Risposta negativa dalla CGUE. Lo vieta la direttiva «relativa alla vita privata e alle comunicazioni elettroniche».
Un procuratore di una procura lituana è stato rimosso dalle sue funzioni dalla Procura generale per aver illegittimamente fornito informazioni ad un indagato e al suo avvocato. La condotta addebitatagli è stata accertata sulla base di dati conservati dai fornitori di servizi di comunicazione elettronica.
L'imputato contestava tale decisione rilevando che «l'utilizzo di dati che consentono di identificare l'origine e la destinazione di una comunicazione telefonica a partire dal telefono fisso o mobile di un indagato in procedimenti relativi a condotte illecite costituisce un'ingerenza ingiustificata nei diritti fondamentali sanciti dal diritto dell'Unione».
Il giudice amministrativo supremo della Lituania rimette la questione alla CGUE chiedendo di sapere se l'utilizzo, ai fini di un'indagine su condotte illecite di natura corruttiva, di dati personali relativi a comunicazioni elettroniche che sono stati conservati dai fornitori di servizi di comunicazione elettronica e che sono stati successivamente messi a disposizione delle autorità competenti a fini di lotta alla criminalità grave, sia compatibile con la direttiva «relativa alla vita privata e alle comunicazioni elettroniche».
Con la sentenza del 7 settembre 2023 nella causa C-162/2022, la CGUE afferma che «detta direttiva osta a che dati personali relativi a comunicazioni elettroniche che sono stati conservati dai fornitori di servizi di comunicazione elettronica e che sono stati successivamente messi a disposizione delle autorità competenti a fini di lotta alla criminalità grave possano essere utilizzati nell'ambito di indagini per condotte illecite di natura corruttiva nel servizio pubblico».
Sulla questione, puntualizza che solo la lotta alle forme gravi di criminalità e la prevenzione di minacce gravi alla sicurezza pubblica sono idonee la giustificare ingerenze gravi nei diritti fondamentali.
La Corte conclude sostenendo che «dati personali relativi al traffico e all'ubicazione conservati da fornitori in applicazione di una misura adottata ai sensi dell'articolo 15, paragrafo 1, della direttiva “relativa alla vita privata e alle comunicazioni elettroniche” ai fini della lotta alla criminalità grave e messi a disposizione delle autorità competenti a fini di lotta alla criminalità grave, non possono essere successivamente trasmessi ad altre autorità e utilizzati ai fini della lotta contro condotte illecite di natura corruttiva, che sono di importanza minore rispetto all'obiettivo della lotta alla criminalità grave».
CGUE, Prima Sezione, sentenza 7 settembre 2023, causa C-162/22
«Rinvio pregiudiziale – Telecomunicazioni — Trattamento dei dati personali — Direttiva 2002/58/CE — Ambito di applicazione — Articolo 15, paragrafo 1 — Accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica e raccolti nell’ambito di procedimenti di indagine — Uso successivo di dati nel corso di un’indagine su un illecito amministrativo»
I. Contesto normativo
A. Diritto dell’Unione
1. Direttiva 2002/58
4. L’articolo 1 («Finalità e campo d’applicazione») afferma:
«1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno della Comunità.
2. Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE [(6)]. Esse prevedono inoltre la tutela dei legittimi interessi degli abbonati che sono persone giuridiche.
3. La presente direttiva non si applica alle attività che esulano dal campo di applicazione del [TFUE], quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea [TUE] né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale.
5. L’articolo 5 («Riservatezza delle comunicazioni»), paragrafo 1, prescrive:
«Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell’articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza».
6. L’articolo 15 («Applicazione di alcune disposizioni della direttiva 95/46/CE») afferma:
«1. Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del [TUE].
(…)
2. Le disposizioni del capo III della direttiva 95/46/CE relative ai ricorsi giurisdizionali, alle responsabilità e alle sanzioni si applicano relativamente alle disposizioni nazionali adottate in base alla presente direttiva e con riguardo ai diritti individuali risultanti dalla stessa.
(…)».
2. RGPD
7. L’articolo 2 («Ambito di applicazione materiale») così dispone:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
(…)
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
(…)».
8. L’articolo 5 («Principi applicabili al trattamento di dati personali») così recita:
«1. I dati personali sono:
(…)
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
(…)».
9. L’articolo 6 («Liceità del trattamento») stabilisce quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(…)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
(…)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
(...)
4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
(…)».
3. Direttiva 2016/680
10. L’articolo 1 («Oggetto e obiettivi»), paragrafo 1, così dispone:
«1. La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».
11. L’articolo 2 («Ambito di applicazione»), paragrafo 1, così recita:
«La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1».
12. L’articolo 4 («Principi applicabili al trattamento di dati personali») afferma:
«1. Gli Stati membri dispongono che i dati personali siano:
(…)
b) raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità;
(…)
2. Il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:
a) il titolare del trattamento è autorizzato a trattare tali dati personali per detta finalità conformemente al diritto dell’Unione o dello Stato membro; e
b) il trattamento è necessario e proporzionato a tale altra finalità conformemente al diritto dell’Unione o dello Stato membro.
(…)».
13. L’articolo 9 («Condizioni di trattamento specifiche»), paragrafo 1, così recita:
«I dati personali raccolti dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell’Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica il [RGPD], a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione».
B. Diritto nazionale
1. Lietuvos Respublikos elektroniniu ryšiu istatymas (7)
14. L’articolo 65, paragrafo 2, impone ai fornitori di servizi di comunicazione elettronica l’obbligo di conservare i dati elencati di cui all’allegato 1 della stessa legge e, se del caso, di metterli a disposizione delle autorità competenti affinché possano utilizzarli nella lotta alla criminalità grave (8).
15. Ai sensi dell’articolo 77, paragrafo 1, i fornitori di servizi di comunicazione elettronica devono fornire alle autorità competenti le informazioni in loro legittimo possesso necessarie, in particolare, per la prevenzione, l’accertamento e il perseguimento di reati.
16. A norma dell’articolo 77, paragrafo 4, se esiste una decisione giudiziaria motivata o un’altra base giuridica prevista dalla legge, i fornitori di servizi di comunicazione elettronica devono rendere tecnicamente possibile, in particolare agli organi di indagine penale e alle autorità istruttorie, secondo le modalità previste dal diritto processuale penale, il controllo del contenuto delle comunicazioni diffuse dalle reti di comunicazione elettronica.
2. Lietuvos Respublikos kriminalines žvalgybos istatymas (9)
17. Ai sensi dell’articolo 6, paragrafo 3, punto 1), se sono soddisfatte le condizioni stabilite dalla stessa LIC e previa autorizzazione del pubblico ministero o di un’autorità giudiziaria, gli organi di indagine penale (10) possono ottenere informazioni dai fornitori di servizi di comunicazione elettronica.
18. A norma dell’articolo 8, paragrafi 1 e 3, gli organi di indagine penale devono agire non appena siano disponibili informazioni relative alla preparazione o alla commissione di un reato molto grave, grave o relativamente grave, e, se l’indagine rivela l’esistenza di un reato, deve essere avviata immediatamente un’istruttoria penale.
19. Conformemente all’articolo 19, paragrafo 1, punto 5, le informazioni provenienti da operazioni di indagine penale possono essere utilizzate nei casi previsti dai paragrafi 3 e 4 del medesimo articolo, e negli altri casi previsti dalla legge.
20. Ai sensi dell’articolo 19, paragrafo 3, le informazioni relative a un fatto che presenta le caratteristiche di un reato di natura corruttiva possono essere declassificate, d’intesa con la Procura, e utilizzate nell’ambito di un’indagine su illeciti disciplinari o di servizio.
3. Lietuvos Respublikos baudžiamojo proceso kodeksas (11)
21. Ai sensi dell’articolo 154, paragrafo 1 («Controllo, registrazione e conservazione delle informazioni trasmesse sulle reti di comunicazione elettronica»), un inquirente può, su provvedimento di un giudice istruttore adottato su richiesta del pubblico ministero, ascoltare, captare e conservare le conversazioni trasmesse attraverso reti di comunicazione elettronica se vi è motivo di ritenere che si possano ottenere informazioni su un reato molto grave o grave in fase di preparazione, di commissione o che è già stato commesso, o su un reato relativamente grave o non grave.
22. Ai sensi dell’articolo 177, paragrafo 1 («Divieto di divulgazione dei dati delle indagini preliminari»), i dati istruttori sono riservati e, fino alla fase giudiziale della causa, possono essere divulgati solo con l’autorizzazione della procura e solo nella misura in cui ciò sia giustificato (12).
II. Fatti, procedimento e questione pregiudiziale
23. La Lietuvos Respublikos generaline prokuratura (Procura generale della Repubblica di Lituania; in prosieguo: la «Procura generale») ha avviato un’indagine interna sull’operato di A.G., all’epoca procuratore presso una Apygardos prokuratura (Procura regionale), in presenza di indizi di condotta illecita nell’esercizio di funzioni pubbliche.
24. La Commissione della Procura generale ha constatato che A.G. si è reso responsabile di condotta illecita nell’esercizio di funzioni pubbliche e ha proposto di infliggergli la sanzione disciplinare di rimozione da tali funzioni.
25. Detta condotta sarebbe stata accertata sulla base delle informazioni, ottenute nel corso dell’indagine amministrativa, derivanti dalle attività dei servizi di informazione criminale, dalle spiegazioni di altri funzionari e del ricorrente, nonché dalle risultanze di due indagini preliminari.
26. In particolare, vi sarebbero state comunicazioni telefoniche tra A.G. e il legale di un indagato nel corso di un’indagine preliminare condotta da A.G. riguardo a procedimenti in cui l’avvocato aveva agito in qualità di difensore (13).
27. Il controllo e la registrazione delle informazioni trasmesse attraverso le reti di comunicazione elettronica erano stati autorizzati mediante ordinanze del giudice.
28. Il procuratore generale ha inflitto la sanzione della rimozione dalle funzioni ad A.G., il quale ha presentato ricorso al Vilniaus apygardos administracinis teismas (Tribunale amministrativo regionale di Vilnius, Lituania), chiedendone l’annullamento.
29. Il ricorso è stato respinto con sentenza del 16 luglio 2021, in quanto il giudice di primo grado ha ritenuto legittime le attività dei servizi di informazione criminale e l’utilizzo, nel corso del procedimento disciplinare, dei dati ottenuti da tali servizi.
30. A.G. ha proposto appello contro la sentenza di primo grado dinanzi allo Lietuvos vyriausiasis administracinis teismas (Corte amministrativa suprema, Lituania), che sottopone alla Corte di giustizia la presente questione pregiudiziale:
«Se l’articolo 15, paragrafo 1, della direttiva 2002/58/CE (…), in combinato disposto con gli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea [Carta], debba essere interpretato nel senso che esso vieti alle autorità pubbliche competenti di utilizzare, nell’ambito di indagini per condotta illecita di natura corruttiva nell’esercizio di funzioni pubbliche, i dati conservati dai fornitori di servizi di comunicazione elettronica che possono fornire informazioni sui dati di un utente di un mezzo di comunicazione elettronica e sulle comunicazioni da questi effettuate, indipendentemente dal fatto che l’accesso a tali dati sia stato concesso, nel caso concreto, ai fini del contrasto di reati gravi e di prevenzione di gravi minacce alla sicurezza pubblica».
III. Procedimento dinanzi alla Corte di giustizia
31. La domanda di pronuncia pregiudiziale è pervenuta alla cancelleria della Corte di giustizia il 3 marzo 2022.
32. Hanno presentato osservazioni scritte A.G., i governi ceco, estone, ungherese, irlandese, italiano e lituano, nonché la Commissione europea.
33. All’udienza, tenutasi il 2 febbraio 2023, sono comparsi A.G., i governi francese, ungherese, irlandese e lituano, nonché la Commissione.
IV. Valutazione
A. Ammissibilità. Delimitazione della risposta alla questione pregiudiziale
34. Il giudice del rinvio è un giudice amministrativo competente per il controllo giurisdizionale delle decisioni anche amministrative. Questa è la natura della decisione adottata dal procuratore generale, che ha inflitto la sanzione della revoca dalle funzioni a un funzionario di una procura territoriale, per fatti che costituiscono un illecito nell’esercizio delle sue funzioni.
35. La controversia di cui trattasi non verte, pertanto, sulle decisioni delle autorità giudiziarie penali. Anche se dette decisioni coesistono con il procedimento amministrativo (disciplinare) che ha dato origine alla revoca dalle funzioni (14), occorre sottolineare che la controversia sorge solo per quanto riguarda quest’ultima.
36. Ciò premesso, dalla decisione di rinvio emerge una certa imprecisione quanto ai fatti della controversia, che delineano il contesto in cui si colloca la questione pregiudiziale.
37. Come hanno sottolineato il governo ceco e la Commissione, non è possibile stabilire con certezza, sulla base dell’ordinanza di rinvio, se le autorità competenti: a) si siano rivolte ai fornitori di servizi di comunicazione elettronica per ottenere i dati controversi; o b) abbiano ottenuto esse stesse, direttamente, tali dati.
38. La questione non è affatto secondaria. Da essa dipende l’individuazione di quale normativa dell’Unione sia pertinente per rispondere alla questione pregiudiziale. A seconda che i fatti si siano verificati in un modo o nell’altro, deve essere applicata:
– la direttiva 2002/58, se i dati ottenuti sono il risultato di un obbligo di trattamento imposto ai fornitori di servizi di comunicazione elettronica; o
– la direttiva 2016/680, se i dati sono stati ottenuti direttamente dall’autorità pubblica, senza imporre obblighi a detti fornitori.
39. In questa seconda ipotesi, la protezione dei dati personali sarebbe disciplinata dal diritto nazionale, fatta salva l’applicazione della direttiva 2016/680. (15) La questione pregiudiziale, pertanto, ponendo l’accento sulla direttiva 2002/58, darebbe atto di un approccio inadeguato.
40. Il governo ungherese, convinto che i dati personali siano stati ottenuti attraverso operazioni di intercettazione telefonica effettuate dai servizi di informazione criminale, mette in dubbio la ricevibilità del rinvio pregiudiziale, in quanto la direttiva 2002/58 sarebbe, per le ragioni esposte, inapplicabile.
41. Per la Commissione, tuttavia, – si applicherebbe la direttiva 2016/680 nella misura in cui si tratta di utilizzare, ai fini di un’indagine successiva, dati personali raccolti e conservati direttamente dalle autorità nel corso di un’indagine penale preliminare;
– si applicherebbe la direttiva 2002/58 se, come indicato dal giudice del rinvio (16), la raccolta e la conservazione di almeno una parte dei dati si è dovuta effettuare in forza di una norma nazionale adottata ai sensi dell’articolo 15, paragrafo 1, di tale direttiva. La direttiva 2002/58 sarebbe dunque pertinente per la risoluzione della controversia.
42. Concordo con questo approccio della Commissione che, peraltro, è l’unico che consenta di superare le perplessità (giustificate) generate dalla decisione di rinvio quanto alla sua ricevibilità.
43. Così intesa la questione pregiudiziale la pertinenza della direttiva 2002/58 ai fini della risposta a detta questione:
– deriva dalla presunzione, implicita in qualsiasi rinvio pregiudiziale, della necessità della sua formulazione, la cui responsabilità ricade sul giudice che la propone (17);
– è ammissibile nella misura in cui l’interpretazione della Corte di giustizia è richiesta solo per quanto riguarda la direttiva 2002/58, che l’organo giurisdizionale ritiene essenziale per dirimere la controversia (18).
44. Infatti, secondo il giudice del rinvio, per il procedimento di cui è investito, sono rilevanti:
«i) l’accesso ai dati conservati dai fornitori di servizi di comunicazione elettronica, non solo ai fini del contrasto dei reati gravi e della prevenzione di gravi minacce alla sicurezza pubblica, e
ii) l’uso dei dati conservati ottenuti ai fini del contrasto dei reati gravi e della prevenzione di gravi minacce alla sicurezza pubblica nell’ambito delle indagini per condotta illecita di natura corruttiva nell’esercizio di funzioni pubbliche» (19).
45. Tutto sembrerebbe pertanto indicare che, al di fuori dell’eventuale concorso di dati personali il cui trattamento non potrebbe rientrare nell’ambito di applicazione della direttiva 2002/58 (ma in quello della direttiva 2016/680), nell’indagine che ha portato alla sanzione inflitta siano stati utilizzati dati personali raccolti presso i fornitori di servizi di comunicazione elettronica.
46. La risposta della Corte di giustizia deve essere circoscritta alla richiesta del giudice del rinvio come da quest’ultimo formulata. Occorre pertanto chiarire se i dati personali ottenuti e trattati sulla base dell’articolo 15, paragrafo 1, della direttiva 2002/58 nell’ambito di un’indagine penale possano essere successivamente utilizzati in un procedimento disciplinare (amministrativo) nei confronti di un funzionario pubblico.
47. Avendo così delimitato i termini del rinvio pregiudiziale, si può affermare, a contrario, che esulano dall’ambito dello stesso le seguenti questioni:
– in primo luogo, quelle sulla legittimità dell’acquisizione iniziale dei dati personali ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58. La questione del giudice del rinvio si limita all’uso successivo di tali dati nel procedimento disciplinare, senza mettere in discussione la legittimità della loro acquisizione originaria (20);
– in secondo luogo, quelle sull’uso di dati ottenuti e trattati direttamente dalle autorità pubbliche nel corso di precedenti indagini penali. Anche su questo punto, la cui disciplina rientra nell’ambito di applicazione del diritto nazionale e della direttiva 2016/680, il giudice del rinvio non solleva alcun dubbio.
48. In sintesi, le considerazioni nel merito che seguono dovranno tralasciare l’interpretazione della direttiva 2016/680 (21). Esse si limiteranno, per quanto riguarda la direttiva 2002/58, all’utilizzo dei dati personali ottenuti ai sensi della stessa mediante operazioni di trattamento di cui si deve presupporre la legittimità iniziale, dal momento che quest’ultima non viene contestata nel procedimento principale.
B. Nel merito
1. Sintesi della giurisprudenza della Corte di giustizia sull’applicazione della direttiva 2002/58
49. Dall’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58 si deduce che gli Stati membri possono adottare una misura che deroga al principio della riservatezza sancito dall’articolo 5, paragrafo 1, della stessa direttiva qualora essa sia «necessaria, opportuna e proporzionata all’interno di una società democratica», e risulti «strettamente» proporzionata allo scopo perseguito (22).
50. In particolare, la possibilità per gli Stati membri di giustificare una limitazione dei diritti e degli obblighi previsti agli articoli 5, 6 e 9 della direttiva 2002/58 deve essere valutata alla luce della gravità dell’ingerenza che una restrizione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (23).
51. «Per soddisfare il requisito di proporzionalità, una normativa deve prevedere norme chiare e precise che disciplinino la portata e l’applicazione della misura considerata e fissino un minimo di requisiti, di modo che le persone i cui dati personali sono oggetto di attenzione dispongano di garanzie sufficienti che consentano di proteggere efficacemente tali dati contro i rischi di abuso. Tale normativa deve essere giuridicamente vincolante nell’ambito dell’ordinamento nazionale e, in particolare, indicare in quali circostanze e a quali condizioni una misura che prevede il trattamento di siffatti dati possa essere adottata (…)» (24).
52. Per quanto riguarda i motivi d’interesse generale che possono giustificare una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, secondo il principio di proporzionalità esiste una gerarchia di obiettivi in funzione della loro rispettiva importanza: l’importanza dell’obiettivo perseguito da una simile misura deve essere rapportata alla gravità dell’ingerenza (25).
53. In questa gerarchia di obiettivi, la salvaguardia della sicurezza nazionale, letta alla luce dell’articolo 4, paragrafo 2, TUE, supera quella degli altri obiettivi di cui all’articolo 15, paragrafo 1, della direttiva 2002/58, vale a dire la difesa, la sicurezza pubblica o la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. L’obiettivo di lotta alla criminalità in generale, anche grave, e di salvaguardia della sicurezza pubblica rientra in quest’ultima categoria (26).
54. Da questa classificazione degli obiettivi consegue che:
– quello della salvaguardia della sicurezza nazionale, che è il primo nell’ordine gerarchico indicato dalla Corte di giustizia, consente ingerenze gravi quanto quelle rappresentate da misure legislative che consentono di imporre ai fornitori di servizi di comunicazione elettronica l’obbligo di conservare in maniera generalizzata e indifferenziata i dati relativi al traffico e i dati relativi all’ubicazione (27);
– l’obiettivo immediatamente successivo per importanza, vale a dire la lotta alle forme gravi di criminalità, può giustificare ingerenze quali, ad esempio, la conservazione mirata dei dati relativi al traffico e dei dati relativi all’ubicazione o degli indirizzi IP attribuiti all’origine di una connessione, per un periodo temporalmente limitato allo stretto necessario (28).
2. Applicazione della suddetta giurisprudenza nel presente rinvio pregiudiziale
55. Secondo il giudice del rinvio, i dati controversi sarebbero stati ottenuti mediante gravi ingerenze nei diritti garantiti dagli articoli 7, 8 e 11 della Carta (29).
56. Non si tratta qui, ripeto, di esaminare la legittimità iniziale dell’acquisizione di tali dati, vale a dire, di valutare se l’ingerenza sia stata sufficientemente giustificata in considerazione della gravità del reato contro cui si intendeva agire.
57. Su entrambi i punti (gravità dell’ingerenza e gravità del reato), si è pronunciato il giudice del rinvio in termini che non sono argomentati nel procedimento principale e non sono dunque pertinenti ai fini del rinvio pregiudiziale.
58. Ciò che rileva in questa sede, come espone il giudice del rinvio, è stabilire se quei dati: a) possano essere utilizzati anche nell’ambito di indagini successive finalizzate alla lotta contro la criminalità in generale (ipotizzando che la condotta oggetto della sanzione disciplinare controversa rientri in questa nozione); o b) possano essere utilizzati solo nell’ambito di indagini finalizzate alla lotta contro la criminalità grave.
59. I governi ceco e irlandese hanno esaminato se la condotta in causa dinanzi al giudice del rinvio meriti o meno di essere considerata un «reato grave» e hanno concluso in senso affermativo.
60. A mio avviso, si tratta tuttavia di un punto su cui la Corte di giustizia non deve pronunciarsi, poiché la qualificazione della condotta rientra nella competenza del giudice del rinvio.
61. Il giudice del rinvio afferma che, se l’uso di dati ottenuti mediante una grave ingerenza nei diritti fondamentali può essere giustificato solo nella lotta contro la criminalità grave e nella prevenzione contro gravi minacce alla sicurezza pubblica, non sarebbe possibile utilizzare questi dati nell’ambito di indagini su illeciti disciplinari di natura corruttiva (30), vale a dire, in indagini come quella controversa nella presente causa.
62. Sulla base di tale valutazione, ciò che interessa è stabilire se gli illeciti disciplinari per il cui perseguimento si vorrebbero utilizzare determinati dati personali devono essere qualitativamente equivalenti, in termini di gravità, agli illeciti che hanno giustificato la raccolta di tali dati (31).
63. In udienza, il governo lituano ha riconosciuto che la revoca dalle funzioni era stata imposta a causa di un illecito deontologico del procuratore sanzionato. Valutare se tale illecito (la fuga di notizie su un’indagine preliminare) possa essere assimilata a un reato grave o comporti un rischio grave per la salvaguardia della sicurezza pubblica, dipende da una serie di fattori che solo il giudice del rinvio è in grado di verificare (32).
64. Nel corso dell’udienza sono stati fatti numerosi riferimenti alla lotta alla corruzione, come fenomeno alla base di condotte come quella oggetto del presente procedimento. Il dibattito su questo punto richiederebbe non poche puntualizzazioni, nell’interesse del rigore esigibile in tutte le manifestazioni del potere punitivo dello Stato. Occorrerebbe stabilire, ad esempio, se il termine «corruzione» sia usato in senso generico o si riferisca a un tipo specifico di comportamento nel quale, in astratto, sarebbe forse eccessivo includere la mera violazione del dovere di segretezza se non è accompagnata da un correlativo vantaggio a favore del funzionario (33).
65. In ogni caso, se il giudice del rinvio dovesse ritenere che l’illecito deontologico qui sanzionato sia di minore gravità rispetto al reato la cui indagine ha giustificato la misura adottata ai sensi dell’articolo 15 della direttiva 2002/58, la risposta alla sua questione pregiudiziale si desume dalle seguenti affermazioni della Corte:
– «[l]’accesso a dati relativi al traffico e a dati relativi all’ubicazione conservati da fornitori in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58, che deve avvenire nel pieno rispetto delle condizioni risultanti dalla giurisprudenza che ha interpretato la direttiva 2002/58, può in linea di principio essere giustificato solo dall’obiettivo di interesse generale per il quale tale conservazione è stata imposta a tali fornitori. La situazione è diversa solo se l’importanza dell’obiettivo perseguito dall’accesso supera quella dell’obiettivo che ha giustificato la conservazione» (34);
– «[i]n particolare, (…) l’accesso ai dati di cui trattasi a fini di repressione e sanzione di un reato comune non può essere accordato in alcun caso qualora la loro conservazione sia stata giustificata dall’obiettivo di lotta alla criminalità grave o, a fortiori, di salvaguardia della sicurezza nazionale» (35).
66. Si applica dunque una sorta di principio di equivalenza tra gli obiettivi di interesse pubblico che giustificano l’acquisizione dei dati personali, da un lato, e quelli che legittimano il loro uso successivo, dall’altro. L’unica eccezione al suddetto principio è, come sopra esposto, che l’importanza dell’obiettivo perseguito dall’accesso sia maggiore di quella dell’obiettivo che ha giustificato la conservazione.
67. Dare un’interpretazione diversa significherebbe snaturare il sistema di garanzie della direttiva 2002/58: i diritti da essa tutelati potrebbero essere oggetto di gravi ingerenze al di fuori dei casi previsti dall’articolo 15 e delle condizioni stabilite dalla giurisprudenza della Corte di giustizia.
68. In particolare, sacrificare l’integrità del diritto alla riservatezza delle comunicazioni è legittimamente ammissibile solo alla luce dello specifico obiettivo di interesse generale che si persegue. È per questo motivo che la legittimità dell’accesso ai dati conservati deve essere verificata caso per caso, soppesando la gravità che comporta, da un lato, e l’importanza dell’obiettivo di interesse generale che si intende perseguire con tale ingerenza, dall’altro.
69. Non può invece ammettersi un’interpretazione della direttiva 2002/58 secondo cui l’accesso fornito in occasione di una fattispecie iniziale che lo giustifichi validamente apra la strada a un accesso successivo (in realtà, un riutilizzo dei dati ottenuti) basato su un obiettivo gerarchicamente inferiore a quello della fattispecie originaria.
70. A tal fine, i requisiti per l’accesso iniziale (compresi quelli richiesti dalla Corte di giustizia in merito alla sua autorizzazione) (36) sono trasferibili all’uso successivo degli stessi dati da parte di altre autorità.
C. In subordine: incidenza della direttiva 2016/680
71. Finora ho esposto quello che ritengo essere il modo più appropriato di rispondere alla domanda di pronuncia pregiudiziale nei suoi stessi termini, vale a dire, fornendo al giudice del rinvio l’interpretazione della direttiva 2002/58, così come richiesto.
72. Nell’ipotesi in cui i dati controversi in questa causa fossero stati ottenuti non sulla base dell’articolo 15, paragrafo 2, della direttiva 2002/58, bensì direttamente dai servizi di informazione criminale dello Stato membro, nell’ambito di un procedimento penale, lo scenario sarebbe diverso.
73. In tale ipotesi, entrerebbero in gioco le norme del diritto nazionale, fatta salva l’applicazione della direttiva 2016/680 per quanto riguarda il trattamento dei dati personali ottenuti nel corso di un’indagine penale. Parto dal presupposto che le azioni dei servizi di informazione criminale, in casi come questo, rientrino nell’ambito di applicazione della direttiva 2016/680. Ciò è stato confermato in udienza.
74. Come ho esposto nelle conclusioni presentate nella causa Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati – Istruttoria penale) (37), «l’RGPD e la direttiva 2016/680 configurano un sistema coerente in cui:
– all’RGPD spetta fissare le norme generali per la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali;
– la direttiva 2016/680 detta le norme specifiche per il trattamento di tali dati nell’ambito della cooperazione giudiziaria in materia penale e della cooperazione di polizia» (38).
75. Ho poi ricordato (39) che:
– «La tutela fornita dal regime costituito dalle due normative si basa sui principi di liceità, correttezza, trasparenza e, per quanto qui rileva, sul principio della stretta limitazione della raccolta dei dati e del loro trattamento alle finalità previste dalla legge».
– «In particolare, l’articolo 5, paragrafo 1, lettera b), dell’RGPD prevede che i dati siano “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”. In questi termini si esprime anche, in quanto lex specialis, l’articolo 4, paragrafo 1, lettera b), della direttiva 2016/680».
– «Pertanto, i dati personali non possono essere raccolti né trattati in generale, bensì solo per finalità determinate e alle condizioni di liceità stabilite dal legislatore dell’Unione» (40).
– «Il principio dello stretto collegamento tra la raccolta e il trattamento dei dati, da un lato, e le finalità che le due operazioni devono perseguire, dall’altro, non ha carattere assoluto, in quanto sia l’RGPD che la direttiva 2016/680 consentono una certa flessibilità (...)».
76. Ebbene, secondo l’interpretazione della Corte di giustizia dell’articolo 4, paragrafo 2, della direttiva 2016/680 (41), difficilmente si potrà ammettere che i dati personali raccolti nel corso di un procedimento penale siano utilizzati per la medesima finalità nell’ambito di un ulteriore procedimento disciplinare nei confronti di un pubblico ufficiale.
77. Devo tuttavia ricordare che, ai sensi dell’articolo 4, paragrafo 2, della direttiva 2016/680, «il trattamento da parte dello stesso o di un altro titolare del trattamento per una qualsiasi delle finalità di cui all’articolo 1, paragrafo 1, diversa da quella per cui sono raccolti i dati personali, è consentito nella misura in cui:
– il titolare del trattamento è autorizzato a trattare tali dati personali per detta finalità conformemente al diritto dell’Unione o dello Stato membro; e
– il trattamento è necessario e proporzionato a tale altra finalità conformemente al diritto dell’Unione o dello Stato membro».
78. Partendo da questa premessa, il giudice del rinvio deve valutare se la (diversa) finalità dell’ulteriore trattamento rientri tra quelle previste dall’articolo 1, paragrafo 1, della direttiva 2016/680 o se si trovi al di fuori di queste ultime:
– nel primo caso (riassegnazione ad intra), occorre verificare che siano soddisfatte le due condizioni previste dall’articolo 4, paragrafo 2, della direttiva 2016/680;
– nel secondo caso (riassegnazione ad extra), entra in gioco l’articolo 9, paragrafo 1, della direttiva 2016/680.
1. Uso dei dati ai sensi dell’articolo 4, paragrafo 2, della direttiva 2016/680
79. Per quanto riguarda la prima delle due condizioni richieste dalla disposizione, essa sarà soddisfatta solo se il diritto dello Stato membro assume la forma di una legge (42) che disciplina il momento in cui il titolare è autorizzato a trattare i dati personali. Detta legge deve inoltre contenere norme vincolanti, chiare e precise (43).
80. Tuttavia, si tratta ovviamente di una questione che spetta al giudice del rinvio verificare, dopo aver analizzato l’articolo 177 del CPP, l’articolo 19, paragrafo 3, della LIC e le raccomandazioni della procura generale. Sulla base di questi elementi, dovrà valutare in che misura il diritto nazionale consenta che le informazioni ottenute nel corso di un procedimento penale possano essere utilizzate, a determinate condizioni, nell’ambito di indagini su illeciti disciplinari. In questa verifica possono essere utili le considerazioni della sentenza della Corte EDU Adomaitis (44).
81. Per quanto riguarda la seconda condizione, il giudice del rinvio dovrà valutare se, nel trattamento dei dati di cui trattasi nella presente causa, l’ingerenza fosse necessaria e proporzionata (45).
82. Ancora una volta, le affermazioni della sentenza della Corte EDU Adomaitis possono contribuire a questa valutazione:
– per quanto riguarda la necessità, occorrerà valutare fino a che punto l’insufficienza probatoria di altri dati disponibili nel corso del procedimento disciplinare abbia reso realmente necessario, per il successo dell’indagine in corso, l’utilizzo dei dati controversi (46);
– per quanto riguarda la proporzionalità, occorre valutare la gravità della violazione che ha dato origine al procedimento disciplinare, tenendo presente che, come sostenuto dal governo lituano e come si evince dalla sentenza della Corte EDU Adomaitis (47), l’uso dei dati personali è riservato ai casi di violazioni per le quali è prevista la sanzione disciplinare più grave, vale a dire la revoca dalle funzioni.
2. Uso dei dati ai sensi dell’articolo 9 della direttiva 2016/680
83. Conformemente all’articolo 9, paragrafo 1, della direttiva 2016/680, i dati personali raccolti dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1, possono essere trattati per finalità diverse da quelle di cui all’articolo 1, paragrafo 1, quando tale trattamento è autorizzato dal diritto dell’Unione o dello Stato membro. In tal caso, si applica l’RGPD, a meno che il trattamento non sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione (48).
84. Nel caso in cui il giudice del rinvio ritenga inapplicabile l’articolo 4, paragrafo 2, della direttiva 2016/680, dovrà ricorrere all’RGPD. Conformemente a tale regolamento, occorrerà chiarire se, oltre alle disposizioni di legge, sia soddisfatta almeno una delle condizioni di liceità del trattamento dei dati personali elencate tassativamente all’articolo 6, paragrafo 1 dello stesso.
V. Conclusione
85. Alla luce di quanto precede, propongo alla Corte di giustizia di rispondere allo Lietuvos vyriausiasis administracinis teismas (Corte amministrativa suprema, Lituania) nei seguenti termini:
«1. L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), in combinato disposto con gli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea deve essere interpretato nel senso che:
non consente alle autorità pubbliche competenti di raccogliere i dati conservati dai fornitori di servizi di comunicazione elettronica che possono fornire informazioni dettagliate su un utente e di utilizzarli nell’ambito di indagini per condotte che costituiscono illeciti meno gravi rispetto a quelli oggetto di precedenti indagini che abbiano potuto giustificare l’accesso a detti dati.
2. In subordine:
L’articolo 9, paragrafo 1, della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, in combinato disposto con gli articoli 6 e 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea,
deve essere interpretato nel senso che:
non osta all’utilizzo, in un procedimento amministrativo disciplinare, di dati personali legittimamente e direttamente acquisiti dall’autorità pubblica nell’ambito di un’indagine penale, a condizione che, in conformità a norme chiare, precise e vincolanti del diritto nazionale, tale procedimento e detta indagine siano collegati e nella misura in cui l’utilizzo dei dati abbia una finalità legittima e sia necessario e proporzionato, circostanza che spetta all’autorità giudiziaria verificare».