*Processo – Dati contenuti in un telefono cellulare e limiti all’accesso

CGUE, Grande Camera, sentenza 4 ottobre 2024, C-548/21

PRINCIPI DI DIRITTO

Va rispettato il principio di minimizzazione dei dati nella raccolta di dati personali, nell’ambito di un procedimento penale e la loro conservazione da parte delle autorità di polizia, per le finalità previste dall’articolo 1, paragrafo 1, della direttiva n. 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata in ambito giuridico. settore delle comunicazioni elettroniche (direttiva sulla vita privata e sulle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 (GU L 337, pag. 11).

Qualsiasi limitazione all’esercizio dei diritti fondamentali, ai sensi dell’articolo 52, paragrafo 1 della Carta dei diritti fondamentali dell’Unione Europea, deve essere prevista dalla legge e rispettare il contenuto essenziale degli stessi diritti fondamentali nonché il principio di proporzionalità.

Secondo quest’ultimo principio, le limitazioni possono essere apportate solo se sono necessarie e rispondono effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di tutelare i diritti e le libertà altrui.

Vanno rispettati i limiti dello stretto necessario e i regolamenti contenenti le limitazioni in questione devono prevedere regole chiare e precise che disciplinino la portata e l’applicazione di tali limitazioni.

Qualsiasi limitazione all’esercizio di un diritto fondamentale deve essere “prevista dalla legge”, tale requisito implica che la base giuridica che autorizza una simile limitazione ne definisce la portata in modo sufficientemente chiaro e preciso ai sensi dell’art. 52 della Carta.

Spetta alle autorità nazionali competenti, autorizzate da un giudice o da un ente amministrativo indipendente, accedere ai dati conservati per informare gli interessati, nell’ambito delle procedure nazionali applicabili, dei motivi su cui si basa la presente autorizzazione, purché ciò non sia tale da compromettere le indagini svolte da dette autorità e da mettere a loro disposizione tutte le informazioni di cui all’articolo 13, comma 1, della Direttiva 2016/680.

Tale disposizione impone il rispetto, da parte degli Stati membri, del principio di “minimizzazione dei dati”, che dà espressione al principio di proporzionalità.

PARTE RILEVANTE DELLA DECISIONE

Sentenza 1 La domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 5 e 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata in ambito giuridico. settore delle comunicazioni elettroniche (direttiva sulla vita privata e sulle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 (GU L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»).

La direttiva è letta alla luce degli articoli 7 , 8, 11, 41 e 47 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione Europea (di seguito la “Carta”).

2 La presente domanda è stata presentata nell’ambito di una controversia tra CG e la Bezirkshauptmannschaft Landeck (autorità amministrativa del distretto di Landeck, Austria) riguardante il sequestro del telefono cellulare di CG da parte delle autorità di polizia e i loro tentativi di rapimento, nell’ambito di un’indagine su traffico di droga, per sbloccare questo telefono per accedere ai dati in esso contenuti.

Il quadro normativo Il diritto dell’Unione Direttiva 2002/58 3 L’articolo 1 della direttiva 2002/58, intitolato “Portata e obiettivo”, prevede: “ 1. La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per garantire la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica nella Comunità. […]

3. La presente direttiva non si applica alle attività che non rientrano nell’ambito di applicazione del trattato [TFUE], come quelle di cui ai titoli V e VI del trattato [UE], e, in ogni caso, alle attività riguardanti la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato quando le attività sono connesse alla sicurezza dello Stato) o le attività dello Stato in materia di diritto penale”.

4 L’articolo 3 della direttiva, intitolato “Servizi interessati”, recita: “La presente direttiva si applica al trattamento dei dati personali in relazione alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità, comprese le reti pubbliche di comunicazione che supportano dispositivi di raccolta e identificazione dei dati”.

5 L’articolo 5 della direttiva, intitolato “Riservatezza delle comunicazioni”, stabilisce al paragrafo 1 che “Gli Stati membri garantiscono, mediante la legislazione nazionale, la riservatezza delle comunicazioni effettuate mediante una rete pubblica di comunicazioni e servizi di comunicazione elettronica accessibili al pubblico, nonché la riservatezza dei relativi dati sul traffico.

In particolare, vietano a qualsiasi persona diversa dagli utenti di ascoltare, intercettare, memorizzare le comunicazioni e i relativi dati sul traffico, o sottoporli a qualsiasi altro mezzo di intercettazione o sorveglianza, senza il consenso degli utenti interessati, salvo che tale persona sia legalmente autorizzata a farlo. pertanto, ai sensi dell’articolo 15, comma 1, questo comma non impedisce la conservazione tecnica necessaria per l’invio di una comunicazione, fermo restando il principio di riservatezza. »

6 L’articolo 15 della stessa direttiva, intitolato «Applicazione di alcune disposizioni della direttiva 95/46/CE», così recita, al paragrafo 1: «Gli Stati membri possono adottare misure legislative intese a limitare la portata dei diritti e degli obblighi previsti dagli Articoli 5 e 6, articolo 8, paragrafi 1, 2, 3 e 4, e Articolo 9 della presente direttiva, qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per salvaguardare la sicurezza nazionale.

Si intende per sicurezza nazionale: la sicurezza dello Stato, la difesa, la sicurezza pubblica, la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati o dell’uso non autorizzato del sistema di comunicazione elettronica, di cui all’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio l’individuazione e il perseguimento dei reati o dell’uso non autorizzato del sistema di comunicazione elettronica, come previsto dall’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31)]. 31)].

A tal fine, gli Stati membri possono, tra l’altro, adottare misure legislative che prevedano la conservazione dei dati per un periodo di tempo limitato, qualora ciò sia giustificato da uno dei motivi di cui al presente paragrafo.

Tutte le misure di cui al presente paragrafo sono adottate nel rispetto dei principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE].” Direttiva (UE) 2016/680 7 Considerando 2, 4, 7, 10, 11, 15, 26, 37, 44, 46 e 104 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati ed esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119, pag. 1) si legge come segue:

(2) I principi e le norme applicabili alla protezione delle persone fisiche in relazione al trattamento dei dati personali che le riguardano devono rispettare, indipendentemente dalla loro nazionalità o residenza, i loro diritti e libertà fondamentali, in particolare il diritto alla protezione dei dati personali.

La presente direttiva intende contribuire alla creazione di uno spazio di libertà, sicurezza e giustizia.

(4) È opportuno agevolare la libera circolazione dei dati personali tra le autorità competenti ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali, compresa la protezione e la prevenzione delle minacce alla sicurezza pubblica all’interno dell’Unione [europea], nonché il trasferimento di tali dati a paesi terzi e a organizzazioni internazionali, garantendo nel contempo un elevato livello di protezione dei dati personali.

Questi sviluppi richiedono un quadro forte e più coerente per la protezione dei dati personali nell’UE, con un’applicazione rigorosa delle norme.

(7) È fondamentale garantire un livello elevato e omogeneo di protezione dei dati personali delle persone fisiche e facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri, al fine di assicurare l’efficacia della cooperazione giudiziaria in materia penale e della cooperazione di polizia.

A tal fine, il livello di protezione dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione, delle indagini, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, compresa la protezione contro e la prevenzione di minacce alla sicurezza pubblica, dovrebbe essere equivalente in tutti gli Stati membri.

Un’efficace protezione dei dati personali in tutta l’Unione richiede non solo il rafforzamento dei diritti degli interessati e degli obblighi di coloro che trattano i dati personali, ma anche il rafforzamento di poteri equivalenti per monitorare e controllare il rispetto delle norme sulla protezione dei dati.

[…] (10) Nella dichiarazione n. 21 sulla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della Conferenza intergovernativa che ha adottato il trattato di Lisbona, la Conferenza ha riconosciuto che potrebbero rivelarsi necessarie norme specifiche sulla protezione dei dati personali e sulla libera circolazione dei dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, basate sull’articolo 16 [TFUE], a causa della natura specifica di tali settori.

(11) Questi settori devono pertanto essere disciplinati da una direttiva che stabilisca norme specifiche sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la protezione contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività.

Le autorità competenti in questione possono includere non solo le autorità pubbliche come le autorità giudiziarie, la polizia o altre autorità incaricate dell’applicazione della legge, ma anche qualsiasi altro organismo o entità a cui la legge di uno Stato membro affida l’esercizio dei poteri pubblici e l’esercizio delle prerogative pubbliche ai fini della presente direttiva.

Qualora tale organismo o entità tratti dati personali per finalità diverse da quelle previste dalla presente direttiva, si applica il regolamento (UE) 2016/679 [del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119, pag. 1)].

Di conseguenza, [il regolamento 2016/679] si applica quando un’organizzazione o un’entità raccoglie dati personali per altre finalità e li tratta ulteriormente per adempiere a un obbligo giuridico a cui è soggetta. (15) Al fine di garantire lo stesso livello di protezione delle persone fisiche mediante diritti azionabili in tutta l’Unione e di evitare divergenze che ostacolino lo scambio di dati personali tra autorità competenti, la presente direttiva dovrebbe prevedere norme armonizzate per la protezione e la libera circolazione dei dati personali.

[…] Il ravvicinamento delle legislazioni degli Stati membri non dovrebbe portare a un indebolimento della protezione dei dati personali garantita da tali legislazioni, ma dovrebbe, al contrario, mirare a garantire un livello elevato di protezione in tutta l’Unione.

Agli Stati membri non dovrebbe essere impedito di fornire garanzie più ampie di quelle previste dalla presente direttiva per la protezione dei diritti e delle libertà degli interessati in relazione al trattamento dei dati personali da parte delle autorità competenti.

(26) […] I dati personali devono essere adeguati e pertinenti rispetto alle finalità per cui sono trattati. In particolare, occorre garantire che i dati personali raccolti non siano eccessivi e non siano conservati più a lungo di quanto sia necessario per le finalità per cui sono trattati. I dati personali devono essere trattati solo se lo scopo del trattamento non può essere ragionevolmente raggiunto con altri mezzi.

(37) I dati personali che per loro natura sono particolarmente sensibili dal punto di vista delle libertà e dei diritti delle persone non devono essere trattati più a lungo di quanto sia necessario per le finalità per cui sono trattati.

Alcuni dati personali meritano una protezione specifica, poiché il contesto in cui sono trattati potrebbe comportare rischi significativi per tali libertà e diritti.

Tali dati personali dovrebbero includere i dati personali che rivelano l’origine razziale o etnica, fermo restando che l’uso del termine “origine razziale” nella presente direttiva non implica che l’Unione aderisca a teorie che tendono a stabilire l’esistenza di razze umane distinte.

Tali dati personali non dovrebbero essere trattati a meno che il trattamento non sia accompagnato da adeguate garanzie per i diritti e le libertà dell’interessato stabilite dalla legge e sia consentito in circostanze permesse dalla legge; qualora non sia già consentito da tale legge, sia necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona; oppure riguardi dati che sono manifestamente resi pubblici dall’interessato.

Le garanzie adeguate per i diritti e le libertà dell’interessato potrebbero includere la possibilità di raccogliere tali dati solo in relazione ad altri dati relativi alla persona fisica interessata, la possibilità di proteggere adeguatamente i dati raccolti, norme più severe per l’accesso ai dati da parte del personale dell’autorità competente e il divieto di trasmissione di tali dati.

Il trattamento di tali dati dovrebbe essere consentito dalla legge anche nel caso in cui l’interessato abbia espressamente dato il proprio consenso al trattamento che è particolarmente invasivo per lui.

Tuttavia, il consenso dell’interessato non dovrebbe di per sé costituire una base giuridica per il trattamento di tali dati personali sensibili da parte delle autorità competenti. […]

(44) Gli Stati membri dovrebbero poter adottare misure legislative per ritardare o limitare le informazioni da fornire agli interessati o per non fornire loro tali informazioni, o per limitare, in tutto o in parte, l’accesso ai dati personali che li riguardano, qualora tale misura costituisca una misura necessaria e proporzionata in una società democratica, tenendo in debita considerazione i diritti fondamentali e gli interessi legittimi della persona fisica interessata.

Ciò per evitare di ostacolare indagini, inchieste o procedimenti ufficiali o giudiziari, per evitare di pregiudicare la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, per salvaguardare la sicurezza pubblica o la sicurezza nazionale, o per proteggere i diritti e le libertà altrui.

Il responsabile del trattamento dovrebbe valutare, sulla base di un esame concreto e individuale di ciascun caso, se vi siano motivi per limitare parzialmente o completamente il diritto di accesso. […]

(46) Qualsiasi limitazione dei diritti dell’interessato deve essere conforme alla Carta e alla [Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950], come interpretate rispettivamente dalla Corte di giustizia [dell’Unione europea] e dalla Corte europea dei diritti dell’uomo nella loro giurisprudenza, e in particolare rispettare il contenuto essenziale di tali diritti e libertà.

(104) La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta, come sanciti dal [TFUE], in particolare il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali e il diritto a un ricorso effettivo e a un giudice imparziale.

Le limitazioni a tali diritti sono conformi all’articolo 52, paragrafo 1, della Carta in quanto necessarie per conseguire obiettivi di interesse generale riconosciuti dall’Unione o per tutelare i diritti e le libertà altrui”.

8 L’articolo 1, paragrafi 1 e 2, della direttiva, intitolato “Oggetto e obiettivi”, recita: “1. La presente direttiva stabilisce norme sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, compresa la protezione contro l’intercettazione o la divulgazione illecita di tali dati.

2. In conformità alla presente direttiva, gli Stati membri: (a) tutelano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali; e (b) assicurano che lo scambio di dati personali da parte delle autorità competenti all’interno dell’Unione, quando tale scambio è richiesto dal diritto dell’Unione o dal diritto di uno Stato membro, non sia né limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.

9 L’articolo 2 della direttiva, intitolato “Ambito di applicazione”, prevede, ai paragrafi 1 e 3: “1. La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1 […] 3. La presente direttiva non si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1 […]”.

La presente direttiva non si applica al trattamento dei dati personali effettuato: (a) nell’ambito di un’attività che non rientra nel campo di applicazione del diritto dell’Unione; […]” 10 Ai sensi dell’articolo 3 della stessa direttiva, intitolato ‘Definizioni’:

Ai fini della presente direttiva si intende per: …’: 1. “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (in seguito denominata “interessato”); si considera “persona fisica identificabile” quella che può essere identificata, direttamente o indirettamente, in particolare mediante  riferimento a un identificativo, quale un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, o a uno o più fattori specifici della sua identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale;

2. “trattamento”: qualsiasi operazione o insieme di operazioni compiute su dati personali o insiemi di dati personali, anche non automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, ecc.

“Trattamento” è qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati su dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione; […]

7. ‘Trattamento’: il trattamento di dati personali che non sono stati raccolti, ma sono stati elaborati e trattati in un modo o nell’altro. ..]
8. Per “autorità competente” si intende : (a) qualsiasi autorità pubblica competente per la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, compresa la protezione contro e la prevenzione di minacce alla sicurezza pubblica; o (b) qualsiasi altro organismo o entità cui la legislazione di uno Stato membro affida l’esercizio di poteri pubblici e di prerogative di natura pubblica ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento di reati o dell’esecuzione di sanzioni penali, compresa la protezione contro minacce alla sicurezza pubblica e la prevenzione di tali minacce; […]”

11 L’articolo 4 della Direttiva 2016/680, intitolato ‘Principi relativi al trattamento dei dati personali’, recita, al paragrafo 1: ‘Gli Stati membri dispongono che i dati personali siano: a) trattati in modo leale e lecito; b) raccolti per finalità determinate, esplicite e legittime, e trattati in modo non incompatibile con tali finalità; c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati; […]’

12 L’articolo 6 di tale Direttiva, intitolato ‘Distinzione tra diverse categorie di interessati’, recita: ”Gli Stati membri dispongono che il titolare del trattamento stabilisca, ove necessario e nella misura del possibile, le categorie di interessati a cui sono destinati i dati. …”

L’articolo 6 della presente direttiva, intitolato ‘Distinzione tra diverse categorie di interessati’, recita: ‘Gli Stati membri dispongono che il responsabile del trattamento operi, se del caso e per quanto possibile, una chiara distinzione tra i dati personali e le categorie di interessati’.

Vi sono diverse categorie di soggetti interessati, quali:

1. a) persone nei confronti delle quali vi sono seri motivi di ritenere che abbiano commesso o stiano per commettere un reato;
2. b) persone condannate per un reato;
3. c) vittime di un reato o persone nei confronti delle quali determinati fatti inducono a ritenere che potrebbero essere vittime di un reato; e

(d) terzi coinvolti in un reato, come persone che potrebbero essere chiamate a testimoniare in indagini relative a reati o successivi procedimenti penali, persone che potrebbero fornire informazioni su reati o contatti o associati di uno dei reati soggetti di cui ai punti a) e b). »

13 L’articolo 10 di tale direttiva, rubricato «Trattamento relativo a categorie particolari di dati personali», è così formulato: «Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni, le convinzioni politiche, le convinzioni religiose o filosofiche, o le convinzioni sindacali l’appartenenza, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica è consentito solo ove assolutamente necessario, fatte salve garanzie adeguate per i diritti e le libertà dell’interessato.

Tale trattamento è consentito, inoltre, solo:

(a) ove consentito dal diritto dell’Unione o dal diritto di uno Stato membro;

1. b) per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica; oppure

(c) quando il trattamento riguarda dati resi manifestamente pubblici dall’interessato. »

14 L’articolo 13 della Direttiva 2016/680, rubricato “Informazioni da mettere a disposizione o da fornire all’interessato”, prevede: “1 Gli Stati membri dispongono che il titolare del trattamento metta a disposizione dell’interessato almeno il le seguenti informazioni:

1. a) l’identità e i dati di contatto del titolare del trattamento;
2. b) ove applicabile, gli estremi di contatto del responsabile della protezione dei dati;
3. c) le finalità del trattamento cui sono destinati i dati personali;
4. d) il diritto di proporre reclamo a un’autorità di controllo e gli estremi di contatto di tale autorità;
5. e) l’esistenza del diritto di chiedere al titolare del trattamento l’accesso ai dati personali, la loro rettifica o cancellazione, e la limitazione del trattamento dei dati personali relativi all’interessato.
6. Oltre alle informazioni di cui al paragrafo 1, gli Stati membri prevedono, con legge, che il titolare del trattamento fornisca all’interessato, in casi particolari, le seguenti ulteriori informazioni, al fine di consentirgli di esercitare i propri diritti:
7. a) la base giuridica del trattamento,
8. b) il periodo di conservazione dei dati personali oppure, quando non è possibile, i criteri utilizzati per determinare tale periodo;
9. c) ove applicabile, le categorie di destinatari dei dati personali, anche in paesi terzi o nell’ambito di organizzazioni internazionali;
10. d) se necessario, ulteriori informazioni, in particolare quando i dati personali sono raccolti all’insaputa dell’interessato.
11. Gli Stati membri possono adottare misure legislative volte a ritardare o limitare la fornitura di informazioni all’interessato a norma del paragrafo 2, o a non fornire tali informazioni, ove e finché una misura di tale natura costituisca una misura necessaria e proporzionata in una società democratica, tenendo debitamente conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata a:
12. a) evitare di ostacolare indagini, ricerche o procedimenti ufficiali o giudiziari;

(b) evitare di pregiudicare la prevenzione, l’accertamento, l’indagine o il perseguimento di reati o l’esecuzione di sanzioni penali;

1. c) tutelare la pubblica incolumità;
2. d) proteggere la sicurezza nazionale;
3. e) tutelare i diritti e le libertà altrui. […]”

15 L’articolo 54 di tale direttiva, intitolato “Diritto a un ricorso giurisdizionale effettivo contro il titolare del trattamento o il responsabile del trattamento”, recita: “Gli Stati membri prevedono che, fatto salvo ogni ricorso amministrativo o extragiudiziale a disposizione di loro, in particolare il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 52, l’interessato ha diritto a un ricorso giurisdizionale effettivo qualora ritenga che i suoi diritti previsti dalle disposizioni adottate ai sensi della presente direttiva sono stati violati dal trattamento dei loro dati di carattere personale effettuati in violazione delle predette disposizioni. »

Diritto austriaco 16 L’articolo 27, comma 1, del Suchtmittelgesetz (legge sugli stupefacenti), del 5 settembre 1997 (BGBl. I, 112/1997), nella versione applicabile alla controversia principale, prevede: «Chiunque, illegalmente

1. Acquisisce, possiede, produce, trasporta, importa, esporta o offre, cede o procura stupefacenti ad un’altra persona, […] è responsabile con la reclusione fino a un anno o con la multa fino a 360 giorni di multa. […] »

17 Articolo 17 dello Strafgesetzbuch (codice penale), del 1° gennaio 1975 (BGBl., 60/1974), nella versione applicabile alla controversia principale (di seguito “StGB”), afferma: “(1) I delitti sono atti dolosi punibili con l’ergastolo o con la reclusione superiore a tre anni.

(2) Tutti gli altri reati sono reati minori. »

18 L’articolo 18 dello Strafprozessordnung (codice di procedura penale), del 30 dicembre 1975 (BGBl., 631/1975), nella versione applicabile al procedimento principale (in prosieguo: lo «StPO»), così dispone:

«1) L’autorità giudiziaria la polizia è responsabile delle missioni al servizio dell’amministrazione della giustizia penale (articolo 10, comma 1, punto 6, della Bundes-Verfassungsgesetz [(Legge costituzionale federale)]).

(2) Le indagini della polizia giudiziaria competono alle autorità di sicurezza, la cui organizzazione e competenza territoriale sono regolate dalle disposizioni della Sicherheitspolizeigesetz [(legge sulla polizia di sicurezza)] relativa all’organizzazione dell’amministrazione di pubblica sicurezza.

(3) Gli organi del servizio di pubblica sicurezza (articolo 5, secondo comma, della Sicherheitspolizeigesetz [(legge sulla polizia di sicurezza)]) forniscono il servizio esecutivo della polizia giudiziaria, che consiste nell’investigare e perseguire i reati penali ai sensi delle disposizioni di questa legge. […]”

19 L’articolo 99, comma 1, della StPO prevede: “La polizia giudiziaria indaga d’ufficio o sulla base di una denuncia; è tenuta a osservare gli ordini del pubblico ministero e del giudice (articolo 105, comma 2). »

La controversia principale e le questioni pregiudiziali 20 Il 23 febbraio 2021, nel corso di un controllo antidroga, gli agenti dell’ufficio doganale di Innsbruck (Austria) hanno sequestrato un pacco indirizzato a CG, contenente 85 grammi di cannabis. Questo pacco è stato inviato per un esame alla stazione centrale di polizia di St. Anton am Arlberg (Austria).

21 Il 6 marzo 2021, due agenti di polizia di questa stazione di polizia hanno effettuato una perquisizione presso l’abitazione di CG, durante la quale lo hanno interrogato sul mittente del suddetto pacco e hanno perquisito il suo alloggio. Nel corso di tale perquisizione gli agenti di polizia hanno chiesto l’accesso ai dati di connessione del cellulare di CG.

A seguito del rifiuto di quest’ultimo, gli agenti di Polizia hanno sequestrato il presente cellulare, contenente una scheda SIM ed una scheda SD, e hanno fornito a CG il verbale di sequestro.

22 Successivamente, tale telefono cellulare è stato consegnato, affinché lo sbloccasse, ad un esperto della stazione di polizia distrettuale di Landeck (Austria). Poiché quest’ultimo non è riuscito a sbloccare il cellulare in questione, lo stesso è stato inviato al Bundeskriminalamt (Ufficio federale di polizia giudiziaria) di Vienna (Austria), dove è stato effettuato un nuovo tentativo di sblocco.

23 Il sequestro del cellulare dell’artCG nonché i successivi tentativi di sfruttamento di questo telefono sono stati effettuati su iniziativa degli agenti di polizia interessati, senza che questi fossero stati autorizzati dal pubblico ministero o dal giudice.

24 Il 31 marzo 2021, CG ha proposto ricorso dinanzi al Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo, Austria), che è il giudice del rinvio, chiedendo di contestare la legittimità del sequestro del suo telefono cellulare.

Quest’ultimo è stato restituito a CG il 20 aprile 2021. 25 CG non è stato immediatamente informato dei tentativi di sfruttamento del suo cellulare. Ne è venuto a conoscenza solo quando l’ufficiale di polizia che ha sequestrato tale telefono cellulare e successivamente ha provveduto allo sfruttamento dei dati digitali è stato interrogato come testimone nel procedimento pendente dinanzi al giudice del rinvio.

Anche questi tentativi non sono stati documentati nel fascicolo della polizia giudiziaria.

26 Alla luce di tali elementi, il giudice del rinvio chiede, in primo luogo, se, alla luce dei punti da 52 a 61 della sentenza del 2 ottobre 2018, Ministerio Fiscal (C 207/16, EU:C:2018 :788), e la giurisprudenza citata in questi punti, l’articolo 15, paragrafo 1, della direttiva 2002/58 gli articoli 7 e 8 della Carta, devono essere interpretati nel senso che l’accesso completo e incontrollato a tutti i dati contenuti in un telefono cellulare sia una grave ingerenza.

Vale a dire se i dati di connessione, il contenuto delle comunicazioni, le fotografie e le cronologie di navigazione, che possono fornire un quadro molto dettagliato e integro -una visione approfondita di quasi tutti gli ambiti della vita privata dell’interessato, costituisce un’ingerenza talmente grave nei diritti fondamentali sanciti da tali articoli 7 e 8 che, in termini di prevenzione, ricerca, accertamento e perseguimento dei reati penali, tale accesso deve essere limitato alla lotta contro i reati gravi.

27 A tal riguardo, detto giudice precisa che il reato imputato a CG nell’ambito del procedimento di indagine penale di cui al procedimento principale è previsto dall’articolo 27, comma 1, della legge sugli stupefacenti ed è punibile con la reclusione massima. termine di un anno e costituisce, tenuto conto della qualificazione dell’articolo 17 StGB, solo un reato.

28 In secondo luogo, dopo aver richiamato gli insegnamenti derivanti dai punti da 48 a 54 della sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C 746/18, EU:C:2021 :152), nonché come giurisprudenza citata su questi punti, tale giudice si chiede se l’art. 15, n. 1, della direttiva 2002/58 osta ad una normativa nazionale come quella derivante dal combinato disposto degli articoli 18 e 99, paragrafo 1, StPO.

Secondo tale normativa, nel corso di un procedimento di indagine penale, la polizia giudiziaria può ottenere, senza l’autorizzazione di un giudice o di un organo indipendente entità amministrativa, accesso completo e incontrollato a tutti i dati digitali contenuti in un telefono cellulare.

29 In terzo ed ultimo luogo, dopo aver sottolineato che l’articolo 18 dello StPO, letto in combinato disposto con l’articolo 99, paragrafo 1, dello StPO, non prevede alcun obbligo, da parte delle autorità di polizia, di documentare le misure di sfruttamento digitale di un telefono cellulare, o di informare il suo proprietario dell’esistenza di tali misure, affinché quest’ultimo possa, se del caso, opporsi ad esse mediante ricorso legale preventivo o a posteriori, il giudice del rinvio mette in dubbio la compatibilità di tali disposizioni della StPO con il principio della parità delle armi e con il diritto ad un ricorso giurisdizionale effettivo, ai sensi dell’articolo 47 della Carta.

30 Ciò premesso, il Landesverwaltungsgericht Tirol (Tribunale amministrativo regionale del Tirolo) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Articolo 15, paragrafo 1, [della direttiva 2002/58, leggi , se del caso, in combinato disposto con l’articolo 5], deve, alla luce degli articoli 7 e 8 della [Charter], lo sblocco è stato effettuato.

23 Il sequestro del cellulare […] l’accesso da parte delle autorità pubbliche ai dati memorizzati nei telefoni cellulari costituisce un’ingerenza nei diritti fondamentali garantiti in questi articoli della Carta di tale gravità che, in materia di prevenzione, ricerca, accertamento e perseguimento dei reati, tale accesso deve limitarsi alla lotta contro la criminalità grave?

(2) Se l’articolo 15, paragrafo 1, della [direttiva 2002/58], alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della [Carta], dovesse essere inteso nel senso che si oppone alla regolamentazione nazionale, come il combinato disposto degli articoli 18 e 99, paragrafo 1 [della StPO], in virtù di cui le autorità nazionali responsabili della sicurezza ottengono di propria iniziativa, nel corso di un procedimento di indagine penale, senza l’autorizzazione di un tribunale o di un’autorità amministrativa indipendente, accesso pieno e incontrollato a tutti i dati digitali memorizzati in un telefono cellulare?

3) Qualora l’articolo 47 della [Carta] dovesse essere inteso, letto, eventualmente, in combinato disposto con gli articoli 41 e 52 della stessa Carta, sotto il profilo della parità delle armi e del diritto ad un ricorso giurisdizionale effettivo, in quanto si oppone un regolamento di uno Stato membro che, come il combinato disposto degli articoli 18 e 99, paragrafo 1 [stPO], consente lo sfruttamento di dati digitali da un telefono cellulare senza che l’interessato sia stato informato preventivamente o, quanto meno, dopo l’adozione della misura in questione? »

Il procedimento dinanzi alla Corte

31 In data 20 ottobre 2021 la Corte ha inviato una richiesta di informazioni al giudice del rinvio con la quale invitava quest’ultimo a indicargli se la direttiva 2016/680 potesse rilevare nell’ambito della causa di cui alla causa principale e, eventualmente, illustrargli le disposizioni del diritto nazionale che traspongono tale direttiva nel diritto austriaco che potrebbero applicarsi al caso di specie.

32 L’11 novembre 2021 il giudice del rinvio ha risposto a tale richiesta, indicando in particolare che i requisiti di tale direttiva dovevano essere rispettati nel caso di specie. Tale riscontro è stato notificato, con l’ordinanza di rinvio, agli interessati di cui all’articolo 23 dello Statuto della Corte di Giustizia dell’Unione Europea.

33 L’8 novembre 2022, ai sensi dell’articolo 61 del regolamento di procedura della Corte, la Corte ha invitato gli intervenuti nella fase orale del procedimento a concentrare le loro memorie sulla direttiva 2016/680 e a rispondere, in udienza, alle conclusioni alcune questioni relative a questa direttiva.

Sulla richiesta di riapertura della fase orale del procedimento 34, a seguito della presentazione delle conclusioni dell’avvocato generale, con atto depositato presso la cancelleria della Corte il 17 maggio 2023, il governo austriaco ha presentato una domanda di rettifica di tali conclusioni in quanto presentano in modo impreciso la posizione da lui espressa nelle sue osservazioni scritte e orali e contengono errori di fatto.

35 Infatti, secondo detto governo, da un lato, il punto 50 delle conclusioni dell’avvocato generale, letto in combinato disposto con la nota 14 delle stesse, lascia intendere che, secondo detto governo, un tentativo di accedere ai dati contenuti in un telefono cellulare, quali quello di cui alla causa principale non può costituire un trattamento di dati personali, ai sensi dell’articolo 3, punto 2, della direttiva 2016/680.

Lo stesso governo ha però sostenuto il contrario, nel corso dell’udienza davanti alla Corte, condividendo esplicitamente la posizione espressa dalla Commissione europea nelle sue osservazioni scritte, secondo la quale emergerebbe da un’interpretazione sistemica di tale direttiva, letta alla luce dei suoi obiettivi, che disciplina non solo i trattamenti stessi, ma anche le operazioni che si svolgono a monte di essi, come un tentativo di trattamento, senza che l’applicazione di detta direttiva sia subordinata alla condizione che tale tentativo di il trattamento ha avuto successo.

36 D’altra parte, il governo austriaco sostiene che il paragrafo 27 delle conclusioni dell’avvocato generale si basa su fatti errati, in quanto lascia intendere che i tentativi di trattamento menzionati al paragrafo 22 della presente sentenza non erano documentati nel fascicolo della polizia giudiziaria.

Al riguardo, questo governo precisa che, contrariamente a quanto emerge da questo punto 27 nonché dalla domanda di pronuncia pregiudiziale, esso ha affermato, nelle sue osservazioni scritte, che tali tentativi di trattamento erano stati registrati in due verbali redatti dalla Corte agenti di polizia incaricati dell’indagine nel caso principale e che tali rapporti erano stati successivamente inclusi nel fascicolo del pubblico ministero.

37 Con decisione del presidente della Corte del 23 maggio 2023, la richiesta del governo austriaco diretta ad ottenere la rettifica delle conclusioni dell’avvocato generale è stata riqualificata come richiesta di riapertura della fase orale del procedimento, in ai sensi dell’articolo 83 del regolamento di procedura.

38 Al riguardo, occorre ricordare, da un lato, che lo statuto della Corte di giustizia dell’Unione europea e il suo regolamento di procedura non prevedono la possibilità, per gli interessati di cui all’articolo 23 della stessa, di presentare osservazioni in risposta alle conclusioni presentate dall’avvocato generale.

Inoltre, ai sensi dell’articolo 252, secondo comma, TFUE, l’avvocato generale presenta pubblicamente, in piena imparzialità e indipendenza, conclusioni motivate sui casi che, conformemente a detta legge, richiedono il suo intervento.

La Corte non è vincolata né da queste conclusioni né dal ragionamento al termine del quale vi giunge l’avvocato generale.

Di conseguenza, il disaccordo di un interessato con le conclusioni dell’avvocato generale, qualunque siano le questioni che quest’ultimo esamina nelle sue conclusioni, non può costituire di per sé un motivo che giustifichi la riapertura della fase orale (sentenza del 14 marzo 2024, f6 Cigarettenfabrik, C 336/22, EU:C:2024:226, punto 25 e giurisprudenza citata).

39 Certamente, ai sensi dell’articolo 83 del suo regolamento di procedura, la Corte può, in qualsiasi momento, sentito l’avvocato generale, ordinare la riapertura della fase orale del procedimento, in particolare se ritiene di non essere sufficientemente informata, ovvero quando una parte ha fatto valere, dopo la chiusura di questa fase, un fatto nuovo idoneo ad esercitare un’influenza decisiva sulla decisione della Corte, ovvero quando la causa deve essere decisa sulla base di un argomento che non è stato dibattuto.

40 Tuttavia, nel caso di specie, la Corte ritiene di disporre, al termine della fase scritta del procedimento e dell’udienza svoltasi dinanzi ad essa, tutti gli elementi necessari per statuire sulla presente domanda di pronuncia pregiudiziale.

Inoltre, gli elementi invocati dal governo austriaco a sostegno della sua domanda di riapertura della fase orale del procedimento non costituiscono fatti nuovi idonei ad esercitare un’influenza determinante sulla decisione che esso è chiamato ad emettere nella specie.

41 Per quanto riguarda, più in particolare, gli elementi di fatto rilevati al punto 36 della presente sentenza, occorre ricordare che, nell’ambito di un procedimento pregiudiziale, non spetta alla Corte verificare se i fatti addebitati siano accertati, ma soltanto procedere all’interpretazione delle pertinenti disposizioni del diritto dell’Unione (v., in tal senso, sentenza del 31 gennaio 2023, Puig Gordi e a., C 158/21, EU:C:2023:57, punto 36).

Secondo la giurisprudenza della Corte, infatti, le questioni relative all’interpretazione del diritto dell’Unione vengono poste dal giudice nazionale nell’ambito del quadro normativo e fattuale che esso definisce sotto la sua responsabilità, e sul quale non spetta alla Corte verificare esattezza [v., in tal senso, sentenza del 18 giugno 2024, Bundesrepublik Deutschland (Effetti di una decisione di concessione dello status di rifugiato), C 753/22, EU:C:2024:524, punto 44 e giurisprudenza citata].

42 Stando così le cose, la Corte ritiene, sentito l’avvocato generale, che non vi sia motivo di ordinare la riapertura della fase orale del procedimento.

Sulla ricevibilità della domanda di pronuncia pregiudiziale

43 Numerosi interessati che hanno presentato osservazioni scritte nell’ambito del presente procedimento hanno contestato la ricevibilità della domanda di pronuncia pregiudiziale nel suo insieme o di alcune delle questioni poste dai rimettenti Tribunale .

44 In primo luogo, i governi austriaco, francese e svedese sostengono che la decisione di rinvio non soddisfa i requisiti previsti dall’articolo 94 del regolamento di procedura, in quanto non contiene gli elementi di fatto e di diritto necessari per fornire un’utile indicazione risposta a questa giurisdizione.

45 In secondo luogo, il governo austriaco sostiene, da un lato, che, con la seconda e la terza questione pregiudiziale, il giudice del rinvio desidera, in sostanza, sapere se le disposizioni degli articoli 18 e 99 dello StPO, letti congiuntamente, siano conformi a Diritto dell’Unione. Tuttavia, poiché tali disposizioni non stabiliscono le condizioni alle quali deve avvenire l’utilizzo dei supporti di dati sequestrati, tali questioni non hanno alcun collegamento con l’oggetto della controversia principale.

Egli sostiene invece che, secondo il diritto austriaco, è necessario un ordine del pubblico ministero per sequestrare un telefono cellulare o per tentare di accedere ai dati in esso contenuti.

Questo giudice dovrebbe quindi constatare una violazione del diritto austriaco, tale per cui le questioni poste da tale giudice non sarebbero necessarie per la soluzione della presente controversia e non sarebbe quindi necessario pronunciarsi sulla domanda di pronuncia pregiudiziale.

46 Si deve, in limine, ricordare che, secondo costante giurisprudenza, nell’ambito della cooperazione tra la Corte e i giudici nazionali prevista dall’articolo 267 TFUE, spetta esclusivamente al giudice nazionale, adito della controversia e che deve assumersi la responsabilità della decisione giurisdizionale da adottare, di valutare, tenuto conto delle particolarità del caso, sia la necessità di una pronuncia pregiudiziale per poter emettere la propria sentenza sia la pertinenza delle questioni che pone alla Corte.

Di conseguenza, poiché le questioni sollevate vertono sull’interpretazione del diritto dell’Unione, la Corte è, in linea di principio, tenuta a pronunciarsi (sentenza del 24 luglio 2023, Lin, C 107/23 PPU, EU:C :2023:606, punto 61 e giurisprudenza citata).

47 Ne consegue che le questioni relative al diritto dell’Unione beneficiano di una presunzione di rilevanza. Il rifiuto della Corte di pronunciarsi su una questione pregiudiziale posta da un giudice nazionale è possibile solo se risulta chiaramente che l’interpretazione richiesta del diritto dell’Unione non ha alcun rapporto con la realtà o con l’oggetto della controversia nel procedimento principale, quando il problema è di carattere ipotetico o quando la Corte non dispone degli elementi di fatto e di diritto necessari per rispondere utilmente ai quesiti posti (sentenza del 24 luglio 2023, Lin, C 107/23 PPU, EU:C:2023:606, punto 62 e giurisprudenza citata).

48 Per quanto riguarda, in primo luogo, l’argomento relativo all’inosservanza dei requisiti previsti dall’articolo 94 del regolamento di procedura, si deve rilevare che, secondo costante giurisprudenza, ora riflessa nell’articolo 94, lettere a) e b), l’esigenza di pervenire ad un’interpretazione del diritto dell’Unione utile al giudice nazionale impone che quest’ultimo definisca l’ambito fattuale e normativo nel quale si inseriscono le questioni da esso poste o che esso, abbia per lo meno, spiega i presupposti fattuali su cui si basano queste domande.

Inoltre, è essenziale, come precisa l’articolo 94, lettera c), che la domanda di pronuncia pregiudiziale contenga l’esposizione delle ragioni che hanno indotto il giudice del rinvio a mettere in dubbio l’interpretazione o la validità di talune disposizioni del diritto dell’Unione, nonché la nesso che esso stabilisce tra tali disposizioni e la normativa nazionale applicabile alla controversia principale (sentenza del 21 dicembre 2023, European Superleague Company, C 333/21, EU:C:2023:1011, punto 59 e giurisprudenza citata).

49 Nel caso di specie, per quanto riguarda il contesto di fatto, il giudice del rinvio ha precisato, nella sua domanda di pronuncia pregiudiziale, che le autorità di polizia austriache, dopo aver sequestrato il telefono cellulare di CG nell’ambito di un’indagine di polizia in materia di traffico di droga, tentato, in due occasioni, di accedere ai dati contenuti in questo telefono, di propria iniziativa, senza avere la previa autorizzazione del pubblico ministero o di un giudice a tale scopo.

Ha inoltre chiarito che CG era venuto a conoscenza dei tentativi di accesso ai dati contenuti nel suo cellulare solo quando aveva ascoltato la testimonianza di un agente di polizia. Infine, precisava che tali tentativi di accesso non erano stati documentati nemmeno nel fascicolo redatto dalla polizia giudiziaria.

50 Per quanto riguarda il contesto normativo, tale giudice ha precisato che le disposizioni nazionali da esso menzionate nell’ordinanza di rinvio consentivano un tentativo di accesso ai dati contenuti in un telefono cellulare a fini di prevenzione, ricerca, accertamento e perseguimento di reati, senza limitare tale possibilità esclusivamente ai fini della lotta contro i reati gravi, senza sottoporre questo tentativo di accesso al controllo preventivo di un giudice o di un ente amministrativo indipendente e senza prevedere che le persone interessate siano informate di detto tentativo, al fine di: in particolare, potersi opporre presentando ricorso giurisdizionale.

51 Inoltre, tale giudice ha precisato, come risulta dai punti 26-29 della presente sentenza, i motivi che lo hanno indotto a sottoporre alla Corte la sua domanda di pronuncia pregiudiziale nonché il nesso che, a suo avviso, esiste tra le disposizioni dell’Unione diritto e della Carta richiamati nella presente domanda nonché quelli del diritto austriaco applicabili, a suo avviso, alla controversia principale.

52 Gli elementi menzionati ai punti da 49 a 51 della presente sentenza consentono quindi di ritenere che la domanda di pronuncia pregiudiziale soddisfa i requisiti stabiliti dall’articolo 94 del regolamento di procedura.

53 In secondo luogo, per quanto riguarda gli argomenti fondati sull’irrilevanza delle disposizioni del diritto austriaco richiamate nella seconda e nella terza questione pregiudiziale e sul fatto che il giudice del rinvio avrebbe dovuto constatare una violazione di tale diritto, occorre ricordare che Non spetta alla Corte pronunciarsi sull’interpretazione delle disposizioni nazionali e giudicare se l’interpretazione o l’applicazione data dal giudice nazionale sia corretta, interpretazione che rientra nella competenza esclusiva di quest’ultimo [sentenza 15 giugno 2023, Getin Noble Bank (Sospensione dell’esecuzione di un contratto di credito), C 287/22, EU:C:2023:491, punto 32 e giurisprudenza citata].

54 Nel caso di specie, dalla domanda di pronuncia pregiudiziale e, in particolare, dalla formulazione delle questioni pregiudiziali risulta che il giudice del rinvio ritiene, da un lato, che tali disposizioni del diritto austriaco siano applicabili ai controversia principale e, dall’altro, che un tentativo di accesso ai dati contenuti in un telefono cellulare, senza previa autorizzazione del pubblico ministero o di un giudice, come quello di cui trattasi nella causa principale, è consentito dal diritto austriaco .

Secondo la giurisprudenza citata al punto precedente della presente sentenza, non spetta alla Corte pronunciarsi su una siffatta interpretazione di tali disposizioni.

55 Ne consegue che le questioni poste dal giudice del rinvio sono ricevibili.

Nel merito 56 Il governo austriaco sostiene, nelle sue osservazioni scritte, che la Corte non è competente a rispondere alla prima e alla seconda questione pregiudiziale, poiché tali questioni vertono sull’interpretazione dell’art. 5 e dell’art. 15, n. ) della direttiva 2002/58, benché sia chiaro che tale direttiva non si applica alla controversia principale.

Nel corso dell’udienza diversi governi hanno sostenuto che una riformulazione delle questioni pregiudiziali con riferimento alla direttiva 2016/680 non era possibile. In particolare, il governo austriaco ha sottolineato che il fatto che quest’ultima direttiva non contenesse disposizioni equivalenti agli articoli 5 e 15, paragrafo 1, della direttiva 2002/58 ostava a tale riformulazione.

Il governo francese, dal canto suo, ha sostenuto che il potere di riformulare le questioni pregiudiziali trova uno dei suoi limiti nel diritto degli Stati membri di presentare osservazioni scritte.

Secondo quest’ultimo governo, infatti, tale diritto verrebbe privato di ogni efficacia qualora il quadro normativo della procedura potesse essere radicalmente modificato in sede di riformulazione delle questioni pregiudiziali da parte della Corte.

57 A tal riguardo, si deve ricordare che la Corte ha dichiarato, basandosi in particolare sull’articolo 1, paragrafi 1 e 3, e sull’articolo 3 della direttiva 2002/58, che, quando gli Stati membri attuano direttamente misure che derogano alla riservatezza dei dati comunicazioni elettroniche, senza imporre obblighi di trattamento ai fornitori di servizi di tali comunicazioni, la protezione degli interessati non rientra nell’ambito di applicazione della direttiva 2002/58, ma nel solo diritto nazionale, fatta salva l’applicazione della direttiva 2016/680 (sentenze del 6 ottobre 2020, Privacy International, C 623/17, EU:C:2020: :790, punto 48, nonché del 6 ottobre 2020, La Quadrature du Net e a., C 511/18, C 512/18 e C 520/18, EU:C:2020:791, punto 103).

58 Tuttavia, è pacifico che la controversia principale riguarda il tentativo di accesso ai dati personali contenuti in un telefono cellulare direttamente da parte delle autorità di polizia, senza che fosse richiesto alcun intervento da parte di un fornitore di servizi di comunicazione elettronica.

59 È quindi evidente che la presente controversia non rientra nell’ambito di applicazione della direttiva 2002/58, menzionata nella prima e nella seconda questione pregiudiziale.

60 Si deve tuttavia ricordare che, secondo costante giurisprudenza, nell’ambito del procedimento di cooperazione tra i giudici nazionali e la Corte istituito dall’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consente di risolvere la controversia che gli è sottoposta.

Tenuto conto di ciò, spetta alla Corte, ove opportuno, riformulare le questioni ad essa sottoposte. Inoltre, la Corte può essere tenuta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nella formulazione delle sue questioni [sentenze del 15 luglio 2021, Ministrstvo za obrambo, C 742/19, EU:C :2021:597, punto 31 e giurisprudenza citata, nonché del 18 giugno 2024, Generalstaatsanwaltschaft Hamm (Richiesta di estradizione di un rifugiato verso la Turchia), C 352/22, EU:C:2024:521, punto 47].

61 Infatti, il fatto che un giudice nazionale abbia formulato, sul piano formale, una questione pregiudiziale richiamando talune disposizioni del diritto dell’Unione non impedisce alla Corte di fornirgli tutti gli elementi interpretativi utili per giudicare la questione caso dinanzi ad esso pendente, indipendentemente dal fatto che ne abbia fatto o meno riferimento nella formulazione delle sue questioni.

Spetta alla Corte, al riguardo, estrarre dall’insieme degli elementi forniti dal giudice nazionale, e in particolare dalla motivazione dell’ordinanza di rinvio, gli elementi di diritto dell’Unione che richiedono un’interpretazione che tenga conto della materia della controversia (sentenza del 22 giugno 2022, Volvo e DAF Trucks, C 267/20, EU:C:2022:494, punto 28 nonché la giurisprudenza ivi citata).

62 Certamente, secondo costante giurisprudenza, le informazioni fornite nell’ordinanza di rinvio devono non solo consentire alla Corte di fornire risposte utili, ma anche dare ai governi degli Stati membri e agli altri soggetti interessati la possibilità di presentare osservazioni ai sensi dell’art. 23 dello Statuto della Corte di giustizia dell’Unione europea (sentenza del 21 dicembre 2023, Royal Antwerp Football Club, C 680/21, EU:C:2023:1010, punto 32 e giurisprudenza citata).

63 Tuttavia, come emerge dai punti da 31 a 33 della presente sentenza, in risposta alla richiesta di informazioni rivolta dalla Corte al giudice del rinvio, quest’ultimo ha indicato che la direttiva 2016/680 era applicabile alla controversia principale. Gli interessati hanno potuto, nelle loro osservazioni scritte, prendere posizione sull’interpretazione di tale direttiva e sulla sua rilevanza nella causa principale.

Inoltre, in vista dell’udienza orale, la Corte ha chiesto ai partecipanti alla fase orale del procedimento di rispondere, nel corso di tale udienza, ad alcune domande relative a tale direttiva.

In particolare, li ha invitati a prendere posizione sulla rilevanza dell’art. 4 di quest’ultima per rispondere alla prima questione pregiudiziale nonché di quella degli artt. 13 e 54 della stessa direttiva per rispondere alla terza questione pregiudiziale.

64 Di conseguenza, il fatto che la prima e la seconda questione pregiudiziale riguardino l’interpretazione degli articoli 5 e 15, paragrafo 1, della direttiva 2002/58 e non della direttiva 2016/680 non osta alla riformulazione delle questioni poste dal giudice del rinvio alla luce delle disposizioni rilevanti, nel caso di specie, di quest’ultima direttiva e, quindi, della competenza della Corte a rispondere a tali questioni.

65 Questa conclusione non è rimessa in discussione dall’argomentazione dell’Irlanda e dei governi francese e norvegese secondo cui un tentativo di accesso ai dati personali non rientra nell’ambito di applicazione della direttiva del 2016/680, poiché questa si applica solo al trattamento effettivamente effettuato.

66 Tali governi sostengono, a questo riguardo, che l’interpretazione delle disposizioni di tale direttiva non sarebbe utile per risolvere la controversia principale, né di quella della Carta, in quanto quest’ultima non è conciliabile si applica solo nel caso degli Stati membri attuare il diritto dell’Unione.

67 Tuttavia, quando non risulta chiaramente che l’interpretazione di un atto del diritto dell’Unione non ha alcun nesso con la realtà o con l’oggetto della controversia principale, come nel caso di specie della direttiva 2016/680, l’eccezione di inapplicabilità di tale atto alla causa principale riguarda la fondatezza delle questioni (v., per analogia, sentenza del 24 luglio 2023, Lin, C 107/23 PPU, EU:C:2023:606, punto 66 e giurisprudenza ivi citata).

68 Occorre quindi, anzitutto, esaminare se un tentativo di accesso, da parte delle autorità di polizia, ai dati contenuti in un telefono cellulare rientri nell’ambito di applicazione materiale di tale direttiva. Sull’applicazione della direttiva 2016/680 a un tentativo di accesso ai dati contenuti in un telefono cellulare

69 L’articolo 2, paragrafo 1, della direttiva 2016/680 ne definisce l’ambito di applicazione materiale. Secondo tale disposizione, la presente direttiva “si applica al trattamento dei dati personali effettuato dalle autorità competenti per le finalità previste dall’articolo 1, paragrafo 1”, vale a dire, in particolare, “la prevenzione e l’accertamento dei reati penali” procedimenti, indagini e azioni penali in materia.

70 L’articolo 3, paragrafo 2, di tale direttiva definisce la nozione di «trattamento» come comprendente «qualsiasi operazione o insieme di operazioni, effettuate o meno mediante processi automatizzati, applicate a dati personali o insiemi di dati personali, quali […] estrazione, consultazione” o anche “diffusione o qualsiasi altra forma di messa a disposizione”.

71 Risulta quindi dal tenore letterale stesso dell’articolo 3, punto 2, della direttiva 2016/680 e in particolare dall’uso delle espressioni “qualsiasi operazione”, “qualsiasi insieme di operazioni” e “qualsiasi altra forma di provvedimento di aggiornamento” che il legislatore dell’Unione ha inteso dare un’ampia portata alla nozione di “trattamento” e, quindi, all’ambito di applicazione materiale di tale direttiva.

Tale interpretazione è corroborata dal carattere non esaustivo, espresso dalla locuzione “quali”, delle operazioni richiamate in tale disposizione [v., per analogia, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali finalità), C 175/20, EU:C:2022:124, punto 35].

72 Tali elementi testuali depongono quindi a favore di un’interpretazione secondo la quale, quando le autorità di polizia sequestrano un telefono e lo manipolano allo scopo di estrarre e consultare i dati personali in esso contenuti, avviano un trattamento, ai sensi dell’articolo 3, punto 2, della Direttiva 2016/680, anche se tali autorità non sono in grado, per motivi tecnici, di accedere a tali dati. 73 Tale interpretazione è confermata dal contesto in cui si inserisce l’articolo 3, paragrafo 2, della direttiva 2016/680.

Infatti, ai sensi dell’articolo 4, paragrafo 1, lettera b), di tale direttiva, gli Stati membri prevedono che i dati personali siano raccolti per scopi determinati, espliciti e legittimi e non siano trattati in modo irragionevole e incompatibile con tali scopi.

Quest’ultima disposizione sancisce il principio di limitazione delle finalità [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C 205/21, EU:C:2023: 49, punto 122].

Tuttavia, l’efficacia di questo principio richiede necessariamente che lo scopo della raccolta sia determinato a partire dalla fase in cui le autorità competenti tentano di accedere ai dati personali poiché tale tentativo, se ha successo, è per sua natura consentire loro, in particolare, di raccogliere, estrarre o consultare immediatamente i dati in questione.

74 Per quanto riguarda gli obiettivi della direttiva 2016/680, essa mira in particolare, come risulta dai considerando 4, 7 e 15, a garantire un livello elevato di protezione dei dati personali delle persone fisiche.

75 Tuttavia, tale obiettivo sarebbe messo in discussione se un tentativo di accesso ai dati personali contenuti in un telefono cellulare non potesse essere qualificato come “trattamento” di tali dati. Infatti, un’interpretazione della direttiva 2016/680 in tal senso esporrebbe i soggetti interessati da un siffatto tentativo di accesso a un rischio significativo che la mancata comprensione dei principi sanciti da tale direttiva non possa più essere evitata.

76 Si deve inoltre rilevare che una siffatta interpretazione è conforme al principio della certezza del diritto il quale, secondo costante giurisprudenza della Corte, esige che l’applicazione delle norme giuridiche sia prevedibile per le parti in causa, in particolare quando potrebbero avere conseguenze sfavorevoli (sentenza del 27 giugno 2024, Gestore dei Servizi Energetici, C 148/23, EU:C:2024:555, punto 42 e giurisprudenza citata).

Infatti, un’interpretazione secondo la quale l’applicabilità della direttiva 2016/680 dipende dal successo del tentativo di accesso ai dati personali contenuti in un telefono cellulare creerebbe un’incertezza incompatibile sia per le autorità nazionali competenti che per le parti in causa. 77

Da quanto precede risulta che un tentativo di accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia ai fini di un’indagine penale, come quello di cui al procedimento principale, come ha ritenuto l’avvocato generale nella sentenza M punto 53 delle sue conclusioni, rientra nell’ambito di applicazione della direttiva 2016/680.

Sulla prima e sulla seconda questione.

78 Con la prima e la seconda questione il giudice del rinvio ha espressamente fatto riferimento, da un lato, all’articolo 15, paragrafo 1, della direttiva 2002/58, il quale esige in particolare che le misure legislative di cui esso consente l’adozione gli Stati membri, limitando la portata dei diritti e degli obblighi previsti in diverse disposizioni della presente direttiva, costituiscono una misura necessaria, appropriata e proporzionata, nell’ambito di una società democratica, per salvaguardare la sicurezza nazionale – ovvero sicurezza dello Stato – difesa e incolumità pubblica.

Ciò significa che serve a garantire la prevenzione, l’indagine, l’accertamento e il perseguimento dei reati o degli usi non autorizzati del sistema di comunicazione elettronica, e, dall’altro, l’articolo 52, paragrafo 1, della Carta, che sancisce il principio di proporzionalità nel contesto della limitazione dell’esercizio dei diritti e delle libertà riconosciuti dalla Carta.

79 Tuttavia, ai sensi dell’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, gli Stati membri devono prevedere che i dati personali siano adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati.

Tale disposizione impone quindi il rispetto, da parte degli Stati membri, del principio di “minimizzazione dei dati”, che dà espressione a tale principio di proporzionalità (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia, C 118 /22, EU:C:2024:97, punto 41 e giurisprudenza citata).

80 Ne consegue che, in particolare, la raccolta di dati personali nell’ambito di un procedimento penale, e la loro conservazione da parte delle autorità di polizia, per le finalità previste dall’articolo 1, paragrafo 1, della medesima direttiva, devono rispettare, come ogni trattamento rientrante nell’ambito di quest’ultimo, quest’ultimo principio (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia » pri MVR – Sofia, C 118/22, EU:C:2024:97, punto 42 e giurisprudenza ivi citata).

81 Si deve quindi considerare che, con la prima e la seconda questione, che devono essere esaminate congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8, nonché dell’articolo 52, paragrafo 1, della Carta, osta a una normativa nazionale che conceda alle autorità competenti la possibilità di accesso a dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale e che non sottopongono l’esercizio di tale possibilità al controllo preventivo di un giudice o di un ente amministrativo indipendente.

82 In via preliminare, occorre rilevare che, come emerge dai considerando 2 e 4 della direttiva 2016/680, pur istituendo un quadro solido e coerente per la protezione dei dati personali al fine di garantire il rispetto del diritto fondamentale alla tutela delle persone fisiche con riguardo al trattamento dei dati personali che le riguardano, riconosciuta dall’articolo 8, paragrafo 1, della Carta e dall’articolo 16, paragrafo 1 1, TFUE, tale direttiva mira a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione.

In tal senso cfr. sentenza del 25 febbraio 2021, Commissione/Spagna (Direttiva relativa al carattere personale – materia penale), C 658/19, EU:C:2021:138, punto 75.

83 A tal fine, la direttiva 2016/680 mira in particolare, come rilevato al punto 74 della presente sentenza, a garantire un livello elevato di protezione dei dati personali delle persone fisiche.

84 A tal riguardo, occorre ricordare che, come sottolinea il considerando 104 della direttiva 2016/680, le limitazioni che tale direttiva consente di porre al diritto alla protezione dei dati personali, previsto dall’articolo 8 della Carta, nonché poiché il diritto al rispetto della vita privata e familiare, tutelato dall’articolo 7 della presente Carta, deve essere interpretato conformemente a quanto prescritto dall’articolo 52, comma 1, di essi, che comprendono il rispetto del principio di proporzionalità (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia, C 118/22, EU:C:2024 :97, punto 33).

85 Infatti, questi diritti fondamentali non sono prerogative assolute, ma devono essere presi in considerazione in relazione alla loro funzione nella società e ponderati rispetto ad altri diritti fondamentali.

Qualsiasi limitazione all’esercizio di tali diritti fondamentali deve, ai sensi dell’articolo 52, paragrafo 1, della Carta, essere prevista dalla legge e rispettare il contenuto essenziale degli stessi diritti fondamentali nonché il principio di proporzionalità.

Secondo quest’ultimo principio, le limitazioni possono essere apportate solo se sono necessarie e rispondono effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di tutelare i diritti e le libertà altrui.

Essi devono operare nei limiti dello stretto necessario e i regolamenti contenenti le limitazioni in questione devono prevedere regole chiare e precise che disciplinino la portata e l’applicazione di tali limitazioni (sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia » pri MVR – Sofia, C 118/22, EU:C:2024:97, punto 39 e giurisprudenza ivi citata).

86 Per quanto riguarda, in primo luogo, l’obiettivo di interesse generale idoneo a giustificare una limitazione all’esercizio dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, come quello che risulta dalla normativa controversa nella questione principale, occorre ha sottolineato che il trattamento dei dati personali nell’ambito di un’indagine di polizia intesa a reprimere un reato, come un tentativo di accesso ai dati contenuti in un telefono cellulare, deve essere considerato, in linea di principio, come una risposta effettiva ad un obiettivo di interesse generale riconosciuto dall’Unione, ai sensi dell’articolo 52, paragrafo 1, della Carta.

87 Per quanto riguarda, in secondo luogo, il requisito della necessità di una siffatta limitazione, come sottolineato, in sostanza, al considerando 26 della direttiva 2016/680, tale requisito non è soddisfatto quando l’obiettivo di interesse generale perseguito può ragionevolmente essere raggiunto come efficacemente con altri mezzi, meno lesivi dei diritti diritti fondamentali delle persone interessate (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia, C 118/22, EU:C:2024:97, punto 40 e la causa legge citata).

88 Per contro, il requisito della necessità è soddisfatto quando l’obiettivo perseguito dal trattamento dei dati in questione non può ragionevolmente essere raggiunto con la stessa efficacia con altri mezzi meno lesivi dei diritti fondamentali degli interessati, in particolare del diritto al rispetto dei diritti privati e la vita familiare, nonché la protezione dei dati personali garantita dagli articoli 7 e 8 della Carta [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C 205/21, EU:C:2023:49, punto 126 e giurisprudenza ivi citata].

89 Per quanto riguarda, in terzo luogo, il carattere proporzionato della limitazione dell’esercizio dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, risultante da tale trattamento, ciò implica una ponderazione di tutti gli elementi rilevanti nel caso di specie (v. in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia “Natsionalna politsia” pri MVR – Sofia, C 118/22, EU:C:2024:97, punti 62 e 63 e giurisprudenza citata).

90 Rilevante, in particolare, rispetto a tali elementi è la gravità della limitazione così posta all’esercizio dei diritti fondamentali in questione, che dipende dalla natura e dalla sensibilità dei dati ai quali possono avere accesso le autorità di polizia competenti, l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione, il collegamento esistente tra il proprietario del telefono cellulare e il reato in questione o anche la pertinenza dei dati in questione per l’accertamento dei fatti.

91 Per quanto riguarda, in primo luogo, la gravità della limitazione dei diritti fondamentali derivante da una normativa come quella di cui al procedimento principale, risulta dall’ordinanza di rinvio che tale regolamento consente alle competenti autorità di polizia di accedere, senza previa autorizzazione, ai dati contenuti in un telefono cellulare.

92 Tale accesso può riguardare, a seconda del contenuto del telefono cellulare in questione e delle scelte effettuate da tali autorità di polizia, non solo dati relativi al traffico e all’ubicazione, ma anche fotografie e cronologia della navigazione in Internet effettuata con esso telefono, o anche su parte del contenuto delle comunicazioni effettuate con tale telefono, in particolare consultando i messaggi ivi memorizzati.

93 L’accesso a un siffatto insieme di dati può consentire di trarre conclusioni molto precise riguardanti la vita privata dell’interessato, quali le sue abitudini di vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti quotidiani o altro, le attività svolte fuori, le relazioni sociali di questa persona e gli ambienti sociali frequentati da questa persona.

94 Infine, non si può escludere che i dati contenuti in un telefono cellulare possano includere dati particolarmente sensibili, come dati personali che rivelano l’origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche, sensibilità che giustifica la tutela specifica loro richiesta dalla L’articolo 10 della direttiva 2016/680, che si estende anche ai dati che rivelano indirettamente, al termine di un’operazione intellettuale di deduzione o di controllo incrociato, informazioni di questo tipo (v., per analogia, sentenza del 5 giugno 2023, Commissione/Polonia (Indipendenza e vita privata dei giudici), C 204/21, EU:C:2023:442, punto 344).

95 L’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta che può dar luogo all’applicazione di norme come quelle di cui al procedimento principale deve pertanto essere considerata grave, anzi particolarmente grave.

96 Per quanto riguarda, in secondo luogo, l’importanza dell’obiettivo perseguito, occorre sottolineare che la gravità dell’infrazione oggetto dell’indagine costituisce uno dei parametri centrali nell’esame della proporzionalità dell’ingerenza grave costituita dall’accesso ai dati personali contenuto in un telefono cellulare e che consente di trarre conclusioni precise sulla vita privata dell’interessato.

97 Tuttavia, ritenere che solo la lotta contro i reati gravi sia idonea a giustificare l’accesso ai dati contenuti in un telefono cellulare limiterebbe i poteri investigativi delle autorità competenti, ai sensi della direttiva 2016/680, riguardo ai reati in generale. Ciò comporterebbe un aumento del rischio di impunità per tali reati, data l’importanza che tali dati possono avere per le indagini penali. Pertanto, una siffatta limitazione ignorerebbe la natura specifica dei compiti svolti da tali autorità per gli scopi enunciati all’articolo 1, paragrafo 1, di tale direttiva, evidenziati ai considerando 10 e 11 della stessa, e pregiudicherebbe l’obiettivo di realizzare uno spazio di libertà, sicurezza e giustizia all’interno dell’Unione perseguito da tale direttiva.

98 Ciò premesso, tali considerazioni lasciano impregiudicato il requisito, derivante dall’articolo 52, paragrafo 1, della Carta, secondo cui qualsiasi limitazione all’esercizio di un diritto fondamentale deve essere “previsto dalla legge”, tale requisito implica che la base giuridica che autorizza una simile limitazione ne definisce la portata in modo sufficientemente chiaro e preciso [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C 205/21, EU:C:2023:49, punto 65 e giurisprudenza ivi citata].

99 Per soddisfare tale esigenza, spetta al legislatore nazionale definire con sufficiente precisione gli elementi, in particolare la natura o le categorie dei reati interessati, di cui si deve tenere conto.

100 Per quanto riguarda, in terzo luogo, il nesso tra il proprietario del telefono cellulare e il reato in questione nonché la rilevanza dei dati in questione per l’accertamento dei fatti, risulta dall’articolo 6 della direttiva 2016/680 che la nozione di “interessato” comprende diverse categorie di persone, vale a dire, in sostanza, persone sospettate, per gravi motivi, di aver commesso o di essere sul punto di commettere un reato, persone che sono state riconosciute colpevoli di un reato, vittime o potenziali vittime di tali reati, nonché terzi di un reato che possono essere chiamati a testimoniare nel corso di indagini relative a reati o successivi procedimenti penali.

Secondo tale articolo, gli Stati membri sono tenuti a prevedere che il titolare del trattamento stabilisca, ove opportuno e per quanto possibile, una chiara distinzione tra i dati personali di queste diverse categorie di interessati.

101 A tal riguardo, per quanto riguarda in particolare l’accesso ai dati contenuti nel telefono cellulare della persona oggetto di un’indagine penale, come nel caso principale, è importante che l’esistenza di un ragionevole sospetto nei confronti di detta persona, nel senso che egli ha commesso, sta commettendo o intende commettere un reato, o di essere in un modo o nell’altro coinvolto in tale reato, o supportato da elementi oggettivi e sufficiente.

102 È in particolare al fine di garantire il rispetto del principio di proporzionalità in ciascun caso concreto, ponderando tutti gli elementi rilevanti, che è essenziale che, quando l’accesso da parte delle autorità nazionali competenti ai dati di carattere personale comporti il ​​rischio di un’ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali dell’interessato, accesso subordinato al controllo preventivo effettuato da un tribunale o da un ente amministrativo indipendente.

103 Questo controllo preventivo richiede che l’organo giurisdizionale o l’ente amministrativo indipendente incaricato di effettuarlo disponga di tutti i poteri e presenti tutte le garanzie necessarie per garantire la conciliazione dei diversi interessi legittimi e diritti in questione.

Per quanto riguarda più in particolare un’indagine penale, tale controllo richiede che questa giurisdizione o questa entità siano in grado di garantire un giusto equilibrio tra, da un lato, gli interessi legittimi legati alle esigenze dell’indagine nel contesto della lotta contro la criminalità e, dall’altro, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono oggetto dell’accesso.

104 Tale controllo indipendente, in una situazione come quella di cui al punto 102 della presente sentenza, deve avvenire prima di qualsiasi tentativo di accesso ai dati in questione, salvo casi di urgenza debitamente giustificata, nel qual caso detto controllo deve avvenire tempestivamente limite di tempo.

Un controllo successivo non consentirebbe infatti di raggiungere l’obiettivo del controllo preventivo, che consiste nell’impedire che venga autorizzato un accesso ai dati in questione che vada oltre quanto strettamente necessario.

105 In particolare, il giudice o l’ente amministrativo indipendente, intervenendo nell’ambito di un controllo preventivo effettuato a seguito di una richiesta motivata di accesso rientrante nell’ambito di applicazione della direttiva 2016/680, deve essere autorizzato a rifiutare o limitare tale accesso quando constata che l’ingerenza nei diritti fondamentali che tale accesso costituirebbe sarebbe sproporzionata tenendo conto di tutti gli elementi rilevanti.

106 Un rifiuto o una limitazione dell’accesso ai dati contenuti in un telefono cellulare, da parte delle autorità di polizia competenti, deve quindi essere effettuato se, tenuto conto della gravità del reato e delle esigenze dell’indagine, l’accesso al contenuto di comunicazioni o dati sensibili i dati non appaiono giustificati.

107 Per quanto riguarda, in particolare, il trattamento dei dati sensibili, occorre tenere conto dei requisiti previsti dall’articolo 10 della direttiva 2016/680, il cui scopo è quello di garantire una tutela rafforzata rispetto a siffatti trattamenti suscettibili di comportano, come risulta dal considerando 37 di tale direttiva, rischi significativi per le libertà e i diritti fondamentali, quali il diritto al rispetto della vita privata e familiare nonché il diritto alla libertà protezione dei dati personali, garantita dagli articoli 7 e 8 della Carta.

A tal fine, come emerge dal tenore stesso del presente articolo 10, il requisito che il trattamento di tali dati sia autorizzato “solo in casi di assoluta necessità” deve essere interpretato nel senso che definisce condizioni rafforzate di liceità del trattamento di dati sensibili, con riguardo a quelli risultanti dall’articolo 4, paragrafo 1, lettere b) e c), nonché dall’articolo 8, paragrafo 1, di tale direttiva.

Questi articoli si riferiscono unicamente alla “necessità” di “un trattamento di dati che rientrano, in generale, nell’ambito di applicazione della stessa direttiva (sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C 205/21, EU:C:2023:49 punti 116 e 117 nonché giurisprudenza citata].

108 Così, da un lato, l’utilizzo dell’avverbio “soltanto” prima dell’espressione “in caso di assoluta necessità” sottolinea che il trattamento di categorie particolari di dati, ai sensi del citato articolo 10, non può essere considerato necessario solo in un numero limitato di casi.

D’altro canto, il carattere “assoluto” della necessità di trattare tali dati implica che tale necessità debba essere valutata in maniera particolarmente rigorosa [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione dei dati biometrici e genetici da parte polizia), C 205/21, EU:C:2023:49, punto 118].

109 Tuttavia, nel caso di specie, il giudice del rinvio sottolinea che, nel corso di un procedimento di indagine penale, le autorità di polizia austriache sono autorizzate ad accedere ai dati contenuti in un telefono cellulare. Si precisa inoltre che tale accesso non è soggetto, in linea di principio, all’autorizzazione preventiva di un tribunale o di un’autorità amministrativa indipendente.

Spetta tuttavia soltanto a questo giudice trarre le conclusioni dai chiarimenti forniti in particolare ai punti da 102 a 108 della presente sentenza nella causa principale.

110 Da quanto precede risulta che la prima e la seconda questione dovrebbero essere risolte nel senso che l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della la Carta deve essere interpretata nel senso che non osta a norme nazionali che riconoscono alle autorità competenti la possibilità di accesso ai dati contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati in generale.

Quanto sopra, solo se tali norme: – definiscono con sufficiente precisione la natura o le categorie dei reati in questione, – garantiscono il rispetto del principio di proporzionalità, e – sottopone l’esercizio di tale possibilità, salvo casi di emergenza debitamente giustificati, al controllo preventivo di un giudice o di un ente amministrativo indipendente.

Sulla terza questione 111 Dalla decisione di rinvio risulta che, con la sua terza questione, il giudice del rinvio mira, in sostanza, a verificare se CG avrebbe dovuto essere informato dei tentativi di accesso ai dati contenuti nel suo telefono cellulare al fine di poter esercitare il diritto a un ricorso effettivo garantito dall’articolo 47 della Carta.

112 A tal riguardo, le disposizioni rilevanti della direttiva 2016/680 sono, da un lato, l’articolo 13 di tale direttiva, intitolato «Informazioni da mettere a disposizione o da fornire all’interessato», e, dall’altro, l’articolo 54 della citata direttiva, rubricato “Diritto ad un ricorso effettivo contro il titolare del trattamento o il subappaltatore”.

113 È inoltre importante ricordare, come sottolinea il considerando 104 della direttiva 2016/680, che le limitazioni apportate da tale direttiva al diritto a un ricorso effettivo e all’accesso a un giudice imparziale, tutelato dall’articolo 47 della Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, tra cui il rispetto del principio di proporzionalità.

114 Si deve pertanto considerare che, con la sua terza questione, il giudice del rinvio chiede, in sostanza, se gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, devono essere interpretate nel senso che ostano ad una normativa nazionale che consenta alle autorità competenti in materia penale di tentare di accedere ai dati contenuti in un telefono cellulare senza informare l’interessato.

115 Dall’articolo 13, paragrafo 2, lettera d), della direttiva 2016/680 risulta che, oltre alle informazioni di cui al paragrafo 1, quali l’identità del responsabile del trattamento, la finalità di tale trattamento e il diritto di proporre reclamo con un’autorità di controllo che deve essere messa a disposizione dell’interessato, gli Stati membri prevedono, mediante legge, che il titolare del trattamento fornisca all’interessato per consentirgli di esercitare le sue diritti, se necessario, informazioni aggiuntive, in particolare quando i dati personali vengono raccolti all’insaputa della persona interessata.

116 L’articolo 13, comma 3, lettere a) e b), della direttiva 2016/680 autorizza, tuttavia, il legislatore nazionale a limitare la fornitura di informazioni all’interessato ai sensi del paragrafo 2, ovvero a non fornire tali informazioni “da momento e finché una misura di questo tipo costituisce una misura necessaria e proporzionata in una società democratica, tenendo debitamente conto dei diritti fondamentali e degli interessi legittimi della persona fisica interessata”, in particolare per “ evitare di ostacolare indagini, ricerche o procedimenti ufficiali o giudiziari” oppure “evitare di ostacolare la prevenzione o l’accertamento, l’indagine o il perseguimento di reati o l’esecuzione di sanzioni penali”.

117 Si deve infine rilevare che l’articolo 54 della direttiva 2016/680, che dà espressione all’articolo 47 della Carta, impone agli Stati membri di prevedere che, quando una persona ritiene che i suoi diritti previsti dalle disposizioni adottate ai sensi di tale direttiva siano ha subito una violazione a seguito di un trattamento dei suoi dati personali effettuato in violazione di tali disposizioni, tale soggetto ha diritto ad un effettivo ricorso giurisdizionale.

118 Dalla giurisprudenza risulta che il diritto a un ricorso giurisdizionale effettivo, garantito dall’articolo 47 della Carta, richiede, in linea di principio, che l’interessato possa conoscere le ragioni in base alle quali è stata adottata nei suoi confronti la decisione si basa, al fine di consentirgli di difendere i suoi diritti nelle migliori condizioni possibili e di decidere con cognizione di causa se sia utile adire il giudice competente, nonché di mettere quest’ultimo pienamente in posizione di esercitare un controllo sulla legalità di tale decisione [sentenza del 16 novembre 2023, Human Rights League (Verifica del trattamento dei dati da parte dell’autorità di controllo), C 333/22, EU:C:2023:874, punto 58].

119 Anche se questo diritto non costituisce una prerogativa assoluta e, conformemente all’articolo 52, paragrafo 1, della Carta, possono esservi limitazioni, è a condizione che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale dei diritti e delle libertà in questione e che, nel rispetto del principio di proporzionalità, sono necessari e rispondono efficacemente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di tutelare diritti e libertà di altri [sentenza del 16 novembre 2023, Human Rights League (Verifica del trattamento dei dati da parte dell’autorità di controllo), C 333/22, EU:C:2023:874, punto 59].

120 Di conseguenza, dalle disposizioni citate ai punti da 115 a 119 della presente sentenza risulta che spetta alle autorità nazionali competenti autorizzate da un giudice o da un ente amministrativo indipendente ad accedere ai dati conservati per informare gli interessati , nell’ambito delle procedure nazionali applicabili, dei motivi su cui si basa la presente autorizzazione, purché ciò non sia tale da compromettere le indagini svolte da dette autorità e da mettere a loro disposizione tutte le informazioni di cui all’articolo 13, comma 1, della Direttiva 2016/680.

Tali informazioni sono, infatti, necessarie per consentire a tali soggetti di esercitare, in particolare, il diritto di ricorso, esplicitamente previsto dall’articolo 54 della direttiva 2016/680 [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati sul traffico e sull’ubicazione), C 350/21, EU:C:2022:896, punto 70 e giurisprudenza citata].

121 Per contro, una normativa nazionale che escluda, in generale, qualsiasi diritto ad ottenere tali informazioni non sarebbe conforme al diritto dell’Unione [v., in tal senso, sentenza del 17 novembre 2022, Spetsializirana prokuratura (Conservazione di dati relativi al traffico e ubicazione), C 350/21, EU:C:2022:896, punto 71].

122 Nel caso di specie, dalla decisione di rinvio risulta che CG sapeva che il suo telefono cellulare era stato sequestrato quando le autorità di polizia austriache hanno tentato invano di sbloccarlo per accedere ai dati in esso contenuti. In queste condizioni, non sembra che informare CG del fatto che queste autorità avrebbero tentato di accedere a questi dati avrebbe potuto pregiudicare le indagini, per cui avrebbe dovuto essere informato in anticipo.

123 Da quanto precede risulta che la terza questione va risolta dichiarando che gli articoli 13 e 54 della direttiva 2016/680, letti alla luce dell’articolo 47 e dell’articolo 52, paragrafo 1, della Carta, devono essere interpretati nel senso di opporsi alle norme nazionali che autorizzano le autorità competenti a tentare di accedere ai dati contenuti in un telefono cellulare senza informare la persona interessato, nell’ambito delle procedure nazionali applicabili.

Né si può prescindere dall’informare dei motivi su cui si fonda l’autorizzazione ad accedere a tali dati, rilasciata da un giudice o da un ente amministrativo indipendente, dal momento in cui la comunicazione di tali informazioni non è più idonea a compromettere i compiti che spettano a tali autorità ai sensi della presente direttiva.

Sulle spese 124 Poiché il procedimento assume, nei confronti delle parti della causa principale, il carattere di un incidente sollevato dinanzi al giudice del rinvio, spetta a quest’ultimo pronunciarsi sulle spese.

Le spese sostenute per il deposito di osservazioni alla Corte diverse da quelle sostenute dalle suddette parti non possono essere rimborsate.