Il codice francese della proprietà intellettuale dal 2010 autorizza l’autorità indipendente Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet – Alta autorità per la diffusione delle opere e la tutela dei diritti su Internet) a richiedere, e ottenere, dagli operatori di comunicazioni elettroniche l’identità, l’indirizzo postale, l’indirizzo di posta elettronica e il numero di telefono dell’abbonato il cui accesso ai servizi di comunicazione pubblica online è stato utilizzato a fini di riproduzione, rappresentazione, messa a disposizione o comunicazione al pubblico di opere o materiali protetti dal diritto d’autore, senza l’autorizzazione dei titolari di diritti stessi.
Questi dati servono a Hadopi per avviare, nei confronti dell’abbonato che ha violato i diritti d’autore scaricando e condividendo file protetti (musica, film, giornali, ecc.), una procedura amministrativa denominata “risposta graduale” (réponse graduée) alla violazione on line dei diritti di autore che si articola in diverse fasi, con funzioni sia educative che repressive: inizia con una “raccomandazione” agli abbonati che hanno violato i diritti d’autore; in caso di recidiva, prosegue con il deferimento dell’utente alla Commissione per la tutela dei diritti dell’Hadopi, entro un anno dall’invio di una seconda raccomandazione, in cui viene notificato all’abbonato che tale comportamento può costituire il reato di “negligenza grave”, un reato minore punibile con un’ammenda massima di 1.500 euro e 3.000 euro in caso di recidiva; infine, previa deliberazione della Commissione stessa, la procedura si conclude con la denuncia dell’utente al pubblico ministero per segnalare l’abbonato e i reati che gli sono imputati: il reato minore o, eventualmente, il più grave reato di contraffazione, in Francia punibile con tre anni di reclusione e un’ammenda di 300.000,00 euro.
Dalla sua istituzione, avvenuta nel 2009, Hadopi ha formulato oltre 12,7 milioni di “raccomandazioni” agli abbonati francesi, di cui 827.791 nel solo 2019. È, quindi, evidente che i funzionari della Commissione per la tutela dei diritti d’autore dell’Hadopi raccolgono, ogni anno, una notevole quantità di dati relativi all’identità civile degli utenti interessati dalla procedura di “risposta graduale”.
Questa normativa, e la relativa procedura di applicazione, sono conformi al diritto dell’Unione europea, in particolare alla direttiva sulla privacy e sulle comunicazioni elettroniche e al regolamento generale sulla protezione dei dati (GDPR), letti alla luce dei diritti garantiti dalla Carta dei diritti fondamentali dell’Unione europea?
E’, in sintesi, il quesito posto alla Corte di Giustizia dell’Unione europea dal Consiglio di Stato (Conseil d’État) francese, nel contesto di una controversia tra le associazioni francesi La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net e French Data Network, da un lato, e il Primo ministro e il Ministro della cultura francesi, dall’altro lato: le associazioni, in particolare, chiedevano la abrogazione di norme che autorizzano l’accesso ai dati di connessione in modo sproporzionato per violazioni non gravi relative ai diritti d’autore commesse su Internet, senza il controllo preventivo di un giudice o di un’autorità che presenti garanzie di indipendenza e imparzialità.
La sentenza della Corte di Giustizia stabilisce nuovi principi
La Corte di giustizia dell’Unione europea, nella sentenza del 30 aprile 2024, relativa alla Causa C-470/21, ha stabilito una serie di principi, destinati ad essere applicati, in casi analoghi, in tutti gli Stati membri dell’Unione europea, fornendo una interpretazione della normativa europea (in particolare, dell’articolo 15, paragrafo 1, della direttiva 2002/58) che considera, congiuntamente, alcuni diritti fondamentale assicurati dalla Carta dei diritti fondamentali dell’Unione europea: il diritto al rispetto della vita privata, garantito dall’articolo 7 della Carta; il diritto alla protezione dei dati personali, garantito 8 della stessa, nonché il diritto alla libertà di espressione, diritto fondamentale, garantito dall’articolo 11 della Carta, che costituisce uno dei fondamenti essenziali di una società democratica e pluralista e facenti parte dei valori su cui è fondata l’Unione, ai sensi dell’articolo 2 Trattato sull’Unione europea.
Per sottolineare l’importanza della posta in gioco, a livello europeo, sono intervenuti nel procedimento davanti alla Corte di Giustizia ben dodici Governi degli Stati membri dell’Unione europea (di Francia, Cechia, Danimarca, Estonia, Irlanda, Spagna, Cipro, Lettonia, Paesi Bassi, Finlandia, Svezia, Norvegia), oltre alla Commissione europea al Garante europeo della protezione dei dati e alla Agenzia dell’Unione europea per la cibersicurezza (ENISA).
Il diritto alla privacy non è un diritto assoluto
Il primo importante principio stabilito dalla Corte di Giustizia dell’Unione europea è che i diritti sanciti dagli articoli 7, 8 e 11 della Carta non sono diritti assoluti, ma devono essere presi in considerazione in relazione alla loro funzione nella società. Infatti, come risulta dall’articolo 52, paragrafo 1, della Carta, quest’ultima consente limitazioni all’esercizio di tali diritti, a condizione che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale di tali diritti e che, nel rispetto del principio di proporzionalità, siano necessari e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di tutelare i diritti e le libertà altrui.
In questo contesto, pertanto, è necessario un bilanciamento dei diritti e degli interessi in gioco e i diritti di privacy e di libertà di espressione devono talvolta cedere il passo ad altri diritti fondamentali e imperativi di interesse generale, come la difesa dell’ordine pubblico e la prevenzione dei reati o la tutela dei diritti, degli interessi e della libertà degli altri.
Gli Stati non possono costruire profili dettagliati degli utenti di Internet se non per reati gravi
Secondo la giurisprudenza della Corte di Giustizia, gli indirizzi IP costituiscono sia dati di traffico ai sensi della Direttiva 2002/58, sia dati personali ai sensi del GDPR: la Direttiva, in particolare, consente agli Stati membri di derogare all’obbligo di garantire la riservatezza dei dati personali “qualora tale limitazione costituisca una misura necessaria, adeguata e proporzionata, nell’ambito di una società democratica, per salvaguardare la sicurezza nazionale, la difesa e la sicurezza pubblica, o garantire la prevenzione, la ricerca, l’individuazione e il perseguimento di reati o di usi non autorizzati del sistema di comunicazione elettronica.”
Tuttavia, sempre la Corte ribadisce che, nella misura in cui gli indirizzi IP possono – in particolare, quando sono utilizzati per effettuare la tracciatura esaustiva del percorso di navigazione di un utente di Internet, a seguito di una sua attività on-line – consentire la costituzione del “profilo dettagliato” di quest’ultimo, la conservazione e l’analisi di detti indirizzi IP, che tale tracciamento richiede, costituiscono gravi ingerenze nei diritti fondamentali dell’interessato ai sensi degli articoli 7 e 8 della Carta, che può avere effetti dissuasivi anche sull’esercizio da parte degli utenti delle comunicazioni elettroniche della libertà di espressione garantita dall’articolo 11 della Carta.
Di conseguenza, uno Stato membro che intenda imporre ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione generalizzata e indifferenziata degli indirizzi IP, al fine di raggiungere un obiettivo legato alla lotta contro la criminalità in generale, deve garantire che le modalità di conservazione di tali i dati siano tali da garantire che sia esclusa qualsiasi combinazione di detti indirizzi IP con altri dati memorizzati, la quale consentirebbe di trarre conclusioni precise sulla vita privata delle persone i cui dati verrebbero così conservati: infatti, solo gli obiettivi di lotta contro i reati gravi o di prevenzione di minacce gravi per la pubblica sicurezza possono giustificare una grave ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, che prevede l’accesso da parte delle autorità pubbliche a un insieme di dati relativi al traffico o all’ubicazione, in grado di fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione dell’apparecchiatura terminale da esso utilizzata e di consentire conclusioni precise informazioni sulla vita privata delle persone interessate
Gli Stati possono ma non sono obbligati a chiedere l’identificazione degli utenti di Internet che violano le regole sul diritto d’autore
Pertanto, agli Stati membri non è vietato stabilire l’obbligo per i fornitori di servizi di comunicazione elettronica di trasmettere dati personali di privati per consentire l’avvio di un procedimento contro la violazione del diritto d’autore dinanzi ai giudici civili, ma non sono nemmeno obbligati a prevedere un simile obbligo nella propria legislazione interna.
Tuttavia, gli Stati membri che intendono adottare una normativa analoga a quella francese, per identificare gli utenti di Internet che viola i diritti d’autore, devono rispettare alcune condizioni minime in modo tale da “escludere che tale conservazione possa consentire di trarre conclusioni precise sulla vita privata di tali utenti, ad esempio stabilendo il loro profilo dettagliato”.
Per concludere: la privacy non è un diritto assoluto e, per la Corte di Giustizia dell’Unione europea, è lecito per gli Stati membri, pur nel rispetto di determinate condizioni, identificare gli utenti (tramite indirizzo IP) che commettono reati come la violazione del diritto d’autore, per poterli perseguire.
ACCESSO DIRETTO ALLE FONTI DI INFORMAZIONE:
Coste di Giustizia dell’Unione europea, Sentenza della Corte (Seduta plenaria) del 30 aprile 2024. La Quadrature du Net e a. contro Premier ministre e Ministère de la Culture. Domanda di pronuncia pregiudiziale proposta dal Conseil d’État. Causa C-470/21.
