Language of document : ECLI:EU:C:2016:656

CONCLUSIONI DELL’AVVOCATO GENERALE

PAOLO MENGOZZI

presentate l’8 settembre 2016 (1)

Parere 1/15

[Domanda di parere presentata dal Parlamento europeo]

«Domanda di parere – Ricevibilità – Progetto di accordo tra il Canada e l’Unione europea sul trasferimento e il trattamento di dati del codice di prenotazione – Dati dei passeggeri aerei [Passenger Name Record (PNR)] – Compatibilità di tale progetto di accordo con l’articolo 16 TFUE e con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Base giuridica»






Indice



I – Introduzione

II – Contesto normativo

III – Fatti

IV – Procedimento dinanzi alla Corte

V – Sulla ricevibilità della domanda di parere

VI – Sulla base giuridica adeguata dell’atto di stipulazione dell’accordo previsto (seconda questione)

A – Sintesi degli argomenti del Parlamento e delle altre parti interessate.

B – Analisi

1. Sulla finalità e sul contenuto dell’accordo previsto

2. Sulla base giuridica adeguata

a) Sulla pertinenza dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE

b) Sulla necessità di fondare l’atto di conclusione dell’accordo previsto sull’articolo 16, paragrafo 2, primo comma, TFUE

VII – Sulla compatibilità dell’accordo previsto con le disposizioni del Trattato FUE e della Carta (prima questione)

A – Sintesi della domanda e delle osservazioni del Parlamento nonché delle osservazioni delle altre parti interessate

1. Sintesi della domanda e delle osservazioni del Parlamento

2. Sintesi delle osservazioni delle altre parti interessate

B – Analisi

1. Osservazioni preliminari

2. Sull’esistenza di un’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta

3. Sulla giustificazione dell’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta

a) Un’ingerenza «prevista dalla legge», ai sensi dell’articolo 52, paragrafo 1, della Carta

b) Un’ingerenza rispondente a una finalità di interesse generale

c) Sulla proporzionalità dell’ingerenza determinata dall’accordo previsto

i) Considerazioni generali

ii) Sull’idoneità dell’ingerenza a conseguire l’obiettivo di sicurezza pubblica perseguito dall’accordo previsto

iii) Sul carattere strettamente necessario dell’ingerenza

– Sulle categorie di dati PNR contemplate dall’accordo previsto

– Sul carattere sufficientemente preciso della finalità per la quale il trattamento di dati PNR viene autorizzato

– Sull’ambito di applicazione ratione personae dell’accordo previsto

– Sull’identificazione dell’autorità competente responsabile del trattamento di dati PNR

– Sul trattamento automatizzato dei dati PNR

– Sull’accesso ai dati PNR

– Sulla conservazione dei dati PNR

– Sulla comunicazione e sul successivo trasferimento dei dati PNR

– Sulle misure di sorveglianza e di controllo amministrativo e giurisdizionale

VIII – Conclusione


I –    Introduzione

1.        In applicazione dell’articolo 218, paragrafo 11, TFUE, il Parlamento europeo ha presentato alla Corte una domanda di parere riguardante l’accordo previsto tra il Canada e l’Unione europea sul trasferimento e il trattamento di dati del codice di prenotazione (in prosieguo: l’«accordo previsto»), per consentirgli di dar seguito alla richiesta del Consiglio dell’Unione europea, del luglio 2014, con la quale si chiedeva al Parlamento di approvare la proposta di decisione relativa all’accordo previsto (2).

2.        Schematicamente, l’accordo previsto dispone che i dati del codice di prenotazione (Passenger Name Record; in prosieguo: i «dati PNR»), che i vettori aerei raccolgono dai passeggeri a fini di prenotazione dei voli tra il Canada e l’Unione europea, siano trasferiti alle autorità canadesi competenti e, successivamente, trattati e utilizzati da queste ultime al fine di prevenire e accertare reati di terrorismo o altri reati gravi di natura transnazionale, fissando al contempo varie garanzie relative al rispetto della vita privata e della protezione dei dati personali dei passeggeri.

3.        La domanda di parere, riguardante sia la compatibilità dell’accordo previsto con il diritto primario dell’Unione sia la base giuridica adeguata della decisione del Consiglio che dovrà recare la conclusione dell’accordo previsto, è formulata come segue:

«Se l’accordo previsto sia compatibile con le disposizioni dei Trattati (articolo 16 TFUE) e con la Carta dei diritti fondamentali dell’Unione europea (articoli 7, 8 e articolo 52, paragrafo 1) per quanto riguarda il diritto delle persone fisiche alla protezione dei dati personali.

Se l’articolo 82, paragrafo 1, lettera d), e l’articolo 87, paragrafo 2, lettera a), TFUE costituiscano la base giuridica adeguata dell’atto del Consiglio vertente sulla conclusione dell’accordo previsto o se tale atto debba fondarsi sull’articolo 16 TFUE»

4.        Indipendentemente dal suo contenuto, la risposta a tale domanda, da parte della Corte, avrà necessariamente implicazioni sugli accordi cosiddetti PNR, già in vigore, che vincolano l’Unione europea all’Australia (3) e agli Stati uniti d’America (4), nonché sul futuro «regime PNR», istituito all’interno della stessa Unione, recentemente approvato dal Parlamento, mentre il presente procedimento era ancora in corso (5).

5.        Per la presente domanda di parere è necessario esaminare questioni al contempo inedite e delicate.

6.        Sotto il profilo della determinazione della base giuridica adeguata dell’atto recante conclusione dell’accordo previsto, tale domanda deve indurre, in particolare, la Corte a esaminare per la prima volta la portata dell’articolo 16, paragrafo 2, TFUE, introdotto in seguito all’adozione del Trattato di Lisbona, nonché il collegamento tra tale articolo e le disposizioni del Trattato relative allo spazio di libertà, sicurezza e giustizia (in prosieguo: l’«SLSG»). Al riguardo, come dimostrerò nelle presenti conclusioni (6), l’accordo previsto persegue obiettivi e presenta un contenuto interdipendenti, cosicché l’atto conclusivo di tale accordo deve essere basato, a mio avviso, sia sull’articolo 16 TFUE che sull’articolo 87, paragrafo 2, lettera a), TFUE.

7.        È altresì la prima volta che la Corte dovrà pronunciarsi sulla compatibilità di un progetto di accordo internazionale con i diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), più in particolare quello relativo al rispetto della vita privata e della vita familiare, garantito dall’articolo 7, e quello relativo alla protezione dei dati di carattere personale, garantita dall’articolo 8. L’esame di tale questione beneficia indubbiamente dei preziosi insegnamenti derivanti dalle sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650). Come sarà spiegato in termini più ampi, ritengo che si debba proprio seguire la via tracciata da tali sentenze e sottoporre l’accordo previsto a un rigoroso controllo del rispetto degli obblighi posti dagli articoli 7, 8 e dall’articolo 52, paragrafo 1, della Carta. Tuttavia, occorre tener presente che il progetto di accordo di cui la Corte è investita è la conseguenza di un negoziato internazionale con un paese terzo il quale, in mancanza di un accordo soddisfacente, potrà rinunciare alla conclusione dell’accordo previsto e preferirà, come avviene attualmente, l’applicazione unilaterale del suo regime PNR ai vettori aerei stabiliti nell’Unione e che garantiscono collegamenti con il Canada.

8.        Tale constatazione non significa che la Corte debba ridurre il grado di vigilanza di cui ha dato prova quanto al rispetto dei diritti fondamentali tutelati nel diritto dell’Unione. È necessario infatti che, nel momento in cui le tecnologie moderne consentono alle pubbliche amministrazioni, in nome della lotta al terrorismo e alla criminalità transnazionale grave, di sviluppare metodi estremamente sofisticati di sorveglianza della vita privata degli individui e di analisi dei loro dati personali, la Corte si assicuri che le misure progettate, sia pure sotto forma di accordi internazionali previsti, riflettano un contemperamento equilibrato tra la preoccupazione legittima di preservare la sicurezza pubblica e quella, non meno fondamentale, che chiunque possa godere di un livello elevato di protezione della sua vita privata e dei propri dati.

9.        Come sarà illustrato nella trattazione successiva, è innegabile che le parti contraenti hanno tentato, talvolta in modo insufficiente, di effettuare un contemperamento di questi due obiettivi inscindibilmente perseguiti dall’accordo previsto. Tale tentativo, a mio avviso, deve essere accolto con favore. Tuttavia, senza rimettere in discussione né l’oggetto né la necessità dell’accordo previsto, ritengo, come dimostreranno le presenti conclusioni, che, per essere compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, l’accordo previsto dovrà essere messo a punto e/o epurato di talune clausole attuali in modo tale che esso non ecceda quanto è strettamente necessario per il conseguimento del suo obiettivo di sicurezza.

II – Contesto normativo

10.      L’articolo 16 TFUE stabilisce quanto segue:

«1.      Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.      Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti»

(…)».

11.      L’articolo 82 TFUE, che si inserisce nel capo 4 del titolo V della parte terza di detto Trattato, capo intitolato «Cooperazione giudiziaria in materia penale», prevede quanto segue:

«1.      La cooperazione giudiziaria in materia penale nell’Unione è fondata sul principio di riconoscimento reciproco delle sentenze e delle decisioni giudiziarie e include il ravvicinamento delle disposizioni legislative e regolamentari degli Stati membri nei settori di cui al paragrafo 2 (…).

Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, adottano le misure intese a:

(…)

d)      facilitare la cooperazione tra le autorità giudiziarie o autorità omologhe degli Stati membri in relazione all’azione penale e all’esecuzione delle decisioni.

(…)».

12.      L’articolo 87 TFUE, rientrante nel capo 5 del titolo V della parte terza di detto Trattato, capo intitolato «Cooperazione di polizia», dispone quanto segue:

«1.      L’Unione sviluppa una cooperazione di polizia che associa tutte le autorità competenti degli Stati membri, compresi i servizi di polizia, i servizi delle dogane e altri servizi incaricati dell’applicazione della legge specializzati nel settore della prevenzione o dell’individuazione dei reati e delle relative indagini.

2.      Ai fini del paragrafo 1, il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, possono stabilire misure riguardanti:

a)      la raccolta, l’archiviazione, il trattamento, l’analisi e lo scambio delle pertinenti informazioni;

(…)».

13.      L’articolo 7 della Carta così dispone:

«Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni».

14.      L’articolo 8 della Carta stabilisce:

«1.      Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.      Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.      Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

15.      L’articolo 52 della Carta, intitolato «Portata e interpretazione dei diritti e dei principi», prevede quanto segue:

«1.      Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

(…)».

16.      Il protocollo (n. 21) sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia dispone, agli articoli 1, 3 e 6 bis, quanto segue:

«Articolo 1

Fatto salvo l’articolo 3, il Regno Unito e l’Irlanda non partecipano all’adozione da parte del Consiglio delle misure proposte a norma della parte terza, titolo V del [Trattato FUE]. Per le decisioni del Consiglio che devono essere adottate all’unanimità si richiede l’unanimità dei membri del Consiglio, ad eccezione dei rappresentanti dei governi del Regno Unito e dell’Irlanda.

Ai fini del presente articolo, per maggioranza qualificata s’intende quella definita conformemente all’articolo 238, paragrafo 3, [TFUE].

(…).

Articolo 3

1.      Il Regno Unito o l’Irlanda possono notificare per iscritto al presidente del Consiglio, entro tre mesi dalla presentazione di una proposta o un’iniziativa al Consiglio, a norma della parte terza, titolo V del [Trattato FUE], che desiderano partecipare all’adozione ed applicazione di una delle misure proposte; una volta effettuata detta notifica tali Stati sono abilitati a partecipare.

(…).

Articolo 6 bis

Il Regno Unito o l’Irlanda non saranno vincolati da norme stabilite in base all’articolo 16 [TFUE] che riguardano il trattamento dei dati personali da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione dei capi 4 o 5 della parte terza, titolo V di detto trattato laddove il Regno Unito o l’Irlanda non siano vincolati da norme dell’Unione che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell’ambito delle quali devono essere rispettate le disposizioni stabilite in base all’articolo 16».

17.      Il protocollo (n. 22) sulla posizione della Danimarca prevede, agli articoli 1, 2 e 2 bis, quanto segue:

«Articolo 1

La Danimarca non partecipa all’adozione da parte del Consiglio delle misure proposte a norma della parte terza, titolo V del [Trattato FUE]. Per le decisioni del Consiglio che devono essere adottate all’unanimità si richiede l’unanimità dei membri del Consiglio, ad eccezione del rappresentante del governo della Danimarca.

Ai fini del presente articolo, per maggioranza qualificata s’intende quella definita conformemente all’articolo 238, paragrafo 3, [TFUE].

Articolo 2

Nessuna disposizione della parte terza, titolo V del [Trattato FUE], nessuna misura adottata a norma di tale titolo, nessuna disposizione di alcun accordo internazionale concluso dall’Unione a norma di tale titolo e nessuna decisione della Corte di giustizia dell’Unione europea sull’interpretazione di tali disposizioni o misure o di misure modificate o modificabili a norma di tale titolo è vincolante o applicabile in Danimarca; nessuna di tali disposizioni, misure o decisioni pregiudica in alcun modo le competenze, i diritti e gli obblighi della Danimarca; nessuna di tali disposizioni, misure o decisioni pregiudica in alcun modo l’acquis comunitario e dell’Unione né costituisce parte del diritto dell’Unione, quali applicabili alla Danimarca. (…)

Articolo 2 bis

L’articolo 2 del presente protocollo si applica anche alle norme stabilite in base all’articolo 16 [TFUE] che riguardano il trattamento dei dati personali da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione dei capi 4 o 5 della parte terza, titolo V di detto trattato».

III – Fatti

18.      Il 18 luglio 2005 il Consiglio ha approvato l’accordo tra la Comunità europea e il governo canadese sul trattamento delle informazioni anticipate sui passeggeri e dei dati delle pratiche passeggeri (in prosieguo: l’«accordo del 2006») (7).

19.      Conformemente al suo preambolo, l’accordo del 2006 è stato concluso visto l’obbligo imposto dal governo del Canada ai vettori aerei che assicurano il trasporto di persone verso il Canada di fornire alle competenti autorità canadesi informazioni anticipate sui passeggeri e dati delle pratiche passeggeri (in prosieguo: i «dati API/PNR»), nella misura in cui sono raccolti e conservati nei sistemi automatizzati di prenotazione/controllo delle partenze dei vettori.

20.      Ai sensi dell’articolo 1 dell’accordo del 2006, quest’ultimo era «inteso a garantire che i dati API/PNR delle persone che effettuano viaggi pertinenti all’accordo siano forniti nel pieno rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla privacy». L’autorità competente per il Canada era, conformemente all’allegato I all’accordo del 2006, «la Canada Border Services Agency (CBSA)».

21.      Tenuto conto di tale impegno, la Commissione europea ha adottato, sul fondamento dell’articolo 25, paragrafo 2, della direttiva 95/46/CE (8), la decisione 2006/253/CE (9), il cui articolo 1 prevedeva che la CBSA era considerata in grado di garantire un livello di protezione adeguato dei dati PNR trasferiti dalla Comunità europea riguardanti i voli con destinazione nel Canada. Dato che la decisione 2006/253 è scaduta nel settembre 2009 (10) e il periodo di validità dell’accordo del 2006 era collegato a quello di tale decisione (11), detto accordo è scaduto anch’esso nel settembre 2009.

22.      Il 5 maggio 2010 il Parlamento ha adottato una risoluzione sull’avvio dei negoziati per la conclusione di accordi sui dati del codice di prenotazione (PNR) con gli Stati Uniti, l’Australia e il Canada (12). In tale risoluzione il Parlamento chiedeva in particolare un approccio coerente all’uso dei dati PNR ai fini delle attività di contrasto e della sicurezza, stabilendo un’unica serie di principi che fungessero da base per gli accordi con paesi terzi. Al riguardo, esso invitava la Commissione a presentare una proposta di siffatto modello unico e un progetto di mandato per i negoziati con i paesi terzi, fissando al contempo i requisiti minimi che dovevano essere soddisfatti (13).

23.      Il 21 settembre 2010 la Commissione ha adottato tre proposte di autorizzazione all’avvio dei negoziati con gli Stati Uniti, l’Australia e il Canada (14). In seguito, sono stati firmati e conclusi accordi con gli Stati Uniti e l’Australia con l’approvazione del Parlamento (15). Tali accordi sono entrati in vigore nel 2012.

24.      Dopo la chiusura dei negoziati con il Canada, la Commissione ha adottato, il 19 luglio 2013, le proposte di decisione del Consiglio relative alla firma e alla conclusione dell’accordo previsto.

25.      Il Garante europeo della protezione dei dati (GEPD) ha emesso il suo parere su tali proposte il 30 settembre 2013 (16). In tale parere, il GEPD poneva una serie di interrogativi riguardo alla necessità e alla proporzionalità dei sistemi PNR e del trasferimento massiccio di dati PNR verso paesi terzi, metteva in dubbio la scelta della base giuridica sostanziale e formulava varie osservazioni e proposte riguardo alle diverse disposizioni dell’accordo previsto.

26.      Il 5 dicembre 2013, il Consiglio ha adottato una decisione relativa alla firma dell’accordo previsto senza che fossero apportate modifiche a quest’ultimo in seguito al parere del GEPD. L’accordo previsto è stato firmato il 25 giugno 2014, con riserva della sua stipulazione in data successiva.

27.      Con lettera datata 7 luglio 2014, il Consiglio ha chiesto l’approvazione del Parlamento sul progetto di decisione relativa alla stipulazione, a nome dell’Unione, dell’accordo previsto. Tale progetto di decisione considera quali basi giuridiche l’articolo 82, paragrafo 1, lettera d), TFUE e l’articolo 87, paragrafo 2, lettera a), TFUE, in combinato disposto con l’articolo 218, paragrafo 6, lettera a), punto v), TFUE.

28.      Il 25 novembre 2014, il Parlamento ha deciso di investire la Corte del presente parere, le cui questioni sono state riportate al paragrafo 3 delle presenti conclusioni.

IV – Procedimento dinanzi alla Corte

29.      In seguito al deposito della domanda da parte del Parlamento, sono state depositate osservazioni scritte dai governi bulgaro, estone, dall’Irlanda, dai governi spagnolo, francese e del Regno Unito nonché dal Consiglio e dalla Commissione.

30.      La Corte ha posto una serie di quesiti cui rispondere per iscritto vertenti, in particolare, su taluni aspetti pratici e di fatto del trattamento dei dati PNR, sulla base giuridica dell’accordo previsto, sul suo ambito di applicazione territoriale nonché sulla compatibilità delle clausole di detto accordo con le disposizioni del Trattato FUE e della Carta, alla luce degli insegnamenti tratti dalla giurisprudenza, in particolare dalle sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650). Inoltre, ai sensi dell’articolo 24, secondo comma, dello Statuto della Corte di giustizia dell’Unione europea, la Corte ha invitato il GEPD a rispondere a detti quesiti. Quest’ultimo, nonché l’Irlanda, i governi spagnolo, francese e del Regno Unito, il Parlamento, il Consiglio, la Commissione hanno risposto nei termini ai quesiti formulati.

31.      I rappresentanti del governo estone, dell’Irlanda, dei governi spagnolo, francese e del Regno Unito, quelli del Parlamento, del Consiglio, della Commissione, nonché quello del GEPD sono stati sentiti all’udienza che si è tenuta il 5 aprile 2016.

V –    Sulla ricevibilità della domanda di parere

32.      Mentre i governi bulgaro ed estone nonché la Commissione condividono la valutazione del Parlamento secondo la quale la domanda di parere è interamente ricevibile, il governo francese e il Consiglio si interrogano sulla ricevibilità della seconda questione contenuta nella domanda del Parlamento, riguardante la base giuridica adeguata del progetto di decisione del Consiglio recante conclusione dell’accordo previsto.

33.      In sostanza, il governo francese e il Consiglio sostengono che tale questione non riguarda né la competenza dell’Unione a concludere l’accordo previsto né la ripartizione delle competenze tra quest’ultima e gli Stati membri. Inoltre, essi sostengono che l’eventuale ricorso errato agli articoli 82 TFUE e 87 TFUE non inciderebbe in alcun modo sul procedimento da seguire per l’adozione dell’atto del Consiglio vertente sulla conclusione dell’accordo previsto. Infatti, sia l’applicazione dell’articolo 16 TFUE che quella degli articoli 82 TFUE e 87 TFUE comportano necessariamente che sia rispettata la procedura legislativa ordinaria, in particolare l’approvazione del Parlamento, in forza dell’articolo 218, paragrafo 6, lettera a), punto v), TFUE.

34.      Suggerisco alla Corte di dichiarare la domanda di parere interamente ricevibile.

35.      In generale, va ricordato innanzi tutto che, conformemente all’articolo 218, paragrafo 11, TFUE e alla giurisprudenza della Corte, il parere di quest’ultima può essere ottenuto sulla questione se un «accordo previsto» (17) sia compatibile con le norme sostanziali dei Trattati o con quelle che determinano la portata delle competenze dell’Unione e delle sue istituzioni, comprese le questioni relative alla ripartizione delle competenze tra l’Unione e gli Stati membri per concludere un determinato accordo con Stati terzi (18), come conferma l’articolo 196, paragrafo 2, del regolamento di procedura della Corte.

36.      È quindi indubbio, come ammettono del resto tutte le parti interessate, che la domanda di parere è ricevibile, nei limiti in cui riguarda la compatibilità dell’accordo previsto con le disposizioni di diritto sostanziale del diritto primario dell’Unione, comprese le disposizioni della Carta che hanno il medesimo valore dei Trattati (19).

37.      Ritengo che ciò avvenga anche per quanto riguarda la seconda questione riguardante la determinazione della base giuridica adeguata dell’atto con il quale il Consiglio è indotto a concludere l’accordo previsto.

38.      È vero che, come hanno sostenuto il governo francese e il Consiglio, nessuna delle parti interessate dubita che, nella fattispecie, l’Unione disponga della competenza ad approvare l’accordo previsto, questione che non è, del resto, oggetto della domanda di parere.

39.      Tuttavia, occorre rilevare che, nell’ambito dell’esame di domande di parere precedenti, la Corte ha già accettato di rispondere alla questione della scelta della base giuridica adeguata dell’atto di stipulazione dei progetti di accordo in discussione (20). Tale posizione è stata motivata, in sostanza, con due considerazioni essenziali strettamente collegate.

40.      Da un lato, la scelta della base giuridica adeguata dell’atto di stipulazione di un accordo internazionale riveste «un’importanza di natura costituzionale» (21), in quanto l’Unione dispone soltanto di competenze di attribuzione e deve quindi poter ricondurre gli accordi internazionali, che si ritengono rientranti nel suo ordinamento giuridico, a una disposizione dei Trattati che l’abiliti ad approvare tali atti. Il ricorso a una base giuridica errata può quindi invalidare l’atto di stipulazione stesso e, conseguentemente, inficiare il consenso dell’Unione ad essere vincolata dall’accordo in questione (22).

41.      D’altro lato, non cogliere l’occasione di esaminare la scelta della base giuridica adeguata dell’atto di stipulazione di un progetto di accordo nell’ambito della procedura di deferimento preliminare alla Corte potrebbe, in definitiva, comportare complicazioni, sia a livello dell’Unione sia nell’ordinamento giuridico internazionale, qualora l’atto di stipulazione dell’accordo fosse in seguito invalidato a causa dell’errore sulla base giuridica. Orbene, lo scopo del procedimento preventivo di cui all’articolo 218, paragrafo 11, TFUE, è proprio quello di evitare che possano sorgere complicazioni di tal genere nell’interesse delle parti contraenti (23).

42.      Senza negare l’esistenza di tale giurisprudenza, il governo francese e il Consiglio affermano, in sostanza, che nessuna delle complicazioni giuridiche menzionate dalla Corte nei suoi precedenti pareri potrebbe verificarsi nel caso in esame. Pertanto, secondo tali parti interessate, nella fattispecie, l’eventuale scelta dell’articolo 16 TFUE quale base giuridica sostanziale dell’accordo previsto, come propugnato dal Parlamento nella sua domanda di parere, non inciderebbe sulla ripartizione delle competenze tra l’Unione e gli Stati membri né condurrebbe a una «procedura legislativa diversa» da quella seguita dal Consiglio e dalla Commissione nella fattispecie, ai sensi di detti pareri.

43.      Tale argomento non è convincente.

44.      Occorre rilevare che le situazioni evidenziate dalla Corte rispettivamente al punto 5 del parere 2/00, del 6 dicembre 2001 (EU:C:2001:664), e al punto 110 del parere 1/08, del 30 novembre 2009 (EU:C:2009:739), costituiscono solo esempi nei quali il ricorso a una base giuridica errata può inficiare il consenso dell’Unione a essere vincolata dall’accordo dalla stessa sottoscritto o comportare difficoltà giuridiche sul piano interno o sul piano delle relazioni esterne dell’Unione. Infatti, le due situazioni menzionate in tali punti dei due pareri – ossia, da un lato, la situazione in cui l’Unione si sarebbe impegnata senza che il Trattato le conferisse una competenza sufficiente per ratificare un accordo nel suo complesso, il che equivarrebbe ad esaminare la ripartizione delle competenze tra l’Unione e gli Stati membri, e, dall’altro, la situazione in cui la base giuridica adeguata dell’atto di stipulazione prevedrebbe una procedura legislativa diversa da quella che è stata effettivamente seguita dalle istituzioni – sono state introdotte dall’espressione «ciò si verifica in particolare quando». Non si possono quindi escludere altre ipotesi che creino difficoltà giuridiche sul piano interno dell’Unione o su quello delle relazioni internazionali.

45.      Inoltre, occorre tener presente il fatto che il procedimento di parere ha natura non contenziosa e preventiva (24). Tale natura giustifica, a mio avviso, una certa flessibilità da parte della Corte nell’esaminare la ricevibilità di una questione inerente alla base giuridica adeguata dell’atto di stipulazione di un accordo previsto.

46.      Pertanto, in sede di esame della ricevibilità, ritengo che la Corte debba semplicemente chiedersi se, rifiutando di fornire una risposta alla questione sollevata, sussista un serio rischio che l’atto di stipulazione dell’accordo possa essere successivamente invalidato, in base a un motivo identico a quello menzionato nella domanda di parere, situazione in grado di creare difficoltà sul piano interno dell’Unione o su quello delle relazioni esterne che il procedimento di parere avrebbe potuto prevenire.

47.      Sono convinto che, nella fattispecie, siffatto rischio non possa essere escluso.

48.      Infatti, come esaminerò più avanti nelle presenti conclusioni, i motivi elaborati dal Parlamento a sostegno della tesi secondo la quale l’articolo 16 TFUE costituisce la base giuridica sostanziale adeguata dell’atto di stipulazione dell’accordo previsto sono particolarmente seri, al punto che li considero in parte fondati.

49.      Pertanto, rifiutarsi di rispondere a tale argomentazione nel presente procedimento potrebbe indurre il Parlamento a impugnare la validità dell’atto di stipulazione dell’accordo oppure, eventualmente, potrebbe indurre un giudice nazionale, investito di un ricorso da parte di un soggetto leso dal trasferimento dei suoi dati PNR all’autorità canadese competente, a investire la Corte di un rinvio pregiudiziale di validità dell’accordo e del suo atto di stipulazione.

50.      Peraltro, a mio avviso, il governo francese e il Consiglio minimizzano erroneamente le conseguenze di una dichiarazione di invalidità dell’atto di stipulazione dell’accordo previsto, qualora risultasse, in definitiva, che, a seguito di un ricorso di annullamento o di un rinvio pregiudiziale di validità, tale atto avrebbe dovuto essere adottato, come sostiene il Parlamento, unicamente sulla base giuridica costituita dall’articolo 16 TFUE.

51.      Infatti, come riprenderò a spiegare più avanti e come è stato esaminato in talune osservazioni scritte, ritenere l’articolo 16 TFUE quale unica base giuridica dell’atto di stipulazione dell’accordo previsto modificherebbe lo status del Regno di Danimarca, dell’Irlanda e del Regno Unito di Gran Bretagna e Irlanda del Nord, in quanto tali Stati membri sarebbero direttamente e automaticamente vincolati dall’accordo, contrariamente a quanto stabilito all’articolo 29 dell’accordo previsto. Per quanto attiene in particolare al Regno di Danimarca, qualsiasi impegno internazionale eventualmente assunto con il Canada, parallelamente all’accordo previsto, sarebbe quindi illegittimo in quanto tale Stato membro non disporrebbe più della competenza necessaria per stipulare siffatto impegno.

52.      Ritengo quindi che, con le dovute proporzioni, per analogia con quanto dichiarato dalla Corte al punto 47 del parere 1/13, del 14 ottobre 2014 (EU:C:2014:2303), sia particolarmente opportuno che la Corte risponda alla seconda questione della presente domanda di parere onde evitare, in particolare, le complicazioni giuridiche eventualmente generate dalle situazioni in cui uno Stato membro sottoscriva impegni internazionali senza la necessaria legittimazione, malgrado esso non disponga più, alla luce del diritto dell’Unione, della competenza necessaria per sottoscrivere o per attuare siffatto impegno.

53.      Propongo quindi alla Corte di dichiarare ricevibile la seconda questione sollevata dal Parlamento nella sua domanda di parere.

54.      Inoltre, poiché tale questione riguarda la validità formale dell’atto di stipulazione e richiede l’analisi degli obiettivi e del contenuto dell’accordo previsto, suggerisco di trattarla prima di quella relativa alla compatibilità di quest’ultimo con le disposizioni del Trattato FUE e i diritti sanciti dalla Carta.

VI – Sulla base giuridica adeguata dell’atto di stipulazione dell’accordo previsto (seconda questione)

A –    Sintesi degli argomenti del Parlamento e delle altre parti interessate.

55.      Il Parlamento e tutte le parti interessate che hanno depositato osservazioni concordano nel ritenere che, conformemente alla giurisprudenza della Corte, la scelta della base giuridica debba fondarsi su criteri obiettivi che possano essere oggetto di un controllo giurisdizionale, criteri obiettivi tra i quali figurano la finalità e il contenuto dell’atto in questione.

56.      Il Parlamento sottolinea che l’accordo previsto persegue due finalità elencate all’articolo 1. Tuttavia, la finalità principale dell’accordo previsto sarebbe quella di garantire la protezione dei dati personali. Infatti, secondo il Parlamento, l’accordo previsto avrebbe un effetto analogo a una «decisione di adeguatezza» e il suo scopo sarebbe di sostituire la decisione 2006/253 della Commissione, adottata ai sensi dell’articolo 25, paragrafo 6, della direttiva 95/46, in cui tale istituzione ha constatato, nel contesto dell’accordo del 2006, il livello di protezione adeguato dei dati PNR trasferiti alla CBSA. Inoltre, l’accordo previsto non sarebbe finalizzato a creare un obbligo per i vettori aerei di trasferire dati PNR alle autorità di polizia canadesi o europee, il che renderebbe difficile giustificare la scelta dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE quali basi giuridiche sostanziali. In forza della giurisprudenza, tali constatazioni giustificherebbero, secondo il Parlamento, il fatto che l’accordo previsto sia fondato sulla base giuridica corrispondente alla finalità principale dell’accordo previsto, ossia, nella fattispecie, l’articolo 16 TFUE. Il contenuto dell’accordo previsto confermerebbe tale valutazione. Il Parlamento precisa infine che l’articolo 16 TFUE consente l’adozione di norme relative alla protezione dei dati personali in tutti gli ambiti di applicazione del diritto dell’Unione, compresa quella relativa all’«[SLSG]».

57.      In risposta a un quesito posto in udienza dinanzi alla Corte, il Parlamento ha precisato, nel caso in cui la Corte dovesse considerare che l’accordo previsto persegue finalità inscindibili, di non opporre alcuna obiezione a che l’atto di stipulazione dell’accordo previsto sia basato sull’articolo 16, TFUE, sull’articolo 82, paragrafo 1, lettera d), TFUE, e sull’articolo 87, paragrafo 2, lettera a), TFUE.

58.      Ad eccezione del governo spagnolo e del GEPD nonché, in subordine, del governo francese, le altre parti interessate sostengono che la finalità dell’accordo previsto sarebbe quella della lotta al terrorismo e alla criminalità transnazionale grave, in quanto la protezione dei dati costituisce, in sostanza, solo uno strumento mediante il quale tale finalità potrebbe essere conseguita. Al riguardo, la Commissione ricorda che, nella sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346, punto 56), la Corte ha dichiarato che il trasferimento di dati PNR agli Stati Uniti costituiva un trattamento avente come oggetto la pubblica sicurezza e le attività degli Stati membri in materia di diritto penale. Orbene, la scelta della base giuridica dell’atto di stipulazione dell’accordo previsto dovrebbe essere effettuata rispettando tale logica.

59.      La stragrande maggioranza di tali parti interessate aggiunge che, qualora la protezione dei dati dovesse essere considerata come costituente un obiettivo dell’accordo previsto, detto obiettivo sarebbe solo accessorio rispetto alla finalità principale, il che, pertanto, non avrebbe alcuna conseguenza sulla scelta effettiva della base giuridica dell’atto di stipulazione. Al riguardo, il Consiglio e la Commissione precisano che atti aventi lo scopo di realizzare politiche settoriali, che richiedono taluni trattamenti di dati a carattere personale, dovrebbero essere fondati sulla base giuridica corrispondente alla politica interessata e non già sull’articolo 16 TFUE.

60.      Quanto alla possibilità di cumulare l’articolo 16 TFUE, l’articolo 82, paragrafo 1, lettera d), TFUE e l’articolo 87, paragrafo 2, lettera a), TFUE quali basi giuridiche sostanziali dell’atto di stipulazione dell’accordo previsto, il governo francese sostiene, in subordine, nelle sue osservazioni scritte, che siffatto cumulo è certamente ipotizzabile. Per contro, l’Irlanda e il Consiglio sostengono la tesi opposta. All’udienza dinanzi alla Corte, il Consiglio ha precisato che la procedura di voto in seno al Consiglio, quale risulterebbe dalle disposizioni dei protocolli (n. 21) e (n. 22), osterebbe a siffatta ipotesi.

B –    Analisi

61.      Secondo una costante giurisprudenza, la scelta della base giuridica di un atto dell’Unione, compreso quello adottato in vista della conclusione di un accordo internazionale, deve basarsi su elementi oggettivi, suscettibili di sindacato giurisdizionale, tra i quali figurano la finalità e il contenuto dell’atto. Se l’esame di un atto dell’Unione dimostra che esso persegue una duplice finalità o che ha una doppia componente e se una di esse è identificabile come principale o preponderante, mentre l’altra è solo accessoria, l’atto deve fondarsi su una sola base giuridica, ossia quella richiesta dalla finalità o dalla componente principale o preponderante (25).

62.      La Corte ammette tuttavia, «in via eccezionale», che un atto possa essere fondato, cumulativamente, sulle diverse basi giuridiche corrispondenti alla pluralità degli obiettivi o delle componenti di tale atto quando tali finalità o tali componenti sono legate tra loro in modo inscindibile, senza che una sia accessoria rispetto all’altra (26). In tal caso, la Corte verifica altresì se il ricorso a una pluralità di basi giuridiche possa essere escluso per il motivo che le procedure previste dalle diverse basi giuridiche in questione sono incompatibili tra loro (27).

63.      È alla luce di tale giurisprudenza che occorre stabilire se, con riferimento alla finalità e al contenuto dell’accordo previsto, l’atto di stipulazione di tale accordo debba essere fondato esclusivamente sull’articolo 82, paragrafo 1, lettera d), TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE, quali basi giuridiche sostanziali, come precisa il progetto di decisione del Consiglio e come sostiene la maggioranza delle parti interessate o se debba essere basato sull’articolo 16 TFUE, in via esclusiva oppure in combinato disposto con i due articoli citati (28).

64.      Su quest’ultimo punto tengo a precisare che, contrariamente a quanto esposto dal Consiglio nelle sue osservazioni scritte, la Corte mi sembra assolutamente legittimata, tenuto conto della natura non contenziosa e preventiva del procedimento di parere, a esaminare la seconda questione sottopostale dal Parlamento sotto il profilo del cumulo di basi giuridiche sostanziali, anche se il testo di tale questione non lo prevede. Aggiungo che le parti interessate hanno avuto occasione, sia nella fase scritta del procedimento che in udienza, di prendere posizione su tale punto.

65.      Ciò è tanto più importante in quanto l’esame della finalità e del contenuto dell’accordo previsto deve indurre, a mio avviso, a ritenere che quest’ultimo persegua due obiettivi e possieda due componenti, senza che complessivamente né i due obiettivi né le diverse componenti possano essere gerarchicamente ordinate e dissociate. Tale constatazione giustifica, a mio avviso, il fatto che l’atto di stipulazione dell’accordo previsto assuma come basi giuridiche sostanziali l’articolo 16, TFUE e l’articolo 87, paragrafo 2, lettera a), TFUE, il che implica che le procedure previste da questi due articoli possono coesistere.

1.      Sulla finalità e sul contenuto dell’accordo previsto

66.      Dal secondo comma del preambolo dell’accordo previsto emerge che le parti contraenti riconoscono «l’importanza di prevenire, combattere, reprimere ed eliminare il terrorismo e i reati ad esso connessi nonché altri reati gravi di natura transnazionale, nel rispetto dei diritti e delle libertà fondamentali, in particolare il rispetto della vita privata e la protezione dei dati di carattere personale», mentre il quarto comma aggiunge che l’uso dei dati PNR costituisce uno strumento cruciale per il raggiungimento di tali obiettivi.

67.      Il concomitante perseguimento, da un lato, dell’obiettivo della lotta contro il terrorismo e altri reati gravi di natura transnazionale e, dall’altro, del rispetto della vita privata e della protezione dei dati di carattere personale è confermato dai commi quinto e sesto del preambolo che sottolineano, rispettivamente, la volontà delle parti contraenti di «salvaguard[are] [la] sicurezza pubblica» e il riconoscimento che esse «condividono valori comuni riguardo alla protezione dei dati e al rispetto della vita privata».

68.      Parimenti, dal quindicesimo comma del preambolo emerge espressamente che il Canada si è impegnato a che la sua autorità competente tratti «i dati del codice di prenotazione per prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi di natura transnazionale nel rispetto assoluto delle salvaguardie per la vita privata e la protezione dei dati personali [stabilite dall’accordo previsto]».

69.      L’accordo previsto ha quindi lo scopo di consentire al Canada di trattare i dati PNR dei passeggeri, trasmessi dai vettori aerei che effettuano collegamenti tra l’Unione e il Canada, a fini di lotta contro il terrorismo e altri reati gravi di natura transnazionale, garantendo al contempo il diritto al rispetto della vita privata e quello alla protezione dei dati di carattere personale alle condizioni prescritte dallo stesso accordo previsto.

70.      Tale necessità di conciliare questi due obiettivi è suffragata dall’articolo 1 dell’accordo previsto il quale stabilisce che le parti contraenti definiscono le condizioni per il trasferimento e l’uso dei dati PNR «al fine di garantire la sicurezza e l’incolumità delle persone e di stabilire i mezzi con cui i dati [sono] protetti».

71.      L’esame del contenuto dell’accordo previsto conferma altresì che lo strumento di lotta contro il terrorismo e altri reati gravi di natura transnazionale mediante il trasferimento e il trattamento di dati PNR è autorizzato solo se i dati in questione beneficiano di un livello di protezione adeguato.

72.      Per questo motivo, ai sensi dell’articolo 3, paragrafo 1, dell’accordo previsto, il Canada garantisce che l’autorità canadese competente tratti i dati PNR ricevuti «esclusivamente al fine di prevenire, accertare, indagare e perseguire i reati di terrorismo o i reati gravi di natura transnazionale», sottolineando al contempo che tale trattamento deve essere realizzato «ai sensi del presente accordo». Tale precisazione sta ad indicare in particolare che, in applicazione dell’articolo 5 dell’accordo previsto, «fatta salva la conformità [a quest’ultimo], si presume che l’autorità canadese competente assicuri, ai sensi della pertinente legislazione dell’Unione europea in materia di protezione dei dati, un livello adeguato di protezione».

73.      Parimenti, nel contesto della conservazione dei dati PNR e della progressiva spersonalizzazione, mediante mascheramento, di tali dati, previste all’articolo 16 dell’accordo previsto, il paragrafo 4 di tale articolo autorizza il mascheramento da parte delle autorità canadesi solo nel caso in cui «sulla base delle informazioni disponibili, sia necessario svolgere indagini nell’ambito dell’articolo 3» del medesimo accordo.

74.      Inoltre, l’articolo 18, paragrafo 1, e l’articolo 19 paragrafo 1, dell’accordo previsto autorizzano la successiva comunicazione dei dati PNR ad altre autorità pubbliche canadesi o di paesi terzi solo a condizioni tassativamente elencate, tra le quali, in particolare, quelle secondo cui, da un lato, le autorità in questione esercitano «mansioni (…) direttamente connesse all’ambito di applicazione dell’articolo 3 [dell’accordo previsto]» e, dall’altro, le medesime autorità offrono una protezione o applicano norme di protezione equivalenti alle salvaguardie descritte nell’accordo previsto».

75.      Senza inficiare la necessità di conciliare i due obiettivi perseguiti, talune clausole dell’accordo previsto si riferiscono tuttavia maggiormente, talvolta, allo scopo della lotta al terrorismo e alla criminalità transnazionale grave, talvolta, allo scopo della necessità di garantire una protezione adeguata dei dati personali.

76.      Pertanto, per quanto riguarda, specificamente, il primo obiettivo, l’articolo 6, paragrafo 2, dell’accordo previsto impone al Canada, in casi specifici, e su richiesta dell’Ufficio europeo di polizia (Europol), dell’Unità di cooperazione giudiziaria dell’Unione europea (Eurojust) entro la portata dei rispettivi mandati, o delle autorità giudiziarie o di polizia di uno Stato membro dell’Unione, di scambiare i dati PNR o le informazioni analitiche contenenti dati PNR ottenuti ai sensi dell’accordo previsto «al fine di prevenire, accertare, indagare o perseguire [nell’Unione europea] un reato di terrorismo o un reato grave di natura transnazionale». Inoltre, l’articolo 23, paragrafo 2, dell’accordo previsto, stabilisce che le parti contraenti cooperano al fine di garantire la coerenza dei loro rispettivi regimi di trattamento dei dati PNR «in modo da rafforzare ulteriormente la sicurezza dei cittadini del Canada, dell’Unione europea e degli altri paesi».

77.      Quanto alle clausole che si riferiscono maggiormente alle garanzie offerte dall’accordo previsto in materia di protezione dei dati, il medesimo prevede una serie di norme relative alla sicurezza e all’integrità dei dati (articolo 9 dell’accordo previsto), all’accesso, alla rettifica e all’annotazione dei dati richiesta dall’interessato (articoli 12 e 13 dell’accordo previsto), alla sorveglianza del trattamento dei dati PNR nonché ai mezzi di ricorso amministrativi e giudiziari a disposizione degli interessati (articoli 10 e 14 dell’accordo previsto).

78.      Alla luce dello scopo e del contenuto dell’accordo previsto, quest’ultimo persegue quindi due obiettivi e possiede due componenti essenziali, il che, in definitiva, è stato ammesso o, quantomeno, concesso dalla stragrande maggioranza delle parti interessate.

79.      Contrariamente a quanto le parti interessate hanno affermato a sostegno di tesi opposte, è assai difficile, a mio avviso, stabilire quale di questi due obiettivi prevalga sull’altro.

80.      Infatti, come la descrizione dello scopo e del contenuto dell’accordo previsto tende a dimostrare, questi due obiettivi devono essere perseguiti contemporaneamente e risultano, in definitiva, inscindibili. Da un lato, come ho evidenziato, il trasferimento e il trattamento di dati PNR all’autorità competente canadese ai fini esposti all’articolo 3 dell’accordo previsto sono autorizzati solo se tali operazioni sono associate a una protezione adeguata dei dati, ai sensi del diritto dell’Unione in materia, conformemente all’articolo 5 dell’accordo previsto. In altri termini, qualora siffatta protezione non sia garantita, il trasferimento di dati PNR contemplato dall’accordo previsto non può essere legittimamente realizzato. D’altro lato, le garanzie stabilite dall’accordo previsto in termini di protezione dei dati personali sono necessarie solo in funzione del fatto che i dati PNR devono essere trasferiti all’autorità canadese competente in forza della normativa canadese e delle clausole dell’accordo previsto. Come illustrato da varie disposizioni dell’accordo previsto, quali gli articoli 16, 18 e 19 dello stesso, tale accordo mira quindi a conciliare l’obiettivo di sicurezza con l’obiettivo di protezione dei diritti fondamentali dei soggetti interessati, in particolare quello della protezione dei loro dati personali.

81.      A conti fatti, ritengo che questi due obiettivi e queste due componenti dell’accordo previsto siano inscindibilmente connessi, senza che uno sia secondario e indiretto rispetto all’altro.

82.      Tale valutazione non può essere inficiata dall’argomento della Commissione, tratto dal punto 56 della sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346), nel quale la Corte ha dichiarato che il trasferimento di dati PNR agli Stati Uniti costituiva un trattamento avente come oggetto la pubblica sicurezza e le attività degli Stati membri in materia di diritto penale.

83.      Infatti, anzitutto, il presente procedimento di parere ha ad oggetto l’accordo previsto con il Canada e non già il primo accordo concluso con gli Stati Uniti nel 2004 e la decisione di adeguatezza della Commissione adottata lo stesso anno, sui quali vertevano i ricorsi di annullamento proposti dal Parlamento.

84.      Inoltre, fatto ancor più importante, la Commissione procede a una estrapolazione della constatazione effettuata dalla Corte in tale punto della sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346), la quale, ricordo, è stata pronunciata assai prima dell’adozione del Trattato di Lisbona.

85.      Infatti, la Corte era invitata dal Parlamento a stabilire in particolare se la Commissione fosse legittimata ad adottare una decisione di adeguatezza, fondata sull’articolo 25 della direttiva 95/46, relativa al livello di protezione adeguato garantito al trattamento dei dati personali contenuti nei fascicoli PNR trasferiti agli Stati Uniti, mentre l’articolo 3, paragrafo 2, di tale direttiva esclude espressamente dal suo ambito di applicazione i trattamenti aventi ad oggetto, in particolare, la pubblica sicurezza e le attività dello Stato in materia di diritto penale. La Corte ha risposto logicamente in senso negativo. Infatti, il trattamento dei dati PNR nel contesto dell’accordo con gli Stati Uniti non poteva essere collegato alla realizzazione di una prestazione di servizi, ma si inseriva nel quadro istituito dai poteri pubblici e finalizzato alla sicurezza pubblica, che non rientrava nell’ambito di applicazione della direttiva 95/46 (29).

86.      Orbene, tale valutazione non significa affatto che la Corte abbia statuito definitivamente sull’oggetto degli accordi PNR, compreso, ai fini della trattazione, l’oggetto dell’accordo previsto o, a maggior ragione, che essa abbia definitivamente dichiarato che tali accordi hanno come obiettivo esclusivo, principale o preponderante la lotta al terrorismo e alla criminalità transnazionale grave, come suggerito erroneamente dalla Commissione.

87.      La constatazione della Corte nella sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346), non significa neppure, evidentemente, che, statuendo sull’ambito di applicazione ratione materiae della direttiva 95/46, essa abbia limitato, nella stessa occasione e anticipatamente, l’ambito di applicazione dell’articolo 16 TFUE.

88.      A sostegno della sua tesi, secondo la quale l’obiettivo di sicurezza dell’accordo previsto sarebbe preponderante e giustificherebbe quindi la base giuridica prescelta, la Commissione tenta, inoltre, di creare un’analogia tra la causa in esame e quella che ha dato luogo alla sentenza del 6 maggio 2014, Commissione/Parlamento e Consiglio (C‑43/12, EU:C:2014:298).

89.      In tale causa, vertente sulla determinazione della base giuridica adeguata della direttiva 2011/82/UE del Parlamento europeo e del Consiglio, del 25 ottobre 2011, intesa ad agevolare lo scambio transfrontaliero di informazioni sulle infrazioni in materia di sicurezza stradale (30), la Corte ha dichiarato, dopo aver stabilito che l’obiettivo preponderante di tale atto consiste nel miglioramento della sicurezza stradale (e quindi dei trasporti), che il sistema di scambio di informazioni istituito dalla suddetta direttiva costituisce «lo strumento mediante il quale quest’ultima persegue [tale] scopo» (31). La direttiva 2011/82 avrebbe dovuto essere quindi adottata non già in base all’articolo 87, paragrafo 2, TFUE (cooperazione di polizia), bensì in base all’articolo 91, paragrafo 1, lettera c), TFUE, rientrante nel titolo relativo alla politica dei trasporti.

90.      Sebbene sia pronto ad ammettere che esiste un’analogia parziale tra le due situazioni, quest’ultima non modifica affatto l’analisi secondo la quale l’accordo previsto riguarda due obiettivi e possiede due componenti inscindibili. Pertanto, il fatto che il trasferimento di dati PNR a favore dell’autorità competente canadese possa costituire lo strumento mediante il quale le parti contraenti perseguono l’obiettivo della sicurezza pubblica dell’accordo previsto non modifica in alcun modo la constatazione secondo la quale l’oggetto dell’accordo previsto, quale è in particolare descritto all’articolo 1 di detto accordo, è duplice. Del resto, la particolarità dell’accordo previsto, che lo distingue proprio dalla direttiva 2011/82, attiene alla circostanza che la massima efficacia ricercata dallo strumento del trasferimento dei dati PNR per il perseguimento dei fini elencati all’articolo 3 dell’accordo previsto deve essere contemperata con le garanzie in materia di protezione dei dati personali previste da tale accordo e che fanno proprio parte del secondo obiettivo perseguito da quest’ultimo.

91.      Infine, non convincono neppure gli argomenti del Parlamento a sostegno della sua posizione secondo la quale il «centro di gravità» dell’accordo previsto si troverebbe prevalentemente nelle garanzie offerte ai passeggeri dalle sue clausole in materia di protezione dei loro dati PNR, il che giustificherebbe il fatto che la decisione di conclusione di tale atto sia fondata esclusivamente sull’articolo 16 TFUE.

92.      Da un lato, non è esatto sostenere che l’accordo previsto non preveda alcun obbligo in capo alle compagnie aeree di trasmettere i dati PNR all’autorità canadese competente affinché tali dati siano trattati secondo i fini elencati all’articolo 3 dell’accordo previsto. È vero, come rileva il Parlamento nelle sue osservazioni scritte, che l’articolo 4, paragrafo 1, dell’accordo previsto precisa che l’Unione provvede unicamente affinché ai vettori aerei «non sia impedito» di trasferire i dati PNR all’autorità canadese competente. Tuttavia, dal combinato disposto di tale articolo, intitolato «Trasmissione dei dati PNR», con gli articoli 5 (32), 20 (33) e 21 (34) dell’accordo previsto, come il Palamento ha del resto ammesso in risposta a un quesito scritto posto dalla Corte, risulta che i vettori aerei sono tenuti, di fatto e di diritto, a dare accesso ai dati PNR in modo sistematico alla competente autorità canadese ai fini stabiliti dall’articolo 3 dell’accordo previsto.

93.      D’altro lato, l’oggetto dell’accordo previsto non può essere principalmente assimilato a una decisione di adeguatezza, simile a quella che la Commissione aveva adottato sotto l’egida dell’accordo del 2006 (35). Come è stato già precisato, sia lo scopo che il contenuto dell’accordo previsto dimostrano, al contrario, che quest’ultimo mira a conciliare i due obiettivi dallo stesso perseguiti e che detti obiettivi sono inscindibilmente connessi.

94.      Qual è dunque la conseguenza di tale constatazione sulla determinazione della base giuridica dell’atto di conclusione dell’accordo previsto?

2.      Sulla base giuridica adeguata

95.      Come è già stato accennato, è pacifico che il progetto di decisione del Consiglio di conclusione dell’accordo previsto è fondato sull’articolo 82, paragrafo 1, lettera d), TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE, entrambi rientranti nel titolo V della parte terza del Trattato FUE, relativo all’«[SLSG]».

96.      Con riferimento ai due obiettivi e alle due componenti inscindibili dell’accordo previsto, descritti nei paragrafi precedenti, tali basi giuridiche sostanziali mi sembrano certamente, almeno in parte, pertinenti, ma insufficienti. Ritengo infatti che occorra e sia possibile, alla luce della giurisprudenza, fondare l’atto di conclusione dell’accordo previsto sull’articolo 16, paragrafo 2, primo comma, TFUE.

a)      Sulla pertinenza dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE

97.      Per quanto riguarda il primo punto, ossia la pertinenza dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE, occorre anzitutto concordare sul fatto che la creazione di un SLSG richiede necessariamente che l’Unione possa esercitare la propria competenza esterna.

98.      A parte il caso degli accordi di riammissione, previsto all’articolo 79, paragrafo 3, TFUE, relativo alla politica dell’immigrazione e non rilevante nella fattispecie, all’Unione non è stata concessa una competenza esterna esplicita, di natura generale, relativa all’SLSG. Tuttavia, l’articolo 216, paragrafo 1, TFUE consente all’Unione di concludere accordi internazionali, anche nell’ambito della cooperazione di polizia e/o giudiziaria in materia penale, in particolare quando ciò è necessario ai fini della realizzazione di un obiettivo previsto dai Trattati.

99.      Nessuna delle parti interessate rimette in discussione tale possibilità. A mio avviso, la Corte non può tuttavia limitarsi a tale constatazione. Ritengo che la Corte debba dedicare qualche approfondimento a tale questione nell’emanando parere.

100. Ammettere la competenza esterna dell’Unione nel settore dell’SLSG richiede la possibilità di collegare l’esercizio di tale competenza nel settore della cooperazione di polizia e giudiziaria in materia penale agli obiettivi perseguiti dall’SLSG.

101. Tali obiettivi sono enunciati all’articolo 3, paragrafo 2, TUE e all’articolo 67 TFUE. La prima di tali disposizioni stabilisce che «l’Unione offre ai suoi cittadini un [SLSG] senza frontiere interne, in cui sia assicurata la libera circolazione delle persone insieme a misure appropriate per quanto concerne i controlli alle frontiere esterne (…) la prevenzione della criminalità e la lotta contro quest’ultima». L’articolo 67 TFUE, che apre il capo 1 del titolo V della parte terza del Trattato FUE, prevede, al paragrafo 3, che l’Unione «si adopera per garantire un livello elevato di sicurezza attraverso misure di prevenzione e di lotta contro la criminalità, il razzismo e la xenofobia, attraverso misure di coordinamento e cooperazione tra forze di polizia e autorità giudiziarie e altre autorità competenti».

102. Come ha sostenuto correttamente l’avvocato generale Bot nelle sue conclusioni del 30 gennaio 2014, presentate nella causa Parlamento/Consiglio (C‑658/11, EU:C:2014:41, punti 111 e 112), la dimensione esterna dell’SLSG è funzionale e strumentale in rapporto agli obiettivi espressi in queste due disposizioni. Ne consegue che, se certamente la costruzione dell’SLSG può esigere un’azione esterna da parte dell’Unione, occorre, affinché un accordo possa essere considerato rientrante nell’SLSG, che esso presenti uno stretto collegamento con la libertà, la sicurezza e la giustizia in seno all’Unione, vale a dire un nesso diretto tra la finalità di sicurezza interna dell’Unione e la cooperazione di polizia e/o giudiziaria che viene sviluppata all’esterno dell’Unione (36).

103. In un altro contesto ma nello stesso senso, la Corte, interpretando l’articolo 87, paragrafo 2, TFUE alla luce dell’articolo 67 TFUE, ha precisato che, affinché un atto dell’Unione possa essere fondato, alla luce della sua finalità e del suo contenuto, sul primo di tali articoli, detto atto deve essere direttamente collegato agli obiettivi enunciati all’articolo 67 TFUE (37).

104. Ciò è proprio quanto avviene, a mio avviso, nel caso dell’accordo previsto.

105. Infatti, in primo luogo, tale accordo si applica al trasferimento, al trattamento e all’uso di dati PNR aventi come scopo la sicurezza pubblica e le attività dello Stato in materia di diritto penale (38), vale a dire, più in particolare, la prevenzione e l’individuazione di reati di terrorismo e reati gravi di natura transnazionale, ivi comprese le relative indagini e azioni giudiziarie. Ai sensi dell’articolo 1 dell’accordo previsto, quest’ultimo mira in particolare a «garantire la sicurezza e l’incolumità delle persone», il che implica ovviamente quelle dei cittadini dell’Unione, in particolare quelli che usufruiscono dei collegamenti aerei tra il Canada e l’Unione europea (39). Peraltro, l’articolo 6, paragrafo 2, dell’accordo previsto obbliga il Canada, su richiesta in particolare dell’autorità di polizia e giudiziaria di uno Stato membro dell’Unione, a scambiare, in casi specifici, i dati PNR o le informazioni analitiche contenenti tali dati ottenuti ai sensi dell’accordo previsto al fine di prevenire o accertare reati di terrorismo o reati gravi di natura transnazionale, «nell’Unione europea».

106. In secondo luogo, sebbene la raccolta e il trasferimento iniziale dei dati PNR siano realizzati dai vettori aerei, le clausole dell’accordo previsto costituiscono un contesto normativo istituito dai poteri pubblici a fini repressivi (40). Come già accennato, l’accordo previsto introduce quindi norme relative all’accesso ai dati PNR e/o alle informazioni analitiche contenenti tali dati da parte delle competenti autorità canadesi nonché alla successiva trasmissione di tali dati, in particolare, alle competenti autorità di polizia e giudiziarie dell’Unione e dei suoi Stati membri nonché a quelle di paesi terzi, segnatamente ai fini elencati all’articolo 3 dell’accordo previsto. Peraltro, come è emerso chiaramente dalla discussione dinanzi alla Corte, il periodo di conservazione di cinque anni dei dati PNR, di cui all’articolo 16, paragrafi 1 e 5, dell’accordo previsto, è stato fissato al fine di consentire e di facilitare le indagini, le azioni e i procedimenti giudiziari relativi, in particolare, alle reti internazionali che svolgono gravi attività criminali. Orbene, alla luce della formulazione assai ampia dell’articolo 16, paragrafo 5, dell’accordo previsto, tali indagini e azioni giudiziarie possono includere benissimo quelle svolte dalle autorità di polizia e giudiziarie degli Stati membri dell’Unione. Siffatte norme rientrano, in linea di principio, nel settore della cooperazione di polizia e giudiziaria in materia penale (41).

107. Ne concludo, da un lato, che, per quanto riguarda le misure che possono essere stabilite dal Parlamento e dal Consiglio, concernenti «la raccolta, l’archiviazione, il trattamento, l’analisi e lo scambio delle pertinenti informazioni» ai fini della cooperazione di polizia «nel settore della prevenzione o dell’individuazione dei reati e delle relative indagini», prevista all’articolo 87, paragrafo 1, TFUE, l’articolo 87, paragrafo 2, lettera a), TFUE costituisce una base giuridica adeguata dell’atto di conclusione dell’accordo previsto. Aggiungo, ad ogni buon conto, che tale cooperazione e tali scambi non necessitano di essere realizzati tra autorità specificamente qualificate, nel diritto nazionale, per svolgere servizi di polizia stricto sensu. Infatti, l’articolo 87, paragrafo 1, TFUE associa alla cooperazione di polizia, in modo particolarmente ampio, «tutte le autorità competenti degli Stati membri, compresi i servizi di polizia, i servizi delle dogane e altri servizi incaricati dell’applicazione della legge» (42), espressione che autorizza perfettamente, nel contesto della dimensione esterna dell’SLSG, la cooperazione con la CBSA allo scopo di garantire la sicurezza interna dell’Unione.

108. Per quanto riguarda, d’altro lato, l’aspetto «cooperazione giudiziaria in materia penale» dell’accordo previsto, nonostante gli elementi evidenziati ai paragrafi 105 e 106 delle presenti conclusioni, confesso di essere piuttosto restio a ritenere che l’accordo previsto possa costituire una misura che contribuisce direttamente a «facilitare la cooperazione tra le autorità giudiziarie o autorità omologhe degli Stati membri in relazione all’azione penale e all’esecuzione delle decisioni», ai sensi dell’articolo 82, paragrafo 1, lettera d), TFUE. Come ha ammesso in particolare il governo del Regno Unito nella sua risposta a un quesito scritto posto dalla Corte, solo in determinati casi l’accordo previsto potrebbe facilitare tale cooperazione tra le autorità giudiziarie degli Stati membri. Siffatta cooperazione dipende tuttavia da vari parametri, sia di fatto che di diritto, che non rientrano nelle clausole dell’accordo previsto. La cooperazione tra le autorità giudiziarie degli Stati membri risulta essere quindi soltanto una conseguenza indiretta del quadro istituito dall’accordo previsto. È vero che il fatto che l’articolo 6 dell’accordo previsto non obblighi unicamente l’autorità canadese competente, ma più in generale «il Canada» a trasmettere dati PNR o informazioni analitiche ad autorità giudiziarie degli Stati membri può essere inteso nel senso che detta norma impone tale obbligo anche alle autorità giudiziarie di tale Stato terzo. Anche supponendo che tale interpretazione sia corretta e che uno scambio di dati PNR tra autorità giudiziarie sia ipotizzabile, resta il fatto che, nella fase attuale di redazione, l’accordo previsto non sembra contribuire realmente a facilitare la cooperazione tra autorità giudiziarie o autorità omologhe degli Stati membri. A mio avviso, solo nel caso in cui la Corte adottasse un’interpretazione più estensiva dell’articolo 82, paragrafo 1, lettera d), TFUE, eventualmente in combinato disposto con l’articolo 67, paragrafo 3, TFUE, secondo il quale l’Unione «si adopera per garantire un livello elevato di sicurezza (…) attraverso misure di coordinamento e cooperazione tra (…) autorità giudiziarie e altre autorità competenti», o nel caso in cui le parti contraenti modificassero le clausole dell’accordo previsto nel senso di prendere più direttamente in considerazione la dimensione giudiziaria dell’accordo previsto l’articolo 82, paragrafo 1, lettera d), TFUE potrebbe validamente costituire una base giuridica ulteriore dell’atto di conclusione di detto accordo.

109. Aggiungo che la valutazione secondo la quale l’articolo 82, paragrafo 1, lettera d), TFUE non può costituire un valido fondamento dell’atto di conclusione dell’accordo previsto non è inficiata dalla circostanza, menzionata da talune parti interessate, secondo la quale le decisioni del Consiglio recanti conclusione degli accordi PNR, rispettivamente, con l’Australia e con gli Stati Uniti sono fondate su tale disposizione, in combinato disposto con l’articolo 87, paragrafo 2, lettera a), TFUE (43). Infatti, secondo una giurisprudenza costante, è privo di rilievo, ai fini del controllo, nel caso di specie, della base giuridica dell’atto recante conclusione dell’accordo previsto, il fondamento normativo accolto per l’adozione di altri atti dell’Unione che presentano, eventualmente, caratteristiche simili (44).

110. In tali circostanze, nella fase attuale di redazione dell’accordo previsto, sono del parere che l’articolo 87, paragrafo 2, lettera a), TFUE costituisca una base giuridica adeguata dell’atto di conclusione dell’accordo previsto.

111. Tuttavia, tale base giuridica sostanziale, validamente indicata nel progetto dell’atto di conclusione dell’accordo previsto, mi sembra insufficiente per consentire all’Unione di concludere tale accordo.

b)      Sulla necessità di fondare l’atto di conclusione dell’accordo previsto sull’articolo 16, paragrafo 2, primo comma, TFUE

112. Infatti, come ha sostenuto correttamente il Parlamento nella sua domanda, né l’articolo 87, paragrafo 2, lettera a), TFUE, né tanto meno, in generale, il titolo V della parte terza del Trattato FUE, relativo all’SLSG, prevedono l’adozione di norme nel settore della protezione dei dati personali.

113. Orbene, come ho dimostrato in precedenza, uno dei due obiettivi essenziali dell’accordo previsto, come precisa il suo articolo 1, è proprio quello di «stabilire i mezzi con cui i dati» PNR dei passeggeri che usufruiscono dei collegamenti aerei tra il Canada e l’Unione europea «[sono] protetti». Come è già stato evidenziato, il contenuto dell’accordo previsto conferma tale obiettivo, in particolare le clausole contenute nel capo relativo alle «salvaguardie applicabili al trattamento dei dati PNR», che riunisce gli articoli da 7 a 21 dell’accordo previsto.

114. In tale contesto, l’azione dell’Unione deve essere necessariamente fondata, a mio avviso, sull’articolo 16, paragrafo 2, primo comma, TFUE, che, ricordo, assegna al Parlamento e al Consiglio il compito di stabilire le norme relative alla protezione delle persone fisiche riguardo al trattamento dei dati di carattere personale, in particolare da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Tre ragioni fondamentali giustificano tale approccio.

115. Innanzi tutto, analogamente al ragionamento esposto precedentemente a proposito della dimensione esterna dell’SLSG, l’Unione deve essere considerata, conformemente all’articolo 216, paragrafo 1, TFUE, legittimata a concludere un accordo internazionale con un paese terzo il cui scopo sia di stabilire norme relative alla protezione dei dati personali quando ciò sia necessario per realizzare uno degli obiettivi previsti dai Trattati, nella fattispecie quelli di cui all’articolo 16 TFUE. Così avviene nel caso dell’accordo previsto, di cui una delle finalità essenziali consiste, in sostanza, nel prescrivere i mezzi per garantire la protezione dei dati PNR dei passeggeri che usufruiscono dei collegamenti aerei tra il Canada e l’Unione europea. Peraltro, non vi è dubbio, a mio avviso, che le clausole dell’accordo previsto debbano essere qualificate come «norme» relative alla protezione dei dati delle persone fisiche, ai sensi dell’articolo 16, paragrafo 2, primo comma, TFUE, il cui scopo è di vincolare le parti contraenti.

116. Inoltre, e contrariamente a quanto è avvenuto con l’ex articolo 286 CE, l’articolo 16, paragrafo 2, primo comma, TFUE, rientrante nel titolo II della parte prima di tale trattato, intitolato «Disposizioni di applicazione generale», è destinato a costituire la base giuridica di tutte le norme adottate a livello dell’Unione, relative alla protezione delle persone fisiche riguardo al trattamento dei loro dati personali, comprese quelle riguardanti l’adozione di misure previste da disposizioni del Trattato FUE relative alla cooperazione di polizia e giudiziaria in materia penale. Infatti, come specifica il secondo comma del medesimo articolo, solo le norme relative alla protezione dei dati personali adottate nel contesto della politica estera e di sicurezza comune devono essere basate sull’articolo 39 TUE. Tale interpretazione dell’articolo 16, paragrafo 2, primo comma, TFUE è, da un lato, confermata dall’omissione di qualsiasi riferimento all’eventuale adozione di disposizioni relative alla protezione dei dati personali sul fondamento dell’articolo 87, paragrafo 2, lettera a), TFUE. Orbene, occorre ricordare che, prima dell’entrata in vigore del Trattato di Lisbona, l’articolo 30, paragrafo 1, lettera b), TUE prevedeva, al contrario, che azioni comuni nel settore della cooperazione di polizia potevano riguardare, tra l’altro, il trattamento, l’analisi e lo scambio di informazioni rilevanti «fatte salve adeguate disposizioni sulla protezione dei dati personali», formulazione che ha del resto autorizzato il Consiglio ad adottare la decisione quadro 2008/977/GAI, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (45). D’altro lato, come riprenderò a spiegare più avanti, occorre sottolineare che le disposizioni dei protocolli (n. 21) e (n. 22) hanno certamente previsto l’ipotesi che norme fondate sull’articolo 16, paragrafo 2, primo comma, TFUE possano essere adottate nell’ambito dell’esercizio di attività rientranti nei capi del Trattato FUE relativi alla cooperazione di polizia e giudiziaria in materia penale.

117. Di conseguenza, e per dissipare ogni dubbio riguardo all’ambiguità della posizione sostenuta dalla Commissione nelle sue osservazioni scritte, l’articolo 16 TFUE, da un lato, e l’articolo 87, paragrafo 2, lettera a), TFUE, nonché l’articolo 82, paragrafo 1, lettera d), TFUE, dall’altro, non possono essere legati da un rapporto di tipo gerarchico «lex generalis – lex specialis». Infatti, come illustrano in particolare i protocolli citati, le Alte Parti Contraenti hanno previsto l’eventualità che un atto dell’Unione possa essere fondato contemporaneamente su questi tre articoli, proprio per il fatto che tali disposizioni hanno ambiti di applicazione distinti.

118. Infine, come hanno sostenuto in particolare il Parlamento, la Commissione e il GEPD nelle loro rispettive risposte a un quesito scritto posto dalla Corte, la rilevanza dell’articolo 16 TFUE quale base giuridica dell’atto di conclusione dell’accordo previsto non può essere messa in dubbio dal fatto che le misure di protezione che tale articolo consente di adottare si riferiscono al trattamento di dati da parte delle autorità degli Stati membri e non già, come nella fattispecie, al trasferimento di dati previamente raccolti da soggetti privati (i vettori aerei) per essere destinati a un paese terzo.

119. Infatti, da un lato, parafrasando l’avvocato generale Léger, l’obbligo al quale è tenuta una compagnia aerea in forza del combinato disposto degli articoli 4, 5, 20 e 21 dell’accordo previsto, di trasferire direttamente una serie di dati PNR al Canada, non è «sostanzialmente diverso da uno scambio diretto di dati tra autorità pubbliche» (46). D’altro lato, poiché la Corte ha confermato che rientra nella definizione di «trattamento di dati», ai sensi della direttiva 95/46, il trasferimento di dati personali, da parte di un operatore privato, da uno Stato membro verso un paese terzo (47), un’interpretazione strettamente letterale della nuova base giuridica costituita dall’articolo 16, paragrafo 2, primo comma, TFUE equivarrebbe a frazionare il regime di protezione dei dati personali. Siffatta interpretazione risulta essere in contrasto con l’intento delle Alte Parti Contraenti di creare una base giuridica, in via di principio, unica che autorizzi espressamente l’Unione ad adottare norme relative alla protezione dei dati personali delle persone fisiche. Si tratterebbe quindi di un regresso difficilmente spiegabile rispetto al regime precedente fondato sulle disposizioni del Trattato relative al mercato interno. Tale interpretazione strettamente letterale dell’articolo 16 TFUE avrebbe quindi come conseguenza di privare tale disposizione di gran parte della sua efficacia pratica.

120. Pertanto, alla luce degli obiettivi e delle componenti dell’accordo previsto, che sono inscindibilmente connessi, l’atto di conclusione di tale accordo deve essere fondato, a mio avviso, sull’articolo 16, paragrafo 2, primo comma, TFUE, e sull’articolo 87, paragrafo 2, lettera a), TFUE quali basi giuridiche sostanziali.

121. Conformemente alla giurisprudenza, considerare una pluralità di basi giuridiche per l’adozione di un atto dell’Unione richiede che le procedure previste dalle diverse basi giuridiche in questione siano compatibili (48).

122. Nella fattispecie, sia l’articolo 16, paragrafo 2, primo comma, TFUE che l’articolo 87, paragrafo 2, lettera a), TFUE prevedono che, per adottare le misure previste da questi due articoli, il Parlamento e il Consiglio deliberano secondo la procedura legislativa ordinaria. Inoltre, lo stesso vale per le misure fondate sull’articolo 82, paragrafo 1, lettera d), TFUE qualora la Corte dovesse considerare tale articolo come costituente una base giuridica sostanziale adeguata dell’atto di conclusione dell’accordo previsto.

123. Pertanto, le procedure specificamente previste da tali articoli sono compatibili, ai sensi della giurisprudenza. Esse non ostano quindi a che la Corte consideri una pluralità di basi giuridiche dell’atto di conclusione dell’accordo previsto.

124. Il Consiglio, sostenuto dall’Irlanda, ha affermato tuttavia che occorre andare al di là di tale constatazione esaminando le modalità di partecipazione del Regno di Danimarca, dell’Irlanda e del Regno Unito in seno al Consiglio, quali previste rispettivamente dalle disposizioni dei protocolli (n. 21) e (n. 22). Secondo tali parti interessate, dette modalità osterebbero all’applicazione congiunta, quali basi giuridiche sostanziali, dell’articolo 16 TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE. Più precisamente, il Consiglio ha spiegato all’udienza dinanzi alla Corte, non senza contraddizioni e incoerenze (49), che le disposizioni di tali protocolli distinguerebbero la questione della natura non vincolante delle norme stabilite in base all’articolo 16 TFUE, relative al trattamento di dati di carattere personale nell’esercizio di attività rientranti nella cooperazione di polizia e giudiziaria in materia penale, dalla questione della partecipazione di questi tre Stati membri al voto in seno al Consiglio, quando quest’ultimo è chiamato ad adottare tali norme. Ne conseguirebbe che, mentre questi tre Stati membri non parteciperebbero all’adozione delle misure rientranti nell’ambito della cooperazione di polizia e giudiziaria in materia penale, salvo nel caso in cui l’Irlanda e il Regno Unito decidessero di esercitare il loro diritto all’optin, essi parteciperebbero sempre all’adozione delle norme che avessero come base giuridica l’articolo 16 TFUE, nonostante il fatto che, in forza dei rispettivi protocolli, tali misure non li vincolerebbero.

125. Tale argomento merita una certa attenzione, anche se, in definitiva, ritengo che debba essere respinto.

126. Ricordiamo che la Corte ha già dichiarato che i due protocolli in questione non possono avere «una qualsivoglia incidenza sulla questione del fondamento normativo appropriato» per l’adozione di un atto dell’Unione (50). Pertanto, in forza di tale giurisprudenza, qualora, al termine dell’analisi dell’obiettivo e del contenuto dell’accordo previsto e contrariamente a quanto ho sostenuto supra, l’atto di conclusione di tale accordo dovesse essere esclusivamente fondato sull’articolo 16, paragrafo 2, primo comma, TFUE, i due protocolli in questione, nonostante la formulazione dell’articolo 29 dell’accordo previsto, non potrebbero «neutralizzare» tale constatazione. In altri termini, i tre Stati membri in questione dovrebbero partecipare all’adozione dell’atto di conclusione dell’accordo previsto ed esserne vincolati.

127. L’applicazione di tale giurisprudenza in caso di concorrenza tra due basi giuridiche, che prevedono la stessa procedura di adozione (procedura legislativa ordinaria e voto a maggioranza qualificata in seno al Consiglio), ma che inciderebbero in modo diverso sulla partecipazione, in seno al Consiglio, dei tre Stati membri interessati all’adozione dell’atto in questione, risulta più delicata.

128. Dato che si tratta, nella fattispecie, di determinare la base giuridica adeguata di un atto specifico, ossia l’atto di conclusione dell’accordo previsto, tale questione non necessita di essere risolta riguardo all’Irlanda e al Regno Unito. Infatti, è pacifico che, conformemente all’articolo 3 del protocollo (n. 21), questi due Stati membri hanno notificato la loro intenzione di essere vincolati dall’accordo previsto, cosicché essi parteciperanno all’adozione dell’atto di conclusione di quest’ultimo. Nessun argomento di natura procedurale, relativo a questi due Stati membri, osta quindi a che l’atto di conclusione dell’accordo previsto sia basato congiuntamente sull’articolo 16, paragrafo 2, primo comma, TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE.

129. Quanto alla posizione del Regno di Danimarca, occorre ricordare che, conformemente all’articolo 2 bis del protocollo (n. 22), l’articolo 2 di quest’ultimo, secondo il quale, in particolare, nessuna misura o nessun accordo internazionale adottati in applicazione della parte terza del titolo V del Trattato FUE sono vincolanti per il Regno di Danimarca, si applica anche relativamente alle norme stabilite adottando quale base giuridica l’articolo 16 TFUE, riguardanti il trattamento dei dati personali da parte degli Stati membri nell’esercizio di attività rientranti nell’ambito di applicazione dei capi 4 o 5 del titolo V della parte terza di detto trattato, ossia rientranti nell’ambito della cooperazione di polizia e giudiziaria in materia penale.

130. Il Regno di Danimarca non sarà quindi vincolato dalle clausole dell’accordo previsto. Tuttavia, il Consiglio sostiene che, limitandosi a rinviare all’articolo 2 del protocollo (n. 22) e non già al suo articolo 1, il quale stabilisce che il Regno di Danimarca non partecipa all’adozione da parte del Consiglio delle misure proposte a norma della parte terza del titolo V del Trattato FUE, l’articolo 2 bis di tale protocollo implicherebbe, a contrario, la partecipazione del Regno di Danimarca all’adozione dell’atto di conclusione dell’accordo previsto se quest’ultimo dovesse essere fondato sull’articolo 16 TFUE.

131. Tale linea di ragionamento non mi convince o, quantomeno, non porta alle conseguenze che le attribuisce il Consiglio quanto alla scelta della base giuridica dell’atto di conclusione dell’accordo previsto.

132. Infatti, ritengo che le Alte Parti Contraenti non abbiano inteso consentire al Regno di Danimarca di non essere vincolato da un atto avente come base giuridica sia l’articolo 16 TFUE che una delle disposizioni del Trattato FUE relative alla cooperazione di polizia e giudiziaria in materia penale, pur partecipando all’adozione di tale atto, con il relativo rischio che il Regno di Danimarca possa unirsi a un gruppo di Stati membri contrari a che tale atto sia giustamente adottato, in modo da impedire che possa formarsi una maggioranza qualificata in seno al Consiglio. Ciò mi sembra contrario allo scopo del protocollo (n. 22) consistente nella ricerca di un equilibrio tra la necessità di gestire la posizione specifica del Regno di Danimarca e quella di consentire agli altri Stati membri (compresi, eventualmente, l’Irlanda e il Regno Unito) di perseguire la loro politica di cooperazione nel settore dell’SLSG.

133. Si potrebbe certamente obiettare a tale interpretazione che, in forza del preambolo del protocollo (n. 22), le Alte Parti Contraenti prendono atto che il Regno di Danimarca non impedirà agli altri Stati membri di sviluppare ulteriormente la loro cooperazione per quanto concerne le misure non vincolanti per il Regno di Danimarca. Pertanto, secondo detta tesi, pur essendo autorizzato a partecipare all’adozione di atti rientranti nell’articolo 2 bis di detto protocollo, per esso non vincolanti, il Regno di Danimarca si sarebbe impegnato a non opporsi mai alla loro adozione.

134. Se questa dovesse essere l’esatta interpretazione delle disposizioni rilevanti del protocollo (n. 22), la conseguenza sarebbe che l’atto di conclusione dell’accordo previsto non potrebbe essere basato sul cumulo dell’articolo 16 TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE, a causa di una presunta incompatibilità delle procedure di adozione di tale atto, per la semplice ragione che il Regno di Danimarca parteciperebbe in via puramente formale all’adozione di tale atto. Ne deriverebbe che tale partecipazione, puramente formale, del Regno di Danimarca all’adozione dell’atto di conclusione dell’accordo previsto «neutralizzerebbe» l’analisi obiettiva della base giuridica di tale atto, analisi che, ricordo, è fondata sull’esame delle finalità e delle componenti di tale accordo. Tale conseguenza sarebbe manifestamente in contrasto con la giurisprudenza secondo la quale è non già la procedura che definisce il fondamento normativo di un atto, bensì il fondamento normativo di un atto che determina la procedura da seguire per la sua adozione (51). Tale giurisprudenza si applica, a mio avviso, a maggior ragione quando la procedura che si presume debba essere seguita implicherebbe, in seno al Consiglio, una partecipazione puramente formale del Regno di Danimarca all’adozione di un atto per il quale tale Stato membro non sarebbe in alcun modo vincolato.

135. Alla luce di tutte le suesposte considerazioni, propongo alla Corte di rispondere alla seconda questione sottopostale dal Parlamento dichiarando che l’atto di conclusione dell’accordo previsto, alla luce degli obiettivi e delle componenti di tale accordo, che sono inscindibilmente connessi, senza che gli uni siano accessori rispetto agli altri, deve essere basato sull’articolo 16, paragrafo 2, primo comma, TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE, in combinato disposto con l’articolo 218, paragrafo 6, lettera a), punto v), TFUE (52).

VII – Sulla compatibilità dell’accordo previsto con le disposizioni del Trattato FUE e della Carta (prima questione)

A –    Sintesi della domanda e delle osservazioni del Parlamento nonché delle osservazioni delle altre parti interessate

1.      Sintesi della domanda e delle osservazioni del Parlamento

136. Il Parlamento considera che, alla luce, in particolare, della giurisprudenza della Corte, sussiste incertezza giuridica riguardo alla questione se l’accordo previsto sia compatibile con l’articolo 16 TFUE e con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta.

137. Secondo il Parlamento, sarebbe evidente che la raccolta, il trasferimento, l’analisi, la conservazione e l’ulteriore trasferimento di dati PNR contemplati dall’accordo previsto costituirebbero «trattamenti» diversi e manifestazioni diverse di ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta. Nelle sue diverse manifestazioni, tale ingerenza risulterebbe di vasta portata e sarebbe particolarmente grave (53).

138. Il Parlamento sottolinea che, conformemente all’articolo 52, paragrafo 1, della Carta, una siffatta ingerenza potrebbe essere giustificata solo nel caso in cui sia «previst[a] dalla legge» e risulti necessaria e proporzionata a un obiettivo di interesse generale riconosciuto dall’Unione.

139. Quanto al primo punto, il Parlamento si chiede, in sostanza, se un accordo internazionale costituisca una «legge» ai sensi di tale disposizione e se possa prevedere limitazioni all’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta. Il Parlamento rileva che, secondo la giurisprudenza della Corte europea dei diritti dell’uomo (in prosieguo: la «Corte EDU»), concernente l’espressione «prevista dalla legge» contenuta nell’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), qualsiasi ingerenza dovrebbe avere una base «nel diritto interno». Orbene, dato che il Trattato di Lisbona ha profondamente modificato l’ordinamento giuridico dell’Unione introducendovi il concetto di «atto legislativo», l’espressione «prevista dalla legge» coinciderebbe, nel diritto dell’Unione, con la nozione di «atto legislativo». Un accordo internazionale non risponderebbe a tale qualificazione.

140. Per quanto riguarda il secondo punto, ossia la necessità dell’ingerenza, il Parlamento ritiene che siano il Consiglio e la Commissione a dover dimostrare, in base ad elementi obiettivi, che la conclusione dell’accordo previsto è effettivamente necessaria ai sensi dell’articolo 52, paragrafo 1, della Carta. Sembrerebbe che tali elementi non sussistano.

141. Infine, quanto al terzo punto, riguardante la proporzionalità dell’ingerenza contemplata dall’accordo previsto, il Parlamento sostiene che il potere discrezionale del legislatore dell’Unione risulterebbe ridotto, cosicché si dovrebbe procedere a un controllo rigoroso dei requisiti fissati dalla Carta, anche nel contesto della conclusione di un accordo internazionale. Al riguardo, l’accordo previsto apparterrebbe alla categoria dei «più generali programmi di sorveglianza», ai sensi della giurisprudenza della Corte EDU (54), cosicché sarebbe applicabile anche nella fattispecie l’iter logico seguito dalla Corte nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238).

142. In primo luogo, l’accordo previsto riguarderebbe, secondo il Parlamento, in generale, persone che viaggiano verso il Canada senza che sussista un nesso tra le persone interessate, i loro dati PNR e una minaccia per la sicurezza pubblica.

143. In secondo luogo, il Parlamento si interroga sulla questione se l’accordo previsto stabilisca criteri obiettivi che consentano effettivamente di delimitare l’accesso delle autorità canadesi ai dati PNR e il loro uso successivo a fini di prevenzione, di accertamento o di esercizio dell’azione penale riguardo a reati che possono essere considerati essi stessi come sufficientemente gravi. Orbene, i criteri elencati nel progetto di accordo sarebbero vaghi. Pertanto, il Parlamento rileva che l’accordo previsto non individuerebbe l’«autorità canadese competente» avente accesso ai dati e l’articolo 3, paragrafo 2, dell’accordo previsto rinvierebbe, riguardo all’espressione «criminalità grave», alla normativa canadese senza che sussistano limiti riconosciuti dal diritto dell’Unione e senza che siano precisati i reati cui si riferisce tale espressione. Parimenti, l’articolo 3, paragrafo 5, dell’accordo previsto consentirebbe il trattamento dei dati PNR da parte del «Canada» in settori diversi dal diritto penale e potrebbe consentire il trasferimento dei dati PNR da parte dell’«autorità canadese competente» ad altre autorità candesi, se non addirittura a privati. Inoltre, l’articolo 16, paragrafo 2, dell’accordo previsto non preciserebbe il numero di persone aventi accesso ai dati PNR, mentre l’accesso delle autorità canadesi a tali dati non sarebbe subordinato a un controllo preventivo effettuato da un giudice o da un’autorità amministrativa indipendente.

144. In terzo luogo, il Parlamento invita la Corte a constatare che il periodo di conservazione dei dati PNR di cinque anni, di cui all’articolo 16, paragrafo 5, dell’accordo previsto, non è giustificato. Tale periodo non sarebbe fondato su criteri obiettivi e non sarebbe stata fornita alcuna giustificazione. Tale periodo sarebbe stato inoltre prolungato rispetto a quello previsto sotto l’egida dell’accordo del 2006, senza spiegazioni.

145. In quarto luogo, il Parlamento sostiene che l’accordo previsto non richiede che i dati PNR siano conservati nel territorio dell’Unione. Pertanto, il controllo del rispetto dei requisiti di protezione e di sicurezza, da parte di un’autorità indipendente, espressamente richiesto dall’articolo 8, paragrafo 3, della Carta e dall’articolo 16, paragrafo 2, TFUE, non sarebbe pienamente garantito. In tale contesto, sussisterebbero seri dubbi riguardo alla questione se le misure che devono essere adottate dalle autorità candesi rispondano agli obblighi essenziali fissati da tali articoli. In particolare, l’articolo 10 dell’accordo previsto non garantirebbe il controllo da parte di un’autorità canadese indipendente e non preciserebbe in modo sufficiente i poteri, compreso quello di controllo preventivo, di cui dispone tale autorità al fine di verificare se detti poteri siano «adeguati» ai sensi del diritto dell’Unione.

146. In risposta ai quesiti scritti posti dalla Corte, il Parlamento ha precisato in particolare che gli insegnamenti derivanti dalla sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), si applicano mutatis mutandis alla valutazione della compatibilità dell’accordo previsto. Esso aggiunge che il rispetto effettivo delle condizioni sostanziali e procedurali relative all’accesso iniziale ai dati personali dovrebbe essere anche applicato al trasferimento successivo di tali dati e all’accesso ad essi da parte di altre autorità canadesi o di autorità di Stati terzi. Così non sarebbe nel caso delle condizioni di cui agli articoli 18 e 19 dell’accordo previsto. Peraltro, secondo il Parlamento, la formulazione dell’articolo 14, paragrafo 2, dell’accordo previsto sarebbe ambigua.

2.      Sintesi delle osservazioni delle altre parti interessate

147. Quanto alle altre parti interessate, mentre, in sostanza, il GEPD, nelle sue risposte ai quesiti scritti posti dalla Corte e nelle sue osservazioni orali, condivide i dubbi e le preoccupazioni espressi dal Parlamento, i governi che hanno partecipato al presente procedimento nonché il Consiglio e la Commissione ritengono che l’accordo previsto sia compatibile con l’articolo 16 TFUE e con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Le loro osservazioni vertono sostanzialmente sull’ingerenza, determinata dalle norme contenute nell’accordo previsto, nel diritto fondamentale delle persone alla protezione dei loro dati personali e sulla soddisfazione dei criteri di cui all’articolo 52, paragrafo 1, della Carta (un’ingerenza «prevista dalla legge», al fine di conseguire un obiettivo di interesse generale riconosciuto dall’Unione, necessaria e proporzionata al raggiungimento di detto obiettivo).

148. In primo luogo, i governi estone e francese ammettono espressamente che le clausole dell’accordo previsto determinano un’ingerenza nel diritto fondamentale alla protezione dei dati di carattere personale, garantito dall’articolo 8 della Carta. Il governo francese precisa tuttavia che l’obbligo imposto ai vettori aerei di trasferire i dati PNR non determinerebbe un’ingerenza di tal genere, in quanto sarebbe stabilita non già dall’accordo previsto, bensì dalla normativa canadese. Orbene, la Corte non può essere investita di una domanda di parere vertente sulla compatibilità della normativa di uno Stato terzo con i Trattati. Peraltro, il medesimo governo sostiene che le ingerenze contenute nell’accordo previsto sono di portata meno vasta di quelle all’origine della causa che ha dato luogo alla sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238). Pertanto, secondo il governo francese, meno dati sarebbero trasferiti e meno persone sarebbero interessate dall’accordo previsto rispetto alla direttiva in questione in tale sentenza. Inoltre, i dati PNR non consentirebbero di trarre conclusioni particolarmente precise riguardo alla vita privata dei passeggeri. Infine, l’accordo previsto prevederebbe, all’articolo 11, un obbligo di trasparenza, cosicché non sarebbe possibile concludere che la raccolta dei dati PNR e il loro uso successivo possono far sorgere negli interessati la sensazione che la loro vita privata sia oggetto di una costante sorveglianza.

149. In secondo luogo, riguardo alla questione della fonte giuridica di tale ingerenza, il governo estone, l’Irlanda, i governi francese e del Regno Unito, nonché il Consiglio e la Commissione ritengono che tale ingerenza risponda alla condizione di essere «prevista dalla legge», ai sensi dell’articolo 52, paragrafo 1, della Carta.

150. In terzo luogo, per quanto attiene all’obiettivo perseguito da tale ingerenza, i governi bulgaro, estone, l’Irlanda, i governi spagnolo e francese nonché il Consiglio e la Commissione affermano che il trasferimento e l’uso successivo dei dati PNR riguardano in particolare la lotta al terrorismo e rispondono, per questo, a un obiettivo di interesse generale.

151. In quarto luogo, riguardo al carattere necessario di tale ingerenza, i governi francese e del Regno Unito nonché il Consiglio e la Commissione sottolineano anzitutto che esiste una domanda crescente di paesi terzi che ritengono necessario il trasferimento di dati PNR a fini di pubblica sicurezza. La Commissione ammette che non esistono statistiche precise che indichino il contributo di tali dati alla prevenzione e all’accertamento della criminalità e del terrorismo, nonché alle indagini e ai procedimenti in materia. Tuttavia, l’uso indispensabile dei dati PNR sarebbe confermato da informazioni provenienti da paesi terzi e da Stati membri che li utilizzano già a fini repressivi. L’esperienza acquisita in tali paesi dimostrerebbe che l’uso di dati PNR ha determinato, in particolare, notevoli progressi nella lotta contro il traffico di droga, la tratta di esseri umani e il terrorismo e consente una migliore comprensione della composizione e del funzionamento delle reti terroristiche e delle altre reti criminali. Il governo del Regno Unito e la Commissione aggiungono che le informazioni fornite dalla CBSA dimostrano che i dati PNR avrebbero contribuito in modo decisivo alla localizzazione e all’identificazione di potenziali sospetti di atti di terrorismo o di reati gravi di natura transnazionale.

152. In quinto luogo, riguardo alla proporzionalità dell’ingerenza in questione, il governo estone, il Consiglio e la Commissione ricordano, anzitutto, i criteri derivanti dalla giurisprudenza della Corte, in particolare quelli indicati nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238). In particolare, il governo estone è del parere che gli insegnamenti desumibili da tale sentenza quanto alla portata del potere discrezionale del legislatore e del controllo giurisdizionale dei limiti di tale potere siano applicabili nella fattispecie. Per contro, il governo dell’Irlanda afferma che occorre tener conto della natura internazionale e negoziata dell’atto in questione, mentre il governo francese sostiene che il potere discrezionale del legislatore dell’Unione non può essere eccessivamente limitato considerato il fatto che l’ingerenza di cui trattasi nella fattispecie non è particolarmente grave. Il governo del Regno Unito ritiene che la sicurezza e l’incolumità pubbliche solleverebbero, per loro natura, questioni per le quali si dovrebbe riconoscere al legislatore un «margine di discrezionalità ragionevole» per stabilire se una misura sia manifestamente inadeguata. L’accordo previsto non può essere qualificato come «generale programma di sorveglianza», ma sarebbe piuttosto riconducibile ai normali procedimenti di controllo alle frontiere.

153. Inoltre, i governi bulgaro, estone, l’Irlanda, i governi spagnolo, francese e del Regno Unito nonché il Consiglio e la Commissione sostengono altresì che l’accordo previsto rispetta il principio di proporzionalità. Il governo del Regno Unito afferma anzitutto che, in mancanza dell’accordo previsto, le misure relative ai passeggeri provenienti dall’Unione rischiano di essere meno mirate e più invasive. I dati PNR consentirebbero di individuare con maggiore concretezza ed efficacia le «persone sospette» che viaggiano verso eventi o luoghi precisi, consentendo così di ridurre i controlli di sicurezza e i tempi di attesa per gli altri passeggeri. Tali governi e istituzioni sono poi del parere, in sostanza, che l’accordo previsto si distingua dalla direttiva all’origine della causa Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238). In particolare, a differenza di tale direttiva, l’accordo previsto conterrebbe norme rigorose relative alle condizioni di accesso e di utilizzo dei dati nonché norme relative alla sicurezza dei dati e al controllo da parte di un’autorità indipendente. Per di più, l’accordo previsto prevederebbe la vigilanza sul rispetto di tali norme, la comunicazione agli interessati del trasferimento e del trattamento dei loro dati, una procedura di accesso e di rettifica dei dati nonché mezzi di ricorso amministrativi e giudiziari al fine di assicurare la garanzia di tali diritti.

154. Per quanto riguarda l’argomento del Parlamento secondo il quale l’accordo previsto non richiede alcun rapporto tra i dati PNR e una minaccia alla sicurezza pubblica, i governi estone, francese e del Regno Unito nonché la Commissione affermano, in sostanza, che l’uso dei dati PNR mira all’identificazione di persone fino a quel momento sconosciute ai servizi competenti come persone che rappresentano un eventuale rischio per la sicurezza, in quanto le persone conosciute a tal riguardo possono essere identificate in base a informazioni anticipate sui passeggeri (API). L’obiettivo della prevenzione non potrebbe essere quindi conseguito se fossero trasmessi soltanto i dati PNR di persone sospette già segnalate.

155. In terzo luogo, secondo tali parti interessate, anche le critiche mosse dal Parlamento e dal GEPD, riguardo alla formulazione e alle omissioni dell’accordo previsto, dovrebbero essere respinte.

156. Per questo motivo, secondo il Consiglio e la Commissione, il fatto che l’articolo 3, paragrafo 3, dell’accordo previsto rinvii al diritto canadese non consente di concludere che esso è troppo vago. Sarebbe difficile far figurare in un accordo internazionale una definizione di un atto rientrante nella qualificazione di «criminalità grave» che sia esclusivamente prevista dal diritto dell’Unione. Parimenti, per quanto riguarda l’articolo 3, paragrafo 5, lettera b), dell’accordo previsto, tali istituzioni osservano che questa disposizione riflette l’obbligo imposto dalla Costituzione canadese a tutte le autorità pubbliche canadesi di conformarsi a un ordine emesso da un’autorità giudiziaria. Inoltre, l’eventuale possibilità di accesso ai dati PNR sarebbe stata esaminata, in un caso siffatto, dall’autorità giudiziaria alla luce dei criteri di necessità e di proporzionalità e sarebbe motivata nell’ordinanza del giudice.

157. Inoltre, per quanto attiene ai limiti relativi alle autorità e alle persone che hanno accesso ai dati PNR, il Consiglio e la Commissione ritengono che la mancata identificazione della competente autorità candese nell’accordo previsto sia una questione di natura procedurale che non incide sul principio di proporzionalità. In ogni caso, la competente autorità candese, ai sensi dell’articolo 2, lettera d), dell’accordo previsto, sarebbe stata notificata alla Commissione nel giugno 2014. Si tratterebbe della CBSA, che sarebbe l’unica autorizzata a ricevere e a trattare dati PNR. Il «numero ridotto di funzionari da esso espressamente autorizzati», di cui all’articolo 16, paragrafo 2, dell’accordo previsto significherebbe che deve trattarsi di funzionari della CBSA e che i medesimi devono essere autorizzati a trattare i dati PNR. Ulteriori garanzie sarebbero contenute nell’articolo 9, paragrafo 2, lettere a) e b), e paragrafi 4 e 5, dell’accordo previsto.

158. Peraltro, riguardo alla mancanza di un controllo preventivo all’accesso ai dati PNR, la Commissione rileva che il fine stesso dell’accordo previsto sarebbe di consentire il trasferimento di dati PNR alla CBSA ai fini dell’accesso a tali dati, sicché tale controllo preventivo modificherebbe detto scopo. Il governo dell’Irlanda aggiunge che siffatto controllo preventivo non si impone, in quanto l’accordo previsto stabilisce che sia limitato allo stretto necessario il numero delle persone che dispongono dell’autorizzazione ad accedere ai dati in questione e ad utilizzarli e assicura una serie di garanzie supplementari agli articoli da 11 a 14, 16, 18 e 20.

159. Per di più, riguardo alla questione della conservazione dei dati PNR, il governo dell’Irlanda osserva anzitutto che, considerato il fatto che, conformemente all’articolo 5 dell’accordo previsto, si ritiene che l’autorità competente canadese fornisca un livello di protezione adeguato dei dati PNR, e che sussisterebbe la sorveglianza da parte di un’autorità indipendente, non sarebbe necessario, a differenza della situazione della direttiva all’origine della sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), che i dati siano conservati nel territorio dell’Unione. Inoltre, secondo il Consiglio e la Commissione, il periodo di conservazione di cinque anni di cui all’articolo 16 dell’accordo previsto non andrebbe al di là di quanto è strettamente necessario alla luce dell’obiettivo di pubblica sicurezza perseguito e non può essere quindi valutato in astratto. Il periodo di tre anni e mezzo, previsto dall’accordo del 2006, avrebbe impedito in modo significativo alle autorità candesi di utilizzare effettivamente dati PNR per individuare casi che presentassero un rischio elevato di terrorismo o di crimine organizzato, tenuto conto del fatto che le indagini ad essi relative avrebbero richiesto tempo. Peraltro, secondo il Consiglio, il periodo di conservazione dei dati PNR sarebbe stato fissato tenendo conto della durata media delle indagini penali, della durata di vita media delle reti legate alla grande criminalità e del fatto che le cellule terroristiche possono restare inattive per diversi anni. Il governo estone, l’Irlanda e il governo francese aggiungono che, data la natura complessa e difficile delle indagini su fatti di terrorismo e su reati gravi di natura transnazionale, il periodo intercorrente tra il viaggio e il momento in cui le autorità di polizia necessitano di avere accesso ai dati PNR per accertare, indagare e perseguire siffatti reati può durare talvolta parecchi anni. Nelle loro rispettive risposte ai quesiti scritti posti dalla Corte, i governi spagnolo e francese forniscono anche una serie di esempi concreti nei quali il processo di verifica e di recupero di informazioni si inserisce in un periodo di circa cinque anni e per i quali i dati PNR sono stati o avrebbero potuto essere di grande utilità. Il governo estone, l’Irlanda, il governo francese nonché il Consiglio e la Commissione sottolineano anche, in sostanza, che l’articolo 16 dell’accordo previsto contiene modalità rigorose quanto al mascheramento (o alla spersonalizzazione) e alla rimozione del mascheramento dei dati che mirano a proteggere maggiormente i dati personali dei passeggeri aerei.

160. Infine, per quanto riguarda il controllo del rispetto delle norme sulla protezione dei dati da parte di un’autorità indipendente, richiesto dall’articolo 8, paragrafo 3, della Carta e dall’articolo 16, paragrafo 2, TFUE, il Consiglio e la Commissione ritengono che il fatto che l’accordo previsto non identifichi l’autorità canadese competente non metta in discussione l’adeguatezza delle misure che devono essere adottate dal Canada. L’identità delle autorità competenti ai sensi degli articoli 10 e 14 dell’accordo previsto sarebbe stata comunicata alla Commissione. Si tratterebbe del Commissario del Canada per la tutela della vita privata e della Direzione Ricorsi della CBSA. Tali autorità risponderebbero al requisito dell’indipendenza che consente loro di esercitare le proprie funzioni senza essere soggette a un’influenza esterna, sebbene la Direzione Ricorsi della CBSA sia un’«autorità istituita con mezzi amministrativi», ai sensi degli articoli 10 e 14 dell’accordo previsto. La Direzione Ricorsi della CBSA sarebbe, conformemente alle spiegazioni fornite dalle autorità candesi, un’autorità indipendente e incaricata di esaminare denunce e ricorsi amministrativi presentati dagli stranieri non residenti in Canada. Peraltro, secondo la Commissione, le decisioni di tale autorità potrebbero essere contestate dinanzi al Commissario del Canada per la tutela della vita privata tramite una persona residente in Canada.

161. In sesto luogo, nelle loro risposte ai quesiti scritti posti dalla Corte nonché in udienza, il governo del Regno Unito, il Consiglio e la Commissione hanno fornito varie precisazioni sul contenuto delle 19 categorie di dati PNR contenute nell’allegato all’accordo previsto. In particolare, secondo la Commissione, solo la 17a rubrica, intitolata «Osservazioni generali, comprese le informazioni OSI (Other Supplementary Information), SSI (Special Service Information) e SSR (Special Service Request)» conterrebbe dati delicati, ai sensi dell’accordo previsto. Questi ultimi dati saranno trasmessi solo facoltativamente, in quanto possono essere divulgati unicamente nell’ambito della prenotazione di servizi supplementari richiesti dal viaggiatore e, secondo il governo del Regno Unito, saranno consultabili solo in circostanze eccezionali, in base alle clausole dell’accordo previsto. Inoltre, il governo francese ha precisato che gli insegnamenti ricavabili dalla sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), non sono applicabili all’esame della compatibilità dell’accordo previsto con i Trattati, mentre il governo dell’Irlanda ritiene che tale sentenza fornisca indicazioni importanti quanto al livello di protezione adeguato cui deve rispondere un paese terzo. Quanto al Consiglio e alla Commissione, tali istituzioni condividono l’opinione secondo la quale solo i punti da 91 a 93 e 95 di tale sentenza, vertenti sull’interpretazione della Carta, sono applicabili nell’ambito dell’esame della compatibilità dell’accordo previsto. Per contro, tali istituzioni sono del parere che l’esame dell’accordo previsto dovrebbe portare a una conclusione diversa da quella alla quale è giunta la Corte in tale sentenza. Infine, riguardo alla comunicazione ulteriore di cui agli articoli 18 e 19 dell’accordo previsto, il governo dell’Irlanda, il Consiglio e la Commissione ricordano che tale comunicazione è subordinata a condizioni rigorose e al rispetto delle finalità di cui all’articolo 3 dell’accordo previsto. Peraltro, la Commissione sottolinea che l’articolo 19 dell’accordo previsto dovrebbe essere interpretato alla luce della pertinente normativa canadese.

B –    Analisi

1.      Osservazioni preliminari

162. Prima di affrontare il punto centrale della prima questione oggetto della domanda di parere del Parlamento, mi sembra che debbano essere formulate tre osservazioni preliminari riguardo alla portata dell’esame da effettuare.

163. Anzitutto, come traspare dalle loro osservazioni, le parti interessate hanno fatto più volte riferimento, durante il procedimento, alla normativa e alla prassi canadesi, al fine segnatamente di chiarire, se non addirittura di integrare, talune clausole dell’accordo previsto. Orbene, è evidente che, per esaminare la compatibilità di un accordo previsto con il diritto primario dell’Unione nell’ambito del procedimento di cui all’articolo 218, paragrafo 11, TFUE, la Corte non può pronunciarsi sulla normativa o sulla prassi di un paese terzo. L’esame della Corte può solo riguardare le clausole dell’accordo previsto quali ad essa sottoposte.

164. Per quanto comprensibile e logica, tale limitazione sostanziale del controllo giurisdizionale nell’ambito del procedimento di parere non manca tuttavia di porre talune difficoltà. Per questo motivo, mentre è pacifico che l’accordo previsto deve offrire in particolare un quadro normativo alle autorità canadesi che consenta, grazie all’analisi dei dati PNR, di applicare metodi relativi all’identificazione di passeggeri fino a quel momento sconosciuti ai servizi di polizia, in base a modelli comportamentali «preoccupanti» o che presentano un «interesse» (55), nessuna clausola dell’accordo previsto tratta dell’istituzione di detti metodi, del diritto di ogni passeggero «individuato in modo mirato» di essere informato dei metodi utilizzati e di avere la garanzia che siffatti metodi di «individuazione mirata» siano sottoposti a un controllo amministrativo e/o giurisdizionale, questioni che sembrano tutte rientrare unicamente nel potere discrezionale delle autorità canadesi (56). Orbene, a mio avviso, è legittimo chiedersi se, nel rispetto degli articoli 7 e 8 della Carta, tali questioni e tali garanzie non debbano essere disciplinate dalle clausole stesse dell’accordo previsto. Quest’esempio dimostra che una delle difficoltà del caso in esame attiene alla circostanza che esso implica la verifica, con riferimento, in particolare, al diritto alla protezione dei dati personali, non semplicemente di ciò che stabilisce l’accordo previsto, ma anche e soprattutto di ciò che tale accordo ha omesso di stabilire.

165. Inoltre, occorre rilevare che la domanda di parere del Parlamento si è limitata a evidenziare varie clausole dell’accordo previsto che, secondo tale istituzione, presenterebbero aspetti, più o meno chiari e incisivi, di incompatibilità con l’articolo 16 TFUE e con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Alla luce dello scopo preventivo del procedimento di parere e della sua natura non contenziosa, la Corte non può essere tenuta a rispettare siffatta delimitazione della domanda, a prescindere dalla sua intenzionalità. Il parere 1/00, del 18 aprile 2002 (EU:C:2002:231, punto 1), in cui la Corte ha inserito, nel suo esame relativo alla compatibilità di un accordo previsto, varie norme di tale accordo che non formavano espressamente oggetto della domanda di parere presentata dalla Commissione, e il parere 1/08, del 30 novembre 2009 (EU:C:2009:739, punti da 96 a 105), in cui la Corte ha respinto la proposta del richiedente di limitare il suo esame a talune parti del progetto di accordo in questione oggetto della domanda di parere, ne forniscono già ottimi esempi.

166. Nel presente procedimento, ritengo opportuno che la Corte includa nel suo esame la compatibilità di clausole dell’accordo previsto, come gli articoli 18 e 19, che non sono state oggetto di particolari censure da parte del Parlamento nella sua domanda di parere, ma che meritano l’attenzione della Corte. Aggiungo che il Parlamento e le altre parti interessate hanno avuto occasione di formulare osservazioni su tali articoli, o nell’ambito delle loro risposte ai quesiti scritti posti dalla Corte, o all’udienza dinanzi a quest’ultima.

167. Infine, alla luce della discussione svoltasi dinanzi alla Corte, ritengo utile ricordare che, in forza dell’articolo 218, paragrafo 11, TFUE, le norme riguardo alle quali è possibile effettuare l’esame della compatibilità dell’accordo previsto includono unicamente quelle del diritto primario dell’Unione, ossia, nella fattispecie, i Trattati e i diritti elencati nella Carta (57), escluso il diritto derivato. Al riguardo, nulla osta a che la Corte includa nel suo esame della validità sostanziale dell’accordo previsto disposizioni di diritto primario non menzionate nella questione sollevata dal Parlamento, quale l’articolo 47 della Carta, se ciò risulti necessario ai fini del procedimento di parere e se le parti interessate hanno avuto occasione di esporre le loro osservazioni su tali disposizioni. Ciò è proprio quanto avviene nel caso del rispetto del controllo giurisdizionale effettivo garantito dall’articolo 47 della Carta.

168. Ciò premesso, gli sviluppi seguenti si incentreranno essenzialmente sui criteri di applicazione degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta. Sebbene ciò non sia sostanzialmente contestato, esaminerò se le clausole dell’accordo previsto costituiscano un’ingerenza nei diritti fondamentali alla vita privata e alla protezione dei dati di carattere personale e se tale ingerenza possa essere giustificata. È chiaramente l’esame della giustificazione dell’ingerenza, in particolare della sua proporzionalità, a risultare controverso.

2.      Sull’esistenza di un’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta

169. Senza che sia necessario esaminare singolarmente ed esaustivamente le 19 categorie di dati PNR elencate nell’allegato all’accordo previsto, è pacifico che esse riguardano, in particolare, l’identità, la cittadinanza e l’indirizzo dei passeggeri, tutte le informazioni di contatto (indirizzo postale, indirizzo di posta elettronica, telefono) disponibili del passeggero che ha effettuato la prenotazione, le informazioni relative al mezzo di pagamento utilizzato, compreso, eventualmente, il numero della carta di credito utilizzata per prenotare il volo, le informazioni relative al bagaglio, alle abitudini di viaggio dei passeggeri, nonché quelle relative a servizi supplementari richiesti da questi ultimi in relazione a loro eventuali problemi di salute, compresa la mobilità, o a loro preferenze alimentari durante il volo, che possano fornire indicazioni, in particolare, riguardo allo stato di salute di uno o più viaggiatori, alla loro origine etnica o al loro credo religioso.

170. Tali dati, complessivamente considerati, riguardano la sfera della vita privata, se non addirittura intima, delle persone e si riferiscono indubbiamente a una o a più «person[e] fisic[he] identificat[e] o identificabil[i]» (58). Non vi è quindi alcun dubbio, alla luce della giurisprudenza della Corte, che la trasmissione sistematica dei dati PNR alle autorità pubbliche canadesi, l’accesso a tali dati e l’uso e la conservazione per un periodo di cinque anni di tali dati da parte delle medesime autorità pubbliche nonché, eventualmente, il loro successivo trasferimento ad altre autorità pubbliche, comprese quelle di altri paesi terzi, in forza delle clausole dell’accordo previsto, siano operazioni rientranti nell’ambito di applicazione del diritto fondamentale al rispetto della vita privata e familiare garantito dall’articolo 7 della Carta nonché di quello, «strettamente connesso» (59), ma tuttavia distinto, relativo alla protezione dei dati di carattere personale garantito dall’articolo 8, paragrafo 1, della Carta e costituiscano un’ingerenza in tali diritti fondamentali.

171. Infatti, la Corte ha già dichiarato, riguardo all’articolo 8 della CEDU, sul quale si fondano gli articoli 7 e 8 della Carta (60), che la comunicazione di dati di carattere personale a un terzo, nel caso di specie un’autorità pubblica, presenta il carattere di un’ingerenza ai sensi di tale articolo (61) e che anche l’obbligo di conservazione dei dati, richiesto dai poteri pubblici nonché l’accesso successivo delle competenti autorità nazionali ai dati relativi alla vita privata costituiscono di per sé un’ingerenza nei diritti garantiti dall’articolo 7 della Carta (62). Parimenti, un atto dell’Unione che prescriva una qualsiasi forma di trattamento dei dati di carattere personale costituisce un’ingerenza nel diritto fondamentale, enunciato all’articolo 8 della Carta, alla protezione di tali dati (63). Tale valutazione si applica, mutatis mutandis, a un atto dell’Unione che assuma la forma di accordo internazionale concluso da quest’ultima, come l’accordo previsto, che mira, in particolare, a consentire a una o a più autorità pubbliche di un paese terzo di trattare e di conservare i dati personali di passeggeri aerei. Infatti, la legittimità di un atto di tal genere è subordinata al rispetto dei diritti fondamentali tutelati nell’ordinamento giuridico dell’Unione (64), in particolare di quelli garantiti dagli articoli 7 e 8 della Carta.

172. La circostanza, evidenziata dal governo del Regno Unito, secondo la quale le persone interessate dall’accordo previsto, o quantomeno la maggior parte di esse, non subirebbero inconvenienti in seguito a tale ingerenza ha poca rilevanza ai fini dell’accertamento dell’esistenza di siffatta ingerenza (65).

173. Analogamente, è irrilevante il fatto che sia possibile che le informazioni comunicate o, quantomeno, la maggior parte di esse non abbiano carattere delicato (66).

174. Rilevo, del resto, che le parti contraenti sono perfettamente consapevoli dell’ingerenza determinata dalla trasmissione, dall’uso, dalla conservazione e dal successivo trasferimento dei dati PNR contemplati dall’accordo previsto in quanto, come emerge espressamente dal suo preambolo, è proprio a causa di tale ingerenza che quest’ultimo tenta di conciliare le esigenze della pubblica sicurezza e del rispetto dei diritti fondamentali alla protezione della vita privata e dei dati di carattere personale.

175. È vero che il tentativo, ad opera delle parti contraenti, di operare siffatta conciliazione può ridurre l’intensità o la gravità dell’ingerenza, determinata dall’accordo previsto, nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta.

176. Tuttavia, l’ingerenza determinata dall’accordo previsto ha una portata certa e una gravità non trascurabile. Infatti, da un lato, essa riguarda, in modo sistematico, tutti i passeggeri che usufruiscono dei collegamenti aerei tra il Canada e l’Unione europea, vale a dire varie decine di milioni di persone all’anno (67). D’altro lato, come ha confermato la maggioranza delle parti interessate, non si può ignorare il fatto che il trasferimento di quantitativi ingenti di dati personali dei passeggeri aerei, in cui sono compresi dati delicati, che necessitano, per definizione, di un trattamento automatizzato, nonché la conservazione di tali dati per un periodo di cinque anni mirano a consentire un confronto, eventualmente retrospettivo, di tali dati con modelli comportamentali predefiniti «a rischio» o «preoccupanti», collegati ad attività terroristiche e/o di criminalità transnazionale grave, al fine di identificare persone fino a quel momento sconosciute ai servizi di polizia o non sospette. Orbene, tali caratteristiche, apparentemente inerenti al regime PNR istituito dall’accordo previsto, possono far sorgere la spiacevole sensazione che tutti i viaggiatori interessati siano trasformati in potenziali sospetti (68).

177. Si deve tuttavia aggiungere che, a differenza di quanto sostiene il Parlamento, tale constatazione non deve essere estesa, a mio avviso, alla raccolta dei dati PNR da parte dei vettori aerei.

178. Infatti, l’accordo previsto non disciplina la raccolta di tali dati, ma si fonda sulla presunzione di diritto e di fatto che i vettori aerei raccolgano in ogni caso i dati PNR per proprio uso commerciale. Certamente è innegabile che talune clausole dell’accordo previsto menzionano la raccolta dei dati PNR. Difatti, l’articolo 4, paragrafo 2, precisa che il Canada non richiede a un vettore aereo di trasmettere elementi del PNR che non siano già raccolti o detenuti dallo stesso. Parimenti, l’articolo 11 dell’accordo previsto impone al Canada di provvedere affinché la competente autorità canadese renda noto sul suo sito Internet, in particolare, «il motivo della raccolta dei dati PNR», e le parti contraenti devono inoltre lavorare, in particolare con il settore aereo, per promuovere la trasparenza, fornendo ai passeggeri, «preferibilmente nella fase di prenotazione» dei voli, «i motivi della raccolta dei dati PNR». Sebbene siffatto obbligo di trasparenza possa essere, a mio avviso, opportunamente rafforzato prescrivendo che, al momento della prenotazione dei voli, sia fornita in modo sistematico un’informazione individuale sui motivi della raccolta, l’accordo previsto non disciplina tuttavia l’operazione di raccolta propriamente detta e tanto meno le sue specifiche modalità, tutte rientranti nella competenza dei vettori aerei, i quali, al riguardo, devono agire nel rispetto delle disposizioni nazionali pertinenti e del diritto dell’Unione.

179. Pertanto, la raccolta dei dati PNR non costituisce un trattamento di dati di carattere personale che implica un’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta risultante dallo stesso accordo previsto. Alla luce della competenza limitata della Corte nell’ambito del procedimento di parere, tale operazione non sarà quindi oggetto della seguente trattazione.

180. Indipendentemente da tale constatazione, relativa alla raccolta dei dati PNR, resta il fatto che, per le ragioni esposte ai paragrafi da 170 a 176 delle presenti conclusioni, l’accordo previsto comporta, a mio avviso, una grave ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta. Per essere autorizzata, tale ingerenza deve essere giustificata.

3.      Sulla giustificazione dell’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta

181. Né il diritto al rispetto della vita privata e familiare né quello alla protezione dei dati di carattere personale risultano essere prerogative assolute.

182. Per questo motivo, l’articolo 52, paragrafo 1, della Carta ammette che possano essere apportate limitazioni all’esercizio di diritti quali quelli sanciti dall’articolo 7 e dall’articolo 8, paragrafo 1, della medesima carta, a condizione che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale di detti diritti e che, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

183. Peraltro, l’articolo 8, paragrafo 2, della Carta autorizza il trattamento dei dati personali «per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

184. Osservo anzitutto, a proposito di una delle condizioni elencate all’articolo 8, paragrafo 2, della Carta che l’accordo previsto non tenta di fondare il trattamento dei dati PNR trasmessi alla competente autorità canadese sul consenso dei passeggeri aerei (69). Alla luce dell’obbligo imposto ai vettori aerei di trasmettere le categorie di dati PNR contenute nell’allegato all’accordo previsto, tali passeggeri non possono opporsi al trasferimento di detti dati qualora intendano recarsi in Canada in aereo. Inoltre, la circostanza, menzionata all’udienza dinanzi alla Corte, secondo la quale taluni dati PNR, contenenti, eventualmente, dati delicati, possano essere comunicati unicamente al vettore aereo quando il viaggiatore richiede la prestazione di servizi specifici non significa affatto che tale viaggiatore abbia acconsentito al trattamento di tali dati da parte della competente autorità canadese, ai fini dell’articolo 3 dell’accordo previsto.

185. Peraltro, non è stato affermato dinanzi alla Corte, e non mi sembra neppure, che l’ingerenza contenuta nell’accordo previsto sia tale da arrecare pregiudizio al «contenuto essenziale», ai sensi dell’articolo 52, paragrafo 1, della Carta, dei diritti fondamentali sanciti all’articolo 7 e all’articolo 8, paragrafo 1, della stessa.

186. Infatti, da un lato, la natura dei dati PNR oggetto dell’accordo previsto non consente di trarre conclusioni precise sul contenuto essenziale della vita privata degli interessati. Tali dati rimangono limitati alle abitudini di viaggio aereo tra il Canada e l’Unione europea. Per di più, l’accordo previsto stabilisce agli articoli 8, 16, 18 e 19 una serie di garanzie relative al mascheramento e alla spersonalizzazione progressiva dei dati PNR comunicati alle autorità canadesi, utilizzati e conservati dalle stesse e, se del caso, successivamente trasferiti, avente sostanzialmente lo scopo di garantire la tutela della vita privata.

187. D’altro lato, per quanto riguarda il contenuto essenziale della protezione dei dati personali, occorre rilevare che, in forza dell’articolo 9 dell’accordo previsto, il Canada deve, in particolare, «garanti[re] la protezione, sicurezza, riservatezza e integrità dei dati», nonché attuare «misure regolamentari, procedurali o tecniche per proteggere i dati PNR dall’accesso, dal trattamento o dalla perdita accidentali, illeciti o non autorizzati». Inoltre, qualsiasi violazione della sicurezza dei dati deve poter essere oggetto di misure correttive efficaci e dissuasive, eventualmente corredate di sanzioni.

188. Occorre quindi verificare se le altre condizioni di giustificazione di cui all’articolo 8, paragrafo 2, della Carta nonché quelle enunciate all’articolo 52, paragrafo 1, della stessa, che, del resto, si sovrappongono in parte, siano soddisfatte.

189. Non mi dilungherò troppo su due di queste condizioni, ossia, da un lato, quella secondo la quale l’ingerenza deve essere «prevista dalla legge» (titolo a) e, dall’altro, rispondere a una finalità di interesse generale (o a un «fondamento legittimo», secondo l’espressione utilizzata dall’articolo 8, paragrafo 2, della Carta) (titolo b), che mi sembrano manifestamente soddisfatte. Per contro, sarà più approfondita la trattazione dedicata alla questione della proporzionalità dell’ingerenza (titolo c).

a)      Un’ingerenza «prevista dalla legge», ai sensi dell’articolo 52, paragrafo 1, della Carta

190. Quanto al primo punto, i dubbi essenzialmente formali espressi dal Parlamento riguardo all’origine «legale» dell’ingerenza possono essere ovviamente dissipati. Secondo la giurisprudenza della Corte EDU, l’espressione «prevista dalla legge», contenuta nell’articolo 8, paragrafo 2, della CEDU, significa in particolare che la misura in questione ha un fondamento nel diritto interno (70) e deve essere intesa nella sua accezione sostanziale e non formale (71). La Corte EDU ammette quindi che norme non scritte soddisfino tale condizione (72). Inoltre, la Corte EDU ha già dichiarato che anche un trattato internazionale, incorporato nel diritto interno nazionale, risponde a tale requisito (73).

191. Analogamente alla Corte EDU, la Corte conferma un’accezione sostanziale e non formale dell’espressione «previst[a] dalla legge», contenuta nell’articolo 52, paragrafo 1, della Carta. Per questo motivo, essa ha considerato tale condizione soddisfatta in caso di limitazioni apportate ai diritti garantiti dagli articoli 7 e 8 della Carta da disposizioni di regolamenti dell’Unione, adottati rispettivamente dalla Commissione (74) e dal Consiglio (75), senza che, pertanto, il Parlamento sia stato associato quale «co‑legislatore» all’adozione di tali atti.

192. Nella fattispecie, è pacifico che l’atto recante conclusione dell’accordo previsto può essere adottato dal Consiglio solo qualora, in applicazione dell’articolo 218, paragrafo 6, lettera a), punto v), TFUE, detto accordo sia previamente approvato dal Parlamento, in quanto il medesimo riguarda settori, ossia quelli della cooperazione di polizia e della conservazione dei dati personali, ai quali si applica la procedura legislativa ordinaria. Completate tali procedure, conformemente all’articolo 216, paragrafo 2, TFUE, l’accordo costituirà parte integrante dell’ordinamento giuridico dell’Unione e beneficerà del primato sugli atti di diritto derivato (76). Ne consegue, a mio avviso, che l’ingerenza derivante dall’accordo previsto è certamente «prevista dalla legge», ai sensi dell’articolo 52, paragrafo 1, della Carta.

193. Sempre a tal proposito, desidero aggiungere, sebbene ciò non sia stato oggetto di discussione tra le parti interessate al presente procedimento, che, in generale, l’accordo previsto mi sembra anche rispondente al secondo aspetto dell’espressione «prevista dalla legge», ai sensi dell’articolo 8 della CEDU, quale interpretato dalla Corte EDU, ossia quello della «qualità della legge». Secondo la giurisprudenza della Corte EDU, tale espressione richiede, in sostanza, che la misura in questione sia accessibile e sufficientemente prevedibile, ossia, in altri termini, che essa utilizzi termini abbastanza chiari per indicare a tutti in modo sufficiente in quali circostanze e a quali condizioni essa autorizza le autorità pubbliche a ricorrere a misure che incidano sui loro diritti tutelati dalla CEDU (77). Orbene, una volta concluso, l’accordo previsto sarà pubblicato in versione integrale nella Gazzetta ufficiale dell’Unione europea, il che risponde manifestamente al criterio di accessibilità. Quanto al criterio della prevedibilità, a prescindere da considerazioni specifiche, certamente alquanto numerose, relative alla portata e al grado di precisione e di chiarezza di varie clausole dell’accordo previsto, che saranno oggetto di ulteriori approfondimenti (78), ritengo altresì che, complessivamente, l’accordo previsto sia formulato in modo abbastanza chiaro da consentire a tutti gli interessati di comprendere sufficientemente le condizioni e le circostanze in cui i dati PNR vengono trasferiti alle autorità canadesi, trattati, conservati ed eventualmente divulgati in un momento successivo da queste ultime, e adeguare la loro condotta di conseguenza. Inoltre, l’articolo 11 dell’accordo previsto stabilisce una serie di misure supplementari che devono essere adottate dalle parti contraenti, che consentano di garantire l’informazione del pubblico e riguardino, in particolare, i motivi della raccolta dei dati PNR nonché il loro uso e la loro comunicazione.

b)      Un’ingerenza rispondente a una finalità di interesse generale

194. L’ingerenza derivante dall’accordo previsto risponde sicuramente, a mio avviso, a una finalità di interesse generale, ai sensi dell’articolo 52, paragrafo 1, della Carta, ossia quella della lotta al terrorismo e alla criminalità (transnazionale) grave, al fine di garantire la sicurezza pubblica, come viene in particolare precisato nel preambolo e negli articoli 1 e 3 dell’accordo previsto. Nessuna parte interessata ha rimesso in discussione la legittimità del perseguimento di siffatto obiettivo da parte dell’accordo previsto. Con una formulazione leggermente diversa, la natura di interesse generale di tale obiettivo ai fini dell’applicazione dell’articolo 52, paragrafo 1, della Carta è già stata del resto riconosciuta dalla Corte nella sua giurisprudenza (79).

195. Occorre quindi, in tale fase, verificare se l’ingerenza nei diritti garantiti dall’articolo 7 e dall’articolo 8, paragrafo 1, della Carta sia proporzionata all’obiettivo legittimo perseguito.

c)      Sulla proporzionalità dell’ingerenza determinata dall’accordo previsto

i)      Considerazioni generali

196. Secondo una giurisprudenza costante, il principio di proporzionalità esige che gli atti delle istituzioni dell’Unione siano idonei a realizzare gli obiettivi legittimi perseguiti dalla normativa di cui trattasi e non superino i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi (80).

197. Al riguardo, le parti interessate hanno anzitutto discusso sulla portata del controllo giurisdizionale del rispetto di tali condizioni. Mentre il Parlamento, il governo estone e il GEPD sostengono la necessità di un controllo rigoroso del rispetto di tali condizioni, analogamente a quanto ammesso dalla Corte nelle sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), l’Irlanda e i governi francese e del Regno Unito difendono segnatamente, in sostanza, l’idea secondo la quale la Corte dovrebbe limitare la portata del suo controllo concedendo un potere discrezionale più ampio alle istituzioni, quando si tratta di adottare un atto che si inserisce nel contesto delle relazioni internazionali e tenuto conto della natura limitata dell’ingerenza che tale atto comporta.

198. La tesi di queste ultime parti interessate non mi convince.

199. Certo, sono pronto ad ammettere che la portata del potere discrezionale delle istituzioni possa risultare diversa a seconda che sia prevista l’adozione di un atto di diritto derivato dell’Unione o la conclusione di un accordo internazionale, che implica, per definizione, negoziati con uno o più paesi terzi. È evidente che, nel particolare contesto dei dati PNR comunicati a paesi terzi ai fini del loro trattamento, è certamente più opportuno concludere un accordo internazionale che garantisca ai passeggeri aerei, cittadini dell’Unione, una protezione della vita privata e dei dati di carattere personale sufficiente, corrispondente, quanto più possibile, ai criteri fissati dal diritto dell’Unione, piuttosto che lasciare alla discrezionalità di ciascun paese terzo interessato la completa libertà di applicare unilateralmente la propria normativa nazionale.

200. Per quanto tali considerazioni debbano essere tenute presenti, la Corte non può tuttavia rinunciare a esercitare un controllo rigoroso del rispetto degli obblighi derivanti dal principio di proporzionalità e, più in particolare, dell’adeguatezza del livello di protezione dei diritti fondamentali garantiti nell’Unione quando il Canada tratta e utilizza dati PNR, in forza dell’accordo previsto.

201. Infatti, la necessità di garantire un controllo giurisdizionale di tale natura si fonda, da un lato, sul ruolo importante svolto dalla protezione dei dati personali sotto il profilo del diritto fondamentale al rispetto della vita privata e, dall’altro, sulla portata e sulla gravità dell’ingerenza in tale diritto (81), il che può includere il numero significativo di persone i cui diritti fondamentali possono essere violati in caso di trasferimento di dati personali verso un paese terzo (82). Orbene, come ho già precisato, l’ingerenza determinata dall’accordo previsto nei diritti garantiti dagli articoli 7 e 8 della Carta mi sembra avere una portata certa e una gravità non trascurabile.

202. Nella stessa ottica, dalla sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punti 72 e 78), emerge che le istituzioni dispongono di un potere discrezionale ridotto riguardo all’adeguatezza del livello di protezione garantito da un paese terzo al quale sono trasferiti dati personali, il che implica un controllo rigoroso della continuità del livello elevato della protezione dei dati personali, prevista nel diritto dell’Unione.

203. Orbene, anche se, come ho già segnalato, l’accordo previsto non può ridursi a una decisione in cui si constata che la competente autorità canadese garantisce un livello di protezione adeguato, l’articolo 5 dell’accordo previsto dispone effettivamente che, purché si conformi alle clausole di detto accordo, la competente autorità canadese è ritenuta in grado di fornire un livello di protezione adeguato, ai sensi del diritto dell’Unione in materia di protezione dei dati, quando tratta e utilizza dati PNR. L’intento delle parti contraenti è proprio quello di garantire che il livello elevato di protezione dei dati personali raggiunto nell’Unione possa essere garantito quando i dati PNR sono trasferiti al Canada. Alla luce di tale intento, non vedo alcun motivo per cui la Corte non debba procedere a un controllo rigoroso del rispetto del principio di proporzionalità.

204. Certamente, come ha ammesso la Corte al punto 74 della sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), riconosco che gli strumenti dei quali il Canada può avvalersi per assicurare un livello di protezione adeguato possono essere diversi da quelli utilizzati all’interno dell’Unione. Tuttavia, come è stato altresì precisato dalla Corte nel medesimo punto della medesima sentenza, tali strumenti devono rivelarsi efficaci, nella prassi, al fine di assicurare una protezione «sostanzialmente equivalente» a quella garantita all’interno dell’Unione. Al riguardo, il controllo della Corte sul carattere «sostanzialmente equivalente» del livello di protezione risultante dalle clausole dell’accordo previsto a quello garantito dal diritto dell’Unione non può essere limitato.

ii)    Sull’idoneità dell’ingerenza a conseguire l’obiettivo di sicurezza pubblica perseguito dall’accordo previsto

205. Chiarito tale punto, ritengo che non esistano veri e propri ostacoli al riconoscimento che l’ingerenza determinata dall’accordo previsto sia idonea a conseguire l’obiettivo di pubblica sicurezza, in particolare quello della lotta al terrorismo e alla criminalità transnazionale grave, perseguito da quest’ultimo. Infatti, come hanno sostenuto in particolare il governo del Regno Unito e la Commissione, la trasmissione di dati PNR ai fini della loro analisi e della loro conservazione consente alle autorità canadesi di disporre di ulteriori possibilità di identificazione di passeggeri, fino a quel momento sconosciuti e non sospetti, che potrebbero presentare legami con altre persone e/o passeggeri implicati in una rete terroristica o partecipanti a gravi attività criminose di natura transnazionale. Tali dati, come mostrano le statistiche trasmesse dal governo del Regno Unito e dalla Commissione a proposito della prassi precedente delle autorità canadesi, costituiscono strumenti utili per le indagini penali (83), che sono anche tali da favorire, alla luce, in particolare, della cooperazione di polizia istituita dall’accordo previsto, la prevenzione e l’individuazione di reati di terrorismo o di reati gravi di natura transnazionale all’interno dell’Unione.

206. Sebbene possa ridurre l’idoneità delle misure contemplate dall’accordo previsto a contribuire al rafforzamento della sicurezza all’interno dell’Unione, la mancata partecipazione del Regno di Danimarca non risulta, di per sé, tale da rendere l’ingerenza inidonea al conseguimento dell’obiettivo della sicurezza pubblica perseguito da detto accordo. Infatti, da un lato, tutti i vettori aerei che garantiscono collegamenti con il Canada sono soggetti all’obbligo di trasmettere alla competente autorità canadese i dati PNR raccolti (84) e, dall’altro, la competente autorità canadese è autorizzata, in forza dell’articolo 19 dell’accordo previsto, a divulgare al di fuori del Canada, e salvo il rispetto di condizioni rigorose, dati PNR, caso per caso, ad autorità pubbliche le cui funzioni siano direttamente connesse alla finalità di cui all’articolo 3 di detto accordo (85).

iii) Sul carattere strettamente necessario dell’ingerenza

207. Quanto al carattere strettamente necessario dell’ingerenza determinata dall’accordo previsto, la sua valutazione deve, a mio avviso, condurre a verificare se le parti contraenti abbiano effettuato un «contemperamento equilibrato» tra, da un lato, l’obiettivo della lotta al terrorismo e alla criminalità transnazionale grave e, dall’altro, quello della protezione dei dati personali nel rispetto della vita privata degli interessati (86).

208. Siffatto contemperamento equilibrato deve potersi riflettere, a mio avviso, nelle clausole dell’accordo previsto. Tali clausole devono quindi stabilire regole chiare e precise che disciplinino la portata e l’applicazione di una misura che prevede un’ingerenza nei diritti garantiti dagli articoli 7 e 8 della Carta e imporre obblighi minimi in modo che gli interessati dispongano di garanzie sufficienti per proteggere efficacemente i loro dati contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati (87). Le clausole dell’accordo previsto devono anche consistere nelle misure meno lesive per i diritti riconosciuti dagli articoli 7 e 8 della Carta, che tuttavia forniscano un efficace contributo all’obiettivo della sicurezza pubblica perseguito dall’accordo previsto (88). Tale constatazione implica che non basta immaginare, in astratto, l’esistenza di misure alternative che invadano in misura minore i diritti fondamentali in questione. Occorre altresì che tali misure alternative siano sufficientemente efficaci (89), vale a dire che presentino, a mio avviso, un’efficacia analoga a quella delle misure di cui all’accordo previsto, per conseguire l’obiettivo di pubblica sicurezza perseguito da quest’ultimo.

209. Al riguardo, le parti interessate hanno discusso sia del carattere strettamente necessario degli accordi PNR in generale che di talune clausole dell’accordo previsto. Poiché questi due aspetti sono, a mio avviso, intrinsecamente connessi, ritengo che debbano essere affrontati in fase di esame delle diverse parti dell’accordo previsto.

210. Mi concentrerò quindi sugli otto punti seguenti, che sono stati specificamente oggetto della domanda di parere o che sono stati discussi tra le parti interessate nel corso del procedimento dinanzi alla Corte, ossia: le categorie di dati PNR contemplate dall’accordo previsto, il carattere sufficientemente preciso della finalità per la quale il trattamento di dati PNR è autorizzato, l’identificazione dell’autorità competente responsabile del trattamento di dati PNR, il trattamento automatizzato di dati PNR, l’accesso ai dati PNR, la conservazione dei dati PNR, il trasferimento successivo dei dati PNR e, infine, le misure di sorveglianza e di controllo giurisdizionale di cui all’accordo previsto.

–       Sulle categorie di dati PNR contemplate dall’accordo previsto

211. Come già accennato, l’accordo previsto stabilisce la trasmissione all’autorità canadese competente di 19 categorie di dati PNR raccolti dai vettori aerei a fini di prenotazione dei voli, elencate nell’allegato a detto accordo.

212. Dinanzi alla Corte, le parti interessate hanno presentato osservazioni sul significato di alcune di tali categorie, sul loro eventuale duplice utilizzo con i dati raccolti dalle autorità canadesi a fini di controllo delle frontiere o, a decorrere dal 15 marzo 2016, per rilasciare un’autorizzazione di viaggio elettronica (in prosieguo: l’«AVE»), nonché sull’individuazione dei dati PNR che possono contenere dati delicati. Al riguardo, durante il procedimento dinanzi alla Corte, la Commissione ha affermato che solo la rubrica 17, contenuta nell’allegato all’accordo previsto, intitolata «Osservazioni generali, comprese le informazioni OSI (Other Supplementary Information), SSI (Special Service Information) e SSR (Special Service Request)», può contenere dati delicati, ai sensi dell’accordo previsto. Inoltre, è emerso dalla discussione dinanzi alla Corte che le informazioni contenute nella rubrica 17 sarebbero trasmesse solo quando la persona che effettua la prenotazione di un volo richieda taluni servizi a bordo, quali servizi di assistenza, collegati, eventualmente, a problemi di salute o di mobilità o ad esigenze alimentari particolari, che possano eventualmente fornire indicazioni sullo stato di salute o rivelare l’origine etnica o il credo religioso di tale persona o dei passeggeri che l’accompagnano.

213. È pacifico che le 19 categorie di dati PNR la cui trasmissione all’autorità canadese competente è stabilita dall’accordo previsto corrispondono alle categorie che risultano nei sistemi di prenotazione delle compagnie aeree. Tali categorie corrispondono altresì agli elementi di dati PNR elencati nell’allegato I agli orientamenti sui dati del codice di prenotazione adottati dall’Organizzazione internazionale dell’aviazione civile (ICAO) e pubblicati nel 2010 (90). Gli elementi contenuti in tali categorie sono quindi del tutto noti agli operatori attivi nel settore aereo. Tali elementi riguardano, in definitiva, tutte le informazioni necessarie per effettuare la prenotazione della tratta aerea, che si tratti dei mezzi di prenotazione e dei mezzi di pagamento utilizzati, dell’itinerario prescelto o dei servizi eventualmente richiesti a bordo.

214. Peraltro, come è stato evidenziato dall’Irlanda, dal governo del Regno Unito e dalla Commissione, i dati PNR, complessivamente considerati, contengono informazioni supplementari rispetto ai dati raccolti a fini di controllo alle frontiere da parte delle autorità candesi responsabili dell’immigrazione. Infatti, le informazioni anticipate sui passeggeri (API), di tipo biografico e relative alla tratta utilizzata, raccolte dai vettori aerei, hanno principalmente lo scopo di agevolare e di accelerare i controlli alla frontiera sull’identità dei passeggeri, consentendo eventualmente di evitare l’imbarco di persone oggetto, ad esempio, di un divieto di soggiorno o di sottoporre taluni passeggeri già identificati a un controllo rafforzato alla frontiera (91). Parimenti, in Canada, il nuovo obbligo dell’AVE si inserisce nell’ottica della tutela del programma di immigrazione di tale paese, in quanto richiede, per chiunque intenda recarsi in Canada in aereo, che non sia soggetto all’obbligo di visto, di ottenere, in base a informazioni biografiche e attinenti all’ammissione e al soggiorno in Canada, per via elettronica, un’autorizzazione preventiva di viaggio la cui validità ha una durata massima di cinque anni (92). Questo tipo di dati non consente tuttavia di ottenere informazioni sui mezzi di prenotazione, sui mezzi di pagamento utilizzati nonché sulle abitudini di viaggio, il cui controllo incrociato presenti un’utilità certa nella lotta contro il terrorismo e le altre gravi attività criminose di natura transnazionale. Indipendentemente dai metodi utilizzati per trattare tali dati, le API e i dati richiesti per il rilascio di un AVE non sarebbero quindi sufficienti per realizzare con analoga efficacia l’obiettivo di pubblica sicurezza perseguito dall’accordo previsto.

215. È vero che tali categorie di dati PNR sono trasmesse alle autorità canadesi relativamente a tutti i viaggiatori che usufruiscono di un collegamento aereo tra il Canada e l’Unione europea, senza che sussistano indizi che il comportamento di tali viaggiatori possa essere collegato a un’attività terroristica o di criminalità transnazionale grave.

216. Tuttavia, come hanno chiarito le parti interessate, l’interesse stesso dei regimi PNR, che siano adottati unilateralmente o che siano oggetto di un accordo internazionale, è proprio quello di garantire la trasmissione massiccia di dati che consenta alle autorità competenti di identificare, mediante strumenti di trattamento automatizzato e di scenari o di criteri di valutazione prestabiliti, individui sconosciuti ai servizi di polizia, ma che risultino presentare un «interesse» o un rischio per la sicurezza pubblica e possano essere quindi sottoposti successivamente a controlli individuali più accurati.

217. Ciò premesso, nutro seri dubbi riguardo al carattere sufficientemente chiaro e preciso della formulazione di talune categorie di dati PNR contenute nell’allegato all’accordo previsto. Infatti, alcune fra queste categorie sono formulate in modo assai ampio, se non addirittura eccessivamente ampio, senza che una persona ragionevolmente informata possa stabilire o la natura o la portata dei dati personali che tali categorie possono contenere. Mi riferisco, in proposito, soprattutto, alla rubrica 5 relativa alle «Informazioni sui viaggiatori abituali “frequent flyer” e benefici vari (biglietti gratuiti, passaggi di classe ecc.)», alla rubrica 7, intitolata «Tutte le informazioni di contatto disponibili (incluse quelle sull’originatore)», nonché alla rubrica 17, già menzionata, relativa alle «Osservazioni generali». Le spiegazioni fornite dalla Commissione nelle sue risposte ai quesiti scritti posti dalla Corte non hanno consentito di dissipare tali dubbi. In particolare, riguardo alla rubrica 7, tale istituzione ha ammesso che si trattava, in modo non esaustivo, di «tutte le coordinate connesse alla prenotazione tra cui, in particolare, l’indirizzo postale, o l’email, il numero di telefono del viaggiatore, della persona oppure dell’agenzia che ha prenotato il volo». Parimenti, per quanto riguarda la rubrica 17, la Commissione ha precisato che questa riguarda tutte «le informazioni supplementari, oltre a quelle elencate in altra parte dell’allegato all’accordo previsto».

218. L’accordo previsto stabilisce certamente talune garanzie al fine di assicurare che i dati trasmessi non siano eccedenti rispetto alla lista degli elementi elencati nell’allegato all’accordo previsto, in possesso dei vettori aerei. Emerge, infatti, dall’articolo 4, paragrafo 3, dell’accordo previsto che nessun altro dato deve essere comunicato alla competente autorità canadese, in quanto il Canada deve cancellare, non appena lo riceve, qualsiasi dato che gli sarebbe stato trasferito nonostante non figuri nell’elenco delle categorie dell’allegato all’accordo previsto. Per questo motivo, sebbene, conformemente a quanto indicato nella rubrica 8 di tale allegato, debbano essere trasferite alla competente autorità canadese le informazioni disponibili sul pagamento del volo, queste non possono includere le informazioni relative alle modalità di pagamento di altri servizi non direttamente connessi al volo, come il noleggio di un veicolo all’arrivo.

219. Tuttavia, alla luce del carattere assai ampio, se non addirittura eccessivamente ampio, di talune rubriche, è particolarmente difficile comprendere quali dati siano considerati non trasferibili al Canada e, pertanto, da cancellare ad opera di quest’ultimo, in applicazione dell’articolo 4, paragrafo 3, dell’accordo previsto. Aggiungo che è probabile che un vettore aereo scelga, per ragioni di facilità e di riduzione dei costi, di trasferire tutti i dati previamente raccolti, indipendentemente dal fatto che essi figurino o meno tra le rubriche elencate nell’allegato all’accordo previsto.

220. Ritengo quindi che, al fine di garantire la certezza del diritto per le persone i cui dati personali sono trasferiti e trattati in forza dell’accordo previsto e soddisfare la necessità di stabilire norme chiare e precise che disciplinino la portata sostanziale di detto accordo, le categorie di dati contenute nell’allegato all’accordo previsto dovrebbero essere redatte in modo più conciso e puntuale, senza che alcun margine di discrezionalità possa essere lasciato o ai vettori aerei o alle competenti autorità canadesi quanto alla portata concreta di tali categorie.

221. Infine, ritengo che l’accordo previsto ecceda quanto è strettamente necessario quando include nel suo ambito di applicazione il trasferimento di dati PNR che possono contenere dati delicati, i quali consentano, in concreto, di fornire indicazioni sullo stato di salute o di rivelare l’origine etnica o il credo religioso del passeggero interessato e/o di coloro che lo accompagnano.

222. Al riguardo, dagli elementi trasmessi alla Corte emerge che i dati PNR che possono contenere tali dati delicati sono comunicati soltanto facoltativamente, vale a dire unicamente quando un passeggero richiede un servizio supplementare a bordo. Orbene, mi sembra evidente che una persona, non ancora «identificata», ma che collabora o che partecipa a una rete internazionale terroristica o a una rete criminale finalizzata alla commissione di gravi reati, eviterà, per prudenza, di ricorrere a siffatti servizi che potrebbero fornire, in particolare, informazioni sulla sua origine etnica o sul suo credo religioso. I metodi di indagine moderni utilizzati dalle competenti autorità canadesi, consistenti, secondo quanto è stato spiegato alla Corte, nell’incrociare i dati PNR ottenuti con scenari o profili tipici di persone a rischio e che potrebbero essere basati su tali dati delicati, in quanto l’accordo previsto non lo vieta, consentiranno, in definitiva, soltanto di trattare i dati delicati di persone che hanno chiesto legittimamente di ottenere uno di tali servizi di assistenza a bordo e sui quali non grava e non continuerà probabilmente a gravare alcun sospetto. Orbene, il rischio di stigmatizzazione di un gran numero di individui, che non sono tuttavia sospettati di alcun reato, derivante dall’uso di tali dati delicati mi sembra particolarmente preoccupante e mi induce a proporre alla Corte di escludere tali dati dall’ambito di applicazione dell’accordo previsto. Inoltre, desidero segnalare che l’articolo 8 dell’accordo PNR concluso con l’Australia vieta, a sua volta, qualsiasi trattamento di dati PNR delicati. Tale constatazione consente di ritenere, in mancanza di una spiegazione più fondata, nell’accordo previsto, riguardo alla stretta necessità di trattare i dati delicati, che l’obiettivo della lotta al terrorismo e alla criminalità internazionale grave possa essere conseguito in modo altrettanto efficace anche senza trasferire tali dati al Canada.

223. Aggiungo che le garanzie offerte dall’articolo 8 dell’accordo previsto, relativo all’«Uso di dati sensibili», mi sembrano insufficienti per giustificare un approccio diverso da quello consistente nel proporre di escludere i dati delicati dall’ambito di applicazione dell’accordo previsto.

224. Infatti nonostante le misure previste all’articolo 8, paragrafi da 1 a 4, dell’accordo previsto, il paragrafo 5, in fine, di tale articolo autorizza «il Canada» (e non già unicamente la competente autorità canadese) a conservare i dati delicati, conformemente all’articolo 16, paragrafo 5, dell’accordo previsto. Orbene, da tale disposizione risulta in particolare che tali dati possono essere conservati per un periodo non superiore a cinque anni quando tali dati sono «richiesti per una determinata azione, revisione, indagine, esecuzione specifica, un procedimento giudiziario, un’azione penale o applicazione di sanzioni, fino alla loro conclusione». L’articolo 16, paragrafo 5, dell’accordo previsto non contiene inoltre alcun rinvio alle finalità indicate all’articolo 3 di detto accordo, contrariamente al paragrafo immediatamente precedente. Ne deriva che i dati delicati di un cittadino dell’Unione che abbia preso un volo per il Canada potrebbero essere conservati per cinque anni (ed eventualmente privati del mascheramento e analizzati durante tale periodo) da qualsiasi pubblica autorità canadese, per una «determinata azione» o «revisione» o un «procedimento giudiziario», senza un qualsivoglia collegamento con l’obiettivo perseguito dall’accordo previsto, ad esempio, come ha fatto valere il Parlamento, nel caso di un procedimento riguardante il diritto dei contratti o il diritto di famiglia. La possibilità che si verifichi un tale caso di specie induce a concludere che le parti contraenti non hanno effettuato, su tale punto, un contemperamento equilibrato degli obiettivi perseguiti dall’accordo previsto.

225. Alla luce di tali considerazioni, ritengo che le categorie di dati PNR elencate nell’allegato all’accordo previsto dovrebbero essere formulate in modo più chiaro e preciso e che, in ogni caso, i dati delicati dovrebbero essere esclusi dall’ambito di applicazione dell’accordo previsto. Ne consegue che l’uso dei dati delicati di cui all’articolo 8 dell’accordo previsto è, a mio avviso, incompatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta.

–       Sul carattere sufficientemente preciso della finalità per la quale il trattamento di dati PNR viene autorizzato

226. Come è già stato precisato, l’articolo 3, paragrafo 1, dell’accordo previsto stabilisce che l’autorità canadese competente tratta i dati PNR ricevuti, conformemente a tale accordo, unicamente a fini di prevenzione e di accertamento di reati di terrorismo o di reati gravi di natura transnazionale, o di indagini e procedimenti in materia.

227. L’articolo 3, paragrafo 2, lettera a), dell’accordo previsto fornisce una definizione precisa dell’espressione «reato di terrorismo», mentre il paragrafo 3 di tale articolo definisce «reati gravi di natura transnazionale» «i reati punibili in Canada con una pena privativa della libertà non inferiore nel massimo a quattro anni o con una pena più severa e quali definiti dal diritto canadese, se di natura transnazionale». Le condizioni affinché un reato possieda tale natura sono anch’esse elencate all’articolo 3, paragrafo 3, lettere da a) a e), dell’accordo previsto.

228. L’articolo 3, paragrafo 5, dell’accordo previsto riconosce al Canada il diritto di trattare i dati PNR, caso per caso, o per garantire il controllo e la responsabilità della pubblica amministrazione [paragrafo 5, lettera a)] o per conformarsi ad una citazione in giudizio, un mandato di arresto o un ordine emesso da un’autorità giudiziaria [paragrafo 5, lettera b)].

229. Nella sua domanda il Parlamento ammette che l’articolo 3 dell’accordo previsto offre alcuni criteri obiettivi, ma ritiene che il rinvio alla normativa di un paese terzo, operato dal paragrafo 3 di tale disposizione, e la possibilità di trattamento supplementare, concessa dal paragrafo 5, creino incertezza riguardo alla questione se detto accordo sia limitato allo stretto necessario.

230. Posso approvare tale argomento solo in parte.

231. Anzitutto, ritengo che, contrariamente a quanto avveniva per l’atto in questione nella causa Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), l’articolo 3 dell’accordo previsto stabilisca criteri obiettivi sulla natura e sul grado di gravità dei reati che legittimano le autorità canadesi a trattare i dati PNR. Difatti, l’articolo 3, paragrafo 2, dell’accordo previsto definisce direttamente il reato di terrorismo e rinvia anche alle attività definite come tali dalle convenzioni e dai protocolli internazionali applicabili in materia di terrorismo. La natura e la gravità di un «reato grave di natura transnazionale» emergono anche perfettamente dall’articolo 3, paragrafo 3, dell’accordo previsto, in quanto si tratta di un reato che coinvolge più di un paese e punibile, in Canada, con una pena privativa della libertà non inferiore a quattro anni. Non si tratta chiaramente di reati minori o la cui gravità potrebbe variare, come avveniva nel caso dell’atto all’origine della sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), in funzione del diritto interno di una pluralità di Stati, rendendo quindi impossibile ritenere che l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta fosse limitata allo stretto necessario.

232. Tuttavia, ammetto che il rinvio al diritto interno canadese non consente di individuare quali reati specifici possano rientrare nell’articolo 3, paragrafo 3, dell’accordo previsto, nel caso in cui essi possiedano, per di più, natura transnazionale.

233. Al riguardo, la Commissione ha comunicato alla Corte un documento trasmesso dalle autorità canadesi contenente un elenco non tassativo dei reati rientranti nella definizione di cui all’articolo 3, paragrafo 3, dell’accordo previsto che, secondo tali autorità, rappresenta la stragrande maggioranza dei reati che possono rientrare in tale definizione.

234. Tale elenco dimostra chiaramente la gravità dei reati in questione, relativi al traffico di armi, di munizioni, di esplosivi e di esseri umani, alla distribuzione o al possesso di materiale pedopornografico, al riciclaggio dei proventi dei reati, alla contraffazione monetaria, all’omicidio, al rapimento, al sabotaggio, alla cattura di ostaggi o al dirottamento aereo.

235. Tuttavia per limitare allo stretto necessario i reati che possono autorizzare il trattamento di dati PNR e garantire la certezza del diritto per i passeggeri i cui dati sono tramessi alle autorità canadesi, ritengo che i reati rientranti nella definizione di cui all’articolo 3, paragrafo 3, dell’accordo previsto dovrebbero essere tassativamente elencati, ad esempio, in un allegato allo stesso accordo previsto.

236. Inoltre, condivido le preoccupazioni del Parlamento riguardo alla formulazione dell’articolo 3, paragrafo 5, lettera b), dell’accordo previsto, che contiene un’estensione delle finalità per le quali viene autorizzato il trattamento dei dati PNR. Infatti, secondo tale articolo, il trattamento di dati PNR è «inoltre» autorizzato, caso per caso, per conformarsi a una citazione in giudizio, un mandato di arresto o un ordine emesso da un’autorità giudiziaria, senza precisare che tale giudice agisce nel contesto delle finalità dell’accordo previsto. Tale articolo sembra quindi consentire il trattamento di dati PNR per fini estranei a quelli perseguiti dall’accordo previsto e/o eventualmente a proposito di situazioni, di comportamenti o di reati non rientranti nell’ambito di applicazione di detto accordo.

237. Alla luce di tali considerazioni, ritengo che, per essere limitato allo stretto necessario e garantire la certezza del diritto per i passeggeri, in particolare per i cittadini dell’Unione, l’accordo previsto debba essere corredato di un elenco tassativo dei reati rientranti nella definizione di «reati gravi di natura transnazionale», prevista all’articolo 3, paragrafo 3, di tale accordo. Inoltre, allo stato attuale della sua redazione, l’articolo 3, paragrafo 5, dell’accordo previsto è incompatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, in quanto consente, al di là di quanto è strettamente necessario, di estendere le possibilità di trattamento di dati PNR, indipendentemente dalle finalità perseguite dall’accordo previsto.

–       Sull’ambito di applicazione ratione personae dell’accordo previsto

238. È pacifico che i dati PNR trasmessi nell’ambito dell’accordo previsto riguardano tutti i viaggiatori che usufruiscono dei collegamenti aerei tra il Canada e l’Unione europea, senza che sussistano indizi tali da permettere di ritenere che il comportamento di tali viaggiatori possa presentare collegamenti con un’attività terroristica o di criminalità transnazionale grave. Il trasferimento di tali dati all’autorità canadese competente, il loro trattamento automatizzato, e successivamente la loro conservazione si applicano quindi senza che siano operate le minime differenze in funzione dell’eventuale rischio che potrebbero presentare talune categorie di viaggiatori.

239. Nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), la Corte ha dichiarato come eccedente lo stretto necessario, in particolare, la natura indifferenziata e generalizzata della conservazione dei dati di chiunque utilizzi servizi di comunicazione elettronica nell’Unione europea, indipendentemente dall’obiettivo di lotta contro i reati gravi, perseguito dalla direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (93).

240. Sebbene l’ingerenza determinata dall’accordo previsto sia meno ampia di quella prevista dalla direttiva 2006/24, oltre a invadere in misura minore la vita quotidiana di ogni individuo, la sua natura indifferenziata e generalizzata suscita interrogativi.

241. Tuttavia, come ho già osservato al paragrafo 216 delle presenti conclusioni, l’interesse stesso dei regimi PNR è di garantire la trasmissione massiccia di dati che consenta alle autorità competenti di identificare, mediante strumenti di trattamento automatizzato e di scenari o di criteri prestabiliti, individui fino a quel momento sconosciuti ai servizi di polizia, ma che risultino presentare un «interesse» o un rischio per la sicurezza pubblica e possano essere quindi sottoposti successivamente a controlli individuali più accurati. Tali controlli devono anche poter essere effettuati per un determinato periodo di tempo dopo che i passeggeri in questione hanno compiuto il viaggio.

242. Inoltre, contrariamente alle persone i cui dati formavano oggetto del trattamento di cui alla direttiva 2006/24, tutte quelle cui si riferiva l’accordo previsto prendono volontariamente un mezzo di trasporto internazionale diretto o proveniente da un paese terzo, mezzo di trasporto che è esso stesso, purtroppo in modo ricorrente, veicolo o vittima di atti di terrorismo o di reati gravi di natura transnazionale, il che necessita dell’adozione di misure che garantiscano un livello di sicurezza elevato di tutti i passeggeri.

243. È certamente possibile ipotizzare un regime di trasferimento e di trattamento di dati PNR che distingua i passeggeri in funzione, ad esempio, delle aree geografiche di provenienza (in caso di scalo nell’Unione) o a seconda dell’età dei passeggeri, in quanto i minori, ad esempio, possono rappresentare a priori un rischio inferiore per la sicurezza pubblica. Tuttavia, sempre che si ritengano non implicanti una discriminazione vietata, siffatte misure potrebbero comportare, una volta conosciute, l’elusione delle clausole dell’accordo previsto, il che pregiudicherebbe in ogni caso l’effettivo conseguimento di uno dei suoi obiettivi.

244. Orbene, come è già stato precisato, non è sufficiente immaginare, in astratto, misure alternative meno restrittive dei diritti fondamentali delle persone. Occorre altresì, a mio avviso, che tali misure presentino garanzie di efficacia analoghe a quelle di cui si prevede l’istituzione nell’ambito della finalità di lotta contro i reati di terrorismo e contro la criminalità transnazionale grave. Non sono state portate a conoscenza della Corte, nel presente procedimento, altre misure che, limitando il numero di persone i cui dati PNR siano sottoposti a un trattamento automatizzato da parte della competente autorità canadese, possa conseguire, con analoga efficacia, lo scopo di pubblica sicurezza perseguito dalle parti contraenti.

245. Alla luce delle suesposte considerazioni, ritengo dunque, in generale, che neppure l’ambito di applicazione ratione personae dell’accordo previsto possa essere circoscritto, senza che ciò arrechi pregiudizio allo scopo stesso dei regimi PNR.

–       Sull’identificazione dell’autorità competente responsabile del trattamento di dati PNR

246. Ai sensi dell’articolo 5 dell’accordo previsto, si presume che solo «l’autorità canadese competente» assicuri un livello adeguato di protezione in relazione al trattamento e all’uso dei dati PNR, fatta salva la conformità all’accordo previsto.

247. Come ha rilevato il Parlamento, l’identità di tale autorità non è menzionata nell’accordo previsto. È tuttavia indubbio, alla luce dell’accordo del 2006, e come confermato dalla lettera della missione diplomatica del Canada presso l’Unione europea, datata 25 giugno 2014, notificata alla Commissione, ai sensi dell’articolo 30, paragrafo 2, lettera a), dell’accordo previsto e trasmessa alla Corte nell’ambito del presente procedimento, che si tratta della CBSA.

248. Più che l’identità di tale autorità, è la natura spesso imprecisa delle clausole dell’accordo previsto che, dal punto di vista del rispetto del principio di proporzionalità, fa sorgere dubbi riguardo alle autorità che possono trattare i dati PNR.

249. Diverse clausole dell’accordo previsto si riferiscono, infatti, genericamente «al Canada» e non all’«autorità canadese competente», nonostante sia l’unica autorità che assicura presumibilmente un livello adeguato di protezione in relazione al trattamento e all’uso dei dati PNR, ai sensi dell’accordo previsto. Ciò vale anche per l’articolo 3, paragrafo 5, dell’accordo previsto, che estende, inoltre, come ho esaminato nei paragrafi precedenti (94), le finalità per le quali i dati PNR possono essere trattati, per l’articolo 8 dell’accordo previsto, per l’articolo 12, paragrafo 3, dell’accordo previsto, relativo alla comunicazione a favore di qualunque soggetto, nonché per l’articolo 16 dell’accordo previsto, riguardante la conservazione dei dati PNR (95).

250. Contrariamente a quanto sostenuto in udienza dalla Commissione, la sostituzione dell’espressione «l’autorità canadese competente» con la denominazione generica «Canada» fa sorgere dubbi riguardo al numero di autorità autorizzate a trattare dati, ancor più quando l’articolo 18 dell’accordo previsto autorizza, alle condizioni elencate da tale articolo, la competente autorità canadese a divulgare dati PNR ad altre autorità pubbliche in Canada (96).

251. Le clausole dell’accordo previsto non mi sembrano quindi sufficientemente chiare e precise quanto all’identificazione dell’autorità responsabile del trattamento dei dati PNR, in modo da garantire la protezione e la sicurezza di tali dati.

–       Sul trattamento automatizzato dei dati PNR

252. Dalle osservazioni presentate alla Corte emerge che il principale valore aggiunto del trattamento dei dati PNR è il confronto dei dati raccolti con scenari o con criteri di valutazione prestabiliti di rischio o con banche dati che consentono, mediante il trattamento automatizzato, di identificare taluni «obiettivi», che possono essere oggetto, successivamente, di un controllo più accurato. Nella prassi, secondo i dati comunicati dalla CBSA alla Commissione e al governo del Regno Unito e trasmessi alla Corte da tali parti interessate, l’applicazione di dette tecniche ha consentito di identificare circa 9 500 «obiettivi», mediante il trattamento automatizzato dei dati PNR, sui 28 milioni di passeggeri che hanno preso un volo tra il Canada e l’Unione tra l’aprile 2014 e il marzo 2015.

253. Tuttavia, nessuna clausola dell’accordo previsto riguarda specificamente tali banche dati né tali scenari o criteri di valutazione, i quali dovrebbero quindi continuare ad essere determinati e utilizzati a completa discrezione delle autorità canadesi.

254. È vero che l’accordo previsto stabilisce che il Canada provvede affinché le garanzie applicabili al trattamento dei dati PNR si applichino a tutti i passeggeri su base paritaria senza discriminazioni illegittime (articolo 7 dell’accordo previsto) e si astiene dal prendere decisioni che danneggino in modo significativo un passeggero soltanto sulla base del trattamento automatizzato di dati PNR (articolo 15 dell’accordo previsto).

255. Sono tuttavia convinto che, alla luce del contemperamento equilibrato tra i due obiettivi perseguiti dall’accordo previsto e della notevole importanza pratica di tale aspetto, il confronto dei dati PNR con tali scenari o tali criteri di valutazione prestabiliti, che possono portare, come hanno ammesso talune parti interessate, a identificare «obiettivi» falsamente positivi, l’accordo previsto dovrebbe contenere vari principi e norme espresse riguardo tanto agli scenari o ai criteri di valutazione prestabiliti quanto alle banche dati con i quali i dati PNR sono confrontati.

256. La disciplina e la determinazione precisa degli scenari e dei criteri di valutazione prestabiliti devono poter consentire, in gran parte, di raggiungere risultati che abbiano come obiettivo individui sui quali potrebbe gravare un «sospetto ragionevole» di partecipazione a reati di terrorismo o a reati gravi di natura transnazionale (97).

257. Non è strettamente necessario che la Corte indichi i principi che dovrebbero disciplinare la determinazione di detti scenari e criteri di valutazione o delle banche dati con i quali i dati PNR sono confrontati.

258. Per quanto mi riguarda, ritengo che occorra, come minimo, che l’accordo previsto stabilisca espressamente che né gli scenari o i criteri di valutazione prestabiliti né le banche dati utilizzati possano fondarsi sull’origine razziale o etnica di una persona, sulle sue opinioni politiche, sulla religione dalla stessa professata o sulle sue convinzioni filosofiche, sulla sua appartenenza a un sindacato, sul suo stato di salute o sul suo orientamento sessuale. Peraltro, i criteri, gli scenari e le banche dati dovrebbero essere espressamente circoscritti alle finalità e ai reati previsti all’articolo 3 dell’accordo previsto.

259. Inoltre, l’accordo previsto dovrebbe, a mio avviso, specificare, in modo più chiaro di quanto venga fatto attualmente dall’articolo 15 dell’accordo previsto, che nel caso in cui il confronto di dati PNR con i criteri e con gli scenari prestabiliti porti a un risultato positivo, tale risultato deve essere esaminato con mezzi non automatizzati. Tale garanzia potrebbe consentire di ridurre il numero di persone che potrebbero essere oggetto di un successivo controllo fisico più accurato.

260. Inoltre, per essere limitati allo stretto necessario, tali criteri, scenari e banche dati rilevanti, nonché il loro riesame, dovrebbero, a mio avviso, essere oggetto di un controllo da parte dell’autorità pubblica indipendente di cui all’accordo previsto, ossia il Commissario del Canada per la tutela della vita privata (98), ed essere oggetto di una relazione sulla loro attuazione, trasmessa alle istituzioni e agli organi competenti dell’Unione europea, nel contesto dell’articolo 26 dell’accordo previsto che disciplina l’esame e la valutazione congiunti dell’attuazione di quest’ultimo.

261. Pertanto, ritengo che, omettendo di stabilire principi e norme espresse relativi all’istituzione e all’uso degli scenari e dei criteri prestabiliti nonché delle banche dati con i quali i dati PNR sono confrontati mediante trattamento automatizzato, le parti contraenti non hanno effettuato un contemperamento equilibrato dei due obiettivi perseguiti dall’accordo previsto.

–       Sull’accesso ai dati PNR

262. Dopo l’identificazione dei passeggeri i cui dati PNR sono stati oggetto di un trattamento automatizzato, che presentano un profilo corrispondente agli scenari o ai criteri prestabiliti, dalle spiegazioni fornite alla Corte emerge che i funzionari della CBSA accedono ai dati di tali passeggeri per stabilire se sia necessario sottoporli a un controllo più accurato. Nella prassi, secondo le informazioni trasmesse dal governo del Regno Unito e dalla Commissione, tra i 9 500 «obiettivi» identificati tra l’aprile 2014 e il marzo 2015, 1 765 persone sono state oggetto di un controllo approfondito per ragioni connesse alla sicurezza pubblica nazionale o per ragioni relative alla commissione di reati gravi di natura transnazionale. Tra queste persone, 178 sono state arrestate per reati gravi di natura transnazionale, relativi, in particolare, al traffico di stupefacenti.

263. Nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punti 62 e 66), la Corte ha rilevato, da un lato, che la direttiva 2006/24 non prevedeva alcun criterio obiettivo che consentisse di limitare il numero di persone autorizzate ad accedere ai dati personali in questione e non subordinava l’accesso a tali dati ad un controllo preventivo effettuato da un giudice o da un organo amministrativo indipendente. D’altro lato, tale atto non prevedeva neppure norme contro il rischio di abusi e contro qualsiasi accesso o uso illecito di tali dati.

264. Per contro, va osservato che le clausole dell’accordo previsto soddisfano in parte tali requisiti.

265. Come già rilevato, l’articolo 9, paragrafi 1 e 2, dell’accordo previsto esige che il Canada adotti misure regolamentari, procedurali o tecniche per proteggere i dati PNR dall’accesso, dal trattamento o dalla perdita accidentali, illeciti o non autorizzati e garantisca in particolare la sicurezza, la riservatezza e l’integrità dei dati, applicando segnatamente procedure di cifratura e di conservazione dei dati in un ambiente fisico sicuro, protetto con controlli di accesso.

266. Inoltre, sia l’articolo 9, paragrafo 2, lettera b), che l’articolo 16, paragrafo 2, dell’accordo previsto stabiliscono che il Canada limiti l’accesso ai dati PNR a un numero di funzionari espressamente autorizzati a tal fine. In materia di conservazione dei dati PNR, l’articolo 16, paragrafo 4, dell’accordo previsto stabilisce altresì che i dati spersonalizzati mediante mascheramento possono essere privati di tale mascheramento solo qualora sia necessario svolgere indagini nell’ambito dell’articolo 3 dell’accordo previsto e, in funzione del periodo di conservazione dei dati PNR di cui trattasi, o ad opera di un numero limitato di funzionari espressamente autorizzati o unicamente previa autorizzazione del capo dell’autorità canadese competente o di un funzionario di grado superiore da questo espressamente demandato.

267. Tuttavia, al pari della direttiva 2006/24, l’accordo previsto non specifica i criteri obiettivi in base ai quali sono individuati i funzionari che hanno accesso ai dati PNR e se tali funzionari appartengano tutti ai servizi della CBSA. Tali indicazioni risultano tanto più rilevanti in quanto il gruppo di funzionari che hanno accesso a tali dati nel contesto dell’articolo 9, paragrafo 2, dell’accordo previsto è, a quanto pare, più ampio di quello, qualificato come «ridotto», che può accedere ai dati conservati per più di 30 giorni nel contesto dell’applicazione dell’articolo 16, paragrafo 2, di detto accordo. I criteri che consentono di differenziare i due gruppi di funzionari autorizzati ad accedere ai dati PNR non risultano tuttavia dalle clausole dell’accordo previsto e sono quindi rimessi completamente alla discrezionalità del Canada. Tale libertà non soddisfa, a mio avviso, il requisito fissato dalla sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), richiamato al paragrafo 263 delle presenti conclusioni.

268. Parimenti, occorre rilevare che l’accordo previsto non prevede affatto che l’accesso ai dati PNR sia subordinato a un controllo preventivo di un’autorità indipendente, come il Commissario del Canada per la tutela della vita privata (99), o di un giudice la cui decisione potrebbe limitare l’accesso ai dati o il loro uso e che sarebbe pronunciata in seguito a una domanda motivata della CBSA.

269. L’adeguato contemperamento tra il perseguimento efficace della lotta al terrorismo e alla criminalità transnazionale grave e il rispetto di un livello elevato di protezione dei dati personali dei passeggeri interessati non richiede tuttavia, necessariamente, che sia previsto un controllo preventivo dell’accesso ai dati PNR.

270. Infatti, senza necessità di verificare se siffatto controllo preventivo sia prevedibile in concreto e sufficientemente effettivo, alla luce in particolare della quantità di dati da esaminare e delle risorse di cui dispongono le autorità indipendenti di controllo, rilevo che, nel contesto del rispetto dell’articolo 8 della CEDU da parte delle autorità pubbliche che hanno istituito misure di intercettazione e di sorveglianza di comunicazioni private, la Corte EDU ha ammesso che, salvo circostanze particolari riguardanti segnatamente la riservatezza delle fonti di informazione dei giornalisti o le comunicazioni tra gli avvocati e i loro clienti, un controllo ex ante di tali misure da parte di un’autorità indipendente o di un magistrato non costituisce una necessità assoluta, in quanto è garantito, a posteriori, un ampio controllo giurisdizionale di dette misure (100).

271. Al riguardo, indipendentemente dai dubbi suscitati dalla ripartizione delle competenze di sorveglianza e di controllo della CBSA tra «l’autorità pubblica indipendente» e l’«autorità istituita con mezzi amministrativi che eserciti le proprie funzioni in modo imparziale e disponga di una comprovata autonomia», sui quali ritornerò successivamente (101), occorre rilevare che l’articolo 14, paragrafo 2, dell’accordo previsto stabilisce che il Canada deve provvedere affinché chiunque ritenga che i propri diritti siano stati violati da una decisione o azione riguardo ai propri dati PNR abbia diritto a un ricorso effettivo in sede giudiziaria ai sensi del diritto canadese, sotto forma, in particolare, di controllo giurisdizionale. È indubbio, alla luce della formulazione dell’articolo 14, paragrafo 1, dell’accordo previsto e delle spiegazioni fornite dalle parti interessate, che tale ricorso è avviato contro qualsiasi decisione riguardante l’accesso ai dati PNR delle persone interessate, indipendentemente dalla loro cittadinanza, dalla loro residenza o dalla loro presenza nel territorio canadese. Nell’ambito del presente procedimento d’esame preventivo della compatibilità delle clausole dell’accordo previsto con gli articoli 7 e 8 della Carta, la garanzia di siffatto ricorso, la cui efficacia non è stata messa in dubbio da alcuna parte interessata, soddisfa, a mio avviso, la condizione richiesta da tali disposizioni, lette alla luce dell’interpretazione dell’articolo 8 della CEDU adottata dalla Corte EDU.

272. Pertanto, ritengo che il fatto che l’accordo previsto abbia omesso di stabilire che l’accesso da parte dei funzionari autorizzati della CBSA ai dati PNR è subordinato a un controllo preventivo da parte di un’autorità amministrativa indipendente o da parte di un giudice non sia incompatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, in quanto, come avviene nella fattispecie, l’accordo previsto impone al Canada di garantire a ogni interessato il diritto di beneficiare di un controllo giurisdizionale effettivo a posteriori delle decisioni o delle misure riguardanti l’accesso ai suoi dati PNR.

273. Per contro, ritengo che, per essere limitato allo stretto necessario, l’accordo previsto debba chiaramente specificare che solo i funzionari della CBSA sono autorizzati ad accedere a tali dati e prevedere criteri obiettivi che consentano di precisare il loro numero, tenuto conto delle diverse situazioni contemplate agli articoli 9 e 16 dell’accordo previsto.

–       Sulla conservazione dei dati PNR

274. Dinanzi alla Corte, le parti interessate hanno ampiamente discusso sulle conseguenze che devono essere tratte dalla sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238), riguardo alla natura strettamente necessaria del regime di conservazione dei dati PNR di cui all’articolo 16 dell’accordo previsto.

275. Da un lato, in tale sentenza, la Corte ha contestato al legislatore dell’Unione di non aver imposto che i dati in questione in tale causa fossero conservati nel territorio dell’Unione, con la conseguenza che il controllo del rispetto dei requisiti di protezione e di sicurezza dei dati da parte di un’autorità indipendente, espressamente prescritti dall’articolo 8, paragrafo 3, della Carta, non era pienamente garantito (102).

276. D’altro lato, quanto al periodo massimo di conservazione di due anni previsto dalla direttiva 2006/24, la Corte ha censurato il fatto che quest’ultima non operasse distinzioni tra le categorie di dati in funzione della loro utilità ai fini dell’obiettivo perseguito o a seconda degli interessati e che tale periodo non fosse determinato in base a criteri obiettivi (103).

277. Quanto al primo punto, è evidente che i dati PNR cui si riferiscono le clausole dell’accordo previsto non saranno conservati nel territorio dell’Unione. Tale constatazione non è tuttavia sufficiente, di per sé, per invalidare il regime di conservazione di cui all’articolo 16 dell’accordo previsto, salvo che detto accordo non garantisca pienamente il controllo dei requisiti di protezione e di sicurezza da parte di un’autorità indipendente. Orbene, come avrò modo di esaminare successivamente, mentre l’intento delle parti contraenti è proprio quello di rispettare pienamente l’obbligo imposto dall’articolo 8, paragrafo 3, della Carta, l’articolo 10, paragrafo 1, dell’accordo previsto è formulato in termini troppo ambigui per garantire, in ogni circostanza, l’esistenza di siffatto controllo (104).

278. Quanto al periodo di conservazione dei dati PNR, dall’articolo 16, paragrafo 1, dell’accordo previsto emerge che tale periodo ha una durata massima di cinque anni a decorrere dalla data di ricezione dei dati stessi (105), alla cui scadenza il paragrafo 6 di detto articolo impone al Canada di distruggere i dati PNR.

279. È pacifico che il periodo di conservazione è stato prorogato di un anno e mezzo rispetto a quello previsto nell’accordo del 2006. Peraltro, a parte le spiegazioni e gli esempi forniti da talune parti interessate durante il procedimento dinanzi alla Corte, riguardanti, essenzialmente, la durata di vita media delle reti internazionali per lo svolgimento di gravi attività criminali nonché la durata e la complessità delle indagini relative a tali reti, l’accordo previsto non indica le ragioni obiettive che hanno indotto le parti contraenti a protrarre fino a un massimo di cinque anni il periodo di conservazione dei dati PNR.

280. Ritengo che dette ragioni obiettive debbano essere indicate nell’accordo previsto, il che consentirebbe a priori di garantire che tale periodo sia necessario ai fini perseguiti dall’accordo previsto. Per essere assolutamente chiari su tale punto, detta considerazione vale altresì per quanto riguarda l’articolo 16, paragrafo 5, dell’accordo previsto la cui portata, come ho già precisato nelle mie osservazioni relative ai dati delicati che devono essere esclusi dall’ambito di applicazione di tale accordo, dovrebbe essere circoscritta, nel caso della conservazione degli altri dati PNR per una durata massima di cinque anni, alla finalità descritta all’articolo 3 dell’accordo previsto (106).

281. Si deve quindi constatare che le parti contraenti non hanno giustificato la necessità di conservare tutti i dati PNR per un periodo massimo di cinque anni.

282. La Corte potrebbe limitarsi, nell’ambito del presente procedimento, a tale constatazione, senza quindi dover verificare se il periodo di conservazione di cinque anni di tutti i dati PNR dell’insieme dei passeggeri aerei tra il Canada e l’Unione europea non ecceda quanto è strettamente necessario per realizzare il fine di sicurezza dell’accordo previsto.

283. Nel caso in cui la Corte ritenesse tuttavia opportuno dedicare qualche approfondimento a tale questione, mi permetto di fare le seguenti osservazioni.

284. Anzitutto, riguardo alla quantità di dati PNR conservati, è legittimo chiedersi, a mio avviso, se, dopo diversi anni, sia giustificato conservare alcune categorie di tali dati, in quanto l’autorità canadese competente dispone o può disporre, privandoli del mascheramento, conformemente alle condizioni di cui all’articolo 16, paragrafo 3, dell’accordo previsto, dei dati PNR che forniscono informazioni essenziali relative all’identità del passeggero o dei passeggeri del fascicolo PNR, alla data del viaggio, ai mezzi di pagamento utilizzati, a tutte le informazioni di contatto disponibili, all’itinerario del viaggio, ai dati dell’agenzia o dell’agente di viaggio e alle informazioni relative al bagaglio. In particolare, mi chiedo se informazioni sullo status di viaggiatore abituale «frequent flyer» e benefici vari (rubrica 5 dell’allegato dell’accordo previsto), sullo status di viaggio (check‑in) del passeggero (rubrica 13 dell’allegato), sull’emissione o sul prezzo del biglietto (rubrica 14 dell’allegato) e sul code share (codici comuni) (rubrica 11 dell’allegato), che rende noto unicamente, secondo la Commissione, il vettore effettivo, risultino essere, dopo un certo numero di anni di conservazione, informazioni aventi un vero e proprio valore aggiunto rispetto agli altri dati PNR, che sono anch’essi conservati e possono essere privati del mascheramento, ai fini della lotta al terrorismo e alla criminalità transnazionale grave.

285. Inoltre, al di là dei dubbi che può suscitare la natura strettamente necessaria del periodo di conservazione di tutti i dati PNR indicato nell’accordo previsto, le garanzie offerte dall’articolo 16, paragrafo 3, del medesimo accordo in materia di «spersonalizzazione» mediante mascheramento mi sembrano, in ogni caso, insufficienti per garantire la protezione e la sicurezza dei dati personali dei passeggeri interessati.

286. È vero che tale articolo prevede in effetti il mascheramento dei nomi di tutti i passeggeri 30 giorni dopo la loro ricezione. Tale disposizione precisa altresì che gli elementi di dati PNR delle categorie 6, 7, 17 e 18, elencate nell’allegato all’accordo previsto (107), sono mascherati per due anni dopo la ricezione di tali dati, qualora, riguardo a queste ultime due categorie, consentano l’identificazione di una persona fisica.

287. È proprio la natura tassativa di tale elenco a risultare preoccupante. Infatti, altre rubriche dell’allegato all’accordo previsto consentono anch’esse l’identificazione diretta di una persona fisica, senza comparire nell’elenco di cui all’articolo 16, paragrafo 3, dell’accordo previsto. Mi riferisco, soprattutto, al riguardo, alle informazioni sui viaggiatori abituali «frequent flyer» e benefici vari (rubrica 5 dell’allegato) e a tutte le informazioni disponibili su pagamento/fatturazione del biglietto (rubrica 8), che comprendono, in particolare, i dettagli relativi al mezzo o ai mezzi di pagamento utilizzati.

288. Pertanto, ritengo che, omettendo di garantire una «spersonalizzazione», mediante mascheramento, di tutti i dati PNR che consentano l’identificazione diretta di un passeggero, le parti contraenti non abbiano effettuato un contemperamento equilibrato degli obiettivi perseguiti dall’accordo previsto.

289. Infine, per quanto riguarda le norme e le modalità relative alla rimozione del mascheramento dei dati PNR, va ricordato che l’articolo 16, paragrafo 4, dell’accordo previsto precisa che siffatta operazione può essere effettuata solo qualora, sulla base delle informazioni disponibili, sia necessario svolgere indagini nell’ambito dell’articolo 3 dell’accordo previsto o, sino a due anni dopo il ricevimento iniziale dei dati PNR, ad opera di un numero limitato di funzionari espressamente autorizzati o, da due a cinque anni dopo il ricevimento, solo previa autorizzazione del capo della competente autorità canadese o di un funzionario di grado superiore da questo espressamente demandato.

290. Fatte salve le osservazioni formulate nei paragrafi precedenti riguardo ai criteri obiettivi che consentano di individuare i funzionari autorizzati ad accedere ai dati (108) e quelle, di seguito esposte, relative alla sorveglianza della competente autorità canadese da parte di un’autorità pubblica indipendente (109), ritengo che, di per sé, l’articolo 16, paragrafo 4, dell’accordo previsto non ecceda quanto è strettamente necessario.

–       Sulla comunicazione e sul successivo trasferimento dei dati PNR

291. Gli articoli 12, 18 e 19 dell’accordo previsto riguardano direttamente la comunicazione dei dati PNR

292. L’articolo 12 dell’accordo previsto, intitolato «Accesso dell’interessato», risulta prima facie esente da qualsiasi critica, in quanto mira a garantire l’accesso di chiunque ai propri dati PNR.

293. Ritengo tuttavia che il paragrafo 3 di tale articolo estenda oltre misura le possibilità di accesso ai dati PNR e alle informazioni che possono essere ricavate da tali dati a chiunque, senza che siano previste garanzie precise. L’articolo 12, paragrafo 3, dell’accordo previsto concede infatti al Canada la facoltà di «subordinare la comunicazione d’informazioni a condizioni e limitazioni giuridiche ragionevoli (…) tenuto debito conto del legittimo interesse dell’interessato». Orbene, nell’accordo previsto non sono definiti né i destinatari di tale «comunicazione» né l’uso che ne viene fatto. È quindi del tutto probabile che tale comunicazione possa essere trasmessa a qualsiasi persona fisica o giuridica, come ad esempio un istituto bancario, in quanto il Canada ritiene che la comunicazione di siffatte informazioni non ecceda limitazioni giuridiche «ragionevoli», le quali, per di più, non sono definite nell’accordo previsto.

294. Tenuto conto, segnatamente, della natura particolarmente vaga e ampia della sua formulazione, l’articolo 12, paragrafo 3, dell’accordo previsto eccede quindi, a mio avviso, quanto è strettamente necessario per conseguire l’obiettivo di sicurezza pubblica perseguito dall’accordo previsto.

295. Quanto agli articoli 18 e 19 dell’accordo previsto, questi ultimi riguardano rispettivamente la comunicazione da parte dell’autorità canadese competente di dati PNR ad altre autorità pubbliche canadesi e ad altre autorità pubbliche di paesi diversi dagli Stati membri dell’Unione.

296. Al pari del Parlamento, ritengo che, nei limiti in cui il «livello di protezione adeguato», ritenuto conforme a quello garantito nel diritto dell’Unione, riguardi soltanto il rispetto da parte dell’autorità canadese competente delle clausole dell’accordo previsto, le parti contraenti debbano garantire che tale livello di protezione non possa essere eluso mediante trasferimenti di dati personali ad altre autorità governative canadesi o verso paesi terzi (110).

297. È innegabile che gli articoli 18 e 19 dell’accordo previsto subordinino il trasferimento successivo di tali dati o delle informazioni analitiche contenenti dati PNR a condizioni cumulative rigorose, delle quali quattro sono identiche. Pertanto, tali dati e tali informazioni sono comunicati solo qualora le autorità pubbliche in questione siano titolari di funzioni direttamente connesse all’ambito coperto dall’articolo 3 dell’accordo previsto, solo caso per caso e salvo che circostanze particolari rendano la comunicazione necessaria ai fini stabiliti nel suddetto articolo 3. Inoltre, si precisa che è comunicato solo il numero minimo necessario di dati PNR o di informazioni analitiche (111).

298. Le garanzie offerte da queste due clausole divergono tuttavia per quanto riguarda le altre condizioni.

299. Anzitutto, mentre, secondo l’articolo 18 dell’accordo previsto, le altre autorità pubbliche canadesi che ricevono dati PNR devono offrire «una protezione equivalente alle salvaguardie descritte [nell’accordo previsto]», l’articolo 19, paragrafo 1, lettera e), di detto accordo stabilisce che la competente autorità canadese deve aver «accertato» che l’autorità straniera ricevente applichi norme di protezione dei dati PNR equivalenti a quelle disposte dall’accordo previsto, conformemente agli accordi e alle intese che contengono dette norme, oppure le norme di protezione di tali dati concordate con l’Unione europea.

300. Nelle due fattispecie, è pacifico che spetta esclusivamente alla competente autorità candese, ossia la CBSA, verificare l’adeguatezza della protezione offerta dall’autorità governativa ricevente. Né l’esame della CBSA né l’eventuale decisione di comunicazione dei dati PNR sono sottoposti a un controllo ex ante da parte di un’autorità indipendente o di un magistrato. Inoltre, l’accordo previsto non stabilisce affatto che l’intento di trasferire dati PNR di un cittadino di uno Stato membro dell’Unione sia oggetto, quantomeno, di una comunicazione preliminare alle autorità competenti dello Stato membro in questione e/o alla Commissione prima di qualsiasi comunicazione effettiva. Infatti, l’articolo 18 dell’accordo previsto tace in merito a quest’ultima possibilità, mentre l’articolo 19, paragrafo 2, del medesimo accordo contempla solo una comunicazione a posteriori «quanto prima» alle autorità competenti dello Stato membro in questione.

301. Orbene, le garanzie supplementari menzionate al paragrafo precedente dovrebbero essere, a mio avviso, assicurate.

302. Da un lato, un semplice controllo a posteriori della comunicazione di tali dati non consentirà né di ovviare a una valutazione errata del livello di protezione offerto dall’autorità pubblica ricevente, né di ripristinare la natura privata e riservata di tali dati una volta che questi siano stati trasmessi all’autorità pubblica ricevente e utilizzati da quest’ultima (112). Ciò è particolarmente vero per la comunicazione di dati a un paese terzo, il cui uso successivo sfuggirà anche alla competenza e al controllo ex post delle autorità e dei giudici canadesi.

303. D’altro lato, una comunicazione preliminare alla Commissione e alle autorità competenti dello Stato membro, al quale appartiene il cittadino i cui dati PNR sono oggetto di siffatto trasferimento, potrà garantire che l’esame del «livello di protezione equivalente» è stato svolto in modo corretto. Inoltre, sotto un altro profilo, siffatta comunicazione preliminare – nei limiti in cui il trasferimento di dati PNR ai sensi degli articoli 18 e 19 dell’accordo previsto possa realizzarsi solo in casi particolari e in circostanze specifiche debitamente motivate e quindi in situazioni in cui si deve supporre che sulla persona interessata gravino forti sospetti – è tale, in particolare, da contribuire a rafforzare la cooperazione tra le autorità competenti del Canada, dell’Unione e dei suoi Stati membri, coerentemente con l’obiettivo di prevenzione e di accertamento di reati di terrorismo e di reati gravi di natura transnazionale, perseguito dall’accordo previsto.

304. Inoltre, va rilevato che l’articolo 18, paragrafo 1, lettera f), dell’accordo previsto vieta all’autorità pubblica canadese ricevente di comunicare successivamente i dati PNR ad altri enti, salvo che ciò sia autorizzato dalla CBSA, nel rispetto delle condizioni previste al medesimo paragrafo. Per contro, l’articolo 19 dell’accordo previsto non impone affatto a quest’ultima autorità di accertarsi, prima di qualsiasi trasferimento di dati PNR, che l’autorità pubblica ricevente di un paese terzo non possa essa stessa comunicare successivamente tali dati a un altro ente, eventualmente di un altro paese terzo.

305. Orbene, poiché non si esclude il rischio che tale situazione possa verificarsi, il che comporterebbe l’elusione del livello garantito dal diritto dell’Unione in materia di protezione dei dati personali, si deve constatare che l’articolo 19 dell’accordo previsto autorizza ingerenze ingiustificate nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta (113).

–       Sulle misure di sorveglianza e di controllo amministrativo e giurisdizionale

306. Richiesto sia dall’articolo 8, paragrafo 3, della Carta che dall’articolo 16, paragrafo 2, secondo comma, TFUE, il controllo da parte di un’autorità indipendente costituisce un elemento essenziale del rispetto della protezione delle persone fisiche relativamente al trattamento dei dati personali nell’Unione (114).

307. Dalle clausole dell’accordo previsto risulta che le parti contraenti sono consapevoli di tale obbligo, anche se, come spiegherò in seguito, l’accordo previsto non lo soddisfa interamente.

308. Al fine di garantire che il livello di protezione offerto dalla competente autorità canadese, quando tratta e utilizza dati PNR, sia, a norma dell’articolo 5 dell’accordo previsto, «adeguato» «ai sensi della (…) legislazione dell’Unione (…) in materia di protezione dei dati», tale autorità deve, in particolare, conformarsi alle misure di cui all’articolo 10 dell’accordo previsto, vale a dire al controllo da parte di un’«autorità di supervisione». Tale autorità deve avere «poteri effettivi per indagare sul rispetto delle norme sulla raccolta, l’uso, la comunicazione, la conservazione o l’eliminazione dei dati PNR». Tali poteri comprendono altresì quello di effettuare controlli di conformità, di rivolgere raccomandazioni alla competente autorità canadese e di segnalare le violazioni di legge connesse all’accordo previsto ai fini di un’azione giudiziaria o disciplinare. In forza dell’articolo 14, paragrafo 1, dell’accordo previsto, l’autorità di supervisione riceve, istruisce e risponde ai reclami presentati dagli interessati, relative alle richieste di accesso, rettifica o annotazione dei loro dati PNR.

309. Ne deriva che l’intento delle parti contraenti è proprio quello di garantire che il trattamento dei dati personali effettuato dalla CBSA sia sottoposto a un efficace meccanismo di individuazione e di controllo di eventuali violazioni delle norme dell’accordo previsto che assicuri la protezione della vita privata e dei dati di carattere personale dei passeggeri, al fine di garantire un livello di protezione inteso come «sostanzialmente equivalente» a quello di cui tali persone beneficerebbero qualora i loro dati fossero trattati e conservati nel territorio dell’Unione.

310. Ne consegue che il controllo da parte di un’autorità indipendente, richiesto in particolare dall’articolo 8, paragrafo 3, della Carta, trova piena applicazione nella fattispecie.

311. Orbene, la particolarità dell’autorità di supervisione istituita dall’accordo previsto, che alimenta le critiche del Parlamento e del GEPD riguardo alla sua totale indipendenza, consiste nel fatto che essa risulta bicefala. L’articolo 10 dell’accordo previsto presenta, infatti, tale autorità o come un’«autorità pubblica indipendente» o come un’«autorità istituita con mezzi amministrativi che eserciti le proprie funzioni in modo imparziale e disponga di una comprovata autonomia».

312. La prima di tali autorità, come risulta dalla lettera del 25 giugno 2014 della missione diplomatica del Canada presso l’Unione europea (115) e dalle spiegazioni fornite dalla Commissione nel procedimento dinanzi alla Corte, è costituita dal Commissario del Canada per la tutela della vita privata, i cui status, modalità di designazione, durata del mandato, di sette anni inamovibili, poteri istruttori, anche d’ufficio, e di raccomandazione sono segnatamente precisati nella legge canadese del 1985 sulla protezione dei dati personali (116). Occorre rilevare che nessuna parte interessata ha messo in dubbio il fatto che il Commissario del Canada per la tutela della vita privata, che riferisce esclusivamente alle camere del Parlamento canadese, benefici di un’indipendenza e di un’imparzialità che gli consentono di esercitare le sue funzioni senza essere soggetto a una qualsiasi influenza o istruzione esterna, in particolare dell’esecutivo (117).

313. Dalle spiegazioni fornite alla Corte emerge che, in forza della legge sulla protezione dei dati personali, le competenze del Commissario del Canada per la tutela della vita privata riguardano le denunce di qualsiasi individuo contro violazioni delle norme sulla vita privata e sulla protezione dei dati di carattere personale da parte di un’istituzione pubblica federale del Canada.

314. Tuttavia, la formulazione alternativa dell’articolo 10, paragrafo 1, dell’accordo previsto lascia intendere che il controllo esercitato sul trattamento dei dati PNR da parte della CBSA potrebbe essere interamente assunto dall’«autorità istituita con mezzi amministrativi che eserciti le proprie funzioni in modo imparziale e disponga di una comprovata autonomia», vale a dire dalla Direzione Ricorsi della CBSA, la quale è stata istituita in vigenza dell’accordo del 2006.

315. Orbene, indipendentemente dalle garanzie indicate nella lettera del 25 giugno 2014 della missione diplomatica del Canada presso l’Unione europea, secondo le quali la Direzione ricorsi della CBSA non sarà oggetto di alcuna istruzione da parte di altri organi operativi di quest’ultima, tale direzione rimane, al pari di tutti gli altri organi della CBSA, direttamente subordinata al proprio ministro competente, da cui può ricevere istruzioni (118). Potendo essere soggetta a influenze, in particolare, di natura politica da parte dell’autorità da cui dipende o, più in generale, dell’esecutivo, la Direzione ricorsi della CBSA non può essere considerata un’autorità di controllo indipendente, ai sensi dell’articolo 8, paragrafo 3, della Carta.

316. Pertanto, dato che l’articolo 10 dell’accordo previsto stabilisce, in sostanza, che l’autorità di supervisione può essere, alternativamente, o il Commissario del Canada per la tutela della vita privata o la Direzione ricorsi della CBSA, tale disposizione non costituisce una norma chiara e precisa che garantisca in modo sistematico il controllo, da parte di un’autorità indipendente, ai sensi dell’articolo 8, paragrafo 3, della Carta, del rispetto della vita privata e della protezione dei dati di carattere personale dei soggetti interessati dal trattamento dei dati PNR di cui all’accordo previsto. Spetta alle parti contraenti dissipare l’ambiguità derivante dalla formulazione dell’articolo 10, paragrafo 1, di detto accordo e provvedere affinché il controllo del rispetto dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta sia affidato a un’autorità di controllo indipendente, ai sensi del paragrafo 3 di quest’ultima disposizione.

317. Per quanto riguarda l’articolo 14, paragrafo 1, dell’accordo previsto, riguardante i ricorsi amministrativi, dalle spiegazioni della Commissione emerge che, in forza della legge canadese del 1985 sulla protezione dei dati personali, il Commissario del Canada per la tutela della vita privata non è competente a conoscere le domande di accesso ai dati PNR, di rettifica o di annotazione da parte di persone non residenti in Canada, vale a dire domande formulate da tali persone in base agli articoli 12 e 13 dell’accordo previsto.

318. Secondo le spiegazioni fornite dalla Commissione, l’esame delle domande di accesso, di rettifica o di annotazione nonché le risposte a tali domande, presentate da soggetti non residenti in Canada, che costituiscono indubbiamente la maggior parte dei cittadini dell’Unione, spetta alla Direzione ricorsi della CBSA.

319. Nelle osservazioni e nelle risposte ai quesiti della Corte, la Commissione ha precisato che una persona la cui domanda di accesso ai propri dati PNR, o di rettifica o di annotazione dei suddetti dati, sia stata respinta dalla Direzione ricorsi della CBSA potrebbe, tramite un mandatario residente nel territorio canadese, presentare una denuncia al Commissario del Canada per la tutela della vita privata.

320. L’esistenza di tale mezzo di ricorso amministrativo al Commissario del Canada per la tutela della vita privata non figura tuttavia né nell’accordo previsto né emerge da alcuna disposizione del diritto canadese portata a conoscenza della Corte. Nei limiti in cui sia effettivamente ipotizzabile, ritengo che tale possibilità debba essere chiaramente indicata nell’accordo previsto, in modo da consentire a chiunque di conoscere la portata dei diritti processuali riconosciutigli da tale atto. Qualora l’esistenza di siffatta possibilità risulti, in definitiva, inesatta, il Commissario del Canada per la tutela della vita privata dovrebbe, a mio avviso, poter assumere direttamente il compito di rispondere a qualsiasi domanda di accesso, di rettifica o di annotazione, presentata da un soggetto non residente in Canada. Infatti, qualora non si preveda nessuna di tali opzioni, nessuna autorità di controllo indipendente sarebbe competente a esaminare questo tipo di domande, ancorché si tratti proprio di domande presentate esclusivamente da cittadini dell’Unione relativamente ai propri dati personali. La possibilità che detta fattispecie si verifichi significherebbe, a mio avviso, che le parti contraenti non hanno effettuato un contemperamento equilibrato tra i due obiettivi perseguiti dall’accordo previsto.

321. In ogni caso, l’articolo 14, paragrafo 1, dell’accordo previsto dovrebbe chiaramente precisare che le domande di accesso, di rettifica e di annotazione formulate da passeggeri non residenti nel territorio canadese possono essere presentate, o direttamente o mediante un ricorso amministrativo, a un’autorità pubblica indipendente.

322. Per contro, e per ragioni di completezza, ritengo infondate le critiche mosse dal Parlamento, secondo le quali l’articolo 14, paragrafo 2, dell’accordo previsto potrebbe violare l’articolo 47 della Carta.

323. L’articolo 14, paragrafo 2, dell’accordo previsto stabilisce infatti che il Canada provvede affinché chiunque ritenga che i propri diritti siano stati violati da una decisione o azione riguardo ai propri dati PNR abbia diritto a un ricorso effettivo in sede giudiziaria ai sensi del diritto canadese, mediante controllo giurisdizionale o qualunque altro rimedio che consenta altresì il risarcimento dei danni.

324. Come ha sostenuto il Consiglio, tale disposizione garantisce che i privati, indipendentemente dalla loro cittadinanza, dalla loro residenza o dal fatto che siano o meno presenti in Canada, possano disporre di una tutela giurisdizionale effettiva, ai sensi dell’articolo 47 della Carta. Il fatto che l’articolo 14, paragrafo 2, dell’accordo previsto stabilisca che il «ricorso effettivo in sede giudiziaria» possa essere completato da un ricorso per risarcimento danni è tale da far comprendere che il Canada si impegna a garantire che tutti gli interessati possano avvalersi di rimedi giurisdizionali in modo effettivo.

325. Aggiungo che dall’articolo 14, paragrafo 1, dell’accordo previsto risulta che l’autorità che abbia respinto una domanda di accesso, di rettifica o di annotazione deve informare il reclamante riguardo alle modalità di presentazione del ricorso in sede giudiziaria di cui al paragrafo 2 di detto articolo, il che assicura un’informazione adeguata e individuale dei cittadini dell’Unione interessati.

326. Contrariamente a quanto lascia intendere il Parlamento con riferimento al punto 95 della sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), siffatta situazione non è paragonabile a quella che ha indotto la Corte a constatare, in tale causa, la violazione del contenuto essenziale del diritto fondamentale alla tutela giurisdizionale effettiva. Infatti, in tale causa si trattava della normativa di un paese terzo che, secondo la Commissione, garantiva un livello di protezione dei diritti fondamentali adeguato, ma che, alla luce delle informazioni acquisite successivamente, non prevedeva alcuna possibilità per il privato di ricorrere a mezzi giurisdizionali per accedere ai propri dati personali o per ottenere la rettifica o la cancellazione di tali dati.

327. L’accordo previsto, che costituisce un impegno internazionale per il Canada, impone certamente a quest’ultimo di garantire che siffatti rimedi giurisdizionali siano istituiti e siano effettivi. Entro tali limiti e tenuto conto della natura preventiva del procedimento di parere, tale constatazione è sufficiente, a mio avviso, per concludere che l’articolo 14, paragrafo 2, dell’accordo previsto è compatibile con l’articolo 47 della Carta (119).

VIII – Conclusione

328. Alle luce di quanto precede, propongo alla Corte di rispondere alla domanda di parere del Parlamento nei seguenti termini:

«1)      L’atto del Consiglio recante conclusione dell’accordo previsto tra il Canada e l’Unione europea sul trasferimento e il trattamento di dati del codice di prenotazione (PNR), firmato il 25 giugno 2014, deve essere fondato sull’articolo 16, paragrafo 2, primo comma, TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE, in combinato disposto con l’articolo 218, paragrafo 6, lettera a), punto v), TFUE.

2)      L’accordo previsto è compatibile con l’articolo 16 TFUE e con gli articoli 7, 8, e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, a condizione che:

–        le categorie di dati del codice di prenotazione (PNR) dei passeggeri aerei, elencate nell’allegato all’accordo previsto, siano formulate in modo chiaro e preciso e i dati delicati, ai sensi dell’accordo previsto, siano esclusi dall’ambito di applicazione di quest’ultimo;

–        i reati rientranti nella definizione di reati gravi di natura transnazionale, di cui all’articolo 3, paragrafo 3, dell’accordo previsto, siano elencati tassativamente in tale accordo o in suo allegato;

–        l’accordo previsto identifichi in modo sufficientemente chiaro e preciso l’autorità responsabile del trattamento dei dati del codice di prenotazione così da garantire la protezione e la sicurezza di tali dati;

–        l’accordo previsto precisi espressamente i principi e le norme applicabili sia agli scenari o ai criteri di valutazione prestabiliti sia alle banche dati con i quali i dati del codice di prenotazione sono confrontati nell’ambito del trattamento automatizzato di tali dati, in modo da consentire di limitare, in gran parte e in modo non discriminatorio, il numero di persone «individuate» a quelle sulle quali grava un sospetto ragionevole di partecipazione a reati di terrorismo o a reati gravi di natura transnazionale;

–        l’accordo previsto specifichi che solo i funzionari dell’autorità canadese competente sono autorizzati ad accedere ai dati del codice di prenotazione e preveda criteri obiettivi che consentano di precisare il numero di tali funzionari;

–        l’accordo previsto precisi, in modo motivato, le ragioni obiettive che giustificano la necessità di conservare tutti i dati del codice di prenotazione dei passeggeri per un periodo massimo di cinque anni;

–        nel caso in cui il periodo massimo di cinque anni di conservazione dei dati del codice di prenotazione sia considerato necessario, l’accordo previsto garantisca la «spersonalizzazione» mediante mascheramento di tutti i dati PNR che consentono l’identificazione diretta di un passeggero aereo;

–        l’accordo previsto subordini l’esame effettuato dall’autorità canadese competente, relativo al livello di protezione garantito da altre autorità pubbliche canadesi e da quelle di paesi terzi, nonché l’eventuale decisione di comunicare, caso per caso, dati del codice di prenotazione a dette autorità, a un controllo ex ante da parte di un’autorità indipendente o da parte di un giudice;

–        l’intento di trasferire dati del codice di prenotazione di un cittadino di uno Stato membro dell’Unione europea a un’altra autorità pubblica canadese, o a un’autorità pubblica di un paese terzo, sia oggetto di una comunicazione preliminare alle autorità competenti dello Stato membro in questione e/o alla Commissione europea prima di qualsiasi comunicazione effettiva;

–        l’accordo previsto garantisca in modo sistematico, con una norma chiara e precisa, il controllo da parte di un’autorità indipendente, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea, del rispetto della vita privata e della protezione dei dati di carattere personale dei passeggeri i cui dati del codice di prenotazione sono oggetto di trattamento; e

–        l’accordo previsto precisi chiaramente che le domande di accesso, di rettifica e di annotazione di passeggeri non residenti nel territorio canadese possono essere presentate, o direttamente o mediante un ricorso amministrativo, a un’autorità pubblica indipendente.

3)      L’accordo previsto è incompatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea in quanto:

–        l’articolo 3, paragrafo 5, dell’accordo previsto consente, al di là di quanto è strettamente necessario, di estendere le possibilità di trattamento dei dati del codice di prenotazione, indipendentemente dalla finalità, indicata all’articolo 3 di detto accordo, di prevenzione e accertamento di reati di terrorismo e di reati gravi di natura transnazionale;

–        l’articolo 8 dell’accordo previsto prevede il trattamento, l’uso e la conservazione da parte del Canada di dati del codice di prenotazione contenenti dati delicati;

–        l’articolo 12, paragrafo 3, dell’accordo previsto concede al Canada, al di là di quanto è strettamente necessario, la facoltà di comunicare qualsiasi informazione purché si conformi a condizioni e limitazioni giuridiche ragionevoli;

–        l’articolo 16, paragrafo 5, dell’accordo previsto autorizza il Canada a conservare dati del codice di prenotazione per un periodo massimo di cinque anni, in particolare, per una determinata azione, revisione, indagine o un procedimento giudiziario, senza che sia richiesto un qualsivoglia collegamento con la finalità, indicata all’articolo 3 di detto accordo, di prevenzione e accertamento di reati di terrorismo e di reati gravi di natura transnazionale; e

–        l’articolo 19 dell’accordo previsto ammette che il trasferimento di dati del codice di prenotazione a un’autorità pubblica di un paese terzo possa essere realizzato senza che l’autorità canadese competente, sotto il controllo di un’autorità indipendente, si sia preventivamente assicurata che l’autorità pubblica ricevente del paese terzo in questione non possa essa stessa successivamente comunicare tali dati a un altro ente, eventualmente, di un altro paese terzo».


1      Lingua originale: il francese.


2      Proposta di decisione del Consiglio relativa alla conclusione dell’accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione [COM(2013) 528 final].


3      V. decisione 2012/381/UE del Consiglio, del 13 dicembre 2011, relativa alla conclusione dell’accordo tra l’Unione europea e l’Australia sul trattamento e sul trasferimento dei dati del codice di prenotazione (Passenger Name Record – PNR) da parte dei vettori aerei all’Agenzia australiana delle dogane e della protezione di frontiera (GU 2012, L 186, pag. 3).


4      V. decisione 2012/472/UE del Consiglio, del 26 aprile 2012, relativa alla conclusione dell’accordo tra gli Stati Uniti d’America e l’Unione europea sull’uso e il trasferimento delle registrazioni dei nominativi dei passeggeri al dipartimento degli Stati Uniti per la sicurezza interna (GU 2012, L 215, pag. 4).


5      V. posizione del Parlamento europeo definita in prima lettura il 14 aprile 2016 in vista dell’adozione della direttiva (UE) 2016/… del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi [EP‑PETC1‑COD(2011)0023].


6      V. paragrafi da 66 a 135 delle presenti conclusioni. Va osservato che, in seguito alla decisione della Corte, si tratterà anche della prima volta che la stessa beneficerà di «conclusioni», presentate e pubblicate prima dell’emissione del parere da parte della Corte.


7      V. decisione 2006/230/CE del Consiglio, del 18 luglio 2005, relativa alla conclusione di un accordo tra la Comunità europea e il governo del Canada sul trattamento dei dati API/PNR (GU 2006, L 82, pag. 14).


8      Direttiva del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).


9      Decisione della Commissione del 6 settembre 2005, che constata il livello di protezione adeguato dei dati personali contenuti nei PNR (Passenger Name Record) dei passeggeri aerei trasferiti all’Agenzia dei servizi di frontiera del Canada (Canada Border Services Agency — CBSA) (GU 2006, L 91, pag. 49).


10      In forza del suo articolo 7, la decisione 2006/253 è scaduta tre anni e sei mesi dopo la data della sua notifica. Tale decisione avrebbe potuto essere prorogata secondo la procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46; così non è tuttavia avvenuto.


11      V. articolo 5 dell’accordo del 2006.


12      GU 2011, C 81 E, pag. 70.


13      V. punti 7 e 9 di detta risoluzione.


14      Rispettivamente SEC(2010) 1082, SEC(2010) 1083 e SEC(2010) 1084.


15      V., rispettivamente, note a piè di pagina 3 e 4 delle presenti conclusioni.


16      Il testo completo del parere del GEPD in lingua tedesca, inglese e francese è disponibile al seguente indirizzo Internet: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2013/13‑09‑30_Canada_FR.pdf


17      Sebbene ciò non sia affatto in discussione, preciso, ad ogni buon conto, che l’oggetto della domanda di parere riguarda certamente un «accordo previsto», ai sensi dell’articolo 218, paragrafo 11, TFUE, in quanto l’accordo di cui trattasi nella fattispecie, benché già firmato dal Consiglio nel momento in cui la Corte è stata adita, in tale data, non era ancora concluso. V., al riguardo, parere 3/94, del 13 dicembre 1995 (EU:C:1995:436, punti 18 e 19).


18      V., in particolare, parere 1/75, dell’11 novembre 1975 (EU:C:1975:145), parere 1/08, del 30 novembre 2009 (EU:C:2009:739, punti 108 e 109), nonché parere 1/13, del 14 ottobre 2014 (EU:C:2014:2303, punto 43).


19      Senza che ciò sia contestato, aggiungo, ad ogni buon conto, che la Corte ha già dichiarato che la circostanza che l’atto di firma dell’accordo non sia stato oggetto di un ricorso di annullamento non rende irricevibile una domanda di parere che sollevi la questione della compatibilità di un accordo previsto con il diritto primario dell’Unione. V. in tal senso, parere 2/00, del 6 dicembre 2001 (EU:C:2001:664, punto 11).


20      V. parere 2/00, del 6 dicembre 2001 (EU:C:2001:664), e parere 1/08, del 30 novembre 2009 (EU:C:2009:739).


21      Parere 2/00, del 6 dicembre 2001 (EU:C:2001:664, punto 5), e parere 1/08, del 30 novembre 2009 (EU:C:2009:739, punto 110).


22      V., in tal senso, parere 2/00, del 6 dicembre 2001 (EU:C:2001:664, punto 5), e parere 1/08, del 30 novembre 2009 (EU:C:2009:739, punto 110).


23      V., in tal senso, parere 2/00, del 6 dicembre 2001 (EU:C:2001:664, punto 6).


24      V. parere 1/75, dell’11 novembre 1975 (EU:C:1975:145, pag. 1362).


25      V. sentenza dell’11 giugno 2014, Commissione/Consiglio (C‑377/12, EU:C:2014:1903, punto 34 e giurisprudenza ivi citata).


26      V., in particolare, sentenze del 6 novembre 2008, Parlamento/Consiglio (C‑155/07, EU:C:2008:605, punto 36), del 19 luglio 2012, Parlamento/Consiglio (C‑130/10, EU:C:2012:472, punto 44), del 24 giugno 2014, Parlamento/Consiglio (C‑658/11, EU:C:2014:2025, punto 43), e del 14 giugno 2016, Parlamento/Consiglio (C‑263/14, EU:C:2016:453, punto 44). Va osservato che, su tale punto, la giurisprudenza della Corte non sembra del tutto uniforme, in quanto talune sentenze si limitano, stranamente, a menzionare il perseguimento di vari obiettivi inscindibilmente connessi senza fare riferimento alle componenti dell’atto esaminato. V., ad esempio, sentenze del 29 aprile 2004, Commissione/Consiglio (C‑338/01, EU:C:2004:253, punto 56), e dell’11 giugno 2014, Commissione/Consiglio (C‑377/12, EU:C:2014:1903, punto 34).


27      V., in particolare, sentenze del 6 novembre 2008, Parlamento/Consiglio (C‑155/07, EU:C:2008:605, punti da 76 a 79), e del 19 luglio 2012, Parlamento/Consiglio (C‑130/10, EU:C:2012:472, punti da 45 a 49).


28      La base giuridica procedurale prescelta, ossia l’articolo 218, paragrafo 6, lettera a), punto v), TFUE, il quale esige che il Consiglio non possa adottare la decisione di conclusione di un accordo internazionale senza aver ottenuto la preventiva approvazione del Parlamento quando tale accordo riguarda «settori ai quali si applica la procedura legislativa ordinaria», non forma oggetto della domanda presentata dal Parlamento e non è oggetto di controversia tra le parti interessate. Tale disposizione risulta essere, infatti, la base giuridica procedurale adeguata dell’atto di stipulazione dell’accordo previsto.


29      V. sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346, punti da 57 a 59).


30      GU 2011, L 288, pag. 1.


31      Sentenza del 6 maggio 2014, Commissione/Parlamento e Consiglio (C‑43/12, EU:C:2014:298, punto 42).


32      Ai sensi della seconda frase di tale articolo dell’accordo previsto, «[s]i presume che un vettore aereo che trasferisce dati PNR al Canada in conformità del presente accordo rispetti i requisiti giuridici previsti dal diritto dell’Unione in materia di trasferimento dei dati dall’Unione europea al Canada».


33      L’articolo 20 dell’accordo previsto precisa in particolare che le parti contraenti «provvedono affinché i vettori aerei trasferiscano all’autorità canadese competente i dati PNR esclusivamente sulla base del metodo “push”» (il corsivo è mio).


34      L’articolo 21, paragrafo 1, dell’accordo previsto, relativo alla frequenza del trasferimento dei dati PNR stabilisce che «[i]l Canada provvede affinché l’autorità canadese competente imponga ai vettori aerei di trasferire i dati PNR» (il corsivo è mio).


35      V. paragrafo 21 delle presenti conclusioni.


36      V. anche, in senso analogo, conclusioni dell’avvocato generale Kokott nella causa Parlamento/Consiglio (C‑263/14, EU:C:2015:729, paragrafo 67).


37      V. sentenza del 6 maggio 2014, Commissione/Parlamento e Consiglio (C‑43/12, EU:C:2014:298, punti 48 e 49).


38      V., per analogia, sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346, punto 56)


39      L’articolo 23, paragrafo 2, dell’accordo previsto conferma l’importanza attribuita alla sicurezza dei cittadini dell’Unione, sottolineando che le parti contraenti cooperano al fine di garantire la coerenza dei loro rispettivi regimi di trattamento dei dati PNR in modo «da rafforzare ulteriormente la sicurezza dei cittadini del Canada [e] dell’Unione europea».


40      V. in tal senso, per analogia, sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346, punto 59).


41      V., in tal senso, sentenza del 10 febbraio 2009, Irlanda/Parlamento e Consiglio (C‑301/06, EU:C:2009:68, punto 83).


42      Il corsivo è mio.


43      V. preambolo della decisione 2012/381 e della decisione 2012/472, citate rispettivamente nelle note a piè di pagina 3 e 4 delle presenti conclusioni.


44      V., in particolare, sentenze del 10 gennaio 2006, Commissione/Consiglio (C‑94/03, EU:C:2006:2, punto 50), del 24 giugno 2014, Parlamento/Consiglio (C‑658/11, EU:C:2014:2025, punto 48), e del 18 dicembre 2014, Regno Unito/Consiglio (C‑81/13, EU:C:2014:2449, punto 36).


45      GU 2008, L 350, pag. 60.


46      V. conclusioni dell’avvocato generale Léger nelle cause riunite Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2005:710, paragrafo 160).


47      V. sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punti 28 e 45 e giurisprudenza ivi citata).


48      V. giurisprudenza citata nella nota a piè di pagina 27 delle presenti conclusioni.


49      Difatti, durante l’udienza, in risposta a una serie di quesiti posti dalla Corte, il rappresentante del Consiglio ha ammesso che i tre Stati membri interessati non avrebbero potuto votare sull’adozione di un atto per il quale non sarebbero stati vincolati. Peraltro, mi sembra incoerente, da parte di tale istituzione, propugnare, come ho evidenziato in precedenza, l’irricevibilità della seconda questione della domanda di parere sulla base del rilievo che la scelta dell’articolo 16 TFUE, quale base giuridica sostanziale dell’atto di conclusione dell’accordo previsto, non avrebbe alcuna incidenza in quanto la procedura di adozione delle misure basate su tale disposizione sarebbe identica a quelle previste, rispettivamente, dall’articolo 82, paragrafo 1, lettera a), TFUE e dall’articolo 87, paragrafo 2, lettera d), TFUE e sostenere, riguardo all’esame nel merito di tale questione, l’incompatibilità delle medesime procedure.


50      V. sentenze del 22 ottobre 2013, Commissione/Consiglio (C‑137/12, EU:C:2013:675, punto 73), e del 18 dicembre 2014, Regno Unito/Consiglio (C‑81/13, EU:C:2014:2449, punto 37).


51      V. sentenza del 19 luglio 2012, Parlamento/Consiglio (C‑130/10, EU:C:2012:472, punto 80).


52      Su quest’ultimo articolo, v. nota a piè di pagina 28 delle presenti conclusioni.


53      Il Parlamento fa un paragone, al riguardo, con l’approccio adottato nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 37).


54      Corte EDU, 1o luglio 2008, Liberty e a. c. Regno Unito (CE:ECHR:2008:0701JUD005824300, punto 63).


55      Espressioni utilizzate rispettivamente dai governi dell’Irlanda e del Regno Unito nelle loro risposte ai quesiti scritti posti dalla Corte.


56      Parimenti, la verifica del grado di indipendenza dell’«autorità di supervisione» istituita dall’accordo previsto necessita della presa in considerazione della normativa canadese. V., infra, paragrafi da 311 a 316 delle presenti conclusioni.


57      Ricordiamo, a titolo informativo, che, conformemente all’articolo 6, paragrafo 1, TUE, la Carta ha «lo stesso valore giuridico dei trattati».


58      V. su tale criterio di applicazione degli articoli 7 e 8 della Carta, sentenze del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 52), del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, punto 42), nonché del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670, punto 26).


59      V., in particolare, sentenze del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 47), nonché del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, punto 41).


60      Secondo le spiegazioni relative alla Carta dei diritti fondamentali (GU 2007, C 303, pag. 17), i diritti di cui all’articolo 7 della Carta «corrispondono» a quelli garantiti dall’articolo 8 della CEDU, mentre l’articolo 8 della Carta è «fondato» sia sull’articolo 8 della CEDU che sulla convenzione (n. 108) del Consiglio d’Europa sulla protezione delle persone fisiche rispetto al trattamento automatizzato di dati di carattere personale, del 28 gennaio 1981, ratificata da tutti gli Stati membri.


61      Sentenza del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 74).


62      Sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punti 34 e 35).


63      Sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punti 29 e 36).


64      V., in tal senso, sentenza del 3 settembre 2008, Kadi e Al Barakaat International Foundation/Consiglio e Commissione (C‑402/05 P e C‑415/05 P, EU:C:2008:461, punti 284 e 285).


65      V., in tal senso, sentenze del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 75), dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 33), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 87).


66      V., in tal senso, sentenze del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punto 75), dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 33), nonché del 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 87).


67      Secondo le informazioni trasmesse alla Corte, 28 milioni di passeggeri hanno usufruito dei collegamenti tra il Canada e l’Unione europea tra l’aprile 2014 e il marzo 2015.


68      Va osservato che, nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 37), la Corte ha dichiarato che le impressioni o i sentimenti ingenerati nel pubblico interessato da una normativa concernente il trattamento e la conservazione dei dati di carattere personale assumono una certa rilevanza nel contesto della valutazione della gravità dell’ingerenza nei diritti fondamentali garantiti dall’articolo 7 e dall’articolo 8, paragrafo 1, della Carta.


69      Come già rilevato, l’articolo 11, paragrafo 1, dell’accordo previsto fa solo riferimento a informazioni pubblicate sul sito Internet dell’autorità canadese competente, mentre il paragrafo 2 di tale disposizione menziona l’obbligo relativamente vago di lavorare per la promozione della trasparenza, preferibilmente nella fase di prenotazione, consistente nell’informare i passeggeri, in particolare, dei motivi della raccolta e dell’uso dei dati PNR.


70      V., in particolare, Corte EDU, 24 aprile 1990, Kruslin c. Francia (CE:ECHR:1990:0424JUD001180185, punto 27), nonché Corte EDU, 1o luglio 2008, Liberty e a. c. Regno Unito (CE:ECHR:2008:0701JUD005824300, punto 59).


71      V. Corte EDU, 1o dicembre 2015, Brito Ferrinho Bexiga Villa-Nova c. Portogallo (CE:ECHR:2015:1201JUD006943610, punto 47).


72      V. Corte EDU, 2 agosto 1984, Malone c. Regno Unito (CE:ECHR:0802JUD000869179, punto 66).


73      V. Corte EDU, 6 luglio 2010, Neulinger e Shuruk c. Svizzera (CE:ECHR:2010:0706JUD004161507, punto 99), nonché Corte EDU, 12 giugno 2014, Fernández Martínez c. Spagna (CE:ECHR:2014:0612JUD005603007, punto 118).


74      Sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 66).


75      Sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670, punto 35).


76      V., in particolare, sentenze del 3 giugno 2008, Intertanko e a. (C‑308/06, EU:C:2008:312, punto 42), nonché del 13 gennaio 2015, Consiglio e a./Vereniging Milieudefensie e Stichting Stop Luchtverontreiniging Utrecht (da C‑401/12 P a C‑403/12 P, EU:C:2015:4, punto 52).


77      V., in particolare, in tal senso, Corte EDU, 12 giugno 2014, Fernández Martínez c. Spagna (CE:ECHR:2014:0612JUD005603007, punto 117 e giurisprudenza ivi citata).


78      V., in generale, gli approfondimenti contenuti nei paragrafi da 217 a 320 delle presenti conclusioni.


79      V. sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 42).


80      V., in particolare, sentenze del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 74), nonché dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 46).


81      V. sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 48).


82      V. sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 78).


83      V., per analogia, sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 49).


84      Secondo le parti interessate, solo l’Air Canada garantirebbe collegamenti aerei tra la Danimarca e il Canada.


85      Poiché il Regno di Danimarca non partecipa all’accordo previsto, deve essere di conseguenza considerato un paese terzo ai fini di tale accordo, i cui rapporti di cooperazione tra l’autorità canadese competente e le proprie autorità sono disciplinati dall’articolo 19 dell’accordo previsto.


86      V., in tal senso, per analogia, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 77).


87      V., in tal senso, sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 54), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 91).


88      V., in tal senso, sentenze del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 86), nonché del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670, punto 46).


89      V., in tal senso, sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670, punto 53).


90      V. documento 9944, approvato dal Segretario generale dell’ICAO e pubblicato sotto la sua autorità. La versione inglese di tale documento è disponibile al seguente indirizzo Internet: www.iata.org/iata/passenger-data-toolkit/assets/doc_library/04-pnr/New Doc 9944 1st Edition PNR.pdf


91      V., al riguardo, punto 3.8 delle Guidelines on Advance Passenger Information (API), adottate nel 2010 sotto l’egida dell’Organizzazione mondiale delle dogane, dell’Associazione internazionale del trasporto aereo e dell’ICAO, accessibili al seguente indirizzo Internet: http://www.icao.int/Security/FAL/Documents/2010%20API%20Guidelines%20Final%20Version.ICAO.2011%20full%20x2.pdf. Nell’Unione europea, la raccolta delle API è disciplinata dalla direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU 2004, L 261, pag. 24).


92      V., in particolare, le informazioni contenute nel sito del Ministero canadese per la Cittadinanza e l’Immigrazione (Citizenship and Immigration Canada): www.cic.gc.ca/francais/visiter/demande-qui.asp.


93      GU 2006, L 105, pag. 54.


94      V. paragrafo 236 delle presenti conclusioni.


95      Esaminerò queste ultime due disposizioni in modo più dettagliato successivamente. V., rispettivamente, paragrafi da 292 a 294 e paragrafi da 274 a 290 delle presenti conclusioni.


96      V., sull’articolo 18 dell’accordo previsto, paragrafi da 295 a 304 delle presenti conclusioni.


97      Nel contesto dell’applicazione dell’articolo 8 della CEDU, la Corte EDU adotta il criterio dell’esistenza di un «sospetto ragionevole» che possa giustificare l’intercettazione delle comunicazioni private tra persone per motivi di salvaguardia della sicurezza pubblica. V., al riguardo, Corte EDU, 4 dicembre 2015, Zakharov c. Russia (CE:ECHR:2015:1204JUD004714306, punto 260).


98      V., su tale autorità, paragrafi da 311 a 313 delle presenti conclusioni.


99      V., su tale autorità, paragrafi da 311 a 313 delle presenti conclusioni.


100      V. Corte EDU, 12 gennaio 2016, Szabó e Vissy c. Ungheria (CE:ECHR:2016:0112JUD003713814, punto 77 e giurisprudenza ivi citata).


101      V. paragrafi da 306 a 321 delle presenti conclusioni.


102      Sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 68).


103      Sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punti da 62 a 64).


104      V. infra, paragrafi da 306 a 316 delle presenti conclusioni.


105      Va osservato tuttavia che l’articolo 16, paragrafo 5, lettera b), dell’accordo previsto stabilisce che la conservazione può essere prorogata per «un ulteriore periodo di due anni al solo fine di assicurare la responsabilità o il controllo della pubblica amministrazione cosicché tali dati possano essere comunicati al passeggero su sua richiesta». In quanto tale, detta proroga del periodo di conservazione, che non è stata oggetto di osservazioni delle parti interessate, non sembra sollevare questioni particolari, in quanto mira esclusivamente a tutelare i diritti del passeggero interessato dal trattamento dei suoi dati PNR.


106      V. paragrafo 224 delle presenti conclusioni.


107      Ossia, rispettivamente, «gli altri nomi che compaiono nel PNR, compreso il numero dei viaggiatori ivi inseriti», «tutte le informazioni di contatto disponibili (incluse quelle sull’originatore)», «le osservazioni generali, comprese le informazioni OSI (Other Supplementary Information), SSI (Special Service Information) e SSR (Special Service Request), nella misura in cui contengono informazioni che consentano l’identificazione di una persona fisica» e «i dati API (Advance Passenger Information) raccolti a fini di prenotazione, nella misura in cui contengono informazioni che consentano l’identificazione di una persona fisica».


108      V. paragrafo 267 delle presenti conclusioni.


109      V. paragrafi da 306 a 316 delle presenti conclusioni.


110      V., per analogia, sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 73).


111      V., rispettivamente, articolo 18, paragrafo 1, lettere da a) a d), e articolo 19, paragrafo 1, lettere da a) a d), dell’accordo previsto. Dall’articolo 18, paragrafo 2, e dall’articolo 19, paragrafo 3, dell’accordo previsto risulta che le garanzie disciplinate da tali disposizioni si applicano anche al trasferimento di informazioni analitiche contenenti dati PNR.


112      V., per analogia, Corte EDU, 12 gennaio 2016, Szabó e Vissy c. Ungheria, (CE:ECHR:2016:0112JUD003713814, punto 77).


113      Ad ogni buon conto, rilevo che l’articolo 19, paragrafo 1, lettera h), dell’accordo PNR concluso con l’Australia stabilisce che il trasferimento caso per caso di dati PNR a favore di un’autorità di un paese terzo può essere effettuato solo qualora l’Agenzia australiana delle dogane e della protezione di frontiera abbia accertato che l’autorità ricevente si è impegnata a non trasferire ad altri i dati PNR.


114      V., in tal senso, sentenze del 16 ottobre 2012, Commissione/Austria (C‑614/10, EU:C:2012:631, punti 36 e 37), dell’8 aprile 2014, Commissione/Ungheria (C‑288/12, EU:C:2014:237, punti 47 e 48), nonché del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 68).


115      Tale lettera costituisce, conformemente all’articolo 30, paragrafo 2, lettera b), dell’accordo previsto, la notifica per via diplomatica dell’identità delle due autorità di cui all’articolo 10 e all’articolo 14, paragrafo 1, di detto accordo.


116      L.R.C., 1985, ch. P‑21. La versione consolidata di tale legge, aggiornata al 16 marzo 2016, è disponibile sul sito del Ministero della Giustizia canadese: http://lois‑laws.justice.gc.ca.


117      Nel contesto dell’applicazione dell’articolo 8 della CEDU, la Corte EDU insiste sull’indipendenza di cui deve beneficiare l’autorità di controllo nei confronti dell’esecutivo. V., a proposito del controllo sulle intercettazioni delle comunicazioni private, Corte EDU, 4 dicembre 2015, Zakharov c. Russia, (CE:ECHR:2015:1204JUD004714306, punti 278 e 279).


118      Dalle disposizioni della legge sulla Canada Border Services Agency (L.C 2005, ch. 38) emerge quindi che il ministro è responsabile della CBSA (articolo 6, paragrafo 1), che il presidente della CBSA è incaricato della gestione di quest’ultima «sotto la direzione del ministro» (articolo 8, paragrafo 1) e che la CBSA esercita i poteri relativi alla legislazione sulle frontiere conferiti dalla legge «salvo istruzioni che possono essere impartite dal ministro» (articolo 12, paragrafo 1). Nessuna disposizione di detta legge menziona la Direzione ricorsi della CBSA e, a fortiori, non le attribuisce uno status particolare all’interno della CBSA. Il testo della legge, aggiornato al 16 marzo 2016, è consultabile sul sito del Ministero della Giustizia canadese: http://lois‑laws.justice.gc.ca.


119      Aggiungo che, una volta concluso l’accordo previsto, il suo articolo 26 prevede una verifica congiunta della sua attuazione un anno dopo la sua entrata in vigore e poi periodicamente, e in ogni caso quattro anni dopo la sua entrata in vigore. Qualora l’applicazione dell’articolo 14, paragrafo 2, di tale accordo creasse difficoltà, queste ultime potrebbero essere quindi valutate dalle parti contraenti ed eventualmente disciplinate ai sensi dell’articolo 25, paragrafo 1, di tale accordo o, in caso contrario, potrebbero indurre l’Unione a sospendere l’applicazione di detto accordo conformemente al procedimento di cui all’articolo 25, paragrafo 2, dell’accordo previsto. Peraltro, una volta che l’accordo previsto sia stato introdotto nell’ordinamento giuridico dell’Unione, nessuna di tali procedure pregiudicherebbe, a mio avviso, la possibilità per un giudice nazionale di uno Stato membro, eventualmente investito di una controversia relativa all’applicazione di tale accordo, di sottoporre alla Corte una questione pregiudiziale di validità della decisione di conclusione di detto accordo alla luce dell’articolo 5 dell’accordo previsto e delle circostanze verificatesi successivamente a tale decisione, analogamente a quanto ammesso dalla Corte al punto 77 della sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650) relativamente all’esame della validità di una decisione di adeguatezza della Commissione. La questione degli effetti dell’emanando parere della Corte nel presente caso sulla risposta a tale rinvio pregiudiziale di validità va oltre l’ambito delle presenti conclusioni.