Corte di giustizia dell'Unione Europea
Quinta Sezione
Sentenza 17 giugno 2021
«Rinvio pregiudiziale - Proprietà intellettuale - Diritto d'autore e diritti connessi - Direttiva 2001/29/CE - Articolo 3, paragrafi 1 e 2 - Nozione di "messa a disposizione del pubblico" - Scaricamento mediante una rete tra pari (peer-to-peer) di un file contenente un'opera protetta e contemporanea messa a disposizione dei segmenti di tale file al fine di essere caricati - Direttiva 2004/48/CE - Articolo 3, paragrafo 2 - Abuso di misure, procedure e mezzi di ricorso - Articolo 4 - Soggetti legittimati a chiedere l'applicazione di misure, procedure e mezzi di ricorso - Articolo 8 - Diritto d'informazione - Articolo 13 - Nozione di "pregiudizio" - Regolamento (UE) 2016/679 - Articolo 6, paragrafo 1, primo comma, lettera f) - Protezione delle persone fisiche con riguardo al trattamento dei dati personali - Liceità del trattamento - Direttiva 2002/58/CE - Articolo 15, paragrafo 1 - Disposizioni legislative volte a limitare la portata dei diritti e degli obblighi - Diritti fondamentali - Articoli 7 e 8, articolo 17, paragrafo 2, nonché articolo 47, primo comma, della Carta dei diritti fondamentali dell'Unione europea».
Nella causa C-597/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dall'Ondernemingsrechtbank Antwerpen (Tribunale delle imprese, Anversa, Belgio), con decisione del 29 luglio 2019, pervenuta in cancelleria il 6 agosto 2019, nel procedimento Mircom International Content Management & Consulting (M.I.C.M.) Limited contro Telenet BVBA, con l'intervento di: Proximus NV, Scarlet Belgium NV.
[...]
1. La domanda di decisione pregiudiziale verte sull'interpretazione dell'articolo 3, paragrafi 1 e 2, della direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione (GU 2001, L 167, pag. 10), dell'articolo 3, paragrafo 2, e degli articoli 4, 8 e 13 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU 2004, L 157, pag. 45, e rettifica GU 2004, L 195, pag. 16), nonché dell'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1), in combinato disposto con l'articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11) (in prosieguo: la «direttiva 2002/58»).
2. Tale domanda è stata presentata nell'ambito di una controversia tra la Mircom International Content Management & Consulting (M.I.C.M.) Limited (in prosieguo: la «Mircom») - società di diritto cipriota, titolare di determinati diritti su un gran numero di film pornografici prodotti da otto imprese stabilite negli Stati Uniti e in Canada - e la Telenet BVBA - società stabilita in Belgio, che fornisce, segnatamente, servizi di accesso a Internet - relativamente al rifiuto di quest'ultima di fornire le informazioni che consentono di identificare i suoi clienti sulla base di diverse migliaia di indirizzi IP raccolti, per conto della Mircom, da una società specializzata, a partire da una rete tra utenti (peer-to-peer), nella quale alcuni clienti della Telenet, utilizzando il protocollo BitTorrent, hanno asseritamente messo a disposizione film facenti parte del catalogo della Mircom.
Contesto normativo
Diritto dell'Unione
Diritto di proprietà intellettuale
- Direttiva 2001/29
3. I considerando 3, 4, 9, 10 e 31 della direttiva 2001/29 sono così formulati:
«(3) L'armonizzazione proposta contribuisce all'applicazione delle quattro libertà del mercato interno e riguarda il rispetto dei principi fondamentali del diritto e segnatamente della proprietà, tra cui la proprietà intellettuale, della libertà d'espressione e dell'interesse generale.
(4) Un quadro giuridico armonizzato in materia di diritto d'autore e di diritti connessi, creando una maggiore certezza del diritto e prevedendo un elevato livello di protezione della proprietà intellettuale, promuoverà notevoli investimenti in attività creatrici ed innovatrici (...)
(...)
(9) Ogni armonizzazione del diritto d'autore e dei diritti connessi dovrebbe prendere le mosse da un alto livello di protezione, dal momento che tali diritti sono essenziali per la creazione intellettuale. La loro protezione contribuisce alla salvaguardia e allo sviluppo della creatività nell'interesse di autori, interpreti o esecutori, produttori e consumatori, nonché della cultura, dell'industria e del pubblico in generale. Si è pertanto riconosciuto che la proprietà intellettuale costituisce parte integrante del diritto di proprietà.
(10) Per continuare la loro attività creativa e artistica, gli autori e gli interpreti o esecutori debbono ricevere un adeguato compenso per l'utilizzo delle loro opere, come pure i produttori per poter finanziare tale creazione. Gli investimenti necessari a fabbricare prodotti quali riproduzioni fonografiche, pellicole o prodotti multimediali e servizi quali i servizi su richiesta ("on-demand") sono considerevoli. È necessaria un'adeguata protezione giuridica dei diritti di proprietà intellettuale per garantire la disponibilità di tale compenso e consentire un soddisfacente rendimento degli investimenti.
(...)
(31) Deve essere garantito un giusto equilibrio tra i diritti e gli interessi delle varie categorie di titolari nonché tra quelli dei vari titolari e quelli degli utenti dei materiali protetti. (...)».
4. Ai sensi dell'articolo 3 di tale direttiva, intitolato «Diritto di comunicazione di opere al pubblico, compreso il diritto di mettere a disposizione del pubblico altri materiali protetti»:
«1. Gli Stati membri riconoscono agli autori il diritto esclusivo di autorizzare o vietare qualsiasi comunicazione al pubblico, su filo o senza filo, delle loro opere, compresa la messa a disposizione del pubblico delle loro opere in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente.
2. Gli Stati membri riconoscono ai soggetti sotto elencati il diritto esclusivo di autorizzare o vietare la messa a disposizione del pubblico, su filo o senza filo, in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente:
(...)
c) ai produttori delle prime fissazioni di una pellicola, per quanto riguarda l'originale e le copie delle loro pellicole;
(...)
3. I diritti di cui ai paragrafi 1 e 2 non si esauriscono con alcun atto di comunicazione al pubblico o con la loro messa a disposizione del pubblico, come indicato nel presente articolo».
- Direttiva 2004/48
5. I considerando 10, 14 e 18 della direttiva 2004/48 così recitano:
«(10) L'obiettivo della presente direttiva è di ravvicinare queste legislazioni al fine di assicurare un livello elevato, equivalente ed omogeneo di protezione della proprietà intellettuale nel mercato interno.
(...)
(14) È necessario che le misure previste dall'articolo 6, paragrafo 2, dall'articolo 8, paragrafo 1, e dall'articolo 9, paragrafo 2, siano applicate unicamente ad atti commessi su scala commerciale. Ciò lascia impregiudicata la possibilità per gli Stati membri di applicare tali misure anche nei confronti di altri atti. Per atti commessi su scala commerciale si intendono gli atti effettuati per ottenere vantaggi economici o commerciali diretti o indiretti, con l'esclusione di norma degli atti effettuati dai consumatori finali in buona fede.
(...)
(18) Il diritto di chiedere l'applicazione di tali misure, procedure e mezzi di ricorso dovrebbe essere riconosciuto non soltanto ai titolari dei diritti, ma anche alle persone direttamente interessate e legittimate ad agire nella misura in cui ciò è consentito dalla legge applicabile e conformemente ad essa, comprese eventualmente le organizzazioni professionali di gestione dei diritti o di difesa degli interessi collettivi e individuali di cui sono responsabili».
6. L'articolo 2 di tale direttiva, intitolato «Campo d'applicazione», ai paragrafi 1 e 3, lettera a), prevede quanto segue:
«1. Fatti salvi gli strumenti vigenti o da adottare nella legislazione comunitaria o nazionale, e sempre che questi siano più favorevoli ai titolari dei diritti, le misure, le procedure e i mezzi di ricorso di cui alla presente direttiva si applicano, conformemente all'articolo 3, alle violazioni dei diritti di proprietà intellettuale come previsto dalla legislazione comunitaria e/o dalla legislazione nazionale dello Stato membro interessato.
(...)
3. La presente direttiva fa salve:
a) le disposizioni comunitarie che disciplinano il diritto sostanziale di proprietà intellettuale, la direttiva 95/46/CE, [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)] (...)».
7. Il capo II della direttiva 2004/48, intitolato «Misure, procedure e mezzi di ricorso», contiene gli articoli da 3 a 15 della medesima. L'articolo 3 di tale direttiva, intitolato «Obbligo generale», dispone quanto segue:
«1. Gli Stati membri definiscono le misure, le procedure e i mezzi di ricorso necessari ad assicurare il rispetto dei diritti di proprietà intellettuale di cui alla presente direttiva. Tali misure, procedure e mezzi di ricorso sono leali ed equi, non inutilmente complessi o costosi e non comportano termini irragionevoli né ritardi ingiustificati.
2. Le misure, le procedure e i mezzi ricorso sono effettivi, proporzionati e dissuasivi e sono applicati in modo da evitare la creazione di ostacoli al commercio legittimo e da prevedere salvaguardie contro gli abusi».
8. Ai sensi dell'articolo 4 della direttiva 2004/48, intitolato «Soggetti legittimati a chiedere l'applicazione di misure, procedure e mezzi di ricorso»:
«Gli Stati membri riconoscono la legittimazione a chiedere l'applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al presente capo:
a) ai titolari dei diritti di proprietà intellettuale, conformemente alle disposizioni della legislazione applicabile;
b) a tutti gli altri soggetti autorizzati a disporre di questi diritti, in particolare ai titolari di licenze, se consentito dalle disposizioni della legislazione applicabile e conformemente alle medesime;
c) agli organi di gestione dei diritti di proprietà intellettuale collettivi regolarmente riconosciuti come aventi la facoltà di rappresentare i titolari dei diritti di proprietà intellettuale, se consentito dalle disposizioni della legislazione applicabile e conformemente alle medesime;
d) agli organi di difesa professionali regolarmente riconosciuti come aventi la facoltà di rappresentare i titolari dei diritti di proprietà intellettuale, se consentito dalle disposizioni della legislazione applicabile e conformemente alle medesime».
9. L'articolo 6 della direttiva in parola, intitolato «Elementi di prova», al paragrafo 2, enuncia quanto segue:
«Alle stesse condizioni, in caso di violazione commessa su scala commerciale, gli Stati membri adottano le misure necessarie per consentire alle autorità giudiziarie competenti di ordinare, se del caso, su richiesta di una parte, la comunicazione delle documentazioni bancarie, finanziarie o commerciali che si trovano in possesso della controparte, fatta salva la tutela delle informazioni riservate».
10. L'articolo 8 della medesima direttiva, intitolato «Diritto d'informazione», così prevede:
«1. Gli Stati membri assicurano che, nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale e in risposta a una richiesta giustificata e proporzionata del richiedente, l'autorità giudiziaria competente possa ordinare che le informazioni sull'origine e sulle reti di distribuzione di merci o di prestazione di servizi che violano un diritto di proprietà intellettuale siano fornite dall'autore della violazione e/o da ogni altra persona che:
a) sia stata trovata in possesso di merci oggetto di violazione di un diritto, su scala commerciale;
b) sia stata sorpresa a utilizzare servizi oggetto di violazione di un diritto, su scala commerciale;
c) sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attività di violazione di un diritto;
oppure
d) sia stata indicata dai soggetti di cui alle lettere a), b) o c) come persona implicata nella produzione, fabbricazione o distribuzione di tali prodotti o nella fornitura di tali servizi.
2. Le informazioni di cui al paragrafo 1 comprendono, ove opportuno, quanto segue:
a) nome e indirizzo dei produttori, dei fabbricanti, dei distributori, dei fornitori e degli altri precedenti detentori dei prodotti o dei servizi, nonché dei grossisti e dei dettaglianti;
b) informazioni sulle quantità prodotte, fabbricate, consegnate, ricevute o ordinate, nonché sul prezzo spuntato per i prodotti o i servizi in questione.
3. I paragrafi 1 e 2 si applicano fatte salve le altre disposizioni regolamentari che:
a) accordano al titolare diritti d'informazione più ampi;
b) disciplinano l'uso in sede civile o penale delle informazioni comunicate in virtù del presente articolo;
c) disciplinano la responsabilità per abuso del diritto d'informazione;
d) accordano la possibilità di rifiutarsi di fornire informazioni che costringerebbero i soggetti di cui al paragrafo 1 ad ammettere la sua partecipazione personale o quella di parenti stretti ad una violazione di un diritto di proprietà intellettuale;
oppure
e) disciplinano la protezione o la riservatezza delle fonti informative o il trattamento di dati personali».
11. Conformemente all'articolo 9, paragrafo 2, della direttiva 2004/48, intitolato «Misure provvisorie e cautelari»:
«Nei casi di violazioni commesse su scala commerciale gli Stati membri assicurano che, quando la parte lesa faccia valere l'esistenza di circostanze atte a pregiudicare il pagamento del risarcimento, l'autorità giudiziaria competente possa disporre il sequestro conservativo di beni mobili e immobili del presunto autore della violazione, compreso il blocco dei suoi conti bancari e di altri averi. A tal fine la competente autorità può disporre la comunicazione delle documentazioni bancarie, finanziarie o commerciali, o l'appropriato accesso alle pertinenti informazioni».
12. Ai sensi dell'articolo 13, di tale direttiva, intitolato «Risarcimento del danno»:
«1. Gli Stati membri assicurano che, su richiesta della parte lesa, le competenti autorità giudiziarie ordinino all'autore della violazione, implicato consapevolmente o con ragionevoli motivi per esserne consapevole in un'attività di violazione di risarcire al titolare del diritto danni adeguati al pregiudizio effettivo da questo subito a causa della violazione.
Allorché l'autorità giudiziaria fissa i danni:
a) tiene conto di tutti gli aspetti pertinenti, quali le conseguenze economiche negative, compreso il mancato guadagno subito dalla parte lesa, i benefici realizzati illegalmente dall'autore della violazione, e, nei casi appropriati, elementi diversi da quelli economici, come il danno morale arrecato al titolare del diritto dalla violazione;
b) oppure in alternativa alla lettera a) può fissare, in casi appropriati, una somma forfettaria in base ad elementi quali, per lo meno, l'importo dei diritti che avrebbero dovuto essere riconosciuti qualora l'autore della violazione avesse richiesto l'autorizzazione per l'uso del diritto di proprietà intellettuale in questione.
2. Nei casi in cui l'autore della violazione è stato implicato in un'attività di violazione senza saperlo o senza avere motivi ragionevoli per saperlo, gli Stati membri possono prevedere la possibilità che l'autorità giudiziaria disponga il recupero dei profitti o il pagamento di danni che possono essere predeterminati».
- Direttiva 2014/26/UE
13. L'articolo 39 della direttiva 2014/26/UE del Parlamento europeo e del Consiglio, del 26 febbraio 2014, sulla gestione collettiva dei diritti d'autore e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l'uso online nel mercato interno (GU 2014, L 84, pag. 72), intitolato «Notifica degli organismi di gestione collettiva», dispone quanto segue:
«Gli Stati membri, sulla base delle informazioni a loro disposizione, forniscono alla Commissione un elenco degli organismi di gestione collettiva con sede sul proprio territorio entro il 10 aprile 2016.
Gli Stati membri comunicano qualsiasi modifica a tale elenco alla Commissione senza indebito ritardo.
La Commissione pubblica tali informazioni e le tiene aggiornate».
Normativa relativa alla protezione dei dati personali
- Direttiva 95/46
14. L'articolo 7, lettera f), della direttiva 95/46, contenuto nel capo II, sezione II, della medesima, intitolata «Principi relativi alla legittimazione del trattamento dei dati», così prevedeva:
«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:
(...)
f) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1».
15. L'articolo 8, paragrafo 1 e paragrafo 2, lettera e), di tale direttiva era così formulato:
«1. Gli Stati membri vietano il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale.
2. Il paragrafo 1 non si applica qualora:
(...)
e) il trattamento riguardi dati resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria».
16. L'articolo 13, paragrafo 1, lettera g), della direttiva in parola disponeva quanto segue:
«Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
(...)
g) della protezione della persona interessata o dei diritti e delle libertà altrui».
- Regolamento 2016/679
17. L'articolo 4 del regolamento 2016/679, intitolato «Definizioni», ai punti 1, 2, 9 e 10 precisa quanto segue:
«Ai fini del presente regolamento s'intende per:
1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
9) "destinatario": la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. (...)
10) "terzo": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile».
18. L'articolo 6 di tale regolamento, intitolato «Liceità del trattamento», al paragrafo 1, primo comma, lettera f), e secondo comma, così prevede:
«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(...)
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti».
19. L'articolo 9 di detto regolamento, intitolato «Trattamento di categorie particolari di dati personali», al paragrafo 2, lettere e) e f), prevede che il divieto di trattamento di taluni tipi di dati personali che rivelino, segnatamente, dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica non si applica qualora il trattamento riguardi dati personali resi manifestamente pubblici dall'interessato o sia necessario, in particolare, per accertare, esercitare o difendere un diritto in sede giudiziaria.
20. L'articolo 23 del regolamento 2016/679, intitolato «Limitazioni», al paragrafo 1, lettere i) e j), dispone quanto segue:
«Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
(...)
i) la tutela dell'interessato o dei diritti e delle libertà altrui;
j) l'esecuzione delle azioni civili».
21. Ai sensi dell'articolo 94 del regolamento 2016/679, intitolato «Abrogazione della direttiva [95/46]»:
«1. La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.
2. I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. (...)».
22. L'articolo 95 del medesimo regolamento, intitolato «Relazione con la direttiva [2002/58]», enuncia quanto segue:
«Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva [2002/58]».
- Direttiva 2002/58
23. L'articolo 1 della direttiva 2002/58, intitolato «Finalità e campo d'applicazione», ai paragrafi 1 e 2, dispone quanto segue:
«1. La presente direttiva prevede l'armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all'interno della Comunità.
2. Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva [95/46]. (...)».
24. L'articolo 2, secondo comma, lettera b), della direttiva 2002/58, intitolato «Definizioni», dispone quanto segue:
«Si applicano inoltre le seguenti definizioni:
(...)
«b) "dati relativi al traffico": qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione».
25. L'articolo 5 di tale direttiva, intitolato «Riservatezza delle comunicazioni», così prevede:
«1. Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico. In particolare essi vietano l'ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando sia autorizzato legalmente a norma dell'articolo 15, paragrafo 1. Questo paragrafo non impedisce la memorizzazione tecnica necessaria alla trasmissione della comunicazione fatto salvo il principio della riservatezza.
2. Il paragrafo 1 non pregiudica la registrazione legalmente autorizzata di comunicazioni e dei relativi dati sul traffico se effettuata nel quadro di legittime prassi commerciali allo scopo di fornire la prova di una transazione o di una qualsiasi altra comunicazione commerciale.
3. Gli Stati membri assicurano che l'archiviazione di informazioni oppure l'accesso a informazioni già archiviate nell'apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva [95/46], tra l'altro sugli scopi del trattamento. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio».
26. L'articolo 6 della suddetta direttiva, intitolato «Dati sul traffico», dispone quanto segue:
«1. I dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettronica devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatti salvi i paragrafi 2, 3 e 5 del presente articolo e l'articolo 15, paragrafo 1.
2. I dati relativi al traffico che risultano necessari ai fini della fatturazione per l'abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.
3. Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui al paragrafo 1 nella misura e per la durata necessaria per siffatti servizi, o per la commercializzazione, sempre che l'abbonato o l'utente a cui i dati si riferiscono abbia espresso preliminarmente il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento.
4. Il fornitore dei servizi deve informare l'abbonato o l'utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del trattamento ai fini enunciati al paragrafo 2 e, prima di ottenere il consenso, ai fini enunciati al paragrafo 3.
5. Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto l'autorità dei fornitori della rete pubblica di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dell'accertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento di tali attività.
6. I paragrafi 1, 2, 3 e 5 non pregiudicano la facoltà degli organismi competenti di ottenere i dati relativi al traffico in base alla normativa applicabile al fine della risoluzione delle controversie, in particolare di quelle attinenti all'interconnessione e alla fatturazione».
27. L'articolo 15 della direttiva 2002/58, intitolato «Applicazione di alcune disposizioni della direttiva [95/46]», al paragrafo 1 prevede quanto segue:
«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all'articolo 8, paragrafi da 1 a 4, e all'articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell'articolo 13, paragrafo 1, della direttiva [95/46], una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l'altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all'articolo 6, paragrafi 1 e 2, [TUE]».
Diritto belga
28. Ai sensi dell'articolo XI.165, paragrafo 1, quarto comma, del Wetboek Economisch Recht (Codice di diritto economico), solo l'autore di un'opera letteraria o artistica ha il diritto di comunicarla al pubblico con qualsiasi procedimento, ivi compresa la messa a disposizione del pubblico in maniera tale che ciascuno possa avervi accesso dal luogo e nel momento scelti individualmente.
Procedimento principale e questioni pregiudiziali
29. Il 6 giugno 2019, la Mircom ha investito l'Ondernemingsrechtbank Antwerpen (Tribunale delle imprese di Anversa, Belgio) di un'azione diretta, segnatamente, a far ingiungere alla Telenet di produrre i dati identificativi dei suoi clienti le cui connessioni Internet sarebbero state utilizzate per condividere, su una rete tra utenti (peer-to-peer) con l'ausilio del protocollo BitTorrent, film facenti parte del catalogo della Mircom.
30. La Mircom afferma, infatti, di possedere migliaia di indirizzi IP dinamici, registrati per suo conto, grazie al software FileWatchBT, dalla Media Protector GmbH, una società stabilita in Germania, al momento della connessione dei suddetti clienti della Telenet mediante il software di condivisione client-BitTorrent.
31. La Telenet, sostenuta da altri due fornitori di accesso a Internet stabiliti in Belgio, la Proximus NV e la Scarlet Belgium NV, si oppone all'azione della Mircom.
32. In primo luogo, alla luce della sentenza del 14 giugno 2017, Stichting Brein (C-610/15, EU:C:2017:456) - la quale riguardava la comunicazione al pubblico, ai sensi dell'articolo 3, paragrafo 1, della direttiva 2001/29, da parte dei gestori di una piattaforma di condivisione su Internet nell'ambito di una rete tra utenti (peer-to-peer) - il giudice del rinvio si chiede se una simile comunicazione al pubblico possa essere effettuata da singoli utenti di una siffatta rete, denominati «downloaders», i quali, scaricando segmenti di un file digitale contenente un'opera protetta dal diritto d'autore, mettono simultaneamente a disposizione tali segmenti al fine di essere caricati da altri utenti. I suddetti utenti, infatti, appartenenti a un gruppo di persone che scaricano, denominato lo «swarm», diventano in tal modo, a loro volta, seeders di detti segmenti, al pari del seeder iniziale non determinato, il quale è all'origine della prima messa a disposizione di tale file in detta rete.
33. Al riguardo, il giudice del rinvio precisa, da un lato, che i segmenti non sono semplici frammenti del file originario, bensì file criptati autonomi - di per sé inutilizzabili - e, dall'altro, che, a causa della modalità di funzionamento della tecnologia BitTorrent, il caricamento dei segmenti di un file, denominato «seeding», avviene, di regola, automaticamente, atteso che tale caratteristica può essere eliminata soltanto mediante determinati programmi.
34. Ciononostante, la Mircom sostiene che si deve tener conto anche degli scaricamenti di segmenti che, insieme, rappresentano almeno il 20% del relativo file multimediale, dal momento che, a partire da detta percentuale, diviene possibile ottenere un'anteprima di tale file, sebbene in modo frammentario e di una qualità molto incerta.
35. In secondo luogo, il giudice del rinvio nutre dubbi sul fatto che un'impresa, quale la Mircom, possa godere della protezione conferita dalla direttiva 2004/48, nella misura in cui essa non sfrutta effettivamente i diritti ceduti dagli autori dei film in questione, ma si limita a chiedere un risarcimento del danno a presunti autori di violazioni; un siffatto modello assomiglia alla definizione di un «troll del diritto d'autore» (copyright troll).
36. In terzo luogo, si porrebbe altresì la questione della liceità del modo in cui gli indirizzi IP sono stati raccolti dalla Mircom, alla luce dell'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679.
37. Stanti tali circostanze, l'Ondernemingsrechtbank Antwerpen (Tribunale delle imprese, Anversa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) a) Se lo scaricamento di un file mediante una rete tra utenti (peer-to-peer) e la contemporanea messa a disposizione per il caricamento ("seeding") di parti ("pieces") dello stesso (talvolta in modo molto frammentario rispetto all'intero), possano essere considerati una comunicazione al pubblico, ai sensi dell'articolo 3, paragrafo 1, della direttiva 2001/29, sebbene detti pieces siano singolarmente inutilizzabili.
In caso affermativo,
b) se esista una soglia minima perché il seeding dei pieces in parola possa configurare una comunicazione al pubblico.
c) se sia rilevante la circostanza che il seeding può avvenire automaticamente (per effetto delle configurazioni del cliente torrent) e pertanto all'insaputa dell'utente.
2) a) Se la persona contrattualmente titolare di diritti d'autore (o di diritti connessi), che non sfrutta essa stessa detti diritti ma chiede unicamente un risarcimento del danno dai presunti autori di violazioni - e il cui modello economico di business dipende dunque dall'esistenza della pirateria invece che dalla lotta alla medesima - goda degli stessi diritti conferiti dal capo II della direttiva 2004/48 agli autori o ai licenziatari che sfruttano i diritti d'autore in modo regolare.
b) Come possa in tal caso il licenziatario di cui trattasi aver subito un "pregiudizio" (ai sensi dell'articolo 13 della direttiva 2004/48) per effetto della violazione.
3) Se le circostanze fattuali esposte alla prima e alla seconda questione siano rilevanti nel quadro della valutazione del giusto equilibrio tra, da un lato, il rispetto dei diritti di proprietà intellettuale e, dall'altro, i diritti e le libertà garantiti dalla [Carta dei diritti fondamentali dell'Unione europea], come il rispetto della vita privata e la tutela dei dati personali, segnatamente nell'ambito della valutazione della proporzionalità.
4) Se in tutte queste circostanze la registrazione sistematica e il successivo trattamento generale degli indirizzi IP di uno swarm di seeders (ad opera dello stesso licenziatario e di un terzo su incarico di questo) siano compatibili con il regolamento [2016/679], e segnatamente con il suo articolo 6, paragrafo 1, lettera f)».
Sulle questioni pregiudiziali
Sulla prima questione
38. In via preliminare si deve ricordare che, nell'ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita all'articolo 267 TFUE, spetta a quest'ultima fornire al giudice nazionale una soluzione utile che gli consenta di dirimere la controversia ad esso sottoposta. In tale prospettiva, alla Corte spetta, se necessario, riformulare le questioni che le sono sottoposte. Infatti, la Corte ha il compito di interpretare tutte le disposizioni del diritto dell'Unione che possano essere utili ai giudici nazionali al fine di dirimere le controversie di cui sono investiti, anche qualora tali disposizioni non siano espressamente indicate nelle questioni a essa sottoposte da detti giudici (sentenza del 19 dicembre 2019, Nederlands Uitgeversverbond e Groep Algemene Uitgevers, C-263/18, EU:C:2019:1111, punto 31 nonché giurisprudenza ivi citata).
39. A tal riguardo, la Corte può trarre dall'insieme degli elementi forniti dal giudice nazionale e, in particolare, dalla motivazione della decisione di rinvio, gli elementi del predetto diritto che richiedano un'interpretazione tenuto conto dell'oggetto della controversia di cui al procedimento principale (sentenza del 19 dicembre 2019, Nederlands Uitgeversverbond e Groep Algemene Uitgevers, C-263/18, EU:C:2019:1111, punto 32 nonché giurisprudenza ivi citata).
40. Nel caso di specie, con la sua prima questione, il giudice del rinvio chiede alla Corte, in sostanza, se la nozione di «comunicazione al pubblico», di cui all'articolo 3, paragrafo 1, della direttiva 2001/29, comprenda la condivisione, su una rete tra utenti (peer-to-peer), di segmenti, talvolta molto frammentari, di un file multimediale contenente un'opera protetta. Tuttavia, come rilevato dall'avvocato generale al paragrafo 34 delle sue conclusioni, poiché, nel procedimento principale, sono coinvolti i diritti dei produttori di film, appare che, nel caso di specie, possa piuttosto trovare applicazione l'articolo 3, paragrafo 2, lettera c), della direttiva in parola.
41. In tale contesto, non avendo il legislatore dell'Unione espresso diversa volontà, l'espressione «messa a disposizione del pubblico», utilizzata all'articolo 3, paragrafo 1, della direttiva 2001/29 in quanto forma del diritto esclusivo degli autori di autorizzare o vietare qualsiasi «comunicazione al pubblico», e l'espressione identica contenuta all'articolo 3, paragrafo 2, di tale direttiva, che designa un diritto esclusivo appartenente ai titolari dei diritti connessi, devono essere interpretate nel senso che possiedono lo stesso significato (v., per analogia, sentenza del 2 aprile 2020, Stim e SAMI, C-753/18, EU:C:2020:268, punto 28 nonché giurisprudenza ivi citata).
42. Alla luce di tali considerazioni, occorre riformulare la prima questione nel senso che, con essa, il giudice del rinvio chiede, in sostanza, se l'articolo 3, paragrafi 1 e 2, della direttiva 2001/29 debba essere interpretato nel senso che costituisce una messa a disposizione del pubblico, ai sensi di tale disposizione, il caricamento, a partire dall'apparecchiatura terminale di un utente di una rete tra pari (peer-to-peer) verso apparecchiature terminali di altri utenti di tale rete, dei segmenti, previamente scaricati da detto utente, di un file digitale contenente un'opera protetta, benché detti segmenti siano utilizzabili da soli soltanto a partire da una determinata percentuale di scaricamento e - a causa delle configurazioni del software di condivisione client-BitTorrent - tale caricamento sia automaticamente generato da detto software.
43. Anzitutto, occorre constatare che, come rilevato dall'avvocato generale al paragrafo 48 delle sue conclusioni, detti segmenti non sono parti di opere, bensì parti dei file contenenti tali opere che servono alla trasmissione di detti file secondo il protocollo BitTorrent. Pertanto, il fatto che i segmenti che vengono trasmessi sono da soli inutilizzabili è irrilevante, in quanto ciò che è messo a disposizione è il file contenente l'opera, vale a dire l'opera in formato digitale.
44. Al riguardo, come rilevato dall'avvocato generale al paragrafo 49 delle sue conclusioni, il funzionamento delle reti tra utenti (peer-to-peer) non differisce, in sostanza, da quello di Internet in generale o, più precisamente, dalla Rete (World Wide Web), in cui i file contenenti un'opera sono suddivisi in piccoli pacchetti di dati, i quali vengono inoltrati tra il server e il cliente in un ordine aleatorio e attraverso percorsi differenti.
45. Nel caso di specie, come risulta dalla decisione di rinvio, qualsiasi utente della rete tra pari (peer-to-peer) può facilmente ricostituire il file originario a partire da segmenti disponibili sui computer degli utenti che partecipano al medesimo swarm. Il fatto che un utente non riesca, individualmente, a scaricare il file originario integrale non impedisce che egli metta a disposizione dei suoi pari (peers) i segmenti di tale file che è riuscito a scaricare sul suo computer e che contribuisca, in tal modo, a generare una situazione in cui, in definitiva, tutti gli utenti che partecipano allo swarm hanno accesso al file integrale.
46. Al fine di stabilire se sussista una «messa a disposizione», ai sensi dell'articolo 3, paragrafi 1 e 2, della direttiva 2001/29, in una simile situazione, non è necessario provare che l'utente interessato abbia previamente scaricato un numero di segmenti tale da raggiungere una soglia minima.
47. Perché sussista un «atto di comunicazione» e, di conseguenza, un atto di messa a disposizione, è sufficiente, infatti, in ultima analisi, che un'opera sia messa a disposizione di un pubblico di modo che coloro che compongono tale pubblico possano avervi accesso, dal luogo e nel momento da essi scelti individualmente, senza che sia determinante che utilizzino o meno tale possibilità (v., in tal senso, sentenza del 7 agosto 2018, Renckhoff, C-161/17, EU:C:2018:634, punto 20). La nozione di «atto di comunicazione» comprende, al riguardo, qualsiasi trasmissione delle opere protette, a prescindere dal mezzo o dal procedimento tecnico utilizzato (sentenza del 29 novembre 2017, VCAST, C-265/16, EU:C:2017:913; punto 42 e giurisprudenza ivi citata).
48. Pertanto, è idoneo a costituire un atto di messa a disposizione ai sensi dell'articolo 3, paragrafi 1 e 2, della direttiva 2001/29 qualsiasi atto con il quale un utente, con piena cognizione delle conseguenze del suo comportamento, dia accesso a opere o ad altri materiali protetti (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C-392/19, EU:C:2021:181, punto 30 e giurisprudenza ivi citata).
49. Nel caso di specie, risulta che ogni utente della rete tra pari (peer-to-peer) di cui trattasi che non abbia disattivato la funzione di caricamento del software di condivisione client-BitTorrent carica su tale rete i segmenti dei file multimediali che ha precedentemente scaricato sul suo computer. Purché risulti - circostanza questa che spetta al giudice del rinvio verificare - che gli utenti interessati di tale rete hanno acconsentito all'utilizzo di tale software dando il loro consenso all'applicazione di quest'ultimo dopo essere stati debitamente informati sulle sue caratteristiche, si deve ritenere che detti utenti agiscano con piena cognizione del loro comportamento e delle eventuali relative conseguenze. Una volta accertato, infatti, che essi hanno attivamente acconsentito all'utilizzo di un siffatto software, l'intenzionalità del loro comportamento non è in alcun modo inficiata dal fatto che il caricamento sia automaticamente generato da tale software.
50. Sebbene dalle considerazioni che precedono risulti che, fatte salve le verifiche in punto di fatto spettanti al giudice del rinvio, il comportamento degli utenti interessati può costituire un atto di messa a disposizione di un'opera o di un altro materiale protetto, occorre, tuttavia, esaminare successivamente se un siffatto comportamento costituisca una messa a disposizione «del pubblico», ai sensi dell'articolo 3, paragrafi 1 e 2, della direttiva 2001/29.
51. Al riguardo, si deve ricordare che, per rientrare nella nozione di «messa a disposizione del pubblico», ai sensi della suddetta disposizione, le opere o gli altri materiali protetti devono effettivamente essere messi a disposizione di un pubblico, atteso che tale messa a disposizione riguarda un numero indeterminato di destinatari potenziali e coinvolge un numero di persone piuttosto considerevole. Occorre inoltre che tale messa a disposizione sia effettuata secondo una modalità tecnica specifica, diversa da quelle fino ad allora utilizzate o, in mancanza, presso un pubblico nuovo, vale a dire un pubblico che non sia già stato preso in considerazione dal titolare del diritto d'autore o dei diritti connessi quando ha autorizzato la messa a disposizione iniziale della sua opera o di altri materiali protetti al pubblico (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C-392/19, EU:C:2021:181, punti 31 e 32 nonché giurisprudenza ivi citata).
52. Per quanto riguarda le reti tra utenti (peer-to-peer), la Corte ha già dichiarato che la messa a disposizione e la gestione, su Internet, di una piattaforma di condivisione che, mediante l'indicizzazione di metadati relativi ad opere protette e la fornitura di un motore di ricerca, consente agli utenti di tale piattaforma di localizzare tali opere e di condividerle nell'ambito di una simile rete costituisce una comunicazione al pubblico, ai sensi dell'articolo 3, paragrafo 1, della direttiva 2001/29 (sentenza del 14 giugno 2017, Stichting Brein, C-610/15, EU:C:2017:456, punto 48).
53. Nel caso di specie, come in sostanza constatato dall'avvocato generale ai paragrafi 37 e 61 delle sue conclusioni, i computer dei suddetti utenti che condividono lo stesso file costituiscono la rete tra pari (peer-to-peer) vera e propria, denominata lo «swarm», nella quale essi svolgono lo stesso ruolo dei server nel funzionamento della Rete (World Wide Web).
54. È pacifico che una siffatta rete è utilizzata da un numero considerevole di persone, come risulta del resto dall'elevato numero di indirizzi IP registrati dalla Mircom. Inoltre, tali utenti possono accedere, in qualsiasi momento e simultaneamente, alle opere protette che siano condivise mediante la suddetta piattaforma.
55. Di conseguenza, tale messa a disposizione riguarda un numero indeterminato di destinatari potenziali e coinvolge un numero di persone piuttosto considerevole.
56. Inoltre, dal momento che, nel caso di specie, si tratta di opere pubblicate senza l'autorizzazione dei titolari di diritti, si deve ritenere che sussista anche la messa a disposizione di un pubblico nuovo (v., per analogia, sentenza del 14 giugno 2017, Stichting Brein, C-610/15, EU:C:2017:456, punto 45 e giurisprudenza ivi citata).
57. In ogni caso, anche qualora si dovesse accertare che un'opera è stata previamente pubblicata su un sito Internet, senza restrizioni che impediscano il suo scaricamento e con l'autorizzazione del titolare del diritto d'autore o dei diritti connessi, il fatto che, mediante una rete tra pari (peer-to-peer), utenti come quelli di cui trattasi nel procedimento principale abbiano scaricato segmenti del file contenente tale opera su un server privato e a ciò sia seguita una messa a disposizione mediante il caricamento di tali segmenti all'interno di questa medesima rete significa che tali utenti hanno svolto un ruolo decisivo nella messa a disposizione di detta opera a un pubblico che non era stato preso in considerazione dal titolare di diritti d'autore o di diritti connessi su quest'ultima quando ha autorizzato la comunicazione iniziale (v., per analogia, sentenza del 7 agosto 2018, Renckhoff, C-161/17, EU:C:2018:634, punti 46 e 47).
58. Consentire una siffatta messa a disposizione mediante il caricamento di un'opera, senza che il titolare del diritto d'autore o dei diritti connessi su quest'ultima possa far valere i diritti previsti dall'articolo 3, paragrafi 1 e 2, della direttiva 2001/29 non rispetterebbe il giusto equilibrio, di cui ai considerando 3 e 31 di tale direttiva, che deve essere mantenuto, nell'ambiente digitale, tra, da un lato, l'interesse dei titolari del diritto d'autore e dei diritti connessi alla protezione della loro proprietà intellettuale, garantita all'articolo 17, paragrafo 2, della Carta dei diritti fondamentali (in prosieguo: la «Carta»), e, dall'altro, la tutela degli interessi e dei diritti fondamentali degli utilizzatori dei materiali protetti, in particolare la tutela della loro libertà di espressione e d'informazione, garantita all'articolo 11 della Carta, nonché la tutela dell'interesse generale (v., in tal senso, sentenza del 9 marzo 2021, VG Bild-Kunst, C-392/19, EU:C:2021:181, punto 54 e giurisprudenza ivi citata). Il mancato rispetto di tale equilibrio pregiudicherebbe, inoltre, l'obiettivo principale della direttiva 2001/29, che consiste, come risulta dai considerando 4, 9 e 10 della medesima, nella previsione di un elevato livello di protezione a favore dei titolari di diritti che consenta a questi ultimi di ottenere un adeguato compenso per l'utilizzo delle loro opere o di altri materiali protetti, in particolare in occasione di una messa a disposizione del pubblico.
59. Alla luce delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l'articolo 3, paragrafi 1 e 2, della direttiva 2001/29 deve essere interpretato nel senso che costituisce una messa a disposizione del pubblico, ai sensi di tale disposizione, il caricamento, a partire dall'apparecchiatura terminale di un utente di una rete tra pari (peer-to-peer) verso apparecchiature terminali di altri utenti di tale rete, dei segmenti, previamente scaricati da detto utente, di un file multimediale contenente un'opera protetta, benché tali segmenti siano utilizzabili da soli soltanto a partire da una determinata percentuale di scaricamento. È irrilevante il fatto che, per via delle configurazioni del software di condivisione client-BitTorrent, tale caricamento sia automaticamente generato da quest'ultimo, qualora l'utente, dalla cui apparecchiatura terminale avviene detto caricamento, abbia acconsentito all'utilizzo di tale software dando il suo consenso all'applicazione di quest'ultimo dopo essere stato debitamente informato delle sue caratteristiche.
Sulla seconda questione
60. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se la direttiva 2004/48 debba essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno ai presunti autori di violazioni, possa beneficiare delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva.
61. Tale questione deve essere intesa come comprensiva di tre parti, vale a dire, in primo luogo, quella relativa alla legittimazione ad agire di un soggetto come la Mircom per chiedere l'applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48; in secondo luogo, quella inerente alla questione di stabilire se un soggetto del genere può aver subito un pregiudizio, ai sensi dell'articolo 13 di tale direttiva e, in terzo luogo, quella concernente la ricevibilità della sua richiesta di informazioni, ai sensi dell'articolo 8 della direttiva in parola, in combinato disposto con l'articolo 3, paragrafo 2, della medesima.
62. Per quanto riguarda la prima parte, relativa alla legittimazione ad agire della Mircom, occorre ricordare che il soggetto che chiede l'applicazione delle misure, delle procedure e dei mezzi di ricorso di cui al capo II della direttiva 2004/48 deve rientrare in una delle quattro categorie di persone o di organi elencati all'articolo 4, lettere da a) a d), della medesima.
63. Tali categorie comprendono, in primo luogo, i titolari dei diritti di proprietà intellettuale; in secondo luogo, tutti gli altri soggetti autorizzati a disporre di tali diritti, in particolare i titolari di licenze; in terzo luogo, gli organi di gestione dei diritti di proprietà intellettuale collettivi regolarmente riconosciuti come aventi la facoltà di rappresentare i titolari dei diritti di proprietà intellettuale e, in quarto luogo, gli organi di difesa professionali regolarmente riconosciuti come aventi la facoltà di rappresentare i titolari dei diritti di proprietà intellettuale.
64. Tuttavia, a differenza dei titolari dei diritti di proprietà intellettuale, ai sensi dell'articolo 4, lettera a), della direttiva 2004/48, conformemente al considerando 18 di tale direttiva, le tre categorie di persone di cui all'articolo 4, lettere da b) a d), della medesima devono, inoltre, avere un interesse diretto alla difesa di tali diritti ed essere legittimate ad agire, nei limiti in cui ciò è consentito dalla legge applicabile e conformemente ad essa (v., in tal senso, sentenza del 7 agosto 2018, SNB-REACT, C-521/17, EU:C:2018:639, punto 39).
65. Nel caso di specie, occorre anzitutto escludere la possibilità che la Mircom sia un organo di gestione collettiva o un organo di difesa professionale, ai sensi dell'articolo 4, lettere c) e d), della direttiva 2004/48. Come rilevato dall'avvocato generale ai paragrafi 92 e 93 delle sue conclusioni, infatti, la Mircom non ha, come del resto da essa stessa affermato, il compito di gestire i diritti d'autore e i diritti connessi delle sue controparti contrattuali o di assicurare la difesa professionale di questi ultimi, ma cerca unicamente di ottenere il risarcimento dei danni causati dalla lesione di tali diritti.
66. Stanti tali circostanze, occorre rilevare che l'attività di detti organi è armonizzata in seno all'Unione dalla direttiva 2014/26. Orbene, il nome della Mircom non figura nell'elenco degli organismi di gestione collettiva pubblicato dalla Commissione europea conformemente all'articolo 39 di tale direttiva.
67. Per quanto riguarda la qualità di titolare dei diritti di proprietà intellettuale, ai sensi dell'articolo 4, lettera a), della direttiva 2004/48, dal momento che tale disposizione non richiede che un titolare sfrutti effettivamente i suoi diritti di proprietà intellettuale, quest'ultimo non può essere escluso dall'ambito di applicazione di tale disposizione per via del mancato uso di tali diritti.
68. A tal riguardo, si deve osservare che il giudice del rinvio qualifica la Mircom come un soggetto contrattualmente titolare di diritti d'autore o di diritti connessi. In tale contesto, il beneficio delle misure, delle procedure e dei mezzi di ricorso di cui alla direttiva 2004/48 dovrebbe esserle riconosciuto nonostante il fatto che essa non sfrutti tali diritti.
69. Una società come la Mircom potrebbe, inoltre, essere considerata, in ogni caso, un altro soggetto autorizzato a disporre dei diritti di proprietà intellettuale, ai sensi dell'articolo 4, lettera b), della direttiva in parola, posto che tale autorizzazione non presuppone neppure un uso effettivo dei diritti ceduti. Il fatto di essere qualificato come «altro soggetto», ai sensi di detto articolo 4, lettera b), deve tuttavia, come ricordato al punto 64 della presente sentenza, essere verificato conformemente alle disposizioni della legislazione applicabile; tale rinvio si deve intendere, alla luce dell'articolo 2, paragrafo 1, di detta direttiva, come facente riferimento tanto alla normativa nazionale pertinente quanto, eventualmente, alla legislazione dell'Unione (v., in tal senso, sentenza del 7 agosto 2018, SNB-REACT, C-521/17, EU:C:2018:639, punto 31).
70. Per quanto riguarda la seconda parte della seconda questione, essa riguarda, in particolare, il fatto che, nel caso di specie, la Mircom non sfrutta e non sembra avere alcuna intenzione di sfruttare i diritti acquisiti sulle opere di cui trattasi nel procedimento principale. Secondo il giudice del rinvio, tale mancato sfruttamento dei diritti ceduti solleva dubbi sulla possibilità che un soggetto del genere subisca un pregiudizio, ai sensi dell'articolo 13 della direttiva 2004/48.
71. Tale questione riguarda, infatti, l'effettiva identità della parte lesa che ha subito, nel caso di specie, un pregiudizio, ai sensi dell'articolo 13 di tale direttiva, a causa della violazione dei diritti di proprietà intellettuale, ossia stabilire se il pregiudizio di cui trattasi sia stato subito dalla Mircom oppure dai produttori dei film interessati.
72. I titolari dei diritti di proprietà intellettuale, di cui all'articolo 4, lettera a), della direttiva 2004/48, e le persone autorizzate a disporre di tali diritti, di cui all'articolo 4, lettera b), della medesima, possono, certamente, essere lesi, in linea di principio, dalle attività di violazione di un diritto, nei limiti in cui, come rilevato, in sostanza, dall'avvocato generale al paragrafo 70 delle sue conclusioni, tali attività possono ostacolare lo sfruttamento normale di detti diritti o diminuirne gli introiti. Tuttavia, è altresì possibile che una persona, pur possedendo diritti di proprietà intellettuale, si limiti, infatti, a recuperare in nome e per conto proprio i danni a titolo di crediti cedutile da altri titolari di diritti di proprietà intellettuale.
73. Nel caso di specie, il giudice del rinvio sembra ritenere che la Mircom si limiti ad agire, dinanzi ad esso, in qualità di cessionario che fornisce ai produttori di film in questione un servizio di recupero di crediti risarcitori.
74. Orbene, si deve ritenere che il fatto che un soggetto di cui all'articolo 4 della direttiva 2004/48 si limiti a intentare una siffatta azione in qualità di cessionario non è idoneo ad escluderlo dal beneficio delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva.
75. Una simile esclusione contrasterebbe, infatti, con l'obiettivo generale della direttiva 2004/48 che consiste, come emerge dal suo considerando 10, segnatamente nel garantire un livello elevato di tutela della proprietà intellettuale nel mercato interno (v., in tal senso, sentenza del 18 gennaio 2017, NEW WAVE CZ, C-427/15, EU:C:2017:18, punto 23).
76. Occorre rilevare, a tal riguardo, che una cessione di crediti non può, di per sé, riguardare la natura dei diritti che sono stati lesi - nel caso di specie, i diritti di proprietà intellettuale dei produttori di film interessati - in particolare nel senso che essa inciderebbe sulla determinazione del giudice competente o su altri elementi di ordine procedurale, quali la possibilità di chiedere misure, procedure e mezzi di ricorso, ai sensi del capo II della direttiva 2004/48 (v., per analogia, sentenza del 21 maggio 2015, CDC Hydrogen Peroxide, C-352/13, EU:C:2015:335, punti 35 e 36 nonché la giurisprudenza ivi citata).
77. Di conseguenza, se un titolare di diritti di proprietà intellettuale scegliesse di esternalizzare il pagamento del risarcimento ricorrendo ad un'impresa specializzata mediante una cessione di crediti o un altro negozio giuridico, quest'ultimo non dovrebbe subire un trattamento meno favorevole di quello che subirebbe un altro titolare di tali diritti che scegliesse di far valere tali diritti personalmente. Un trattamento del genere, infatti, minerebbe l'attrattiva di tale esternalizzazione da un punto di vista economico e finirebbe per privare i titolari dei diritti di proprietà intellettuale di tale possibilità, la quale è del resto diffusa in vari settori del diritto, come quello della tutela dei passeggeri aerei prevista dal regolamento (CE) n. 261/2004 del Parlamento europeo e del Consiglio, dell'11 febbraio 2004, che istituisce regole comuni in materia di compensazione ed assistenza ai passeggeri in caso di negato imbarco, di cancellazione del volo o di ritardo prolungato e che abroga il regolamento (CEE) n. 295/91 (GU 2004, L 46, pag. 1).
78. Per quanto riguarda la terza parte della sua seconda questione, il giudice del rinvio nutre dubbi, in sostanza, sulla ricevibilità della richiesta di informazioni della Mircom, presentata ai sensi dell'articolo 8 della direttiva 2004/48, in quanto tale società non sfrutterebbe effettivamente i diritti che ha acquisito dai produttori di film in questione nel procedimento principale. Inoltre, occorre intendere che, richiamando la possibilità di qualificare la Mircom come «troll del diritto d'autore» (copyright troll), il giudice del rinvio solleva, in sostanza, la questione dell'esistenza di un eventuale abuso di diritto da parte della Mircom.
79. In primo luogo, il giudice del rinvio sembra dubitare del fatto che la Mircom abbia intenzione di proporre un'azione di risarcimento, in quanto esistono forti indizi secondo cui, generalmente, essa si limita a proporre una composizione amichevole al solo scopo di ottenere un risarcimento forfettario di EUR 500. Orbene, conformemente all'articolo 8, paragrafo 1, della direttiva 2004/48, una richiesta di informazioni deve essere formulata nel contesto dei procedimenti riguardanti la violazione di un diritto di proprietà intellettuale.
80. Al pari di quanto rilevato dall'avvocato generale al paragrafo 113 delle sue conclusioni, occorre constatare, al riguardo, che la ricerca di una composizione amichevole costituisce spesso un preliminare alla proposizione dell'azione di risarcimento vera e propria. Di conseguenza, non si può ritenere che, nell'ambito del sistema di tutela della proprietà intellettuale istituito dalla direttiva 2004/48, tale pratica sia vietata.
81. La Corte ha già dichiarato che l'articolo 8, paragrafo 1, della direttiva 2004/48 deve essere interpretato nel senso che esso si applica a una situazione, nella quale, dopo la conclusione definitiva del procedimento con cui è stata dichiarata sussistente una violazione del diritto di proprietà intellettuale, la parte attrice richieda, in un procedimento separato, informazioni sull'origine e le reti di distribuzione delle merci o dei servizi con cui è violato tale diritto (sentenza del 18 gennaio 2017, NEW WAVE CZ, C-427/15, EU:C:2017:18, punto 28).
82. Si deve applicare il medesimo ragionamento per quanto riguarda un procedimento separato che precede l'azione risarcitoria, come quello di cui trattasi nel procedimento principale, in cui, in forza dell'articolo 8, paragrafo 1, lettera c), della direttiva 2004/48, la parte attrice chiede a un fornitore di accesso a Internet, come la Telenet, che è stato sorpreso a fornire, su scala commerciale, servizi utilizzati in attività di violazione di un diritto, le informazioni che consentono l'identificazione dei suoi clienti proprio al fine di poter utilmente intentare un'azione giudiziaria nei confronti dei presunti autori della violazione.
83. Il diritto d'informazione previsto dal suddetto articolo 8 mira, infatti, a rendere applicabile e a dare espressione concreta al diritto fondamentale ad un ricorso effettivo garantito dall'articolo 47 della Carta e ad assicurare in tal modo l'esercizio effettivo del diritto fondamentale di proprietà, nel cui novero rientra il diritto di proprietà intellettuale tutelato all'articolo 17, paragrafo 2, di quest'ultima, consentendo al titolare di un diritto di proprietà intellettuale di individuare la persona che lo viola e di prendere i provvedimenti necessari per tutelare tale diritto (sentenza del 9 luglio 2020, Constantin Film Verleih, C-264/19, EU:C:2020:542, punto 35).
84. Di conseguenza, occorre constatare che una richiesta di informazioni, come quella della Mircom, formulata in una fase precontenziosa, non può, per ciò solo, essere considerata irricevibile.
85. In secondo luogo, ai sensi dell'articolo 8, paragrafo 1, della direttiva 2004/48, una simile richiesta deve essere giustificata e proporzionata.
86. È necessario constatare, alla luce delle considerazioni di cui ai punti da 70 a 77 della presente sentenza, che tale requisito potrebbe essere soddisfatto quando la richiesta di cui al citato articolo 8, paragrafo 1 è presentata da una società a tal fine contrattualmente autorizzata da produttori di film. Spetta, tuttavia, al giudice del rinvio determinare se la richiesta, come in concreto formulata da una siffatta società, sia effettivamente fondata.
87. In terzo luogo, richiamando l'espressione «i benefici realizzati illegalmente dall'autore della violazione», utilizzata all'articolo 13, paragrafo 1, secondo comma, lettera a), della direttiva 2004/48, nonché il requisito richiesto all'articolo 6, paragrafo 2, all'articolo 8, paragrafo 1, e all'articolo 9, paragrafo 2, di quest'ultima, secondo cui le violazioni devono essere commesse su scala commerciale, il giudice del rinvio ritiene che il legislatore dell'Unione abbia tenuto, in questo caso, maggiormente in considerazione la situazione che esige un'azione strutturale contro la diffusione della contraffazione sul mercato, e non già la lotta contro singoli autori di violazioni.
88. A tal riguardo, occorre rilevare, da un lato, che, conformemente al considerando 14 della direttiva 2004/48, il requisito secondo cui le violazioni devono essere commesse su scala commerciale si applica soltanto alle misure relative agli elementi di prova di cui all'articolo 6 di tale direttiva, alle misure relative al diritto d'informazione previste all'articolo 8 di quest'ultima e alle misure provvisorie e cautelari di cui all'articolo 9 della medesima, fatta salva la possibilità per gli Stati membri di applicare dette misure anche in relazione ad atti che non sono stati commessi su scala commerciale.
89. Orbene, tale requisito non si applica alle domande di risarcimento danni presentate dalla parte lesa nei confronti di un autore di violazioni previste all'articolo 13 della direttiva 2004/48. Di conseguenza, in forza di tale disposizione, i singoli autori di violazioni possono vedersi ingiungere di risarcire al titolare dei diritti di proprietà intellettuale danni adeguati al pregiudizio effettivo da questo subito a causa della lesione dei suoi diritti, purché essi siano implicati consapevolmente o con ragionevoli motivi per esserne consapevoli in un'attività di violazione.
90. Inoltre, nell'ambito di una richiesta di informazioni ai sensi dell'articolo 8, paragrafo 1, della direttiva 2004/48, il requisito secondo cui le violazioni devono essere commesse in un contesto commerciale può, segnatamente, essere soddisfatto quando una persona diversa dal presunto autore della violazione «sia stata sorpresa a fornire su scala commerciale servizi utilizzati in attività di violazione di un diritto».
91. Nel caso di specie, la richiesta di informazioni della Mircom, così come constatato al punto 82 della presente sentenza, è rivolta nei confronti di un fornitore di accesso a Internet, in quanto persona sorpresa a fornire, su scala commerciale, servizi utilizzati in attività di violazione di un diritto.
92. Di conseguenza, nel procedimento principale, la richiesta della Mircom nei confronti della Telenet, la quale fornisce, su scala commerciale, servizi utilizzati in attività di violazione di un diritto, sembra soddisfare il requisito ricordato al punto 90 della presente sentenza.
93. Inoltre, spetta al giudice del rinvio verificare, in ogni caso, se sussista un abuso da parte della Mircom di misure, di procedure e di mezzi di ricorso, ai sensi dell'articolo 3 della direttiva 2004/48, nonché, eventualmente, respingere la richiesta presentata da tale società.
94. L'articolo 3 della direttiva 2004/48 impone, infatti, l'obbligo generale di garantire, in particolare, che le misure, le procedure e i mezzi di ricorso necessari ad assicurare il rispetto dei diritti di proprietà intellettuale previsti da tale direttiva, tra cui il diritto d'informazione di cui all'articolo 8 della stessa, siano leali ed equi nonché applicati in modo da prevedere salvaguardie contro gli abusi.
95. Orbene, l'eventuale constatazione di un simile abuso rientra in toto nella valutazione dei fatti del procedimento principale e, quindi, nella competenza del giudice del rinvio. A tal fine, quest'ultimo potrebbe segnatamente esaminare il modus operandi della Mircom, valutando il modo in cui quest'ultima propone composizioni amichevoli ai presunti autori di violazioni e verificando se essa proponga effettivamente azioni giudiziarie in caso di rifiuto di composizioni amichevoli. Esso potrebbe anche esaminare, alla luce di tutte le specifiche circostanze del caso di specie, se risulti che la Mircom tenti in realtà, sotto forma di proposte di composizione amichevole a causa di presunte violazioni, di ricavare entrate economiche dall'iscrizione stessa degli utenti interessati ad una rete tra pari (peer-to-peer), come quella di cui trattasi, senza cercare specificamente di combattere le violazioni del diritto d'autore provocate da tale rete.
96. Alla luce delle considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che la direttiva 2004/48 deve essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno a presunti autori di violazioni, può beneficiare, in linea di principio, delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva, a meno che non si dimostri, in forza dell'obbligo generale di cui all'articolo 3, paragrafo 2, di quest'ultima e sulla base di un esame globale e circostanziato, che la sua domanda è abusiva. In particolare, per quanto riguarda una richiesta di informazioni fondata sull'articolo 8 di tale direttiva, essa deve essere parimenti respinta se non è giustificata o proporzionata, circostanza questa che spetta al giudice del rinvio verificare.
Sulle questioni terza e quarta
97. In via preliminare, occorre osservare che, nel procedimento principale, si discute di due diversi trattamenti di dati personali, ossia un primo trattamento che è già stato effettuato, a monte, dalla Media Protector e per conto della Mircom, nell'ambito di reti tra pari (peer-to-peer) - consistente nella registrazione degli indirizzi IP di utenti le cui connessioni Internet sono state asseritamente utilizzate, in un dato momento, per il caricamento di opere protette su tali reti - e un secondo trattamento che, ad avviso della Mircom, deve essere effettuato a valle dalla Telenet, consistente, da un lato, nell'identificazione di tali utenti attraverso un'attività di collegamento tra tali indirizzi IP e quelli che, in quel medesimo momento, la Telenet aveva attribuito a tali utenti per effettuare detto caricamento e, dall'altro, nella comunicazione alla Mircom dei nomi e degli indirizzi dei medesimi utenti.
98. Nell'ambito della sua quarta questione, il giudice del rinvio chiede che venga fornita una risposta in relazione al carattere giustificato, alla luce dell'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679, unicamente per quanto riguarda il primo trattamento che è già stato effettuato.
99. Inoltre, nell'ambito della sua terza questione, esso chiede, in sostanza, se le circostanze esposte nelle questioni prima e seconda siano rilevanti ai fini della valutazione del giusto bilanciamento tra, da un lato, il diritto di proprietà intellettuale e, dall'altro, la tutela della vita privata e dei dati personali, in particolare nella valutazione della proporzionalità.
100. Orbene, nell'ipotesi in cui, basandosi sulle risposte fornite dalla Corte alle questioni prima e seconda, il giudice del rinvio dovesse constatare che la richiesta di informazioni della Mircom soddisfa i requisiti di cui all'articolo 8 della direttiva 2004/48, in combinato disposto con l'articolo 3, paragrafo 2, della medesima, occorre intendere che, con la sua terza questione, il giudice del rinvio chiede, in sostanza, se, in circostanze come quelle di cui al procedimento principale, l'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta al secondo trattamento a valle, come descritto al punto 97 della presente sentenza, sebbene tale richiesta soddisfi i suddetti requisiti.
101. Alla luce di tali considerazioni e conformemente alla giurisprudenza citata ai punti 38 e 39 della presente sentenza, occorre riformulare le questioni terza e quarta nel senso che, con queste ultime, il giudice del rinvio chiede, in sostanza, se l'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 debba essere interpretato nel senso che esso osta, da un lato, alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale, nonché da parte di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate nelle attività di violazione e, dall'altro, alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare oppure a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per il danno asseritamente causato da tali utenti.
102. In primo luogo, per quanto riguarda il trattamento a monte di cui trattasi nel procedimento principale, occorre ricordare che un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di detto fornitore, un dato personale, ai sensi dell'articolo 4, punto 1, del regolamento 2016/679, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare l'interessato grazie alle informazioni aggiuntive di detta persona di cui il fornitore di accesso a Internet dispone (sentenza del 19 ottobre 2016, Breyer, C-582/14, EU:C:2016:779, punto 49).
103. Di conseguenza, la registrazione di siffatti indirizzi ai fini del loro successivo utilizzo nell'ambito di azioni giudiziarie costituisce un trattamento, ai sensi dell'articolo 4, punto 2, del regolamento 2016/679.
104. In tale situazione versa anche la Mircom, per conto della quale la Media Protector raccoglie gli indirizzi IP, purché disponga di un mezzo giuridico per identificare i titolari delle connessioni Internet in forza del procedimento di cui all'articolo 8 della direttiva 2004/48.
105. Ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera f), di tale regolamento, il trattamento di dati personali è lecito solo se, e nella misura in cui, tale trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
106. Pertanto, la suddetta disposizione prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento del legittimo interesse del titolare del trattamento o di terzi, in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento del legittimo interesse e, in terzo luogo, la condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato dalla tutela dei dati (v., in tal senso, per quanto riguarda l'articolo 7, lettera f), della direttiva 95/46, sentenza del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 28).
107. Poiché il regolamento 2016/679 ha abrogato e sostituito la direttiva 95/46 e le disposizioni pertinenti di tale regolamento hanno una portata sostanzialmente identica a quella delle disposizioni pertinenti della direttiva in parola, la giurisprudenza della Corte relativa a tale direttiva è altresì applicabile, in linea di principio, a tale regolamento (v., per analogia, sentenza del 12 novembre 2020, Sonaecom, C-42/19, EU:C:2020:913, punto 29).
108. Per quanto concerne la condizione relativa al perseguimento di un legittimo interesse, e fatte salve le verifiche spettanti al giudice del rinvio nell'ambito della seconda questione, si deve ritenere che l'interesse del titolare del trattamento o di terzi a ottenere un dato personale di una persona che ha asseritamente danneggiato la sua proprietà, al fine di agire nei confronti di quest'ultima per ottenere il risarcimento dei danni costituisca un legittimo interesse. Tale analisi è suffragata dall'articolo 9, paragrafo 2, lettere e) e f), del regolamento 2016/679, il quale prevede che il divieto del trattamento di taluni tipi di dati personali che rivelano in particolare informazioni relative alla vita sessuale o all'orientamento sessuale di una persona fisica non è applicabile qualora il trattamento riguardi dati personali resi manifestamente pubblici dalla persona interessata o sia necessario per costituire, esercitare o difendere un diritto per via giudiziaria [v., in tal senso, per quanto riguarda l'articolo 8, paragrafo 2, lettera e), della direttiva 95/46, sentenza del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 29].
109. Al riguardo, come rilevato, in sostanza, dall'avvocato generale al paragrafo 131 delle sue conclusioni, il valido recupero dei crediti può costituire un legittimo interesse che giustifica il trattamento dei dati personali, ai sensi dell'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 (v., per analogia, per quanto riguarda la direttiva 2002/58, sentenza del 22 novembre 2012, Probst, C-119/12, EU:C:2012:748, punto 19).
110. Per quanto concerne la condizione relativa alla necessità del trattamento dei dati personali per il perseguimento del legittimo interesse, si deve ricordare che le deroghe e le limitazioni al principio di protezione dei dati personali devono avvenire nei limiti dello stretto necessario (sentenza del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 30). Tale condizione potrebbe, nel caso di specie, essere soddisfatta dal momento che, come rilevato dall'avvocato generale al paragrafo 97 delle sue conclusioni, l'individuazione del titolare della connessione è spesso possibile solo sulla base dell'indirizzo IP e delle informazioni messe a disposizione dal fornitore di accesso a Internet.
111. Infine, per quanto concerne la condizione relativa alla ponderazione dei diritti e degli interessi contrapposti in questione, essa dipende, in linea di principio, dalle circostanze specifiche del caso concreto (sentenza del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 31 e giurisprudenza ivi citata). Spetta al giudice del rinvio valutare tali specifiche circostanze.
112. Al riguardo, i meccanismi che consentono di trovare un giusto equilibrio tra i diversi diritti e interessi in gioco sono contenuti nello stesso regolamento 2016/679 (v., per analogia, sentenza del 29 gennaio 2008, Promusicae, C-275/06, EU:C:2008:54, punto 66 e giurisprudenza ivi citata).
113. Inoltre, poiché i fatti di cui al procedimento principale sembrano rientrare sia nell'ambito di applicazione del regolamento 2016/679 che in quello della direttiva 2002/58, atteso che gli indirizzi IP trattati costituiscono, come risulta dalla giurisprudenza citata al punto 102 della presente sentenza, tanto dati personali quanto dati relativi al traffico (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 152), occorre verificare se la valutazione della liceità di un trattamento del genere debba tener conto delle condizioni previste da tale direttiva.
114. Come risulta, infatti, dall'articolo 1, paragrafo 2, della direttiva 2002/58, in combinato disposto con l'articolo 94, paragrafo 2, del regolamento 2016/679, le disposizioni di tale direttiva precisano e integrano tale regolamento al fine di armonizzare disposizioni nazionali necessarie per assicurare, segnatamente, un livello equivalente di tutela delle libertà e dei diritti fondamentali, in particolare del diritto alla vita privata, per quanto riguarda il trattamento dei dati personali nel settore delle comunicazioni elettroniche (v., in tal senso, sentenze del 2 ottobre 2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, punto 31, nonché del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 102).
115. Al riguardo, occorre rilevare che, ai sensi dell'articolo 5, paragrafo 1, della direttiva 2002/58, gli Stati membri vietano l'ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza delle comunicazioni, e dei relativi dati sul traffico, ad opera di persone diverse dagli utenti, senza consenso di questi ultimi, eccetto quando queste ultime siano legalmente autorizzate a norma dell'articolo 15, paragrafo 1, di tale direttiva. Inoltre, ai sensi dell'articolo 6, paragrafo 1, della medesima, i dati sul traffico relativi agli abbonati ed agli utenti, trattati e memorizzati dal fornitore di una rete pubblica o di un servizio pubblico di comunicazione elettroniche devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione di una comunicazione, fatto salvo, segnatamente, l'articolo 15, paragrafo 1, della medesima direttiva.
116. Detto articolo 15, paragrafo 1, conclude l'elenco delle deroghe all'obbligo di garantire la riservatezza dei dati personali facendo espresso riferimento all'articolo 13, paragrafo 1, della direttiva 95/46, corrispondente, in sostanza, all'articolo 23, paragrafo 1, del regolamento 2016/679, il quale consente ormai tanto al diritto dell'Unione quanto al diritto dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento di limitare, mediante misure legislative, la portata dell'obbligo di riservatezza dei dati personali nel settore della comunicazione elettronica qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e costituisca una misura necessaria e proporzionata in una società democratica per garantire, segnatamente, la protezione dei diritti e delle libertà altrui nonché l'esecuzione delle azioni civili (v., in tal senso, sentenza del 29 gennaio 2008, Promusicae, C-275/06, EU:C:2008:54, punto 53).
117. Inoltre, il fatto che l'articolo 23, paragrafo 1, lettera j), di tale regolamento riguardi ormai espressamente l'esecuzione delle azioni civili deve essere interpretato nel senso che esprime la volontà del legislatore dell'Unione di confermare la giurisprudenza della Corte secondo la quale la tutela del diritto di proprietà e le situazioni in cui gli autori cercano di ottenere tale tutela nel contesto di un procedimento civile non sono mai state escluse dall'ambito di applicazione dell'articolo 15, paragrafo 1, della direttiva 2002/58 (v., in tal senso, sentenza del 29 gennaio 2008, Promusicae, C-275/06, EU:C:2008:54, punto 53).
118. Di conseguenza, affinché un trattamento, come la registrazione degli indirizzi IP delle persone le cui connessioni Internet sono state utilizzate per lo scaricamento di segmenti di file contenenti opere protette su reti tra utenti (peer-to-peer), ai fini della presentazione di una richiesta di divulgazione dei nomi e degli indirizzi postali dei detentori di tali indirizzi IP, possa essere ritenuto lecito soddisfacendo le condizioni previste dal regolamento 2016/679, occorre verificare, in particolare, se tale trattamento rispetti le summenzionate disposizioni della direttiva 2002/58, la quale dà espressione concreta, per gli utenti dei mezzi di comunicazione elettronica, ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 109).
119. Orbene, in assenza, nella decisione di rinvio, di precisazioni relative al fondamento giuridico dell'accesso della Mircom agli indirizzi IP conservati dalla Telenet, la Corte non è in grado di fornire al giudice del rinvio indicazioni utili quanto alla questione di stabilire se un trattamento come quello effettuato a monte, consistente nella registrazione di detti indirizzi IP, rechi pregiudizio ai summenzionati diritti fondamentali, alla luce delle norme di cui alla direttiva 2002/58 e della condizione relativa alla ponderazione dei diritti e degli interessi contrapposti. Spetterà al giudice del rinvio effettuare un'analisi della normativa nazionale pertinente alla luce del diritto dell'Unione, in particolare degli articoli 5, 6 e 15 della direttiva 2002/58.
120. In secondo luogo, per quanto riguarda il trattamento a valle da parte della Telenet, che consisterebbe nell'identificazione dei titolari di tali indirizzi IP e nella comunicazione alla Mircom dei nomi e degli indirizzi postali di tali titolari, occorre rilevare che una richiesta, conformemente all'articolo 8 della direttiva 2004/48, limitata alla comunicazione dei nomi e degli indirizzi degli utenti coinvolti in attività di violazioni di un diritto è conforme all'obiettivo di stabilire un giusto equilibrio tra il diritto d'informazione dei titolari dei diritti di proprietà intellettuale e il diritto alla tutela dei dati personali di tali utenti (v., in tal senso, sentenza del 9 luglio 2020, Constantin Film Verleih, C-264/19, EU:C:2020:542, punti 37 e 38 nonché giurisprudenza ivi citata).
121. Infatti, simili dati relativi all'identità civile degli utenti dei mezzi di comunicazione elettronica non consentono normalmente, di per sé soli, di conoscere la data, l'ora, la durata e i destinatari delle comunicazioni effettuate, né i luoghi in cui tali comunicazioni sono avvenute o la frequenza delle stesse con determinate persone nel corso di un dato periodo, cosicché essi - a parte le coordinate di tali utenti, quali la loro identità civile e i loro indirizzi - non forniscono alcuna informazione sulle comunicazioni effettuate e, di conseguenza, sulla loro vita privata. Pertanto, l'ingerenza causata da una misura riguardante tali dati non può, in linea di principio, essere qualificata come grave [v., in tal senso, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C-746/18, EU:C:2021:152, punto 34 e giurisprudenza ivi citata].
122. Ciò premesso, nel procedimento principale, la richiesta di informazioni della Mircom presuppone che la Telenet effettui un collegamento tra gli indirizzi IP dinamici registrati per conto della Mircom e quelli attribuiti dalla Telenet a detti utenti, i quali hanno consentito la partecipazione di questi ultimi alla rete tra utenti (peer-to-peer) di cui trattasi.
123. Di conseguenza, come risulta dalla giurisprudenza citata al punto 113 della presente sentenza, una siffatta richiesta riguarda un trattamento di dati relativi al traffico. Il diritto alla protezione di tali dati, del quale godono le persone di cui all'articolo 8, paragrafo 1, della direttiva 2004/48, fa parte del diritto fondamentale di ogni persona di ricevere tutela dei dati personali che la riguardano, garantito dall'articolo 8 della Carta e dal regolamento 2016/679, come precisato e integrato dalla direttiva 2002/58 (v., in tal senso, sentenza del 16 luglio 2015, Coty Germany, C-580/13, EU:C:2015:485, punto 30).
124. L'applicazione delle misure previste dalla direttiva 2004/48 non può, infatti, porsi in contrasto con il regolamento 2016/679 e la direttiva 2002/58 (v., in tal senso, sentenza del 16 luglio 2015, Coty Germany, C-580/13, EU:C:2015:485, punto 32).
125. Al riguardo, la Corte ha già dichiarato che l'articolo 8, paragrafo 3, della direttiva 2004/48, in combinato disposto con l'articolo 15, paragrafo 1, della direttiva 2002/58 e l'articolo 7, lettera f), della direttiva 95/46, non osta a che gli Stati membri prevedano l'obbligo di trasmissione a soggetti privati di dati personali per consentire l'avvio, dinanzi ai giudici civili, di procedimenti nei confronti delle violazioni del diritto d'autore, senza peraltro obbligare gli Stati medesimi a disporre tale obbligo (v, in tal senso, sentenze del 19 aprile 2012, Bonnier Audio e a., C-461/10, EU:C:2012:219, punto 55 e giurisprudenza ivi citata, nonché del 4 maggio 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, punto 34).
126. Orbene, occorre constatare che, al pari dell'articolo 7, lettera f), della direttiva 95/46, né l'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 né l'articolo 9, paragrafo 2, lettera f), dello stesso, benché direttamente applicabili in ciascuno degli Stati membri, ai sensi dell'articolo 288, secondo comma, TFUE, contengono l'obbligo per un terzo, quale un fornitore di accesso a Internet, di comunicare a soggetti privati, in quanto destinatari, ai sensi dell'articolo 4, punto 9, di tale regolamento, dei dati personali al fine di consentire l'avvio, dinanzi ai giudici civili, di procedimenti nei confronti delle violazioni del diritto d'autore, ma si limitano a disciplinare la questione della liceità del trattamento da parte del titolare del trattamento stesso o di un terzo, ai sensi dell'articolo 4, punto 10, del suddetto regolamento.
127. Pertanto, un fornitore di accesso a Internet, come la Telenet, potrebbe vedersi obbligato ad effettuare una siffatta comunicazione solo sul fondamento di una misura, di cui all'articolo 15, paragrafo 1, della direttiva 2002/58, che limita la portata dei diritti e degli obblighi previsti, in particolare, agli articoli 5 e 6 di quest'ultima.
128. Poiché la decisione di rinvio non contiene alcuna indicazione al riguardo, il giudice del rinvio dovrà verificare il fondamento giuridico tanto della conservazione, da parte della Telenet, degli indirizzi IP dei quali la Mircom chiede la comunicazione, quanto dell'eventuale accesso della Mircom a tali indirizzi.
129. Conformemente all'articolo 6, paragrafi 1 e 2, della direttiva 2002/58, infatti, la conservazione degli indirizzi IP da parte dei fornitori di servizi di comunicazione elettronica oltre la durata dell'attribuzione di tali dati non appare, in linea di principio, necessaria ai fini della fatturazione dei servizi di cui trattasi, di modo che l'accertamento dei reati commessi online può, per questo motivo, rivelarsi impossibile senza ricorrere a una misura legislativa ai sensi dell'articolo 15, paragrafo 1, della direttiva 2002/58 (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C-511/18, C-512/18 e C-520/18, EU:C:2020:791, punto 154).
130. Come rilevato, in sostanza, dall'avvocato generale al paragrafo 104 delle sue conclusioni, se la conservazione degli indirizzi IP sul fondamento di una simile misura legislativa o, quantomeno, la loro utilizzazione a fini diversi da quelli reputati leciti nella sentenza del 6 ottobre 2020, La Quadrature du Net e a. (C-511/18, C-512/18 e C-520/18, EU:C:2020:791), dovessero essere considerate contrarie al diritto dell'Unione, la richiesta di informazioni nel procedimento principale non avrebbe più ragione d'essere.
131. Se dalle verifiche effettuate dal giudice del rinvio dovesse risultare l'esistenza di misure legislative nazionali, ai sensi dell'articolo 15, paragrafo 1, della direttiva 2002/58, che limitano i diritti e gli obblighi delle norme di cui agli articoli 5 e 6 di tale direttiva e che potrebbero essere utilmente applicate al caso di specie, e ammesso che risulti altresì, sulla base degli elementi di interpretazione forniti dalla Corte nell'insieme dei precedenti punti della presente sentenza, che la Mircom è legittimata ad agire e che la sua richiesta di informazioni è giustificata, proporzionata e non abusiva, i summenzionati trattamenti devono essere considerati leciti, ai sensi del regolamento 2016/679.
132. Alla luce delle considerazioni che precedono, occorre rispondere alle questioni terza e quarta dichiarando che l'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679, in combinato disposto con l'articolo 15, paragrafo 1, della direttiva 2002/58, deve essere interpretato nel senso che esso non osta, in linea di principio, né alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale nonché di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate in attività di violazione, né alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare o a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per un danno asseritamente causato da tali utenti, a condizione, tuttavia, che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano giustificate, proporzionate e non abusive e abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell'articolo 15, paragrafo 1, della direttiva 2002/58, che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva.
Sulle spese
133. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Quinta Sezione) dichiara:
1) L'articolo 3, paragrafi 1 e 2, della direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull'armonizzazione di taluni aspetti del diritto d'autore e dei diritti connessi nella società dell'informazione, deve essere interpretato nel senso che costituisce una messa a disposizione del pubblico, ai sensi di tale disposizione, il caricamento, a partire dall'apparecchiatura terminale di un utente di una rete tra pari (peer-to-peer) verso apparecchiature terminali di altri utenti di tale rete, dei segmenti, previamente scaricati da detto utente, di un file multimediale contenente un'opera protetta, benché tali segmenti siano utilizzabili da soli soltanto a partire da una determinata percentuale di scaricamento. È irrilevante il fatto che, per via delle configurazioni del software di condivisione client-BitTorrent, tale caricamento sia automaticamente generato da quest'ultimo, qualora l'utente, dalla cui apparecchiatura terminale avviene detto caricamento, abbia acconsentito all'utilizzo di tale software dando il suo consenso all'applicazione di quest'ultimo dopo essere stato debitamente informato delle sue caratteristiche.
2) La direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale, deve essere interpretata nel senso che un soggetto contrattualmente titolare di taluni diritti di proprietà intellettuale, che tuttavia non li sfrutta esso stesso, ma si limita a chiedere il risarcimento del danno a presunti autori di violazioni, può beneficiare, in linea di principio, delle misure, delle procedure e dei mezzi di ricorso di cui al capo II di tale direttiva, a meno che non si dimostri, in forza dell'obbligo generale di cui all'articolo 3, paragrafo 2, di quest'ultima e sulla base di un esame globale e circostanziato, che la sua domanda è abusiva. In particolare, per quanto riguarda una richiesta di informazioni fondata sull'articolo 8 di tale direttiva, essa deve essere parimenti respinta se non è giustificata o proporzionata, circostanza questa che spetta al giudice del rinvio verificare.
3) L'articolo 6, paragrafo 1, primo comma, lettera f), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l'articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, deve essere interpretato nel senso che esso non osta, in linea di principio, né alla registrazione sistematica, da parte del titolare dei diritti di proprietà intellettuale nonché di un terzo per suo conto, di indirizzi IP di utenti di reti tra pari (peer-to-peer) le cui connessioni Internet sono state asseritamente utilizzate in attività di violazione, né alla comunicazione dei nomi e degli indirizzi postali di tali utenti a detto titolare o a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per un danno asseritamente causato da tali utenti, a condizione, tuttavia, che le iniziative e le richieste in tal senso da parte di detto titolare o di un terzo siano giustificate, proporzionate e non abusive e abbiano il loro fondamento giuridico in una misura legislativa nazionale, ai sensi dell'articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, che limita la portata delle norme di cui agli articoli 5 e 6 di tale direttiva, come modificata.