Causa C‑817/19
Ligue des droits humains
contro
Conseil des ministres
[domanda di pronuncia pregiudiziale, proposta dalla Cour constitutionnelle (Corte costituzionale, Belgio)]
Sentenza della Corte (Grande Sezione) del 21 giugno 2022
«Rinvio pregiudiziale – Trattamento dei dati personali – Dati del codice di prenotazione (PNR) – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2, lettera d) – Ambito di applicazione – Direttiva (UE) 2016/681 – Uso dei dati PNR dei passeggeri dei voli aerei operati tra l’Unione europea e paesi terzi – Facoltà d’includere i dati dei passeggeri dei voli aerei operati all’interno dell’Unione – Trattamenti automatizzati di tali dati – Periodo di conservazione – Lotta contro i reati di terrorismo e i reati gravi – Validità – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 21 nonché articolo 52, paragrafo 1 – Normativa nazionale che estende l’applicazione del sistema PNR ad altri trasporti operati all’interno dell’Unione – Libertà di circolazione all’interno dell’Unione – Carta dei diritti fondamentali – Articolo 45»
1. Tutela delle persone fisiche riguardo al trattamento dei dati personali – Regolamento 2016/679 – Ambito di applicazione – Trattamenti di dati personali previsti da una normativa nazionale diretta a recepire le direttive 2004/82, 2010/65 e 2016/681 – Inclusione – Limiti
[Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 2, § 2, d), e 23; direttive del Parlamento europeo e del Consiglio 2010/65, 2016/680 e 2016/681; direttiva del Consiglio 2004/82]
(v. punti 67, 68, 73, 74, 80, 83, 84, disp. 1)
2. Cooperazione di polizia – Cooperazione giudiziaria in materia penale – Uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi – Direttiva 2016/681 – Dati PNR – Portata – Passeggeri aerei e voli interessati – Trattamenti automatizzati di tali dati – Violazione dei diritti al rispetto della vita privata e alla protezione dei dati personali – Assenza
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 21 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/681, artt. 1, § 2, 2, 3, punti 2, 4, 8 e 9, 6, 12 e allegati I e II)
(v. punti 94-97, 111, 122, 123, 129, 131-140, 152, 157, 162, 169-175, 184, 188, 197, 202, 213, 218-220, 223, 225-228, disp. 2)
3. Diritti fondamentali – Rispetto della vita privata – Tutela dei dati personali – Limitazioni – Presupposti
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, e 52, § 1)
(v. punti 115-118)
4. Cooperazione di polizia – Cooperazione giudiziaria in materia penale – Uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi – Direttiva 2016/681 – Trattamento dei dati PNR – Finalità – Trattamento per finalità diverse da quelle espressamente previste – Inammissibilità
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/681, artt. 1, § 2, e 6)
(v. punti 233, 235, 237, 288, 289, disp. 3)
5. Cooperazione di polizia – Cooperazione giudiziaria in materia penale – Uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi – Direttiva 2016/681 – Comunicazione dei dati PNR dopo i sei mesi successivi al loro trasferimento da parte dei vettori aerei – Presupposto – Approvazione da parte di un’autorità nazionale competente – Nozione – Unità d’informazione sui passeggeri – Esclusione
[(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/681, artt. 4, §§ 1-3, e 12, §3, b)]
(v. punti 244, 245, 247, disp. 4)
6. Cooperazione di polizia – Cooperazione giudiziaria in materia penale – Uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi – Direttiva 2016/681 – Periodo di conservazione dei dati PNR – Periodo generale di conservazione di cinque anni, applicabile indistintamente a tutti i passeggeri aerei – Inammissibilità
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 45 e 52, § 1; direttiva del Parlamento europeo e de Consiglio 2016/681, art. 12)
(v. punti 251, 255-259, 262, disp. 5)
7. Controlli alle frontiere, asilo e immigrazione – Obbligo per i vettori di comunicare i dati relativi ai passeggeri – Direttiva 2004/82 – Ambito di applicazione – Voli intra‑UE – Esclusione
[Direttiva del Parlamento europeo e del Consiglio 2016/681, art. 2; direttiva del Consiglio 2004/82, artt. 2, a), b) e d), 3, §§ 1 e 2, e 6, § 1]
(v. punti 266-269, disp. 6)
8. Cooperazione di polizia – Cooperazione giudiziaria in materia penale – Uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi – Direttiva 2016/681 – Applicazione della direttiva ai voli intra-UE – Applicazione a tutti i voli intra-UE e a tutti i trasporti effettuati con altri mezzi all’interno dell’Unione in assenza di minaccia terroristica reale e attuale o prevedibile – Inammissibilità – Applicazione limitata – Ammissibilità – Presupposti
(Art. 3, § 2, TUE; art. 67, § 2, TFUE; Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 45 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/681)
(v. punti 277-282, 285, 290, 291, disp. 7)
9. Diritto dell’Unione europea – Primato – Direttiva 2016/681 – Annullamento, da parte del giudice nazionale, di disposizioni nazionali incompatibili con tale direttiva – Possibilità di mantenere gli effetti di tali disposizioni – Assenza – Ricevibilità degli elementi di prova ottenuti in forza di tali disposizioni – Applicazione del diritto nazionale – Limiti – Rispetto dei principi di equivalenza e di effettività
(Art. 3, § 2, TUE; art. 67, § 2, TFUE; Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 45 e 52, § 1; direttiva del Parlamento europeo e del Consiglio 2016/681)
(v. punti 293-298, disp. 8)
Sintesi
I dati PNR (Passenger Name Record) sono informazioni di prenotazione archiviate dai vettori aerei nei loro sistemi di prenotazione e controllo delle partenze. La direttiva PNR (1) obbliga tali vettori a trasferire i dati di tutti i passeggeri che si imbarcano su un volo extra-UE, operato tra un paese terzo e l’Unione europea, all’unità d’informazione sui passeggeri (in prosieguo: l’«UIP») dello Stato membro di destinazione o di partenza del volo in questione, al fine di lottare contro il terrorismo e i reati gravi. Infatti, i dati PNR così trasferiti sono oggetto di una valutazione preliminare da parte dell’UIP (2) e sono poi conservati ai fini di un’eventuale valutazione successiva da parte delle autorità competenti dello Stato membro interessato o di quelle di un altro Stato membro. Gli Stati membri possono decidere di applicare la direttiva anche a voli intra-UE (3).
La Cour constitutionnelle (Corte costituzionale, Belgio) è stata investita dalla Ligue des droits humains di un ricorso di annullamento avverso la loi du 25 décembre 2016 (4) (legge del 25 dicembre 2016), che traspone nel diritto belga sia la direttiva PNR sia la direttiva API (5). Secondo la ricorrente, tale legge viola il diritto al rispetto della vita privata e alla protezione dei dati personali. Essa contesta, da un lato, l’ampiezza dei dati PNR e, dall’altro, il carattere generale della raccolta, del trasferimento e del trattamento di tali dati. La legge pregiudicherebbe anche la libera circolazione delle persone in quanto reintrodurrebbe indirettamente controlli alle frontiere, estendendo il sistema PNR ai voli intra-UE e a trasporti effettuati con altri mezzi all’interno dell’Unione.
In tale contesto, la Cour constitutionnelle belga ha sottoposto alla Corte dieci questioni pregiudiziali relative, segnatamente, alla validità e all’interpretazione della direttiva PNR, nonché all’applicabilità del RGPD (6).
Tali questioni portano la Corte a esaminare ancora una volta il trattamento dei dati PNR alla luce dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali (7), sanciti dalla Carta dei diritti fondamentali dell’Union europea (8). Con la sua sentenza, pronunciata in Grande Sezione, la Corte conferma la validità della direttiva PNR nei limiti in cui quest’ultima può essere interpretata conformemente alla Carta e fornisce precisazioni ai fini dell’interpretazione di talune sue disposizioni (9).
Giudizio della Corte
Dopo aver precisato quali siano, tra i trattamenti di dati personali previsti da una normativa nazionale diretta, come quella in questione, a trasporre al contempo la direttiva API e la direttiva PNR, quelli ai quali si applicano le norme generali del RGPD (10), la Corte verifica la validità della direttiva PNR.
Sulla validità della direttiva PNR
Nella sua sentenza, la Corte giudica che, dal momento che l’interpretazione fornita dalla Corte delle disposizioni della direttiva PNR alla luce dei diritti fondamentali garantiti dagli articoli 7, 8 e 21 nonché dall’articolo 52, paragrafo 1, della Carta (11) garantisce la conformità di tale direttiva con tali articoli, l’esame delle questioni poste non ha rivelato alcun elemento tale da inficiare la validità di detta direttiva.
In via preliminare, essa rammenta che un atto dell’Unione deve essere interpretato, per quanto possibile, in un modo che non pregiudichi la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta; gli Stati membri devono pertanto fare in modo di non basarsi su un’interpretazione della stessa che entri in conflitto con i diritti fondamentali tutelati dall’ordinamento giuridico dell’Unione o con gli altri principi generali riconosciuti in detto ordinamento giuridico. Per quanto riguarda la direttiva PNR, la Corte precisa che molti considerando e molte disposizioni di quest’ultima richiedono una siffatta interpretazione conforme, ponendo l’accento sull’importanza che il legislatore dell’Unione attribuisce, facendo riferimento a un livello elevato di protezione dei dati, al pieno rispetto dei diritti fondamentali sanciti dalla Carta.
La Corte constata che la direttiva PNR comporta ingerenze di una gravità certa nei diritti garantiti dagli articoli 7 e 8 della Carta nella misura in cui, in particolare, essa mira a istituire un sistema di sorveglianza continua, indiscriminata e sistematica, che include la valutazione automatizzata di dati personali di tutte le persone che utilizzano servizi di trasporto aereo. Essa rammenta che la possibilità per gli Stati membri di giustificare una siffatta ingerenza deve essere valutata misurandone la gravità e verificando che l’importanza dell’obiettivo di interesse generale perseguito sia adeguata a detta gravità.
La Corte conclude che il trasferimento, il trattamento e la conservazione dei dati PNR previsti da tale direttiva possono essere ritenuti limitati allo stresso necessario ai fini della lotta contro i reati di terrorismo e i reati gravi, purché le funzioni previste da detta direttiva siano oggetto di un’interpretazione restrittiva. A tal riguardo, la sentenza pronunciata in data odierna precisa, segnatamente, che:
– Il sistema istituito dalla direttiva PNR deve includere solo le informazioni chiaramente identificabili e circoscritte nelle rubriche contenute nell’allegato I a quest’ultima, le quali sono connesse al volo effettuato e al passeggero interessato, il che implica, per talune rubriche contenute in tale allegato, che sono comprese soltanto le informazioni espressamente contemplate (12).
– L’applicazione del sistema istituito dalla direttiva PNR deve essere limitata ai reati di terrorismo e ai soli reati gravi che presentano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri. Per quanto riguarda tali reati gravi, l’applicazione di detto sistema non può essere estesa a reati che, pur soddisfacendo il criterio previsto da tale direttiva relativo alla soglia di gravità e pur essendo segnatamente previsti dall’allegato II a quest’ultima, rientrano, tenuto conto delle peculiarità del sistema penale nazionale, nei reati comuni.
– L’eventuale estensione dell’applicazione della direttiva PNR a tutti o ad alcuni dei voli intra-UE, che uno Stato membro può decidere facendo uso della facoltà prevista da tale direttiva, deve essere limitata allo stretto necessario. A tal fine, essa deve poter essere oggetto di un controllo effettivo da parte di un tribunale o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante. A tal riguardo, la Corte precisa che:
– Nel solo caso in cui detto Stato membro accerti l’esistenza di circostanze sufficientemente concrete per ritenere che sia confrontato a una minaccia terroristica che si riveli reale e attuale o prevedibile, l’applicazione di tale direttiva a tutti i voli intra-UE provenienti da o diretti verso detto Stato membro, per una durata limitata allo stretto necessario, ma rinnovabile, non deve eccedere i limiti dello stretto necessario (13).
– In assenza di una siffatta minaccia terroristica, l’applicazione di detta direttiva non può estendersi a tutti i voli intra-UE, ma deve essere limitata ai voli intra-UE relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinati aeroporti per i quali esistano, secondo la valutazione dello Stato membro interessato, indicazioni che giustifichino tale applicazione. Il carattere strettamente necessario di tale applicazione ai voli intra-UE così selezionati deve essere periodicamente rivisto, in funzione dell’evoluzione delle condizioni che ne hanno giustificato la selezione.
– Ai fini della valutazione preliminare dei dati PNR, che ha lo scopo d’identificare i passeggeri da sottoporre a ulteriore verifica prima del loro arrivo o della loro partenza e che è, in una prima fase, effettuata mediante trattamenti automatizzati, l’UIP non può, da un lato, confrontare tali dati alle sole banche dati riguardanti persone o oggetti ricercati o segnalati (14). Tali banche dati devono essere non discriminatorie e utilizzate, dalle autorità competenti, in relazione alla lotta contro reati di terrorismo e reati gravi che abbiano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri. Per quanto riguarda, dall’altro lato, la valutazione preliminare sulla base dei criteri prestabiliti, l’UIP non può utilizzare tecnologie di intelligenza artificiale nell’ambito di sistemi di autoapprendimento (machine learning), che possono modificare, senza intervento e controllo umani, il processo di valutazione e, in particolare, i criteri di valutazione sui quali si fonda il risultato dell’applicazione di detto processo nonché la ponderazione di tali criteri. Detti criteri devono essere determinati in modo che la loro applicazione prenda di mira, specificamente, gli individui nei confronti dei quali potrebbe gravare un ragionevole sospetto di partecipazione a reati di terrorismo o a reati gravi e in modo da tener conto sia degli elementi «a carico» sia di quelli «a discarico», senza dar luogo a discriminazioni dirette o indirette (15).
– Tenuto conto del tasso di errore inerente a siffatti trattamenti automatizzati dei dati PNR e del numero piuttosto consistente di risultati «erroneamente positivi», che sono stati ottenuti a seguito della loro applicazione nel corso del 2018 e del 2019, l’idoneità del sistema istituito dalla direttiva PNR a raggiungere gli obiettivi perseguiti dipende essenzialmente dal buon funzionamento della verifica dei risultati positivi, ottenuti a titolo di tali trattamenti, che l’UIP effettua, in una seconda fase, con mezzi non automatizzati. A tal riguardo, gli Stati membri devono prevedere norme chiare e precise atte a orientare e inquadrare l’analisi effettuata dagli agenti dell’UIP incaricati di tale riesame individuale al fine di garantire il pieno rispetto dei diritti fondamentali sanciti dagli articoli 7, 8 e 21 della Carta e, segnatamente, di garantire una prassi amministrativa coerente all’interno dell’UIP che rispetti il divieto di discriminazioni. In particolare, essi devono assicurarsi che l’UIP stabilisca criteri di riesame oggettivi che consentano ai suoi funzionari di verificare, da un lato, se e in che misura un riscontro positivo (hit) riguardi effettivamente un individuo che possa trovarsi implicato nei reati di terrorismo o nei reati gravi nonché, dall’altro il carattere non discriminatorio dei trattamenti automatizzati. In tale conteso, la Corte sottolinea altresì che le autorità competenti devono assicurarsi che l’interessato sia in grado di comprendere il funzionamento dei criteri di valutazione prestabiliti e dei programmi che applicano tali criteri, in modo da poter decidere, con piena cognizione di causa, se esercitare o meno il suo diritto a un ricorso giurisdizionale. Parimenti, nell’ambito di un siffatto ricorso, il giudice incaricato del controllo sulla liceità della decisione adottata dalle autorità competenti nonché, al di fuori dei casi di minacce per la sicurezza dello Stato, l’interessato stesso devono poter conoscere tanto l’insieme dei motivi quanto gli elementi di prova sulla base dei quali è stata adottata tale decisione ivi compresi criteri di valutazione prestabiliti e il funzionamento dei programmi che applicano tali criteri.
– La comunicazione e la valutazione successive dei dati PNR, ossia dopo l’arrivo o la partenza dell’interessato, possono essere effettuate solo sulla base di nuove circostanze e di elementi oggettivi che o siano tali da fondare un sospetto ragionevole di implicazione di tale persona in reati gravi che hanno un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri, oppure permettano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo effettivo alla lotta contro reati di terrorismo che presentano un siffatto collegamento. La comunicazione dei dati PNR ai fini di una siffatta valutazione successiva deve, in linea di principio, salvo in casi di urgenza debitamente giustificata, essere subordinata a un controllo preventivo effettuato o da un giudice o da un’autorità amministrativa indipendente, su richiesta motivata delle autorità competenti, e ciò indipendentemente dalla questione se tale richiesta sia presentata prima o dopo la scadenza del termine di sei mesi successivo al trasferimento di tali dati all’UIP (16).
Sull’interpretazione della direttiva PNR
Dopo aver constatato la validità della direttiva PNR, la Corte fornisce precisazioni supplementari quanto all’interpretazione di tale direttiva. In primo luogo, essa rileva che la direttiva elenca tassativamente gli obiettivi perseguiti dal trattamento dei dati PNR. Pertanto, tale direttiva osta a una normativa nazionale che autorizza il trattamento dei dati PNR per finalità diverse dalla lotta contro i reati di terrorismo e i reati gravi. In tal senso, una normativa nazionale che, in aggiunta, come finalità del trattamento dei dati PNR, ammette il controllo delle attività contemplate dai servizi segreti e di sicurezza rischia di disattendere il carattere tassativo di tale elenco. Parimenti, il sistema istituito dalla direttiva PNR non può essere previsto ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale (17). Ne consegue altresì che i dati PNR non possono essere conservati in una banca dati unica che può essere consultata per perseguire tanto finalità della direttiva PNR quanto altre finalità.
In secondo luogo, la Corte chiarisce la nozione di autorità nazionale indipendente, competente a verificare se le condizioni per la comunicazione dei dati PNR, ai fini della loro valutazione successiva, siano soddisfatte e ad approvare una siffatta comunicazione. In particolare, l’autorità istituita come UIP non può essere qualificata come tale poiché essa non ha la qualità di terzo rispetto all’autorità che chiede l’accesso ai dati. Infatti, poiché i membri del suo personale possono essere agenti distaccati da parte delle autorità abilitate a chiedere un siffatto accesso, l’UIP risulta necessariamente legata a tali autorità. Pertanto, la direttiva PNR osta a una normativa nazionale ai sensi della quale l’autorità istituita come UIP ha anche la qualità di autorità nazionale competente abilitata ad approvare la comunicazione dei dati PNR alla scadenza dei sei mesi successivi al trasferimento di tali dati all’UIP.
In terzo luogo, per quanto riguarda il termine di conservazione dei dati PNR, la Corte giudica che l’articolo 12 della direttiva PNR, alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, osta a una normativa nazionale che prevede un periodo generale di conservazione di tali dati di cinque anni, applicabile indistintamente a tutti i passeggeri aerei.
Infatti, secondo la Corte, dopo la scadenza del periodo di conservazione iniziale di sei mesi, la conservazione dei dati PNR non sembra limitata allo stretto necessario per quanto riguarda i passeggeri aerei per i quali né la valutazione preliminare, né le eventuali verifiche effettuate durante il periodo di conservazione iniziale di sei mesi, né alcun’altra circostanza hanno rivelato l’esistenza di elementi obiettivi – quali il fatto che i dati PNR dei passeggeri interessati hanno dato luogo a un riscontro positivo verificato nell’ambito della valutazione preliminare – atto a stabilire un rischio in materia di reati di terrorismo o di reati gravi aventi un collegamento oggettivo, perlomeno indiretto, con il viaggio aereo effettuato da tali passeggeri. Essa ritiene, invece, che, durante il periodo iniziale di sei mesi, la conservazione dei dati PNR di tutti i passeggeri aerei assoggettati al sistema istituito da tale direttiva non sembra, in linea di principio, eccedere i limiti dello stretto necessario.
In quarto luogo, la Corte fornisce indicazioni concernenti un’eventuale applicazione della direttiva PNR, ai fini della lotta contro i reati di terrorismo e i reati gravi, ad altri mezzi di trasporto che conducono passeggeri nell’Unione. Orbene, la direttiva, alla luce dell’articolo 3, paragrafo 2, TUE, dell’articolo 67, paragrafo 2, TFUE e dell’articolo 45 della Carta, osta a un sistema di trasferimento e trattamento dei dati PNR di tutti i trasporti effettuati con altri mezzi all’interno dell’Unione in assenza di minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato. In una situazione del genere, come per i voli intra-UE, l’applicazione del sistema istituito dalla direttiva PNR deve essere limitata ai dati PNR dei trasporti relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinate stazioni o a determinati porti marittimi per i quali esistano indicazioni che giustifichino tale applicazione. Spetta allo Stato membro interessato selezionare i trasporti per i quali esistono siffatte indicazioni e riesaminare regolarmente tale applicazione, in base all’evoluzione delle condizioni che hanno giustificato la loro selezione.