferiore nel massimo a tre anni.
- Sussistenza di sufficienti indizi di reati.
- Rilevanza dei dati richiesti per l’accertamento dei fatti.
La Corte, pur avendo dubbi circa la ampiezza della definizione di “reati gravi” all’interno del nostro ordinamento, rammenta che l’accesso a tali dati attraverso una richiesta esaurientemente motivata debba costituire l’eccezione e non la regola poiché consentono di trarre precise conclusioni sulla vita privata delle persone interessate, invadendo il loro diritto al rispetto della vita privata.
Per tali ragioni, l’autorità giudiziaria o il giudice competente al rilascio dell’autorizzazione per l’accesso deve, in sede di controllo preventivo, avere la facoltà di negare o limitare tale accesso qualora constati che l’ingerenza nei diritti fondamentali risultante da tale accesso sarebbe grave, mentre il reato in questione non rientri effettivamente nella criminalità grave.
La Corte sostiene che il giudice nazionale debba garantire un giusto equilibrio tra, da un lato, gli interessi legittimi connessi alle esigenze dell’indagine nell’ambito della lotta alla criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso.
4. Condizioni per il Trattamento dei Dati Personali nel Contesto delle Comunicazioni Elettroniche
In sintesi possiamo elencare le condizioni in materia di trattamento dei dati personali definite dalla direttiva 2002/58/CE e dalla Carta dei diritti fondamentali dell’UE:
1. Confidenzialità delle comunicazioni: deve essere garantita tramite le legislazioni nazionali. L’ascolto, la registrazione, l’archiviazione o altre forme di intercettazione o sorveglianza delle comunicazioni e dei dati relativi al traffico sono proibiti senza il consenso degli utenti interessati, a meno che non sia autorizzato dalla legge in conformità con la Convenzione europea per la protezione dei diritti umani e delle libertà fondamentali.
2. Conservazione dei dati: i dati devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Nello specifico i dati relativo al traffico necessari per la fatturazione dei clienti e per i pagamenti di interconnessione possono essere trattati solo fino alla fine del periodo durante il quale la fattura può essere legalmente contestata o il pagamento perseguito.
3. Finalità limitate: il trattamento deve essere limitato a ciò che è strettamente necessario per la fornitura del servizio.
4. Consenso informato per un ulteriore trattamento: un ulteriore trattamento è consentito solo con il consenso informato del sottoscrittore basato su informazioni accurate e complete fornite dal provider dei servizi di comunicazioni elettroniche pubblicamente disponibili.
5. Protezione dei dati: i sistemi per la fornitura di reti e servizi di comunicazioni elettroniche devono essere progettati per limitare al minimo indispensabile la quantità di dati personali.
6. Accesso da parte delle autorità pubbliche: l’accesso ai dati personali associati a un indirizzo IP può essere consentito in conformità con la direttiva 2002/58 e solo se giustificato dall’obiettivo generale di perseguimento dei reati e di lotta al crimine.
7. Revisione preventiva: l’accesso ai dati personali associati a un indirizzo IP deve essere soggetto a una revisione preventiva da parte di un tribunale o di un organismo amministrativo indipendente, salvo casi di urgenza giustificata.
8. Salvaguardie efficaci: devono essere previste salvaguardie efficaci contro i rischi di accesso o uso abusivo o illecito dei dati, e il periodo di conservazione dei dati deve essere limitato a ciò che è strettamente necessario
9. Applicazione di misure proporzionate: le misure devono essere necessarie, appropriate e proporzionate al fine di salvaguardare la sicurezza nazionale, la difesa e la sicurezza pubblica nonché per la prevenzione, l’indagine, il rilevamento e la persecuzione di reati o dell’uso non autorizzato del sistema di comunicazione elettronica.
10. Rispetto del GDPR e della Direttiva 2002/58: Le misure non devono essere in contrasto con normative vigenti.
5. EPPO e la Protezione dei Dati Personali
L’EPPO (European Public Prosecutor’s Office) è un organismo dell’UE dedito alla lotta contro i crimini che ledono gli interessi finanziari dell’Unione Europea.
Data la sua competenza in materia penale transnazionale, l’EPPO, nello svolgere le proprie attività investigative e procedurali, è tenuta a garantire il rispetto dei diritti fondamentali e la protezione dei dati personali, in particolare la privacy. La giurisprudenza sopracitata va ad ampliare quel quadro normativo nel quale l’European public prosecutor’s office opera.
In particolare, la sentenza “La Quadrature du Net 2024” insieme alle pronuncia C-178/22 fornisce ulteriori linee guida circa il necessario bilanciamento tra interessi legittimi anche nel perseguimento di reati.
Alzando lo sguardo dalle singole legislazioni nazionali e questioni di pregiudizialità sollevate nei diversi procedimenti, la Corte sottolinea ancora il fondamentale ruolo ricoperto dall’autorità giudiziaria nel controllo preventivo volto a consentire l’accesso ai dati personali dei soggetti penalmente indagati. Le singole problematiche ive toccate, seppur non strettamente collegate al mondo della Procura Europea, pongono un importante problema che tocca anche le indagini di EPPO : il necessario bilanciamento tra interessi legittimi opposti nello svolgimento di indagini penali.
La Corte individua nel bilanciamento lo strumento primario per risolvere quei contrasti che nascono dall’implementazione delle nuove tecnologie da un lato e dal riconoscimento, in una visione antropocentrica, dei diritti del singolo rispetto alle stesse.
Questo necessario bilanciamento deve essere effettuato anche da EPPO.
Negli ultimi anni, l’Ufficio del Procuratore Europeo (EPPO) ha posto sempre maggiore enfasi sull’osservanza delle normative in tema di protezione dei dati personali nelle sue indagini ed operazioni. 6 Dopo la visita operativa, svoltasi nel 2022 da parte del Garante europeo della protezione dei dati (GEPD), nell’aprile del 2023 il GEPD ha condotto il primo audit dell’EPPO, il cui focus è ricaduto sul trattamento dei dati personali operativi da parte dei case analysts e sull’implementazione delle richieste di accesso ai dati personali trattati da parte degli interessati. In questa direzione si collocano le sentenze della Corte di Giustizia Europea, che fornisce ulteriori indicazioni cruciali.
L’EPPO deve assicurare un ragionevole e proporzionato bilanciamento tra l’interesse pubblico alla lotta contro il crimine e il rispetto dei diritti fondamentali alla vita privata, alla protezione dei dati personali e alla libertà di espressione e informazione, tenendo in considerazione gli indirizzi giurisprudenziali della Corte che guidano l’interpretazione delle normative vigenti in materia di dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, alla luce di principi e valori fondamentali del costituzionalismo europeo.
6. Conclusione
In un’epoca come la nostra segnata da una profonda transizione dal Digital Liberalism, approccio regolamentare neoliberale spinto da interessi prettamente economici, ad un Digital Constitutionalism, in cui emerge l’importanza di adattare i valori del costituzionalismo contemporaneo alla società digitale, l’EPPO non può non essere parte di tale cambiamento epocale.
La Procura Europea si posiziona come portatore di giustizia nell’Unione Europea, difendendo il bilancio dell’Unione mentre affronta le sfide poste dalla criminalità transnazionale. Nell’esperire tale ruolo è e sarà chiamato a essere un modello di eccellenza nella protezione dei dati, dimostrando che è possibile combattere il crimine senza compromettere i diritti fondamentali dei cittadini.
Guardando in aventi, si prevede che l’EPPO adotterà tecnologie avanzate e protocolli di sicurezza sempre più sofisticati per operare nel rispetto dei principi di legalità, proporzionalità e necessità nel trattamento dei dati personali durante le indagini penali, ossia per realizzare quella costituzionalizzazione dell’ambiente digitale.
Con la sua dedizione alla trasparenza e alla sicurezza dei dati, l’EPPO è e continuerà a essere una forza fondamentale per garantire il rispetto dei diritti degli interessati, riaffermando il suo ruolo di guardiano dei diritti anche nell’era digitale.
1 Sentenza della Corte (Seduta plenaria) del 30 aprile 2024. C-470/21. La Quadrature du Net e a. contro Premier ministre e Ministère de la Culture https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62021CJ0470
2 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX:32002L0058
3 Carta dei diritti fondamentali dell’Unione Europea, (2012/C, 326/02) https://europedirect.unisi.it//wp-content/uploads/sites/32/2015/11/carta-dei-diritti.pdf . Nello specifico artt. 7,8,11 e 52 della Carta.
4 Sentenza Corte di Giustizia in composizione plenaria https://www.eius.it/giurisprudenza/2024/2325628
5 Art 132 comma 3 del decreto legislative n. 196/2003 (Codice Privacy)
6 EPPO : Annual Report 2023 https://www.eppo.europa.eu/sites/default/files/2024-03/EPPO_Annual_Report_2023.pdf