Questa analisi costituisce un estratto di un articolo del Prof. Pollicino apparso il 5 dicembre sul portale Diritto24, ove è possibile reperire il testo integrale al presente link.
Il conflitto tra il diritto alla tutela dei dati personali e il diritto d’autore, entrambi di rilevanza para-costituzionale, è stato caratterizzato dall’insorgenza di un rilevante contenzioso, tanto sul versante nazionale quanto in sede comunitaria, incentrato sostanzialmente sulla valutazione della legittimità e dei limiti degli strumenti di c.d. autotutela tecnologica messi in campo dai titolari delle opere per la protezione delle creazioni intellettuali.
Proprio sul versante comunitario sembrano destinati ad essere rimessi in gioco, alla luce delle conclusioni presentate il 19 novembre 2011 dall’Avvocato Generale Jääskinen in relazione alla causa C-461/10 Bonnier Audio, gli esiti del bilanciamento cui la Corte di giustizia era pervenuta nell’assai noto caso Promusicae (29 Gennaio 2008, C‑275/06, in Racc. I-271).
In quell’occasione la Corte di Lussemburgo era stata chiamata a chiarire se fosse consentita dal diritto comunitario l’estensione dell’obbligo di comunicazione dei dati personali anche a tutela di interessi privati, quali quelli cui risultano portatori i titolari del diritto d’autore, o se, al contrario, tale obbligo sussistente in capo ai provider, che importa, almeno in termini potenziali, un grave vulnus alla riservatezza degli utenti interessati, dovesse essere circoscritto alla tutela di interessi pubblicistici quali, a titolo di esempio, la difesa nazionale e la sicurezza pubblica. In quel caso la Corte riconosceva come il diritto comunitario consente, ma non impone agli Stati membri di istituire un obbligo di comunicare dati personali per garantire l’effettiva tutela del diritto d’autore nel contesto di un procedimento civile.
A ben vedere, il caso Bonnier Audio oggetto delle conclusioni, cui si è fatto in precedenza riferimento, dell’Avvocato Generale Jääskinen, arriva sulla scrivania dei giudici di Lussemburgo proprio a causa di un mancato equilibrio nella regolamentazione tra i due diritti confliggenti da parte di una legislazione di uno Stato membro.
Si tratta, in particolare, della legislazione svedese che, nel recepire la direttiva europea 2004/48/CE in materia di copyrights enforcement, ha previsto che il titolare di opere protette, in caso in cui ci siano forti sospetti (e non soltanto, dunque, una accertata violazione) che gli utenti di un servizio di comunicazione elettronica si siano appropriati indebitamente di contenuti tutelati dal diritto d’autore, possa chiedere all’Internet service provider di comunicare l’IP dei soggetti coinvolti in modo da poter procedere alla loro identificazione.
La Corte d’appello di Stoccolma proponeva quesito in via pregiudiziale ai giudici di Lussemburgo, domandando se la direttiva 2006/24/CE, (in particolare, artt. da 3 a 5, e 11) riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica, osti o meno all’adozione di una legislazione nazionale che, come quella svedese, ai fini dell’identificazione di un abbonato, consente di ingiungere nell’ambito di un procedimento civile ad un fornitore d’accesso ad Internet di comunicare al titolare di un diritto d’autore, o ai suoi aventi causa, l’identità di un abbonato al quale siano riconducibili gli indirizzi IP coinvolti in una violazione del diritto d’autore.
La questione è rilevante ed era rimasta fuori dal caso Promusicae. Una ancor maggior rilevanza della problematica è data dal fatto che molti ISP svedesi avevano provveduto alla distruzione degli indirizzi IP dei propri clienti, sostenendo che non ci fosse alcun obbligo di legge circa la conservazione di questi dati
L’Avvocato Generale, dopo aver affermato che l’IP deve essere considerato un dato personale, propone alla Corte di escludere la rilevanza della direttiva 2006/24 nel caso di specie. Questo, aggiunge l’Avvocato Generale, per due ragioni. In primo luogo perché, mentre la direttiva in questione ha come obiettivo quello di armonizzare disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica, concernenti la conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, nel caso di specie invece si tratta di una controversia civile. In secondo luogo perché, mentre la direttiva in questione chiede espressamente, al suo art. 4, che Stati membri adottino misure per garantire che i dati conservati ai sensi della stessa direttiva siano trasmessi solo alle autorità nazionali competenti, in questo caso sono i privati a richiedere i dati.
Ma allora, la pratica da parte degli ISP svedesi di cancellare gli indirizzi IP dei propri clienti in modo da non poter adempiere all’obbligo, previsto come abbiamo visto ex lege, di comunicare gli stessi indirizzi ai titolari di diritti di proprietà intellettuale si scontra o non con il diritto dell’Unione? O messa in altro modo, gli ISP sono obbligati, ai sensi del diritto comunitario, a conservare quei “dati personali”?
L’Avvocato Generale non si spinge fino a rispondere a tale quesito però fornisce due indizi piuttosto significativi che potrebbero guidare la Corte di giustizia.
Il primo: la normativa europea in materia data retention non si applica alla fattispecie oggetto della controversia. Il secondo lo fornisce subito dopo quando afferma che, vista la necessità di un giusto contemperamento tra le esigenze poste, in ambiente digitale, a tutela, rispettivamente, del copyright e della riservatezza, l’obbligo di conservazione, da una parte, deve essere previsto da una legislazione nazionale e, dall’altra parte, lo stesso obbligo, deve indentificare con precisione le categorie di dati da conservare, le finalità e la durata della conservazione, nonché le persone che possono accedervi. Tutto ciò in conformità al principio di proporzionalità.
Infine il colpo di grazia: “l’obligation de divulgation, imposée au fournisseur d’accès à Internet et portant sur des données à caractère personnel conservées à une autre fin, ne suffit pas à satisfaire à ces exigences”(par. 61).
Difficile esser più chiari. Speriamo che sia altrettanto chiara la Corte di giustizia nella sua decisione.
