SENTENZA DELLA CORTE (Grande Sezione)

21 giugno 2022 (*)

Indice

I. Contesto normativo

A. Diritto dell’Unione

1. Direttiva 95/46/CE

2. Direttiva API

3. Direttiva 2010/65

4. RGPD

5. Direttiva 2016/680

6. Direttiva PNR

7. Decisione quadro 2002/475

B. Diritto belga

1. Costituzione

2. Legge del 25 dicembre 2016

II. Procedimento principale e questioni pregiudiziali

III. Sulle questioni pregiudiziali

A. Sulla prima questione

B. Sulle questioni seconda, terza, quarta e sesta

1. Sulle ingerenze risultanti dalla direttiva PNR nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta

2. Sulla giustificazione delle ingerenze risultanti dalla direttiva PNR

a) Sul rispetto del principio di legalità e del contenuto essenziale dei diritti fondamentali in questione

b) Sull’obiettivo di interesse generale e sull’idoneità dei trattamenti dei dati PNR sotto il profilo di tale obiettivo

c) Sul carattere necessario delle ingerenze risultanti dalla direttiva PNR

1) Sui dati dei passeggeri aerei contemplati dalla direttiva PNR

2) Sulle finalità dei trattamenti dei dati PNR

3) Sul collegamento tra i dati PNR e le finalità del trattamento di tali dati

4) Sui passeggeri aerei e i voli interessati

5) Sulla valutazione preliminare dei dati PNR mediante trattamenti automatizzati

i) Sul confronto dei dati PNR con le banche dati

ii) Sul trattamento dei dati PNR sulla base di criteri prestabiliti

iii) Sulle garanzie che accompagnano il trattamento automatizzato dei dati PNR

6) Sulla comunicazione e sulla valutazione successive dei dati PNR

C. Sulla quinta questione

D. Sulla settima questione

E. Sull’ottava questione

F. Sulla nona questione, lettera a)

G. Sulla nona questione, lettera b)

H. Sulla decima questione

IV. Sulle spese

«Rinvio pregiudiziale – Trattamento dei dati personali – Dati del codice di prenotazione (PNR) – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2, lettera d) – Ambito di applicazione – Direttiva (UE) 2016/681 – Uso dei dati PNR dei passeggeri dei voli aerei operati tra l’Unione europea e paesi terzi – Facoltà d’includere i dati dei passeggeri dei voli aerei operati all’interno dell’Unione – Trattamenti automatizzati di tali dati – Periodo di conservazione – Lotta contro i reati di terrorismo e i reati gravi – Validità – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 21 nonché articolo 52, paragrafo 1 – Normativa nazionale che estende l’applicazione del sistema PNR ad altri trasporti operati all’interno dell’Unione – Libertà di circolazione all’interno dell’Unione – Carta dei diritti fondamentali – Articolo 45»

Nella causa C‑817/19,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Cour constitutionnelle (Corte costituzionale, Belgio), con decisione del 17 ottobre 2019, pervenuta in cancelleria il 31 ottobre 2019, nel procedimento

Ligue des droits humains

contro

Conseil des ministres,

LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, A. Arabadjiev, S. Rodin, I. Jarukaitis e N. Jääskinen, presidenti di sezione, T. von Danwitz (relatore), M. Safjan, F. Biltgen, P.G. Xuereb, N. Piçarra, L.S. Rossi, A. Kumin e N. Wahl, giudici,

avvocato generale: G. Pitruzzella

cancelliere: M. Krausenböck, amministratrice,

vista la fase scritta del procedimento e in seguito all’udienza del 13 luglio 2021,

considerate le osservazioni presentate:

–        per la Ligue des droits humains, da C. Forget, avocate;

–        per il governo belga, da P. Cottin, J.-C. Halleux, C. Pochet e M. Van Regemorter, in qualità di agenti, assistiti da C. Caillet, advocaat, E. Jacubowitz, avocat, G. Ceuppens, V. Dethy e D. Vertongen;

–        per il governo ceco, da T. Machovičová, O. Serdula, M. Smolek e J. Vláčil, in qualità di agenti;

–        per il governo danese, da M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen e M. Søndahl Wolff, in qualità di agenti;

–        per il governo tedesco, da D. Klebs e J. Möller, in qualità di agenti;

–        per il governo estone, da N. Grünberg, in qualità di agente;

–        per l’Irlanda, da M. Browne, A. Joyce e J. Quaney, in qualità di agenti, assistiti da D. Fennelly, BL;

–        per il governo spagnolo, da L. Aguilera Ruiz, in qualità di agente;

–        per il governo francese, da D. Dubois, E. de Moustier e T. Stehelin, in qualità di agenti;

–        per il governo cipriota, da E. Neofytou, in qualità di agente;

–        per il governo lettone, da E. Bārdiņš, K. Pommere e V. Soņeca, in qualità di agenti;

–        per il governo dei Paesi Bassi, da M.K. Bulterman, A. Hanje, J. Langer e C.S. Schillemans, in qualità di agenti;

–        per il governo austriaco, da G. Kunnert, A. Posch e J. Schmoll, in qualità di agenti;

–        per il governo polacco, da B. Majczyna, in qualità di agente;

–        per il governo slovacco, da B. Ricziová, in qualità di agente;

–        per il governo finlandese, da A. Laine e H. Leppo, in qualità di agenti;

–        per il Parlamento europeo, da O. Hrstková Šolcová e P. López‑Carceller, in qualità di agenti;

–        per il Consiglio dell’Unione europea, da J. Lotarski, N. Rouam, E. Sitbon, e C. Zadra, in qualità di agenti;

–        per la Commissione europea, da D. Nardi e M. Wasmeier, in qualità di agenti;

–        per il Garante europeo della protezione dei dati, da P. Angelov, A. Buchta, F. Coudert e C.-A. Marnier, in qualità di agenti;

–        per l’Agenzia dell’Unione europea per i diritti fondamentali, da L. López, T. Molnar, M. Nespor e M. O’Flaherty, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 27 gennaio 2022,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte, in sostanza:

–        sull’interpretazione dell’articolo 2, paragrafo 2, lettera d), e dell’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU 2004, L 261, pag. 24, in prosieguo: la «direttiva API»), nonché della direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE (GU 2010, L 283, pag. 1);

–        sull’interpretazione e la validità, alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), dell’articolo 3, punto 4, degli articoli 6 e 12 e dell’allegato I alla direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU 2016, L 119, pag. 132; in prosieguo: la «direttiva PNR»), nonché

–        sull’interpretazione e la validità, alla luce dell’articolo 3, paragrafo 2, TUE e dell’articolo 45 della Carta, della direttiva API.

2        Tale domanda è stata presentata nell’ambito di una controversia tra la Ligue des droits humains e il Conseil des ministres (Consiglio dei ministri, Belgio) in merito alla legittimità della legge del 25 dicembre 2016, che disciplina il trattamento dei dati dei passeggeri.

I.      Contesto normativo

A.      Diritto dell’Unione

1.      Direttiva 95/46/CE

3        La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), è stata abrogata, a decorrere dal 25 maggio 2018, dal RGPD. L’articolo 3, paragrafo 2, di tale direttiva così disponeva:

«Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali:

–      effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;

–      effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».

2.      Direttiva API

4        I considerando 1, 7, 9 e 12 della direttiva API prevedono quanto segue:

«(1)      Per lottare efficacemente contro l’immigrazione illegale e migliorare il controllo alle frontiere è fondamentale che tutti gli Stati membri adottino disposizioni che istituiscano obblighi per i vettori aerei che trasportano passeggeri nel territorio degli Stati membri. Ai fini di una maggiore efficacia di tale obiettivo, occorre altresì armonizzare, per quanto possibile, le sanzioni pecuniarie previste dagli Stati membri in caso di violazione degli obblighi cui sono soggetti i vettori, tenendo conto delle differenze esistenti tra gli ordinamenti giuridici e le prassi degli Stati membri.

(...)

(7)      Gli obblighi che devono essere imposti ai vettori ai sensi della presente direttiva sono complementari a quelli stabiliti a norma delle disposizioni dell’articolo 26 della convenzione di Schengen del 1990 di applicazione dell’accordo di Schengen del 14 giugno 1985, integrate dalla direttiva 2001/51/CE del Consiglio[, del 28 giugno 2001, che integra le disposizioni dell’articolo 26 della convenzione di applicazione dell’accordo di Schengen del 14 giugno 1985 (GU 2001, L 187, pag. 45)]. I due tipi di obblighi perseguono infatti lo stesso obiettivo di controllare i flussi migratori e di combattere l’immigrazione illegale.

(...)

(9)      Ai fini di una lotta più efficace contro l’immigrazione illegale e di una maggiore efficacia di tale obiettivo, è fondamentale che, fatte salve le disposizioni della direttiva [95/46], si tenga conto al più presto possibile di qualsiasi innovazione tecnologica, in particolare riguardante l’integrazione e l’uso di elementi biometrici nelle informazioni che i vettori devono fornire.

(...)

(12)      La direttiva [95/46] si applica al trattamento dei dati personali da parte delle autorità degli Stati membri. Ciò significa che, mentre sarebbe legittimo trattare i dati dei passeggeri trasmessi per l’espletamento dei controlli di frontiera anche per consentirne l’utilizzo come mezzi probatori in procedimenti diretti all’applicazione della normativa in materia di ingresso e immigrazione, incluse le relative disposizioni sulla tutela dell’ordine pubblico (“ordre public”) e della sicurezza nazionale, qualsiasi altro trattamento che non fosse compatibile con i suddetti fini sarebbe in contrasto con il principio enunciato all’articolo 6, paragrafo 1, lettera b), della direttiva [95/46]. Gli Stati membri dovrebbero prevedere un sistema di sanzioni da infliggere in caso di uso dei dati in contrasto con gli obiettivi della presente direttiva».

5        L’articolo 1 della direttiva API, intitolato «Obiettivo», prevede quanto segue:

«La presente direttiva intende migliorare i controlli alle frontiere e combattere l’immigrazione illegale attraverso la trasmissione anticipata, da parte dei vettori, dei dati relativi alle persone trasportate alle competenti autorità nazionali».

6        L’articolo 2 di tale direttiva, intitolato «Definizioni», così recita:

«Ai fini della presente direttiva si intende per:

a)      “vettore”: ogni persona fisica o giuridica che trasporta persone a titolo professionale per via aerea;

b)      “frontiere esterne”: le frontiere esterne degli Stati membri con i paesi terzi;

c)      “controllo alla frontiera”: il controllo, effettuato alla frontiera, esclusivamente come reazione ad una richiesta di attraversamento di tale frontiera, senza tener conto di qualsiasi altra considerazione;

d)      “valico di frontiera”: ogni valico di frontiera autorizzato dalle autorità competenti per l’attraversamento delle frontiere esterne;

e)      “dati personali”, “trattamento di dati personali” e “archivio di dati personali”: lo stesso significato di cui all’articolo 2 della direttiva [95/46]».

7        L’articolo 3 della direttiva in parola, intitolato «Trasmissione dei dati», ai suoi paragrafi 1 e 2 così dispone:

«1.      Gli Stati membri adottano le disposizioni necessarie per istituire l’obbligo per i vettori di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative alle persone che saranno trasportate a un valico di frontiera autorizzato attraverso il quale tali persone entreranno nel territorio di uno Stato membro.

2.      Dette informazioni comprendono:

–        il numero e il tipo di documento di viaggio utilizzato,

–        la cittadinanza,

–        il nome completo,

–        la data di nascita,

–        il valico di frontiera di ingresso nel territorio degli Stati membri,

–        il numero del trasporto,

–        l’ora di partenza e di arrivo del mezzo di trasporto,

–        il numero complessivo di passeggeri trasportati con tale mezzo,

–        il primo punto di imbarco».

8        L’articolo 6 della direttiva API, intitolato «Trattamento dei dati», così recita:

«1.      I dati personali di cui all’articolo 3, paragrafo 1, sono trasmessi alle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne attraverso le quali il passeggero entrerà nel territorio di uno Stato membro, al fine di agevolare l’esecuzione di tali controlli con l’obiettivo di combattere più efficacemente l’immigrazione illegale.

Gli Stati membri provvedono a che tali dati siano raccolti dai vettori e trasmessi per via elettronica o, se ciò non fosse possibile, con altri mezzi appropriati alle autorità incaricate di effettuare i controlli alle frontiere al valico di frontiera autorizzato attraverso il quale il passeggero entrerà nel territorio di uno Stato membro. Le autorità incaricate di effettuare i controlli delle persone alle frontiere esterne salvano i dati in un file provvisorio.

Dopo l’ingresso dei passeggeri tali autorità cancellano i dati entro 24 ore dalla loro trasmissione, a meno che i dati non siano necessari successivamente alle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne per l’esercizio delle loro funzioni regolamentari in conformità della legislazione nazionale e fatte salve le disposizioni sulla protezione dei dati di cui alla direttiva [95/46].

Gli Stati membri adottano le misure necessarie per obbligare i vettori a cancellare, entro 24 ore dall’arrivo del mezzo di trasporto ai sensi dell’articolo 3, paragrafo 1, i dati personali raccolti e trasmessi alle autorità di frontiera ai fini della presente direttiva.

Gli Stati membri possono altresì, in conformità della legislazione nazionale e fatte salve le disposizioni sulla protezione dei dati di cui alla direttiva [95/46], utilizzare i dati personali di cui all’articolo 3, paragrafo 1 per finalità di applicazione normativa.

2.      Gli Stati membri adottano le misure necessarie per obbligare i vettori a informare le persone trasportate in conformità delle disposizioni della direttiva [95/46]. Ciò comprende anche le informazioni di cui all’articolo 10, lettera c), e all’articolo 11, [paragrafo 1]), lettera c) della direttiva [95/46]».

3.      Direttiva 2010/65

9        La direttiva 2010/65 è abrogata, ai sensi dell’articolo 25 del regolamento (UE) 2019/1239 del Parlamento europeo e del Consiglio, del 20 giugno 2019, che istituisce un sistema di interfaccia unica marittima europea e abroga la direttiva 2010/65 (GU 2019, L 198, pag. 64), con effetto dal 15 agosto 2025.

10      Il considerando 2 di tale direttiva così recita:

«Per facilitare il trasporto marittimo e al fine di ridurre gli oneri amministrativi delle compagnie di navigazione, le formalità di dichiarazione imposte dagli atti giuridici dell’Unione e dagli Stati membri devono essere semplificate e armonizzate il più possibile (...)».

11      L’articolo 1 di detta direttiva, intitolato «Oggetto e ambito di applicazione», ai suoi paragrafi 1 e 2 così dispone:

«1.      La presente direttiva ha lo scopo di semplificare e armonizzare le procedure amministrative applicate ai trasporti marittimi attraverso l’uso generalizzato della trasmissione elettronica delle informazioni e la razionalizzazione delle formalità di dichiarazione.

2.      La presente direttiva si applica alle formalità di dichiarazione applicabili al trasporto marittimo per le navi in arrivo o in partenza da porti situati negli Stati membri».

12      Ai sensi dell’articolo 8 della medesima direttiva, intitolato «Trattamento riservato»:

«1.      Gli Stati membri, in conformità degli atti giuridici dell’Unione applicabili o della normativa nazionale, adottano le misure necessarie per garantire la riservatezza delle informazioni commerciali e riservate scambiate in conformità della presente direttiva.

2.      Gli Stati membri prestano particolare attenzione a proteggere i dati commerciali raccolti a norma della presente direttiva. Per quanto riguarda i dati personali, gli Stati membri garantiscono la loro conformità con la direttiva [95/46]. Le istituzioni e gli organismi dell’Unione [europea] garantiscono l’adempimento del regolamento (CE) n. 45/2001 [del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1)]».

4.      RGPD

13      Il considerando 19 del RGPD così recita:

«La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. I dati personali trattati dalle autorità pubbliche in forza del presente regolamento, quando utilizzati per tali finalità, dovrebbero invece essere disciplinati da un più specifico atto dell’Unione, segnatamente la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio[, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89)]. Gli Stati membri possono conferire alle autorità competenti ai sensi della [direttiva 2016/680] altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, affinché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell’ambito di applicazione del diritto dell’Unione, rientri nell’ambito di applicazione del presente regolamento.

(...)».

14      L’articolo 2 di tale regolamento, intitolato «Ambito di applicazione materiale», ai paragrafi 1 e 2 così dispone:

«1.      Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.      Il presente regolamento non si applica ai trattamenti di dati personali:

a)      effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

b)      effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;

(...)

d)      effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».

15      L’articolo 4 di detto regolamento, intitolato «Definizioni», prevede quanto segue:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (...);

2)      “trattamento” qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)».

16      L’articolo 23 del RGPD, intitolato «Limitazioni», così dispone:

«1.      Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

a)      la sicurezza nazionale;

b)      la difesa;

c)      la sicurezza pubblica;

d)      la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;

(...)

h)      una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a e) e g);

2.      In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

a)      le finalità del trattamento o le categorie di trattamento;

b)      le categorie di dati personali;

c)      la portata delle limitazioni introdotte;

d)      le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;

e)      l’indicazione precisa del titolare del trattamento o delle categorie di titolari;

f)      i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;

g)      i rischi per i diritti e le libertà degli interessati; e

h)      il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa».

17      L’articolo 94 di tale regolamento, intitolato «Abrogazione della direttiva [95/46]», prevede quanto segue:

«1.      La direttiva [95/46] è abrogata a decorrere dal 25 maggio 2018.

2.      I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva [95/46] si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento».

5.      Direttiva 2016/680

18      La direttiva 2016/680, conformemente al suo articolo 59, ha abrogato e sostituito, a decorrere dal 6 maggio 2018, la decisione quadro 2008/977/GAI del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU 2008, L 350, pag. 60).

19      Ai sensi dei considerando da 9 a 11 della direttiva 2016/680:

«(9)      Su tale base, il [RGPD] stabilisce norme generali per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell’Unione.

(10)      Nella dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all’articolo 16 TFUE.

(11)      È pertanto opportuno per i settori in questione che una direttiva stabilisca le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. Tali autorità competenti possono includere non solo autorità pubbliche quali le autorità giudiziarie, la polizia o altre autorità incaricate dell’applicazione della legge, ma anche qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici ai fini della presente direttiva. Qualora tale organismo o entità trattino dati personali per finalità diverse da quelle della presente direttiva, si applica il [RGPD]. Il [RGPD] si applica pertanto nei casi in cui un organismo o un’entità raccolgano dati personali per finalità diverse e procedano a un loro ulteriore trattamento per adempiere un obbligo legale cui sono soggetti. Ad esempio, a fini di indagine, accertamento o perseguimento di reati, gli istituti finanziari conservano determinati dati personali da essi trattati, e li trasmettono solo alle autorità nazionali competenti in casi specifici e conformemente al diritto dello Stato membro. Un organismo o un’entità che trattano dati personali per conto di tali autorità entro l’ambito di applicazione della presente direttiva dovrebbero essere vincolati da un contratto o altro atto giuridico e dalle disposizioni applicabili ai responsabili del trattamento a norma della presente direttiva; l’applicazione del regolamento [RGDP] rimane invece impregiudicata per le attività di trattamento svolte dal responsabile del trattamento di dati personali al di fuori dell’ambito di applicazione della presente direttiva».

20      L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», che corrisponde in sostanza all’articolo 1 della decisione quadro 2008/977, al suo paragrafo 1 prevede quanto segue:

«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».

21      L’articolo 3 di detta direttiva, intitolato «Definizioni», così dispone:

«Ai fini della presente direttiva si intende per:

(...)

7.      “autorità competente”:

a)      qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o

b)      qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica;

(...)».

6.      Direttiva PNR

22      I considerando da 4 a 12, 15, 19, 20, 22, 25, 27, 28, 33, 36 e 37 della direttiva PNR così recitano:

«(4)      La direttiva [API] disciplina la trasmissione, da parte dei vettori aerei, dei dati delle informazioni anticipate sui passeggeri (API) alle competenti autorità nazionali al fine di migliorare i controlli alle frontiere e combattere l’immigrazione irregolare.

(5)      Gli obiettivi della presente direttiva sono, tra l’altro, garantire la sicurezza, proteggere la vita e l’incolumità delle persone, nonché creare un quadro normativo per la tutela dei dati PNR per quanto riguarda il loro trattamento da parte delle autorità competenti.

(6)      L’uso efficace dei dati PNR, ad esempio confrontando i dati PNR rispetto a varie banche dati relative a persone e oggetti ricercati, è necessario per prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi e rafforzare così la sicurezza interna, per raccogliere prove e, se del caso, scoprire complici e smantellare reti criminali.

(7)      La valutazione dei dati PNR consente l’identificazione di persone mai sospettate di reati di terrorismo o di reati gravi prima di tale valutazione, per cui è opportuno che le autorità competenti procedano a ulteriori verifiche. Usando i dati PNR è possibile far fronte alla minaccia di reati di terrorismo e reati gravi da una prospettiva diversa rispetto al trattamento di altre categorie di dati personali. Tuttavia, affinché il trattamento dei dati PNR rimanga nei limiti di ciò che è necessario, è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi per cui l’uso di tali criteri risulta pertinente. Inoltre, i criteri di valutazione dovrebbero essere definiti in maniera da ridurre al minimo il numero di persone innocenti erroneamente identificate dal sistema.

(8)      I vettori aerei già raccolgono e trattano i dati PNR dei loro passeggeri a fini commerciali. La presente direttiva non dovrebbe imporre ai vettori aerei l’obbligo di raccogliere dati supplementari dai passeggeri o di conservarli, né ai passeggeri di fornire altri dati oltre a quelli già forniti ai vettori aerei.

(9)      Alcuni vettori aerei conservano, come parte dei dati PNR, i dati API che raccolgono, mentre altri non lo fanno. L’uso dei dati PNR e dei dati API ha costituito un valore aggiunto in termini di assistenza apportata agli Stati membri nel verificare l’identità delle persone, rinforzando così il valore di tale risultato ai fini delle attività di contrasto e riducendo al minimo il rischio di effettuare controlli e indagini su persone innocenti. È importante pertanto garantire che i vettori aerei che raccolgono dati API li trasferiscano, indipendentemente dal fatto che conservino i dati API con mezzi tecnici diversi da quelli per gli altri dati PNR.

(10)      Per prevenire, accertare, indagare e perseguire i reati di terrorismo e i reati gravi è essenziale che tutti gli Stati membri introducano disposizioni che stabiliscano a carico dei vettori aerei che effettuano voli extra-UE obblighi di trasferimento dei dati PNR raccolti, compresi i dati API. Gli Stati membri dovrebbero avere altresì la possibilità di estendere tale obbligo anche ai vettori aerei che effettuano voli intra-UE. Tali disposizioni dovrebbero lasciare impregiudicata la direttiva [API].

(11)      Il trattamento dei dati personali dovrebbe essere proporzionato agli obiettivi specifici di sicurezza perseguiti dalla presente direttiva.

(12)      È opportuno che la definizione di reati di terrorismo applicata nella presente direttiva corrisponda alla definizione data nella decisione quadro 2002/475/GAI del Consiglio[, del 13 giugno 2002 sulla lotta contro il terrorismo (GU 2002, L 164, pag. 3)]. La definizione di reati gravi dovrebbe comprendere le categorie di reati di cui all’allegato II della presente direttiva.

(...)

(15)      Un elenco dei dati PNR, che deve essere ottenuto da una [unità d’informazione sui passeggeri (UIP)], dovrebbe essere compilato con l’obiettivo di riflettere l’esigenza legittima delle autorità pubbliche di prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi, migliorando così la sicurezza interna nell’Unione e la protezione dei diritti fondamentali, in particolare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali. A tal fine si dovrebbero applicare norme elevate conformemente alla [Carta], alla convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (“convenzione n. 108”) e alla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali [, firmata a Roma il 4 novembre 1950 (“CEDU”)]. Tale elenco non dovrebbe fondarsi sull’origine razziale o etnica, sulla religione o sulle convinzioni personali, sulle opinioni politiche o di qualsiasi altra natura, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale dell’interessato. I dati PNR dovrebbero contenere solo i dati della prenotazione e degli itinerari di viaggio del passeggero sulla cui base le autorità competenti possano identificare i passeggeri aerei che rappresentano una minaccia per la sicurezza interna.

(...)

(19)      Ciascuno Stato membro dovrebbe essere responsabile di valutare le minacce potenziali connesse ai reati di terrorismo o ai reati gravi.

(20)      Nel pieno rispetto del diritto alla protezione dei dati personali e del diritto alla non discriminazione, non dovrebbero essere adottate decisioni che comportino conseguenze giuridiche negative per l’interessato o lo danneggino in modo significativo, soltanto sulla base del trattamento automatizzato dei dati PNR. Inoltre, ai sensi degli articoli 8 e 21 della Carta, decisioni di questo tipo non dovrebbero operare alcuna discriminazione fondata sul sesso, la razza, il colore della pelle, l’origine etnica o sociale, le caratteristiche genetiche, la lingua, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, l’appartenenza a una minoranza nazionale, il patrimonio, la nascita, la disabilità, l’età o l’orientamento sessuale dell’interessato. La Commissione [europea] dovrebbe altresì tener conto di tali principi quando procede al riesame dell’applicazione della presente direttiva.

(...)

(22)      Tenendo pienamente conto dei principi delineati nella recente giurisprudenza della Corte di giustizia dell’Unione europea in materia, è opportuno che l’applicazione della presente direttiva garantisca il pieno rispetto dei diritti fondamentali, del diritto al rispetto della vita privata e del principio di proporzionalità. È opportuno altresì che risponda effettivamente agli obiettivi di quanto è necessario e proporzionato per garantire gli interessi generali riconosciuti dall’Unione e alla necessità di tutelare i diritti e le libertà altrui nella lotta contro i reati di terrorismo e ai reati gravi. L’applicazione della presente direttiva dovrebbe essere debitamente giustificata e dovrebbero essere previste le garanzie necessarie ad assicurare la liceità di qualsiasi conservazione, analisi, trasferimento e uso dei dati PNR.

(...)

(25)      Il periodo di conservazione dei dati PNR dovrebbe essere lungo quanto necessario e proporzionato agli obiettivi di prevenire, accertare, indagare e promuovere un’azione penale nei confronti dei reati di terrorismo e dei reati gravi. Tenuto conto della loro natura e del loro uso, occorre che i dati PNR siano conservati per un periodo sufficientemente lungo per poter effettuare analisi e utilizzarli nelle indagini. Per evitare un uso sproporzionato, è opportuno che dopo il periodo iniziale i dati PNR siano resi anonimi mediante mascheratura degli elementi dei dati. Per garantire il massimo livello di protezione dei dati, è opportuno che l’accesso alla serie integrale di dati PNR, che consenta l’identificazione diretta dell’interessato, sia concesso soltanto a condizioni molto rigorose e limitate dopo detto periodo iniziale.

(...)

(27)      Il trattamento dei dati PNR effettuato in ciascuno Stato membro dall’UIP e dalle autorità competenti dovrebbe essere soggetto a una norma di protezione dei dati personali ai sensi della legislazione nazionale in linea con la decisione quadro [2008/977] e agli specifici requisiti in materia di protezione dei dati previsti dalla presente direttiva. I riferimenti alla decisione quadro [2008/977] dovrebbero essere intesi come riferimenti alla normativa attualmente in vigore nonché alla normativa destinata a sostituirla.

(28)      In considerazione del diritto alla protezione dei dati personali, è opportuno che i diritti degli interessati in relazione al trattamento dei dati PNR che li riguardano, vale a dire i diritti di accesso, di rettifica, cancellazione e limitazione, così come i diritti a compensazione e di proporre un ricorso giurisdizionale, siano conformi sia alla decisione quadro [2008/977] sia all’elevato grado di tutela offerto dalla Carta e dalla CEDU.

(...)

(33)      La presente direttiva non pregiudica la possibilità che gli Stati membri istituiscano, ai sensi del diritto nazionale, un sistema di raccolta e trattamento dei dati PNR provenienti da operatori economici diversi dai vettori aerei, come le agenzie di viaggio e gli operatori turistici, che forniscono servizi connessi ai viaggi, fra cui la prenotazione di voli per i quali raccolgono e trattano dati PNR, o da imprese di trasporto diverse da quelle previste nella presente direttiva, purché tale diritto nazionale sia conforme al diritto dell’Unione.

(...)

(36)      La presente direttiva rispetta i diritti fondamentali e i principi della Carta, in particolare il diritto alla protezione dei dati personali, il diritto al rispetto della vita privata e il diritto alla non discriminazione, tutelati dagli articoli 8, 7 e 21 della stessa, e dovrebbe essere attuata di conseguenza. La presente direttiva è compatibile con i principi di protezione dei dati e le sue disposizioni sono in linea con la decisione quadro [2008/977]. Inoltre, per rispettare il principio di proporzionalità, in specifici ambiti la presente direttiva prevede norme di protezione dei dati più severe rispetto alla decisione quadro [2008/977].

(37)      L’ambito di applicazione della presente direttiva è quanto più possibile limitato, dal momento che prevede la conservazione dei dati PNR nelle UIP per un periodo non superiore a cinque anni, scaduto il quale i dati dovrebbero essere cancellati, dal momento che prevede che i dati dovrebbero essere resi anonimi mediante mascheratura dopo un periodo iniziale di sei mesi e dal momento che vieta la raccolta e l’uso di dati sensibili. Per assicurare una protezione dei dati efficace e di livello elevato, gli Stati membri sono tenuti a provvedere affinché un’autorità nazionale di controllo indipendente e, in particolare, un responsabile della protezione dei dati, siano incaricati di dare consulenza e sorvegliare le modalità di trattamento dei dati PNR. Tutti i trattamenti di dati PNR dovrebbero essere registrati o documentati al fine di verificare la liceità del trattamento e dell’autocontrollo e garantire la totale integrità e il trattamento sicuro dei dati. Gli Stati membri dovrebbero altresì provvedere affinché i passeggeri siano informati in modo chiaro e preciso della raccolta dei dati PNR e dei loro diritti».

23      L’articolo 1 della direttiva PNR, intitolato «Oggetto e ambito di applicazione», così recita:

«1.      La presente direttiva prevede:

a)      il trasferimento a cura dei vettori aerei dei dati del codice di prenotazione dei passeggeri (PNR) dei voli extra-UE;

b)      il trattamento dei dati di cui alla lettera a), comprese le operazioni di raccolta, uso e conservazione a cura degli Stati membri e il loro scambio tra gli Stati membri.

2.      I dati PNR raccolti a norma della presente direttiva possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, secondo quanto previsto all’articolo 6, paragrafo 2, lettere a), b) e c)».

24      L’articolo 2 di tale direttiva, intitolato «Applicazione della presente direttiva ai voli intra-UE», è così formulato:

«1.      Se uno Stato membro decide di applicare la presente direttiva ai voli intra-UE, lo notifica per iscritto alla Commissione. Uno Stato membro può effettuare o revocare tale notifica in qualsiasi momento. La Commissione pubblica tale notifica e ogni sua eventuale revoca nella Gazzetta ufficiale dell’Unione europea.

2.      Qualora sia effettuata una notifica di cui al paragrafo 1, tutte le disposizioni della presente direttiva si applicano ai voli intra-UE come se fossero voli extra-UE e ai dati PNR riguardanti voli intra-UE come se fossero dati PNR riguardanti voli extra-UE.

3.      Uno Stato membro può decidere di applicare la presente direttiva solo a voli intra-UE selezionati. Nell’adottare tale decisione, lo Stato membro seleziona i voli che ritiene necessari per perseguire gli obiettivi della presente direttiva. Lo Stato membro può decidere di modificare la selezione dei voli intra-UE in qualsiasi momento».

25      L’articolo 3 di detta direttiva, intitolato «Definizioni», così dispone:

«Ai fini della presente direttiva si intende per:

1)      “vettore aereo”, un’impresa di trasporto aereo titolare di una licenza di esercizio in corso di validità o equivalente che le consente di effettuare trasporti aerei di passeggeri;

2)      “volo extra-UE”, un volo di linea o non di linea effettuato da un vettore aereo in provenienza da un paese terzo e che deve atterrare nel territorio di uno Stato membro oppure in partenza dal territorio di uno Stato membro e che deve atterrare in un paese terzo, compresi, in entrambi i casi, i voli con scali nel territorio di Stati membri o di paesi terzi;

3)      “volo intra-UE”, un volo di linea o non di linea effettuato da un vettore aereo in provenienza dal territorio di uno Stato membro e che deve atterrare nel territorio di uno o più altri Stati membri, senza alcuno scalo nel territorio di un paese terzo;

4)      “passeggero”, chiunque, compresi i passeggeri in trasferimento o in transito ed esclusi i membri dell’equipaggio, sia trasportato o da trasportare in un aeromobile con il consenso del vettore aereo, risultante dalla registrazione di tali passeggeri nell’elenco dei passeggeri;

5)      “codice di prenotazione” o “PNR”, le informazioni relative al viaggio di ciascun passeggero comprendenti i dati necessari per il trattamento e il controllo delle prenotazioni a cura dei vettori aerei e di prenotazione interessati per ogni volo prenotato da qualunque persona o per suo conto, siano esse registrate in sistemi di prenotazione, in sistemi di controllo delle partenze utilizzato per la registrazione dei passeggeri sui voli, o in altri sistemi equivalenti con le stesse funzionalità;

6)      “sistema di prenotazione”, il sistema interno del vettore aereo in cui sono raccolti i dati PNR ai fini della gestione delle prenotazioni;

7)      “metodo push”, il metodo in base al quale i vettori aerei trasferiscono i dati PNR elencati nell’allegato I alla banca dati dell’autorità richiedente;

8)      “reati di terrorismo”, i reati ai sensi del diritto nazionale di cui agli articoli da 1 a 4 della decisione quadro [2002/475];

9)      “reati gravi”, i reati elencati nell’allegato II, che siano punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni conformemente al diritto nazionale di uno Stato membro;

10)      “rendere anonimo mediante mascheratura degli elementi dei dati”, rendere invisibili per un utente quegli elementi dei dati che potrebbero servire a identificare direttamente l’interessato».

26      L’articolo 4 della direttiva PNR, intitolato «Unità d’informazione sui passeggeri», ai paragrafi da 1 a 3 così recita:

«1.      Ciascuno Stato membro stabilisce o designa un’autorità competente in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, o una sua sezione, che agisca in qualità di “unità d’informazione sui passeggeri” (UIP).

2.      La UIP è incaricata di:

a)      raccogliere i dati PNR presso i vettori aerei, conservare, trattare e trasferire tali dati o i risultati del loro trattamento alle autorità competenti di cui all’articolo 7;

b)      scambiare sia i dati PNR che i risultati del trattamento di tali dati con le UIP degli altri Stati membri e con Europol conformemente agli articoli 9 e 10.

3.      I membri del personale delle UIP possono essere funzionari distaccati delle autorità competenti. Gli Stati membri dotano le UIP delle risorse adeguate per svolgere i loro compiti».

27      L’articolo 5 di tale direttiva, intitolato «Responsabile della protezione dei dati all’interno dell’UIP», è così formulato:

«1.      L’UIP nomina un responsabile della protezione dei dati incaricato di sorvegliare il trattamento dei dati PNR e di attuare le pertinenti garanzie.

2.      Gli Stati membri forniscono al responsabile della protezione dei dati i mezzi per adempiere alle funzioni e ai compiti che gli incombono a norma del presente articolo in modo efficace e indipendente.

3.      Gli Stati membri assicurano che gli interessati abbiano il diritto di contattare il responsabile della protezione dei dati, che funge da punto di contatto unico, in merito a tutte le questioni connesse al trattamento dei dati PNR che li riguardano».

28      L’articolo 6 di detta direttiva, intitolato «Trattamento dei dati PNR», così dispone:

«1.      I dati PNR trasferiti dai vettori aerei sono raccolti dall’UIP dello Stato membro interessato secondo quanto previsto all’articolo 8. Qualora nei dati PNR trasferiti dai vettori aerei siano compresi dati diversi da quelli elencati nell’allegato I, l’UIP li cancella in via definitiva non appena li riceve.

2.      L’UIP provvede al trattamento dei dati PNR unicamente per le seguenti finalità:

a)      valutare i passeggeri prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro per identificare quelli da sottoporre a ulteriore verifica da parte delle autorità competenti di cui all’articolo 7 e, se del caso, da parte di Europol, a norma dell’articolo 10, in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi;

b)      rispondere, caso per caso, a una richiesta debitamente motivata e basata su motivi sufficienti da parte delle autorità competenti di trasmettere e trattare dati PNR in casi specifici a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e di comunicare i risultati di tale trattamento alle stesse autorità competenti o, se del caso, a Europol; e

c)      analizzare i dati PNR per aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), al fine di identificare le persone che potrebbero essere implicate in reati di terrorismo o in reati gravi.

3.      Nell’effettuare la valutazione di cui al paragrafo 2, lettera a), l’UIP può:

a)      confrontare i dati PNR rispetto a banche dati pertinenti a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, comprese le banche dati riguardanti persone o oggetti ricercati o segnalati, conformemente alle norme dell’Unione, internazionali e nazionali applicabili a tali banche dati; o

b)      trattare i dati PNR sulla base di criteri prestabiliti.

4.      Ogni valutazione dei passeggeri secondo criteri prestabiliti di cui al paragrafo 3, lettera b), prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro, è effettuata in modo non discriminatorio. Tali criteri prestabiliti devono essere mirati, proporzionati e specifici. Gli Stati membri assicurano che detti criteri siano stabiliti dall’UIP e periodicamente rivisti in cooperazione con le autorità competenti di cui all’articolo 7. Detti criteri non sono in alcun caso basati sull’origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale dell’interessato.

5.      Gli Stati membri provvedono affinché i riscontri positivi a seguito del trattamento automatizzato dei dati PNR effettuato a norma del paragrafo 2, lettera a), siano singolarmente sottoposti a un esame non automatizzato per verificare se sia necessario un intervento dell’autorità competente di cui all’articolo 7 conformemente al diritto nazionale.

6.      L’UIP di uno Stato membro trasmette i dati PNR dei passeggeri identificati conformemente al paragrafo 2, lettera a), o il risultato del trattamento di tali dati, per ulteriore verifica, alle autorità competenti di cui all’articolo 7 dello stesso Stato membro. Tali trasferimenti sono effettuati solo caso per caso e, in caso di trattamento automatizzato dei dati PNR, dopo l’esame individuale non automatizzato.

7.      Gli Stati membri assicurano che il responsabile della protezione dei dati abbia accesso a tutti i dati trattati dall’UIP. Se ritiene che il trattamento dei dati non sia stato lecito, il responsabile della protezione dei dati può rinviare la questione all’autorità nazionale di controllo.

(...)

9.      Le conseguenze delle valutazioni dei passeggeri di cui al paragrafo 2, lettera a), del presente articolo non pregiudicano il diritto delle persone che godono del diritto di libera circolazione dell’Unione di entrare nel territorio dello Stato membro interessato secondo quanto previsto dalla direttiva 2004/38/CE del Parlamento europeo e del Consiglio [, del 29 aprile 2004, relativa al diritto dei cittadini dell’Unione e dei loro familiari di circolare e di soggiornare liberamente nel territorio degli Stati membri, che modifica il regolamento (CEE) n. 1612/68 ed abroga le direttive 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e 93/96/CEE (GU 2004, L 158, pag. 77)]. Inoltre, se le valutazion[i] sono effettuate in relazione a voli intra-UE tra Stati membri cui si applica il regolamento (CE) n. 562/2006 del Parlamento europeo e del Consiglio [, del 15 marzo 2006, che istituisce un codice comunitario relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (GU 2006, L 105, pag. 1)], le conseguenze di tali valutazioni devono rispettare tale regolamento».

29      Ai sensi dell’articolo 7 della direttiva PNR, intitolato «Autorità competenti»:

«1.      Ciascuno Stato membro adotta l’elenco delle autorità competenti autorizzate a chiedere o ricevere dalle UIP i dati PNR o i risultati del loro trattamento ai fini di un’ulteriore verifica delle informazioni o di interventi appropriati per prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi.

2.      Le autorità di cui al paragrafo 1 sono le autorità responsabili della prevenzione, dell’accertamento, dell’indagine o del perseguimento dei reati di terrorismo o dei reati gravi.

(...)

4.      Le autorità competenti degli Stati membri possono sottoporre a ulteriore trattamento i dati PNR e i risultati del loro trattamento ricevuti dall’UIP unicamente al fine specifico di prevenire, accertare, indagare o perseguire reati di terrorismo o reati gravi.

5.      Il paragrafo 4 non pregiudica le competenze delle autorità di contrasto e giudiziarie nazionali qualora siano individuati altri reati o indizi di reato durante l’azione di contrasto determinata da tale trattamento.

6.      Le autorità competenti non devono adottare decisioni che comportino conseguenze giuridiche negative per l’interessato, o lo danneggino in modo significativo, soltanto sulla base del trattamento automatizzato dei dati PNR. Tali decisioni non devono essere adottate sulla base dell’origine razziale o etnica, delle opinioni politiche, della religione o delle convinzioni filosofiche, dell’appartenenza sindacale, dello stato di salute, della vita sessuale o dell’orientamento sessuale dell’interessato».

30      L’articolo 8 di tale direttiva, intitolato «Obblighi dei vettori aerei in materia di trasferimento di dati», ai suoi paragrafi da 1 a 3 prevede quanto segue:

«1.      Gli Stati membri adottano i necessari provvedimenti affinché i vettori aerei trasferiscano, attraverso il «metodo push», i dati PNR elencati nell’allegato I, a condizione che abbiano già raccolto tali dati nel normale svolgimento della loro attività, alla banca dati dell’UIP dello Stato membro nel cui territorio atterra o dal cui territorio parte il volo. Qualora il volo sia operato in code-sharing da uno o più vettori aerei, l’obbligo di trasferire i dati PNR di tutti i passeggeri del volo spetta al vettore aereo che opera il volo. Qualora un volo extra-UE faccia uno o più scali negli aeroporti degli Stati membri, i vettori aerei trasferiscono i dati PNR di tutti i passeggeri alle UIP di tutti gli Stati membri interessati. Lo stesso vale qualora un volo intra-UE faccia uno o più scali negli aeroporti di diversi Stati membri, ma solo in relazione agli Stati membri che raccolgono i dati PNR dei voli intra-UE.

2.      Nel caso in cui i vettori aerei abbiano raccolto le informazioni anticipate sui passeggeri (API) di cui all’allegato I, punto 18, ma non conservino tali dati con gli stessi mezzi tecnici di quelli per gli altri dati PNR, gli Stati membri adottano le misure necessarie affinché i vettori aerei trasferiscano, attraverso il “metodo push”, anche detti dati all’UIP dello Stato membro di cui al paragrafo 1. In caso di trasferimento, tutte le disposizioni della presente direttiva si applicano in relazione a tali dati API.

3.      I vettori aerei trasferiscono i dati PNR elettronicamente utilizzando i protocolli comuni e i formati di dati supportati da adottare secondo la procedura d’esame di cui all’articolo 17, paragrafo 2, o, in caso di guasto tecnico, con [qualunque] altro mezzo appropriato che assicuri un adeguato livello di sicurezza dei dati, conformemente alle seguenti condizioni:

a)      da 24 a 48 ore prima dell’ora prevista di partenza del volo; e

b)      immediatamente dopo la chiusura del volo, vale a dire una volta che i passeggeri sono saliti a bordo dell’aeromobile pronto per la partenza e non è più possibile l’imbarco o lo sbarco di passeggeri».

31      L’articolo 12 di detta direttiva, intitolato «Periodo di conservazione dei dati e anonimato», così dispone:

«1.      Gli Stati membri provvedono affinché i dati PNR trasmessi dai vettori aerei all’UIP siano da questa conservati in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo.

2.      Allo scadere del periodo di sei mesi dal trasferimento dei dati PNR di cui al paragrafo 1, tutti i dati PNR sono resi anonimi mediante mascheratura dei seguenti elementi che potrebbero servire a identificare direttamente il passeggero cui i dati PNR si riferiscono:

a)      il nome o i nomi, compresi i nomi di altri passeggeri figuranti nel PNR e il numero di viaggiatori che viaggiano insieme figurante nel PNR;

b)      l’indirizzo e gli estremi;

c)      informazioni su tutte le modalità di pagamento, compreso l’indirizzo di fatturazione, nella misura in cui contenga informazioni che potrebbero servire a identificare direttamente il passeggero cui si riferiscono i dati PNR o altre persone;

d)      informazioni sui viaggiatori abituali (“Frequent flyer”);

e)      osservazioni generali contenenti informazioni che potrebbero servire a identificare direttamente il passeggero cui si riferiscono i dati PNR; e

f)      i dati API eventualmente raccolti.

3.      Allo scadere del periodo di sei mesi di cui al paragrafo 2, la comunicazione dei dati PNR integrali è consentita solo se:

a)      è ragionevolmente ritenuta necessaria ai fini dell’articolo 6, paragrafo 2, lettera b); e

b)      è approvata da:

i)      un’autorità giudiziaria; o

ii)      un’altra autorità nazionale competente ai sensi del diritto nazionale per verificare se sono soddisfatte le condizioni per la comunicazione, fatti salvi l’informazione e l’esame a posteriori del responsabile della protezione dei dati dell’UIP.

4.      Gli Stati membri provvedono affinché i dati PNR siano cancellati in via definitiva allo scadere del periodo di cui al paragrafo 1. Questo obbligo non incide sui casi in cui dati PNR specifici sono stati trasferiti a un’autorità competente e sono usati nell’ambito di un caso specifico a fini di prevenzione, accertamento, indagine e azione penale dei reati di terrorismo o reati gravi, nel qual caso la loro conservazione presso l’autorità competente è disciplinata dal diritto nazionale.

5.      I risultati del trattamento di cui all’articolo 6, paragrafo 2, lettera a), sono conservati presso l’UIP soltanto per il tempo necessario a informare di un riscontro positivo le autorità competenti e, conformemente all’articolo 9, paragrafo 1, a informare di un riscontro positivo le UIP degli altri Stati membri. Il risultato di un trattamento automatizzato, anche qualora risulti negativo a seguito dell’esame individuale non automatizzato di cui all’articolo 6, paragrafo 5, può comunque essere memorizzato in modo da evitare futuri “erronei” riscontri positivi fino a che i dati di riferimento non sono cancellati a norma del paragrafo 4 del presente articolo».

32      L’articolo 13 della direttiva PNR, intitolato «Protezione dei dati personali», stabilisce, ai suoi paragrafi da 1 a 5, che:

«1.      Ciascuno Stato membro dispone che, in relazione a qualsiasi trattamento di dati personali a norma della presente direttiva, ogni passeggero goda di un diritto di protezione dei dati personali, dei diritti di accesso, di rettifica, cancellazione e limitazione, così come dei diritti a compensazione e di proporre un ricorso giurisdizionale identici a quelli previsti dal diritto dell’Unione e nazionale e in attuazione degli articoli 17, 18, 19 e 20 della decisione quadro [2008/977]. Si applicano pertanto le disposizioni di tali articoli.

2.      Ciascuno Stato membro dispone che le norme nazionali di attuazione degli articoli 21 e 22 della decisione quadro [2008/977] riguardanti la riservatezza del trattamento e la sicurezza dei dati si applichino anche a qualsiasi trattamento di dati personali effettuato a norma della presente direttiva.

3.      La presente direttiva fa salva l’applicabilità della direttiva [95/46] al trattamento di dati personali da parte dei vettori aerei, in particolare i loro obblighi relativi all’adozione di adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza dei dati personali.

4.      Gli Stati membri vietano il trattamento dei dati PNR che riveli l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato. Qualora l’UIP riceva dati PNR che rivelano tali informazioni, questi sono cancellati immediatamente.

5.      Gli Stati membri provvedono affinché l’UIP conservi la documentazione relativa a tutti i sistemi e tutte le procedure di trattamento sotto la propria responsabilità. Tale documentazione comprende almeno:

a)      il nome e le coordinate di contatto dell’organizzazione e del personale dell’UIP incaricati del trattamento dei dati PNR e i diversi livelli di autorizzazione d’accesso;

b)      le richieste delle autorità competenti e delle UIP di altri Stati membri;

c)      tutte le richieste e i trasferimenti di dati PNR verso un paese terzo.

Su richiesta, l’UIP mette a disposizione dell’autorità nazionale di controllo tutta la documentazione disponibile».

33      Secondo l’articolo 15 di tale direttiva, intitolato «Autorità nazionale di controllo»:

«1.      Ogni Stato membro dispone che l’autorità nazionale di controllo di cui all’articolo 25 della decisione quadro [2008/977] sia incaricata di fornire consulenza e di esercitare la sorveglianza, nel suo territorio, riguardo all’applicazione delle disposizioni adottate dagli Stati membri conformemente alla presente direttiva. Si applica l’articolo 25 della decisione quadro [2008/977].

2.      Tali autorità nazionali di controllo svolgono le attività di cui al paragrafo 1, così da tutelare i diritti fondamentali in relazione al trattamento dei dati personali.

3.      Ciascuna autorità nazionale di controllo:

a)      tratta i reclami presentati dagli interessati, svolge le relative indagini e informa gli interessati, entro un termine ragionevole, dello stato e dell’esito del reclamo;

b)      verifica la liceità del trattamento dei dati, svolge indagini, ispezioni e audit conformemente al diritto nazionale, di propria iniziativa o a seguito di un reclamo di cui alla lettera a).

4.      Ciascuna autorità nazionale di controllo, su richiesta, consiglia l’interessato in merito all’esercizio dei diritti derivanti dalle disposizioni adottate conformemente alla presente direttiva».

34      L’articolo 19 di detta direttiva, dal titolo «Riesame», prevede quanto segue:

«1.      Sulla scorta delle informazioni fornite dagli Stati membri, tra cui le statistiche di cui all’articolo 20, paragrafo 2, la Commissione procede a un riesame di tutti gli elementi della presente direttiva e sottopone e inoltra una relazione al Parlamento europeo e al Consiglio [dell’Unione europea] entro il 25 maggio 2020.

2.      Nell’ambito di tale riesame, la Commissione presta particolare attenzione:

a)      al rispetto del livello applicabile di protezione dei dati personali;

b)      alla necessità e alla proporzionalità della raccolta e del trattamento dei dati PNR per ciascuna delle finalità di cui alla presente direttiva;

c)      alla durata del periodo di conservazione dei dati;

d)      all’efficacia dello scambio di informazioni fra gli Stati membri; e

e)      alla qualità delle valutazioni anche con riferimento alle statistiche elaborate a norma dell’articolo 20.

3.      La relazione di cui al paragrafo 1 comprende altresì un riesame della necessità, della proporzionalità e dell’efficacia dell’inclusione, nell’ambito di applicazione della presente direttiva, della raccolta obbligatoria e del trasferimento dei dati PNR riguardanti tutti i voli intra-UE o i voli intra-UE selezionati. La Commissione prende in considerazione l’esperienza maturata dagli Stati membri, in particolare da quelli che attuano questa direttiva ai voli intra-UE a norma dell’articolo 2. La relazione esamina anche la necessità di inserire operatori economici diversi dai vettori aerei, come le agenzie di viaggio e gli operatori turistici, che forniscono servizi connessi ai viaggi, fra cui la prenotazione di voli, nell’ambito di applicazione della presente direttiva.

4.      Se del caso, alla luce del riesame condotto a norma del presente articolo, la Commissione presenta al Parlamento europeo e al Consiglio una proposta legislativa intesa a modificare la presente direttiva».

35      L’articolo 21 della medesima direttiva, intitolato «Relazione con altri strumenti», al suo paragrafo 2, prevede quanto segue:

«La presente direttiva fa salva l’applicabilità della direttiva [95/46] al trattamento dei dati personali da parte dei vettori aerei».

36      L’allegato I alla direttiva PNR, intitolato «Dati del codice di prenotazione raccolti dai vettori aerei», così dispone:

«1.      Codice PNR di identificazione della pratica

2.      Data di prenotazione/emissione del biglietto

3.      Data o date previste di viaggio

4.      Nome o nomi

5.      Indirizzo, recapito telefonico e indirizzo di posta elettronica

6.      Informazioni su tutte le modalità di pagamento, compreso l’indirizzo di fatturazione

7.      Itinerario completo per specifico PNR

8.      Informazioni sui viaggiatori abituali (“Frequent flyer”)

9.      Agenzia/agente di viaggio

10.      Status di viaggio del passeggero, inclusi conferme, check-in, precedenti assenze all’imbarco o passeggero senza prenotazione

11.      PNR scissi/divisi

12.      Osservazioni generali (comprese tutte le informazioni disponibili sui minori non accompagnati di età inferiore a 18 anni, quali nome e sesso del minore, età, lingua o lingue parlate, nome e recapito dell’accompagnatore alla partenza e relazione con il minore, nome e recapito dell’accompagnatore all’arrivo e relazione con il minore, agente alla partenza e all’arrivo)

13.      Dati sull’emissione del biglietto, compresi il numero del biglietto, la data di emissione del biglietto, i biglietti di sola andata, i campi ATFQ

14.      Informazioni sul posto, compreso il numero di posto assegnato

15.      Informazioni sul code share (codici comuni)

16.      Tutte le informazioni relative al bagaglio

17.      Numero di viaggiatori e altri nomi figuranti nel PNR

18.      Informazioni anticipate sui passeggeri (API) eventualmente raccolte (tra cui: tipo, numero, paese di rilascio e data di scadenza del documento, cittadinanza, cognome, nome, sesso, data di nascita, compagnia aerea, numero di volo, data di partenza, data di arrivo, aeroporto di partenza, aeroporto di arrivo, ora di partenza e ora di arrivo)

19.      Cronistoria delle modifiche dei dati PNR di cui ai numeri da 1 a 18».

37      L’allegato II a tale direttiva, intitolato «Elenco dei reati di cui all’articolo 3, punto 9», è così formulato:

«1.      partecipazione a un’organizzazione criminale,

2.      tratta di esseri umani,

3.      sfruttamento sessuale di minori e pedopornografia,

4.      traffico illecito di stupefacenti e sostanze psicotrope,

5.      traffico illecito di armi, munizioni ed esplosivi,

6.      corruzione,

7.      frode, compresa la frode che lede gli interessi finanziari dell’Unione,

8.      riciclaggio di proventi di reato e falsificazione di monete, compreso l’euro,

9.      criminalità informatica/cibercriminalità,

10.      criminalità ambientale, compresi il traffico illecito di specie animali protette e il traffico illecito di specie e di essenze vegetali protette,

11.      favoreggiamento dell’ingresso e del soggiorno illegali,

12.      omicidio volontario, lesioni personali gravi,

13.      traffico illecito di organi e tessuti umani,

14.      rapimento, sequestro e presa di ostaggi,

15.      furto organizzato e rapina a mano armata,

16.      traffico illecito di beni culturali, compresi oggetti d’antiquariato e opere d’arte,

17.      contraffazione e pirateria di prodotti,

18.      falsificazione di atti amministrativi e traffico di documenti falsi,

19.      traffico illecito di sostanze ormonali e altri fattori di crescita,

20.      traffico illecito di materie nucleari o radioattive,

21.      stupro,

22.      reati che rientrano nella competenza giurisdizionale della Corte penale internazionale,

23.      dirottamento di aeromobile/nave,

24.      sabotaggio,

25.      traffico di veicoli rubati,

26.      spionaggio industriale».

7.      Decisione quadro 2002/475

38      L’articolo 1 della decisione quadro 2002/475 definiva la nozione di «reato terroristico» elencando una serie di atti dolosi, di cui alle lettere da a) a i) del medesimo articolo, commessi al fine di «intimidire gravemente la popolazione», «costringere indebitamente i poteri pubblici o un’organizzazione internazionale a compiere o astenersi dal compiere un qualsiasi atto» o «destabilizzare gravemente o distruggere le [fondamentali] strutture politiche (…), costituzionali, economiche o sociali di un paese o un’organizzazione internazionale». Gli articoli 2 e 3 della decisione quadro definivano, rispettivamente, le nozioni di «reati riconducibili a un’organizzazione terroristica» e di «reati connessi ad attività terroristiche». L’articolo 4 di tale decisione quadro disciplinava l’incriminazione dell’istigazione e del concorso nel commettere tali reati nonché del tentativo di commetterli.

39      La decisione quadro 2002/475 è stata abrogata dalla direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro [2002/475] e che modifica la decisione 2005/671/GAI del Consiglio (GU 2017, L 88, pag. 6), i cui articoli da 3 a 14 contengono definizioni analoghe.

B.      Diritto belga

1.      Costituzione

40      L’articolo 22 della Costituzione così dispone:

«Ogni persona ha diritto al rispetto della sua vita privata e familiare, eccetto che nei casi e alle condizioni fissati dalla legge.

La legge, il decreto o la norma di cui all’articolo 134 garantiscono la tutela di tale diritto».

2.      Legge del 25 dicembre 2016

41      L’articolo 2 della loi du 25 décembre 2016, relative au traitement des données des passagers (legge del 25 dicembre 2016, che disciplina il trattamento dei dati dei passeggeri) (Moniteur belge del 25 gennaio 2017, pag. 12905; in prosieguo: la «legge del 25 dicembre 2016»), è così formulato:

«La presente legge e i regi decreti, che saranno adottati in esecuzione della presente legge, traspongono la [direttiva API] e la [direttiva PNR]. La presente legge e il regio decreto riguardante il settore marittimo traspongono parzialmente la direttiva [2010/65]».

42      L’articolo 3 di tale legge così dispone:

«§ l°      La presente legge stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri diretti verso, provenienti dal o in transito sul territorio nazionale.

§ 2.      Il Re, con decreto adottato in sede di Consiglio dei Ministri per ciascun settore di trasporto e per gli operatori di viaggio, stabilisce i dati dei passeggeri da trasmettere e le loro modalità di trasmissione, previo parere della Commission de la protection de la vie privée (Commissione per la tutela della vita privata)».

43      L’articolo 4 di detta legge prevede quanto segue:

«Ai fini dell’applicazione della presente legge e dei rispettivi decreti esecutivi si intende per:

(...)

8°      “servizi competenti”: i servizi di cui all’articolo 14, § 1, 2°;

9°      “PNR”: le informazioni relative alle modalità di viaggio di ciascun passeggero, comprendenti i dati di cui all’articolo 9 necessari per il trattamento e il controllo delle prenotazioni a cura dei vettori e degli operatori di viaggio interessati per ogni volo prenotato da qualunque persona o per suo conto, siano esse registrate in sistemi di prenotazione, in sistemi di controllo delle partenze (utilizzati per il controllo dei passeggeri all’atto dell’imbarco), o in altri sistemi equivalenti con le stesse funzionalità;

10°      “passeggero”: chiunque, compresi i passeggeri in trasferimento o in transito ed esclusi i membri dell’equipaggio, sia trasportato o da trasportare dal vettore con il consenso di quest’ultimo, risultante dalla registrazione di tale persona nell’elenco dei passeggeri;

(...)».

44      L’articolo 8 della legge del 25 dicembre 2016 così recita:

«§ l      I dati dei passeggeri sono trattati ai fini:

1°      della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste all’articolo 90 ter, § 2, (...) 7°, (...) 8°, (...) 11°, (...) 14°, (...) 17°, 18°, 19°, e § 3, del Code d’instruction criminelle (Codice di procedura penale);

2°      della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste agli articoli 196, per quanto riguarda i reati di falso in atti autentici e pubblici, 198, 199, 199 bis, 207, 213, 375 e 505 del Code pénal (Codice penale);

(...)

4°      del controllo delle attività di cui agli articoli 7, 1° e 3°/l, e 11, § 1, da 1° a 3° e 5°, della loi du 30 novembre 1998 organique des services de renseignement et de sécurité (legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza);

5°      della conduzione delle indagini e del perseguimento dei reati previsti all’articolo 220, § 2, della loi générale sur les douanes et accises du 18 juillet 1997 (legge quadro del 18 luglio 1977, in materia doganale e di accise) e all’articolo 45, comma 3, della loi du 22 décembre 2009 relative au régime général d’accise (legge del 22 dicembre 2009, recante il regime generale delle accise) (...)

§ 2.      Nel rispetto delle condizioni previste al capo 11, i dati dei passeggeri sono inoltre trattati ai fini del rafforzamento dei controlli sulle persone alle frontiere esterne e del contrasto all’immigrazione irregolare».

45      Ai sensi dell’articolo 14, § 1, di tale legge:

«L’UIP è composta:

(...)

2°      da membri distaccati provenienti dai seguenti servizi competenti:

a)      dai servizi di polizia di cui alla loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux (legge del 7 dicembre 1998, che organizza un servizio di polizia integrato, strutturato su due livelli);

b)      dalla Sicurezza dello Stato di cui alla loi du 30 novembre 1998 organique des services de renseignement et de sécurité (legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza);

c)      dal Servizio generale segreto e di sicurezza di cui alla loi du 30 novembre 1998 organique des services de renseignement et de sécurité (legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza);

(...)».

46      L’articolo 24 di detta legge, contenuto nella sezione 1, intitolata «Trattamento dei dati di passeggeri nell’ambito della valutazione preliminare dei passeggeri», del capo 10 della stessa legge, relativo al trattamento dei dati, è così formulato:

«§ 1 I dati dei passeggeri sono trattati ai fini dell’effettuazione di una valutazione preliminare dei passeggeri prima del loro arrivo, della loro partenza o del transito previsto sul territorio nazionale al fine di stabilire quali persone debbano essere sottoposte a un controllo più approfondito.

§ 2.      Nell’ambito delle finalità di cui all’articolo 8, § 1, 1°, 4° e 5°, o relative alle minacce menzionate agli articoli 8, 1°, lettere a), b), c), d), f), g), e 11, § 2, della legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con:

1°      le banche dati gestite dai servizi competenti o che sono direttamente a disposizione degli stessi o loro accessibili nell’ambito delle loro funzioni o con elenchi di persone elaborati dai servizi competenti nell’ambito delle loro funzioni.

2°      i criteri di valutazione prestabiliti dall’UIP, di cui all’articolo 25.

§ 3.      Nell’ambito delle finalità di cui all’articolo 8, § 1, 3°, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con le banche dati di cui al § 2, 1°.

§ 4.      Il riscontro positivo è convalidato dall’UIP entro ventiquattro ore dal ricevimento della notifica automatizzata del riscontro positivo.

§ 5.      A partire da tale convalida, il servizio competente, che è all’origine di tale riscontro positivo, dà un utile seguito il più rapidamente possibile».

47      Il capo 11 della legge del 25 dicembre 2016, intitolato «Trattamento dei dati dei passeggeri ai fini del rafforzamento dei controlli alle frontiere e del contrasto dell’immigrazione irregolare», contiene gli articoli da 28 a 31.

48      L’articolo 28 di tale legge così dispone:

«§ 1 Il presente capo si applica al trattamento dei dati dei passeggeri compiuti dai servizi di polizia incaricati del controllo alle frontiere e dall’Office des étrangers (Ufficio stranieri) in vista del miglioramento dei controlli delle persone alle frontiere esterne e del contrasto all’immigrazione irregolare.

§ 2. Esso non pregiudica gli obblighi che spettano ai servizi di polizia incaricati del controllo alle frontiere e all’Ufficio stranieri di trasmettere dati personali o informazioni in forza di disposizioni legislative o regolamentari».

49      Ai sensi dell’articolo 29 di detta legge:

«§ 1 Ai fini di cui all’articolo 28, § 1, i dati dei passeggeri sono trasmessi ai servizi di polizia incaricati del controllo alle frontiere e all’Ufficio stranieri per consentire loro di svolgere le loro funzioni previste dalla legge, nei limiti previsti dal presente articolo.

§ 2.      Sono trasmessi solo i dati dei passeggeri di cui all’articolo 9, § 1, 18°, concernenti le seguenti categorie di passeggeri:

1°      passeggeri che intendono entrare o che sono entrati sul territorio attraverso le frontiere esterne del Belgio;

2°      passeggeri che intendono lasciare o che hanno lasciato il territorio attraverso le frontiere esterne del Belgio;

3°      passeggeri che intendono attraversare, si trovano o hanno attraversato una zona internazionale di transito sita in Belgio.

§ 3.      I dati dei passeggeri di cui al § 2 sono trasmessi ai servizi di polizia incaricati del controllo alle frontiere esterne del Belgio immediatamente dopo la loro registrazione nella banca dati dei passeggeri. Detti servizi conservano i dati in un file provvisorio e li distruggono nelle ventiquattro ore successive alla trasmissione.

§ 4.      Quando è necessario per l’esecuzione delle sue funzioni previste dalla legge, i dati dei passeggeri di cui al § 2 sono trasmessi all’Ufficio stranieri immediatamente dopo la loro registrazione nella banca dati dei passeggeri. Detto ufficio conserva tali dati in un file provvisorio e li distrugge nelle ventiquattro ore successive alla trasmissione.

Se, allo scadere di tale periodo, l’accesso ai dati dei passeggeri di cui al § 2 è necessario nell’ambito dell’esecuzione delle sue funzioni previste dalla legge, l’Ufficio stranieri presenta una richiesta debitamente motivata all’UIP.

(...)».

50      La legge del 25 dicembre 2016 è stata resa applicabile alle compagnie aeree, ai vettori che forniscono un servizio di trasporto internazionale di passeggeri (vettori HST) e agli intermediari di viaggio aventi un contratto con tali vettori (distributori di biglietti HST), così come ai vettori di autobus, rispettivamente, dall’arrêté royal du 18 juillet 2017 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (regio decreto del 18 luglio 2017, relativo all’attuazione della legge del 25 dicembre 2016, recante gli obblighi delle compagnie aeree) (Moniteur belge del 28 luglio 2017, pag. 75934), dall’arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (regio decreto del 3 febbraio 2019, relativo all’attuazione della legge del 25 dicembre 2016, recante gli obblighi dei vettori HST e dei distributori di biglietti HST) (Moniteur belge del 12 febbraio 2019, pag. 13018), e dall’arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (regio decreto del 3 febbraio 2019 relativo all’attuazione della legge del 25 dicembre 2016, recante gli obblighi dei vettori di autobus) (Moniteur belge del 12 febbraio 2019, pag. 13023).

II.    Procedimento principale e questioni pregiudiziali

51      Con atto introduttivo del 24 luglio 2017, la Ligue des droits humains ha adito la Cour constitutionnelle (Corte costituzionale, Belgio) con un ricorso diretto all’annullamento totale o parziale della legge del 25 dicembre 2016.

52      Il giudice del rinvio spiega che tale legge traspone, nel diritto interno, la direttiva PNR e la direttiva API nonché, in parte, la direttiva 2010/65. Dai lavori preparatori di detta legge emergerebbe che quest’ultima mira a «creare un contesto normativo al fine d’imporre, in diversi settori del trasporto internazionale di persone (aereo, ferroviario, stradale internazionale e marittimo) e in capo agli operatori di viaggio, di trasmettere i dati dei rispettivi passeggeri a una banca dati gestita dal [Service public fédéral intérieur (Servizio federale pubblico dell’interno, Belgio)]». Il legislatore nazionale avrebbe altresì precisato che le finalità della legge del 25 dicembre 2016 rientrano in tre categorie, ossia, in primo luogo, la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, in secondo luogo, i compiti dei servizi segreti e di sicurezza e, in terzo luogo, il miglioramento dei controlli alle frontiere esterne e il contrasto all’immigrazione irregolare.

53      A sostegno del suo ricorso, la Ligue des droits humains deduce due motivi vertenti, il primo, su una violazione dell’articolo 22 della Costituzione, in combinato disposto con l’articolo 23 del RGPD, con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta nonché con l’articolo 8 della CEDU, e il secondo, dedotto in subordine, vertente su una violazione di detto articolo 22, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta.

54      Con il suo primo motivo, la Ligue des droits humains sostiene, essenzialmente, che tale legge implicherebbe un’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali non conforme all’articolo 52, paragrafo 1, della Carta e in particolare al principio di proporzionalità. Infatti, l’ambito di applicazione di detta legge e la definizione dei dati raccolti, che possono rivelare informazioni delicate, sarebbero troppo ampi. Parimenti, la nozione di «passeggero», ai sensi della medesima legge, permetterebbe un trattamento automatizzato sistematico, indiscriminato, dei dati di tutti i passeggeri. Inoltre, la natura e le modalità del metodo di pre-screening così come le banche dati con cui tali dati sono confrontati, una volta trasmessi, non sarebbero determinati in maniera sufficientemente chiara. Peraltro, la legge del 25 dicembre 2016 perseguirebbe finalità diverse rispetto a quelle della direttiva PNR. Infine, il periodo di cinque anni previsto da tale legge per la conservazione dei suddetti dati sarebbe sproporzionato.

55      Con il suo secondo motivo, riguardante l’articolo 3, paragrafo 1, l’articolo 8, paragrafo 2, e gli articoli da 28 a 31 della legge del 25 dicembre 2016, la Ligue des droits humains sostiene che, estendendo il sistema previsto dalla direttiva PNR ai trasporti intra-UE, tali disposizioni produrrebbero l’effetto di reintrodurre indirettamente controlli alle frontiere interne contrari alla libera circolazione delle persone. Infatti, dal momento che una persona si trova sul territorio belga, che sia al suo arrivo, alla sua partenza o per uno scalo, i suoi dati sarebbero automaticamente raccolti.

56      Il Conseil des ministres (Consiglio dei Ministri) contesta tale argomentazione. Esso ritiene, in particolare, che il primo motivo sia irricevibile nella parte in cui riguarda il RGPD, che non sarebbe applicabile alla legge del 25 dicembre 2016. Peraltro, il trattamento dei dati previsto da tale legge, conformemente alla direttiva PNR, costituirebbe uno strumento essenziale nell’ambito, segnatamente, della lotta contro il terrorismo e i reati gravi, e le misure risultanti da detta legge sarebbero necessarie per raggiungere gli obiettivi perseguiti e sarebbero proporzionate.

57      Per quanto riguarda il primo motivo, il giudice del rinvio si interroga, innanzitutto, sull’applicabilità della protezione prevista dal RGPD ai trattamenti di dati introdotti dalla legge del 25 dicembre 2016, la quale mira ad attuare, principalmente, la direttiva PNR. Tale giudice rileva poi, facendo riferimento alla giurisprudenza derivante dal parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592), che la definizione dei dati PNR, contenuta all’articolo 3, punto 5, nonché all’allegato I a tale direttiva, potrebbe, da un lato, non essere sufficientemente chiara e precisa, a causa del carattere non tassativo della descrizione di alcuni di tali dati contenuta in dette disposizioni e, dall’altro, condurre indirettamente alla divulgazione di dati delicati. Inoltre, la definizione della nozione di «passeggero» contenuta all’articolo 3, punto 4, di detta direttiva potrebbe avere come conseguenza che la raccolta, il trasferimento, il trattamento e la conservazione dei dati PNR costituiscano obblighi generali e indiscriminati, applicabili a chiunque sia trasportato o debba essere trasportato e sia iscritto nell’elenco dei passeggeri, indipendentemente dall’esistenza di fondati motivi di ritenere che tale persona abbia commesso o stia per commettere un reato o, ancora, sia stata condannata per un reato.

58      Detto giudice osserva inoltre che i dati PNR, conformemente alle disposizioni della direttiva PNR, sono sistematicamente oggetto di una valutazione preliminare che implica un controllo incrociato con le banche dati o criteri prestabiliti, al fine di accertare riscontri. Orbene, il comitato consultivo della convenzione n. 108 del Consiglio d’Europa avrebbe rilevato, nel suo parere del 19 agosto 2016 sulle implicazioni in materia di protezione di dati del trattamento dei dati passeggeri [T‑PD(2016)18rev], che i trattamenti dei dati personali riguardano tutti i passeggeri e non solo gli individui oggetto di interesse, sospettati di essere coinvolti in un reato o di costituire una minaccia immediata per la sicurezza nazionale o l’ordine pubblico, e che i dati PNR possono non solo essere confrontati (data matching) con banche dati ma anche essere trattati tramite esplorazione (data mining) per mezzo di selettori o algoritmi predittivi, allo scopo di identificare chiunque possa essere coinvolto o intraprendere attività criminali; una siffatta valutazione dei passeggeri mediante verifica incrociata di dati può sollevare questioni di prevedibilità, in particolare quando è effettuata sulla base di algoritmi predittivi che utilizzano criteri dinamici che possono evolvere continuamente in funzione delle loro capacità di autoapprendimento. In tale contesto, il giudice del rinvio ritiene che, pur se i criteri prestabiliti che servono a determinare profili di rischio devono essere specifici, attendibili e non discriminatori, conformemente al parere 1/15 (Accordo PNR Ue-Canada), del 26 luglio 2017 (EU:C:2017:592), sembra tecnicamente impossibile definire maggiormente tali criteri.

59      Per quanto riguarda il termine di conservazione di cinque anni e l’accesso ai dati di cui all’articolo 12 della direttiva PNR, tale giudice rileva che la Commission de la protection de la vie privée (Commissione per la tutela della vita privata, Belgio), nel suo parere d’iniziativa n. 01/2010, del 13 gennaio 2010, relativo al progetto di legge sull’approvazione dell’accordo PNR UE-Stati Uniti d’America, ha considerato che, quando il termine di conservazione è lungo e i dati sono archiviati massicciamente, il rischio di profilazione degli interessati aumenta, così come quello di un uso improprio di tali dati per fini diversi da quelli inizialmente previsti. Inoltre, dal parere del 19 agosto 2016 del Comitato consultivo della convenzione n. 108 del Consiglio d’Europa emergerebbe che dati mascherati consentono comunque d’identificare le persone e continuano, quindi, a costituire dati personali e che la loro conservazione deve essere limitata nel tempo per prevenire una sorveglianza permanente generalizzata.

60      In tali circostanze, tenuto conto della giurisprudenza derivante in particolare dal parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592), il giudice del rinvio si chiede se il sistema di raccolta, trasferimento, trattamento e conservazione dei dati PNR istituito dalla direttiva PNR possa considerarsi rispettoso dei limiti dello stretto necessario. Tale giudice ritiene che occorra altresì determinare se tale direttiva osti a una normativa nazionale che autorizza il trattamento dei dati PNR per una finalità diversa da quelle previste da detta direttiva e se una comunicazione integrale di tali dati dopo la loro anonimizzazione, ai sensi dell’articolo 12 della medesima direttiva, possa essere approvata da un’autorità nazionale quale l’UIP creata dalla legge del 25 dicembre 2016.

61      Per quanto riguarda il secondo motivo, il giudice del rinvio precisa che l’articolo 3, paragrafo 1, di tale legge stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri «diretti verso, provenienti dal o in transito sul territorio nazionale». Tale giudice aggiunge che, per quanto riguarda l’ambito di applicazione di detta legge, il legislatore nazionale ha deciso «l’inclusione intra-UE nella raccolta dati» al fine di ottenere «un quadro più completo degli spostamenti dei passeggeri che rappresentano una potenziale minaccia per la sicurezza intracomunitaria e nazionale», ciò che prevede l’articolo 2 della direttiva PNR, in combinato disposto con il considerando 10 di quest’ultima, per i voli all’interno dell’Unione. Detto giudice precisa inoltre che la Commission de la protection de la vie privée (Commissione per la tutela della vita privata), nel suo parere n. 55/2015, del 16 dicembre 2015, sul progetto preliminare della legge all’origine della legge del 25 dicembre 2016, si è interrogata su un eventuale conflitto tra il sistema PNR belga e il principio della libera circolazione delle persone, nei limiti in cui tale sistema include i trasporti effettuati all’interno dell’Unione.

62      È in tale contesto che la Cour constitutionnelle (Corte costituzionale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se l’articolo 23 del [RGPD], in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di detto regolamento, debba essere interpretato nel senso che esso si applica a una normativa nazionale come la [legge del 25 dicembre 2016], che recepisce la [direttiva PNR], la [direttiva API] e la direttiva [2010/65].

2)      Se l’allegato I alla [direttiva PNR] sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui i dati ivi enumerati sono molto ampi – in particolare, i dati di cui al punto 18 dell’allegato I a [tale direttiva], che eccedono i dati di cui all’articolo 3, paragrafo 2, della [direttiva API] – e nella misura in cui, considerati complessivamente, detti dati potrebbero rivelare dati delicati e violare così i limiti dello “stretto necessario”.

3)      Se i punti 12 e 18 dell’allegato I alla [direttiva PNR] siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui, tenuto conto dei termini “comprese” e “tra cui”, i dati ivi indicati sono menzionati a titolo esemplificativo e non tassativo, con conseguente violazione eventuale del requisito di precisione e chiarezza delle disposizioni che comportano un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati personali.

4)      Se l’articolo 3, punto 4, della [direttiva PNR] e l’allegato I alla medesima direttiva siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui il sistema di raccolta, trasferimento e trattamento generalizzato dei dati dei passeggeri introdotto da dette disposizioni riguarda tutte le persone che si servono di un determinato mezzo di trasporto, a prescindere da ogni elemento obiettivo che consenta di ritenere che detta persona possa presentare un rischio per la sicurezza pubblica.

5)      Se l’articolo 6 della [direttiva PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale, come la legge impugnata, che ammette, quale finalità del trattamento dei dati PNR, il controllo delle attività oggetto dei servizi segreti e di sicurezza, includendo così detta finalità nella prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

6)      Se l’articolo 6 della [direttiva PNR] sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui la valutazione preliminare da esso introdotta, mediante correlazione con banche dati e criteri prestabiliti, si applica in maniera sistematica e generalizzata ai dati dei passeggeri, a prescindere da qualsiasi elemento obiettivo che consenta di ritenere che essi possano presentare un rischio per la sicurezza pubblica.

7)      Se la nozione di “altra autorità nazionale competente” di cui all’articolo 12, paragrafo 3, della [direttiva PNR] possa essere interpretata come indicante l’UIP istituita dalla legge del 25 dicembre 2016, che potrebbe quindi autorizzare, nel quadro di ricerche specifiche, l’accesso ai dati PNR, decorso un termine di sei mesi.

8)      Se l’articolo 12 della [direttiva PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale come la legge impugnata che prevede un termine generale di conservazione dei dati di cinque anni, senza differenziare a seconda che i passeggeri interessati si rivelino, nel quadro della valutazione preliminare, idonei o meno a presentare una minaccia per la sicurezza pubblica.

9)      a)      Se la [direttiva API] sia compatibile con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], nella misura in cui gli obblighi ivi previsti si applicano ai voli interni all’Unione europea.

b)       Se la [direttiva API], in combinato disposto con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], debba essere interpretata nel senso che essa osta a una disciplina nazionale come quella della legge impugnata che, ai fini del contrasto all’immigrazione irregolare e del rafforzamento dei controlli alle frontiere, autorizza un sistema di raccolta e trattamento dei dati dei passeggeri “diretti verso, provenienti dal o in transito sul territorio nazionale”, il che potrebbe comportare indirettamente una reintroduzione dei controlli alle frontiere interne.

10)      Qualora, sulla base delle risposte fornite alle questioni pregiudiziali che precedono, la Cour constitutionnelle (Corte costituzionale) dovesse giungere alla conclusione che la legge impugnata, che recepisce in particolare la [direttiva PNR], viola uno o più degli obblighi derivanti dalle disposizioni citate in tali questioni, se detto giudice possa mantenere provvisoriamente gli effetti della [legge del 25 dicembre 2016,] per evitare una situazione di incertezza del diritto e consentire che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per le finalità previste dalla legge».

III. Sulle questioni pregiudiziali

A.      Sulla prima questione

63      Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 2, paragrafo 2, lettera d), e l’articolo 23 del RGPD debbano essere interpretati nel senso che tale regolamento è applicabile ai trattamenti di dati personali previsti da una normativa nazionale diretta a trasporre nel diritto interno, al contempo, le disposizioni della direttiva PNR, della direttiva API e della direttiva 2010/65, in particolare al trasferimento, alla conservazione e al trattamento dei dati PNR.

64      Come discende dall’articolo 2, paragrafo 1, del RGPD, tale regolamento si applica al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di tali dati contenuti o destinati a figurare in un archivio. La nozione di «trattamento» è definita in modo ampio all’articolo 4, punto 2, di detto regolamento e include, in particolare, la raccolta, la registrazione, la conservazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o la messa a disposizione in altro modo, l’allineamento o la cancellazione di siffatti dati o insieme di dati.

65       Il governo belga sostiene, tuttavia, che il trasferimento dei dati PNR da parte di operatori economici all’UIP, a fini di prevenzione e di accertamento dei reati, quale previsto dall’articolo 1, paragrafo 1, lettera a), dall’articolo 1, paragrafo 2, e dall’articolo 8 della direttiva PNR, che costituisce un «trattamento» di dati personali ai sensi dell’articolo 4, punto 2, del RGDP, così come la loro previa raccolta, non rientrerebbe nell’ambito di applicazione di tale regolamento in forza dell’articolo 2, paragrafo 2, lettera d), di detto regolamento, in quanto la giurisprudenza derivante dalla sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346, punti da 57 a 59), relativa all’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, sarebbe trasponibile a tale disposizione di detto regolamento.

66      A tal riguardo, vero è che, come la Corte ha già dichiarato, l’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, che è stata abrogata e sostituita dal RGPD con effetto dal 25 maggio 2018, escludeva dal suo ambito di applicazione, in generale, i «trattamenti aventi come oggetto la pubblica sicurezza, la difesa [e] la sicurezza dello Stato», senza operare distinzioni a seconda dell’autore del trattamento dei dati in questione. Pertanto, i trattamenti effettuati da operatori privati derivanti da obblighi imposti dai pubblici poteri potevano, se del caso, rientrare nell’eccezione prevista da tale disposizione, tenuto conto del fatto che la formulazione di quest’ultima riguardava tutti i trattamenti, indipendentemente dal loro autore, aventi come oggetto la pubblica sicurezza, la difesa o la sicurezza dello Stato (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 101).

67      Tuttavia, l’articolo 2, paragrafo 2, lettera d), del RGPD opera una siffatta distinzione poiché, come rilevato dall’avvocato generale ai paragrafi 41 e 46 delle sue conclusioni, il dettato di tale disposizione mette chiaramente in evidenza che sono richieste due condizioni affinché un trattamento di dati rientri nell’eccezione da esso prevista. Mentre la prima di tali condizione è relativa alle finalità del trattamento, vale a dire la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, la seconda condizione verte sull’autore di tale trattamento, ossia un’«autorità competente», ai sensi di detta disposizione.

68      Come altresì dichiarato dalla Corte, dall’articolo 23, paragrafo 1, lettere d) e h), del RGDP emerge che i trattamenti di dati personali effettuati da soggetti privati ai fini di cui all’articolo 2, paragrafo 2, lettera d), di tale regolamento rientrano nell’ambito di applicazione di quest’ultimo (v., in tal senso, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 102).

69      Ne consegue che la giurisprudenza derivante dalla sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (C‑317/04 e C‑318/04, EU:C:2006:346), invocata dal governo belga, non è trasponibile all’eccezione all’ambito di applicazione del RGPD contenuta nel suo articolo 2, paragrafo 2, lettera d).

70      Inoltre, tale eccezione deve essere interpretata restrittivamente, al pari delle altre eccezioni all’ambito di applicazione del RGPD previste dall’articolo 2, paragrafo 2, di tale regolamento.

71      Come emerge dal considerando 19 del regolamento in parola, detta eccezione è motivata dalla circostanza che i trattamenti di dati personali effettuati, dalle autorità competenti, a fini, segnatamente, di prevenzione e d’indagine dei reati, inclusi la salvaguardia e la prevenzione di minacce alla sicurezza pubblica, sono disciplinate da un atto più specifico dell’Unione, ossia la direttiva 2016/680, la quale è stata adottata il medesimo giorno del RGPD [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 69].

72      Come precisano, peraltro, i considerando da 9 a 11 della direttiva 2016/680, quest’ultima stabilisce norme specifiche relative alla protezione delle persone fisiche riguardo a tali trattamenti, nel rispetto della natura specifica di tali attività rientranti nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, mentre il RGPD definisce norme generali sulla protezione di tali persone destinate ad applicarsi a detti trattamenti quando non è applicabile l’atto più specifico costituito dalla direttiva 2016/680. In particolare, ai sensi del considerando 11 di tale direttiva, il RGPD si applica al trattamento di dati personali che venga effettuato da un’«autorità competente», ai sensi dell’articolo 3, paragrafo 7, di detta direttiva, ma per finalità diverse da quelle previste da quest’ultima [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 70].

73      Per quanto riguarda la prima condizione di cui al punto 67 della presente sentenza, e più specificamente le finalità perseguite dai trattamenti di dati personali previsti dalla direttiva PNR, occorre ricordare che, a norma dell’articolo 1, paragrafo 2, di tale direttiva, i dati PNR possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Tali finalità rientrano in quelle di cui all’articolo 2, paragrafo 2, lettera d), del RGPD e all’articolo 1, paragrafo 1, della direttiva 2016/680, cosicché siffatti trattamenti possono rientrare nell’eccezione di cui all’articolo 2, paragrafo 2, lettera d), di detto regolamento e, di conseguenza, rientrare nell’ambito di applicazione di tale direttiva.

74      Invece, ciò non si verifica per quanto riguarda i trattamenti previsti dalla direttiva API e dalla direttiva 2010/65, le cui finalità sono diverse da quelle previste all’articolo 2, paragrafo 2, lettera d), del RGPD e all’articolo 1, paragrafo 1, della direttiva 2016/680.

75      Infatti, per quanto attiene alla direttiva API, essa intende migliorare i controlli alle frontiere e combattere l’immigrazione illegale, come si evince dai suoi considerando 1, 7 e 9 e dall’articolo 1, mediante la trasmissione anticipata, da parte dei vettori, di dati relativi alle persone trasportate alle competenti autorità nazionali. Peraltro, diversi considerando e disposizioni di tale direttiva evidenziano che i trattamenti di dati previsti per la sua attuazione rientrano nell’ambito di applicazione del RGPD. Infatti, il considerando 12 della direttiva in parola prevede che «la direttiva [95/46] si applica al trattamento dei dati personali da parte delle autorità degli Stati membri». Inoltre, l’articolo 6, paragrafo 1, quinto comma, della direttiva API precisa che gli Stati membri possono altresì utilizzare i dati API per finalità di applicazione normativa «fatte salve le disposizioni sulla protezione dei dati di cui alla direttiva [95/46]», e tale espressione è altresì usata al terzo comma della citata disposizione. Parimenti, in particolare al considerando 9 della direttiva API, è usata l’espressione «fatte salve le disposizioni della direttiva [95/46]». L’articolo 6, paragrafo 2, della direttiva API prevede, infine, che i passeggeri devono essere informati, dai vettori, «in conformità delle disposizioni della direttiva [95/46]».

76      Quanto alla direttiva 2010/65, dal suo considerando 2 e dal suo articolo 1, paragrafo 1, risulta che tale direttiva ha lo scopo di semplificare e armonizzare le procedure amministrative applicate ai trasporti marittimi attraverso l’uso generalizzato della trasmissione elettronica delle informazioni e la razionalizzazione delle formalità di dichiarazione, al fine di facilitare il trasporto marittimo e di ridurre gli oneri amministrativi delle compagnie di navigazione. Orbene, l’articolo 8, paragrafo 2, di detta direttiva conferma che i trattamenti di dati previsti per la sua attuazione rientrano nell’ambito di applicazione del RGPD; tale disposizione impone infatti agli Stati membri, per quanto riguarda i dati personali,  di garantire la loro conformità alla direttiva 95/46.

77      Ne consegue che i trattamenti di dati previsti da una normativa nazionale che traspone, nel diritto interno, le disposizioni della direttiva API e della direttiva 2010/65 rientrano nell’ambito di applicazione del RGPD. Invece, i trattamenti di dati previsti da una normativa nazionale che traspone, nel diritto interno, la direttiva PNR possono essere sottratti, conformemente all’eccezione di cui all’articolo 2, paragrafo 2, lettera d), di tale regolamento, all’applicazione di quest’ultimo, fatto salvo il rispetto della seconda condizione rammentata al punto 67 della presente sentenza, ossia che l’autore dei trattamenti sia un’autorità competente, ai sensi di tale disposizione.

78      Per quanto riguarda tale seconda condizione, la Corte ha dichiarato che, nei limiti in cui la direttiva 2016/680 definisce, al suo articolo 3, paragrafo 7, la nozione di «autorità competente», una siffatta definizione deve essere applicata, per analogia, all’articolo 2, paragrafo 2, lettera d), del RGPD [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 69].

79      Orbene, in forza degli articoli 4 e 7 della direttiva PNR, ciascuno Stato membro deve, rispettivamente, designare, in qualità di sua UIP, un’autorità competente in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e adottare un elenco delle autorità competenti autorizzate a chiedere o ricevere dalle UIP i dati PNR o i risultati del loro trattamento; queste ultime autorità sono altresì autorità competenti in materia, come precisato dall’articolo 7, paragrafo 2, di detta direttiva.

80      Da tali elementi risulta che i trattamenti di dati PNR effettuati dall’UIP e da dette autorità competenti per tali finalità soddisfano le due condizioni menzionate al punto 67 della presente sentenza, di modo che detti trattamenti rientrano, oltre che nelle disposizioni della stessa direttiva PNR, in quelle della direttiva 2016/680 e non del RGPD, il che è confermato, del resto, dal considerando 27 della direttiva PNR.

81      Invece, dal momento che operatori economici, quali i vettori aerei, anche se sono tenuti a un obbligo legale di trasferimento dei dati PNR, non sono né incaricati di pubblico servizio né investiti di prerogative dei pubblici poteri da parte di tale direttiva, tali operatori non possono essere considerati come autorità competenti, ai sensi dell’articolo 3, paragrafo 7, della direttiva 2016/680 e dell’articolo 2, paragrafo 2, lettera d), del RGPD, di modo che la raccolta e il trasferimento all’UIP di tali dati, da parte dei vettori aerei, rientrano in quest’ultimo regolamento. La stessa conclusione si impone in un caso, come quello previsto dalla legge del 25 dicembre 2016, in cui la raccolta e il trasferimento di detti dati sono effettuati da altri vettori o dagli operatori di viaggio.

82      Il giudice del rinvio si chiede, infine, quale sia l’eventuale impatto dell’adozione di una normativa nazionale diretta a trasporre al contempo le disposizioni della direttiva PNR, della direttiva API e della direttiva 2010/65, quale la legge del 25 dicembre 2016. A tal riguardo, occorre ricordare che, come emerge dai punti 72 e da 75 a 77 della presente sentenza, i trattamenti di dati previsti in forza di tali due ultime direttive rientrano nell’ambito di applicazione del RGPD, il quale contiene norme generali relative alla protezione delle persone fisiche riguardo al trattamento dei dati personali.

83      Pertanto, quando un trattamento di dati effettuato sulla base di tale normativa rientra nella direttiva API e/o nella direttiva 2010/65, il RGPD è applicabile a tale trattamento. Lo stesso vale per un trattamento di dati effettuato su tale stessa base e rientrante, per quanto riguarda la sua finalità, oltre che nella direttiva PNR, nella direttiva API e/o nella direttiva 2010/65. Infine, quando un trattamento di dati effettuato sulla base della medesima normativa rientra, per quanto riguarda la sua finalità, solo nella direttiva PNR, il RGDP è applicabile qualora si tratti di raccolta e trasferimento dei dati PNR all’UIP, da parte dei vettori aerei. Invece, quando un siffatto trattamento è effettuato dall’UIP o dalle autorità competenti per le finalità di cui all’articolo 1, paragrafo 2, della direttiva PNR, tale trattamento rientra, oltre che nel diritto nazionale, nella direttiva 2016/680.

84      Tenuto conto delle considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 2, paragrafo 2, lettera d), e l’articolo 23 del RGDP devono essere interpretati nel senso che tale regolamento è applicabile ai trattamenti di dati personali previsti da una normativa nazionale diretta a trasporre nel diritto interno, al contempo, le disposizioni della direttiva API, della direttiva 2010/65 e della direttiva PNR per quanto riguarda, da un lato, trattamenti di dati effettuati da operatori privati e, dall’altro, trattamenti di dati effettuati da autorità pubbliche rientranti, unicamente o altresì, nella direttiva API o nella direttiva 2010/65. Detto regolamento non è, invece, applicabile ai trattamenti di dati previsti da una siffatta normativa rientranti solo nella direttiva PNR, che sono effettuati dall’UIP o dalle autorità competenti ai fini di cui all’articolo 1, paragrafo 2, di tale direttiva.

B.      Sulle questioni seconda, terza, quarta e sesta

85      Con le questioni seconda, terza, quarta e sesta, che occorre esaminare congiuntamente, il giudice del rinvio chiede lumi alla Corte, in sostanza, sulla validità della direttiva PNR alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta. Tali questioni vertono, segnatamente:

–        sull’allegato I a tale direttiva e sui dati ivi enumerati, in particolare quelli di cui ai suoi punti 12 e 18, alla luce dei requisiti di chiarezza e precisione (seconda e terza questione);

–        sull’articolo 3, punto 4, di detta direttiva e sull’allegato I a quest’ultima, nella misura in cui il sistema di raccolta, trasferimento e trattamento generalizzato dei dati PNR introdotto da tali disposizioni può applicarsi a chiunque si imbarchi su un volo rientrante nelle disposizioni di tale medesima direttiva (quarta questione); e

–        sull’articolo 6 della direttiva PNR nella misura in cui prevede una valutazione preliminare, mediante un confronto dei dati PNR con banche dati e/o il loro trattamento alla luce di criteri prestabiliti, che si applica in maniera sistematica e generalizzata a tali dati, a prescindere da qualsiasi elemento obiettivo che consenta di ritenere che i passeggeri interessati possano presentare un rischio per la sicurezza pubblica (sesta questione).

86      In via preliminare si deve rammentare che, secondo un principio ermeneutico generale, un atto dell’Unione deve essere interpretato, per quanto possibile, in un modo che non pregiudichi la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta. Così, qualora un testo di diritto derivato dell’Unione si presti a più di un’interpretazione, occorre preferire quella che rende la disposizione conforme al diritto primario anziché quella che porta a constatare la sua incompatibilità con quest’ultimo (sentenza del 2 febbraio 2021, Consob, C‑481/19, EU:C:2021:84, punto 50 e giurisprudenza ivi citata).

87      Inoltre, secondo giurisprudenza costante, quando le disposizioni di una direttiva lasciano agli Stati membri un margine di discrezionalità per definire misure di trasposizione che siano adeguate alle diverse situazioni possibili, essi sono tenuti, nell’attuazione di tali misure, non solo a interpretare il loro diritto nazionale conformemente alla direttiva in questione, ma anche a fare in modo di non basarsi su un’interpretazione della stessa che entri in conflitto con i diritti fondamentali tutelati dall’ordinamento giuridico dell’Unione o con gli altri principi generali riconosciuti in detto ordinamento giuridico [v., in tal senso, sentenze del 15 febbraio 2016, N., C‑601/15 PPU, EU:C:2016:84, punto 60 e giurisprudenza ivi citata, nonché del 16 luglio 2020, État belge (Ricongiungimento familiare – Figlio minorenne), C‑133/19, C‑136/19 e C‑137/19, EU:C:2020:577, punto 33 e giurisprudenza ivi citata].

88      Per quanto riguarda la direttiva PNR, occorre rilevare che, in particolare, i considerando 15, 20, 22, 25, 36 e 37 pongono l’accento sull’importanza che il legislatore dell’Unione attribuisce, facendo riferimento a un livello elevato di protezione dei dati, al pieno rispetto dei diritti fondamentali sanciti dagli articoli 7, 8 e 21 della Carta nonché del principio di proporzionalità, di modo che, come sottolineato al considerando 36, tale direttiva «dovrebbe essere attuata di conseguenza».

89      In particolare, il considerando 22 della direttiva PNR sottolinea che, «[tenendo] pienamente conto dei principi delineati nella recente giurisprudenza della [Corte] in materia, è opportuno che l’applicazione [di tale] direttiva garantisca il pieno rispetto dei diritti fondamentali, del diritto al rispetto della vita privata e del principio di proporzionalità», e «risponda effettivamente agli obiettivi di quanto è necessario e proporzionato per garantire gli interessi generali riconosciuti dall’Unione e alla necessità di tutelare i diritti e le libertà altrui nella lotta contro i reati di terrorismo e ai reati gravi». Tale considerando aggiunge che tale applicazione «dovrebbe essere debitamente giustificata e dovrebbero essere previste le garanzie necessarie ad assicurare la liceità di qualsiasi conservazione, analisi, trasferimento e uso dei dati PNR».

90      Inoltre, l’articolo 19, paragrafo 2, della direttiva PNR impone alla Commissione, nell’ambito del riesame di tale direttiva, di prestare particolare attenzione «al rispetto del livello applicabile di protezione dei dati personali», «alla necessità e alla proporzionalità della raccolta e del trattamento dei dati PNR per ciascuna delle finalità di cui alla presente direttiva» nonché «alla durata del periodo di conservazione dei dati».

91      Occorre quindi verificare se la direttiva PNR, conformemente a quanto richiesto, in particolare, dai suoi considerando e dalle sue disposizioni menzionate ai punti da 88 a 90 della presente sentenza, possa essere interpretata in modo da assicurare il pieno rispetto dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta nonché del principio di proporzionalità sancito dall’articolo 52, paragrafo 1, di quest’ultima.

1.      Sulle ingerenze risultanti dalla direttiva PNR nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta

92      L’articolo 7 della Carta garantisce ad ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni, mentre l’articolo 8, paragrafo 1, della Carta conferisce esplicitamente a ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano.

93      Come emerge dall’articolo 3, punto 5, della direttiva PNR e dall’elencazione figurante all’allegato a quest’ultima, i dati PNR contemplati da tale direttiva comprendono in particolare, oltre al nome del o dei passeggeri aerei, informazioni necessarie alla prenotazione, come le date previste del viaggio e l’itinerario di viaggio, informazioni relative ai biglietti, i gruppi di persone registrate sotto lo stesso numero di prenotazione, gli estremi del o dei passeggeri, informazioni relative ai modi di pagamento o alla fatturazione, informazioni concernenti i bagagli nonché osservazioni generali riguardo ai passeggeri.

94      Dal momento che i dati PNR contengono, pertanto, informazioni su persone fisiche identificate, ossia i passeggeri aerei interessati, i diversi trattamenti di cui tali dati possono essere oggetto incidono sul diritto fondamentale al rispetto della vita privata, garantito dall’articolo 7 della Carta [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punti 121 e 122 nonché giurisprudenza ivi citata].

95      Inoltre, i trattamenti di dati PNR quali quelli di cui alla direttiva PNR rientrano anche nell’articolo 8 della Carta a motivo del fatto che essi costituiscono trattamenti di dati personali ai sensi di tale articolo e devono, di conseguenza, soddisfare necessariamente gli obblighi di protezione dei dati previsti a detto articolo [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 123 e giurisprudenza ivi citata].

96      Orbene, secondo giurisprudenza costante, la comunicazione di dati personali a un terzo, quale un’autorità pubblica, costituisce un’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, indipendentemente dall’uso successivo delle informazioni comunicate. Lo stesso vale per la conservazione dei dati personali nonché per l’accesso agli stessi ai fini del loro uso da parte delle autorità pubbliche. A tal riguardo, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno carattere delicato o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza [parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punti 124 e 126 nonché giurisprudenza ivi citata].

97      Pertanto, sia il trasferimento dei dati PNR da parte dei vettori aerei all’UIP dello Stato membro interessato, previsto dall’articolo 1, paragrafo 1, lettera a), della direttiva PNR, in combinato disposto con l’articolo 8 di quest’ultima, sia la disciplina delle condizioni attinenti alla conservazione di tali dati, al loro uso nonché ai loro eventuali trasferimenti ulteriori alle autorità competenti di tale Stato membro, alle UIP e alle autorità competenti degli altri Stati membri, a Europol, o ancora a autorità di paesi terzi, consentiti, in particolare, dagli articoli 6, 7, 9 e da 10 a 12 di tale direttiva, costituiscono ingerenze nei diritti garantiti dagli articoli 7 e 8 della Carta.

98      Per quanto riguarda la gravità di tali ingerenze, occorre rilevare, in primo luogo, che, in forza del suo articolo 1, paragrafo 1, lettera a), in combinato disposto con il suo articolo 8, la direttiva PNR prevede il trasferimento sistematico e continuo alle UIP dei dati PNR di tutti i passeggeri che si imbarcano su un volo extra-UE ai sensi dell’articolo 3, punto 2, di tale direttiva, operato tra paesi terzi e l’Unione. Come rilevato dall’avvocato generale al paragrafo 73 delle sue conclusioni, un siffatto trasferimento implica un accesso generale da parte delle UIP a tutti i dati PNR comunicati, riguardanti tutte le persone che fanno uso di servizi di trasporto aereo, a prescindere dal successivo utilizzo di tali dati.

99      In secondo luogo, l’articolo 2 della direttiva PNR prevede, al suo paragrafo 1, che gli Stati membri possono decidere di applicare tale direttiva ai voli intra-UE, ai sensi dell’articolo 3, punto 3, di quest’ultima, e precisa, al suo paragrafo 2, che, in tal caso, tutte le disposizioni di detta direttiva «si applicano ai voli intra-UE come se fossero voli extra-UE e ai dati PNR riguardanti voli intra-UE come se fossero dati PNR riguardanti voli extra-UE».

100    In terzo luogo, anche se non sembra che taluni dati PNR, elencati nell’allegato I alla direttiva PNR, quali riassunti al punto 93 della presente sentenza, considerati isolatamente, possano rivelare informazioni precise sulla vita privata degli interessati, tuttavia, considerati complessivamente, detti dati possono, tra l’altro, rivelare un itinerario di viaggio completo, abitudini di viaggio, relazioni esistenti tra due o più persone nonché informazioni sulla situazione finanziaria dei passeggeri aerei, sulle loro abitudini alimentari o sul loro stato di salute, e potrebbero persino rivelare informazioni delicate su tali passeggeri [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 128].

101    In quarto luogo, in forza dell’articolo 6, paragrafo 2, lettere a) e b), della direttiva PNR, i dati trasferiti dai vettori aerei sono destinati a essere oggetto non solo di una valutazione preliminare, effettuata prima dell’arrivo previsto o della partenza prevista dei passeggeri, ma anche di una valutazione successiva.

102    Per quanto attiene alla valutazione preliminare, dall’articolo 6, paragrafo 2, lettera a), e paragrafo 3, della direttiva PNR emerge che tale valutazione è effettuata, dalle UIP degli Stati membri, in maniera sistematica e con mezzi automatizzati, vale a dire in modo continuo e indipendentemente dalla questione se esista il minimo indizio quanto al rischio di implicazione degli interessati in reati di terrorismo o in reati gravi. A tal fine, dette disposizioni prevedono che i dati PNR possano essere confrontati con «banche dati pertinenti» e essere oggetto di trattamento sulla base di «criteri prestabiliti».

103    In tale contesto, occorre ricordare che la Corte ha già dichiarato che la portata dell’ingerenza che le analisi automatizzate dei dati PNR comportano nei diritti sanciti agli articoli 7 e 8 della Carta dipende essenzialmente dai modelli e dai criteri prestabiliti, nonché dalle banche dati sulle quali si fonda tale tipo di trattamento di dati [parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 172].

104    Orbene, come rilevato dall’avvocato generale al paragrafo 78 delle sue conclusioni, il trattamento previsto dall’articolo 6, paragrafo 3, lettera a), della direttiva PNR, ossia il confronto dei dati PNR con «banche dati pertinenti», può fornire informazioni supplementari sulla vita privata dei passeggeri aerei e consentire di trarre conclusioni molto precise al riguardo.

105    Quanto ai trattamenti dei dati PNR alla luce di «criteri prestabiliti», previsti all’articolo 6, paragrafo 3, lettera b), della direttiva PNR, vero è che l’articolo 6, paragrafo 4, di tale direttiva impone che la valutazione dei passeggeri tramite tali criteri sia effettuata in modo non discriminatorio e, in particolare, senza essere basata su tutta una serie di caratteristiche di cui all’ultima frase di tale paragrafo 4. Inoltre, i criteri adottati devono essere mirati, proporzionati e specifici.

106    Tuttavia, la Corte ha già dichiarato che, nei limiti in cui analisi automatizzate dei dati PNR sono effettuate a partire da dati personali non verificati e si fondano su modelli e criteri prestabiliti, le stesse presentano necessariamente un certo tasso d’errore [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 169]. In particolare, come rilevato, in sostanza, dall’avvocato generale al paragrafo 78 delle sue conclusioni, dal documento di lavoro della Commissione [SWD(2020)128 final] allegato alla sua relazione del 24 luglio 2020, vertente sul riesame della direttiva PNR, emerge che il numero di casi di riscontri positivi risultanti dai trattamenti automatizzati previsti all’articolo 6, paragrafo 3, lettere a) e b), di tale direttiva che sono risultati erronei dopo il riesame individuale non automatizzato è piuttosto consistente ed era pari, nel corso degli anni 2018 e 2019, ad almeno cinque su sei persone identificate. Tali trattamenti portano così a un’analisi approfondita dei dati PNR relativi a dette persone.

107    Per quanto attiene alla valutazione successiva dei dati PNR prevista all’articolo 6, paragrafo 2, lettera b), della direttiva PNR, da tale disposizione emerge che, nel corso dei sei mesi successivi al trasferimento dei dati PNR, di cui all’articolo 12, paragrafo 2, di tale direttiva, l’UIP è tenuta, su richiesta delle autorità competenti, a trasmettere a queste ultime i dati PNR e a trattarli in casi specifici, ai fini della lotta contro i reati di terrorismo o i reati gravi.

108    Inoltre, anche se, dopo la scadenza di tale periodo di sei mesi, i dati PNR sono resi anonimi mediante mascheratura di taluni elementi di tali dati, l’UIP può essere tenuta, conformemente all’articolo 12, paragrafo 3, della direttiva PNR, a trasmettere alle autorità competenti, in seguito a una richiesta siffatta, i dati PNR integrali in una forma che consente di identificare l’interessato, se è ragionevolmente ritenuto necessario ai fini dell’articolo 6, paragrafo 2, lettera b), di tale direttiva; una trasmissione siffatta è tuttavia subordinata all’autorizzazione concessa da un’autorità giudiziaria o di una «altra autorità nazionale competente».

109    In quinto luogo, prevedendo, al suo articolo 12, paragrafo 1, senza fornire ulteriori precisazioni al riguardo, che i dati PNR siano conservati in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo, la direttiva PNR consente, tenuto conto del fatto che, malgrado siano resi anonimi allo scadere del periodo iniziale di sei mesi mediante mascheratura di taluni loro elementi, i dati PNR integrali possono ancora essere trasmessi nell’ipotesi di cui al punto precedente, di disporre d’informazioni sulla vita privata dei passeggeri aerei per una durata che la Corte ha già qualificato, nel suo parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592, punto 132), come particolarmente lunga.

110    Tenuto conto dell’uso abituale dei trasporti aerei, un siffatto periodo di conservazione ha come conseguenza che i dati PNR di una gran parte della popolazione dell’Unione possono essere conservati, in modo ripetuto, nell’ambito del sistema istituito dalla direttiva PNR e, di conseguenza, essere accessibili ad analisi effettuate nell’ambito delle valutazioni preliminari e successive dell’UIP e delle autorità competenti per un periodo considerevole, se non addirittura indefinito, per quanto riguarda le persone che viaggiano in aereo più di una volta ogni cinque anni.

111    Alla luce di tutte le considerazioni che precedono, si deve ritenere che la direttiva PNR comporta ingerenze di una gravità certa nei diritti garantiti dagli articoli 7 e 8 della Carta, nella misura in cui, in particolare, essa mira a istituire un sistema di sorveglianza continua, indiscriminata e sistematica, che include la valutazione automatizzata di dati personali di tutte le persone che utilizzano servizi di trasporto aereo.

2.      Sulla giustificazione delle ingerenze risultanti dalla direttiva PNR

112    Si deve rammentare che i diritti fondamentali sanciti agli articoli 7 e 8 della Carta non appaiono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale [parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 136 e giurisprudenza ivi citata, nonché sentenza del 6 ottobre 2020, Privacy International, C‑623/17, EU:C:2020:790, punto 63 e giurisprudenza ivi citata].

113    Ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla stessa devono essere previste dalla legge e rispettare il loro contenuto essenziale. Secondo l’articolo 52, paragrafo 1, seconda frase, della Carta, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni a tali diritti e libertà solo qualora esse siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. A tale riguardo, l’articolo 8, paragrafo 2, della Carta precisa che i dati personali devono, in particolare, essere trattati «per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

114    Occorre aggiungere che il requisito secondo cui qualsiasi limitazione nell’esercizio dei diritti fondamentali deve essere prevista dalla legge implica che l’atto che consente l’ingerenza in tali diritti deve definire, esso stesso, la portata della limitazione dell’esercizio del diritto considerato, fermo restando, da un lato, che tale requisito non esclude che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione (v., in tal senso, sentenza del 26 aprile 2022, Polonia/Parlamento e Consiglio, C‑401/19, EU:C:2022:297, punti 64 e 74 nonché giurisprudenza ivi citata), e, dall’altro, che la Corte può, se del caso, precisare, in via interpretativa, la portata concreta della limitazione sia rispetto ai termini stessi della normativa dell’Unione di cui trattasi sia rispetto all’impianto sistmatico e agli obiettivi che essa persegue, come interpretati alla luce dei diritti fondamentali garantiti dalla Carta.

115    Per quanto riguarda il rispetto del principio di proporzionalità, la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione impone, conformemente alla giurisprudenza costante della Corte, che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario. Inoltre, un obiettivo di interesse generale non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, effettuando un contemperamento equilibrato tra, da un lato, l’obiettivo di interesse generale e, dall’altro, i diritti di cui trattasi [parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 140, nonché sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 52 e giurisprudenza ivi citata].

116    In particolare, la possibilità per gli Stati membri di giustificare una limitazione ai diritti garantiti dagli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta, e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (v., in tal senso, sentenze del 2 ottobre 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punto 55 e giurisprudenza ivi citata, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 53 e giurisprudenza ivi citata).

117    Per soddisfare il requisito di proporzionalità, la normativa di cui trattasi, che comporta l’ingerenza, deve prevedere norme chiare e precise che disciplinino la portata e l’applicazione delle misure che essa prevede e fissino requisiti minimi, di modo che le persone i cui dati sono stati trasferiti dispongano di garanzie sufficienti, tali da permettere di proteggere efficacemente i loro dati personali contro i rischi di abuso. Essa deve in particolare indicare in quali circostanze e a quali condizioni una misura che prevede il trattamento di siffatti dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario. La necessità di disporre di siffatte garanzie è tanto più importante allorché i dati personali sono soggetti a trattamento automatizzato. Dette considerazioni valgono in particolare quando i dati PNR sono tali da poter rivelare informazioni delicate sui passeggeri [parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 141, nonché sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 132 e giurisprudenza ivi citata].

118    Pertanto, una normativa che prevede una conservazione dei dati personali deve sempre soddisfare criteri oggettivi, che stabiliscano una relazione tra i dati da conservare e l’obiettivo perseguito [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 191 e giurisprudenza ivi citata, nonché sentenze del 3 ottobre 2019, A e a., C‑70/18, EU:C:2019:823, punto 63, e del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 133].

a)      Sul rispetto del principio di legalità e del contenuto essenziale dei diritti fondamentali in questione

119    La limitazione all’esercizio dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta risultante dal sistema istituito dalla direttiva PNR è prevista da un atto legislativo dell’Unione. Quanto alla questione se, conformemente alla giurisprudenza rammentata al punto 114 della presente sentenza, tale direttiva, in quanto atto di diritto dell’Unione che consente l’ingerenza in tali diritti, definisca essa stessa la portata della limitazione all’esercizio di detti diritti, occorre rilevare che le disposizioni della direttiva in parola nonché i suoi allegati I e II contengono, da un lato, un elenco di dati PNR e, dall’altro, disciplinano il trattamento di tali dati, in particolare, definendo le finalità e le modalità di tali trattamenti. Del resto, tale questione si confonde ampiamente con quella del rispetto del requisito di proporzionalità, rammentata al punto 117 della presente sentenza (v., in tal senso, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, punto 180), e sarà esaminata ai punti 125 e seguenti della presente sentenza.

120    Per quanto riguarda il rispetto del contenuto essenziale dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, vero è che i dati PNR possono, se del caso, rivelare informazioni molto precise sulla vita privata di una persona. Tuttavia, nella misura in cui, da un lato, la natura di tali informazioni è limitata a taluni aspetti di tale vita privata, relativi in particolare ai viaggi aerei di tale persona, e, dall’altro, l’articolo 13, paragrafo 4, della direttiva PNR vieta espressamente il trattamento dei dati delicati, ai sensi dell’articolo 9, paragrafo 1, del RGPD, i dati di cui a tale direttiva non consentono, da soli, di ottenere un quadro completo della vita privata di una persona. Inoltre, detta direttiva, al suo articolo 1, paragrafo 2, in combinato disposto con il suo articolo 3, punti 8 e 9, nonché con il suo allegato II, circoscrive le finalità del trattamento di tali dati. Infine, questa stessa direttiva stabilisce, ai suoi articoli da 4 a 15, norme che disciplinano il trasferimento, il trattamento e la conservazione di tali dati e norme volte a garantire, in particolare, la sicurezza, la riservatezza e l’integrità dei medesimi dati nonché a proteggerli dagli accessi e dai trattamenti illeciti. In tali circostanze, le ingerenze che la direttiva PNR comporta non pregiudicano il contenuto essenziale dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta.

b)      Sull’obiettivo di interesse generale e sull’idoneità dei trattamenti dei dati PNR sotto il profilo di tale obiettivo

121    Per quanto riguarda la questione se il sistema istituito dalla direttiva PNR persegua un obiettivo di interesse generale, dai considerando 5, 6 e 15 di tale direttiva emerge che l’obiettivo di quest’ultima è assicurare la sicurezza interna dell’Unione e proteggere così la vita e la sicurezza delle persone, creando al contempo un quadro giuridico che garantisca un elevato livello di protezione dei diritti fondamentali dei passeggeri, in particolare dei diritti al rispetto della vita privata e alla protezione dei dati personali, quando dati PNR sono trattati dalle autorità competenti.

122    A tal fine, l’articolo 1, paragrafo 2, della direttiva PNR prevede che i dati PNR raccolti a norma di tale direttiva possono essere oggetto dei trattamenti previsti dall’articolo 6, paragrafo 2, lettere da a) a c), di quest’ultima, unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Orbene, tali finalità costituiscono indubbiamente obiettivi di interesse generale dell’Unione che possono giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta [v., in tal senso, sentenza dell’8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punto 42, nonché parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punti 148 e 149].

123    Per quanto riguarda l’idoneità del sistema istituito dalla direttiva PNR a raggiungere gli obiettivi perseguiti, occorre constatare che, benché la possibilità di risultati «erroneamente negativi» e il numero piuttosto consistente di risultati «erroneamente positivi» che, come rilevato al punto 106 della presente sentenza, sono stati ottenuti nel corso del 2018 e del 2019 a seguito dei trattamenti automatizzati previsti da tale direttiva siano tali da limitare l’idoneità di tale sistema, essi non sono tuttavia idonei a rendere detto sistema inadatto a contribuire alla realizzazione dell’obiettivo relativo alla lotta contro i reati di terrorismo e i reati gravi. Infatti, come emerge dal documento di lavoro della Commissione menzionato al punto 106 della presente sentenza, i trattamenti automatizzati effettuati ai sensi di detta direttiva hanno effettivamente già consentito di identificare passeggeri aerei che presentavano un rischio nell’ambito della lotta contro i reati di terrorismo e i reati gravi.

124    Inoltre, tenuto conto del tasso di errore inerente ai trattamenti automatizzati dei dati PNR e, in particolare, del numero piuttosto consistente di risultati «erroneamente positivi», l’idoneità del sistema istituito dalla direttiva PNR dipende essenzialmente dal buon funzionamento della verifica successiva dei risultati ottenuti a titolo di tali trattamenti, con mezzi non automatizzati, compito che spetta, in forza di tale direttiva, all’UIP. Le disposizioni previste a tal fine da detta direttiva contribuiscono quindi al raggiungimento di questi obiettivi.

c)      Sul carattere necessario delle ingerenze risultanti dalla direttiva PNR 

125    Conformemente alla giurisprudenza rammentata ai punti da 115 a 118 della presente sentenza, occorre verificare se le ingerenze risultanti dalla direttiva PNR siano limitate allo stretto necessario e, in particolare, se tale direttiva stabilisca norme chiare e precise che disciplinano la portata e l’applicazione delle misure da essa previste e se il sistema che essa istituisce continui a soddisfare criteri obiettivi, stabilendo una relazione tra i dati PNR, che sono strettamente legati alla prenotazione e all’effettuazione di viaggi aerei, e le finalità perseguite da detta direttiva, ossia la lotta contro i reati di terrorismo e i reati gravi.

1)      Sui dati dei passeggeri aerei contemplati dalla direttiva PNR

126    Occorre valutare se le rubriche di dati contenute nell’allegato I alla direttiva PNR definiscano in modo chiaro e preciso i dati PNR che un vettore aereo è tenuto a comunicare all’UIP.

127    In via preliminare, si deve rammentare che, come emerge dal considerando 15 della direttiva PNR, il legislatore dell’Unione ha voluto che l’elenco dei dati PNR che deve essere ottenuto da un’UIP sia compilato «con l’obiettivo di riflettere l’esigenza legittima delle autorità pubbliche di prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi, migliorando così la sicurezza interna nell’Unione e la protezione dei diritti fondamentali, in particolare il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali». In particolare, secondo questo stesso considerando, detti dati «dovrebbero contenere solo i dati della prenotazione e degli itinerari di viaggio del passeggero sulla cui base le autorità competenti possano identificare i passeggeri aerei che rappresentano una minaccia per la sicurezza interna». Inoltre, la direttiva PNR vieta, all’articolo 13, paragrafo 4, prima frase, «il trattamento dei dati PNR che riveli l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato».

128    Di conseguenza i dati PNR raccolti e trasmessi conformemente all’allegato I alla direttiva PNR devono essere direttamente connessi con il volo effettuato e il passeggero interessato e devono essere limitati in modo, da un lato, da soddisfare unicamente l’esigenza legittima delle autorità pubbliche di prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi e, dall’altro, in modo da escludere dati delicati.

129    Orbene, le rubriche da 1 a 4, 7, 9, 11, 15, 17 e 19 dell’allegato I alla direttiva PNR soddisfano tali requisiti, nonché quelli di chiarezza e precisione, in quanto riguardano informazioni chiaramente identificabili e circoscritte, direttamente connesse al volo effettuato e al passeggero interessato. Come rilevato dall’avvocato generale al paragrafo 165 delle sue conclusioni, ciò vale anche per le rubriche 10, 13, 14 e 16, nonostante la loro formulazione aperta.

130    Si devono, invece, fornire precisazioni ai fini dell’interpretazione delle rubriche 5, 6, 8, 12 e 18.

131    Per quanto riguarda la rubrica 5, che riguarda «[i]ndirizzo, recapito telefonico e indirizzo di posta elettronica», tale rubrica non precisa espressamente se detti dati si riferiscano al solo passeggero aereo o anche ai terzi che abbiano effettuato la prenotazione del volo per il passeggero aereo, ai terzi tramite i quali un passeggero aereo può essere raggiunto, o ancora ai terzi che debbano essere informati in caso di urgenza. Tuttavia, come rilevato, in sostanza, dall’avvocato generale al paragrafo 162 delle sue conclusioni, tenuto conto dei requisiti di chiarezza e precisione, tale rubrica non può essere interpretata nel senso di consentire, in maniera implicita, anche la raccolta e la trasmissione di dati personali di tali terzi. Di conseguenza, occorre interpretare detta rubrica come riferita solo all’indirizzo postale e agli estremi, ossia al numero di telefono e all’indirizzo di posta elettronica, del passeggero aereo in nome del quale è effettuata la prenotazione.

132    Per quanto riguarda la rubrica 6, che si riferisce a «[i]nformazioni su tutte le modalità di pagamento, compreso l’indirizzo di fatturazione», tale rubrica deve essere interpretata, per soddisfare i requisiti di chiarezza e precisione, nel senso che si riferisce soltanto alle informazioni relative alle modalità di pagamento e fatturazione del biglietto aereo, ad esclusione di qualsiasi altra informazione che non sia direttamente connessa al volo [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 159].

133    Quanto alla rubrica 8, che riguarda le «informazioni sui viaggiatori abituali («Frequent flyer»)», essa deve essere interpretata, come rilevato dall’avvocato generale al paragrafo 164 delle sue conclusioni, come riguardante esclusivamente i dati relativi allo status del passeggero interessato, nell’ambito di un programma di fedeltà di una determinata compagnia aerea o di un determinato gruppo di compagnie aeree, nonché il numero che identifica tale passeggero come «Frequent flyer». La rubrica 8 non consente quindi di raccogliere informazioni sulle operazioni negoziali attraverso le quali tale status è stato acquisito.

134    Per quanto concerne la rubrica 12, essa riguarda le «[o]sservazioni generali (comprese tutte le informazioni disponibili sui minori non accompagnati di età inferiore a 18 anni, quali nome e sesso del minore, età, lingua o lingue parlate, nome e recapito dell’accompagnatore alla partenza e relazione con il minore, nome e recapito dell’accompagnatore all’arrivo e relazione con il minore, agente alla partenza e all’arrivo)».

135    A tal riguardo, si deve innanzitutto rilevare che, benché i termini «osservazioni generali» non soddisfino i requisiti di chiarezza e precisione nella misura in cui non fissano, in quanto tali, alcun limite riguardo alla natura e alla portata delle informazioni che possono essere raccolte e comunicate a un’UIP a titolo della rubrica 12 [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 160], l’elenco che figura tra parentesi soddisfa, invece, tali requisiti.

136    Di conseguenza, per dare alla rubrica 12 un’interpretazione che, in applicazione della giurisprudenza rammentata al punto 86 della presente sentenza, renda quest’ultima conforme ai requisiti di chiarezza e precisione e, più in generale, agli articoli 7 e 8 e all’articolo 52, paragrafo 1, della Carta, si deve considerare che siano consentite solo la raccolta e la comunicazione delle informazioni espressamente elencate in tale rubrica, vale a dire il nome e il sesso del passeggero aereo minorenne, la sua età, la lingua o le lingue parlate, il nome e il recapito dell’accompagnatore alla partenza e la sua relazione con il minore, il nome e il recapito dell’accompagnatore all’arrivo e la sua relazione con il minore, l’agente alla partenza e all’arrivo.

137    Infine, per quanto attiene alla rubrica 18, quest’ultima concerne «[i]nformazioni anticipate sui passeggeri (API) eventualmente raccolte (tra cui: tipo, numero, paese di rilascio e data di scadenza del documento, cittadinanza, cognome, nome, sesso, data di nascita, compagnia aerea, numero di volo, data di partenza, data di arrivo, aeroporto di partenza, aeroporto di arrivo, ora di partenza e ora di arrivo)».

138    Come rilevato dall’avvocato generale, in sostanza, ai paragrafi da 156 a 160 delle sue conclusioni, da tale rubrica 18, letta alla luce dei considerando 4 e 9 della direttiva PNR, emerge che le informazioni cui essa si riferisce sono tassativamente i dati API elencati in detta rubrica nonché all’articolo 3, paragrafo 2, della direttiva API.

139    Si può quindi ritenere che la rubrica 18, a condizione che sia interpretata come comprendente soltanto le informazioni espressamente contemplate in tale medesima rubrica nonché a detto articolo 3, paragrafo 2, della direttiva API, soddisfi i requisiti di chiarezza e precisione [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 161].

140    Pertanto, si deve constatare che, interpretato conformemente alle considerazioni esposte in particolare ai punti da 130 a 139 della presente sentenza, l’allegato I alla direttiva PNR è, nel suo insieme, sufficientemente chiaro e preciso, delimitando così la portata dell’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta.

2)      Sulle finalità dei trattamenti dei dati PNR

141    Come emerge dall’articolo 1, paragrafo 2, della direttiva PNR, i trattamenti dei dati PNR raccolti a norma di tale direttiva hanno la finalità di lottare contro i «reati di terrorismo» e i «reati gravi».

142    Per quanto attiene alla questione se la direttiva PNR preveda, in materia, norme chiare e precise che limitino l’applicazione del sistema istituito da tale direttiva a quanto strettamente necessario a tali fini, occorre rilevare, da un lato, che i termini «reati di terrorismo» sono definiti all’articolo 3, punto 8, di detta direttiva con riferimento ai «reati ai sensi del diritto nazionale di cui agli articoli da 1 a 4 della decisione quadro [2002/475]».

143    Orbene, oltre al fatto che tale decisione quadro definiva, ai suoi articoli da 1 a 3, in modo chiaro e preciso, i «reati di terrorismo», i «reati riconducibili a un’organizzazione terroristica» e i «reati connessi alle attività terroristiche», che gli Stati membri dovevano rendere punibili come reati a titolo di detta decisione quadro, la direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475 e che modifica la decisione 2005/671/GAI del Consiglio (GU 2017, L 88, pag. 6), definisce altresì, ai suoi articoli da 3 a 14, in modo chiaro e preciso, tali medesimi reati.

144    Dall’altro lato, l’articolo 3, punto 9, della direttiva PNR definisce i termini «reati gravi» attraverso il riferimento ai «reati elencati nell’allegato II [a tale direttiva], che siano punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni conformemente al diritto nazionale di uno Stato membro».

145    Orbene, innanzitutto, tale allegato elenca tassativamente le diverse categorie di reati che possono rientrare nei «reati gravi» di cui all’articolo 3, punto 9, della direttiva PNR.

146    Tenuto conto poi delle specificità che presentavano, al momento dell’adozione di detta direttiva, i sistemi penali degli Stati membri in assenza di un’armonizzazione dei reati così interessati, il legislatore dell’Unione poteva limitarsi a prendere in considerazione categorie di reati senza definirne gli elementi costitutivi, e ciò tanto più che tali elementi sono, in ipotesi, necessariamente definiti dal diritto nazionale al quale rinvia l’articolo 3, punto 9, della direttiva PNR in quanto gli Stati membri sono tenuti al rispetto del principio di legalità dei reati e delle pene quale componente del valore comune, condiviso con l’Unione, dello Stato di diritto di cui all’articolo 2 TUE (v., per analogia, sentenza del 16 febbraio 2022, Ungheria/Parlamento e Consiglio, C‑156/21, EU:C:2022:97, punti 136, 160 e 234), principio che è inoltre sancito dall’articolo 49, paragrafo 1, della Carta, che gli Stati membri sono tenuti a osservare quando attuano un atto dell’Unione, quale la direttiva PNR (v., in tal senso, sentenza del 10 novembre 2011, QB, C‑405/10, EU:C:2011:722, punto 48 e giurisprudenza ivi citata). Così, tenuto conto anche del senso abituale dei termini impiegati in tale medesimo allegato, si deve considerare che quest’ultimo determina, in modo sufficientemente chiaro e preciso, i reati che possono costituire reati gravi.

147    Vero è che i punti 7, 8, 10 e 16 dell’allegato II si riferiscono a categorie molto generali di reati (frode, riciclaggio di proventi di reato e falsificazione di monete, criminalità ambientale, traffico illecito di beni culturali), facendo al contempo riferimento tuttavia a reati particolari che rientrano in tali categorie generali. Per garantire una precisione sufficiente, richiesta anche dall’articolo 49 della Carta, tali punti devono essere interpretati come riferiti ai suddetti reati, quali specificati dal diritto nazionale e/o dal diritto dell’Unione in materia. Interpretati in questo senso, si può giudicare che i suddetti punti soddisfano i requisiti di chiarezza e precisione.

148    Infine si deve anche ricordare che, mentre, conformemente al principio di proporzionalità, l’obiettivo di lotta contro i reati gravi può giustificare la grave ingerenza che la direttiva PNR comporta nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, diverso è il caso dell’obiettivo di lotta alla criminalità in generale, poiché quest’ultimo obiettivo può giustificare unicamente ingerenze che non presentino un carattere grave (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 59 e giurisprudenza ivi citata). Pertanto, tale direttiva deve garantire, mediante norme chiare e precise, che l’applicazione del sistema istituito da detta direttiva si limiti ai soli reati gravi ed escluda, quindi, quelli comuni.

149    A tal riguardo, come rilevato dall’avvocato generale al paragrafo 121 delle sue conclusioni, molti dei reati di cui all’allegato II alla direttiva PNR – quali la tratta di esseri umani, lo sfruttamento sessuale di minori e la pedopornografia, il traffico illecito di armi, munizioni ed esplosivi, il riciclaggio, la criminalità informatica/cibercriminalità, il traffico illecito di organi e tessuti umani, il traffico illecito di stupefacenti e sostanze psicotrope, il traffico illecito di materiali nucleari o radioattive, il dirottamento di aeromobile o di nave, i reati che rientrano nella competenza giurisdizionale della Corte penale internazionale, l’omicidio doloso, lo stupro, il rapimento, il sequestro e la presa di ostaggi – rivestono, per loro natura, un livello di gravità indubbiamente elevato.

150    Inoltre, se è vero che altri reati, anch’essi menzionati in tale allegato II, possono, a priori, essere meno facilmente associati a reati gravi, dai termini stessi dell’articolo 3, punto 9, della direttiva PNR emerge tuttavia che tali reati possono essere considerati come rientranti nei reati gravi solo se sono punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni, conformemente al diritto nazionale dello Stato membro interessato. I requisiti derivanti da tale disposizione, che riguardano la natura e la severità della pena applicabile, sono, in linea di principio, idonei a limitare l’applicazione del sistema istituito da detta direttiva a reati che presentino un livello di gravità tale da poter giustificare l’ingerenza nei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, risultante dal sistema istituito dalla stessa direttiva.

151    Tuttavia, nella misura in cui l’articolo 3, punto 9, della direttiva PNR fa riferimento non alla pena minima applicabile, bensì alla pena massima applicabile, non è escluso che dati PNR possano essere oggetto di un trattamento a fini di lotta contro reati che, pur soddisfacendo il criterio previsto da tale disposizione relativo alla soglia di gravità, rientrino, tenuto conto delle peculiarità del sistema penale nazionale, non nei reati gravi, bensì nei reati comuni.

152    Spetta quindi agli Stati membri garantire che l’applicazione del sistema istituito dalla direttiva PNR sia effettivamente limitata alla lotta contro i reati gravi e che tale sistema non sia esteso a reati comuni.

3)      Sul collegamento tra i dati PNR e le finalità del trattamento di tali dati

153    Vero è che, come rilevato, in sostanza, dall’avvocato generale al paragrafo 119 delle sue conclusioni, i termini dell’articolo 3, punto 8, e dell’articolo 3, punto 9, della direttiva PNR, in combinato disposto con l’allegato II alla stessa, non fanno espressamente riferimento a un criterio idoneo a circoscrivere l’ambito di applicazione di tale direttiva ai soli reati che possono, per loro natura, presentare, quantomeno indirettamente, un collegamento oggettivo con i viaggi aerei e, di conseguenza, con le categorie di dati trasferiti, trattati e conservati in applicazione di detta direttiva.

154    Tuttavia, come rilevato dall’avvocato generale al paragrafo 121 delle sue conclusioni, taluni reati di cui all’allegato II alla direttiva PNR, quali la tratta di esseri umani, il traffico di droga o di armi, il favoreggiamento dell’ingresso e del soggiorno illegali o ancora il dirottamento di aeromobili, sono idonei, per loro stessa natura, a presentare un collegamento diretto con il trasporto aereo di passeggeri. Lo stesso vale per alcuni reati di terrorismo, quali distruzioni di vasta portata di sistemi di trasporto o di infrastrutture o il sequestro di aeromobili, reati che erano previsti all’articolo 1, paragrafo 1, lettere d) ed e), della decisione quadro 2002/475, al quale rinvia l’articolo 3, punto 8, della direttiva PNR, o ancora l’effettuare viaggi a fini terroristici e organizzare o agevolare siffatti viaggi, reati previsti dagli articoli 9 e 10 della direttiva 2017/541.

155    In tale contesto, si deve altresì ricordare che la Commissione ha motivato la sua proposta di direttiva del Parlamento europeo e del Consiglio sull’uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, del 2 febbraio 2011 [COM (2011) 32 definitivo], all’origine della direttiva PNR, mettendo l’accento sul fatto che «[g]li attentati terroristici del 2001 negli Stati Uniti, il fallito attentato terroristico dell’agosto 2006 con cui si volevano far esplodere alcuni aerei in volo dal Regno Unito verso gli Stati Uniti e il tentativo di attentato su un volo da Amsterdam verso Detroit nel dicembre 2009 dimostrano che i terroristi sono in grado di preparare attentati contro voli internazionali in qualunque paese», e che «la maggior parte delle attività terroristiche ha carattere transnazionale e comporta viaggi internazionali, anche verso i campi di addestramento al di fuori dell’UE». Inoltre, per giustificare la necessità di un’analisi dei dati PNR ai fini della lotta contro i reati gravi, la Commissione ha fatto riferimento, a titolo di esempio, al caso di un gruppo di trafficanti di esseri umani che si serviva di documenti falsi per il check-in di un volo nonché al caso di una rete per la tratta di esseri umani e il traffico di stupefacenti che, al fine d’importare stupefacenti in varie destinazioni europee, utilizzavano persone a loro volta vittime della tratta, avendo acquistato, nel contempo, i biglietti aerei di tali persone con carte di credito rubate. Orbene, tutti questi casi riguardavano reati che avevano un collegamento diretto con il trasporto aereo di passeggeri, in quanto si trattava di reati che prendevano di mira il trasporto aereo di passeggeri nonché di reati commessi in occasione o per mezzo di un viaggio aereo.

156    Inoltre, si deve constatare che anche i reati che non presentano un siffatto collegamento diretto con il trasporto aereo di passeggeri possono, a seconda delle circostanze del caso di specie, avere un collegamento indiretto con il trasporto aereo di passeggeri. Ciò avviene, in particolare, quando il trasporto aereo funge da mezzo per preparare siffatti reati o per sottrarsi ai procedimenti penali dopo la loro commissione. Invece, i reati privi di un qualsivoglia collegamento oggettivo, anche indiretto, con il trasporto aereo di passeggeri non possono giustificare l’applicazione del sistema istituito dalla direttiva PNR.

157    In tali circostanze, l’articolo 3, punti 8 e 9, di tale direttiva, in combinato disposto con l’allegato II a quest’ultima e con le prescrizioni risultanti dagli articoli 7, 8, nonché dall’articolo 52, paragrafo 1, della Carta, impone agli Stati membri di garantire, in particolare al momento del riesame individuale non automatizzato previsto dall’articolo 6, paragrafo 5, di detta direttiva, che l’applicazione del sistema istituito da quest’ultima sia limitata ai reati di terrorismo e ai soli reati gravi che presentano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri.

4)      Sui passeggeri aerei e i voli interessati

158    Il sistema istituito dalla direttiva PNR include i dati PNR di tutte le persone che rientrano nella nozione di «passeggero», ai sensi dell’articolo 3, punto 4, di tale direttiva, e che si imbarcano su voli che rientrano nell’ambito di applicazione di quest’ultima.

159    Secondo l’articolo 8, paragrafo 1, di detta direttiva, tali dati sono trasferiti all’UIP dello Stato membro nel cui territorio deve atterrare o dal cui territorio deve decollare il volo, indipendentemente da qualsiasi elemento oggettivo che consenta di ritenere che i passeggeri interessati possano presentare un rischio di implicazione in reati di terrorismo o in reati gravi. Tuttavia, i dati così trasferiti sono soggetti, in particolare, a trattamenti automatizzati nell’ambito della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), e paragrafo 3, della direttiva PNR e detta valutazione ha come finalità, come emerge dal considerando 7 di tale direttiva, l’identificazione di persone mai sospettate di reati di terrorismo o di reati gravi prima di tale valutazione, per i quali è opportuno che le autorità competenti procedano a ulteriori verifiche.

160    In particolare, dall’articolo 1, paragrafo 1, lettera a), e dall’articolo 2 della direttiva PNR emerge che quest’ultima distingue i passeggeri che si imbarcano su voli extra-UE, che operano tra l’Unione e paesi terzi, e quelli che si imbarcano su voli intra-UE, che operano tra diversi Stati membri.

161    Per quanto attiene ai passeggeri dei voli extra-UE, si deve rammentare che, per quanto riguarda i passeggeri che si imbarcano su voli tra l’Unione e il Canada, la Corte ha già dichiarato che il trattamento automatizzato dei loro dati PNR, prima del loro arrivo in Canada, facilita e accelera i controlli di sicurezza, in particolare alle frontiere. Inoltre, l’esclusione di talune categorie di persone, o di alcune zone di origine, sarebbe tale da ostacolare la realizzazione dell’obiettivo del trattamento automatizzato dei dati PNR, ossia l’identificazione, per mezzo di una verifica di tali dati, delle persone che possono presentare, tra tutti i passeggeri aerei, un rischio per la sicurezza pubblica e da consentire che tale verifica possa essere aggirata [v., in tal senso, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 187].

162    Orbene, tali considerazioni possono essere trasposte, mutatis mutandis, al caso dei passeggeri che s’imbarcano su voli operati tra l’Unione e tutti i paesi terzi, che gli Stati membri sono tenuti ad assoggettare al sistema istituito dalla direttiva PNR conformemente all’articolo 1, paragrafo 1, lettera a), di tale direttiva, in combinato disposto con l’articolo 3, punti 2 e 4, di detta direttiva. Infatti, il trasferimento e la valutazione preliminare dei dati PNR dei passeggeri aerei che entrano o escono dall’Unione non possono essere limitati a una cerchia determinata di passeggeri aerei, tenuto conto della natura medesima delle minacce alla sicurezza pubblica che possono risultare da reati di terrorismo e da reati gravi che presentano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri tra l’Unione e paesi terzi. Pertanto, si deve ritenere che sussista la necessaria relazione tra tali dati e l’obiettivo relativo alla lotta contro siffatti reati, di modo che la direttiva PNR non viola i limiti dello stretto necessario per il solo fatto d’imporre agli Stati membri il trasferimento e la valutazione preliminare sistematiche dei dati PNR di tutti i passeggeri.

163    Per quanto riguarda i passeggeri che s’imbarcano su voli tra diversi Stati membri dell’Unione, l’articolo 2, paragrafo 1, della direttiva PNR, in combinato disposto con il considerando 10 di quest’ultima, prevede solo la possibilità per gli Stati membri di estendere l’applicazione del sistema istituito da tale direttiva ai voli intra-UE.

164    Pertanto, il legislatore dell’Unione non ha inteso imporre agli Stati membri l’obbligo di estendere l’applicazione del sistema istituito dalla direttiva PNR ai voli intra-UE ma, come emerge dall’articolo 19, paragrafo 3, di tale direttiva, si è riservato la decisione su una tale estensione, ritenendo al contempo che quest’ultima dovesse essere preceduta da una valutazione dettagliata delle sue implicazioni giuridiche, in particolare sui diritti fondamentali degli interessati.

165    A tal riguardo si deve osservare che, affermando che la relazione di riesame della Commissione di cui all’articolo 19, paragrafo 1, della direttiva PNR «comprende altresì un riesame della necessità, della proporzionalità e dell’efficacia dell’inclusione, nell’ambito di applicazione della presente direttiva, della raccolta obbligatoria e del trasferimento dei dati PNR riguardanti tutti i voli intra-UE o i voli intra-UE selezionati», e che essa deve, a tal riguardo, prendere in considerazione «l’esperienza maturata dagli Stati membri, in particolare da quelli che attuano questa direttiva ai voli intra-UE a norma dell’articolo 2», l’articolo 19, paragrafo 3, di tale direttiva evidenzia che, per il legislatore dell’Unione, il sistema istituito da detta direttiva non deve necessariamente essere esteso a tutti i voli intra-UE.

166    Analogamente, l’articolo 2, paragrafo 3, della direttiva PNR dispone che gli Stati membri possono decidere di applicare tale direttiva solo a voli intra-UE selezionati quando lo ritengono necessario per perseguire gli obiettivi di detta direttiva, pur potendo modificare la selezione di tali voli in qualsiasi momento.

167    In ogni caso, la possibilità per gli Stati membri di estendere l’applicazione del sistema istituito dalla direttiva PNR ai voli intra-UE deve essere esercitata, come risulta dal considerando 22 di quest’ultima, nel pieno rispetto dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta. A tal riguardo, se è vero che, conformemente al considerando 19 di detta direttiva, spetta agli Stati membri valutare le minacce connesse ai reati di terrorismo o ai reati gravi, ciò non toglie che l’esercizio di tale facoltà presuppone che, al momento di tale valutazione, gli Stati membri concludano nel senso dell’esistenza di una minaccia legata a siffatti reati idonea a giustificare l’applicazione della medesima direttiva anche a voli intra-UE.

168    In tali circostanze, uno Stato membro, quando intende avvalersi della facoltà prevista all’articolo 2 della direttiva PNR, sia per tutti i voli intra-UE ai sensi del paragrafo 2 di tale articolo o solo per voli selezionati ai sensi del paragrafo 3 di detto articolo, non è esonerato dal verificare che l’estensione dell’applicazione di tale direttiva a tutti o ad alcuni dei voli intra-UE sia effettivamente necessaria e proporzionata al fine di raggiungere l’obiettivo di cui all’articolo 1, paragrafo 2, di detta direttiva.

169    Pertanto, tenuto conto dei considerando da 5 a 7, 10 e 22 della direttiva PNR, un tale Stati membro deve verificare che i trattamenti, previsti da detta direttiva, dei dati PNR dei passeggeri che s’imbarcano su voli intra-UE o su voli selezionati siano strettamente necessari, tenuto conto della gravità dell’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta, per garantire la sicurezza interna dell’Unione o, quantomeno, quella di detto Stato membro, e proteggere così la vita e l’incolumità delle persone.

170    Per quanto attiene, in particolare, alle minacce legate ai reati terroristici, dalla giurisprudenza della Corte emerge che le attività di terrorismo sono tra quelle idonee a destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese, e in particolare a minacciare direttamente la società, la popolazione o lo Stato in quanto tale, e che è interesse primario di ciascuno Stato membro prevenire e reprimere tali attività per tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società, al fine di salvaguardare la sicurezza nazionale. Siffatte minacce si distinguono, per la loro natura, la loro particolare gravità e la specificità delle circostanze che le costituiscono, dal rischio generale e permanente rappresentato da reati penali gravi (v., in tal senso, sentenze del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 135 e 136, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punti 61 e 62).

171    Pertanto, nel caso in cui sia accertato, sulla base della valutazione effettuata da uno Stato membro, che ricorrono circostanze sufficientemente concrete per ritenere che quest’ultimo sia confrontato a una minaccia terroristica che si riveli reale e attuale o prevedibile, il fatto per tale Stato membro di prevedere l’applicazione della direttiva PNR, in forza dell’articolo 2, paragrafo 1, di tale direttiva, a tutti i voli intra-UE provenienti da o diretti verso detto Stato membro, per una durata limitata, non sembra eccedere i limiti dello stretto necessario. Infatti, l’esistenza di una siffatta minaccia è idonea, di per sé stessa, a stabilire una relazione tra, da un lato, il trasferimento e il trattamento dei dati interessati e, dall’altro, la lotta contro il terrorismo (v., per analogia, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 137).

172    La decisione che prevede tale applicazione deve poter essere oggetto di un controllo effettivo da parte di un tribunale o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto a verificare l’esistenza di tale situazione nonché il rispetto delle condizioni e delle garanzie che devono essere previste. Il periodo di applicazione deve altresì essere temporalmente limitato allo stretto necessario, ma rinnovabile in caso di persistenza di tale minaccia (v., per analogia, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 168, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 58).

173    Invece, in assenza di una minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, l’applicazione indiscriminata da parte di quest’ultimo del sistema istituito dalla direttiva PNR non solo ai voli extra-UE ma anche a tutti i voli intra-UE non può ritenersi limitata allo stretto necessario.

174    In una situazione del genere, l’applicazione del sistema istituito dalla direttiva PNR a taluni voli intra-UE deve essere limitata al trasferimento e al trattamento dei dati PNR dei voli relativi in particolare a certi collegamenti aerei o a modalità di viaggio o ancora a certi aeroporti per i quali esistono indicazioni tali da giustificare tale applicazione. Spetta allo Stato membro interessato, in una situazione del genere, selezionare i voli intra-UE, secondo i risultati della valutazione che esso deve effettuare sulla base delle prescrizioni indicate ai punti da 163 a 169 della presente sentenza e riesaminare regolarmente quest’ultima in base all’evoluzione delle condizioni che ne hanno giustificato la selezione, al fine di garantire che l’applicazione del sistema istituito da detta direttiva ai voli intra-UE sia sempre limitata allo stretto necessario.

175    Dalle considerazioni che precedono risulta che l’interpretazione così adottata dell’articolo 2 e dell’articolo 3, punto 4, della direttiva PNR, alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, è idonea a garantire che tali disposizioni rispettino i limiti dello stretto necessario.

5)      Sulla valutazione preliminare dei dati PNR mediante trattamenti automatizzati

176    Ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, lo scopo della valutazione preliminare ivi prevista è d’identificare i passeggeri da sottoporre a ulteriore verifica in particolare da parte delle autorità competenti di cui all’articolo 7 di tale direttiva, in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi.

177    Tale valutazione preliminare si svolge in due fasi. In una prima fase, l’UIP dello Stato membro interessato effettua, conformemente all’articolo 6, paragrafo 3, della direttiva PNR, trattamenti automatizzati dei dati PNR confrontandoli con banche dati o sulla base di criteri prestabiliti. In una seconda fase, nel caso in cui tali trattamenti automatizzati portino a riscontri positivi (hit), detta unità effettua, ai sensi dell’articolo 6, paragrafo 5, di tale direttiva, un esame individuale non automatizzato per verificare se sia necessario un intervento delle autorità competenti di cui all’articolo 7 di detta direttiva conformemente al diritto nazionale (match).

178    Orbene, come è stato rammentato al punto 106 della presente sentenza, alcuni trattamenti automatizzati presentano necessariamente un tasso di errore piuttosto elevato, nella misura in cui sono effettuati a partire da dati personali non verificati e si basano su criteri prestabiliti.

179    In tali circostanze, e tenuto conto della necessità, sottolineata dal quarto considerando del preambolo della Carta, di rafforzare la tutela dei diritti fondamentali alla luce segnatamente degli sviluppi scientifici e tecnologici, si deve garantire, come ribadito dal considerando 20 e dall’articolo 7, paragrafo 6, della direttiva PNR, che nessuna decisione che comporti conseguenze giuridiche negative per l’interessato o che lo danneggi in modo significativo può essere adottata da parte delle autorità competenti solo sulla base del trattamento automatizzato dei dati PNR. Inoltre, conformemente all’articolo 6, paragrafo 6, di tale direttiva, la stessa UIP può trasferire i dati PNR a tali autorità solo dopo aver effettuato l’esame individuale non automatizzato. Infine, oltre a tali verifiche, che spetta all’UIP e alle autorità competenti effettuare esse stesse, la liceità di tutti i trattamenti automatizzati deve poter essere sottoposta a un controllo da parte del responsabile della protezione dei dati e dell’autorità nazionale di controllo, ai sensi rispettivamente dell’articolo 6, paragrafo 7, e dell’articolo 15, paragrafo 3, lettera b), di detta direttiva, nonché dei giudici nazionali nell’ambito del ricorso giurisdizionale previsto dall’articolo 13, paragrafo 1, della medesima direttiva.

180    Orbene, come rilevato, in sostanza, dall’avvocato generale al paragrafo 207 delle sue conclusioni, l’autorità nazionale di controllo, il responsabile della protezione dei dati e l’UIP devono essere muniti delle risorse materiali e umane necessarie al fine di esercitare il controllo ad essi spettante in forza della direttiva PNR. Inoltre, occorre che la normativa nazionale che traspone tale direttiva nel diritto nazionale e autorizza i trattamenti automatizzati da essa previsti fissi norme chiare e precise che disciplinino la determinazione delle banche dati nonché dei criteri di analisi utilizzati, senza poter ricorrere, ai fini della valutazione preliminare, ad altri metodi non espressamente previsti all’articolo 6, paragrafo 2, di tale direttiva.

181    Inoltre, dall’articolo 6, paragrafo 9, della direttiva PNR discende che le conseguenze della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), di quest’ultima non pregiudicano il diritto delle persone che godono del diritto di libera circolazione di entrare nel territorio dello Stato membro interessato secondo quanto previsto dalla direttiva 2004/38 e devono, inoltre, rispettare il regolamento n. 562/2006. Pertanto, il sistema istituito dalla direttiva PNR non consente alle autorità competenti di limitare tale diritto oltre quanto previsto dalla direttiva 2004/38 e dal regolamento n. 562/2006.

i)      Sul confronto dei dati PNR con le banche dati

182    Ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, l’UIP «può», nell’effettuare la valutazione di cui all’articolo 6, paragrafo 2, lettera a), di tale direttiva, confrontare i dati PNR con «banche dati pertinenti» a fini di prevenzione, accertamento, indagine e azione penale in relazione ai reati di terrorismo e ai reati gravi, «comprese le banche dati riguardanti persone o oggetti ricercati o segnalati, conformemente alle norme dell’Unione, internazionali e nazionali applicabili a tali banche dati».

183    Sebbene dalla formulazione stessa dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, in particolare dai termini «comprese», discenda che le banche dati riguardanti persone od oggetti ricercati o segnalati rientrano tra le «banche dati pertinenti» di cui a tale disposizione, quest’ultima non specifica, invece, quali altre banche dati potrebbero altresì essere considerate «pertinenti» alla luce degli obiettivi perseguiti da tale direttiva. Infatti, e come rilevato dall’avvocato generale al paragrafo 217 delle sue conclusioni, detta disposizione non specifica espressamente la natura dei dati che possono essere contenuti in queste banche dati e il loro rapporto con tali obiettivi, né precisa se i dati PNR debbano essere confrontati esclusivamente con banche dati gestite da autorità pubbliche o se possano anche esserlo con banche dati gestite da privati.

184    In tali circostanze, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR potrebbe, a prima vista, prestarsi a un’interpretazione secondo cui i dati PNR possano essere utilizzati come meri criteri di ricerca al fine di realizzare analisi a partire da banche dati diverse, ivi comprese banche dati che i servizi segreti e di sicurezza degli Stati membri gestiscono e sfruttano per perseguire obiettivi diversi da quelli previsti da tale direttiva, e che siffatte analisi possono assumere la forma di valutazioni approfondite di dati (data mining). Orbene, la possibilità di condurre analisi del genere e di confrontare i dati PNR con siffatte banche dati sarebbe idonea a generare, nella mente dei passeggeri del trasporto aereo, la sensazione che la loro vita privata sia soggetta a una forma di sorveglianza. Pertanto, sebbene la valutazione preliminare prevista da tale disposizione parta da un insieme relativamente limitato di dati, ossia i dati PNR, una siffatta interpretazione del citato articolo 6, paragrafo 3, lettera a), non può essere accolta, dal momento che quest’ultima potrebbe dar luogo a un uso sproporzionato di tali dati, fornendo i mezzi per delineare il profilo preciso degli interessati per il solo motivo che essi intendono viaggiare in aereo.

185    Di conseguenza, conformemente alla giurisprudenza rammentata ai punti 86 e 87 della presente sentenza, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR deve essere interpretato in modo da garantire il pieno rispetto dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta.

186    A questo riguardo, dai considerando 7 e 15 della direttiva PNR emerge che il trattamento automatizzato previsto dall’articolo 6, paragrafo 3, lettera a), di tale direttiva deve essere limitato a quanto strettamente necessario ai fini della lotta contro i reati di terrorismo e i reati gravi, pur garantendo un elevato livello di protezione di detti diritti fondamentali.

187    Inoltre, come rilevato dalla Commissione, in sostanza, in risposta a un quesito della Corte, i termini di tale disposizione, secondo cui l’UIP «può» confrontare i dati PNR con le banche dati che prende in considerazione, permettono all’UIP di scegliere una modalità di trattamento limitata allo stretto necessario, in base alla situazione concreta. Orbene, tenuto conto della necessità di rispettare i requisiti di chiarezza e precisione richiesti per garantire la tutela dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta, l’UIP è tenuta a limitare il trattamento automatizzato previsto dall’articolo 6, paragrafo 3, lettera a), della direttiva PNR alle sole banche dati che tale disposizione consente di identificare. A tal riguardo, sebbene il riferimento alle «banche dati pertinenti», che figura in quest’ultima disposizione, non si presti a un’interpretazione che specifichi in modo sufficientemente chiaro e preciso le banche dati così considerate, ciò non vale per il riferimento alle «banche dati riguardanti persone o oggetti ricercati o segnalati, conformemente alle norme dell’Unione, internazionali e nazionali applicabili a tali banche dati».

188    Pertanto, come in sostanza rilevato dall’avvocato generale al paragrafo 219 delle sue conclusioni, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR deve essere interpretato, alla luce di tali diritti fondamentali, nel senso che queste ultime banche dati sono le sole banche dati rispetto alle quali l’UIP può confrontare i dati PNR.

189    Per quanto riguarda i requisiti che tali banche dati devono soddisfare, occorre rilevare che, ai sensi dell’articolo 6, paragrafo 4, della direttiva PNR, la valutazione preliminare condotta secondo criteri prestabiliti deve, ai sensi dell’articolo 6, paragrafo 3, lettera b), di tale direttiva, essere effettuata in modo non discriminatorio, tali criteri devono essere mirati, proporzionati e specifici e devono essere stabiliti dall’UIP e periodicamente rivisti in cooperazione con le autorità competenti di cui all’articolo 7 di detta direttiva. Se è vero che, facendo riferimento all’articolo 6, paragrafo 3, lettera b), di questa stessa direttiva, i termini di tale articolo 6, paragrafo 4, si riferiscono unicamente al trattamento dei dati PNR secondo criteri prestabiliti, quest’ultima disposizione deve essere interpretata, alla luce degli articoli 7, 8 e 21 della Carta, nel senso che i requisiti da essa previsti devono applicarsi, mutatis mutandis, al confronto di tali dati con le banche dati di cui al punto precedente della presente sentenza, tanto più che tali requisiti corrispondono, in sostanza, a quelli previsti per il controllo incrociato dei dati PNR con banche dati dalla giurisprudenza risultante dal parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592, punto 172).

190    A tal riguardo, occorre precisare che il requisito riguardante il carattere non discriminatorio di dette banche dati implica, segnatamente, che l’iscrizione nelle banche dati delle persone ricercate o segnalate sia basata su elementi oggettivi e non discriminatori, definiti dalle norme dell’Unione, internazionali e nazionali applicabili a tali banche dati (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 78).

191    Inoltre, per soddisfare il requisito relativo al carattere mirato, proporzionato e specifico dei criteri prestabiliti, le banche dati di cui al punto 188 della presente sentenza devono essere utilizzate in relazione alla lotta contro reati di terrorismo e reati gravi che abbiano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri.

192    Peraltro, le banche dati utilizzate ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR devono essere gestite, tenuto conto delle considerazioni che figurano ai punti 183 e 184 della presente sentenza, dalle autorità competenti di cui all’articolo 7 di tale direttiva o, nel caso delle banche dati dell’Unione e delle banche dati internazionali, essere utilizzate da tali autorità nell’ambito dei loro compiti di lotta contro i reati di terrorismo e i reati gravi. Orbene, ciò vale per le banche dati riguardanti persone o oggetti ricercati o segnalati, conformemente alle norme dell’Unione, internazionali e nazionali applicabili a tali banche dati.

ii)    Sul trattamento dei dati PNR sulla base di criteri prestabiliti

193    L’articolo 6, paragrafo 3, lettera b), della direttiva PNR prevede che l’UIP possa anche trattare i dati PNR sulla base di criteri prestabiliti. Dall’articolo 6, paragrafo 2, lettera a), di tale direttiva emerge che la valutazione preliminare e, di conseguenza, il trattamento dei dati PNR sulla base di criteri prestabiliti mira, in sostanza, a identificare coloro che potrebbero essere implicati in reati di terrorismo o in reati gravi.

194    Per quanto attiene ai criteri che l’UIP può utilizzare a tal fine, occorre rilevare innanzitutto che, secondo i termini stessi dell’articolo 6, paragrafo 3, lettera b), della direttiva PNR, tali criteri devono essere «prestabiliti». Come rilevato dall’avvocato generale al paragrafo 228 delle sue conclusioni, tale requisito osta all’utilizzazione di tecnologie di intelligenza artificiale nell’ambito di sistemi di autoapprendimento (machine learning), che possono modificare, senza intervento e controllo umani, il processo della valutazione e, in particolare, i criteri di valutazione sui quali si fonda il risultato dell’applicazione di detto processo nonché la ponderazione di tali criteri.

195    Occorre aggiungere che il ricorso a siffatte tecnologie rischierebbe di privare di efficacia l’esame individuale dei riscontri positivi nonché il controllo di liceità richiesto dalle disposizioni della direttiva PNR. Infatti, come rilevato in sostanza dall’avvocato generale al paragrafo 228 delle sue conclusioni, tenuto conto dell’opacità che caratterizza il funzionamento delle tecnologie di intelligenza artificiale, può risultare impossibile comprendere la ragione per la quale un dato programma sia arrivato ad un riscontro positivo. In tali circostanze, l’uso di siffatte tecnologie potrebbe privare gli interessati anche del loro diritto a un ricorso giurisdizionale effettivo sancito dall’articolo 47 della Carta, che la direttiva PNR mira, ai sensi del suo considerando 28, a garantire a un livello elevato, in particolare per contestare il carattere non discriminatorio dei risultati ottenuti.

196    Per quanto riguarda poi i requisiti risultanti dall’articolo 6, paragrafo 4, della direttiva PNR, la prima frase di tale disposizione stabilisce che la valutazione preliminare secondo criteri prestabiliti deve essere effettuata in modo non discriminatorio, e la sua quarta frase specifica che tali criteri non sono in alcun caso basati sull’origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale dell’interessato.

197    Pertanto, gli Stati membri non possono adottare, quali criteri prestabiliti, criteri basati su caratteristiche di cui al punto precedente della presente sentenza, il cui uso può essere idoneo a dar luogo a discriminazioni. A tal riguardo, dalla formulazione dell’articolo 6, paragrafo 4, quarta frase, della direttiva PNR, secondo cui i criteri prestabiliti non sono «in alcun caso» basati su tali caratteristiche, risulta che tale disposizione riguarda sia discriminazioni dirette sia discriminazioni indirette. Tale interpretazione è inoltre confermata dall’articolo 21, paragrafo 1, della Carta, alla luce del quale deve essere letta detta disposizione, che vieta «qualsiasi» discriminazione fondata su dette caratteristiche. In tali circostanze, i criteri prestabiliti devono essere determinati in modo tale che, anche se formulati in modo neutro, la loro applicazione non possa essere tale da sfavorire particolarmente le persone che possiedono le caratteristiche protette.

198    Per quanto attiene ai requisiti relativi alla natura mirata, proporzionata e specifica dei criteri prestabiliti, previsti dall’articolo 6, paragrafo 4, seconda frase, della direttiva PNR, discende da tali requisiti che i criteri utilizzati ai fini della valutazione preliminare devono essere determinati in modo da prendere di mira, specificamente, gli individui nei confronti dei quali potrebbe gravare un ragionevole sospetto di partecipazione a reati di terrorismo o a reati gravi di cui a tale direttiva. Tale lettura è corroborata dai termini stessi dell’articolo 6, paragrafo 2, lettera a), di quest’ultima, che sottolineano il «fatto» che le persone interessate «potrebbero» essere implicate in reati di terrorismo o in reati gravi. Nella stessa ottica, il considerando 7 di detta direttiva precisa che è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi «per cui l’uso di tali criteri risult[i] pertinente».

199    Al fine di individuare in tal modo le persone così indicate e tenuto conto del rischio di discriminazione che comportano criteri basati sulle caratteristiche menzionate all’articolo 6, paragrafo 4, quarta frase, della direttiva PNR, l’UIP e le autorità competenti non possono, in linea di principio, fondarsi su tali caratteristiche. Invece, come rilevato dal governo tedesco in sede d’udienza, esse possono segnatamente prendere in considerazione particolarità nel comportamento concreto di persone in relazione alla preparazione e all’effettuazione di viaggi aerei che, secondo gli accertamenti effettuati e l’esperienza acquisita dalle autorità competenti, potrebbero indicare che le persone che si comportano in tal modo possano essere implicate in reati di terrorismo o in reati gravi.

200    In tale contesto, come osservato dalla Commissione in risposta a un quesito della Corte, i criteri prestabiliti devono essere determinati in modo da tener conto sia degli elementi «a carico» sia di quelli «a discarico», poiché tale requisito può contribuire all’affidabilità di detti criteri e, in particolare, a garantire che essi siano proporzionati, come richiesto dall’articolo 6, paragrafo 4, seconda frase, della direttiva PNR.

201    Infine, ai sensi dell’articolo 6, paragrafo 4, terza frase, di tale direttiva, i criteri prestabiliti devono essere periodicamente rivisti. Nell’ambito di detto riesame, tali criteri devono essere aggiornati in funzione dell’evoluzione delle condizioni che ne hanno giustificato la presa in considerazione ai fini della valutazione preliminare, consentendo così, in particolare, di reagire agli sviluppi della lotta contro i reati di terrorismo e i reati gravi di cui al punto 157 della presente sentenza [v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 82]. In particolare, detto riesame dovrebbe tenere conto dell’esperienza acquisita nell’ambito dell’applicazione dei criteri prestabiliti al fine di ridurre, per quanto possibile, il numero di risultati «erroneamente positivi» e, in tal modo, contribuire al carattere strettamente necessario dell’applicazione di tali criteri.

iii) Sulle garanzie che accompagnano il trattamento automatizzato dei dati PNR

202    Il rispetto dei requisiti a cui l’articolo 6, paragrafo 4, della direttiva PNR assoggetta il trattamento automatizzato dei dati PNR s’impone non solo nell’ambito della determinazione e del riesame delle banche dati nonché dei criteri prestabiliti previsti da tale disposizione, ma anche, come rilevato dall’avvocato generale al paragrafo 230 delle sue conclusioni, durante tutto il processo di trattamento di tali dati.

203    Per quanto riguarda, in particolare, i criteri prestabiliti, occorre, innanzitutto, precisare che, se l’UIP, come indicato dal considerando 7 della direttiva PNR, deve definire i criteri di valutazione in maniera da ridurre al minimo il numero di persone innocenti erroneamente identificate dal sistema istituito da tale direttiva, la medesima unità deve comunque, conformemente all’articolo 6, paragrafi 5 e 6 di detta direttiva, procedere a un riesame individuale di ogni riscontro positivo attraverso mezzi non automatizzati, al fine di individuare, per quanto possibile, l’eventuale esistenza di risultati «erroneamente positivi». Inoltre, nonostante il fatto che essa debba fissare i criteri di valutazione in modo non discriminatorio, l’UIP è tenuta ad effettuare un siffatto riesame al fine di escludere eventuali risultati discriminatori. L’UIP deve rispettare tale medesimo obbligo di riesame per quanto riguarda il confronto dei dati PNR con le banche dati.

204    Pertanto, l’UIP deve astenersi dal trasferire i risultati di tali trattamenti automatizzati alle autorità competenti di cui all’articolo 7 della direttiva PNR qualora, alla luce delle considerazioni contenute al punto 198 della presente sentenza, essa non disponga, a seguito di tale riesame, di elementi tali da fondare, in modo giuridicamente adeguato, un sospetto ragionevole di partecipazione a reati di terrorismo o a reati gravi nei confronti delle persone identificate attraverso tali trattamenti automatizzati o qualora disponga di elementi che indichino che detti trattamenti conducono a risultati discriminatori.

205    Per quanto riguarda le verifiche che l’UIP deve effettuare a tal fine, dall’articolo 6, paragrafi 5 e 6, della direttiva PNR, in combinato disposto con i considerando 20 e 22 di quest’ultima, discende che gli Stati membri devono prevedere norme chiare e precise atte a orientare e inquadrare l’analisi effettuata dai funzionari incaricati del riesame individuale, al fine di assicurare il pieno rispetto dei diritti fondamentali sanciti dagli articoli 7, 8 e 21 della Carta e, in particolare, al fine di garantire una prassi amministrativa coerente all’interno dell’UIP che rispetti il divieto di discriminazioni.

206    In particolare, tenuto conto del numero piuttosto consistente di risultati «erroneamente positivi» menzionato al punto 106 della presente sentenza, gli Stati membri devono assicurarsi che l’UIP stabilisca, in modo chiaro e preciso, criteri di riesame oggettivi che consentano ai suoi funzionari di verificare, da un lato, se e in che misura un riscontro positivo (hit) riguardi effettivamente un individuo che possa trovarsi implicato nei reati di terrorismo o nei reati gravi di cui al punto 157 della presente sentenza e debba, per questo motivo, essere oggetto di ulteriori verifiche da parte delle autorità competenti di cui all’articolo 7 di tale direttiva nonché, dall’altro, il carattere non discriminatorio dei trattamenti automatizzati previsti da detta direttiva e, segnatamente, dei criteri prestabiliti e delle banche dati utilizzate.

207    In tale contesto, gli Stati membri sono tenuti a provvedere affinché, conformemente all’articolo 13, paragrafo 5, della direttiva PNR, in combinato disposto con il considerando 37 di quest’ultima, l’UIP conservi la documentazione di ogni trattamento dei dati PNR effettuato nell’ambito della valutazione preliminare, nonché nell’ambito del riesame individuale con mezzi non automatizzati, ai fini della verifica della sua liceità e di un autocontrollo.

208    Le autorità competenti poi, non devono adottare, in forza dell’articolo 7, paragrafo 6, prima frase, della direttiva PNR, decisioni che comportino conseguenze giuridiche negative per l’interessato, o lo danneggino in modo significativo, soltanto sulla base del trattamento automatizzato dei dati PNR, il che implica, nell’ambito della valutazione preliminare, che esse devono prendere in considerazione e, se del caso, far prevalere il risultato del riesame individuale effettuato dall’UIP con mezzi non automatizzati su quello ottenuto mediante i trattamenti automatizzati. La seconda frase di tale articolo 7, paragrafo 6, afferma che siffatte decisioni non devono essere discriminatorie.

209    In tale contesto, le autorità competenti devono garantire la liceità tanto di tali trattamenti automatizzati, in particolare il loro carattere non discriminatorio, quanto del riesame individuale.

210    In particolare, le autorità competenti devono assicurarsi che l’interessato, senza necessariamente consentirgli, nel corso del procedimento amministrativo, di avere conoscenza dei criteri di valutazione prestabiliti e dei programmi che applicano tali criteri, sia in grado di comprendere il funzionamento di tali criteri e di tali programmi, in modo da poter decidere, con piena cognizione di causa, se esercitare o meno il suo diritto a un ricorso giurisdizionale garantito dall’articolo 13, paragrafo 1, della direttiva PNR, al fine di contestare, se del caso, il carattere illecito e, in particolare, discriminatorio di detti criteri (v., per analogia, sentenza del 24 novembre 2020, Minister van Buitenlandse Zaken, C‑225/19 e C‑226/19, EU:C:2020:951, punto 43 e giurisprudenza ivi citata). Lo stesso deve valere per i criteri di riesame di cui al punto 206 della presente sentenza.

211    Infine, nell’ambito di un ricorso proposto ai sensi dell’articolo 13, paragrafo 1, della direttiva PNR, il giudice incaricato del controllo della liceità della decisione adottata dalle autorità competenti nonché, al di fuori dei casi di minacce per la sicurezza dello Stato, l’interessato stesso devono poter conoscere tanto l’insieme dei motivi quanto gli elementi di prova sulla base dei quali è stata adottata tale decisione (v., per analogia, sentenza del 4 giugno 2013, ZZ, C‑300/11, EU:C:2013:363, punti da 54 a 59), ivi compresi i criteri di valutazione prestabiliti e il funzionamento dei programmi che applicano tali criteri.

212    Peraltro, in forza, rispettivamente, dell’articolo 6, paragrafo 7, e dell’articolo 15, paragrafo 3, lettera b), della direttiva PNR, spetta al responsabile della protezione dei dati e all’autorità nazionale di controllo garantire il controllo della liceità dei trattamenti automatizzati effettuati dall’UIP nell’ambito della valutazione preliminare, controllo che si estende in particolare al carattere non discriminatorio di tali trattamenti. Se è vero che la prima di tali disposizioni precisa, a tal fine, che il responsabile della protezione dei dati ha accesso a tutti i dati trattati dall’UIP, tale accesso deve necessariamente estendersi ai criteri prestabiliti e alle banche dati utilizzate da tale unità, al fine di garantire una protezione dei dati efficace e di livello elevato che tale responsabile deve assicurare conformemente al considerando 37 di tale direttiva. Parimenti le indagini, le ispezioni e gli audit che l’autorità nazionale di controllo effettua ai sensi della seconda di tali disposizioni possono altresì vertere sui criteri prestabiliti e sulle banche dati di cui trattasi.

213    Da tutte le considerazioni che precedono risulta che le disposizioni della direttiva PNR che disciplinano la valutazione preliminare dei dati PNR ai sensi dell’articolo 6, paragrafo 2, lettera a), di tale direttiva si prestano a un’interpretazione conforme agli articoli 7, 8 e 21 della Carta, rispettando i limiti dello stretto necessario.

6)      Sulla comunicazione e sulla valutazione successive dei dati PNR

214    In forza dell’articolo 6, paragrafo 2, lettera b), della direttiva PNR, i dati PNR possono anche, su richiesta delle autorità competenti, essere trasmessi a queste ultime ed essere oggetto di una valutazione dopo l’arrivo previsto nello Stato membro o la partenza prevista da quest’ultimo.

215    Per quanto attiene alle condizioni in cui una siffatta comunicazione e una valutazione del genere possono essere effettuate, dalla formulazione di tale disposizione emerge che l’UIP può trattare i dati PNR al fine di rispondere «caso per caso» alle «richiest[e] debitamente motivat[e] e basat[e] su motivi sufficienti» da parte delle autorità competenti, dirette alla trasmissione dei dati e a che i medesimi siano trattati «in casi specifici a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi». Inoltre, quando una richiesta è presentata più di sei mesi dopo il trasferimento dei dati PNR all’UIP, periodo allo scadere del quale tutti i dati PNR sono resi anonimi mediante mascheratura di taluni elementi, conformemente all’articolo 12, paragrafo 2, di tale direttiva, l’articolo 12, paragrafo 3, di detta direttiva dispone che la comunicazione dei dati PNR integrali e, di conseguenza, di una versione non anonimizzata di quest’ultima è consentita solo alla duplice condizione che, da un lato, sia ragionevolmente ritenuta necessaria ai fini dell’articolo 6, paragrafo 2, lettera b), di detta direttiva e, dall’altro, che essa sia approvata da un’autorità giudiziaria o da un’altra autorità nazionale competente ai sensi del diritto nazionale.

216    A tal riguardo emerge, anzitutto, dalla formulazione stessa dell’articolo 6, paragrafo 2, lettera b), della direttiva PNR che l’UIP non può effettuare sistematicamente una comunicazione e una valutazione successive dei dati PNR di tutti i passeggeri aerei, e che essa può rispondere soltanto «caso per caso» a richieste relative a trattamenti siffatti «in casi specifici». Tuttavia, nei limiti in cui tale disposizione fa riferimento a «casi specifici», detti trattamenti non devono necessariamente limitarsi ai dati PNR di un singolo passeggero aereo ma possono, come osservato dalla Commissione in risposta a un quesito della Corte, riguardare anche una pluralità di persone, purché gli interessati condividano un certo numero di caratteristiche che permettano di considerarli come costituenti complessivamente un «caso specifico» ai fini della comunicazione e della valutazione richieste.

217    Per quanto riguarda poi le condizioni materiali richieste affinché i dati PNR di passeggeri aerei possano essere oggetto di una comunicazione e di una valutazione successive, sebbene l’articolo 6, paragrafo 2, lettera b), e l’articolo 12, paragrafo 3, lettera a), della direttiva PNR facciano ricorso, rispettivamente, a «motivi sufficienti» e al termine «ragionevolmente», senza specificare espressamente la natura di tali motivi, discende tuttavia dallo stesso enunciato della prima delle citate disposizioni, che si riferisce alle finalità di cui all’articolo 1, paragrafo 2, di detta direttiva, che la comunicazione dei dati PNR e la valutazione successive possono essere effettuate solo per verificare l’esistenza di indizi di una possibile implicazione degli interessati in reati di terrorismo o in reati gravi che abbiano, come emerge dal punto 157 della presente sentenza, un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri.

218    Orbene, nell’ambito del sistema istituito dalla direttiva PNR, la comunicazione e il trattamento dei dati PNR in applicazione dell’articolo 6, paragrafo 2, lettera b), di tale direttiva riguardano dati di persone che sono già stati oggetto di una valutazione preliminare prima del loro arrivo previsto nello Stato membro interessato o della loro partenza da esso. Inoltre, una richiesta di valutazione successiva può riguardare, in particolare, le persone i cui dati PNR non sono stati trasferiti alle autorità competenti a seguito della valutazione preliminare, nella misura in cui quest’ultima non ha rivelato elementi indicanti che tali persone potessero trovarsi implicate in reati di terrorismo o in reati gravi aventi un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri. Alla luce di quanto precede, la comunicazione e il trattamento di tali dati ai fini della loro successiva valutazione devono fondarsi su nuove circostanze che giustifichino un uso siffatto [v., in tal senso, parere 1/15 (Accordo PNR UE‑Canada), del 26 luglio 2017, EU:C:2017:592, punto 200 e giurisprudenza ivi citata].

219    Per quanto attiene alla natura delle circostanze che possono giustificare la comunicazione e il trattamento dei dati PNR ai fini della loro successiva valutazione, secondo una giurisprudenza costante, poiché un accesso generale a tutti i dati conservati, indipendentemente da un qualsivoglia collegamento, quantomeno indiretto, con la finalità perseguita, non può considerarsi limitato allo stretto necessario, la normativa in questione, sia che si tratti della normativa dell’Unione sia che si tratti di una norma nazionale diretta a trasporre quest’ultima, deve fondarsi su criteri oggettivi per definire le circostanze e le condizioni in presenza delle quali deve essere concesso alle autorità nazionali competenti l’accesso ai dati in questione. A questo proposito, un accesso siffatto può, in linea di principio, essere consentito, in relazione con l’obiettivo della lotta contro la criminalità, soltanto per i dati di persone sospettate di progettare, commettere o aver commesso un reato grave, o anche di essere implicate in una maniera o nell’altra in un reato del genere. Tuttavia, in situazioni particolari, come quelle in cui interessi vitali della sicurezza nazionale, della difesa o della sicurezza pubblica siano minacciati da attività di terrorismo, l’accesso ai dati di altre persone può essere parimenti concesso qualora sussistano elementi oggettivi che permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro attività di questo tipo [sentenze del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche), C‑746/18, EU:C:2021:152, punto 50 e giurisprudenza ivi citata, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 105].

220    Pertanto, i termini «motivi sufficienti» e «ragionevolmente» di cui, rispettivamente, all’articolo 6, paragrafo 2, lettera b), e all’articolo 12, paragrafo 3, lettera a), della direttiva PNR, devono essere interpretati, alla luce degli articoli 7 e 8 della Carta, come riferiti a elementi oggettivi idonei a fondare un ragionevole sospetto d’implicazione dell’interessato, in un modo o nell’altro, in reati gravi aventi un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri mentre, per quanto riguarda i reati di terrorismo che presentano un siffatto collegamento, tale requisito è soddisfatto quando esistono elementi oggettivi che consentono di ritenere che i dati PNR potrebbero, in un caso concreto, fornire un contributo efficace alla lotta contro siffatti reati.

221    Infine, per quanto attiene alle condizioni procedurali alle quali sono soggetti la comunicazione e il trattamento dei dati PNR ai fini della loro successiva valutazione, l’articolo 12, paragrafo 3, lettera b), della direttiva PNR impone, nel caso in cui la richiesta sia presentata più di sei mesi dopo il loro trasferimento all’UIP, vale a dire quando, conformemente al paragrafo 2 di tale articolo, detti dati sono stati anonimizzati mediante mascheratura degli elementi di cui a detto paragrafo 2, che la comunicazione dei dati PNR integrali e, di conseguenza, di una versione non anonimizzata di questi ultimi, sia approvata da un’autorità giudiziaria o da un’altra autorità nazionale competente ai sensi del diritto nazionale. In tale contesto, spetta a tali autorità esaminare integralmente il merito della richiesta e, in particolare, verificare se gli elementi addotti a sostegno di detta richiesta siano tali da suffragare la condizione materiale relativa alla «ragionevol[ezza]», di cui al punto precedente della presente sentenza.

222    Vero è che, nel caso in cui la richiesta di comunicazione e valutazione successive dei dati PNR sia presentata prima della scadenza del termine di sei mesi successivo al trasferimento di tali dati, l’articolo 6, paragrafo 2, lettera b), della direttiva PNR non prevede espressamente una siffatta condizione procedurale. Tuttavia, l’interpretazione di quest’ultima disposizione deve tener conto del considerando 25 di tale direttiva, dal quale emerge che, prevedendo la suddetta condizione procedurale, il legislatore dell’Unione ha inteso «garantire il massimo livello di protezione dei dati» per quanto riguarda l’accesso ai dati PNR in una forma che consenta un’identificazione diretta dell’interessato. Orbene, qualsiasi richiesta di comunicazione e valutazione successive implica un siffatto accesso a tali dati, indipendentemente dalla questione se tale richiesta sia presentata prima della scadenza del periodo di sei mesi successivo al trasferimento dei dati PNR all’UIP o se essa lo sia dopo la scadenza di tale periodo.

223    In particolare, al fine di garantire, in pratica, il pieno rispetto dei diritti fondamentali nel sistema istituito dalla direttiva PNR e, in particolare, le condizioni di cui ai punti 218 e 219 della presente sentenza, è essenziale che la comunicazione dei dati PNR ai fini di una valutazione successiva sia subordinato, in linea di principio, salvo in casi di urgenza debitamente giustificati, a un controllo preventivo effettuato o da un giudice o da un’autorità amministrativa indipendente e che la decisione di tale giudice o di detta autorità intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell’ambito di procedure di prevenzione, accertamento o esercizio dell’azione penale. In casi di urgenza debitamente giustificati, detto controllo deve avvenire in tempi brevi [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 202 e giurisprudenza ivi citata, nonché sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 110].

224    In tali circostanze, la necessità di un controllo preventivo previsto all’articolo 12, paragrafo 3, lettera b), della direttiva PNR, per le richieste di comunicazione dei dati PNR presentate dopo la scadenza del termine di sei mesi successivi al trasferimento di tali dati all’UIP, deve altresì applicarsi, mutatis mutandis, nel caso in cui la richiesta di comunicazione sia presentata prima della scadenza di tale termine.

225    Peraltro, se è vero che l’articolo 12, paragrafo 3, lettera b), della direttiva PNR non precisa espressamente i requisiti che l’autorità incaricata del controllo preventivo deve soddisfare, secondo giurisprudenza costante, al fine di assicurare che l’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta derivante da un accesso ai dati personali sia limitata allo stretto necessario, tale autorità deve disporre di tutte le attribuzioni e presentare tutte le garanzie necessarie per assicurare un contemperamento dei vari interessi e diritti in gioco Per quanto riguarda, più in particolare, un’indagine penale, un siffatto controllo richiede che tale autorità sia in grado di assicurare un giusto equilibrio tra, da un lato, gli interessi connessi alle necessità dell’indagine nell’ambito della lotta contro la criminalità e, dall’altro, i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali delle persone i cui dati sono interessati dall’accesso (sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 107 e giurisprudenza ivi citata).

226    A tal fine, una siffatta autorità deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale e deve, pertanto, essere al riparo da qualsiasi influenza esterna. Tale requisito di indipendenza impone che quest’ultima abbia la qualità di terzo rispetto a quella che chiede l’accesso ai dati, cosicché la prima sia in grado di esercitare il suo controllo al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica che detta autorità, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale (v. in tal senso, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 108, nonché giurisprudenza ivi citata).

227    Di conseguenza, le disposizioni della direttiva PNR che disciplinano la comunicazione e la valutazione successive dei dati PNR ai sensi dell’articolo 6, paragrafo 2, lettera b), di tale direttiva si prestano a un’interpretazione conforme agli articoli 7 e 8 e all’articolo 52, paragrafo 1, della Carta, rispettando i limiti dello stretto necessario.

228    Tenuto conto di tutte le considerazioni che precedono, dal momento che un’interpretazione della direttiva PNR alla luce degli articoli 7, 8 e 21 nonché dell’articolo 52, paragrafo 1, della Carta garantisce la conformità di tale direttiva agli articoli della Carta summenzionati, l’esame della seconda, terza, quarta e sesta questione non ha rivelato alcun elemento tale da inficiare la validità di detta direttiva.

C.      Sulla quinta questione

229    Con la quinta questione, il giudice del rinvio chiede se l’articolo 6 della direttiva PNR, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che autorizza il trattamento dei dati PNR raccolti conformemente a tale direttiva ai fini del controllo di attività da parte dei servizi segreti e di sicurezza.

230    Dalla domanda di pronuncia pregiudiziale emerge che, con tale questione, il giudice del rinvio si riferisce più specificamente alle attività oggetto della Sûreté de l’État (Sicurezza dello Stato, Belgio) e del Service général du renseignement et de la sécurité (Servizio generale segreto e di sicurezza, Belgio), nell’ambito dei loro rispettivi compiti relativi alla protezione della sicurezza nazionale.

231    A tale riguardo, al fine di rispettare i principi di legalità e proporzionalità di cui, in particolare, all’articolo 52, paragrafo 1, della Carta, il legislatore dell’Unione ha previsto norme chiare e precise che disciplinano le finalità delle misure previste dalla direttiva PNR che comportano ingerenze nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta.

232    Infatti, l’articolo 1, paragrafo 2, della direttiva PNR stabilisce espressamente che i dati PNR raccolti a norma di tale direttiva possono essere trattati «unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, secondo quanto previsto all’articolo 6, paragrafo 2, lettere a), b) e c) [di detta direttiva]». Quest’ultima disposizione conferma il principio enunciato a tale articolo 1, paragrafo 2, riferendosi sistematicamente alle nozioni di «reati di terrorismo» e di «reati gravi».

233    Emerge quindi chiaramente dalla formulazione di tali disposizioni che l’elenco in esse contenuto delle finalità perseguite dal trattamento dei dati PNR ai sensi della direttiva PNR ha carattere tassativo.

234    Quest’interpretazione è corroborata, in particolare, dal considerando 11 della direttiva PNR, secondo il quale il trattamento dei dati PNR deve essere proporzionato agli «obiettivi specifici di sicurezza» perseguiti da tale direttiva, e dal suo articolo 7, paragrafo 4, secondo cui i dati PNR e i risultati del loro trattamento ricevuti dall’UIP possono essere sottoposti a ulteriore trattamento «unicamente al fine specifico di prevenire, accertare, indagare o perseguire reati di terrorismo o reati gravi».

235    Peraltro, il carattere tassativo delle finalità di cui all’articolo 1, paragrafo 2, della direttiva PNR implica anche che i dati PNR non possono essere conservati in una banca dati unica che possa essere consultata per perseguire tanto queste finalità come altre. Infatti, la conservazione di questi dati in una banca dati siffatta comporterebbe il rischio che detti dati vengano utilizzati per fini diversi da quelli di cui all’articolo 1, paragrafo 2.

236    Nella fattispecie, nei limiti in cui, secondo il giudice del rinvio, la normativa nazionale di cui trattasi nel procedimento principale ammette, come finalità del trattamento dei dati PNR, il controllo delle attività contemplate dai servizi segreti e di sicurezza, integrando così tale finalità nella prevenzione, nell’accertamento, nell’indagine e nell’azione penale riguardanti i reati di terrorismo e i reati gravi, tale normativa rischia di disattendere il carattere tassativo dell’elenco degli obiettivi perseguiti dal trattamento dei dati PNR ai sensi della direttiva PNR, circostanza che incombe al giudice del rinvio verificare.

237    Di conseguenza, occorre rispondere alla quinta questione dichiarando che l’articolo 6 della direttiva PNR, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta a una normativa nazionale che autorizza il trattamento di dati PNR raccolti conformemente a tale direttiva per finalità diverse da quelle espressamente previste dall’articolo 1, paragrafo 2, di detta direttiva.

D.      Sulla settima questione

238    Con la settima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 12, paragrafo 3, lettera b), della direttiva PNR debba essere interpretato nel senso che esso osta a una normativa nazionale, ai sensi della quale l’autorità istituita come UIP ha anche la qualità di autorità nazionale competente abilitata ad approvare la comunicazione dei dati PNR alla scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP.

239    In via preliminare, si deve osservare che il governo belga nutre dubbi quanto alla competenza della Corte a rispondere a tale questione, così come formulata dal giudice del rinvio, per il motivo che quest’ultimo giudice è il solo competente a interpretare le disposizioni nazionali e, in particolare, a valutare i requisiti risultanti dalla legge del 25 dicembre 2016 alla luce dell’articolo 12, paragrafo 3, lettera b), della direttiva PNR.

240    A tale proposito, è sufficiente rilevare che, con detta questione, il giudice del rinvio chiede l’interpretazione di una disposizione del diritto dell’Unione. Inoltre benché, nell’ambito di un procedimento instaurato ai sensi dell’articolo 267 TFUE, l’interpretazione delle disposizioni nazionali incomba ai giudici degli Stati membri e non alla Corte, e non spetti a quest’ultima pronunciarsi sulla compatibilità di norme di diritto interno con le disposizioni del diritto dell’Unione, la Corte è competente a fornire al giudice nazionale tutti gli elementi interpretativi attinenti al diritto dell’Unione che consentano a detto giudice di valutare la compatibilità di siffatte norme con la normativa dell’Unione (sentenza del 30 aprile 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, punto 28 e giurisprudenza ivi citata). Ne consegue che la Corte è competente a rispondere alla settima questione.

241    Nel merito, occorre rilevare che la formulazione dell’articolo 12, paragrafo 3, lettera b), della direttiva PNR, che menziona rispettivamente, ai punti i) e ii), «un’autorità giudiziaria» e «un’altra autorità nazionale competente ai sensi del diritto nazionale per verificare se sono soddisfatte le condizioni per la comunicazione», pone sullo stesso piano queste due autorità, come emerge dall’uso della congiunzione «o» tra tali punti i) e ii). Da tale formulazione discende che l’«altra» autorità nazionale competente così indicata costituisce un’alternativa all’autorità giudiziaria e deve quindi possedere un livello di indipendenza e imparzialità paragonabile a quest’ultima.

242    Tale analisi è suffragata dall’obiettivo della direttiva PNR, di cui al considerando 25 di quest’ultima, di garantire il massimo livello di protezione dei dati per quanto riguarda l’accesso integrale ai dati PNR, che consenta l’identificazione diretta dell’interessato. Tale medesimo considerando precisa peraltro che un siffatto accesso dovrebbe essere concesso soltanto a condizioni molto rigorose dopo il periodo di sei mesi successivo al trasferimento dei dati PNR all’UIP.

243    Detta analisi è altresì corroborata dai lavori preparatori della direttiva PNR. Infatti, mentre la proposta di direttiva menzionata al punto 155 della presente sentenza, che ha dato origine alla direttiva PNR, si limitava a prevedere che «[l]’accesso integrale ai dati PNR è consentito solo al capo dell’Unità d’informazione sui passeggeri», la versione dell’articolo 12, paragrafo 3, lettera b), di tale direttiva che alla fine è stata adottata dal legislatore dell’Unione designa, ponendole sullo stesso piano, l’autorità giudiziaria e un’«altra autorità nazionale» competente a verificare se le condizioni per la comunicazione integrale dei dati PNR siano soddisfatte e approvare una siffatta comunicazione.

244    Inoltre e soprattutto, conformemente a una giurisprudenza costante rammentata ai punti 223, 225 e 226 della presente sentenza, è essenziale che l’accesso delle autorità competenti ai dati conservati sia subordinato ad un controllo preventivo effettuato o da un giudice o da un ente amministrativo indipendente e che la decisione di tale giudice o di tale ente intervenga a seguito di una richiesta motivata di dette autorità presentata, in particolare, nell’ambito di procedure di prevenzione e accertamento o di azioni penali. Il requisito di indipendenza che l’ente incaricato di esercitare il controllo preventivo deve soddisfare impone anche che esso abbia la qualità di terzo rispetto all’autorità che chiede l’accesso ai dati, cosicché detto ente sia in grado di esercitare tale controllo in modo obiettivo e imparziale, al riparo da qualsiasi influenza esterna. In particolare, in ambito penale, il requisito di indipendenza implica che l’autorità incaricata di tale controllo preventivo, da un lato, non sia coinvolta nella conduzione dell’indagine penale di cui trattasi e, dall’altro, abbia una posizione di neutralità nei confronti delle parti del procedimento penale.

245    Orbene, come rilevato dall’avvocato generale al paragrafo 271 delle sue conclusioni, l’articolo 4 della direttiva PNR prevede, ai paragrafi 1 e 3, che l’UIP istituita o designata in ciascuno Stato membro sia un’autorità competente in materia di prevenzione, accertamento, indagine e azioni penali nei confronti dei reati di terrorismo e dei reati gravi, e che i membri del suo personale possano essere agenti distaccati da parte delle autorità competenti di cui all’articolo 7 di tale direttiva, cosicché l’UIP appare necessariamente legata a dette autorità. L’UIP può altresì effettuare, in forza dell’articolo 6, paragrafo 2, lettera b), della citata direttiva, trattamenti di dati PNR di cui comunica il risultato alle suddette autorità. Alla luce di tali elementi, non si può ritenere che l’UIP presenti la qualità di terzo rispetto a queste stesse autorità e, di conseguenza, che disponga di tutte le qualità di indipendenza e imparzialità richieste per esercitare il controllo preventivo menzionato al punto precedente della presente sentenza e per verificare se le condizioni di comunicazione integrale dei dati PNR siano soddisfatte, come previsto all’articolo 12, paragrafo 3, lettera b), della medesima direttiva.

246    Inoltre, il fatto che il punto ii) di quest’ultima disposizione richieda, in caso di approvazione della comunicazione integrale di tali dati da parte di «un’altra autorità nazionale competente», «l’informazione e l’esame a posteriori» del responsabile della protezione dei dati dell’UIP, laddove ciò non avviene quando tale approvazione è data dall’autorità giudiziaria, non è idoneo a mettere in discussione tale valutazione. Infatti, secondo una giurisprudenza consolidata, un controllo successivo, come quello effettuato dal responsabile della protezione dei dati, non consente di soddisfare l’obiettivo del controllo preventivo, che consiste nell’impedire che venga autorizzato un accesso ai dati in questione eccedente i limiti dello stretto necessario (v., in tal senso, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 110 nonché giurisprudenza ivi citata).

247    Alla luce di tutte le considerazioni che precedono, occorre rispondere alla settima questione dichiarando che l’articolo 12, paragrafo 3, lettera b), della direttiva PNR deve essere interpretato nel senso che esso osta a una normativa nazionale, ai sensi della quale l’autorità istituita come UIP ha anche la qualità di autorità nazionale competente abilitata ad approvare la comunicazione dei dati PNR alla scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP.

E.      Sull’ottava questione

248    Con l’ottava questione, il giudice del rinvio chiede, in sostanza, se l’articolo 12 della direttiva PNR, in combinato disposto con gli articoli 7 e 8, nonché con l’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, senza distinguere a seconda che i passeggeri interessati presentino o meno un rischio in materia di reati di terrorismo o di reati gravi.

249    Si deve rammentare che, ai sensi dell’articolo 12, paragrafi 1 e 4, di tale direttiva, l’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo interessato conserva i dati PNR trasmessi dai vettori aerei in una banca dati per un periodo di cinque anni dal loro trasferimento a detta unità, e cancella i dati di cui trattasi in via definitiva allo scadere di tale periodo di cinque anni.

250    Come rammentato dal considerando 25 della direttiva PNR, «il periodo di conservazione dei dati PNR dovrebbe essere lungo quanto necessario e proporzionato agli obiettivi di prevenire, accertare, indagare e promuovere un’azione penale nei confronti dei reati di terrorismo e dei reati gravi».

251    Di conseguenza, la conservazione dei dati PNR in applicazione dell’articolo 12, paragrafo 1, della direttiva PNR non può essere giustificata in assenza di un rapporto oggettivo tra tale conservazione e gli obiettivi perseguiti dalla direttiva in questione, ossia la lotta contro i reati di terrorismo e i reati gravi che hanno un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri.

252    A tal riguardo, come emerge dal citato considerando 25 della direttiva PNR, si deve operare una distinzione tra, da un lato, il periodo iniziale di conservazione di sei mesi, di cui all’articolo 12, paragrafo 2, di detta direttiva, e, dall’altro, il periodo successivo, di cui all’articolo 12, paragrafo 3, della medesima direttiva.

253    L’interpretazione dell’articolo 12, paragrafo 1, della direttiva PNR deve prendere in considerazione le disposizioni contenute nei paragrafi 2 e 3 di tale articolo, che stabiliscono il regime di conservazione e di accesso ai dati PNR conservati dopo la scadenza del periodo iniziale di conservazione di sei mesi. Come discende dal considerando 25 della direttiva di cui trattasi, dette disposizioni riflettono, da un lato, l’obiettivo di garantire «che i dati PNR siano conservati per un periodo sufficientemente lungo per poter effettuare analisi e utilizzarli nelle indagini», che possono già essere effettuate nel corso del periodo di conservazione iniziale di sei mesi. Dall’altro lato, esse tentano, secondo lo stesso considerando 25, di «evitare un uso sproporzionato», mediante una mascheratura di tali dati, e di «garantire il massimo livello di protezione dei dati» autorizzando l’accesso agli stessi in una forma che consenta l’identificazione diretta dell’interessato «soltanto a condizioni molto rigorose e limitate dopo detto periodo iniziale», tenendo così conto del fatto che più la conservazione dei dati PNR è lunga, più l’ingerenza che ne deriva è grave.

254    Orbene, la distinzione tra il periodo di conservazione iniziale di sei mesi, di cui all’articolo 12, paragrafo 2, della direttiva PNR, e il periodo successivo, di cui all’articolo 12, paragrafo 3, della stessa direttiva, si applica anche al necessario rispetto del requisito di cui al punto 251 della presente sentenza.

255    Pertanto, tenuto conto delle finalità della direttiva PNR e delle esigenze dell’indagine e delle azioni penali in materia di reati di terrorismo e di reati gravi, si deve giudicare che la conservazione dei dati PNR di tutti i passeggeri aerei assoggettati al sistema istituito da tale direttiva, durante il periodo iniziale di sei mesi, senza che vi sia il minimo indizio di una loro implicazione in reati terroristici o in reati gravi, non sembra, in linea di principio, eccedere i limiti dello stretto necessario, nella misura in cui essa consente le ricerche necessarie al fine d’identificare persone che non erano sospettate di partecipazione a reati terroristici o a reati gravi.

256    Invece, per quanto attiene al periodo successivo di cui all’articolo 12, paragrafo 3, della direttiva PNR, la conservazione dei dati PNR di tutti i passeggeri aerei assoggettati al sistema istituito da tale direttiva, oltre a comportare, a motivo della quantità rilevante di dati che possono essere conservati continuativamente, rischi inerenti all’uso sproporzionato e ad abusi (v, per analogia, sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 119), si scontra con l’obbligo di cui al considerando 25 di detta direttiva, secondo cui tali dati dovrebbero essere conservati solo per la durata necessaria e proporzionata agli obiettivi perseguiti, poiché il legislatore dell’Unione ha inteso stabilire il massimo livello di protezione dei dati PNR che consentono un’identificazione diretta degli interessati.

257    Infatti, nel caso di passeggeri aerei per i quali né la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR, né le eventuali verifiche effettuate durante il periodo di sei mesi di cui all’articolo 12, paragrafo 2, di tale direttiva, né alcun’altra circostanza hanno rivelato l’esistenza di elementi obiettivi tali da determinare un rischio di reati di terrorismo o di reati gravi avente un collegamento oggettivo, quantomeno indiretto, con il viaggio aereo effettuato da detti passeggeri, non sembra esistere, in tali circostanze, alcun rapporto, sia pure solo indiretto, tra i dati PNR dei passeggeri di cui trattasi e l’obiettivo perseguito da detta direttiva, che giustifichi la conservazione di questi stessi dati [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punti 204 e 205].

258    L’archiviazione continua dei dati PNR di tutti i passeggeri dopo il periodo iniziale di sei mesi non sembra quindi limitata allo stretto necessario [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 206].

259    Nei limiti in cui, tuttavia, sono identificati, in casi particolari, elementi obiettivi, come i dati PNR dei passeggeri che hanno dato luogo a un riscontro positivo verificato, che consentano di ritenere che taluni passeggeri potrebbero presentare un rischio in materia di reati di terrorismo e di reati gravi, un’archiviazione dei loro dati PNR appare ammissibile al di là di tale periodo iniziale [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 207 e giurisprudenza ivi citata].

260    Infatti, l’identificazione di tali elementi obiettivi sarebbe tale da stabilire un rapporto con le finalità perseguite dai trattamenti ai sensi della direttiva PNR, di modo che la conservazione dei dati PNR relativi a tali passeggeri sarebbe giustificata per il periodo massimo consentito da detta direttiva, ossia per cinque anni.

261    Nel caso di specie, nei limiti in cui la normativa di cui trattasi nel procedimento principale sembra prevedere un periodo generale di conservazione dei dati PNR di cinque anni, applicabile indistintamente a tutti i passeggeri, ivi compresi quelli per i quali né la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR, né le eventuali verifiche effettuate nel corso del periodo iniziale di sei mesi, né alcun’altra circostanza abbiano rivelato l’esistenza di elementi obiettivi atti a stabilire un rischio in materia di reati di terrorismo o di reati gravi, detta normativa può violare l’articolo 12, paragrafo 1, di tale direttiva, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, a meno che essa non possa essere oggetto di un’interpretazione conforme alle citate disposizioni, circostanza che spetta al giudice del rinvio verificare.

262    Alla luce delle considerazioni che precedono, si deve rispondere all’ottava questione dichiarando che l’articolo 12, paragrafo 1, della direttiva PNR, in combinato disposto con gli articoli 7 e 8, nonché con l’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, applicabile indistintamente a tutti i passeggeri aerei, ivi compresi quelli per i quali né la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), di tale direttiva, né le eventuali verifiche effettuate durante il periodo di sei mesi di cui all’articolo 12, paragrafo 2, di detta direttiva, né alcun’altra circostanza abbiano rivelato l’esistenza di elementi obiettivi atti a stabilire un rischio in materia di reati di terrorismo o di reati gravi aventi un collegamento oggettivo, perlomeno indiretto, con il trasporto aereo di passeggeri.

F.      Sulla nona questione, lettera a)

263    Con la sua nona questione, lettera a), il giudice del rinvio si interroga, in sostanza, sulla validità della direttiva API alla luce dell’articolo 3, paragrafo 2, TUE e dell’articolo 45 della Carta, partendo dal presupposto che gli obblighi che tale direttiva stabilisce si applichino ai voli intra-UE.

264    Orbene, come rilevato dall’avvocato generale al paragrafo 277 delle sue conclusioni e come sottolineato dal Consiglio, dalla Commissione e da diversi governi, questa premessa è erronea.

265    Infatti, l’articolo 3, paragrafo 1, della direttiva API prevede che gli Stati membri devono adottare le disposizioni necessarie per istituire l’obbligo per i vettori di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative alle persone che saranno trasportate a un valico di frontiera autorizzato attraverso il quale tali persone entreranno nel territorio di uno Stato membro. Questi dati sono trasmessi, secondo l’articolo 6, paragrafo 1, di detta direttiva, alle autorità incaricate di effettuare i controlli alle frontiere esterne attraverso le quali il passeggero entrerà in tale territorio e sono oggetto di un trattamento alle condizioni previste da quest’ultima disposizione.

266    Orbene, da tali disposizioni, lette alla luce dell’articolo 2, lettere a), b) e d), della direttiva API, che definiscono rispettivamente le nozioni di «vettore», «frontiere esterne» e «valico di frontiera», emerge chiaramente che la direttiva di cui trattasi impone l’obbligo, per i vettori aerei, di trasmettere i dati di cui all’articolo 3, paragrafo 2, alle autorità incaricate dei controlli alle frontiere esterne solo nel caso di voli che trasportino passeggeri verso un valico autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi e prevede solo il trattamento dei dati relativi a tali voli.

267    La direttiva, invece, non impone alcun obbligo per quanto riguarda i dati dei passeggeri che viaggiano su voli che attraversano solo frontiere interne tra gli Stati membri.

268    Occorre aggiungere che la direttiva PNR, includendo nel novero dei dati PNR, come emerge dal suo considerando 9 e dal suo articolo 8, paragrafo 2, i dati di cui all’articolo 3, paragrafo 2, della direttiva API raccolti conformemente a tale direttiva e conservati da taluni vettori aerei, e conferendo agli Stati membri la facoltà di applicare la direttiva PNR, in forza del suo articolo 2, ai voli intra-UE da essi definiti, non ha modificato né la portata delle disposizioni della direttiva API né le limitazioni risultanti da tale direttiva.

269    Alla luce di quanto precede, si deve rispondere alla nona questione, lettera a), dichiarando che la direttiva API deve essere interpretata nel senso che essa non si applica ai voli intra-UE.

G.      Sulla nona questione, lettera b)

270    Sebbene, nella sua nona questione, lettera b), il giudice del rinvio si riferisca alla direttiva API, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, dalla domanda di pronuncia pregiudiziale emerge che tale giudice chiede lumi sulla compatibilità del sistema di trasferimento e trattamento dei dati dei passeggeri, istituito dalla legge del 25 dicembre 2016, con la libera circolazione delle persone e l’abolizione dei controlli alle frontiere interne previste dal diritto dell’Unione, nella misura in cui tale sistema si applica non solo ai trasporti aerei, ma anche ai trasporti ferroviari, terrestri e persino marittimi, provenienti da o diretti verso il Belgio, effettuati all’interno dell’Unione, senza attraversamento di frontiere esterne con i paesi terzi.

271    Orbene, come si evince dai punti da 265 a 269 della presente sentenza, la direttiva API, che non si applica ai voli intra-UE e non impone un obbligo di trasferire e trattare dati dei passeggeri che viaggiano in aereo o con un altro mezzo di trasporto all’interno dell’Unione, senza attraversamento delle frontiere esterne con paesi terzi, è irrilevante ai fini di una risposta a tale questione.

272    Invece, laddove, ai sensi dell’articolo 67, paragrafo 2, TFUE, l’Unione garantisce che non vi siano controlli sulle persone alle frontiere interne, l’articolo 2 della direttiva PNR, sul quale il legislatore belga si è basato per adottare la legge del 25 dicembre 2016 di cui trattasi nel procedimento principale, come emerge dalla domanda di pronuncia pregiudiziale, autorizza gli Stati membri ad applicare tale direttiva ai voli intra-UE.

273    In tali circostanze, al fine di fornire al giudice del rinvio una risposta utile, occorre riformulare la nona questione, lettera b), nel senso che essa mira, in sostanza, a stabilire se il diritto dell’Unione, in particolare l’articolo 2 della direttiva PNR, letto alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE e dell’articolo 45 della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che prevede un sistema di trasferimento, da parte dei vettori e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR dei voli e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti nello Stato membro che ha adottato detta normativa o ancora in transito in tale Stato membro.

274    Innanzitutto, l’articolo 45 della Carta sancisce la libera circolazione delle persone, la quale costituisce, peraltro, una delle libertà fondamentali del mercato interno [v., in tal senso, sentenza del 22 giugno 2021, Ordre des barreaux francophones et germanophone e a. (Misure preventive ai fini dell’allontanamento), C‑718/19, EU:C:2021:505, punto 54].

275    Tale articolo garantisce, al paragrafo 1, il diritto di ogni cittadino dell’Unione di circolare e soggiornare liberamente nel territorio degli Stati membri, diritto che, secondo le spiegazioni relative alla Carta dei diritti fondamentali (GU 2007, C 303, pag. 17), corrisponde a quello garantito all’articolo 20, paragrafo 2, primo comma, lettera a), TFUE e si esercita, ai sensi dell’articolo 20, paragrafo 2, secondo comma, TFUE e dell’articolo 52, paragrafo 2, della Carta, alle condizioni e nei limiti definiti dai trattati e dalle misure adottate in applicazione di quest’ultimi.

276    Ai sensi poi dell’articolo 3, paragrafo 2, TUE, l’Unione offre ai suoi cittadini uno spazio di libertà, sicurezza e giustizia senza frontiere interne, in cui sia assicurata la libera circolazione delle persone insieme a misure appropriate per quanto concerne, segnatamente, i controlli alle frontiere esterne nonché la prevenzione della criminalità e la lotta contro quest’ultima. Analogamente, conformemente all’articolo 67, paragrafo 2, TFUE, l’Unione garantisce che non vi siano controlli sulle persone alle frontiere interne e sviluppa una politica comune in materia, segnatamente, di controllo delle frontiere esterne.

277    Conformemente alla giurisprudenza costante della Corte, una normativa nazionale che sfavorisca taluni cittadini nazionali per il solo fatto che essi hanno esercitato la loro libertà di circolare e soggiornare in un altro Stato membro rappresenta una restrizione delle libertà riconosciute ad ogni cittadino dell’Unione dall’articolo 45, paragrafo 1, della Carta (v. in tal senso, per quanto riguarda l’articolo 21, paragrafo 1, TFUE, sentenze dell’8 giugno 2017, Freitag, C‑541/15, EU:C:2017:432, punto 35 e giurisprudenza ivi citata, nonché del 19 novembre 2020, ZW, C‑454/19, EU:C:2020:947, punto 30).

278    Orbene, una normativa nazionale come quella di cui al procedimento principale, che applica il sistema previsto dalla direttiva PNR non solo ai voli extra-UE ma anche, conformemente all’articolo 2, paragrafo 1, di tale direttiva, ai voli intra-UE nonché, al di là di quanto previsto da detta disposizione, a trasporti effettuati con altri mezzi all’interno dell’Unione, ha come conseguenza il trasferimento e il trattamento sistematici e continui dei dati PNR di qualsiasi passeggero che si sposti con tali mezzi all’interno dell’Unione esercitando la sua libertà di circolazione.

279    Come constatato ai punti da 98 a 111 della presente sentenza, il trasferimento e il trattamento dei dati dei passeggeri dei voli extra-UE e intra-UE risultanti dal sistema istituito dalla direttiva PNR implicano ingerenze di una gravità certa nei diritti fondamentali degli interessati, quali sanciti dagli articoli 7 e 8 della Carta. La gravità di detta ingerenza è ulteriormente incrementata nel caso in cui l’applicazione di tale sistema sia estesa ad altri mezzi di trasporto interni all’Unione. Siffatte ingerenze sono, per le stesse ragioni esposte nei punti summenzionati, altresì idonee a svantaggiare e, di conseguenza, a dissuadere dall’esercizio della loro libertà di circolazione, ai sensi dell’articolo 45 della Carta, i cittadini degli Stati membri che hanno adottato una siffatta normativa e, in generale, i cittadini dell’Unione che si spostano con tali mezzi di trasporto nell’Unione in provenienza da o a destinazione di tali Stati membri, cosicché detta normativa comporta una restrizione alla libertà fondamentale di cui trattasi.

280    Conformemente a una giurisprudenza costante, una restrizione alla libera circolazione delle persone può essere giustificata solo se si basa su considerazioni oggettive ed è proporzionata all’obiettivo legittimamente perseguito dal diritto nazionale. Una misura è proporzionata quando è idonea a realizzare l’obiettivo perseguito e, nel contempo, non eccede quanto necessario per il suo raggiungimento (v., in tal senso, sentenza del 5 giugno 2018, Coman e a., C‑673/16, EU:C:2018:385, punto 41 e giurisprudenza ivi citata).

281    Si deve aggiungere che una misura nazionale idonea ad ostacolare l’esercizio della libera circolazione delle persone può essere giustificata solo se è conforme ai diritti fondamentali sanciti dalla Carta, di cui la Corte garantisce il rispetto (sentenza del 14 dicembre 2021, Stolichna obshtina, rayon «Pancharevo», C‑490/20, EU:C:2021:1008, punto 58 e giurisprudenza ivi citata).

282    In particolare, conformemente alla giurisprudenza rammentata ai punti 115 e 116 della presente sentenza, un obiettivo di interesse generale non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, e ciò attraverso una ponderazione equilibrata tra, da un lato, l’obiettivo d’interesse generale e, dall’altro, i diritti in questione. A tal riguardo, la possibilità per gli Stati membri di giustificare una limitazione del diritto fondamentale garantito dall’articolo 45, paragrafo 1, della Carta deve essere valutata misurando la gravità dell’ingerenza che una siffatta limitazione comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia collegato a detta gravità.

283    Come ricordato al punto 122 della presente sentenza, l’obiettivo di lottare contro i reati di terrorismo e i reati gravi perseguito dalla direttiva PNR è indubbiamente un obiettivo di interesse generale dell’Unione.

284    Per quanto riguarda la questione se una normativa nazionale adottata ai fini del recepimento della direttiva PNR, e che estende il sistema previsto da tale direttiva ai voli intra-UE e ad altri mezzi di trasporto interni all’Unione, sia idonea al raggiungimento dell’obiettivo perseguito, dalle informazioni contenute nel fascicolo di cui dispone la Corte emerge che l’uso dei dati PNR consente di identificare persone che non erano sospettate di partecipazione a reati di terrorismo o a reati gravi e che dovrebbero essere sottoposte a un esame più approfondito, cosicché una siffatta legislazione appare adeguata per raggiungere l’obiettivo perseguito, di lottare contro i reati di terrorismo e i reati gravi.

285    Per quanto riguarda la necessità di una siffatta normativa, l’esercizio da parte degli Stati membri della facoltà prevista dall’articolo 2, paragrafo 1, della direttiva PNR, letto alla luce degli articoli 7 e 8 della Carta, deve essere limitato a quanto strettamente necessario al raggiungimento di tale obiettivo alla luce degli obblighi di cui ai punti da 163 a 174 della presente sentenza.

286    Tali obblighi si applicano, a maggior ragione, nel caso in cui il sistema previsto dalla direttiva PNR viene applicato ad altri mezzi di trasporto interni all’Unione.

287    Peraltro, come emerge dalle informazioni contenute nella domanda di pronuncia pregiudiziale, la normativa nazionale di cui al procedimento principale traspone, in un solo atto, la direttiva PNR, la direttiva API e, in parte, la direttiva 2010/65. A tal fine, essa prevede l’applicazione del sistema previsto dalla direttiva PNR all’insieme dei voli intra-UE e dei trasporti ferroviari, terrestri, persino marittimi, effettuati all’interno dell’Unione in provenienza dal, a destinazione del e in transito in Belgio e si applica altresì agli operatori di viaggio, perseguendo al contempo anche altri obiettivi rispetto alla sola lotta ai reati di terrorismo e ai reati gravi. Secondo tali medesime informazioni, sembra che tutti i dati raccolti nell’ambito del sistema istituito da detta normativa nazionale siano conservati dall’UIP in una banca dati unica che comprende i dati PNR, ivi inclusi i dati di cui all’articolo 3, paragrafo 2, della direttiva API, per tutti i passeggeri dei trasporti di cui alla citata normativa.

288    A tal riguardo, nei limiti in cui il giudice del rinvio ha fatto riferimento all’obiettivo di migliorare i controlli alle frontiere e di contrastare l’immigrazione illegale nella sua nona questione, lettera b), che è l’obiettivo della direttiva API, occorre ricordare che, come risulta dai punti 233, 234 e 237 della presente sentenza, l’elenco degli obiettivi perseguiti dal trattamento dei dati PNR ai sensi della direttiva PNR riveste carattere tassativo, cosicché una normativa nazionale che autorizza il trattamento dei dati PNR raccolti conformemente a tale direttiva per finalità diverse da quelle da essa previste, ossia, in particolare, ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale, è contraria all’articolo 6 di detta direttiva, letto alla luce della Carta.

289    Inoltre, come emerge dal punto 235 della presente sentenza, gli Stati membri non possono creare un’unica banca dati contenente sia i dati PNR raccolti ai sensi della direttiva PNR e relativi ai voli extra-UE e intra-UE, sia i dati dei passeggeri di altri mezzi di trasporto nonché i dati di cui all’articolo 3, paragrafo 2, della direttiva API, in particolare quando tale banca dati può essere consultata ai fini del perseguimento non solo delle finalità di cui all’articolo 1, paragrafo 2, della direttiva PNR ma anche di altre finalità.

290    Infine, e in ogni caso, come rilevato dall’avvocato generale al paragrafo 281 delle sue conclusioni, gli articoli da 28 a 31 della legge del 25 dicembre 2016 possono essere compatibili con il diritto dell’Unione, in particolare con l’articolo 67, paragrafo 2, TFUE, solo a condizione di essere interpretati e applicati nel senso che riguardano unicamente il trasferimento e il trattamento dei dati API dei passeggeri che attraversano le frontiere esterne del Belgio con paesi terzi. Infatti, una misura con cui uno Stato membro estenda le disposizioni della direttiva API, al fine di migliorare i controlli alle frontiere e combattere l’immigrazione illegale, ai voli intra-UE e, a fortiori, ad altri mezzi di trasporto che conducono passeggeri nell’Unione in provenienza e in partenza da tale Stato membro o ancora che transitano in detto Stato membro, in particolare l’obbligo di trasmissione dei dati dei passeggeri previsto dall’articolo 3, paragrafo 1, di tale direttiva, equivarrebbe a consentire alle autorità competenti, al momento dell’attraversamento delle frontiere interne di detto Stato membro, di accertarsi sistematicamente che tali passeggeri possano essere autorizzati a entrare sul suo territorio o a uscirne e avrebbe quindi un effetto equivalente ai controlli effettuati alle frontiere esterne con paesi terzi.

291    Alla luce di tutte le considerazioni che precedono, occorre rispondere alla nona questione, lettera b), dichiarando che il diritto dell’Unione, in particolare l’articolo 2 della direttiva PNR, letto alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE e dell’articolo 45 della Carta, deve essere interpretato nel senso che esso osta:

–        a una normativa nazionale che prevede, in assenza di minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, un sistema di trasferimento, da parte dei vettori aerei e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR di tutti i voli intra-UE e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti verso tale Stato membro o ancora in transito in esso, al fine di lottare contro i reati di terrorismo e i reati gravi. In una situazione del genere, l’applicazione del sistema istituito dalla direttiva PNR deve essere limitata al trasferimento e al trattamento dei dati PNR dei voli e/o dei trasporti relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinati aeroporti, stazioni o porti marittimi per i quali esistano indicazioni che giustifichino tale applicazione. Spetta allo Stato membro interessato selezionare i voli intra-UE e/o i trasporti effettuati con altri mezzi all’interno dell’Unione per i quali esistono siffatte indicazioni e riesaminare regolarmente detta applicazione, in base all’evoluzione delle condizioni che hanno giustificato la loro selezione, al fine di garantire che l’applicazione di detto sistema a tali voli e/o a tali trasporti sia sempre limitata allo stretto necessario, e

–        a una legislazione nazionale che prevede un siffatto sistema di trasferimento e trattamento di detti dati ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale.

H.      Sulla decima questione

292    Con la sua decima questione, il giudice del rinvio chiede, in sostanza, se il diritto dell’Unione debba essere interpretato nel senso che un giudice nazionale può limitare nel tempo gli effetti di una declaratoria di illegittimità che gli incombe, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai vettori aerei, ferroviari e terrestri nonché agli operatori di viaggio il trasferimento dei dati PNR e che prevede un trattamento e una conservazione di tali dati incompatibile con le disposizioni della direttiva PNR, lette alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE, degli articoli 7, 8 e 45 nonché dell’articolo 52, paragrafo 1, della Carta.

293    Il principio del primato del diritto dell’Unione sancisce la preminenza del diritto dell’Unione sul diritto degli Stati membri. Tale principio impone pertanto a tutte le istituzioni degli Stati membri di dare pieno effetto alle varie disposizioni del diritto dell’Unione, dato che il diritto degli Stati membri non può sminuire l’efficacia riconosciuta a tali disposizioni nel territorio dei suddetti Stati. In forza di tale principio, ove non sia possibile procedere a un’interpretazione della normativa nazionale conforme alle prescrizioni del diritto dell’Unione, il giudice nazionale incaricato di applicare, nell’ambito di propria competenza, le disposizioni del diritto dell’Unione ha l’obbligo di garantire la piena efficacia delle medesime disapplicando all’occorrenza, di propria iniziativa, qualsiasi disposizione contrastante della legislazione nazionale, anche posteriore, senza doverne chiedere o attendere la previa rimozione in via legislativa o mediante qualsiasi altro procedimento costituzionale (sentenze del 15 luglio 1964, Costa, 6/64, EU:C:1964:66, pag. 1145; del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punti 214 e 215, nonché del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 118).

294    Solo la Corte può, eccezionalmente e per considerazioni imperative di certezza del diritto, concedere una sospensione provvisoria dell’effetto di disapplicazione esercitato da una norma del diritto dell’Unione rispetto a norme di diritto interno con essa in contrasto. Una siffatta limitazione nel tempo degli effetti dell’interpretazione data dalla Corte a tale diritto può essere concessa solo nella sentenza stessa che statuisce sull’interpretazione richiesta. Il primato e l’applicazione uniforme del diritto dell’Unione risulterebbero compromessi se i giudici nazionali avessero il potere di attribuire alle norme nazionali, anche solo provvisoriamente, il primato rispetto al diritto dell’Unione al quale esse contravvengono (sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 119 e giurisprudenza ivi citata).

295    A differenza dell’omissione di un obbligo procedurale, quale la valutazione preliminare dell’impatto ambientale di un progetto, in discussione nella causa che ha dato luogo alla sentenza del 29 luglio 2019, Inter-Environnement Wallonie e Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, punti 175, 176, 179 e 181), in cui la Corte ha accettato una sospensione provvisoria di tale effetto di disapplicazione, una violazione delle disposizioni della direttiva PNR, letta alla luce degli articoli 7, 8 e 45 nonché dell’articolo 52, paragrafo 1, della Carta, non può essere oggetto di regolarizzazione mediante una procedura analoga a quella ammessa in detta causa. Infatti, il mantenimento degli effetti di una normativa nazionale, come la legge del 25 dicembre 2016, implicherebbe che tale normativa continui ad imporre ai vettori aerei, così come ad altri vettori e agli operatori di viaggio, obblighi che risultano contrari al diritto dell’Unione e comportano ingerenze gravi nei diritti fondamentali delle persone i cui dati sono stati trasferiti, conservati e trattati nonché restrizioni alla libertà di circolazione di tali persone che eccedono quanto necessario (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 122 e giurisprudenza ivi citata).

296    Di conseguenza, il giudice del rinvio non può limitare nel tempo gli effetti di una declaratoria di illegittimità ad esso incombente, in forza del diritto nazionale, della legislazione nazionale di cui trattasi nel procedimento principale (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 123 e giurisprudenza ivi citata).

297    Infine, nella misura in cui il giudice del rinvio s’interroga sull’impatto della constatazione dell’eventuale incompatibilità della legge del 25 dicembre 2016 con le disposizioni della direttiva PNR, letta alla luce della Carta, sull’ammissibilità e sull’uso degli elementi di prova e delle informazioni ottenute mediante dati trasferiti dai vettori e dagli operatori di viaggio interessati nell’ambito di procedimenti penali, è sufficiente fare riferimento alla pertinente giurisprudenza della Corte, in particolare ai principi richiamati ai punti da 41 a 44 della sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152), da cui discende che, conformemente al principio di autonomia procedurale degli Stati membri, tale ammissibilità rientra nell’ambito del diritto nazionale, fermo restando il rispetto, in particolare, dei principi di equivalenza ed effettività (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 127).

298    Alla luce delle considerazioni che precedono, occorre rispondere alla decima questione dichiarando che il diritto dell’Unione deve essere interpretato nel senso che esso osta a che un giudice nazionale limiti nel tempo gli effetti di una declaratoria di illegittimità ad esso incombente, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai vettori aerei, ferroviari e terrestri nonché agli operatori di viaggio il trasferimento dei dati PNR e che prevede un trattamento e una conservazione di tali dati incompatibili con le disposizioni della direttiva PNR, lette alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE, degli articoli 7, 8 e 45 nonché dell’articolo 52, paragrafo 1, della Carta. L’ammissibilità degli elementi di prova ottenuti con tale mezzo rientra, conformemente al principio di autonomia procedurale degli Stati membri, nell’ambito del diritto nazionale, fermo restando il rispetto, in particolare, dei principi di equivalenza ed effettività.

IV.    Sulle spese

299    Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara:

1)      L’articolo 2, paragrafo 2, lettera d), e l’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che tale regolamento è applicabile ai trattamenti di dati personali previsti da una normativa nazionale diretta a trasporre nel diritto interno, al contempo, le disposizioni della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate, della direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE, e della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, per quanto riguarda, da un lato, trattamenti di dati effettuati da operatori privati e, dall’altro, trattamenti di dati effettuati da autorità pubbliche rientranti, unicamente o altresì, nella direttiva 2004/82 o nella direttiva 2010/65. Detto regolamento non è invece applicabile ai trattamenti di dati previsti da una siffatta normativa rientranti solo nella direttiva 2016/681, che sono effettuati dall’unità d’informazione sui passeggeri (UIP) o dalle autorità competenti ai fini di cui all’articolo 1, paragrafo 2, di tale direttiva.

2)      Dal momento che un’interpretazione della direttiva 2016/681 alla luce degli articoli 7, 8 e 21 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, garantisce la conformità di tale direttiva ai summenzionati articoli della Carta dei diritti fondamentali, l’esame della seconda, terza, quarta e sesta questione pregiudiziale non ha rivelato alcun elemento tale da inficiare la validità di detta direttiva.

3)      L’articolo 6 della direttiva 2016/681, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta a una normativa nazionale che autorizza il trattamento di dati del codice di prenotazione (dati PNR) raccolti conformemente a tale direttiva per finalità diverse da quelle espressamente previste dall’articolo 1, paragrafo 2, di detta direttiva.

4)      L’articolo 12, paragrafo 3, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che esso osta a una normativa nazionale, ai sensi della quale l’autorità istituita come unità d’informazione sui passeggeri (UIP) ha anche la qualità di autorità nazionale competente abilitata ad approvare la comunicazione dei dati PNR alla scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP.

5)      L’articolo 12, paragrafo 1, della direttiva 2016/681, in combinato disposto con gli articoli 7 e 8 nonché con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, applicabile indistintamente a tutti i passeggeri aerei, ivi compresi quelli per i quali né la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), di tale direttiva, né le eventuali verifiche effettuate durante il periodo di sei mesi di cui all’articolo 12, paragrafo 2, di detta direttiva, né alcun’altra circostanza abbiano rivelato l’esistenza di elementi obiettivi atti a stabilire un rischio in materia di reati di terrorismo o di reati gravi aventi un collegamento oggettivo, perlomeno indiretto, con il trasporto aereo di passeggeri.

6)      La direttiva 2004/82 deve essere interpretata nel senso che essa non si applica ai voli, di linea o meno, effettuati da un vettore aereo proveniente dal territorio di uno Stato membro e che deve atterrare nel territorio di uno o più Stati membri, senza scalo nel territorio di un paese terzo (voli intra-UE).

7)      Il diritto dell’Unione, in particolare l’articolo 2 della direttiva 2016/681, letto alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE e dell’articolo 45 della Carta dei diritti fondamentali, deve essere interpretato nel senso che esso osta:

–        a una normativa nazionale che prevede, in assenza di minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, un sistema di trasferimento, da parte dei vettori aerei e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR di tutti i voli intra-UE e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti verso tale Stato membro o ancora in transito in esso, al fine di lottare contro i reati di terrorismo e i reati gravi. In una situazione del genere, l’applicazione del sistema istituito dalla direttiva 2016/681 deve essere limitata al trasferimento e al trattamento dei dati PNR dei voli e/o dei trasporti relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinati aeroporti, stazioni o porti marittimi per i quali esistano indicazioni che giustifichino tale applicazione. Spetta allo Stato membro interessato selezionare i voli intra‑UE e/o i trasporti effettuati con altri mezzi all’interno dell’Unione per i quali esistono siffatte indicazioni e riesaminare regolarmente detta applicazione, in base all’evoluzione delle condizioni che hanno giustificato la loro selezione, al fine di garantire che l’applicazione di detto sistema a tali voli e/o a tali trasporti sia sempre limitata allo stretto necessario, e

–        a una legislazione nazionale che prevede un siffatto sistema di trasferimento e trattamento di detti dati ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale.

8)      Il diritto dell’Unione deve essere interpretato nel senso che esso osta a che un giudice nazionale limiti nel tempo gli effetti di una declaratoria di illegittimità ad esso incombente, in forza del diritto nazionale, nei confronti di una normativa nazionale che impone ai vettori aerei, ferroviari e terrestri nonché agli operatori di viaggio il trasferimento dei dati PNR e che prevede un trattamento e una conservazione di tali dati incompatibili con le disposizioni della direttiva 2016/681, lette alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE, degli articoli 7, 8 e 45 nonché dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali. L’ammissibilità degli elementi di prova ottenuti con tale mezzo rientra, conformemente al principio di autonomia procedurale degli Stati membri, nell’ambito del diritto nazionale, fermo restando il rispetto, in particolare, dei principi di equivalenza ed effettività.

Firme

*      Lingua processuale: il francese.