Causa C-461/10 (domanda di pronuncia pregiudiziale – ex art. 267 TFUE) – direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE – conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – art. 8 della direttiva del Parlamento europeo e del Consiglio 29 aprile 2004, 2004/48/CE – diritti di proprietà intellettuale – violazione del diritto d’autore – diritto alla protezione dei dati personali – direttiva 95/46 e 2002/58/CE – bilanciamento
1. Il “caso svedese”: la domanda di pronuncia pregiudiziale
Il giudice di rinvio della Svezia (Corte di Cassazione – Högsta domstolen) si è rivolto alla Corte di Giustizia dell’Unione europea per valutare l’eventuale contrarietà agli articoli 3, 4, 5 e 11 della direttiva 2006/24/CE (c.d. direttiva data retention) della legislazione nazionale (di recepimento dell’articolo 8 della direttiva 2004/48/CE, sul rispetto dei diritti di proprietà intellettuale), laddove essa dispone che il giudice nazionale possa ingiungere ad un operatore internet di fornire al titolare di diritti di autore di cui si contesta la violazione informazioni sull’identità dell’abbonato dal cui indirizzo IP si sarebbe verificato il fatto illecito.
Tale potere di ingiunzione [di cui all’art. 53, lett. c), della legge svedese 1960-769, relativa alla proprietà letteraria e artistica]è subordinato – ai sensi della citata legge – alla dimostrazione della fondatezza dell’avvenuta violazione del diritto d’autore, nonché alla condizione che la misura adottata in virtù di tale potere risulti proporzionale [art. 53, lett. d), n.1].
2. Alcune osservazioni:
[I] basate sul presupposto dell’applicabilità al caso di specie della direttiva data retention (denegata ipotesi);
[II] nell’ipotesi di non applicabilità, per diverso ambito oggettivo ratione materiae (così Conclusioni Avvocato Generale del 17 novembre 2011) della “data retention”;
[III] valide in entrambi i casi (ovvero, il bilanciamento con la protezione dei dati personali)
In merito alla domanda di pronuncia pregiudiziale, con la quale si rileva l’eventuale contrasto tra la normativa nazionale di derivazione comunitaria in materia di protezione di diritti di proprietà intellettuale e la direttiva 2006/24/CE sugli obblighi di conservazione di dati (non ancora recepita in Svezia), si evidenzia quanto segue:
[I] – Sulla contrarietà della legislazione svedese IPR alla direttiva 2006/24/CE c.d. data retention, si osserva che l’obiettivo della conservazione di determinati dati, ai sensi della direttiva data retention, consiste nel garantirne la disponibilità a fini di indagine e perseguimento di “reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale” (art. 1). Inoltre, l’art. 4 dispone che le informazioni sull’abbonato a servizi internet possono essere trasmesse “solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali”.
In proposito, si rileva, da un lato, che la circostanza che la Svezia non abbia ancora recepito la direttiva 2006/24/CE non consente di determinare (anche se, prima facie, potrebbe sembrare ragionevole escludere tale eventualità, trattandosi in legislazione svedese di illecito civile) se nel caso di specie sia riscontrabile il reato “grave” il cui accertamento giustificherebbe l’obbligo di conservazione e comunicazione dei dati personali in oggetto alle sole autorità competenti. Inoltre, sempre per tale motivo, difficilmente la direttiva, priva della determinazione di un elemento essenziale a circoscriverne l’ambito oggettivo di applicabilità, può essere considerata “enforceable” in Svezia, e dunque fonte di obblighi in capo agli internet service provider (ISP).
Ad ogni modo, la comunicazione delle informazioni identificative prevista dalla legge svedese sembra comunque rispettare le condizioni di cui alla direttiva data retention [la “disclosure” è infatti disposta dalla autorità giudiziaria ed è prescritto, al momento dell’adozione della misura di ingiunzione, il rispetto “dei criteri di necessità e proporzionalità” previsti dalla direttiva (all’art. 1)], nonché – si aggiunge – quelle poste dalla stessa direttiva 2004/48 (che si “auto-vincola” per le azioni di contrasto alla “pirateria”), ai sensi della quale, nei limiti in cui la comunicazione delle informazioni è disposta dall’autorità giudiziaria competente, in risposta a una richiesta giustificata e proporzionata del richiedente, e riguarda le informazioni pertinenti (art. 8, comma 2), fatte salve le disposizioni che disciplinano il trattamento di dati personali (art. 8, comma 3), gli Stati membri possano prevedere disposizioni che impongono ad una parte in un procedimento civile la trasmissione di informazioni ai fini dell’identificazione degli abbonati (presunti autori delle violazioni) a soggetti che lamentano la lesione dei propri diritti (di proprietà intellettuale).
La legislazione svedese sul rispetto dei diritti di proprietà intellettuale risulterebbe, invece, non conforme alla direttiva data retention, nella parte in cui non prevede l’obbligo di conservazione dei dati per l’identificazione dei presunti autori di infrazioni di IPR (ma, su questo punto, vedi infra le Conclusioni dell’Avvocato Generale).
[II] – Nell’ipotesi in cui, invece, la direttiva data retention non sia giudicata applicabile al caso di specie (così le Conclusioni dell’Avvocato Generale, presentate il 17 novembre 2011, para. 44-47, del tutto condivisibili a parere di chi scrive), si ricorda che, ai sensi dell’art. 15, n. 1, della direttiva 2002/58/CE c.d. e-privacy (che, ex art. 15, n. 1 bis, non si applica ai dati la cui conservazione è prevista dalla direttiva data retention, ovvero, come rilevato nelle citate Conclusioni, quando i dati personali servono per il riscontro dei reati “gravi”), “gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 [riservatezza delle comunicazioni], 6 [dati sul traffico], all’articolo 8, paragrafi da 1 a 4 [presentazione e restrizione dell’identificazione della linea chiamante e collegata], e all’art. 9 [dati relativi all’ubicazione diversi dai dati relativi al traffico]della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’art. 13, n. 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per (…) la prevenzione, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”.
Come rilevato nella sentenza della Corte di Giustizia 29 gennaio 2008, causa C-275/06 [Promusicae], “l’art. 15, n. 1 (…) conclude l’elenco delle suddette deroghe facendo espresso riferimento all’art. 13, n. 1, della direttiva 95/46. (…) quest’ultima disposizione autorizza gli Stati membri a adottare disposizioni intese a limitare la portata dell’obbligo di riservatezza dei dati personali qualora tale restrizione sia necessaria, tra l’altro, per la tutela dei diritti e delle libertà altrui”, ivi compresa “la tutela del diritto di proprietà e delle situazioni in cui gli autori mirano ad ottenere tale tutela nel contesto di un procedimento civile.” [par. 53] “occorre pertanto constatare che la direttiva 2002/58 non esclude la possibilità, per gli Stati membri, di prevedere l’obbligo di divulgare dati personali nell’ambito di un procedimento civile.” [par. 54], purché – si ricorda nella massima della sentenza – l’attuazione delle misure non entri in conflitto con il principio di proporzionalità (cfr. anche ordinanza della Corte di Giustizia del 19 febbraio 2009, causa C-557/07, “la direttiva relativa alla vita privata e alle comunicazioni elettroniche, non osta a che gli Stati membri istituiscano un obbligo di comunicazione a terzi, privati, di dati personali relativi al traffico al fine di consentire l’avvio di procedimenti civili per violazioni del diritto d’autore. Tuttavia, il diritto comunitario impone che gli Stati membri, all’atto della trasposizione delle direttive (…) abbiano cura di fondarsi su un’interpretazione delle medesime tale da garantire un giusto equilibrio tra i diversi diritti fondamentali rilevanti in materia. (…) le autorità e i giudici degli Stati membri devono non solo interpretare il loro diritto nazionale in modo conforme a tali direttive, ma anche fare attenzione ad evitare di fondarsi su un’interpretazione di queste ultime che entri in conflitto con i diritti fondamentali o con gli altri principi generali del diritto comunitario, come il principio di proporzionalità”).
– La distinzione tra conservazione (“data retention”) e comunicazione (“disclosure”) dei dati a fini di contrasto delle violazioni degli IPR
Un’osservazione da non trascurare è quella formulata dall’Avvocato Generale ai paragrafi 55 e 56, quasi un invito al legislatore comunitario in obiter dictum, che riporto integralmente: “55. Même si, au niveau de l’Union, on pourrait envisager une directive qui compléterait la directive 2002/58 en prévoyant une obligation de conservation en ce qui concerne les atteintes portées à un droit de propriété intellectuelle et qui définirait à la fois la finalité de ladite conservation, les données à conserver, la durée, et les personnes pouvant y avoir accès, force est de constater qu’une telle directive n’existe pas à l’heure actuelle (16). 56. Au vu de ces éléments, il y a lieu de constater que la législation actuelle de l’Union ne prévoit pas les modalités nécessaires pour la conservation et la transmission des données à caractère personnel qui sont générées lors des communications électroniques en vue de leur transmission en cas d’atteinte à des droits de propriété intellectuelle invoquée par des particuliers. »
In breve, l’aspetto della conservazione (la data retention) dei dati ai fini della repressione delle violazioni dei diritti di proprietà intellettuale non è ancora disciplinato da atti legislativi comunitari.
Si nota invece (a differenza di quanto rilevato dall’Avvocato Generale) che l’aspetto dell’obbligo di comunicazione alle autorità giudiziarie competenti (la cd. disclosure) è invece disciplinato in parte dalla direttiva 2000/31 (art. 15, comma 2) e dalla direttiva 2004/48. Sarebbe forse auspicabile un’integrazione di tali aspetti (disciplina della conservazione e della trasmissione) all’interno della direttiva 2004/48, da novellare tenendo conto delle speciali esigenze di bilanciamento tra IPR e protezione dei dati personali, con particolare riferimento all’acquis relativo alle comunicazioni elettroniche.
[III] I limiti – Il bilanciamento – il requisito della “adoption préalable, par le législateur national, de dispositions détaillées” (Conclusioni Avvocato Generale)
Sempre e comunque, sia nella ipotesi [I] che [II], è fondamentale, pertanto, il rispetto dei richiamati principi di necessità, proporzionalità e pertinenza (come espressi, tra l’altro, nella direttiva 95/46/CE, di cui la direttiva e-privacy costituisce integrazione in relazione al trattamento di dati personali nel settore delle comunicazioni elettroniche). In proposito, per quanto concerne la normativa svedese al vaglio della Corte di Giustizia, nell’illustrazione delle disposizioni nazionali applicabili, di cui alla domanda di pronuncia pregiudiziale, si sottolinea che “l’ingiunzione di fornire informazioni può essere emessa solamente a condizione che le informazioni possano agevolare le indagini”, e “solamente se i motivi alla base di questa misura prevalgono sul pregiudizio o ogni altro svantaggio che ne possa derivare per il destinatario o altro interesse contrapposto” [art. 53, lett. c), e lett. d), n. 1, della legge svedese 1960-769].
Giova ricordare la recente sentenza (24 novembre 2001) relativa alla causa C-360/10 (Scarlet-SABAM) in merito alla tutela dei dati personali nel contesto del contrasto alle attività di c.d. pirateria in ambito ‘digitale’, che ha ribadito l’importanza del rispetto del suddetto requisito di proporzionalità, esprimendo il proprio contrario avviso a forme di controllo preventivo (“in abstracto e a titolo preventivo”) e generalizzato (“nei confronti dell’intera clientela”), nonché di durata indefinita (“senza limitazioni di tempo”) da parte di “operatori internet” (nel caso di specie, fornitori di servizi di hosting) sugli utenti di servizi internet a fini di tutela dei diritti di proprietà intellettuale [sui limiti dell’azione cd. antipirateria, v. anche art. 15, comma 1, della citata Direttiva 2000/31].
La normativa svedese al vaglio della Corte, limitandosi a prevedere il potere di ingiunzione, nell’ambito di una procedura giurisdizionale, e in presenza quanto meno del fumus della violazione dei diritti (di proprietà intellettuale), nonché della condizione della proporzionalità della misura (che impone all’operatore internet di fornire le informazioni sull’identità dell’abbonato al quale abbia assegnato l’indirizzo IP) con altri interessi del presunto autore dell’illecito, non sembra essere in contrasto con il quadro normativo in materia di protezione dei dati personali.
Resta da valutare se la legge svedese sia anche sufficientemente dettagliata (secondo quanto evidenziato ai para. 61 e 62 delle Conclusioni dell’Avvocato generale, che però non prende posizione au fond): alla Corte di Giustizia l’ardua sentenza.
Sintesi:
Partendo dalle recenti Conclusioni dell’Avvocato Generale nella causa C-461/10, si discute della legittimità (avendo come parametro la direttiva data retention, ma non solo) della legge svedese che prevede la possibilità per l’autorità giudiziaria di ingiungere al fornitore di servizi internet di rivelare l’identità dell’abbonato internet (presunto autore della violazione dei diritti di proprietà intellettuale/intellectual property rights – IPR) al titolare di IPR a fini di tutela dei diritti nel corso di un procedimento giudiziario civile.
La legge svedese recepisce sul punto la direttiva 2004/48 (in particolare, l’art. 8 ) sulla protezione degli IPR. Si ricorda che una fattispecie riconducibile agli stessi profili è già stata giudicata dalla Corte di Giustizia non in contrasto con la direttiva e-privacy (sentenza Promusicae Espana). Anche alla luce delle citate conclusioni dell’Avvocato generale, appare poco probabile che la legge svedese possa essere giudicata in contrasto con la direttiva data retention (tra l’altro, non ancora recepita in Svezia) e/o con le direttive 2004/48 e 2002/58 e-privacy, e ciò anche perché la legge ‘scandinava’ è assistita da ‘garanzie’ (comunicazione dei dati identificativi disposta dalla autorità giudiziaria; sussistenza fumus boni juris della violazione dei DPR; proporzionalità della misura di ingiunzione; contemperamento con altri diritti dell’interessato).
