Con sentenza del 30/04/2024 (causa C‑470/21) la Corte UE si è pronunciata, su richiesta del Consiglio di Stato francese, in materia di repressione delle violazioni del diritto d’autore commesse su Internet.
Con questa pronuncia, operando un bilanciamento tra la tutela della riservatezza, da un lato, e le esigenze di indagine nell’ambito della lotta alla criminalità informatica, dall’altro, la Corte ha autorizzato l’autorità pubblica incaricata della protezione dei diritti d’autore a risalire all’identità civile degli utenti attraverso gli indirizzi IP utilizzati nella commissione di attività illecite online, al fine di adottare nei loro confronti le misure previste dalla normativa nazionale.
Il caso
Sulla base della normativa interna francese, l’Hadopi – autorità pubblica indipendente incaricata della protezione del diritto d’autore e della repressione di violazioni commesse sulle reti di comunicazione elettronica – è autorizzata a ottenere dai fornitori di servizi online l’identità, l’indirizzo fisico, l’indirizzo di posta elettronica e i recapiti telefonici dell’utente che abbia utilizzato il servizio online per riprodurre, rappresentare, mettere a disposizione o comunicare al pubblico opere protette senza l’autorizzazione dei titolari dei diritti d’autore.
I dati e i recapiti ottenuti dall’Hadopi le consentono di adottare nei confronti degli utenti responsabili alcune misure, dette “a risposta graduata”, in base all’entità della violazione.
Tali misure consistono nell’invio di una prima “raccomandazione” (assimilabile ad un avvertimento) poi, se la violazione viene reiterata, segue l’invio di una seconda raccomandazione e, infine, se ricorrono i presupposti di legge viene adita l’autorità giudiziaria.
Per risalire all’identità dei responsabili vengono compiute una serie di operazioni sui dati degli utenti, che, in sintesi, consistono nella raccolta degli indirizzi IP utilizzati per attività che possono costituire una violazione del diritto d’autore, insieme a informazioni aggiuntive che includono la data e l’ora dei fatti, il protocollo (peer to peer) utilizzato, lo pseudonimo utilizzato dall’abbonato, le informazioni relative alle opere oggetto di violazione e il fornitore di accesso a Internet presso il quale è stato effettuato l’accesso al servizio o che ha fornito la risorsa tecnica IP.
Ottenuti questi dati, gli indirizzi IP vengono associati ai titolari di tali indirizzi, per risalire così alla loro identità civile.
Il rinvio pregiudiziale e i principi enunciati dalla CGUE
Il Giudice del rinvio ha chiesto alla Corte di chiarire se l’accesso da parte di un’autorità pubblica a dati relativi all’identità civile, corrispondente a un indirizzo IP, possa essere giustificata ai sensi del diritto dell’Unione, tenuto conto dei diritti fondamentali al rispetto della vita privata, della libertà di espressione e della riservatezza (sanciti agli articoli 7, 8 e 11 della Carta dei diritti fondamentali dell’UE oltre che dal GDPR).
Esaminata la questione, la Corte ha affermato che, nel caso di reati commessi online, l’accesso agli indirizzi IP può costituire l’unico strumento di indagine idoneo a identificare la persona alla quale tale indirizzo era attribuito al momento della commissione del reato. Questo comporta che la conservazione degli indirizzi IP e l’accesso agli stessi sono, per quanto riguarda la lotta contro reati commessi online, strettamente necessari al conseguimento dell’obiettivo perseguito. Al contrario, non consentire l’accesso a tali dati comporterebbe, in sostanza, un rischio reale di impunità sistemica non solo per gli illeciti che riguardano i diritti d’autore, ma anche altri tipi di reati commessi online o la cui commissione o preparazione è agevolata dalle caratteristiche proprie di Internet. Pertanto, secondo la Corte, l’esistenza di un rischio di questo tipo costituisce una circostanza da tenere massimamente in considerazione nell’operare un bilanciamento dei diversi diritti e interessi in gioco.
Svolta questa premessa, la Corte ha concluso che il diritto dell’Unione “non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, affinché tale autorità possa identificare i titolari di tali indirizzi, utilizzati per attività che possono costituire violazioni del genere, e possa adottare, eventualmente, misure nei loro confronti”.
Tuttavia, la Corte ha precisato che l’attività dell’autorità deve essere svolta nel rispetto di specifiche condizioni, puntualmente elencate nella pronuncia, volte a garantire che l’accesso ai dati sia il più possibile sicuro, limitato e proporzionato allo scopo perseguito, subordinando anche l’operato dell’autorità al controllo regolare da parte di un organismo terzo e indipendente.
Ilaria Feriti