CONCLUSIONI DELL’AVVOCATO GENERALE
PHILIPPE LÉGER
presentate il 22 novembre 2005 1(1)
Causa C-317/04
Parlamento europeo
contro
Consiglio dell’Unione europea
«Tutela delle persone fisiche riguardo al trattamento dei dati personali –Ricorso di annullamento – Decisione del Consiglio 2004/496/CE – Accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e il trasferimento di dati PNR (“Passenger Name Records”)»
Causa C-318/04
Parlamento europeo
contro
Commissione delle Comunità europee
«Ricorso d’annullamento – Decisione della Commissione 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti – Direttiva 95/46/CE»
Indice
I – Gli antefatti della controversia
II – Il contesto giuridico delle due cause
A – Il Trattato UE
B – Il trattato che istituisce la Comunità europea
C – Il diritto europeo della tutela dei dati personali
III – Le decisioni impugnate
A – La decisione sull’adeguatezza
B – La decisione del Consiglio
IV – I motivi sollevati dal Parlamento nelle due cause
V – Il ricorso diretto all’annullamento della decisione sull’adeguatezza (causa C‑318/04)
A – Il motivo attinente al presunto eccesso di potere da parte della Commissione nell’adottare la decisione sull’adeguatezza
1. Argomenti delle parti
2. Valutazione
B – Sui motivi attinenti alla violazione dei diritti fondamentali e alla violazione del principio di proporzionalità
VI – Il ricorso diretto all’annullamento della decisione del Consiglio (causa C-317/04)
A – Sul motivo attinente alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione del Consiglio
1. Argomenti delle parti
2. Valutazione
B – Sul motivo attinente alla violazione dell’art. 300, n. 3, secondo comma, CE, a causa di una modifica della direttiva 95/46
1. Argomenti delle parti
2. Valutazione
C – I motivi attinenti alla violazione del diritto alla protezione dei dati personali e alla violazione del principio di proporzionalità
1. Argomenti delle parti
2. Valutazione
a) L’esistenza di un’ingerenza nella vita privata
b) La giustificazione dell’ingerenza nella vita privata
i) L’ingerenza è prevista dalla legge?
ii) L’ingerenza persegue uno scopo legittimo?
iii) L’ingerenza è necessaria in una società democratica per raggiungere tale scopo?
D – Sul motivo attinente all’insufficiente motivazione della decisione del Consiglio
E – Sul motivo attinente alla violazione del principio di leale cooperazione sancito dall’art. 10 CE
VII – Sulle spese
VIII – Conclusione
1. Il Parlamento europeo ha sottoposto alla Corte due ricorsi d’annullamento ex art. 230 CE. Nella causa Parlamento/Consiglio (C‑317/04), il ricorso è diretto all’annullamento della decisione del Consiglio 17 maggio 2004, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti (2). Nella causa Parlamento/Commissione (C-318/04), il Parlamento chiede che venga annullata la decisione della Commissione 14 maggio 2004, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti United States’ Bureau of Customs and Border Protection (3).
2. In queste due cause la Corte è chiamata a pronunciarsi sul problema della tutela dei dati personali dei passeggeri aerei nel caso in cui, al fine di giustificare il trasferimento e il trattamento di tali dati in un Paese terzo, nella fattispecie gli Stati Uniti (4), vengono invocate ragioni imperative attinenti alla sicurezza pubblica e rientranti nel campo del diritto penale, come la prevenzione e la lotta contro il terrorismo ed altri gravi crimini.
3. Entrambi i procedimenti trovano origine in una serie di avvenimenti che appare opportuno ricapitolare sin d’ora. In seguito esaminerò dettagliatamente il contesto giuridico nel quale essi si inseriscono.
I – Gli antefatti della controversia
4. All’indomani degli attacchi terroristici dell’11 settembre 2001, gli Stati Uniti hanno adottato una legislazione che obbliga i vettori aerei che garantiscono collegamenti a destinazione, in partenza o attraverso il territorio statunitense a fornire alle autorità doganali americane un accesso elettronico ai dati contenuti nei loro sistemi automatici di prenotazione e di controllo delle partenze, denominato «Passenger Name Records» (in prosieguo: i «PNR») (5). Pur riconoscendo la legittimità degli interessi di sicurezza in gioco, la Commissione delle Comunità europee, sin dal giugno 2002, comunicava alle autorità statunitensi, a partire dal giugno 2002, che tali disposizioni rischiavano di entrare in contrasto con la legislazione comunitaria e con quella degli Stati membri in materia di tutela dei dati personali, nonché con talune disposizioni del regolamento sull’utilizzazione dei sistemi telematici di prenotazione (SIR) (6). Le autorità statunitensi rinviavano l’entrata in vigore delle nuove disposizioni, rifiutandosi però di rinunciare ad imporre sanzioni alle compagnie aeree che non si fossero conformate alle suddette disposizioni successivamente al 5 marzo 2003. Da allora, numerose grandi compagnie aeree con sede negli Stati membri hanno fornito alle autorità americane l’accesso ai propri PNR.
5. La Commissione avviava con le autorità americane dei negoziati sfociati nella elaborazione di un documento contenente gli impegni assunti dal CBP, in vista dell’adozione di una decisione della Commissione avente ad oggetto la verifica dell’adeguatezza del livello di tutela dei dati personali offerto dagli Stati Uniti, sulla base dell’art. 25, n. 6, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (7).
6. Il 13 giugno 2003 il cosiddetto gruppo «articolo 29» sulla tutela dei dati (8) pronunciava un parere in cui esprimeva dubbi circa il livello di tutela garantito tramite detti impegni per il trattamento dei dati in oggetto (9). Tali dubbi venivano da esso reiterati in un successivo parere del 29 gennaio 2004 (10).
7. Il 1° marzo 2004 la Commissione sottoponeva al Parlamento il progetto di decisione sull’adeguatezza, accompagnato dal progetto della dichiarazione di impegno del CBP.
8. Il 17 marzo 2004 la Commissione trasmetteva al Parlamento, nell’ottica della consultazione di tale organismo ai sensi dell’art. 300, n. 3, primo comma, CE, una proposta di decisione del Consiglio dell’Unione europea avente ad oggetto la conclusione di un accordo tra la Comunità e gli Stati Uniti. Con lettera datata 25 marzo 2004 il Consiglio, riferendosi alla procedura d’urgenza prevista dall’art. 112 del regolamento del Parlamento (divenuto in seguito art. 134), chiedeva al Parlamento di esprimere un parere su tale proposta al più tardi entro il 22 aprile 2004. Nella sua lettera, il Consiglio sottolineava che «[l]a lotta contro il terrorismo, che giustifica le misure proposte, costituisce una priorità fondamentale dell’Unione europea. Attualmente, i vettori aerei e i passeggeri si trovano in una situazione di incertezza cui è urgente porre rimedio. È inoltre essenziale tutelare gli interessi economici delle parti interessate».
9. Il 31 marzo 2004, in attuazione dell’art. 8 della decisione del Consiglio 28 giugno 1999, recante modalità per l’esercizio delle competenze di esecuzione conferite alla Commissione (11), il Parlamento adottava una risoluzione in cui esprimeva un certo numero di riserve di carattere giuridico in ordine a detto approccio. In particolare, ritenendo che il progetto di decisione sull’adeguatezza eccedesse le competenze conferite alla Commissione dall’art. 25 della direttiva 95/46, ha auspicato la conclusione di un accordo internazionale adeguato che rispettasse i diritti fondamentali e ha chiesto alla Commissione di sottoporgli un nuovo progetto di decisione. Il Parlamento si riservava inoltre di adire la Corte per chiederle di verificare la legittimità dell’accordo internazionale in oggetto e, in particolare, la sua compatibilità con la tutela del diritto al rispetto della vita privata.
10. Su richiesta del suo presidente, il 21 aprile 2004 il Parlamento approvava una raccomandazione della commissione giuridica e del mercato interno avente ad oggetto la richiesta alla Corte di un parere sulla compatibilità del detto accordo con il Trattato, ai sensi dell’art. 300, n. 6, CE, procedura che veniva avviata lo stesso giorno. Il Parlamento inoltre decideva in pari data di rinviare alla commissione il rapporto sulla proposta di decisione del Consiglio, respingendo così implicitamente, in questa fase, la domanda d’urgenza presentata dal Consiglio il 25 marzo 2004.
11. Il 28 aprile 2004 il Consiglio, sulla base dell’art. 300, n. 3, primo comma, CE, inviava al Parlamento una lettera chiedendogli di emettere il suo parere sulla conclusione dell’accordo entro il 5 maggio 2004. A fondamento dell’urgenza, il Consiglio ripeteva i motivi indicati nella sua lettera del 25 marzo 2004 (12).
12. Il 30 aprile 2004 il cancelliere della Corte comunicava al Parlamento che nella richiesta di parere n. 1/04 il termine per il deposito delle osservazioni degli Stati membri, del Consiglio e della Commissione era stato fissato al 4 giugno 2004.
13. Il 4 maggio 2004 il Parlamento respingeva la domanda d’urgenza sottopostagli dal Consiglio il 28 aprile (13). Due giorni dopo, il Presidente del Parlamento chiedeva al Consiglio e alla Commissione di non proseguire nei loro intenti fintanto che la Corte non avesse reso il parere sollecitato il 21 aprile 2004.
14. Il 14 maggio 2004, la Commissione adottava la decisione relativa al livello adeguato di tutela dei dati personali contenuti nei fascicoli dei passeggeri aerei trasferiti al CBP, sulla base dell’art. 25, n. 6, della direttiva 95/46.
15. Il 17 maggio 2004, il Consiglio adottava la decisione riguardante la conclusione di un accordo tra la Comunità e gli Stati Uniti in merito al trattamento e al trasferimento di dati PNR da parte di vettori aerei al CBP.
16. Con lettera datata 9 luglio 2004, il Parlamento comunicava alla Corte il ritiro della sua richiesta di parere n. 1/04 (14). Successivamente, esso decideva di dare un seguito contenzioso alle controversie che lo vedevano opposto al Consiglio e alla Commissione.
II – Il contesto giuridico delle due cause
A – Il Trattato UE
17. Ai sensi dell’art. 6 del Trattato UE:
«1. L’Unione si fonda sui principi di libertà, democrazia, rispetto dei diritti dell’uomo e delle libertà fondamentali e dello stato di diritto, principi che sono comuni agli Stati membri.
2. L’Unione rispetta i diritti fondamentali quali sono garantiti dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 e quali risultano dalle tradizioni costituzionali comuni degli Stati membri, in quanto principi generali del diritto comunitario.
(…)»
B – Il trattato che istituisce la Comunità europea
18. L’articolo 95, n. 1, CE, dispone:
«In deroga all’articolo 94 e salvo che il presente trattato non disponga diversamente, si applicano le disposizioni seguenti per la realizzazione degli obiettivi dell’articolo 14. Il Consiglio, deliberando in conformità della procedura di cui all’articolo 251 e previa consultazione del Comitato economico e sociale, adotta le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno».
19. Per quanto riguarda la procedura di conclusione di accordi internazionali da parte della Comunità, l’art. 300, n. 2, primo comma, CE, dispone, alla prima frase, che «[f]atte salve le competenze riconosciute alla Commissione in questo settore, la firma (...) e la conclusione degli accordi sono decise dal Consiglio, che delibera a maggioranza qualificata su proposta della Commissione».
20. L’art. 300, n. 3, recita nel modo seguente:
«Il Consiglio conclude gli accordi previa consultazione del Parlamento europeo, salvo per gli accordi di cui all’articolo 133, paragrafo 3, inclusi i casi in cui l’accordo riguarda un settore per il quale è richiesta sul piano interno la procedura di cui all’articolo 251 o quella di cui all’articolo 252. Il Parlamento europeo formula il suo parere nel termine che il Consiglio può fissare in funzione dell’urgenza. In mancanza di parere entro detto termine il Consiglio può deliberare.
In deroga al comma precedente, gli accordi di cui all’articolo 310, nonché gli altri accordi che creano un quadro istituzionale specifico organizzando procedure di cooperazione, gli accordi che hanno ripercussioni finanziarie considerevoli per la Comunità e gli accordi che implicano la modifica di un atto adottato secondo la procedura di cui all’articolo 251 sono conclusi previo parere conforme del Parlamento europeo.
In caso d’urgenza, il Consiglio e il Parlamento europeo possono concordare un termine per il parere conforme».
C – Il diritto europeo della tutela dei dati personali
21. L’art. 8 della convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (in prosieguo: la «CEDU») dispone:
«1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.
2. Non può esservi ingerenza di un’autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, al benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui».
22. Il diritto europeo della tutela dei dati è stato definito inizialmente nell’ambito del Consiglio d’Europa. La convenzione per la tutela delle persone riguardo al trattamento informatico dei dati di carattere personale è stata difatti aperta alla firma degli Stati membri del Consiglio d’Europa il 28 gennaio 1981 a Strasburgo (15). Scopo di tale convenzione è quello di garantire, nel territorio di ognuna delle Parti contraenti, ad ogni persona fisica, indipendentemente dalla cittadinanza o dalla residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali e, in particolare, del suo diritto alla vita privata, con riferimento al trattamento informatico dei dati di carattere personale che la riguardino.
23. Quanto all’Unione europea, oltre all’art. 7, relativo al rispetto della vita privata e della vita familiare, l’art. 8 della Carta dei diritti fondamentali dell’Unione europea (16) è dedicato specificamente alla tutela dei dati di carattere personale. Esso recita nel seguente modo:
«1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».
24. Per quel che riguarda il diritto comunitario primario, l’art. 286 CE, n. 1, dispone che «[a] decorrere dal 1° gennaio 1999 gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati si applicano alle istituzioni e agli organismi istituiti dal presente trattato o sulla base del medesimo» (17).
25. Nel diritto comunitario derivato, la norma fondamentale in materia è la direttiva 95/46 (18). Il suo rapporto di filiazione con i testi emanati dal Consiglio d’Europa emerge esplicitamente dal decimo e dall’undicesimo ‘considerando’ della direttiva stessa. Il decimo ‘considerando’ dispone infatti che «le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della [CEDU] e dai principi generali del diritto comunitario; (...) pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità». L’undicesimo ‘considerando’ della direttiva 95/46 indica inoltre che «i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed ampliano quelli enunciati dalla convenzione [n. 108]».
26. Adottata sulla base dell’art. 100 A del Trattato CE (divenuto, in seguito a modifica, art. 95 CE), la direttiva 95/46 trova origine nell’idea espressa nel suo terzo ‘considerando’, ai sensi del quale «l’instaurazione e il funzionamento del mercato interno (...) esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona». Più precisamente, il legislatore comunitario è partito dall’affermazione secondo la quale «il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata, garantiti negli Stati membri relativamente al trattamento di dati personali può impedire la trasmissione dei dati stessi fra territori degli Stati membri» (19), cosa che può, in particolare, costituire un ostacolo all’esercizio di una serie di attività su scala comunitaria e falsare la concorrenza. Il legislatore comunitario ha quindi ritenuto che «per eliminare gli ostacoli alla circolazione dei dati personali, il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento di tali dati deve essere equivalente in tutti gli Stati membri» (20). Come risultato di tale approccio, «data la protezione equivalente derivante dal ravvicinamento delle legislazioni nazionali, gli Stati membri non potranno più ostacolare la libera circolazione tra loro di dati personali per ragioni inerenti alla tutela dei diritti e delle libertà delle persone fisiche, segnatamente del diritto alla vita privata» (21).
27. L’art. 1 della direttiva 95/46, intitolato «Oggetto della direttiva» applica il suddetto approccio nei termini seguenti:
«1. Gli Stati membri garantiscono, conformemente alle disposizioni della presente direttiva, la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali.
2. Gli Stati membri non possono restringere o vietare la libera circolazione dei dati personali tra Stati membri, per motivi connessi alla tutela garantita a norma del paragrafo 1».
28. L’art. 2 della detta direttiva definisce nello specifico le nozioni di «dati personali», «trattamento di dati personali» e «responsabile del trattamento».
29. Ai sensi dell’art. 2, lett. a), della direttiva 95/46, per dati personali si intende, infatti, «qualsiasi informazione concernente una persona fisica identificata o identificabile (...); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale».
30. Secondo l’art. 2, lett. b), della suddetta direttiva, un trattamento di tali dati comprende «qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione».
31. L’art. 2, lett. d), della direttiva 95/46 definisce come responsabile del trattamento «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali (...)».
32. Per quanto riguarda l’ambito ratione materiae di applicazione della direttiva 95/46, l’art. 3, n. 1 dispone che le disposizioni di quest’ultima «si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi».
33. L’art. 3, n. 2, della direttiva permette di individuare uno dei limiti dell’ambito di applicazione ratione materiae della stessa, stabilendo quanto segue:
«Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:
– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
(...)».
34. Il capo II della direttiva 95/46 è dedicato alle «[c]ondizioni generali di liceità dei trattamenti di dati personali». All’interno del capo, la sezione I verte sui «[p]rincipi relativi alla qualità dei dati». L’art. 6 della direttiva elenca questi principi in termini di lealtà, liceità, finalità, adeguatezza e esattezza dei trattamenti di dati personali: il tenore dell’articolo è il seguente:
«1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità (...);
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
d) esatti e, se necessario, aggiornati (...);
e) conservati in modo da consentire l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati (...).
2. Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1».
35. La sezione II del capo 2 della direttiva è dedicata invece ai «[p]rincipi relativi alla legittimazione del trattamento dei dati». L’art. 7, che costituisce tale sezione, recita nel modo seguente:
«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:
a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile,
oppure
b) è necessario all’esecuzione del contratto concluso con la persona interessata o all’esecuzione di misure precontrattuali prese su richiesta di tale persona,
oppure
c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento
(...)».
36. Per quel che riguarda i dati personali comunemente qualificati come «sensibili», l’art. 8, n. 1, sancisce il principio del divieto di trattamento. Esso dispone infatti che «[g]li Stati membri vietano il trattamento di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale». Questo principio incontra peraltro numerose eccezioni il cui contenuto e il cui regime sono esposti in dettaglio nei paragrafi successivi del medesimo articolo.
37. Ai sensi dell’art. 13, n. 1, della direttiva 95/46, intitolato «Deroghe e restrizioni»:
«Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell’articolo 6, paragrafo 1, dell’articolo 10, dell’articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o dell’Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l’esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle libertà altrui».
38. Il legislatore comunitario voleva inoltre che il regime di tutela così istituito non fosse messo in discussione quando i dati valicano i confini del territorio comunitario. È risultato difatti che la dimensione internazionale dei flussi di informazione (22) renderebbe insufficiente, se non inutile, l’esistenza di una normativa la cui efficacia territoriale fosse limitata alla Comunità. Il legislatore comunitario ha quindi optato per un sistema che, per consentire il trasferimento di dati personali verso un paese terzo, impone a quest’ultimo paese di garantire per i suddetti dati un «livello di protezione adeguato».
39. Il legislatore comunitario detta così la regola in base alla quale «deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato» (23).
40. In quest’ottica, l’art. 25 della direttiva 95/46 detta i principi cui sono soggetti i trasferimenti di dati personali verso paesi terzi:
«1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione».
41. Occorre infine indicare che, nell’ambito del titolo VI del Trattato UE, relativo alla cooperazione di polizia e giudiziaria in materia penale, la protezione dei dati personali è disciplinata da diversi strumenti specifici. In particolare, si tratta di strumenti che istituiscono sistemi di informazione comuni a livello europeo, come la convenzione di applicazione dell’Accordo di Schengen (24), contenente disposizioni specifiche sulla tutela dei dati nell’ambito del sistema di informazione Schengen (SIS) (25); la convenzione basata sull’art. K.3 del trattato sull’Unione europea, che istituisce un ufficio europeo di polizia (26); la decisione del Consiglio che istituisce Eurojust (27) e le disposizioni del regolamento interno dell’Eurojust relative al trattamento e alla protezione dei dati personali (28); la convenzione elaborata in base all’art. K.3 del trattato sull’Unione europea, sull’uso dell’informatica nel settore doganale, contenente disposizioni relative alla tutela dei dati personali applicabili al sistema di informazione delle dogane (29) e la convenzione relativa all’assistenza giudiziaria in materia penale tra gli Stati membri dell’Unione europea (30).
42. Il 4 ottobre 2005, la Commissione ha presentato una proposta di decisione-quadro del Consiglio, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia e in materia penale (31).
III – Le decisioni impugnate
43. Prenderò in esame le due decisioni impugnate seguendo l’ordine cronologico in cui sono state adottate.
A – La decisione sull’adeguatezza
44. La decisione sull’adeguatezza è stata adottata dalla Commissione sulla base dell’art. 25, n. 6, della direttiva 95/46 che, lo ricordo, le conferisce il potere di accertare che un paese terzo garantisce un livello adeguato di protezione dei dati personali (32). Come indicato dal secondo ‘considerando’ della decisione, «[s]ulla base di tale constatazione, dati personali possono essere trasmessi dagli Stati membri senza che sia necessaria alcuna garanzia supplementare».
45. Nell’undicesimo ‘considerando’ della decisione, la Commissione spiega che «[i]l trattamento da parte del CBP dei dati personali contenuti nei PNR dei passeggeri aerei che gli sono inviati è disciplinato dalle disposizioni che figurano nella “Dichiarazione d’impegno del ministero della Sicurezza interna (Department for Homeland Security) – Ufficio delle dogane e della protezione delle frontiere (CBP) dell’11 maggio 2004” (…) e dalla legislazione americana, alle condizioni previste dalla dichiarazione d’impegno». Difatti, al ‘considerando’ 14 della decisione la Commissione osserva che «[i] criteri in virtù dei quali il CBP tratta i dati PNR dei passeggeri sulla base della legislazione americana e della dichiarazione d’impegno comprendono i principi fondamentali necessari per assicurare un livello di protezione adeguato delle persone fisiche».
46. Di conseguenza, l’art. 1 della decisione sull’adeguatezza dispone:
«Ai fini dell’articolo 25, paragrafo 2, della direttiva 95/46/CE, [il CBP] è considerato in grado di garantire un livello di protezione adeguato dei dati delle schede nominative dei passeggeri (…) trasmessi dalla Comunità per quanto riguarda i voli con destinazione o partenza dagli Stati Uniti, conformemente alla dichiarazione d’impegno che figura nell’allegato».
47. Inoltre, l’art. 3 della decisione sull’adeguatezza prevede che il trasferimento di dati al CBP possa essere sospeso su iniziativa delle autorità competenti degli Stati membri nelle condizioni seguenti:
«1. Fatti salvi i poteri che consentono loro di adottare misure volte a garantire il rispetto delle disposizioni nazionali adottate conformemente alle disposizioni diverse dall’articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri possono esercitare i poteri di cui dispongono attualmente per sospendere la trasmissione di dati al CBP al fine di proteggere le persone fisiche per quanto riguarda il trattamento dei loro dati personali in uno dei casi seguenti:
a) quando un’autorità degli Stati Uniti competente ha accertato che il CBP non rispetta le norme in materia di protezione;
b) quando è probabile che le norme di protezione stabilite nell’allegato I non siano rispettate; quando vi sono motivi ragionevoli di credere che il CBP non adotta o non adotterà, in tempi opportuni, le misure che s’impongono per regolare il caso in questione; quando il proseguimento della trasmissione di dati comporterebbe un rischio imminente di grave pregiudizio per le persone interessate e le autorità competenti dello Stato membro si sono ragionevolmente sforzate, in tali circostanze, di avvertire il CBP e di dargli la possibilità di rispondere.
2. La sospensione della trasmissione cessa dal momento in cui è garantita l’applicazione delle norme di protezione e l’autorità competente interessata negli Stati membri ne è avvertita».
48. Gli Stati membri debbono informare la Commissione circa le misure adottate ai sensi dell’art. 3 della decisione sull’adeguatezza. Inoltre, in forza dell’art. 4, n. 2, della decisione stessa, gli Stati membri e la Commissione si informano reciprocamente in merito a qualsiasi modificazione delle norme di protezione e ai casi nei quali dette norme non appaiano sufficientemente rispettate. A seguito di tali scambi di informazioni, l’art. 4, n. 3, della decisione sull’adeguatezza stabilisce che «[s]e le informazioni raccolte in virtù dell’articolo 3 e dei paragrafi 1 e 2 del presente articolo dimostrano che principi fondamentali necessari per assicurare un livello di protezione adeguato delle persone fisiche non sono più rispettati, o che un qualunque organismo incaricato di assicurare il rispetto da parte del CBP delle norme di protezione stabilite nell’allegato non svolge efficacemente la sua missione, il CBP ne sarà informato e, se necessario, si applica la procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di revocare o sospendere la presente decisione».
49. Peraltro, l’art. 5 della decisione sull’adeguatezza dispone che la sua applicazione sarà soggetta a controllo e stabilisce che «le constatazioni relative sono comunicate al comitato istituito dall’articolo 31 della direttiva 95/46/CE».
50. Inoltre, come stabilito dall’art. 7, la decisione sull’adeguatezza «scade tre anni e sei mesi dopo la data della sua notificazione, a meno che la sua vigenza non sia prorogata secondo la procedura di cui all’articolo 31, paragrafo 2, della direttiva 95/46/CE».
51. Alla decisione è allegata la dichiarazione di impegno del CBP il cui scopo, come precisato nell’introduzione, è di «sostenere il progetto» della Commissione diretto a riconoscere l’esistenza di un livello di protezione adeguato dei dati trasferiti al CBP. Tale dichiarazione, che consta in complesso di 48 paragrafi, «non crea o conferisce alcun diritto o beneficio a persone fisiche o giuridiche, private o pubbliche» (33).
52. Nel prosieguo del mio ragionamento, indicherò il contenuto sostanziale degli impegni che rilevano per la soluzione della controversia.
53. Infine, la decisione sull’adeguatezza contiene un allegato «A» che elenca le 34 rubriche dei dati PNR richiesti dal CBP alle compagnie aeree (34).
54. La decisione della Commissione è completata dalla decisione del Consiglio relativa alla conclusione di un accordo internazionale tra la Comunità europea e gli Stati Uniti.
B – La decisione del Consiglio
55. La decisione del Consiglio è stata adottata sulla base dell’art. 95, in combinato disposto con l’art. 300, n. 2, primo comma, prima frase, CE.
56. Il primo ‘considerando’ dispone che «[i]l 23 febbraio 2004 il Consiglio ha autorizzato la Commissione a negoziare, in nome della Comunità, un accordo con gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche (PNR) da parte dei vettori aerei al [CBP]» (35). Il secondo ‘considerando’ di tale decisione spiega che «[i]l Parlamento europeo non ha espresso il suo parere nel termine fissato dal Consiglio, ai sensi dell’articolo 300, paragrafo 3, primo comma del trattato, dato l’urgente bisogno di porre rimedio alla situazione di incertezza in cui si trovano le compagnie aeree ed i passeggeri, nonché di proteggere gli interessi finanziari degli interessati».
57. Ai sensi dell’art. 1 della decisione del Consiglio, l’accordo è approvato in nome della Comunità. L’art. 2 autorizza, inoltre, il Presidente del Consiglio a designare le persone abilitate a firmare l’accordo in nome della Comunità.
58. Il testo dell’accordo è allegato alla decisione del Consiglio. Ai sensi dell’art. 7, tale accordo entra in vigore all’atto della sua firma. Conformemente a detto articolo, l’accordo, firmato a Washington il 28 maggio 2004, è entrato in vigore lo stesso giorno (36).
59. Nel preambolo dell’accordo, la Comunità e gli Stati Uniti riconoscono «l’importanza di rispettare i diritti e le libertà fondamentali, in particolare il diritto alla vita privata, e l’importanza di rispettare tali valori nella prevenzione e nella lotta contro il terrorismo e i reati ad esso connessi, nonché altri reati gravi di natura transnazionale, tra cui la criminalità organizzata».
60. Sempre nel preambolo dell’accordo viene fatta menzione della direttiva 95/46, e in particolare l’art. 7, lett. c), della stessa, degli impegni assunti dal CBP e della decisione sull’adeguatezza (37).
61. Le Parti contraenti sottolineano inoltre che «i vettori aerei dotati di sistemi di prenotazione/controllo situati nel territorio degli Stati membri della Comunità europea dovrebbero provvedere a trasmettere i dati PNR al CBP non appena ciò sia tecnicamente possibile, ma che, fino a quel momento, dovrebbe essere consentito alle autorità statunitensi di accedere direttamente a tali dati, ai sensi delle disposizioni del presente accordo» (38).
62. Difatti, il paragrafo 1 dell’accordo dispone che «[i]l CBP può accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione/controllo (…) dei vettori aerei situati nel territorio degli Stati membri della Comunità europea, in assoluta conformità della decisione [(39)], per tutto il periodo in cui la decisione è applicabile e solo finché non sia in vigore un sistema soddisfacente che permetta la trasmissione di tali dati da parte dei vettori aerei».
63. A complemento del potere di accedere direttamente ai dati PNR in tal modo accordato al CBP, il paragrafo 2 dell’accordo impone ai vettori aerei che assicurano il trasporto internazionale di passeggeri da o per gli Stati Uniti di trattare i dati PNR contenuti nei loro sistemi automatizzati di prenotazione «come richiesto dal CBP ai sensi della normativa statunitense, in assoluta conformità della decisione [(40)] e per tutto il periodo in cui la decisione è applicabile».
64. Inoltre, al paragrafo 3 dell’accordo si precisa che il CBP «prende nota» della decisione sull’adeguatezza e «attesta che sta attuando le dichiarazioni di impegno allegate a detta decisione». Ancora, il paragrafo 4 dell’accordo prevede che «[i]l CBP tratta i dati PNR ricevuti e i titolari dei dati interessati da tale trattamento in conformità delle leggi e degli obblighi costituzionali statunitensi applicabili, senza discriminazioni illegittime, in particolare in base alla nazionalità e al paese di residenza».
65. Inoltre, il CBP e la Comunità si impegnano ad esaminare congiuntamente e su base periodica l’attuazione dell’accordo (41). Esso prevede altresì che «[q]ualora nell’Unione europea sia istituito un sistema di identificazione dei passeggeri aerei in forza del quale i vettori aerei siano tenuti a fornire alle autorità l’accesso ai dati PNR delle persone il cui itinerario di viaggio preveda un volo da o per l’Unione europea, il DHS [Department of Homeland Security], per quanto fattibile e unicamente su una base di reciprocità, promuove attivamente la cooperazione dei vettori aerei rientranti nella sua giurisdizione» (42).
66. Il paragrafo 7 dell’accordo, stabilisce che quest’ultimo entra in vigore all’atto della sua firma e precisa che ciascuna parte può denunciarlo in qualsiasi momento. In tal caso, l’accordo cessa di essere in vigore 90 giorni dopo la data della notifica di tale denuncia all’altra parte. Lo stesso paragrafo prevede inoltre che l’accordo può essere modificato in ogni momento mediante accordo scritto di entrambe le parti.
67. Infine, il paragrafo 8 dell’accordo dispone: «[i]l presente accordo non intende derogare o apportare modifiche alla normativa delle parti; esso non crea né conferisce alcun diritto o beneficio ad altre persone o enti, pubblici o privati».
IV – I motivi sollevati dal Parlamento nelle due cause
68. Nella causa C-317/04 il Parlamento solleva sei motivi contro la decisione del Consiglio:
– la scelta erronea dell’art. 95 CE come fondamento giuridico;
– la violazione dell’art. 300, n. 3, secondo comma, CE, a causa di una modifica della direttiva 95/46;
– la violazione del diritto alla tutela dei dati personali;
– la violazione del principio di proporzionalità;
– la motivazione insufficiente della decisione controversa;
– la violazione del principio di leale cooperazione sancito dall’art. 10 CE.
69. Il Regno Unito di Gran Bretagna e Irlanda del Nord è stato ammesso, assieme alla Commissione, ad intervenire a sostegno delle conclusioni del Consiglio (43). Il garante europeo della protezione dei dati (in prosieguo: il «garante») è stato ammesso ad intervenire a sostegno delle conclusioni del Parlamento (44).
70. Nella causa C-318/04, il Parlamento solleva quattro motivi contro la decisione sull’adeguatezza:
– l’eccesso di potere;
– la violazione dei principi fondamentali della direttiva 95/46;
– la violazione dei diritti fondamentali;
– la violazione del principio di proporzionalità.
71. Il Regno Unito è stato ammesso ad intervenire a sostegno delle conclusioni della Commissione (45). Inoltre, il garante è stato ammesso ad intervenire a sostegno delle conclusioni del Parlamento (46).
72. Procederò ad analizzare i due ricorsi seguendo l’ordine di adozione delle decisioni. Prenderò quindi in esame in primo luogo il ricorso diretto all’annullamento della decisione sull’adeguatezza (causa C‑318/04) e, in secondo luogo, quello diretto all’annullamento della decisione del Consiglio (causa C‑317/04).
V – Il ricorso diretto all’annullamento della decisione sull’adeguatezza (causa C‑318/04)
A – Il motivo attinente al presunto eccesso di potere da parte della Commissione nell’adottare la decisione sull’adeguatezza
1. Argomenti delle parti
73. A sostegno di tale motivo il Parlamento afferma, in primo luogo, che la decisione sull’adeguatezza, prevedendo la realizzazione di uno scopo rientrante nell’ambito della sicurezza pubblica e del diritto penale, viola la direttiva 95/46, in quanto riguarda un settore che esula dall’ambito di applicazione ratione materiae della suddetta direttiva. Tale esclusione sarebbe prevista esplicitamente dall’art. 3, n. 2, primo trattino, della direttiva 95/46 e non si presterebbe ad interpretazioni che possano ridurne la portata. La circostanza che i dati personali siano stati raccolti durante l’esercizio di un’attività economica, vale a dire la vendita di un biglietto aereo che dà diritto ad una prestazione di servizi, non è sufficiente a giustificare l’applicazione della detta direttiva, e in particolare dell’art. 25 della stessa, in un settore che esula dal suo ambito di applicazione.
74. In secondo luogo, il Parlamento sostiene che il CBP non è un paese terzo ai sensi dell’art. 25 della direttiva 95/46. Il n. 6 di tale articolo prescrive che una decisione con cui la Commissione constata un livello adeguato di protezione dei dati personali deve riguardare un «paese terzo», ossia uno Stato o un’entità assimilata, e non un’unità o una componente amministrativa facente parte del potere esecutivo di uno Stato.
75. In terzo luogo, il Parlamento ritiene che l’adozione, da parte della Commissione, della decisione sull’adeguatezza integri gli estremi dell’eccesso di potere in quanto la dichiarazione di impegno ad essa allegata consente espressamente la trasmissione di dati PNR da parte del CBP ad altre autorità governative statunitensi o straniere.
76. In quarto luogo, secondo il Parlamento la decisione sull’adeguatezza implica limiti e deroghe ai principi sanciti nella direttiva 95/46, mentre l’art. 13 di quest’ultima riserva tale potere unicamente agli Stati membri. Pertanto, adottando la decisione sull’adeguatezza la Commissione si sarebbe sostituita agli Stati membri, violando in tal modo l’art. 13 della direttiva stessa. Tramite un provvedimento di esecuzione della direttiva 95/46, la Commissione si sarebbe arrogata competenze rigorosamente riservate agli Stati membri.
77. In quinto luogo, il Parlamento espone l’argomento secondo il quale la messa a disposizione dei dati effettuata tramite il sistema «pull» (estrazione) non costituirebbe un «trasferimento» ai sensi dell’art. 25 della direttiva 95/46 e sarebbe pertanto inammissibile.
78. Infine, tenuto conto dell’interdipendenza tra la decisione sull’adeguatezza e l’accordo, la suddetta decisione, secondo tale istituzione, dovrebbe essere considerata come una misura non adeguata ai fini dell’imposizione del trasferimento di dati PNR.
79. Secondo il garante, a differenza del Parlamento, concedere accesso ai dati ad una persona o ad un’istituzione di un paese terzo può considerarsi come costitutivo di un trasferimento e pertanto l’art. 25 della direttiva 95/46 sarebbe applicabile. A suo avviso, difatti, limitare la nozione ad un trasferimento compiuto dal soggetto che effettua la spedizione permetterebbe di eludere le condizioni poste nel suddetto articolo e metterebbe a repentaglio la tutela dei dati dallo stesso prevista.
80. La Commissione, sostenuta dal Regno Unito, ritiene che le attività dei vettori aerei rientrino nell’ambito di applicazione del diritto comunitario e che, di conseguenza, la direttiva 95/46 resti applicabile nella sua interezza. Il sistema attuato nel quadro del trasferimento di dati PNR non avrebbe ad oggetto le attività di uno Stato membro o di autorità pubbliche che esulano dal campo di applicazione del diritto comunitario.
81. Inoltre, la Commissione osserva che l’accordo è stato firmato in nome degli Stati Uniti e non di un servizio governativo. Per quanto riguarda i successivi trasferimenti di dati PNR da parte del CBP, la Commissione ritiene che la protezione dei dati personali non sia incompatibile con l’autorizzazione di tali trasferimenti a condizione di subordinarli alle opportune e necessarie limitazioni.
82. Infine, secondo la Commissione l’art. 13 della direttiva 95/46 non è rilevante nella causa in oggetto e il «trasferimento» ai sensi dell’art. 25 di tale direttiva consiste, per i vettori aerei, nel mettere attivamente i dati PNR a disposizione del CBP. Il sistema esaminato pertanto comporterebbe effettivamente un trasferimento di dati ai sensi della direttiva 95/46.
2. Valutazione
83. Con questo primo motivo, il Parlamento sostiene che la decisione sull’adeguatezza viola la direttiva 95/46 e in particolare l’art. 3, n. 2, l’art. 13 e l’art. 25 della stessa. In particolare, esso sostiene che tale decisione non poteva essere validamente fondata sull’atto di base che costituisce la direttiva stessa.
84. Come ho già spiegato, la direttiva, in vista dell’instaurazione e del funzionamento del mercato interno, si pone lo scopo di eliminare gli ostacoli alla libera circolazione dei dati personali rendendo equivalente, negli Stati membri, il livello di protezione dei diritti e delle libertà delle persone riguardo al trattamento di tali dati.
85. Il legislatore comunitario ha voluto inoltre che il sistema di tutela così istituito non fosse messo a repentaglio quando i dati personali valicano i confini del territorio comunitario. Esso ha quindi optato per un sistema che, per consentire la realizzazione di un trasferimento di dati personali verso un paese terzo, impone al suddetto paese di garantire un livello adeguato di tutela dei dati stessi. La direttiva 95/46 sancisce infatti il principio in base al quale, se un paese terzo non offre un livello di protezione adeguato, il trasferimento di dati personali verso tale paese dev’essere vietato.
86. L’art. 25 della direttiva pone una serie di obblighi in capo agli Stati membri e alla Commissione diretti a controllare i trasferimenti di dati personali verso paesi terzi, tenuto conto del livello di protezione che in ciascuno di essi viene accordato a tali dati. Esso disciplina inoltre il metodo e i criteri che permettono di considerare che un paese terzo garantisce un livello di protezione adeguato dei dati personali che vengono ad esso trasferiti.
87. La Corte ha definito il regime relativo al trasferimento di dati personali verso paesi terzi come un «regime speciale, implicante norme specifiche, che mira a garantire un controllo da parte degli Stati membri sui trasferimenti di dati personali verso i paesi terzi». Essa ha inoltre precisato che si tratta di un «regime complementare al regime generale attuato dal capo II della suddetta direttiva, riguardante la liceità di trattamenti di dati personali» (47).
88. La specificità delle regole che disciplinano il trasferimento di dati personali verso i paesi terzi si spiega in gran parte grazie al ruolo-chiave svolto dal concetto di protezione adeguata. Per chiarire la portata di tale concetto, occorre distinguerlo nettamente da quello di protezione equivalente, che quale impone al paese terzo di riconoscere ed applicare effettivamente il complesso di principi contenuti nella direttiva 95/46.
89. Il concetto di protezione adeguata comporta che il paese terzo dev’essere in grado di garantire una protezione adattata, secondo un modello giudicato accettabile in termini di grado di protezione dei dati personali. Un sistema di questo tipo, basato sull’adeguatezza della protezione garantita da un paese terzo, lascia un notevole potere discrezionale agli Stati membri e alla Commissione nel valutare le garanzie attuate nel paese di destinazione dei dati. Tale valutazione è guidata dall’art. 25, n. 2, della direttiva 95/46, che elenca alcuni fattori che si possono prendere in considerazione ai fini della valutazione stessa (48). In tale prospettiva, la regola posta dal legislatore comunitario è che «[l]’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati».
90. Come la Corte ha già rilevato, la direttiva 95/46 non definisce la nozione di «trasferimento verso un paese terzo» (49). Essa non precisa, in particolare, se nella nozione rientri solamente l’azione con cui il responsabile del trattamento comunica attivamente dei dati personali verso un paese terzo o se essa si estenda al caso in cui un organismo di un paese terzo sia autorizzato ad accedere a dati che si trovano in uno Stato membro. La direttiva pertanto tace riguardo al metodo secondo il quale si può procedere al trasferimento di dati verso un paese terzo.
91. Al contrario del Parlamento, ritengo che nel caso in oggetto l’accesso ai dati PNR di cui usufruisce il CBP rientri nella nozione di «trasferimento verso un paese terzo». Infatti, quel che è determinante per qualificare tale trasferimento è, a mio parere, la circolazione dei dati da uno Stato membro verso un paese terzo, nel caso di specie gli Stati Uniti (50). Poco importa al riguardo che il trasferimento sia effettuato da chi spedisce o da chi riceve. Difatti, come precisato dal garante, se la portata dell’art. 25 della direttiva fosse limitata ai trasferimenti effettuati dal soggetto che spedisce, sarebbe facile eludere le condizioni dettate da tale articolo.
92. Fatta questa precisazione, occorre tuttavia insistere sul fatto che il capo IV della direttiva, in cui compare l’art. 25, non è diretto a regolare tutti i trasferimenti di dati personali, indipendentemente dalla loro natura, verso paesi terzi. A termini dell’art. 25, n. 1, della direttiva, esso riguarda unicamente il trasferimento di dati personali «oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento».
93. In proposito, ricordo che, ai sensi dell’art. 2, lett. b), della direttiva 95/46, per trasferimento di dati personali si intende «qualsiasi operazione o insieme di operazioni (…) applicate a dati personali, come la raccolta, la registrazione, (…) la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione (…)» (51).
94. Indipendentemente dalla sua specificità, che si basa in gran parte, come abbiamo visto, sulla nozione di adeguatezza, il sistema relativo al trasferimento di dati personali verso paesi terzi è subordinato al rispetto delle regole relative all’ambito di applicazione della direttiva 95/46 di cui fa parte (52).
95. Inoltre, per rientrare nel disposto dell’art. 25 della direttiva 95/46, un trasferimento verso un paese terzo deve riguardare dati personali il cui trattamento rientra nel campo di applicazione della direttiva stessa, a prescindere dal fatto che sia effettivamente attuato in seno alla Comunità o soltanto previsto nel paese terzo. Soltanto a questa condizione una decisione sull’adeguatezza può validamente costituire un atto di esecuzione della direttiva 95/46.
96. A tal proposito ricordo che, sotto un profilo ratione materiae, la direttiva non si applica a tutti i trattamenti di dati personali che possano rientrare in una delle categorie di operazioni contemplate dall’art. 2, lett. b). Infatti, l’art. 3, n. 2, primo trattino, della direttiva 95/46 dispone che questa non si applica ai trattamenti di dati personali che siano «effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale» (53).
97. Orbene, ritengo che la consultazione, l’utilizzo da parte del CBP e la messa a disposizione di quest’ultimo di dati dei passeggeri aerei contenuti nei sistemi di prenotazione dei vettori aerei situati sul territorio degli Stati membri costituiscano trattamenti di dati personali aventi ad oggetto la sicurezza pubblica e riguardanti attività dello Stato in materia di diritto penale. Di conseguenza, questo tipo di trattamenti è escluso dall’ambito di applicazione sostanziale della direttiva 95/46.
98. I termini utilizzati nella decisione sull’adeguatezza indicano l’oggetto dei trattamenti cui sono sottoposti i dati personali dei passeggeri aerei. Infatti, dopo aver indicato che l’obbligo di trasmissione dei dati personali contenuti nei PNR dei passeggeri aerei al CBP si basa su una legge adottata dagli Stati Uniti nel novembre 2001 e su regolamenti di attuazione adottati dal CBP in base a tale legge (54), la Commissione precisa che uno degli scopi della legislazione americana è il «rafforzamento della sicurezza» (55). Essa indica inoltre che «[l]a Comunità sostiene pienamente gli Stati Uniti nella loro lotta contro il terrorismo nei limiti imposti dal diritto comunitario» (56).
99. Inoltre, il ‘considerando’ 15 della decisione sull’adeguatezza stabilisce che «i dati dei PNR devono essere utilizzati al solo scopo di prevenire e di combattere il terrorismo e i reati collegati al terrorismo, altri reati gravi, compresa la criminalità organizzata transnazionale, la fuga in caso di mandato d’arresto emesso o di pena detentiva comminata per quei reati».
100. La direttiva 95/46, e in particolare il suo art. 25, n. 6, non possono costituire, a mio avviso, un fondamento adeguato per l’adozione, da parte della Commissione, di un atto esecutivo come una decisione relativa al livello di protezione adeguata di dati personali oggetto di trattamenti che sono espressamente esclusi dal suo ambito di applicazione. Autorizzare in base a tale direttiva i trasferimenti di dati di questo tipo equivarrebbe difatti ad ampliare, in maniera indiretta, la sfera di applicazione della direttiva stessa.
101. Occorre tenere a mente che la direttiva 95/46, adottata sulla base dell’art. 100 A del Trattato CE, definisce alcuni principi di protezione che debbono essere applicati ai trattamenti di dati personali quando le attività del responsabile del trattamento rientrano nell’ambito di applicazione del diritto comunitario; tuttavia, proprio a causa della scelta del suo fondamento giuridico, essa non è idonea a regolare attività dello Stato, come quelle riguardanti la sicurezza pubblica o che perseguono fini repressivi, attività che non rientrano nell’ambito di applicazione del diritto comunitario (57).
102. Vero è che il trattamento consistente nella raccolta e nella registrazione di dati dei passeggeri da parte delle compagnie aeree possiede, in linea generale, uno scopo commerciale in quanto è direttamente legato all’effettuazione del volo garantito dal vettore aereo. Del pari, è giusto ritenere che i dati PNR sono inizialmente raccolti dalle compagnie aeree nel quadro di un’attività che rientra nel diritto comunitario, ossia la vendita di un biglietto aereo che dà diritto ad una prestazione di servizi. Tuttavia, il trattamento dei dati che viene preso in considerazione nella decisione sull’adeguatezza possiede una natura del tutto diversa, in quanto riguarda una fase successiva alla raccolta iniziale dei dati. Esso verte difatti, come abbiamo visto, sulla consultazione, sull’utilizzo da parte del CBP e sulla messa a disposizione di quest’ultimo dei dati dei passeggeri aerei provenienti da sistemi di prenotazione dei vettori aerei situati sul territorio degli Stati membri.
103. In realtà, la decisione sull’adeguatezza non riguarda un trattamento di dati necessario alla realizzazione di una prestazione di servizi, ma ritenuto necessario per salvaguardare la sicurezza pubblica e a fini repressivi. Questa è effettivamente la finalità del trasferimento e del trattamento di cui sono oggetto i dati PNR. Di conseguenza, il fatto che i dati personali siano stati raccolti durante l’esercizio di un’attività economica non può, a mio parere, giustificare l’applicazione della direttiva 95/46, e in particolare dell’art. 25 della stessa, in un settore che esula dal suo ambito di applicazione.
104. Ritengo che questi elementi siano sufficienti per sostenere, al pari del Parlamento, che la Commissione non disponeva, in forza dell’art. 25 della direttiva 95/46, del potere di adottare una decisione relativa al livello di protezione adeguata dei dati personali trasferiti nell’ambito e in vista di un trattamento che esula esplicitamente dall’ambito di applicazione della suddetta direttiva (58).
105. Questa decisione sull’adeguatezza integra pertanto una violazione dell’atto di base costituito dalla direttiva 95/46 e in particolare del suo art. 25 che non ne rappresenta il fondamento giuridico appropriato. Questa è la ragione per cui ritengo che essa debba essere annullata.
106. Inoltre, poiché a mio parere la decisione sull’adeguatezza esula dall’ambito di applicazione della direttiva 95/46, non penso sia rilevante, come richiesto dal Parlamento nel secondo motivo da esso dedotto, analizzare tale decisione alla luce dei principi fondamentali contenuti nella direttiva stessa (59). A mio parere non occorre pertanto esaminare questo secondo motivo.
107. Per quanto riguarda il terzo e il quarto motivo del ricorso in oggetto, che prenderò in considerazione solo in via subordinata, essi non possono, a mio parere, costituire oggetto di un’analisi separata, in quanto la verifica dell’eventuale violazione dei diritti fondamentali da parte della decisione sull’adeguatezza comporta necessariamente un esame del rispetto del principio di proporzionalità da parte di tale atto alla luce dell’obiettivo da esso perseguito. Suggerisco pertanto che la Corte voglia esaminare congiuntamente il terzo e il quarto motivo.
B – Sui motivi attinenti alla violazione dei diritti fondamentali e alla violazione del principio di proporzionalità
108. Secondo il Parlamento, la decisione sull’adeguatezza non rispetta il diritto alla tutela dei dati personali come garantito dall’art. 8 della CEDU. Più precisamente, in base ai requisiti dettati dal suddetto articolo, il Parlamento ritiene che tale decisione costituisca un’ingerenza nella vita privata che non si può considerare come prevista dalla legge, in quanti si tratta di una misura né accessibile né prevedibile. Inoltre, il Parlamento sostiene che tale misura non è proporzionata allo scopo perseguito, specialmente se si tiene conto del numero eccessivo delle rubriche dei PNR richiesti e del periodo di conservazione dei dati eccessivamente lungo.
109. Anche nel ricorso proposto nella causa C-317/04, volto all’annullamento della decisione del Consiglio, il Parlamento invoca questi due motivi ed espone a loro sostegno degli argomenti che in gran parte coincidono. A mio avviso, i motivi dedotti nelle due cause sottoposte alla Corte debbono costituire oggetto di un esame unico, cui mi sembra opportuno procedere nell’ambito del ragionamento dedicato alla causa C‑317/04.
110. Dagli argomenti esposti dalle parti nei rispettivi atti emerge, infatti, l’impossibilità di considerare separatamente, tenendo conto del diritto al rispetto della vita privata, le componenti del sistema relativo al trattamento dei dati PNR da parte del CBP (60), ossia l’accordo approvato con la decisione del Consiglio, la decisione sull’adeguatezza e gli impegni del CBP allegati alla decisione della Commissione. Le parti fanno del resto più volte rinvio all’uno o all’altro dei suddetti atti per sostenere le loro asserzioni.
111. L’interdipendenza fra le suddette tre componenti del sistema PNR risulta espressamente dagli stessi termini dell’accordo. Infatti, sia gli impegni del CBP sia la decisione sull’adeguatezza sono menzionati nel preambolo dell’accordo. Inoltre, il paragrafo 1 dell’accordo precisa che il CBP può accedere ai dati PNR «in assoluta conformità della decisione [sull’adeguatezza], per tutto il periodo in cui la decisione è applicabile (…)». Parimenti, è vero che ai sensi del paragrafo 2 dell’accordo i vettori aerei che vi sono indicati sono tenuti a trattare i dati PNR «come richiesto dal CBP ai sensi della normativa statunitense», ma ciò deve avvenire sempre «in assoluta conformità della decisione e per tutto il periodo in cui la decisione [sull’adeguatezza] è applicabile». Infine, il paragrafo 3 dell’accordo stabilisce che «[i]l CBP prende nota della decisione [sull’adeguatezza] e attesta che sta attuando le dichiarazioni di impegno allegate a detta decisione».
112. Da questi elementi risulta che il diritto di accesso ai dati PNR conferito al CBP dall’accordo nonché l’obbligo di trattamento dei suddetti dati che incombe sui vettori aerei indicati nell’accordo stesso sono subordinati all’applicazione rigorosa ed effettiva della decisione sull’adeguatezza.
113. L’interdipendenza fra le tre componenti del regime PNR, nonché il fatto che i motivi attinenti alla violazione dei diritti fondamentali e del principio di proporzionalità siano sollevati dal Parlamento nelle due cause sottoposte al giudizio della Corte mi portano a ritenere che i suddetti motivi sono volti a far dichiarare dalla Corte stessa l’incompatibilità del sistema PNR, nelle sue tre componenti, con il diritto al rispetto della vita privata garantito dall’art. 8 della CEDU. A mio parere, infatti, sarebbe artificioso esaminare la decisione sull’adeguatezza senza tener conto dell’accordo, che impone alcuni obblighi alle compagnie aeree e, al contrario, esaminare l’accordo stesso senza tenere in considerazione gli altri testi applicabili richiamati espressamente da tale strumento.
114. Tenuto conto del fatto che il sistema è composto da più elementi indissociabili, l’analisi non può pertanto essere scissa artificialmente.
115. L’ingerenza nella vita privata, sotto questa prospettiva, è costituita dal complesso costituito dall’accordo così come approvato con la decisione del Consiglio, dalla decisione sull’adeguatezza e dagli impegni del CBP. Per esaminare se tale ingerenza sia prevista dalla legge, se persegua uno scopo legittimo e se sia necessaria in una società democratica, è necessario altresì tener conto dell’insieme del meccanismo «a tre velocità» così costituito, come fa il Parlamento in entrambi i ricorsi. Al fine di avere una visione globale del sistema PNR, effettuerò tale esame nell’ambito del ricorso diretto all’annullamento della decisione del Consiglio.
VI – Il ricorso diretto all’annullamento della decisione del Consiglio (causa C-317/04)
A – Sul motivo attinente alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione del Consiglio
1. Argomenti delle parti
116. Il Parlamento europeo sostiene che l’art. 95 CE non costituisce il fondamento giuridico corretto della decisione del Consiglio. Quest’ultima, infatti, non ha per oggetto né per contenuto l’instaurazione e il funzionamento del mercato interno. Il suo scopo sarebbe piuttosto quello di legittimare il trattamento dei dati personali imposto dalla legislazione statunitense alle compagnie aeree situate sul territorio della Comunità. La decisione non preciserebbe entro quali limiti tale legittimazione del trasferimento di dati verso un paese terzo contribuirebbe all’instaurazione o al funzionamento del mercato interno.
117. Secondo il Parlamento, neanche il contenuto della decisione del Consiglio giustificherebbe il ricorso all’art. 95 come fondamento giuridico. La decisione mirerebbe a conferire al CBP un diritto di accesso al sistema delle prenotazioni delle compagnie aeree nel territorio comunitario, in vista dell’effettuazione di voli tra gli Stati Uniti e gli Stati membri, conformemente alla legislazione statunitense, ai fini della prevenzione e della lotta contro il terrorismo. Ebbene, la realizzazione di tali obiettivi non rientra nell’ambito dell’art. 95 CE.
118. Infine, il Parlamento aggiunge che non si può fondare sull’art. 95 CE la competenza della Comunità a concludere l’accordo di cui trattasi in quanto quest’ultimo riguarda trattamenti di dati effettuati a fini di sicurezza pubblica e che pertanto esulano dall’ambito di applicazione della direttiva 95/46, la quale si basa sul suddetto articolo del Trattato.
119. Il Consiglio, al contrario, sostiene che l’art. 95 CE costituisce il fondamento giuridico corretto della sua decisione. A suo avviso, su tale articolo possono basarsi provvedimenti diretti a garantire che le condizioni della concorrenza non vengano falsate nel mercato interno. A tal proposito, esso afferma che l’accordo è volto a sopprimere qualsiasi distorsione della concorrenza tra le compagnie aeree degli Stati membri e fra queste ultime e le compagnie dei paesi terzi, che possa insorgere, a causa delle esigenze degli Stati Uniti, per ragioni attinenti alla tutela dei diritti e delle libertà degli individui. Le condizioni della concorrenza fra le compagnie degli Stati membri che offrono un servizio di trasporto internazionale di passeggeri verso o dagli Stati Uniti avrebbero potuto essere falsate solo nel caso in cui alcune di esse avessero accordato alle autorità americane un accesso alle loro banche dati.
120. Seguendo lo stesso ragionamento, il Consiglio mette in evidenza, da un lato, che le compagnie aeree che non si fossero conformate alle esigenze statunitensi avrebbero potuto vedersi imporre da parte delle autorità americane il pagamento di ammende, subire ritardi dei voli e perdere passeggeri a vantaggio di altre compagnie che si fossero accordate con gli Stati Uniti. Dall’altro lato, alcuni Stati membri avrebbero potuto sanzionare alcune compagnie che procedessero ai trasferimenti dei dati di cui trattasi, mentre altri Stati membri non avrebbero necessariamente agito allo stesso modo.
121. Secondo il Consiglio, in tali condizioni, e in assenza di una normativa comune in tema di accesso da parte delle autorità statunitensi ai dati PNR, sussisteva il rischio di falsare le condizioni di concorrenza e di arrecare un grave pregiudizio all’unicità del mercato interno. Esso ritiene che fosse necessario, pertanto, fissare condizioni uniformi per regolare l’accesso delle autorità statunitensi ai suddetti dati, salvaguardando al contempo le esigenze comunitarie in merito al rispetto di diritti fondamentali. Si tratta dell’imposizione di obblighi uniformi a tutte le compagnie interessate, nonché della dimensione esterna dell’instaurazione e del funzionamento del mercato interno.
122. Infine, il Consiglio fa rilevare che l’accordo è stato concluso dopo la decisione sull’adeguatezza, adottata in forza dell’art. 25, n. 6, della direttiva 95/46. A suo parere, era quindi normale e giusto che la decisione di conclusione dell’accordo avesse il medesimo fondamento giuridico della suddetta direttiva, ossia l’art. 95 CE.
123. Nella sua memoria di intervento, la Commissione sottolinea che le disposizioni del preambolo dell’accordo dimostrano che, per gli Stati Uniti, l’obiettivo primario è la lotta al terrorismo, mentre lo scopo principale della Comunità è la salvaguardia degli elementi fondamentali della sua legislazione in tema di protezione dei dati personali.
124. Essa rileva che, pur criticando la scelta dell’art. 95 CE come fondamento giuridico della decisione del Consiglio, il Parlamento non presenta alternative credibili. Secondo la Commissione, tale articolo costituirebbe il fondamento giuridico «naturale» della decisione del Consiglio, in quanto la dimensione esterna della protezione dei dati personali dovrebbe essere basata sull’articolo del Trattato su cui si fonda la misura interna, costituita dalla direttiva 95/46, e questo tanto più in quanto il suddetto aspetto esterno sarebbe espressamente previsto dagli artt. 25 e 26 della direttiva stessa. Inoltre, tenuto conto dello stretto legame e dell’interdipendenza sussistente tra l’accordo, la decisione sull’adeguatezza e gli impegni del CBP, l’art. 95 CE risulta essere il fondamento giuridico appropriato. In ogni caso, la Commissione sostiene che il Consiglio aveva il potere di concludere l’accordo sulla base del suddetto articolo, in quanto la direttiva 95/46 sarebbe stata compromessa, ai sensi della giurisprudenza AETS (61), nel caso in cui gli Stati membri avessero, separatamente o congiuntamente, stipulato un accordo di questo tipo al di fuori del quadro comunitario.
125. Infine, secondo la Commissione il trattamento iniziale dei dati in oggetto da parte delle compagnie aeree viene effettuato a fini commerciali. Del pari, l’uso che ne fanno le autorità statunitensi non li sottrarrebbe all’incidenza della direttiva 95/46.
2. Valutazione
126. Con il suo primo motivo, il Parlamento chiede alla Corte di decidere se l’art. 95 CE costituisca il fondamento giuridico appropriato della decisione del Consiglio relativa alla conclusione, da parte della Comunità, di un accordo internazionale come quello di cui si discute nella presente causa. Per rispondere alla domanda, occorre applicare la costante giurisprudenza della Corte in base alla quale la scelta del fondamento giuridico di un atto comunitario dev’essere basata su circostanze obiettive, che possono essere sindacate in via giurisdizionale, tra cui figurano, segnatamente, lo scopo e il contenuto dell’atto (62). Infatti, «nell’ambito del sistema della ripartizione delle competenze comunitarie la scelta del fondamento giuridico di un atto non può dipendere solo dal convincimento di un’istituzione circa lo scopo perseguito (…)» (63).
127. Ricordo che la Corte ha dichiarato che «la scelta della base giuridica adeguata riveste un’importanza di natura costituzionale. Infatti, la Comunità, disponendo soltanto di competenze di attribuzione, deve ricondurre [l’accordo internazionale di cui si tratta] ad una disposizione del Trattato che l’abiliti ad approvare un simile atto». Secondo la Corte, «[i]l ricorso ad una base giuridica errata può quindi invalidare l’atto di stipulazione stesso e, conseguentemente, inficiare il consenso della Comunità ad essere vincolata dall’accordo da essa sottoscritto» (64).
128. Seguendo il metodo di analisi applicato dalla Corte, valuterò quindi se lo scopo e il contenuto dell’accordo autorizzavano il Consiglio ad adottare, sulla base dell’art. 95 CE, una decisione avente ad oggetto, a termini del suo art. 1, l’approvazione dell’accordo stesso in nome della Comunità.
129. Per quanto riguarda lo scopo dell’accordo, dal primo capoverso del suo preambolo emerge espressamente che esso persegue due obiettivi, ossia da un lato la prevenzione e la lotta contro il terrorismo e i reati ad esso connessi, nonché altri reati gravi di natura transnazionale, tra cui la criminalità organizzata (65) e, dall’altro lato, il rispetto dei diritti e delle libertà fondamentali, e in particolare il rispetto al diritto della vita privata.
130. Il perseguimento dell’obiettivo della lotta contro il terrorismo e altri gravi reati è testimoniato dal riferimento, al secondo capoverso del preambolo dell’accordo, alle leggi e ai regolamenti statunitensi, adottati a seguito degli attentati terroristici dell’11 settembre 2001, che impongono a ciascun vettore aereo che assicura un servizio di trasporto internazionale di passeggeri da e per gli Stati Uniti di fornire al CBP un accesso elettronico ai dati PNR raccolti e conservati nei suoi sistemi automatici di controllo delle prenotazioni e delle partenze.
131. Per quanto riguarda l’obiettivo volto al rispetto dei diritti fondamentali, e in particolare il diritto al rispetto della vita privata, esso emerge dal riferimento alla direttiva 95/46. Si tratta infatti di garantire alle persone fisiche trasportate la tutela dei loro dati personali.
132. Tale garanzia viene ricercata tanto nell’ambito degli impegni assunti dal CBP l’11 maggio 2004, che saranno pubblicati nel FederalRegister come indicato nel quarto capoverso del preambolo dell’accordo, quanto nell’ambito della decisione sull’adeguatezza, menzionata nel quinto capoverso del preambolo.
133. Secondo il primo capoverso del preambolo, i suddetti due obiettivi vengono perseguiti simultaneamente. L’accordo, concluso tra la Comunità e gli Stati Uniti, tenta pertanto di conciliare i due scopi. Questo significa che esso si basa sull’idea secondo la quale la lotta contro il terrorismo e altri gravi reati dev’essere condotta nel rispetto dei diritti fondamentali, in particolare il diritto al rispetto alla vita privata, e più esattamente del diritto alla protezione dei dati personali.
134. Il contenuto dell’accordo conferma la suddetta analisi. Infatti, il paragrafo 1 dispone che il CBP può accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione/controllo dei vettori aerei situati nel territorio degli Stati membri «in assoluta conformità» della decisione sull’adeguatezza e «per tutto il periodo in cui la decisione è applicabile». Ne deduco che lo strumento di lotta contro il terrorismo ed altri gravi reati, costituito dall’accesso ai dati PNR dei passeggeri aerei è autorizzato dall’accordo soltanto qualora sia riconosciuto che i suddetti dati usufruiscono negli Stai Uniti di un livello adeguato di protezione. Il contenuto di questa disposizione dell’accordo traduce in tal modo il perseguimento simultaneo degli obiettivi di lotta contro il terrorismo ed altri gravi reati e quello della protezione dei dati personali.
135. Identico rilievo si impone nell’analisi del paragrafo 2 dell’accordo, che obbliga i vettori aerei che assicurano un servizio di trasporto internazionale di passeggeri da o per gli Stati Uniti a trattare i dati PNR contenuti nei loro sistemi automatizzati di prenotazione «come richiesto dal CBP ai sensi della normativa statunitense, in assoluta conformità della decisione [sull’adeguatezza] e per tutto il periodo in cui la decisione è applicabile». Anche in questo caso, l’obbligo d’ora in avanti gravante sui vettori aerei al fine della lotta contro il terrorismo ed altri gravi reati è strettamente legato ad una protezione adeguata dei dati personali dei passeggeri aerei.
136. Altre disposizioni dell’accordo si propongono di esplicitare gli scopi di lotta contro il terrorismo ed altri gravi reati e di protezione dei dati personali dei passeggeri aerei.
137. Per esempio, con riguardo specifico all’obiettivo della protezione dei dati personali dei passeggeri, il paragrafo 3 dell’accordo dispone che «[i]l CBP prende nota della decisione [sull’adeguatezza] e attesta che sta attuando le dichiarazioni di impegno allegate a detta decisione».
138. Inoltre, il paragrafo 6 dell’accordo contempla l’ipotesi in cui l’Unione europea istituisca a sua volta un sistema di identificazione dei passeggeri aerei, in forza del quale i vettori aerei siano tenuti a fornire alle autorità competenti l’accesso ai dati PNR delle persone il cui itinerario di viaggio preveda un volo da o per l’Unione europea. Qualora fosse messa in atto tale misura, l’accordo prevede che il Department of Homeland Security «per quanto fattibile e unicamente su una base di reciprocità, promuov[a] attivamente la cooperazione dei vettori aerei rientranti nella sua giurisdizione». Si tratta in questo caso di una disposizione che traduce ancora una volta l’obiettivo di lotta contro il terrorismo ed altri gravi reati.
139. A questo proposito, rispondendo ad alcuni argomenti esposti dalla Commissione, chiarisco che mi pare difficile sostenere che l’obiettivo della lotta contro il terrorismo ed altri gravi reati sia perseguito unilateralmente e unicamente dagli Stati Uniti, mentre l’unico scopo della Comunità sarebbe quello di proteggere i dati personali dei passeggeri aerei (66). In realtà, sono del parere che l’accordo, dal punto di vista di ciascuna Parte contraente, ha al tempo stesso per scopo e per contenuto la conciliazione dell’obiettivo della lotta contro il terrorismo ed altri gravi reati con quello della protezione dei dati personali dei passeggeri aerei. In tal modo, l’accordo dà vita ad una cooperazione tra le Parti contraenti volta proprio al raggiungimento simultaneo di questo duplice obiettivo.
140. Considerati lo scopo e il contenuto dell’accordo in tal modo descritti, ritengo che l’art. 95 CE non costituisca un fondamento giuridico appropriato per la decisione del Consiglio.
141. Al riguardo, va ricordato che l’art. 95, n. 1, CE, concerne l’adozione da parte del Consiglio delle misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno.
142. La competenza attribuita alla Comunità dal suddetto articolo del Trattato ha carattere orizzontale, ossia non è limitata ad un settore particolare. La portata della competenza comunitaria è quindi definita «in virtù di un criterio di carattere funzionale, estendendosi in modo trasversale all’insieme delle misure destinate alla realizzazione del “mercato interno”» (67).
143. Inoltre, emerge dalla giurisprudenza della Corte che le misure previste dall’art. 95, n. 1, CE, sono destinate a migliorare le condizioni di instaurazione e di funzionamento del mercato interno e devono effettivamente avere tale obiettivo, contribuendo all’eliminazione di ostacoli alla libera circolazione delle merci o alla libera prestazione di servizi, o ancora all’eliminazione di distorsioni della concorrenza (68). Da tale giurisprudenza deriva altresì che, pur se il ricorso all’art. 95 CE come fondamento normativo è possibile al fine di prevenire futuri ostacoli agli scambi dovuti allo sviluppo eterogeneo delle legislazioni nazionali, l’insorgere di tali ostacoli deve apparire probabile e la misura di cui trattasi deve avere ad oggetto la loro prevenzione (69).
144. Come ho già accennato, il Consiglio sostiene che la sua decisione è stata validamente adottata sulla base dell’art. 95 CE in quanto, sopprimendo qualunque distorsione della concorrenza tra le compagnie aeree degli Stati membri e tra queste ultime e le compagnie dei paesi terzi, l’accordo con gli Stati Uniti avrebbe contribuito ad evitare il prodursi di un grave pregiudizio per l’unicità del mercato interno.
145. Certamente, va rilevato che il secondo ‘considerando’ della decisione del Consiglio attesta «l’urgente bisogno di porre rimedio alla situazione di incertezza in cui si trovano le compagnie aeree ed i passeggeri, nonché di proteggere gli interessi finanziari degli interessati». Si potrebbe intendere questa frase come allusione alle sanzioni che le competenti autorità statunitensi potrebbero comminare alle compagnie aeree che si rifiutassero si fornire l’accesso ai dati PNR dei propri passeggeri, sanzioni che potrebbero avere ripercussioni economiche su tali compagnie. Si potrebbe immaginare che, in tale ipotesi, queste sanzioni con ripercussioni economiche sfavorevoli per talune compagnie aeree possano essere fonte di distorsioni della concorrenza tra le varie compagnie aeree situate nel territorio degli Stati membri.
146. Si può anche pensare, peraltro, che un atteggiamento differenziato adottato dagli Stati membri, con alcuni che, a pena di sanzioni, vietano alle compagnie aeree situate nel loro territorio di autorizzare il trasferimento dei dati PNR dei loro passeggeri, mentre altri agiscono diversamente, possa avere ripercussioni anche indirette sul funzionamento del mercato interno, a causa delle eventuali distorsioni della concorrenza che potrebbero insorgere tra le compagnie aeree.
147. Va tuttavia rilevato che siffatto obiettivo mirante ad evitare distorsioni della concorrenza, in quanto sia effettivamente perseguito dal Consiglio, presenta carattere accessorio rispetto ai due obiettivi principali della lotta contro il terrorismo e altri gravi reati e della protezione dei dati personali dei passeggeri che, come abbiamo visto, sono espressamente menzionati ed effettivamente attuati nelle disposizioni dell’accordo.
148. L’obiettivo di evitare le distorsioni della concorrenza tra le compagnie aeree degli Stati membri, come afferma il Consiglio, o tra queste e le compagnie dei paesi terzi, non compare espressamente in nessuna delle disposizioni dell’accordo, ma ha carattere implicito, ed è quindi necessariamente accessorio rispetto agli altri due.
149. Ricordo, come già dichiarato dalla Corte, che «il semplice fatto che un atto possa avere effetti sull’instaurazione e sul funzionamento del mercato interno non basta a giustificare il ricorso a questo articolo come fondamento giuridico di tale atto» (70).
150. E soprattutto, deriva da una costante giurisprudenza della Corte che se l’esame di un atto comunitario dimostra che quest’ultimo persegue una duplice finalità o che ha una duplice componente e se una di queste è identificabile come principale o preponderante, mentre l’altra è solo accessoria, l’atto deve basarsi su un unico fondamento giuridico, ossia su quello richiesto dalla finalità ovvero dalla componente principale o preponderante (71). Soltanto in via eccezionale, ove sia provato che l’atto persegue contemporaneamente più obiettivi tra loro inseparabili senza che uno di essi assuma importanza secondaria e indiretta rispetto all’altro, tale atto dovrà basarsi sui diversi fondamenti giuridici corrispondenti (72). A mio parere, ciò non avviene nel caso di specie.
151. Faccio notare inoltre che, anche se i tre obiettivi si dovessero considerare come perseguiti in maniera indissociabile dall’accordo, ugualmente la scelta del Consiglio di fondare giuridicamente la decisione soltanto sull’art. 95 CE dovrebbe considerarsi inadeguata, alla luce di tale giurisprudenza.
152. In realtà, leggendo l’intero secondo ‘considerando’ della decisione del Consiglio, emerge che la «l’urgente bisogno» in esso menzionato ha come oggetto principale quello di spiegare che è stato fissato un termine per l’emanazione del parere del Parlamento, conformemente all’art. 300, n. 3, primo comma, CE, ai sensi del quale, nell’ambito della procedura di conclusione degli accordi, «[i]l Parlamento europeo formula il suo parere nel termine che il Consiglio può fissare in funzione dell’urgenza». Lo stesso articolo dispone inoltre che «[i]n mancanza di parere entro detto termine il Consiglio può deliberare». E’ quel che è avvenuto nella procedura seguita ai fini dell’adozione della decisione del Consiglio.
153. In altri termini, se si è potuto effettivamente tener conto dell’«urgente bisogno di porre rimedio alla situazione di incertezza in cui si trovano le compagnie aeree ed i passeggeri, nonché di proteggere gli interessi finanziari degli interessati» nel corso del procedimento volto a istituire un sistema di dati PNR, mi sembra che tale presa in considerazione abbia svolto un ruolo nel corso della procedura seguita piuttosto che nella definizione dello scopo e del contenuto dell’accordo.
154. Quanto all’argomento del Consiglio e della Commissione secondo cui un atto relativo alla dimensione esterna della protezione dei dati personali dovrebbe avere lo stesso fondamento giuridico del provvedimento interno costituito dalla direttiva 95/46, occorre sottolineare come la Corte abbia già dichiarato che il fatto che una determinata disposizione del Trattato sia stata scelta quale fondamento giuridico per l’adozione di atti interni non è sufficiente a dimostrare che il medesimo fondamento deve valere pure per l’approvazione di un accordo internazionale avente un oggetto analogo (73). Inoltre, ho già dimostrato che tale accordo non ha come oggetto principale né come contenuto il miglioramento delle condizioni di funzionamento del mercato interno, mentre la direttiva 95/46, adottata in forza dell’art. 95 CE «mira a garantire la libera circolazione tra gli Stati membri dei dati personali attraverso l’armonizzazione delle disposizioni nazionali sulla tutela delle persone fisiche rispetto al trattamento di tali dati» (74).
155. Alla luce degli elementi che precedono, ritengo che l’esame dello scopo e del contenuto dell’accordo dimostri che l’art. 95 CE non costituisce il fondamento giuridico adeguato per la decisione del Consiglio.
156. Suggerisco pertanto alla Corte di dichiarare fondato il primo motivo sollevato dal Parlamento. Ne consegue che la decisione del Consiglio dev’essere annullata a causa dell’errata scelta del suo fondamento giuridico.
157. Sarebbe certamente interessante, a questo punto, chiedersi quale dovrebbe essere il fondamento giuridico adeguato di tale decisione. Tuttavia, occorre sottolineare che la Corte non è investita di questo delicato problema nell’ambito della causa in oggetto. Mi limiterò pertanto a formulare alcune osservazioni in merito alla questione e, più in generale, sulla natura del sistema PNR così come negoziato con gli Stati Uniti.
158. In primo luogo, contrariamente a un’idea difesa dal Consiglio, il fatto che il sistema PNR non sia stato attuato nell’ambito delle disposizioni del Trattato UE non è idoneo, a mio avviso, a dimostrare la validità giuridica dell’approccio seguito dal Consiglio e dalla Commissione.
159. Inoltre, più in generale, a mio parere un atto che prevede la consultazione e l’uso di dati personali da parte di un organismo che ha il compito di garantire la sicurezza interna di uno Stato, nonché la messa a disposizione dei suddetti dati a tale organismo, è assimilabile ad un atto di cooperazione fra autorità pubbliche (75).
160. Inoltre, imporre ad una persona giuridica di procedere a tale trattamento di dati e obbligarla a trasferirli non è a mio avviso sostanzialmente diverso da uno scambio diretto di dati tra autorità pubbliche (76). Quel che importa è la comunicazione obbligatoria di dati a fini di sicurezza e repressivi, non le sue modalità peculiari ad una determinata situazione. La causa in oggetto riguarda in realtà una problematica nuova, relativa all’uso di dati commerciali a fini repressivi (77).
161. Infine, occorre ricordare che secondo il Tribunale «la lotta contro il terrorismo internazionale (…) non può essere ricollegata ad alcun obiettivo esplicitamente assegnato alla Comunità dagli artt. 2 CE e 3 CE» (78).
162. Infine, tenuto conto del fatto che in base all’analisi del primo motivo ho suggerito alla Corte di annullare la decisione del Consiglio a causa dell’errata scelta del suo fondamento giuridico, prenderò in esame solo in via subordinata gli altri motivi dedotti dal Parlamento a sostegno del presente ricorso.
B – Sul motivo attinente alla violazione dell’art. 300, n. 3, secondo comma, CE, a causa di una modifica della direttiva 95/46
1. Argomenti delle parti
163. Con questo secondo motivo, il Parlamento sostiene che l’accordo tra gli Stati Uniti e la Comunità poteva essere approvato a nome di quest’ultima solo rispettando la procedura prevista dall’art. 300, n. 3, secondo comma, CE. Ai sensi di tale articolo, infatti, «gli accordi che implicano la modifica di un atto adottato secondo la procedura di cui all’articolo 251 sono conclusi previo parere conforme del Parlamento europeo». Secondo tale istituzione, l’accordo in oggetto comporterebbe una modifica della direttiva 95/46, adottata seguendo la procedura di cui all’art. 251 CE.
164. Il Parlamento sostiene che gli impegni che le autorità statunitensi hanno accettato di assolvere conformemente all’accordo non risponderebbero pienamente ai requisiti per il trattamento dei dati previsti dalla direttiva 95/46. Pertanto, l’accordo derogherebbe ad alcuni dei principi essenziali della suddetta direttiva e renderebbe leciti alcuni trattamenti di che questa non autorizza. Sotto questo aspetto l’acordo modificherebbe la direttiva 95/46. In particolare, il Parlamento individua le seguenti modifiche.
165. In primo luogo, l’accordo riguarda la prevenzione e la lotta contro il terrorismo ed altri gravi reati, mentre l’art. 3, n. 2, primo trattino, della direttiva 95/46, esclude dal suo ambito di applicazione il trasferimento di dati ad autorità pubbliche di uno Stato terzo per ragioni legate alla sicurezza pubblica di tale Stato. Il Parlamento osserva che gli Stati membri hanno previsto a tal fine alcune disposizioni specifiche nella convenzione Europol, per cui è possibile ritenere che vi sia una complementarietà in questo settore tra i due strumenti, che hanno fondamenti giuridici differenti.
166. In secondo luogo, la possibilità accordata alle competenti autorità statunitensi di accedere direttamente ai dati personali all’interno del territorio comunitario (sistema «pull») costituirebbe anch’essa una modifica della direttiva 95/46. Gli artt. 25 e 26 di quest’ultima non contengono, infatti, disposizioni che ammettano il diritto di un paese terzo ad avere accesso diretto ai suddetti dati.
167. In terzo luogo l’accordo, riferendosi agli impegni, autorizza il CBP a trasmettere, a propria discrezione e caso per caso, alcuni dati PNR ad autorità governative di repressione o lotta contro il terrorismo straniero negli Stati Uniti. Questa discrezionalità lasciata alle autorità statunitensi sarebbe in contrasto con la direttiva 95/46, e in particolare con l’art. 25, n. 1, ai sensi del quale «il trasferimento verso un paese terzo di dati personali (…) può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato». Secondo il Parlamento, infatti, il sistema di protezione istituito nella suddetta direttiva sarebbe vanificato se il paese terzo destinatario di una decisione sull’adeguatezza positiva fosse poi libero di trasferire i dati personali verso altri paesi che invece non sono stati oggetto di alcuna valutazione da parte della Commissione.
168. In quarto luogo, l’accordo conterrebbe una modifica della direttiva 95/46 in quanto il CBP, anche qualora decidesse di non utilizzare i dati personali «sensibili», sarebbe autorizzato giuridicamente a procedere alla loro raccolta, cosa che già costituirebbe un trattamento ai sensi dell’art. 2, lett. b), della direttiva.
169. In quinto luogo, il Parlamento ritiene che l’accordo modifichi la direttiva in quanto il ricorso giurisdizionale in caso di violazione dei diritti garantiti a ciascun individuo dalle disposizioni nazionali applicabili al trattamento in questione, come previsto dall’art. 22 della direttiva 95/46, non è sufficientemente garantito. In particolare, un soggetto interessato dal trasferimento dei propri dati PNR non dispone di alcun rimedio giurisdizionale, per esempio nel caso di dati errati che lo riguardino o di uso di dati sensibili o ancora di trasmissione di dati ad un’altra autorità.
170. In sesto ed ultimo luogo, il Parlamento sottolinea il carattere eccessivo del tempo di conservazione dei dati PNR trasferiti al CBP, il che costituirebbe una modifica della direttiva 95/46, e più precisamente dell’art. 6, n. 1, lett. e), della stessa, il quale prevede che i dati debbano essere conservati per un arco di tempo «non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati».
171. Il garante appoggia le conclusioni del Parlamento nel senso che, a suo parere, l’accordo ha un’incidenza sulla direttiva 95/46. Il garante ritiene che la conclusione dell’accordo potesse avvenire solamente sotto il controllo democratico del Parlamento, in quanto esso influisce sul grado di armonizzazione delle legislazioni nazionali così come previsto dalla stessa direttiva, nonché sul rispetto dei diritti fondamentali. A suo parere, il pregiudizio a livello di protezione dei dati personali contemplato dalla detta direttiva consiste specificamente nel fatto che, tanto nel sistema «pull» quanto nel sistema «push», i vettori aerei sono costretti ad agire in contrasto con la direttiva e in particolare con l’art. 6, n. 1, lett. b) e c) della stessa. Poiché questo pregiudizio al grado di protezione dei dati comporta una modifica della direttiva 95/46, il garante sostiene che le garanzie procedurali sancite dall’art. 300, n. 3, secondo comma, CE non sono state rispettate. A suo avviso inoltre neppure le «garanzie sostanziali» sono state rispettate, in particolare perché gli impegni del CBP non sono di natura vincolante.
172. Il Consiglio, per contro, sostenuto dalla Commissione, sostiene che l’accordo non comporta una modifica della direttiva 95/46. A sostegno del suo parere, esso cita il paragrafo 8 dell’accordo, a termini del quale quest’ultimo «non intende derogare o apportare modifiche alla normativa delle parti». Esso ritiene inoltre che tale direttiva attribuisca alla Commissione un’ampia discrezionalità nel valutare l’adeguatezza della protezione garantita da un paese terzo. A tal proposito, secondo il Consiglio, verificare se la Commissione abbia superato i limiti del suo potere discrezionale costituirebbe piuttosto l’oggetto del ricorso d’annullamento della decisione sull’adeguatezza nella causa C-318/84.
173. Il Consiglio ricorda inoltre che, a suo parere, i motivi (sicurezza, lotta contro il terrorismo o altro) che hanno portato il CBP ad esigere la trasmissione dei dati PNR non costituiscono, sotto un profilo comunitario, né l’oggetto né il contenuto dell’accordo. Inoltre, la direttiva 95/46, nell’ambito di applicazione del mercato interno, autorizzerebbe l’uso dei dati personali a fini legittimi come la tutela della sicurezza di uno Stato.
174. In ogni caso, secondo il Consiglio, anche supponendo che la Comunità fosse priva di competenza per concludere l’accordo, non ne conseguirebbe nondimeno che il Parlamento dovesse prestare il suo parere conforme, per l’asserita ragione che l’accordo modifica la direttiva 95/46. Infatti, il Consiglio precisa che il parere conforme del Parlamento non avrebbe avuto in alcun caso l’effetto di estendere l’ambito delle competenze comunitarie.
175. Quanto alla possibilità per il CBP di accedere direttamente ai dati PNR (sistema «pull» attualmente applicabile, in attesa dell’attuazione di un sistema «push»), il Consiglio ammette che la direttiva 95/46 non menziona espressamente tale possibilità, ma neppure la vieterebbe. Sotto un’ottica comunitaria, quelle che rileverebbero sono le condizioni di accesso ai dati.
176. A tali argomenti la Commissione aggiunge che, indipendentemente dallo scopo per cui i dati personali vengono utilizzati dal CBP, essi sono e restano in ogni caso, per i vettori aerei nella Comunità, dati commerciali che rientrano nell’ambito della direttiva 95/46 e che, pertanto, debbono essere tutelati e trattati conformemente a quanto da essa stabilito.
2. Valutazione
177. In tema di conclusione di accordi internazionali da parte della Comunità, la consultazione del Parlamento risulta essere la procedura di diritto comune, tranne che per l’ambito della politica commerciale comune. La consultazione del Parlamento avviene, in forza dell’art. 300, n. 3, primo comma, CE, anche allorché l’accordo verta su un settore per il quale è richiesta la procedura di codecisione dell’art. 251 CE per l’adozione di regole interne.
178. In deroga a questa procedura di diritto comune, l’art. 300, n. 3, secondo comma, CE, esige il parere conforme del Parlamento in quattro ipotesi tra le quali, per quel che rileva nella causa in oggetto, il caso in cui l’accordo verta sugli «accordi che implicano la modifica di un atto adottato secondo la procedura di cui all’articolo 251». Si tratta di garantire al Parlamento co-legislatore il controllo sulla possibile modifica di un atto da esso adottato tramite un accordo internazionale.
179. La direttiva 95/46 è stata adottata seguendo la procedura di codecisione. Dato che l’accordo implica una modifica della direttiva, il Parlamento sostiene quindi che la decisione con cui il Consiglio ha approvato l’accordo in nome della Comunità necessitava del suo parere conforme per essere adottata nel rispetto delle regole previste dal Trattato.
180. Per verificare la fondatezza di questo motivo, preciso innanzi tutto che poco importa che l’accordo chiarisca, in base all’art. 8, che esso «non intende derogare o apportare modifiche alla normativa delle parti». In effetti, quel che rileva per rendere operativo l’art. 300, n. 3, secondo comma, CE, è verificare se l’accordo internazionale implichi una modifica dell’atto comunitario interno, ossia se esso abbia per effetto di modificare tale atto, e ciò a prescindere dal fatto che non sia questo il suo oggetto.
181. Fatta questa precisazione, non risulta che la Corte si sia ancora pronunciata in merito al senso che va attribuito all’espressione relativamente vaga «modifica di un atto adottato secondo la procedura di cui all’articolo 251» (79). Alcuni autori si sono chiesti, al riguardo, se con il termine «modifica» si intenda «una modifica contraria al testo» dell’atto interno o se bastasse «una modifica qualsiasi, anche conforme al senso del testo» dell’atto interno, per imporre il rispetto della procedura del parere conforme (80).
182. I termini utilizzati nell’art. 300, n. 3, secondo comma, CE, invitano inoltre a domandarsi se, perché sia richiesto il parere conforme, l’ambito di applicazione dell’accordo progettato debba coincidere, almeno in parte, con quello dell’atto interno adottato o se basti il semplice fatto che un atto interno sia stato adottato in base al fondamento giuridico utilizzato per la conclusione dell’accordo stesso (81).
183. In generale, ritengo che, perché sussista una «modifica» di un atto comunitario interno adottato secondo la procedura di codecisione da parte di un accordo internazionale, una delle condizioni è che l’ambito di applicazione dell’accordo coincida con quello coperto dal suddetto atto interno. In questo caso, infatti, può aversi una modifica dell’atto interno ad opera dell’accordo internazionale, vuoi perché l’accordo contiene una disposizione contrastante con una di quelle dell’atto interno, vuoi perché l’accordo aggiunge qualcosa al contenuto dell’atto interno, anche senza contrasto diretto.
184. Nel caso in oggetto, ritengo che l’accordo non sia stato in grado di modificare il contenuto della direttiva 95/46.
185. Il mio parere si basa, in primo luogo, sul fatto che, come emerge dall’analisi del primo motivo, l’oggetto principale dell’accordo è la lotta contro il terrorismo ed altri reati gravi e, al contempo, la garanzia della protezione dei dati personali dei passeggeri aerei. Per contro, la direttiva 95/46 mira ad assicurare la libera circolazione dei dati personali tra gli Stati membri tramite l’armonizzazione delle disposizioni nazionali che tutelano le persone fisiche riguardo al trattamento di tali dati. I due atti hanno pertanto due obiettivi ben diversi, nonostante il fatto che riguardano entrambi il settore della tutela dei dati personali (82).
186. In secondo luogo, coerentemente con l’affermazione secondo cui i loro obiettivi sono differenti, l’accordo e la direttiva hanno ambiti di applicazione distinti. Infatti, mentre l’accordo si applica a trattamenti di dati personali effettuati per svolgere attività relative alla sicurezza interna degli Stati Uniti e, nello stesso tempo e più precisamente, ad attività relative alla lotta contro il terrorismo ed altri gravi reati, ricordo che l’art. 3, n. 2, primo trattino, della direttiva esclude espressamente dal proprio ambito di applicazione i trattamenti di dati personali che siano «effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale» (83).
187. Tenuto conto del fatto che, nel caso in oggetto, i due atti presentano obiettivi e ambiti di applicazione distinti, non vedo come il contenuto dell’uno possa modificare quello dell’altro. A dire il vero, l’accordo riguarda trattamenti di dati personali per i quali il legislatore comunitario ha chiaramente escluso la possibilità che rientrino nel sistema di protezione realizzato dalla direttiva 95/46. Questo approccio seguito dal legislatore comunitario è coerente, del resto, con la scelta del fondamento giuridico della direttiva stessa, ossia l’art. 95 CE.
188. Questa analisi a mio parere non può essere contraddetta dall’argomento della Commissione secondo il quale, indipendentemente dallo scopo per cui il CBP utilizza i dati personali, questi dati comunque sono e restano comunque, per i vettori aerei nella Comunità, dati commerciali che rientrano nell’ambito della direttiva 95/46 e che debbono essere protetti e trattati conformemente ad essa.
189. In proposito ricordo che, se è vero che il trattamento consistente nella raccolta e nella registrazione dei dati dei passeggeri da parte delle compagnie aeree ha, in generale, una finalità commerciale in quanto è legato direttamente allo svolgimento del volo garantito dal vettore aereo, tuttavia il trattamento dei dati disciplinato dall’accordo ha una natura del tutto diversa in quanto, da un lato, riguarda una fase successiva alla raccolta dei dati e, d’altro lato, persegue uno scopo di pubblica sicurezza.
190. Alla luce delle considerazioni che precedono, ritengo che il secondo motivo sollevato dal Parlamento debba essere respinto in quanto infondato.
191. Per gli stessi motivi indicati in occasione dell’esame della causa C‑318/04 (84), procedo ora all’esame congiunto del terzo e del quarto motivo sollevati dal Parlamento, vale a dire la violazione del diritto alla protezione dei dati personali e la violazione del principio di proporzionalità.
192. Ricordo inoltre che, tenuto conto dell’interdipendenza tra l’accordo come approvato con la decisione del Consiglio, la decisione sull’adeguatezza e gli impegni del CBP allegati alla decisione della Commissione, ritengo che l’intero sistema PNR debba essere preso in esame alla luce di tali motivi (85).
C – I motivi attinenti alla violazione del diritto alla protezione dei dati personali e alla violazione del principio di proporzionalità
1. Argomenti delle parti
193. Secondo il Parlamento, il sistema PNR viola il diritto alla protezione dei dati personali, come riconosciuto in particolare dall’art. 8 della CEDU.
194. A suo parere, prevedendo la possibilità per il CBP di accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione dei vettori aerei situati nel territorio degli Stati membri e imponendo ai suddetti vettori quando assicurano il trasporto internazionale di passeggeri da o per gli Stati Uniti di trattare i dati PNR come richiesto dal CBP ai sensi della normativa statunitense, l’accordo riguarderebbe un trattamento di dati personali che dà luogo ad un’ingerenza nella vita privata, ai sensi dell’art. 8 della CEDU. Nemmeno la decisione sull’adeguatezza rispetterebbe tale articolo.
195. Il Parlamento precisa che, per non violare l’art. 8 della CEDU, è necessario che una simile ingerenza sia prevista per legge, che persegua uno scopo legittimo e che sia necessaria in una società democratica per il raggiungimento di tale scopo. Esso ritiene che né l’accordo né la decisione sull’adeguatezza soddisfino tali requisiti.
196. In primo luogo, per quanto riguarda il requisito secondo cui l’ingerenza dev’essere prevista per legge, il Parlamento osserva che né l’accordo né la decisione sull’adeguatezza rispondono alle condizioni di accessibilità e di prevedibilità della legge imposte dalla giurisprudenza della Corte europea dei diritti dell’uomo. Da un lato, per quel che riguarda l’esigenza di accessibilità della legge, il Parlamento ritiene che, facendo un richiamo generico e impreciso alla legislazione statunitense applicabile, l’accordo e la decisione sull’adeguatezza non contengano essi stessi i diritti e gli obblighi incombenti sui passeggeri e sulle compagnie aeree europee. Orbene, l’imperativo della certezza del diritto richiede che una normativa comunitaria che fa sorgere obblighi giuridici consenta agli interessati di riconoscere con esattezza l’estensione degli obblighi ch’essa impone loro (86). Inoltre, contrariamente a quanto imposto dal requisito dell’accessibilità della legge, le normative statunitensi applicabili non sono disponibili in tutte le lingue ufficiali della Comunità. Il Parlamento rileva, inoltre, nel preambolo dell’accordo, gli errori nel riferimento e nella data di adozione della decisione sull’adeguatezza. D’altro lato, farebbe difetto il requisito della prevedibilità della legge, poiché né l’accordo né la decisione sull’adeguatezza contengono con sufficiente precisione i diritti e gli obblighi delle imprese aeree e dei cittadini stabiliti nella Comunità. Inoltre, i passeggeri riceverebbero solo un’informazione generale, il che sarebbe in contrasto con l’obbligo di informazione come previsto dagli artt. 10 e 11 della direttiva 95/46 e dall’art. 8, lett. a), della convenzione n. 108. Infine, l’accordo e gli impegni del CBP conterrebbero una serie di imprecisioni incompatibili con l’art. 8 della CEDU.
197. In secondo luogo, il Parlamento riconosce che è soddisfatta la condizione secondo cui, in forza dell’art. 8, n. 2, della CEDU, l’ingerenza nel diritto al rispetto della vita privata deve perseguire uno scopo legittimo. In proposito, esso ricorda il sostegno che ha più volte manifestato al Consiglio nella lotta contro il terrorismo.
198. In terzo luogo, quanto alla necessità che l’ingerenza consista in una misura necessaria, in una società democratica, per la sicurezza nazionale, la sicurezza pubblica, il benessere economico del paese, la difesa dell’ordine e la prevenzione dei reati, la tutela della salute o della morale, o la protezione dei diritti e delle libertà altrui, il Parlamento ritiene che tale condizione non sia soddisfatta per i seguenti motivi:
– dal paragrafo 3 degli impegni del CBP emerge che scopo del trattamento dei dati non è soltanto quello di lottare contro il terrorismo, ma anche quello di prevenire e combattere altri reati gravi, compresa la criminalità organizzata e la fuga dall’arresto o da pena detentiva per i suddetti crimini. Qualora il trattamento dei dati andasse al di là della semplice lotta contro il terrorismo, non sarebbe necessario per la realizzazione dello scopo legittimo perseguito;
– l’accordo prevede il trasferimento di un numero eccessivo di dati (34), violando in tal modo il principio di proporzionalità. Sotto il profilo del rispetto di un livello adeguato di protezione dei dati personali, 19 di questi 34 dati appaiono accettabili. Secondo il Parlamento sussiste una «disparità notevole» tra il numero dei dati previsto da strumenti giuridici analoghi applicabili a livello dell’Unione europea e quello richiesto in forza dell’accordo (87). Inoltre, alcune rubriche dei PNR richiesti potrebbero contenere dati sensibili;
– tenuto conto dello scopo perseguito, i dati verrebbero conservati troppo a lungo da parte delle autorità statunitensi. Dagli impegni del CBP risulta infatti che, a seguito dell’accesso ai dati on-line concesso agli utenti autorizzati dal CBP per un periodo di sette giorni, tutti i dati verranno conservati per un periodo di tre anni e sei mesi, dopodiché i dati consultati manualmente nel corso di tale periodo saranno trasferiti dal CBP verso un file di dati cancellati, sotto forma di dati grezzi, nel quale resteranno per un periodo di otto anni prima di essere distrutti. Il paragone con i sistemi informatici istituiti, ad esempio, nell’ambito della convenzione di applicazione dell’Accordo di Schengen, della convenzione Europol e della decisione Eurojust, che prevedono un periodo di conservazione compreso tra uno e tre anni, dimostrerebbe il carattere eccessivo della durata indicata negli impegni;
– l’accordo non prevede controllo giurisdizionale sul trattamento dei dati da parte delle autorità statunitensi. Inoltre, poiché l’accordo e gli impegni non fanno sorgere diritti in capo ai soggetti i cui dati personali vengono trattati, il Parlamento non vede come tali soggetti potrebbero farli valere dinanzi alle autorità statunitensi;
– l’accordo consente il trasferimento dei dati ad altre autorità pubbliche, andando così oltre quanto necessario per combattere il terrorismo.
199. Il garante difende la tesi secondo cui il trattamento di sei categorie di dati costituisce un pregiudizio evidente al diritto alla vita privata (88). Tale pregiudizio deriverebbe inoltre dalla possibilità di ricostruire profili personali sulla base di tali dati. Il garante condivide gli argomenti del Parlamento volti a dimostrare che l’ingerenza non è giustificata alla luce dell’art. 8, n. 2, della CEDU. Esso ritiene inoltre che il livello di protezione offerto dal CBP non sia adeguato, ai sensi dell’art. 25 della direttiva 95/46, proprio perché non viene rispettato l’art. 8 della CEDU.
200. Secondo il Consiglio e la Commissione, invece, il sistema PNR rispetta i requisiti imposti dall’art. 8, n. 2, della CEDU, come interpretati dalla Corte europea dei diritti dell’uomo.
201. In primo luogo, per quanto riguarda l’obbligo di prevedere per legge l’ingerenza, il Consiglio ritiene che non occorra, perché sia rispettata la condizione dell’accessibilità della legge, che il testo stesso dell’accordo contenga tutte le disposizioni idonee ad incidere eventualmente sui soggetti interessati. Non sarebbe contra legem prevedere nell’accordo un rinvio alla decisione sull’adeguatezza e agli impegni del CBP ad essa allegati, poiché tutti questi testi sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, la quale, peraltro, non è destinata a pubblicare leggi dei paesi terzi. A proposito del riferimento errato alla decisione sull’adeguatezza contenuto nel preambolo dell’accordo, il Consiglio afferma che adotterà le misure necessarie per pubblicare una rettifica nella Gazzetta ufficiale, ma ritiene che simili errori di tipo tecnico non inficino l’accessibilità degli atti in questione, ai sensi della giurisprudenza della Corte europea dei diritti dell’uomo. Quanto al requisito della prevedibilità della legge, secondo il Consiglio non costituisce violazione di tale requisito il fatto che né gli impegni del CBP, né le leggi e le esigenze costituzionali statunitensi siano state riportati per esteso nell’accordo. Inoltre, gli impegni del CBP, indicati con precisione sufficiente, permetterebbero ai soggetti interessati di regolare il proprio comportamento.
202. In secondo luogo, per quanto riguarda la necessità che l’ingerenza persegua uno scopo legittimo, il Consiglio osserva che la lotta contro reati gravi diversi dal terrorismo rientra in tutta una serie di categorie di interessi legittimi menzionati nell’art. 8, n. 2, della CEDU (in particolare la sicurezza pubblica, la difesa dell’ordine e la prevenzione dei reati). Pertanto, l’accordo e gli impegni del CBP perseguono uno scopo legittimo anche nella parte in cui contemplano questi altri gravi reati.
203. In terzo luogo, il Consiglio ritiene che l’ingerenza sia proporzionata allo scopo perseguito. Più precisamente, esso sostiene che le categorie di dati PNR richiesti dal CBP siano utili allo scopo di prevenire atti terroristici o la criminalità organizzata, nonché per coadiuvare le indagini successive ad attentati, facilitando l’identificazione delle persone associate a gruppi terroristici o alla criminalità organizzata. Per quanto riguarda il numero di dati PNR da trasferire, il confronto con i sistemi di informazione istituiti in seno all’Unione europea non sarebbe rilevante in quanto, oltre al fatto che i suddetti sistemi hanno scopo e contenuto diversi da quelli del sistema PNR, la necessità di tracciare un profilo dei potenziali terroristi imporrebbe l’accesso ad un numero maggiore di dati. Quanto alle tre rubriche di dati PNR che secondo il Parlamento potrebbero contenere dati sensibili (89), il Consiglio sottolinea che l’accesso del CBP ad esse è stato rigorosamente limitato dal paragrafo 5 degli impegni da esso assunti (90). Inoltre, secondo gli impegni nn. 9, 10 e 11, sarebbe escluso in ogni caso che il CBP possa utilizzare dati sensibili (91). Quanto al periodo di conservazione dei dati PNR, secondo il Consiglio, tenuto conto del fatto che le indagini susseguenti agli attentati si protraggono a volte per diversi anni, un periodo normale di conservazione fissato a tre anni e sei mesi, eccezion fatta per i casi specifici in cui tale periodo possa essere più lungo, rappresenta una soluzione equilibrata. Inoltre, non vi sarebbe motivo di ritenere che manchi un sistema di controllo indipendente. Infine, il trasferimento dei dati ad altre autorità pubbliche sarebbe accompagnato da garanzie sufficienti; in particolare, il CBP può trasferire dati ad altre autorità pubbliche solo caso per caso, e solamente allo scopo di prevenire o di combattere il terrorismo o altri reati gravi.
204. Secondo la Commissione non vi è dubbio che il complesso costituito dall’accordo, dalla decisione sull’adeguatezza e dagli impegni del CBP ammette che possa aversi un certo grado di ingerenza nella vita privata, di entità variabile a seconda dei dati trasmessi. Detta ingerenza sarebbe prevista dalla legge, il che vuol dire che il suddetto complesso persegue uno scopo legittimo, ossia la composizione di un contrasto tra la legislazione statunitense che ha fini di sicurezza e le norme comunitarie relative alla protezione dei dati personali, e sarebbe necessaria in una società democratica al fine di raggiungere tale obiettivo.
205. Secondo il Regno Unito, nell’ambito dell’analisi di un’eventuale violazione del diritto alla protezione dei dati personali, la decisione del Consiglio, l’accordo, la decisione sull’adeguatezza e gli impegni del CBP debbono essere esaminati congiuntamente, in quanto si tratta di strumenti giuridici strettamente legati l’uno all’altro. Esso inoltre sostiene che andrebbero esaminate l’accessibilità e la prevedibilità delle norme comunitarie applicabili e non quelle delle leggi che si applicano nel territorio degli Stati Uniti. Mettendo in relazione l’accordo, la decisione sull’adeguatezza e gli impegni del CBP, il diritto comunitario conterrebbe, secondo il Regno Unito, un’esposizione chiara e completa della posizione giuridica di tutte le parti interessate. Inoltre, esso non condivide l’opinione secondo cui gli impegni del CBP sono di natura unilaterale e potrebbero essere impunemente modificati o ritrattati dalle autorità statunitensi.
206. Circa la necessità dell’ingerenza, il Regno Unito sottolinea innanzi tutto che la lotta contro altri reati gravi è chiaramente indicata come uno degli obiettivi dell’accordo e costituisce uno scopo di ordine pubblico altrettanto legittimo quanto la lotta contro il terrorismo. Il Regno Unito inoltre sostiene che la gamma dei dati che si possono trasferire, la durata della loro conservazione e la possibilità del loro trasferimento ad altre autorità corrispondono e sono proporzionati ai suddetti obiettivi, specie se si considerano le numerose garanzie comprese negli impegni e nella decisione sull’adeguatezza allo scopo di limitare i rischi per la vita privata dei passeggeri. Esso infine precisa che, a suo avviso, il criterio della proporzionalità dev’essere applicato alla luce tanto della giurisprudenza della Corte, quanto di quella della Corte europea dei diritti dell’uomo, considerata la natura e l’importanza degli obiettivi di cui si tratta.
2. Valutazione
207. Con i suddetti motivi, il Parlamento europeo sostiene che la decisione del Consiglio e la decisione sull’adeguatezza violano il diritto alla protezione dei dati personali, come garantito, in particolare, dall’art. 8 della CEDU.
208. Secondo una costante giurisprudenza, i diritti fondamentali costituiscono parte integrante dei principi generali del diritto dei quali la Corte garantisce l’osservanza (92). A tal fine la Corte si ispira alle tradizioni costituzionali comuni agli Stati membri e alle indicazioni fornite dai trattati internazionali relativi alla tutela dei diritti dell’uomo a cui gli Stati membri hanno cooperato ed aderito. Essa ritiene che la CEDU rivesta, a questo proposito, «un particolare significato» (93). Ne consegue che nella Comunità non possono essere consentite misure incompatibili con il rispetto dei diritti dell’uomo in tal modo riconosciuti e garantiti (94). Tali principi sono stati ripresi dall’art. 6, n. 2, UE.
209. Sulla scia di tale giurisprudenza, la Corte è giunta a ricomprendere nell’ordinamento comunitario il diritto al rispetto della vita privata (95). Il diritto alla protezione dei dati personali costituisce uno degli aspetti del diritto al rispetto della vita privata, ed è pertanto tutelato dall’art. 8 della CEDU, anche nell’ordinamento giuridico comunitario, tramite i principi generali di diritto.
210. Procederò ad esaminare se il sistema PNR integri una violazione del diritto al rispetto della vita privata seguendo la griglia di analisi che deriva dal dettato dell’art. 8 della CEDU. Quindi, dopo aver verificato se tale sistema costituisca un’ingerenza nella vita privata dei passeggeri aerei, stabilirò se quest’ingerenza sia debitamente giustificata.
a) L’esistenza di un’ingerenza nella vita privata
211. A mio parere, è fuor di dubbio che sussista un’ingerenza nella vita privata creata dal complesso costituito dalla decisione del Consiglio che approva l’accordo, la decisione sull’adeguatezza e gli impegni del CBP. Mi sembra chiaro, infatti, che la consultazione, l’uso da parte del CBP e la messa a disposizione di quest’ultimo dei dati dei passeggeri aerei provenienti dai sistemi di prenotazione dei vettori aerei situati nel territorio degli Stati membri costituisca un’intermissione nella vita privata di tali passeggeri da parte delle autorità pubbliche.
212. Preciso inoltre che l’ingerenza nella vita privata dei passeggeri aerei mi sembra accertata anche se alcune rubriche dei dati PNR, isolatamente considerate, non si possano considerare come fonte di un pregiudizio individuale per la vita privata dei passeggeri interessati. Mi pare infatti necessario considerare complessivamente l’elenco delle rubriche dei dati PNR richiesti dal CBP e ciò nei limiti in cui il controllo incrociato di tali dati permetta la ricostruzione di profili personali.
213. Un’ingerenza nella vita privata viola il diritto al rispetto della vita privata a meno che non sia debitamente giustificata.
b) La giustificazione dell’ingerenza nella vita privata
214. Perché sia ammissibile, l’ingerenza nella vita privata è soggetta alla verifica di tre requisiti: occorre che essa sia prevista dalla legge, che abbia uno scopo legittimo e che si riveli necessaria in una società democratica.
i) L’ingerenza è prevista dalla legge?
215. Secondo una costante giurisprudenza della Corte europea dei diritti dell’uomo, questo requisito esige che la misura incriminata abbia un fondamento normativo e riguarda anche la qualità della legge di cui si tratta (96). L’esame della qualità della legge implica che questa sia accessibile ai cittadini, che sia precisa e prevedibile nelle conseguenze. Ciò presuppone che essa definisca con precisione sufficiente le condizioni e le modalità di limitazione del diritto garantito, al fine di consentire al cittadino di regolare il proprio comportamento e di usufruire di un’adeguata protezione contro l’arbitrio (97).
216. Secondo il Parlamento la misura che prevede l’ingerenza non è accessibile né prevedibile nelle conseguenze. Io non sono dello stesso parere.
217. Ritengo al contrario che la lettera della decisione del Consiglio e l’accordo ad essa allegato, nonché la lettera della decisione sull’adeguatezza che contiene in allegato gli impegni del CBP permettano ai soggetti interessati, ossia le compagnie aeree e i passeggeri aerei, di essere informati in modo sufficientemente preciso per regolare la propria condotta.
218. Faccio notare a tal fine il carattere relativamente dettagliato dei 48 paragrafi della dichiarazione d’impegno del CBP, che forniscono precisazioni riguardo al complesso normativo applicabile. Inoltre, la decisione sull’adeguatezza contiene nel preambolo i riferimenti della normativa statunitense rilevante e dei regolamenti di attuazione adottati dal CBP in forza di detta legge (98). Mi sembrerebbe quindi eccessivo pretendere che le disposizioni legislative e regolamentari statunitensi applicabili siano oggetto di integrale pubblicazione nella Gazzetta ufficiale dell’Unione europea. Oltre al fatto che quest’ultima, come rilevato dal Consiglio, non è destinata a pubblicare le leggi dei paesi terzi, ritengo che la dichiarazione d’impegno del CBP, pubblicata nella Gazzetta ufficiale, contenga le informazioni essenziali riguardo alla procedura di utilizzazione dei dati da parte del CBP e alle garanzie che la circondano.
219. Conformemente all’imperativo della sicurezza pubblica, le compagnie aeree considerate dal regime PNR sono informate degli obblighi su di esse incombenti in forza dell’accordo e i passeggeri aerei vengono informati circa i loro diritti, specie per quel che riguarda l’accesso ai dati e alla loro rettifica (99).
220. Vero è che, tenuto conto dell’interdipendenza tra gli elemento che compongono il sistema PNR, è un peccato che il preambolo dell’accordo contenga degli errori sul riferimento e la data della decisione sull’adeguatezza. Infatti, tali errori complicano il cammino di un cittadino europeo che voglia informarsi sul contenuto del sistema negoziato con gli Stati Uniti. Tuttavia, a mio parere questi errori non rendono tale ricerca eccessivamente difficile in quanto la decisione sull’adeguatezza è stata pubblicata nella Gazzetta ufficiale e gli strumenti di ricerca, soprattutto quelli informatici, ne permettono facilmente l’individuazione. Inoltre, il Consiglio si è impegnato a pubblicare una rettifica sulla Gazzetta ufficiale, cosa che in effetti è avvenuta (100).
221. Alla luce di queste considerazioni, ritengo che l’ingerenza nella vita privata dei passeggeri aerei interessati debba considerarsi come «prevista dalla legge» ai sensi dell’art.8, n. 2, della CEDU.
ii) L’ingerenza persegue uno scopo legittimo?
222. Considerate le diverse finalità menzionate dall’art. 8, n. 2, della CEDU, ritengo che l’ingerenza nella vita privata di cui si discute nella causa in oggetto persegua uno scopo legittimo. Questo vale in particolare per quel che riguarda la lotta contro il terrorismo.
223. Al pari del Consiglio, ritengo che la lotta contro reati gravi diversi dal terrorismo (101) rientri anch’essa in numerose categorie di interessi legittimi menzionati nell’art. 8, n. 2, della CEDU, come la sicurezza nazionale, la sicurezza pubblica, la difesa dell’ordine o la prevenzione dei reati. Pertanto, a mio avviso il sistema PNR persegue uno scopo legittimo anche quando prende in considerazione questi altri gravi reati.
224. Occorre ora verificare la proporzionalità dell’ingerenza chiedendosi se essa sia necessaria in una società democratica al fine di prevenire e di combattere contro il terrorismo ed altri gravi reati.
iii) L’ingerenza è necessaria in una società democratica per raggiungere tale scopo?
225. Prima di verificare con precisione il rispetto di questa condizione di proporzionalità, procederò ad alcuni rilievi preliminari relativi alla portata del controllo che la Corte deve esercitare.
226. Secondo la Corte europea dei diritti dell’uomo, l’aggettivo «necessaria» ai sensi dell’art. 8, n. 2, della CEDU implica che «un bisogno sociale imperativo» sia messo in gioco e che la misura adottata sia «proporzionata allo scopo legittimo perseguito» (102). Inoltre, «le autorità nazionali godono di un potere discrezionale la cui entità dipende non solo dalla finalità, ma anche dalla natura specifica dell’ingerenza» (103).
227. Nell’ambito del controllo del potere discrezionale degli Stati, la Corte europea dei diritti dell’uomo verifica tradizionalmente se i motivi invocati a sostegno delle ingerenze siano rilevanti e sufficienti, quindi se l’ingerenza sia proporzionata allo scopo legittimo perseguito e verifica infine se vi sia equilibrio tra l’interesse generale e gli interessi dell’individuo (104). Traendo spunto da tale giurisprudenza, è stato osservato che «il principio di proporzionalità, che è espressione di un’esigenza di adeguamento tra un obiettivo legittimo ed i mezzi utilizzati per raggiungerlo, si situa pertanto al cuore del controllo della discrezionalità nazionale» (105).
228. Il controllo di proporzionalità svolto dalla Corte europea dei diritti dell’uomo varia in funzione di parametri come la natura del diritto e delle attività di cui si tratta, lo scopo dell’ingerenza e l’eventuale presenza di un denominatore comune ai sistemi giuridici degli Stati.
229. Per quel che riguarda la natura del diritto e delle attività in questione, trattandosi di un diritto strettamente connesso alla sfera intima dell’individuo, come il diritto alla riservatezza dei dati personali relativi alla salute (106), la Corte europea dei diritti dell’uomo sembra considerare limitato il margine di discrezionalità dello Stato e ritenere che il suo controllo giurisdizionale debba essere più rigoroso (107).
230. Tuttavia, allorché lo scopo dell’ingerenza consiste nella tutela della sicurezza nazionale (108) o nella lotta contro il terrorismo (109), la Corte europea dei diritti dell’uomo tende a riconoscere un ampio potere discrezionale.
231. Considerate la natura e l’importanza dell’obiettivo di lotta contro il terrorismo, che appare preponderante nell’ambito del sistema PNR, e tenuto conto del contesto politicamente sensibile in cui si sono svolti i negoziati tra la Comunità e gli Stati Uniti, ritengo che nel caso in oggetto la Corte dovrebbe ritenere che il Consiglio e la Commissione disponevano di un elevato potere discrezionale nel negoziare il contenuto del sistema PNR con le autorità statunitensi. Pertanto, al fine di rispettare questo ampio potere discrezionale, il controllo esercitato dalla Corte riguardo alla necessità dell’ingerenza dovrebbe limitarsi, a mio avviso, alla verifica di un eventuale errore manifesto di valutazione da parte delle due istituzioni (110). Esercitando questo controllo limitato, la Corte eviterebbe in tal modo l’ostacolo di sostituire la propria valutazione a quella delle autorità politiche comunitarie riguardo alla natura dei mezzi maggiormente idonei e opportuni per lottare contro il terrorismo ed altri gravi reati.
232. Per delimitare la portata del controllo che intende esercitare, la Corte, oltre alla citata giurisprudenza della Corte europea dei diritti dell’uomo, potrebbe avvalersi della propria giurisprudenza, nella quale essa ha dichiarato che quando un’istituzione comunitaria dispone in un particolare settore di un ampio potere discrezionale, «solo il carattere manifestamente inidoneo di un provvedimento emanato, in relazione allo scopo che l’istituzione competente intende perseguire, può inficiare la legittimità di un siffatto provvedimento» (111). Questa limitazione del controllo di proporzionalità «si impone segnatamente» allorché «il Consiglio si trova a dover operare quale arbitro di interessi confliggenti e ad esercitare quindi opzioni nell’ambito delle scelte politiche che rientrano nelle sue responsabilità proprie» (112). La limitazione del controllo può essere inoltre giustificata dalla circostanza che, in un campo d’azione, un’istituzione comunitaria è portata ad effettuare valutazioni complesse (113).
233. A mio avviso questa giurisprudenza e le ragioni ad essa sottese vanno applicate nel caso in oggetto, in quanto, nell’ambito dell’elaborazione del sistema PNR, il Consiglio e la Commissione si sono trovati di fronte a scelte politiche tra diversi interessi difficili da conciliare e a valutazioni complesse (114). Questo sarebbe conforme al principio della separazione dei poteri, che impone alla Corte di rispettare le responsabilità politiche incombenti sugli organi legislativi ed amministrativi comunitari e, di conseguenza, di non sostituirsi ad essi nelle scelte politiche che sono chiamati ad effettuare.
234. Occorre ora verificare attentamente se, adottando i diversi elementi costitutivi del sistema PNR, il Consiglio e la Commissione hanno manifestamente superato i limiti posti al loro potere discrezionale alla luce del diritto al rispetto della vita privata, e più in particolare al diritto alla protezione dei dati personali dei passeggeri aerei, tenuto conto dello scopo legittimo perseguito.
235. Nell’ambito di detto esame, il contenuto della dichiarazione d’impegno del CBP riveste un’importanza particolare in quanto contiene il dettaglio delle garanzie che regolano il sistema PNR. Sottolineo al riguardo che a mio avviso sarebbe sbagliato ritenere che la detta dichiarazione sia priva di qualsiasi effetto vincolante e che contenga impegni che possono essere liberamente modificati o ritrattati dalle autorità statunitensi.
236. Infatti, la dichiarazione d’impegno, allegata, lo ricordo, alla decisione sull’adeguatezza, costituisce una delle componenti del sistema PNR e, in quanto tale, il suo mancato rispetto porterebbe alla paralisi dell’intero sistema. Sottolineo in proposito che i paragrafi 1 e 2 dell’accordo subordinano l’obbligo del trattamento dei dati PNR che incombe sui vettori aerei alla rigorosa applicazione della decisione sull’adeguatezza, e che tale obbligo vale solo «per tutto il periodo in cui la decisione è applicabile». Inoltre, ai sensi del paragrafo 3 dell’accordo, il CBP «attesta che sta attuando le dichiarazioni di impegno allegate a detta decisione». Infine, gli artt. 3, 4 e 5 della decisione sull’adeguatezza definiscono le misure da adottare in caso di mancato rispetto delle norme di protezione contenute nella dichiarazione d’impegno. Tra queste misure, è previsto che le autorità competenti degli Stati membri possano sospendere il trasferimento dei dati verso il CBP e che, in caso di mancato rispetto dei principi essenziali per garantire un livello adeguato di protezione dei soggetti interessati, la decisione sull’adeguatezza possa essere sospesa o annullata, cosa che renderebbe inapplicabili in paragrafi 1 e 2 dell’accordo.
237. Allo scopo di far dichiarare dalla Corte che l’ingerenza nella vita privata dei suddetti passeggeri non rispetta il principio di proporzionalità, il Parlamento invoca, in primo luogo, il carattere eccessivo del numero di dati richiesti dal CBP alle compagnie aeree. Esso inoltre sostiene che alcune delle rubriche dei PNR richiesti potrebbero contenere dati sensibili.
238. A mio avviso, nel determinare l’elenco delle 34 rubriche di dati personali così come allegato alla decisione sull’adeguatezza, la Commissione non ha accettato una misura manifestamente inadatta al fine di raggiungere l’obiettivo della lotta contro il terrorismo ed altri gravi reati. Occorre difatti sottolineare, da un lato, l’importanza dell’attività di informazione nella lotta contro il terrorismo, Dal momento che il recupero di informazioni adeguate può mettere i servizi di sicurezza di uno Stato in grado di prevenire un eventuale attentato terroristico. Sotto tale prospettiva, la necessità di tracciare il profilo di potenziali terroristi può rendere necessario l’accesso ad un elevato numero di dati. Dall’altro lato, il fatto che altri strumenti relativi allo scambio di informazioni adottate in seno all’Unione europea prevedano la comunicazione di un numero inferiore di dati non basta a dimostrare che il numero di dati richiesti nello strumento specifico di lotta al terrorismo costituito dal sistema PNR (115) sia eccessivo.
239. Inoltre, se è giusto ricordare, come fa il Parlamento, che tre delle rubriche di dati richiesti possono contenere dati sensibili (116), faccio però notare, da un lato, che l’accesso del CBP a queste tre rubriche è stato rigidamente limitato dal paragrafo 5 della dichiarazione d’impegno, dall’altro lato, in base ai paragrafi 9‑11 di tale dichiarazione, è escluso che il CBP possa fare uso di dati sensibili, infine, il CBP ha istituito un sistema di filtraggio di tali dati, conformemente agli impegni assunti (117).
240. In secondo luogo, il Parlamento ritiene che le autorità statunitensi conservino i dati dei passeggeri aerei per troppo tempo, considerato lo scopo perseguito.
241. Il periodo di conservazione di questi dati viene menzionato al paragrafo 15 della dichiarazione d’impegno che stabilisce, in sostanza, l’accesso on‑line ai suddetti dati da parte degli utenti autorizzati dal CBP per un periodo iniziale di sette giorni. Al termine di tale periodo, la consultazione dei dati da parte di un numero limitato di funzionari autorizzati sarà possibile per un periodo di tre anni e sei mesi. Infine, allo scadere di questo termine i dati non consultati manualmente durante tale lasso di tempo saranno distrutti, mentre i dati che sono stati consultati manualmente durante il periodo di tre anni e sei mesi saranno trasferiti dal CBP verso un file di dati cancellati, in cui rimarranno per un periodo di otto anni prima di essere distrutti (118).
242. Da tale disposizione risulta che la durata normale di conservazione dei dati PNR è di tre anni e sei mesi, fatta eccezione per quelli che vengono consultati manualmente durante tale periodo. A mio parere, tale durata non è manifestamente eccessiva, specie se si tiene conto del fatto che, come spiegato dal Consiglio, le indagini eventualmente svolte a seguito di attentati terroristici o di altri gravi crimini si protraggono a volte per anni. Pertanto, se, in linea di principio, è auspicabile che i dati personali vengano conservati per un periodo di tempo breve, nella causa in oggetto occorre considerare in prospettiva la durata di conservazione dei dati PNR con l’utilità che essi posseggono non solo a fini di prevenzione del terrorismo, ma più in generale per finalità repressive.
243. Alla luce di queste considerazioni, il sistema di conservazione dei dati, come previsto dal paragrafo 15 della dichiarazione d’impegno, non mi sembra possa dar vita ad una violazione manifesta del diritto al rispetto della vita privata.
244. In terzo luogo il Parlamento lamenta il fatto che il sistema PNR non prevede un controllo giurisdizionale sul trattamento dei dati personali da parte delle autorità statunitensi.
245. Faccio notare che tanto la convenzione n. 108 quanto la direttiva 95/46 prevedono un ricorso giurisdizionale in caso di violazione delle disposizioni di diritto interno che applicano le regole contenute nei due suddetti strumenti giuridici (119).
246. Alla luce dell’art. 8, n. 2, della CEDU, ritengo che le regole definite ai paragrafi 36 e segg. della dichiarazione d’impegno, i quali prevedono una serie di garanzie in termini di informazione, accesso ai dati e mezzi di ricorso a favore dei passeggeri aerei interessati, permettano di evitare possibili abusi. Il complesso di tali garanzie mi porta a ritenere che, tenuto conto dell’ampio margine di discrezionalità che, a mio avviso, dev’essere riconosciuto nella fattispecie al Consiglio e alla Commissione, l’ingerenza nella vita privata dei passeggeri aerei sia proporzionata allo scopo legittimo perseguito dal sistema PNR.
247. Più precisamente, occorre rilevare che, oltre alle informazioni di tipo generale che il CBP si è impegnato a portare a conoscenza dei passeggeri aerei (120), il paragrafo 37 della dichiarazione d’impegno prevede che i soggetti interessati, conformemente alla legge sulla libertà di informazione (121), possano ottener copia delle informazioni risultanti dal PNR che li riguardano e che compaiono nella banca dati del CBP (122).
248. Vero è che il paragrafo 38 della dichiarazione d’impegno prevede la facoltà del CBP «[i]n talune circostanze eccezionali» di rifiutare o di rinviare la divulgazione di tutto o di parte di un fascicolo PNR, ad esempio quando la divulgazione «sia tale da interferire con procedimenti penali» oppure qualora essa «sveli le tecniche e le procedure relative ad indagini». Tuttavia, oltre al fatto che tale facoltà di cui il CBP può avvalersi viene definita dalla legge, va sottolineato come, ai sensi del medesimo paragrafo della dichiarazione d’impegno, in base al FOIA «ogni richiedente ha la possibilità di impugnare, per via amministrativa o giudiziaria, la decisione di rifiuto del CBP di comunicare le informazioni richieste» (123).
249. Inoltre, il paragrafo 40 della dichiarazione d’impegno precisa che le richieste di rettifica dei dati del PNR contenute nella banca dati del CBP e i reclami dei singoli sul trattamento dei loro dati PNR da parte di quest’ultimo vanno presentati all’«Assistant Commissioner» du CBP (124).
250. Qualora l’oggetto di un reclamo non possa essere risolto dal CBP, esso può essere presentato al «Responsabile della protezione della vita privata» («Chief Privacy Officer») del Ministero della sicurezza interna (125).
251. Peraltro, il paragrafo 42 della dichiarazione d’impegno stabilisce che «l’Ufficio responsabile per la protezione della vita privata del ministero della Sicurezza interna tratterà con procedura accelerata i reclami sottopostigli dalle autorità incaricate della protezione dei dati degli Stati membri dell’Unione europea per conto di un residente dell’Unione europea, qualora quest’ultimo abbia autorizzato l’autorità incaricata della protezione dei dati ad agire per suo conto e ritenga che il suo reclamo sulla protezione dei dati riguardante il PNR non sia stato trattato in modo soddisfacente dal CBP, conformemente ai punti 37‑41, o dall’Ufficio responsabile della protezione della vita privata del ministero della Sicurezza interna».
252. Sempre il paragrafo 42 stabilisce, da un lato, che tale Ufficio «comunicherà le proprie conclusioni e fornirà un parere alla o alle autorità incaricate» e, dall’altro lato, che il Chief Privacy Officer «[n]ella sua relazione al Congresso, (…) farà riferimento al numero, al merito e alla soluzione data alle controversie relative al trattamento dei dati personali, quali i dati del PNR» (126).
253. Il Parlamento sottolinea giustamente che il Chief Privacy Officer non è un organo giurisdizionale. Tuttavia, faccio notare che si tratta di un organo amministrativo dotato di un certo grado di indipendenza rispetto al ministero della Sicurezza interna e le cui decisioni hanno effetto vincolante (127).
254. Inoltre, la possibilità in tal modo offerta ai passeggeri aerei di presentare denunce al Chief Privacy Officer, nonché di usufruire di un ricorso giurisdizionale nell’ambito del FOIA costituiscono notevoli garanzie con riguardo al loro diritto al rispetto della vita privata. Date queste garanzie, non ritengo che il Consiglio e la Commissione abbiano superato i limiti posti al loro potere discrezionale nell’ambito dell’adozione del sistema PNR.
255. Infine, il Parlamento ritiene che il PNR sia andato oltre quanto necessario per combattere il terrorismo ed altri gravi reati in quanto consente il trasferimento dei dati dei passeggeri aerei ad altre autorità pubbliche. Egli ritiene che il CBP potrebbe trasmettere discrezionalmente i dati emergenti dal PNR ad altre autorità pubbliche, tra cui autorità governative straniere, cosa che sarebbe incompatibile con l’art. 8, n. 2, della CEDU.
256. Non sono dello stesso avviso. Anche in questo caso, infatti, le garanzie che accompagnano la trasmissione di dati PNR ad altre autorità governative permettono a mio parere di ritenere che l’ingerenza nella vita privata dei passeggeri aerei presenti un carattere proporzionato al fine di conseguire lo scopo cui mira il sistema PNR.
257. Benché la dichiarazione d’impegno riconosca al CBP un notevole potere discrezionale, faccio rilevare come questo potere sia ben delimitato. Difatti, come stabilito dal paragrafo 29 della dichiarazione d’impegno, la trasmissione di dati PNR ad altre autorità governative «incaricate di far rispettare la legge o della lotta contro il terrorismo», «comprese le autorità degli altri paesi», può essere effettuata solo «previo esame del caso singolo» e soltanto, in linea di principio, «a fini di prevenzione e lotta contro i reati di cui al punto 3». Ai sensi del paragrafo 30 della detta dichiarazione, il CBP deve verificare se il motivo invocato per la divulgazione dei dati ad un’altra autorità sia conforme alle finalità indicate.
258. Vero è che i paragrafi 34 e 35 della dichiarazione d’impegno effettuano un’estensione delle suddette finalità in quanto consentono, rispettivamente, da un lato, l’uso o la divulgazione dei dati del PNR alle autorità governative competenti «qualora tale divulgazione sia essenziale per la tutela degli interessi vitali della persona interessata o di altre persone, in particolare in caso di gravi rischi per la salute» e, d’altro lato, l’uso o la divulgazione di dati del PNR «nell’ambito di un procedimento penale o negli altri casi previsti dalla legge».
259. Tuttavia, oltre al fatto che tali finalità sono per lo più legate allo scopo legittimo perseguito dal sistema PNR, faccio rilevare che la dichiarazione d’impegno contiene un certo numero di garanzie. Infatti, per esempio, il paragrafo 31 prevede che «[p]er regolare la divulgazione dei dati PNR che possono essere trasmess[i] ad altre autorità designate, il CBP è considerato il “proprietario” dei dati, e le autorità designate sono soggette, in forza delle specifiche condizioni di trasmissione», ad una serie di obblighi. Tra i doveri che incombono sulle autorità destinatarie dei dati, vi sono in particolare quello di «garantire la cancellazione sistematica delle informazioni del PNR ricevute, in conformità con le procedure di conservazione dei dati applicate dall’autorità designata» e quello «di richiedere l’autorizzazione esplicita del CBP per ogni trasmissione successiva dei dati».
260. Inoltre, il paragrafo 32 della dichiarazione d’impegno precisa che «[l]a divulgazione di dati del PNR da parte del CBP è soggetta alla condizione che l’ente destinatario tratti i dati in questione come informazioni riservate di carattere commerciale, come dati sensibili in relazione all’applicazione della legge o come dati riservati di carattere personale dei soggetti interessati (…) e come tali da ritenersi sottratti alla divulgazione in virtù della legge sulla libertà di informazione (…)». Inoltre, al medesimo paragrafo si spiega che «l’ente destinatario è informato del fatto che ogni divulgazione successiva delle informazioni di cui trattasi è vietata senza previa autorizzazione espressa del CBP», il quale inoltre «non autorizzerà alcuna trasmissione successiva di dati del PNR per finalità diverse da quelle indicate ai [paragrafi] 29, 34 o 35». Infine, il paragrafo 35 della dichiarazione d’impegno stabilisce che «[i] membri del personale di tali autorità designate che, senza autorizzazione, rivelano i dati del PNR sono passibili di sanzioni penali».
261. La considerazione di tutte queste garanzie impedisce di ritenere, a mio parere, che il Consiglio e la Commissione abbiano oltrepassato i limiti dell’ampio potere discrezionale che mi sembra debba essere loro riconosciuto allo scopo di combattere contro il terrorismo ed altri gravi reati.
262. Da ciò consegue che i motivi attinenti alla violazione del diritto alla protezione dei dati personali e alla violazione del principio di proporzionalità sono infondati e di conseguenza debbono essere respinti.
D – Sul motivo attinente all’insufficiente motivazione della decisione del Consiglio
263. Il Parlamento europeo sostiene che la decisione del Consiglio non soddisfa i requisiti di motivazione imposti dall’art. 253 CE. In particolare, esso ritiene che tale decisione non contenga una motivazione che spieghi se, e in quale misura, questo atto abbia come oggetto il funzionamento del mercato interno.
264. Per contro, il Consiglio, sostenuto dal Regno Unito e dalla Commissione, ritiene che la motivazione della sua decisione sia conforme ai requisiti individuati dalla Corte.
265. A mio parere, la motivazione della decisione, benché succinta, è sufficiente.
266. Secondo una costante giurisprudenza, la motivazione richiesta dall’art. 235 CE «dev’essere adeguata alla natura dell’atto e deve fare apparire in forma chiara e non equivoca l’iter logico seguito dall’istituzione da cui promana l’atto, in modo da consentire agli interessati di conoscere le ragioni del provvedimento adottato e permettere alla Corte di esercitare il proprio controllo». Emerge tra l’altro da tale giurisprudenza che «la motivazione non deve necessariamente specificare tutti gli elementi di fatto e di diritto rilevanti, in quanto l’accertamento del se la motivazione di un atto soddisfi le condizioni di cui [all’art. 235 CE] va effettuato alla luce non solo del suo tenore, ma anche del suo contesto nonché del complesso delle norme giuridiche che disciplinano la materia» (128).
267. Per quanto riguarda la natura dell’atto, va ricordato che si tratta di una decisione il cui oggetto principale è quello di approvare, in nome della Comunità, l’accordo tra questa e gli Stati Uniti. La decisione contiene, a tal riguardo, le necessarie precisazioni relative alla procedura seguita, ossia un’adozione da parte del Consiglio conformemente al procedimento definito dall’art. 300, n. 2, primo comma, CE, nonché l’indicazione secondo la quale il Parlamento non ha emesso il proprio parere entro il termine fissato dal Consiglio ai sensi dell’art. 300, n. 3, primo comma, CE. Sottolineo, inoltre, che la decisione del Consiglio menziona nel preambolo l’art. 95 CE.
268. Per di più, tenuto conto della particolare natura della suddetta decisione, che è difficile isolare completamente dall’accordo internazionale su cui verte, la verifica della sufficienza della motivazione deve a mio avviso comprendere anche il preambolo dello stesso accordo. A tal proposito, la lettura combinata della decisione del Consiglio e del preambolo dell’accordo, come dimostrato dall’analisi dei motivi precedenti, permettono alla Corte di esercitare il proprio controllo, specie per quel che riguarda l’adeguatezza del fondamento giuridico prescelto.
269. Di conseguenza, ritengo che il motivo attinente al fatto che la decisione del Consiglio non sarebbe sufficientemente motivata debba essere respinto in quanto infondato.
E – Sul motivo attinente alla violazione del principio di leale cooperazione sancito dall’art. 10 CE
270. Con il detto motivo il Parlamento sostiene che, sebbene l’art. 300, n. 3, primo comma, CE, attribuisca al Consiglio il potere di fissargli un termine, a seconda dell’urgenza, per emettere il suo parere, e sebbene la procedura di richiesta di un parere preliminare della Corte, prevista dall’art. 300, n. 6, CE, non abbia carattere sospensivo, il Consiglio avrebbe violato, nel corso della procedura di adozione dell’accordo, il dovere di leale cooperazione previsto dall’art. 10 CE.
271. Il Consiglio, sostenuto dalla Commissione e dal Regno Unito, ritiene invece di non aver violato il principio di leale cooperazione concludendo l’accordo quando il Parlamento aveva sottoposto alla Corte una richiesta di parere in forza dell’art. 300, n. 6, CE.
272. L’art. 10 CE impone agli Stati membri un dovere di leale cooperazione nei confronti delle istituzioni comunitarie, ma non sancisce esplicitamente il principio di leale cooperazione tra le istituzioni stesse. Tuttavia, la Corte ha dichiarato che nell’ambito del dialogo interistituzionale sul quale si basa essenzialmente la procedura di consultazione, prevalgono gli stessi obblighi reciproci di leale cooperazione che disciplinano i rapporti fra gli Stati membri e le istituzioni comunitarie (129).
273. Dal contesto fattuale della causa in oggetto risulta che il 17 marzo 2004 la Commissione ha trasmesso al Parlamento la proposta di decisione del Consiglio e che, con lettera 25 marzo 2004, il Consiglio ha chiesto al Parlamento di rendere il suo parere su tale decisione entro il 22 aprile 2004. Nella sua lettera, il Consiglio sottolinea che «[l]a lotta contro il terrorismo, che giustifica le misure proposte, costituisce una priorità essenziale dell’Unione europea. Attualmente, i vettori aerei e i passeggeri versano in una situazione di incertezza cui occorre rimediare con urgenza. Inoltre, è fondamentale tutelare gli interessi economici delle parti interessate».
274. Il 21 aprile 2004, ai sensi dell’art. 300, n. 6, CE, il Parlamento ha deciso di accettare il parere della Corte sulla compatibilità dell’accordo con le disposizioni del Trattato.
275. Il 28 aprile 2004 il Consiglio, sulla base dell’art. 300, n. 3, primo comma, CE, ha inviato al Parlamento una lettera chiedendogli di pronunciare il suo parere sulla conclusione dell’accordo entro il 5 maggio 2004. Per giustificare l’urgenza, il Consiglio ribadiva i motivi indicati nella sua lettera del 5 marzo 2004.
276. Questa domanda d’urgenza veniva respinta dal Parlamento, il cui presidente invitava inoltre il Consiglio e la Commissione a non proseguire nel loro intento fino a che la Corte non avesse pronunciato il parere richiesto il 21 aprile 2004. Nonostante ciò, il Consiglio adottava la decisione contestata il 17 maggio 2004.
277. Non ritengo che il Consiglio sia venuto meno al proprio dovere di leale cooperazione nei confronti del Parlamento adottando la decisione di approvare l’accordo a nome della Comunità prima che si concludesse la procedura di richiesta di parere alla Corte avviata dal Parlamento ai sensi dell’art. 300, n. 6, CE.
278. Infatti, come del resto lo stesso Parlamento ha riconosciuto, l’avvio della procedura di richiesta di parere alla Corte non ha carattere sospensivo. Essa pertanto non impedisce al Consiglio di adottare la decisione di approvare l’accordo mentre la procedura stessa è ancora in corso, e ciò anche se il termine che separa l’introduzione della richiesta di parere alla Corte e la decisione che approva l’accordo è, come nel caso di specie, relativamente breve.
279. Al riguardo va precisato che la mancanza di carattere sospensivo in una richiesta di parere alla Corte, presentata ai sensi dell’art. 300, n. 6, CE, si può dedurre tanto dalla lettera di tale articolo, il quale non prevede espressamente tale carattere sospensivo, quanto dalla giurisprudenza della Corte. Infatti, nel parere 3/94 (130) essa ha dichiarato che la domanda di parere diviene priva di oggetto, e la Corte non è tenuta a darvi seguito, nel caso in cui l’accordo sui cui essa verte, accordo che al momento in cui la Corte è stata adita era in fase di progettazione, sia stato nel frattempo concluso. Essa ha inoltre precisato, da un lato, che il procedimento di cui all’art. 300, n. 6, CE «mira, in primo luogo, (...) a prevenire le complicazioni che risultino dall’incompatibilità col Trattato di accordi internazionali che vincolano la Comunità e non a tutelare gli interessi e i diritti dello Stato membro o dell’istituzione comunitaria che hanno proposto la domanda di parere» (131) e, d’altro lato, che, «[i]n ogni caso, lo Stato o l’istituzione comunitaria che hanno presentato la domanda di parere dispongono del ricorso di annullamento contro la decisione del Consiglio di stipulare l’accordo (...)» (132).
280. Peraltro, sia dai documenti del fascicolo sia dal secondo ‘considerando’ della decisione del Consiglio emerge che quest’ultimo ha sufficientemente motivato l’urgenza invocata per ottenere entro breve tempo il parere del Parlamento, ai sensi dell’art. 300, n. 3, primo comma, CE. Faccio rilevare infine che tale articolo prevede espressamente che «[i]n mancanza di parere entro detto termine il Consiglio può deliberare».
281. Tenuto conto del complesso dei suddetti elementi, ritengo che il motivo attinente alla violazione da parte del Consiglio del suo dovere di leale cooperazione debba essere respinto.
VII – Sulle spese
282. Nella causa C-318/04 la fondatezza del ricorso proposto dal Parlamento implica che la Commissione sia condannata alle spese, conformemente al disposto dell’art. 69, n. 2, del regolamento di procedura della Corte. Inoltre, ai sensi dell’art. 69, n. 4, del medesimo regolamento, le parti intervenienti, ossia il Regno Unito e il garante, sopportano le proprie spese.
283. Nella causa C-317/04 la fondatezza del ricorso proposto dal Parlamento implica che il Consiglio sia condannato alle spese, ai sensi del disposto dell’art. 69, n. 2, del regolamento di procedura della Corte. Inoltre, ai sensi dell’art. 69, n. 4, del medesimo regolamento, le parti intervenienti, ossia il Regno Unito, la Commissione e il garante, sopportano le proprie spese.
VIII – Conclusione
284. Alla luce del complesso delle considerazioni che precedono, suggerisco che la Corte voglia:
«– nella causa C-318/04, annullare la decisione della Commissione 14 maggio 2005, 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti United States’ Bureau of Customs and Border Protection;
– nell’ambito della causa C-317/04, annullare la decisione del Consiglio 17 maggio 2004, 2004/496/CE, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti».