CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:65

CONCLUSIONI DELL’AVVOCATO GENERALE

GIOVANNI PITRUZZELLA

presentate il 27 gennaio 2022 (1)

Causa C‑817/19

Ligue des droits humains

contro

Conseil des ministres

[domanda di pronuncia pregiudiziale proposta dalla Cour constitutionnelle (Corte costituzionale, Belgio)]

«Rinvio pregiudiziale – Protezione dei dati personali – Trattamento dei dati del codice di prenotazione (PNR) – Regolamento (UE) 2016/679 – Ambito di applicazione – Direttiva (UE) 2016/681 – Validità – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e articolo 52, paragrafo 1»

Indice

I. Introduzione

II. Contesto normativo

A. Diritto dell’Unione

1. La Carta

2. RGPD

3. Direttiva PNR

4. Altri atti rilevanti di diritto dell’Unione

B. Diritto belga

C. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte

III. Analisi

A. Sulla prima questione pregiudiziale

B. Sulle questioni pregiudiziali seconda, terza, quarta, sesta e ottava

1. Sui diritti fondamentali enunciati dagli articoli 7 e 8 della Carta

2. Sull’ingerenza nei diritti fondamentali enunciati dagli articoli 7 e 8 della Carta

3. Sulla giustificazione dell’ingerenza risultante dalla direttiva PNR

a) Sul rispetto del requisito secondo il quale eventuali limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta devono essere previste dalla legge

b) Sul rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta

c) Sul rispetto del requisito secondo il quale l’ingerenza deve rispondere ad un obiettivo di interesse generale

d) Sul rispetto del principio di proporzionalità

1) Sull’idoneità dei trattamenti dei dati PNR di cui alla direttiva PNR sotto il profilo dell’obiettivo perseguito

2) Sul carattere strettamente necessario dell’ingerenza

i) Sulla delimitazione delle finalità del trattamento dei dati PNR

ii) Sulle categorie di dati PNR contemplate dalla direttiva PNR (seconda e terza questione pregiudiziale)

– Sul carattere sufficientemente chiaro e preciso dei punti 12 e 18 dell’allegato I (terza questione pregiudiziale)

– Sulla portata dei dati elencati all’allegato I (seconda questione pregiudiziale)

– Sui dati sensibili

iii) Sulla nozione di «passeggero» (quarta questione pregiudiziale)

iv) Sul carattere sufficientemente chiaro, preciso e limitato allo stretto necessario della valutazione preliminare dei passeggeri (sesta questione pregiudiziale)

– Sul confronto con le banche dati ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR

– Sul trattamento dei dati PNR secondo criteri prestabiliti

– Sulle garanzie relative al trattamento automatizzato dei dati PNR

– Conclusione sulla sesta questione pregiudiziale

v) Sulla conservazione dei dati PNR (ottava questione pregiudiziale)

4. Conclusioni sulla seconda, terza, quarta, sesta e ottava questione pregiudiziale

C. Sulla quinta questione pregiudiziale

D. Sulla settima questione pregiudiziale

E. Sulla nona questione pregiudiziale

F. Sulla decima questione pregiudiziale

IV. Conclusione

I. Introduzione

1. Con la presente domanda di pronuncia pregiudiziale, la Cour constitutionnelle (Corte costituzionale, Belgio) sottopone alla Corte una serie di dieci questioni pregiudiziali vertenti sull’interpretazione del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (in prosieguo: il «RGPD») (2), nonché sulla validità e sull’interpretazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (in prosieguo: la «direttiva PNR») (3) e della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (in prosieguo: la «direttiva API») (4). Tali questioni sono state sollevate nell’ambito di un ricorso proposto dall’associazione senza scopo di lucro Ligue des droits humains (LDH), diretto all’annullamento totale o parziale della loi du 25 décembre 2016 relative au traitement des données des passagers (legge del 25 dicembre 2016, che disciplina il trattamento dei dati dei passeggeri; in prosieguo: la «legge PNR») (5), la quale traspone in diritto belga la direttiva PNR, nonché la direttiva API.

2. Le questioni che la Corte dovrà risolvere nella presente causa si iscrivono nell’ambito di uno dei principali dilemmi del costituzionalismo liberale democratico contemporaneo: come debba essere definito l’equilibrio fra l’individuo e la collettività nell’era dei dati, quando le tecnologie digitali hanno consentito la raccolta, la conservazione, il trattamento e l’analisi di enormi masse di dati personali a fini predittivi. Gli algoritmi, l’analisi dei big data e l’intelligenza artificiale utilizzati dalle autorità pubbliche possono servire a promuovere e a proteggere gli interessi fondamentali della società, con un’efficacia in precedenza inimmaginabile: dalla protezione della sanità pubblica alla sostenibilità ambientale, dalla lotta contro il terrorismo alla prevenzione dei reati, in particolare dei reati gravi. Allo stesso tempo, la raccolta indiscriminata di dati personali e l’utilizzazione delle tecnologie digitali da parte dei poteri pubblici possono dare luogo ad un panottico digitale, vale a dire ad un potere pubblico che vede senza essere visto. Un potere onnisciente che può controllare e prevedere i comportamenti di ognuno e prendere le misure necessarie, fino al risultato paradossale, immaginato da Steven Spielberg nel film Minority Report, di togliere la libertà in via preventiva all’autore di un reato che non è ancora stato commesso. Come è noto, in taluni paesi la società prevale sull’individuo e l’utilizzazione dei dati personali consente legittimamente di realizzare una sorveglianza di massa efficace volta a proteggere interessi pubblici considerati fondamentali. Viceversa, il costituzionalismo europeo – nazionale e sovranazionale – il quale assegna un posto centrale all’individuo e alle sue libertà, mette una barriera importante all’avvento di una società della sorveglianza di massa, soprattutto dopo il riconoscimento dei diritti fondamentali alla protezione della vita privata e alla protezione dei dati personali. Si pone tuttavia la questione della misura in cui tale barriera possa essere eretta senza arrecare un grave pregiudizio a taluni interessi fondamentali della società – come quelli citati in precedenza a titolo esemplificativo – i quali possono tuttavia avere legami costituzionali. Ci si trova al cuore della questione del rapporto fra individuo e collettività nella società digitale. Una questione che esige, da un lato, la ricerca e l’attuazione di equilibri delicati fra gli interessi della collettività e i diritti degli individui, prendendo le mosse dall’importanza assoluta che questi ultimi hanno nel patrimonio costituzionale europeo, e, dall’altro, la predisposizione di garanzie contro gli abusi. Anche qui, ci si trova nell’ambito della versione contemporanea di un tema classico del costituzionalismo poiché, come affermava in maniera lapidaria Le Fédéraliste, gli uomini non sono angeli ed è per questo che sono necessari meccanismi giuridici per limitare e controllare i pubblici poteri.

3. Tali sono le questioni di ordine generale che si iscrivono nel contesto delle presenti conclusioni, le quali non potranno che limitarsi ad interpretare il diritto dell’Unione, alla luce della giurisprudenza anteriore della Corte, impiegando tecniche ben consolidate, fra le quali figura quella dell’interpretazione conforme. Una tecnica alla quale si farà ricorso sovente, qualora ciò risulti giuridicamente possibile, nelle presenti conclusioni, al fine di trovare l’equilibrio necessario, sotto il profilo costituzionale, fra le finalità pubbliche sottese al sistema di trasferimento, raccolta e trattamento dei dati del codice di prenotazione (in prosieguo: i «dati PNR») e i diritti sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).

II. Contesto normativo

A. Diritto dell’Unione

1. La Carta

4. Ai sensi dell’articolo 7 della Carta, «[o]gni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni».

5. L’articolo 8 della Carta così recita:

«1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

6. In conformità all’articolo 52, paragrafo 1, della Carta, «[e]ventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».

2. RGPD

7. L’articolo 2, paragrafo 2, lettera d), del RGPD esclude dall’ambito di applicazione di tale regolamento il trattamento di dati personali effettuato «dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».

8. L’articolo 23, paragrafo 1, lettera d), del RGPD così recita:

«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

(…)

d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica».

3. Direttiva PNR

9. Mi limiterò a fornire una breve descrizione del funzionamento del sistema instaurato dalla direttiva PNR. Ulteriori dettagli sul contenuto delle disposizioni della direttiva PNR rilevante ai fini della risposta da dare alle questioni pregiudiziali verranno forniti nel corso dell’analisi giuridica.

10. In conformità al suo articolo 1, la direttiva PNR, adottata sulla base dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE, organizza, a livello dell’Unione europea, un sistema di trasferimento, a cura dei vettori aerei, dei dati PNR dei voli extra-UE (6), nonché le operazioni di raccolta, trattamento e conservazione di tali dati da parte delle autorità competenti degli Stati membri a fini di lotta contro il terrorismo e la criminalità grave.

11. Ai sensi dell’articolo 3, punto 5), di tale direttiva, il «codice di prenotazione» o «PNR» consiste nelle «informazioni relative al viaggio di ciascun passeggero comprendenti i dati necessari per il trattamento e il controllo delle prenotazioni a cura dei vettori aerei e di prenotazione interessati per ogni volo prenotato da qualunque persona o per suo conto, siano esse registrate in sistemi di prenotazione, in sistemi di controllo delle partenze utilizzat[i] per la registrazione dei passeggeri sui voli, o in altri sistemi equivalenti con le stesse funzionalità».

12. L’allegato I alla direttiva PNR (in prosieguo: l’«allegato I») elenca i dati del codice di prenotazione raccolti dai vettori aerei, i quali sono oggetto di trasferimento ai sensi e secondo le modalità previste all’articolo 8 di tale direttiva.

13. L’allegato II della direttiva PNR (in prosieguo: l’«allegato II») contiene l’elenco delle violazioni che costituiscono «reati gravi» ai sensi dell’articolo 3, punto 9, di tale direttiva.

14. L’articolo 2 della direttiva PNR prevede la facoltà, per gli Stati membri, di decidere di applicare tale direttiva anche ai «voli intra-UE» (7) o a taluni di essi, reputati «necessari» per perseguire gli obiettivi di detta direttiva.

15. Ai sensi dell’articolo 4, paragrafo 1, della direttiva PNR, «[c]iascuno Stato membro stabilisce o designa un’autorità competente in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, o una sua sezione, che agisca in qualità di “unità d’informazione sui passeggeri” (UIP)». In conformità al paragrafo 2, lettera a), di tale articolo 4, l’UIP è segnatamente incaricata di raccogliere i dati PNR presso i vettori aerei, conservare, trattare e trasferire tali dati o i risultati del loro trattamento alle autorità competenti di cui all’articolo 7 della direttiva PNR. Ai sensi del paragrafo 2 di tale articolo 7, siffatte autorità sono «le autorità responsabili della prevenzione, dell’accertamento, dell’indagine o del perseguimento dei reati di terrorismo o dei reati gravi» (8).

16. Ai sensi dell’articolo 6, paragrafo 1, seconda frase, della direttiva PNR: «Qualora nei dati PNR trasferiti dai vettori aerei siano compresi dati diversi da quelli elencati nell’allegato I, l’UIP li cancella in via definitiva non appena li riceve». Il paragrafo 2 di tale articolo così recita:

«L’UIP provvede al trattamento dei dati PNR unicamente per le seguenti finalità:

a) valutare i passeggeri prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro per identificare quelli da sottoporre a ulteriore verifica da parte delle autorità competenti di cui all’articolo 7 e, se del caso, da parte di Europol, a norma dell’articolo 10, in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi;

b) rispondere, caso per caso, a una richiesta debitamente motivata e basata su motivi sufficienti da parte delle autorità competenti di trasmettere e trattare dati PNR in casi specifici a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e di comunicare i risultati di tale trattamento alle stesse autorità competenti o, se del caso, a Europol; e

c) analizzare i dati PNR per aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), al fine di identificare le persone che potrebbero essere implicate in reati di terrorismo o in reati gravi».

17. L’articolo 12 della direttiva PNR contiene le disposizioni relative alla conservazione dei dati PNR.

18. L’articolo 5 della direttiva PNR prevede che ciascuna UIP nomini un responsabile della protezione dei dati incaricato di sorvegliare il trattamento dei dati PNR e di attuare le pertinenti garanzie. Inoltre ogni Stato membro è tenuto, in conformità all’articolo 15 di tale direttiva, ad incaricare l’autorità nazionale di controllo di cui all’articolo 25 della decisione quadro 2008/977/GAI (9), sostituita dalla direttiva (UE) 2016/680, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (in prosieguo: la «direttiva polizia») (10), di esercitare la sorveglianza, nel suo territorio, riguardo all’applicazione delle disposizioni adottate conformemente a detta direttiva. Tale autorità, la quale svolge i suoi compiti così da tutelare i diritti fondamentali in relazione al trattamento dei dati personali (11), è segnatamente incaricata, da un lato, di trattare i reclami presentati dagli interessati, svolgere le relative indagini e informare gli interessati, entro un termine ragionevole, dello stato e dell’esito del reclamo e, dall’altro, di verificare la liceità del trattamento dei dati, svolgere indagini, ispezioni e audit conformemente al diritto nazionale, di propria iniziativa o a seguito di un reclamo (12).

4. Altri atti rilevanti di diritto dell’Unione

19. Il contesto normativo della presente causa è completato dalla direttiva API e dalla direttiva polizia. Per motivi di leggibilità delle presenti conclusioni, il contenuto delle disposizioni rilevanti di tali atti verrà illustrato nella misura in cui ciò risulti necessario per il trattamento delle questioni che le riguardano o, più in generale, per le esigenze dell’analisi giuridica.

B. Diritto belga

20. In conformità all’articolo 22 della Costituzione belga: «Ogni persona ha diritto al rispetto della sua vita privata e familiare, eccetto che nei casi e alle condizioni fissati dalla legge».

21. Ai sensi del suo articolo 2, la legge PNR traspone la direttiva API e la direttiva PNR nonché, parzialmente, la direttiva 2010/65/UE (13).

22. In conformità al suo articolo 3, § 1, la legge PNR «stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri diretti verso, provenienti dal o in transito sul territorio nazionale». Ai sensi dell’articolo 4, punti 1 e 2, di tale legge, si intende per «vettore» «ogni persona fisica o giuridica che trasporta persone a titolo professionale per via aerea, marittima, ferroviaria o terrestre» e per «operatore di viaggio» «ogni organizzatore o intermediario di viaggio ai sensi della legge del 16 febbraio 1994, che disciplina il contratto di organizzazione di viaggi e il contratto di intermediario di viaggi».

23. L’articolo 8 della legge PNR dispone quanto segue:

«§ l. I dati dei passeggeri sono trattati ai fini:

1° della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste all’articolo 90 ter, § 2, (...) 7°, (...) 8°, (...) 11°, (...) 14°, (...) 17°, 18°, 19° e § 3, du Code d’instruction criminelle (codice di procedura penale);

2° della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste agli articoli 196, per quanto riguarda i reati di falso in atti autentici e pubblici, 198, 199, 199 bis, 207, 213, 375 e 505 del Code pénal (Codice penale);

3° della prevenzione di gravi turbative dell’ordine pubblico nel quadro della radicalizzazione violenta mediante il controllo dei fenomeni e dei raggruppamenti ai sensi dell’articolo 44/5, §§ 1°, 2° e 3°, e § 2, della loi du 5 août 1992 sur la fonction de police (legge del 5 agosto 1992, in materia di funzioni di polizia);

4° del controllo delle attività di cui agli articoli 7, 1° e 3°/l, e 11, § 1, da 1° a 3° e 5°, della loi du 30 novembre 1998 organique des services de renseignement et de sécurité (legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza) (14);

5° della conduzione delle indagini e del perseguimento dei reati previsti all’articolo 220, § 2, della loi générale sur les douanes et accises du 18 juillet 1997 (legge quadro del 18 luglio 1977, in materia doganale e di accise) e all’articolo 45, terzo comma, de la loi du 22 décembre 2009 relative au régime général d’accise (legge del 22 dicembre 2009, recante il regime generale delle accise) (...).

§ 2. Nel rispetto delle condizioni previste al capo 11, i dati dei passeggeri sono inoltre trattati ai fini del rafforzamento dei controlli sulle persone alle frontiere esterne e del contrasto all’immigrazione irregolare».

24. L’articolo 9 della legge PNR contiene l’elenco dei dati che sono oggetto di trasferimento. Tali dati corrispondono a quelli elencati all’allegato I.

25. In conformità all’articolo 18 della legge PNR, «i dati dei passeggeri sono conservati nella banca dati dei passeggeri per un periodo massimo di cinque anni a decorrere dalla loro registrazione. Decorso detto termine, essi sono distrutti».

26. L’articolo 19 di tale legge prevede che, «[a]lla scadenza di un periodo di sei mesi, a decorrere dalla registrazione dei dati dei passeggeri nella banca dati dei passeggeri, tutti i dati dei passeggeri vengono resi anonimi mediante mascheratura degli elementi di informazione».

27. L’articolo 24 della legge PNR prevede quanto segue:

«§ 1. I dati dei passeggeri sono trattati ai fini dell’effettuazione di una valutazione preliminare dei passeggeri prima del loro arrivo, della loro partenza o del transito previsto sul territorio nazionale al fine di stabilire quali persone debbano essere sottoposte a un controllo più approfondito.

§ 2. Nell’ambito delle finalità di cui all’articolo 8, § 1, 1°, 4° e 5°, o relative alle minacce menzionate agli articoli 8, 1°, lettere a), b), c), d), f), g) e 11, § 2, della legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con:

1° le banche dati gestite dai servizi competenti o che sono direttamente a disposizione degli stessi o loro accessibili nell’ambito delle loro funzioni o con elenchi di persone elaborati dai servizi competenti nell’ambito delle loro funzioni.

2° i criteri di valutazione prestabiliti dall’UIP, di cui all’articolo 25.

§ 3. Nell’ambito delle finalità di cui all’articolo 8, § 1, 3°, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con le banche dati di cui al § 2, 1° (…)».

28. L’articolo 25 della legge PNR riprende il contenuto dell’articolo 6, paragrafo 4, della direttiva PNR.

29. Il capo 11 della legge PNR contiene le disposizioni che disciplinano il trattamento dei dati dei passeggeri ai fini del rafforzamento dei controlli alle frontiere e del contrasto dell’immigrazione irregolare. Tali disposizioni costituiscono la trasposizione in diritto belga della direttiva API.

30. L’articolo 44 della legge PNR prevede che l’UIP designi un responsabile della protezione dei dati all’interno del servizio pubblico federale interno. La sorveglianza sull’applicazione delle disposizioni della legge PNR viene esercitata dalla Commissione per la tutela della vita privata.

31. L’articolo 51 della legge PNR modifica la legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza, inserendo un articolo 16/3 redatto nei seguenti termini:

«§ 1° I servizi segreti e di sicurezza possono, nell’interesse dell’esercizio dei loro compiti, a fronte di decisione debitamente motivata, accedere ai dati dei passeggeri di cui all’articolo 7 della legge [PNR].

§ 2. La decisione di cui al § 1 viene presa dal direttore del servizio e comunicata per iscritto all’Unità d’informazione sui passeggeri di cui al capo 7 della summenzionata legge. La decisione viene notificata al Comitato permanente R congiuntamente alla motivazione della stessa.

Il Comitato permanente R vieta ai servizi segreti e di sicurezza di utilizzare i dati raccolti in condizioni che non rispettino le condizioni fissate dalla legge.

La decisione può riguardare un insieme di dati relativi ad una specifica operazione dei servizi segreti. In tal caso, l’elenco delle consultazioni dei dati dei passeggeri viene comunicato una volta al mese al Comitato permanente R».

C. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte

32. Con atto introduttivo presentato alla Cour constitutionnelle (Corte costituzionale) il 24 luglio 2017, la LDH ha proposto un ricorso diretto all’annullamento totale o parziale della legge PNR. A sostegno del suo ricorso, essa ha dedotto due motivi.

33. Con il suo primo motivo, dedotto in via principale e relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 23 del RGPD, con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, nonché con l’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), la LDH ritiene che la legge impugnata non rispetti il principio di proporzionalità con riferimento al suo ambito di applicazione e alle categorie di dati interessate, al trattamento dei dati da essa instaurato, alle sue finalità e alla durata di conservazione dei dati. In particolare, essa sostiene che la definizione dei dati PNR sarebbe eccessivamente ampia e idonea a dar luogo alla rivelazione di dati delicati, e che la definizione della nozione di «passeggero» contenuta in tale legge consentirebbe un trattamento sistematico indiscriminato dei dati di tutti i passeggeri interessati. Inoltre, la LDH ritiene che la legge PNR non definisca in maniera sufficientemente chiara la natura e le modalità del metodo di pre-screening delle banche dati passeggeri, nonché i criteri da applicare quali «indicatori della presenza di una minaccia». Infine, essa ritiene che la legge PNR ecceda i limiti dello stretto necessario, nel senso che essa perseguirebbe finalità di trattamento dei dati PNR più ampie di quelle ammesse dalla direttiva PNR e che il termine di cinque anni per la conservazione dei dati PNR sia sproporzionato. Con il suo secondo motivo, dedotto in subordine e relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, la LDH impugna le disposizioni del capo 11 della legge PNR che traspongono la direttiva API.

34. Il Conseil des ministres (Consiglio dei ministri) del Regno del Belgio, in qualità di parte interveniente dinanzi alla Cour constitutionnelle (Corte costituzionale), si oppone al ricorso della LDH, contestando sia la ricevibilità sia la fondatezza dei due motivi dedotti a suo sostegno.

35. La Cour constitutionnelle (Corte costituzionale) svolge, da parte sua, le seguenti considerazioni.

36. Per quanto riguarda il primo motivo essa si chiede, anzitutto, se la definizione dei dati PNR, figurante all’allegato I, sia sufficientemente chiara e precisa. La descrizione di taluni dati del genere rivestirebbe un carattere esemplificativo e non tassativo. Detto giudice rileva poi che la definizione della nozione di «passeggero» contenuta all’articolo 3, punto 4, della direttiva PNR comporta la raccolta, il trasferimento, il trattamento e la conservazione dei dati PNR di chiunque sia trasportato o debba essere trasportato e sia iscritto nell’elenco dei passeggeri, indipendentemente dall’esistenza di fondati motivi di ritenere che l’interessato abbia commesso o stia per commettere un reato, o sia stato condannato per un reato. Per quanto riguarda il trattamento dei dati PNR, essa osserva che questi ultimi sono sistematicamente oggetto di una valutazione preliminare che implica il controllo incrociato dei dati PNR di tutti i passeggeri con banche dati o criteri prestabiliti, al fine di accertare riscontri. Cionondimeno, la Cour constitutionnelle (Corte costituzionale) precisa che, pur se i criteri devono essere specifici, attendibili e non discriminatori, le sembra tecnicamente impossibile definire in anticipo i criteri prestabiliti che servano alla determinazione di profili a rischio. Per quanto attiene al termine di conservazione dei dati PNR previsto all’articolo 12, paragrafo 1, della direttiva PNR, ai sensi del quale detti dati possono essere conservati per un periodo di cinque anni, il giudice del rinvio ritiene che i dati PNR verrebbero conservati senza tenere conto della questione se, nell’ambito della valutazione preliminare, i passeggeri interessati possano o meno presentare un rischio per la sicurezza pubblica. In tali circostanze, il giudice del rinvio si chiede se, alla luce della giurisprudenza scaturita, segnatamente, dalla sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (15), e del parere 1/15 (Accordo PNR Canada-UE), del 26 luglio 2017 (16), si possa ritenere che il sistema di raccolta, trasferimento, trattamento e conservazione dei dati PNR istituito dalla direttiva PNR non ecceda i limiti dello stretto necessario. In tale contesto, detto giudice si pone parimenti la questione se la direttiva PNR osti ad una normativa nazionale, come quella risultante dall’articolo 8, paragrafo 1, punto 4), della legge PNR, che autorizza il trattamento dei dati PNR per una finalità diversa da quelle previste da tale direttiva. Infine, esso si chiede se l’UIP possa essere considerata un’«altra autorità nazionale» che, ai sensi dell’articolo 12, paragrafo 3, lettera b), ii), della direttiva PNR, può autorizzare la comunicazione dei dati PNR integrali dopo un periodo di sei mesi. Quanto al secondo motivo, il giudice del rinvio rileva che quest’ultimo è diretto avverso l’articolo 3, paragrafo 1, l’articolo 8, paragrafo 2, nonché gli articoli da 28 a 31 della legge PNR, i quali disciplinano la raccolta e il trattamento dei dati dei passeggeri ai fini della lotta contro l’immigrazione irregolare e del rafforzamento dei controlli alle frontiere. Ricordando che, ai sensi della prima di queste disposizioni, detta legge disciplina i voli diretti verso, provenienti dal o in transito sul territorio nazionale, tale giudice precisa che il legislatore nazionale aveva incluso i voli «intra-UE» nell’ambito di applicazione di detta legge al fine di ottenere «un quadro più completo degli spostamenti dei passeggeri che rappresentano una potenziale minaccia per la sicurezza [all’interno dell’Unione] e nazionale», fondandosi sulla facoltà prevista all’articolo 2 della direttiva PNR, in combinato disposto con il considerando 10 della stessa.

37. È in tale contesto che la Cour constitutionnelle (Corte costituzionale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 23 del [RGPD], in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di detto regolamento, debba essere interpretato nel senso che esso si applica a una normativa nazionale come la legge [PNR], che recepisce la direttiva [PNR], la direttiva [API] e la direttiva 2010/65.

2) Se l’allegato I (...) sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui i dati ivi enumerati sono molto ampi – in particolare, i dati di cui al punto 18 [di tale allegato I], che eccedono i dati di cui all’articolo 3, paragrafo 2, della direttiva [API] – e nella misura in cui, considerati complessivamente, detti dati potrebbero rivelare dati delicati e violare così i limiti dello “stretto necessario”.

3) Se i punti 12 e 18 dell’allegato I (...) siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui, tenuto conto dei termini “comprese” e “tra cui”, i dati ivi indicati sono menzionati a titolo esemplificativo e non tassativo, con conseguente violazione eventuale del requisito di precisione e chiarezza delle disposizioni che comportano un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati personali.

4) Se l’articolo 3, punto 4, della direttiva [PNR] e l’allegato I (…) siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui il sistema di raccolta, trasferimento e trattamento generalizzato dei dati dei passeggeri introdotto da dette disposizioni riguarda tutte le persone che si servono di un determinato mezzo di trasporto, a prescindere da ogni elemento obiettivo che consenta di ritenere che detta persona possa presentare un rischio per la sicurezza pubblica.

5) Se l’articolo 6 della direttiva [PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale, come la legge impugnata, che ammette, quale finalità del trattamento dei dati PNR, il controllo delle attività oggetto dei servizi segreti e di sicurezza, includendo così detta finalità nella prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.

6) Se l’articolo 6 della direttiva [PNR] sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui la valutazione preliminare da esso introdotta, mediante correlazione con banche dati e criteri prestabiliti, si applica in maniera sistematica e generalizzata ai dati dei passeggeri, a prescindere da qualsiasi elemento obiettivo che consenta di ritenere che essi possano presentare un rischio per la sicurezza pubblica.

7) Se la nozione di “altra autorità nazionale competente” di cui all’articolo 12, paragrafo 3, della direttiva [PNR] possa essere interpretata come indicante l’UIP istituita dalla legge [PNR], che potrebbe quindi autorizzare, nel quadro di ricerche specifiche, l’accesso ai dati PNR, decorso un termine di sei mesi.

8) Se l’articolo 12 della direttiva [PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale come la legge impugnata che prevede un termine generale di conservazione dei dati di cinque anni, senza differenziare a seconda che i passeggeri interessati si rivelino, nel quadro della valutazione preliminare, idonei o meno a presentare una minaccia per la sicurezza pubblica.

9) a) Se la direttiva [API] sia compatibile con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], nella misura in cui gli obblighi ivi previsti si applicano ai voli interni all’[Unione].

b) Se la direttiva [API], in combinato disposto con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], debba essere interpretata nel senso che essa osta a una disciplina nazionale come quella della legge impugnata che, ai fini del contrasto all’immigrazione irregolare e del rafforzamento dei controlli alle frontiere, autorizza un sistema di raccolta e trattamento dei dati dei passeggeri “diretti verso, provenienti dal o in transito sul territorio nazionale”, il che potrebbe comportare indirettamente una reintroduzione dei controlli alle frontiere interne.

10) Qualora, sulla base delle risposte fornite alle questioni pregiudiziali che precedono, la Cour constitutionnelle (Corte costituzionale) dovesse giungere alla conclusione che la legge impugnata, che recepisce in particolare la direttiva [PNR], viola uno o più degli obblighi derivanti dalle disposizioni citate in tali questioni, se detto giudice possa mantenere provvisoriamente gli effetti della legge [PNR] per evitare una situazione di incertezza del diritto e consentire che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per le finalità previste [da tale] legge».

38. Hanno presentato osservazioni scritte, ai sensi dell’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea, la LDH, i governi belga, ceco, danese, tedesco, estone, irlandese, spagnolo, francese, cipriota, lettone, dei Paesi Bassi, austriaco, polacco, finlandese, nonché il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea. In conformità all’articolo 24 dello Statuto della Corte di giustizia dell’Unione europea, la Commissione, il Garante europeo della protezione dei dati (GEPD) e l’Agenzia dell’Unione europea per i diritti fondamentali (FRA) sono stati invitati a rispondere per iscritto a taluni quesiti posti dalla Corte. Il 13 luglio 2021 si è svolta un’udienza di discussione.

III. Analisi

A. Sulla prima questione pregiudiziale

39. Con la sua prima questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se l’articolo 2, paragrafo 2, lettera d), del RGPD debba essere interpretato nel senso che tale regolamento, e segnatamente il suo articolo 23, paragrafo 1, ai sensi del quale il diritto dell’Unione o i diritti degli Stati membri possono limitare, mediante misure legislative, per ragioni elencate in maniera tassativa, la portata degli obblighi e dei diritti previsti da detto regolamento, si applica al trattamento di dati effettuato sul fondamento di una normativa nazionale, come la legge PNR, che traspone in diritto interno la direttiva PNR nonché la direttiva API e la direttiva 2010/65.

40. L’articolo 2, paragrafo 2, del RGPD prevede talune eccezioni all’ambito di applicazione di tale regolamento quale definito, in maniera molto ampia (17), al suo articolo 2, paragrafo 1 (18). In quanto deroghe all’applicazione di una normativa che disciplina il trattamento di dati personali idoneo ad arrecare pregiudizio alle libertà fondamentali, tali eccezioni devono essere interpretate restrittivamente (19).

41. L’articolo 2, paragrafo 2, lettera d), del RGPD contiene, segnatamente, una clausola di esclusione ai sensi della quale tale regolamento non si applica al trattamento di dati personali effettuato «dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse». Tale clausola di esclusione si fonda su un duplice criterio soggettivo ed oggettivo. È escluso, in tal senso, dall’ambito di applicazione di detto regolamento il trattamento di dati effettuato, in primo luogo, dalle «autorità competenti», e, in secondo luogo, ai fini elencati in tale disposizione. Occorre analizzare, pertanto, i diversi tipi di trattamento di dati coperti dalla legge PNR alla luce di questo duplice criterio.

42. Per quanto riguarda, in primo luogo, il trattamento di dati effettuato dai vettori (aerei, ferroviari, terrestri e marittimi) all’UIP o dagli operatori di viaggio a fini di prestazione di servizi o commerciali, nei limiti previsti da detta legge, essi restano disciplinati dal RGPD, dal momento che non ricorrono né la componente soggettiva né la componente oggettiva del criterio di esclusione contenuto all’articolo 2, paragrafo 2, lettera d), di tale regolamento.

43. Per quanto riguarda, in secondo luogo, il trasferimento dei dati PNR all’UIP da parte dei vettori o degli operatori di viaggio, il quale costituisce, di per sé, un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD (20), la sua inclusione nell’ambito di applicazione di tale regolamento è meno evidente.

44. Infatti, da un lato, tale trasferimento non viene effettuato da un’«autorità competente» ai sensi dell’articolo 3, punto 7), della direttiva polizia, al quale occorre fare riferimento per analogia, in assenza di una definizione di tale nozione da parte del RGPD (21). Un operatore economico, come una compagnia di trasporto o un’agenzia di viaggi, al quale incombe unicamente un obbligo legale di trasferimento di dati personali e al quale non è stata conferita alcuna prerogativa tipica dei pubblici poteri (22), non può essere considerato un organismo o un ente ai sensi di detto articolo 3, punto 7, lettera b) (23).

45. Dall’altro, il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio viene effettuato per eseguire un obbligo imposto dalla legge al fine di consentire il perseguimento dei fini elencati dall’articolo 2, paragrafo 2, lettera d), del RGPD.

46. Orbene, a mio avviso, dal dettato di tale disposizione emerge chiaramente che solo i trattamenti che soddisfano, al contempo, la componente soggettiva e la componente oggettiva del criterio di esclusione da essa enunciato si collocano al di fuori dell’ambito di applicazione del RGPD. Il trasferimento dei dati PNR all’UIP imposto dalla legge PNR alle compagnie di trasporto e agli operatori di viaggio rientra pertanto nell’ambito di applicazione di tale regolamento.

47. Per quanto riguarda le disposizioni della legge PNR che traspongono la direttiva PNR, tale conclusione è corroborata dall’articolo 21, paragrafo 2, di tale direttiva, il quale prevede che quest’ultima «fa salva l’applicabilità della direttiva 95/46/CE (24) al trattamento dei dati personali da parte dei vettori aerei». La lettura di tale disposizione suggerita, segnatamente, dal governo francese, secondo la quale quest’ultima si limiterebbe a prevedere che i vettori restino soggetti agli obblighi fissati dal RGPD per i trattamenti di dati che non sono previsti dalla direttiva PNR, deve, a mio avviso, essere respinta. Infatti, alla luce del suo testo, la portata di tale «clausola di non pregiudizio» è ampia e viene definita unicamente facendo riferimento all’autore del trattamento, mentre non vengono menzionati affatto né la finalità del trattamento né il contesto nel quale quest’ultimo interviene, se esso venga effettuato nell’esercizio dell’attività commerciale del vettore aereo o in esecuzione di un obbligo di legge. Osservo, inoltre, che una clausola dello stesso tenore è contenuta all’articolo 13, paragrafo 3, della direttiva PNR, il quale fa riferimento in particolare agli obblighi incombenti ai vettori aerei in forza del RGPD «relativi all’adozione di adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza dei dati personali». Orbene, tale disposizione figura fra quelle che organizzano la protezione dei dati personali trattati a titolo della direttiva PNR e segue l’articolo 13, paragrafo 1, di tale direttiva il quale, in via generale, assoggetta tutti i trattamenti di dati effettuati in applicazione della stessa alle disposizioni della decisione quadro 2008/977 ivi menzionate. Contrariamente a quanto sostenuto dal governo francese, una siffatta struttura normativa consente, da un lato, di leggere il paragrafo 3 di detto articolo 13 come una clausola che riconduce sotto l’egida del RGPD il solo trattamento di dati previsto dalla direttiva PNR che non è effettuato da «autorità competenti» ai sensi della direttiva polizia e, dall’altro, di intendere il riferimento al rispetto degli obblighi imposti da detto regolamento in materia di sicurezza e riservatezza dei dati come un richiamo alle garanzie che devono obbligatoriamente proteggere il trasferimento dei dati PNR da parte dei vettori alle UIP.

48. La conclusione enunciata al paragrafo 46 delle presenti conclusioni non viene rimessa in discussione dal considerando 19 del RGPD né dal considerando 11 della direttiva polizia, ai quali fanno riferimento, tra l’altro, i governi tedesco, irlandese e francese per sostenere la natura di lex specialis della direttiva PNR. A tal riguardo, vero è che tale direttiva instaura, per il trattamento di dati personali da essa previsto, un contesto di protezione di tali dati autonomo rispetto al RGPD. Tuttavia, detto contesto specifico si applica unicamente al trattamento dei dati PNR effettuato dalle «autorità competenti» ai sensi dell’articolo 3, punto 7, della direttiva polizia, fra le quali figurano segnatamente le UIP, mentre il trasferimento dei dati PNR alle UIP resta soggetto al quadro generale istituito dal RGPD in applicazione, tra l’altro, della «clausola di non pregiudizio» prevista all’articolo 21, paragrafo 2, della direttiva PNR.

49. A sostegno della loro tesi, secondo la quale il RGPD non si applicherebbe al trasferimento dei dati PNR alle UIP da parte dei vettori e degli operatori di viaggio, i governi belga, irlandese, francese e cipriota rinviano alla sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (25), nella quale la Corte ha dichiarato che il trasferimento dei dati PNR da parte dei vettori aerei comunitari alle autorità degli Stati Uniti d’America, nell’ambito di un accordo negoziato fra questi ultimi e la Comunità europea, costituiva un trattamento di dati personali ai sensi dell’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 (26) e non rientrava pertanto nell’ambito di applicazione di tale direttiva. Per giungere a tale conclusione, la Corte ha tenuto conto della finalità del trasferimento, nonché del fatto che quest’ultimo «rientra[va] in un ambito istituito dai poteri pubblici», benché i dati fossero raccolti e trasferiti da operatori privati (27).

50. A tal riguardo, è sufficiente rilevare che, nella sentenza del 6 ottobre 2020, La Quadrature du Net e a. (28), la Corte ha giudicato, in sostanza, che la sentenza Parlamento/Consiglio non era trasponibile nel contesto del RGPD (29).

51. Peraltro, al punto 102 della sentenza La Quadrature du Net (30), procedendo ad un’applicazione analogica del ragionamento seguito nelle sentenze Tele2 Sverige e del 2 ottobre 2018, Ministerio Fiscal (31), la Corte ha affermato che, «sebbene [il RGPD] precisi, all’articolo 2, paragrafo 2, lettera d), che esso non si applica ai trattamenti effettuati “dalle autorità competenti” a fini, in particolare, di prevenzione ed accertamento dei reati, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, dall’articolo 23, paragrafo 1, lettere d) e h), del medesimo regolamento risulta che i trattamenti di dati personali effettuati a questi stessi fini da soggetti privati rientrano nel suo ambito di applicazione» (32).

52. Per le suesposte ragioni, sono persuaso del fatto che la conclusione secondo la quale il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio alle UIP rientri nell’ambito di applicazione del RGPD emerge già chiaramente dal dettato dell’articolo 2, paragrafo 2, lettera d), del RGPD, il quale richiama unicamente il trattamento effettuato da «autorità competenti», senza che sia necessario fare riferimento alla clausola di limitazione contenuta all’articolo 23, paragrafo 1, di detto regolamento (33). Cionondimeno, l’affermazione contenuta al punto 102 della sentenza La Quadrature du Net costituisce una presa di posizione chiara della Corte a favore di una siffatta conclusione.

53. Poiché il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio ricade nell’ambito di applicazione del RGPD, una normativa nazionale, come la legge PNR, che obbliga tali compagnie e tali operatori ad operare un siffatto trasferimento, costituisce una «misura legislativa» ai sensi dell’articolo 23, punto 1, lettera d), del RGPD e deve soddisfare, pertanto, le condizioni previste da tale disposizione (34).

54. Per quanto riguarda, in terzo luogo, i trattamenti dei dati PNR effettuati dall’UIP e dalle autorità nazionali competenti, l’applicabilità del RGPD dipende, come risulta dalle considerazioni che precedono, dalle finalità che tali trattamenti perseguono.

55. In tal senso, in primo luogo, i trattamenti di dati PNR effettuati dall’UIP e dalle autorità nazionali competenti per le finalità elencate all’articolo 8, § 1, punti da 1 a 3 e 5, della legge PNR (35), sono esclusi dall’ambito di applicazione del RGPD nella misura in cui, come sembra essere il caso, dette finalità possano essere annoverate fra quelle coperte dalla clausola di esclusione di cui all’articolo 2, paragrafo 2, lettera d), del RGPD. La protezione dei dati degli interessati da tali trattamenti ricade nell’ambito di applicazione del diritto nazionale, fatta salva l’applicazione della direttiva polizia (36) e, nell’ambito del suo campo di applicazione, della direttiva PNR.

56. Lo stesso vale, in secondo luogo, per il trattamento dei dati PNR effettuato dall’UIP e dai servizi segreti e di sicurezza nell’ambito della vigilanza sulle attività di cui alle disposizioni della legge organica che disciplina i servizi segreti e di sicurezza elencate all’articolo 8, § 1, punto 4, della legge PNR, nella misura in cui risponda alle finalità enunciate all’articolo 2, paragrafo 2, lettera d), del RGPD, circostanza che incombe al giudice del rinvio valutare.

57. Il governo belga sostiene che il trattamento effettuato ai sensi dell’articolo 8, § 1, punto 4, della legge PNR ricadrebbe in tutti i casi sotto la clausola di esclusione di cui all’articolo 2, paragrafo 2, lettera a), del RGPD, nonché di quella di cui all’articolo 2, paragrafo 3, lettera a), della direttiva polizia, dal momento che le attività dei servizi segreti e di sicurezza non rientrerebbero nell’ambito di applicazione del diritto dell’Unione.

58. A tal riguardo, mentre sottolineo che la Corte non è investita di una questione vertente sull’interpretazione di tali disposizioni, rilevo anzitutto che la Corte ha già affermato che una normativa nazionale, la quale impone obblighi di trattamento ad operatori privati, rientra nell’ambito di applicazione delle disposizioni del diritto dell’Unione in materia di protezione dei dati personali, anche qualora essa abbia ad oggetto la protezione della sicurezza nazionale (37). Ne consegue che il trasferimento dei dati PNR imposto dalla legge PNR ai vettori e agli operatori di viaggio rientra, in linea di principio, nell’ambito di applicazione del RGPD persino qualora esso venga effettuato ai fini dell’articolo 8, § 1, punto 4, di tale legge.

59. Rilevo poi che, benché il considerando 16 del RGPD enunci che quest’ultimo non si applica alle «attività riguardanti la sicurezza nazionale» e il considerando 14 della direttiva polizia precisi che «le attività concernenti la sicurezza nazionale, le attività delle agenzie o unità che si occupano di questioni connesse alla sicurezza nazionale (…) non dovrebbero essere considerate attività rientranti nell’ambito di applicazione [di tale] direttiva», i criteri sulla base dei quali un trattamento di dati personali effettuato da un’autorità, un’unità o un’agenzia pubblici di uno Stato membro ricade nell’ambito di applicazione dell’uno o dell’altro atto del diritto dell’Unione che organizza la protezione degli interessati nei confronti di siffatto trattamento, oppure si colloca al di fuori dell’ambito di applicazione di tale diritto, rispondono ad una logica connessa sia alle funzioni attribuite a tale autorità, a tale unità o a tale agenzia sia alle finalità di detto trattamento. In tal senso, la Corte ha dichiarato che l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce del considerando 16 di tale regolamento, «deve essere inteso come avente l’unico obiettivo di escludere dall’ambito di applicazione di detto regolamento i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che può essere ascritta alla medesima categoria, di modo che il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente affinché tale eccezione sia automaticamente applicabile a una siffatta attività» (38). La Corte ha parimenti precisato che «le attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui all’articolo 2, paragrafo 2, lettera a), del RGPD comprendono, in particolare, (…) quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società» (39). Ne consegue che, nel caso in cui uno Stato membro affidasse ai propri servizi segreti e di sicurezza compiti negli ambiti elencati all’articolo 3, punto 7, lettera a), della direttiva polizia, il trattamento di dati effettuato da tali servizi ai fini dell’assolvimento di detti compiti ricadrebbe nell’ambito di applicazione di tale direttiva nonché, se del caso, della direttiva PNR. Più in generale, rilevo che la Corte ha dichiarato in più occasioni, nell’ambito dell’interpretazione dell’articolo 4, paragrafo 2, TUE, sul quale si fonda, tra l’altro, il governo belga, che la mera circostanza che una misura nazionale sia stata adottata a fini di salvaguardia della sicurezza nazionale non può comportare l’inapplicabilità del diritto dell’Unione e dispensare gli Stati membri dal necessario rispetto di tale diritto (40), mostrandosi dunque reticente ad un’esclusione automatica e in blocco dall’ambito di applicazione del diritto dell’Unione delle attività degli Stati membri connesse alla salvaguardia della sicurezza nazionale.

60. In terzo luogo, in conformità al parere di tutti gli interessati che hanno presentato osservazioni, ad eccezione del governo francese, si deve ritenere che il trattamento dei dati PNR effettuato dalle competenti autorità belghe per le finalità enunciate all’articolo 8, § 2, della legge PNR, ossia «il rafforzamento dei controlli sulle persone alle frontiere esterne e [il contrasto] all’immigrazione irregolare» (41) non rientri nell’ambito della clausola di esclusione contenuta all’articolo 2, paragrafo 2, lettera d), del RGPD, né di nessun’altra causa di esclusione prevista a tale articolo e ricada, pertanto, nell’ambito di applicazione del citato regolamento. Contrariamente a quanto sostenuto dal governo francese, detto trattamento non può essere disciplinato dalla direttiva PNR, il cui articolo 1, paragrafo 2, stabilisce che «[i] dati PNR raccolti a norma della presente direttiva possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi» né, in linea di principio, dalla direttiva polizia la quale, in conformità al suo articolo 1, paragrafo 1, si applica unicamente al trattamento di dati personali da parte delle autorità competenti «a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica». Come emerge dalla decisione di rinvio, l’articolo 8, § 2, della legge PNR e il capo 11 di tale legge, che contiene le disposizioni che disciplinano il trattamento dei dati PNR ai fini del rafforzamento dei controlli di frontiera e della lotta contro l’immigrazione irregolare, e che prevede a tal fine il trasferimento di tali dati dall’UIP, segnatamente, ai servizi di polizia incaricati dei controlli di frontiera, sono intesi a recepire in diritto belga la direttiva API e la direttiva 2010/65. Orbene, queste due direttive impongono alle autorità competenti, per i trattamenti da esse previsti, il rispetto delle disposizioni della direttiva 95/46 (42). Contrariamente a quanto sostenuto dal governo francese, il rinvio alle norme di tutela di tale direttiva deve essere inteso nel senso che esso copre tutti i trattamenti di dati personali effettuati sulla base della direttiva API e della direttiva 2010/65. Il fatto che la direttiva API sia anteriore all’entrata in vigore della decisione quadro 2008/977 è irrilevante al riguardo poiché tale decisione quadro, nonché la direttiva polizia che l’ha sostituita, riguardano unicamente il trattamento di dati personali di cui all’articolo 3, paragrafo 1, della direttiva API, effettuato dalle autorità competenti per finalità repressive in applicazione della legge (43).

61. Sulla base dell’insieme delle considerazioni che precedono, propongo alla Corte di rispondere alla prima questione pregiudiziale dichiarando che l’articolo 23 del RGPD, in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di tale regolamento, deve essere interpretato nel senso che:

– esso si applica ad una normativa nazionale che traspone la direttiva PNR nei limiti in cui tale normativa disciplina il trattamento dei dati PNR effettuato dai vettori e da altri operatori economici, incluso il trasferimento di dati PNR alle UIP, previsto all’articolo 8 di detta direttiva;

– esso non si applica ad una normativa nazionale che traspone la direttiva PNR nei limiti in cui essa disciplina il trattamento di dati effettuato per le finalità previste all’articolo 1, paragrafo 2, di tale direttiva da parte delle competenti autorità nazionali, incluse le UIP e, se del caso, i servizi segreti e di sicurezza dello Stato membro interessato;

– esso si applica ad una normativa nazionale che traspone la direttiva API e la direttiva 2010/65 al fine di migliorare i controlli delle persone alle frontiere esterne e al fine di combattere l’immigrazione irregolare.

B. Sulle questioni pregiudiziali seconda, terza, quarta, sesta e ottava

62. Con le sue questioni pregiudiziali seconda, terza, quarta e sesta, la Cour constitutionnelle (Corte costituzionale) interpella la Corte in merito alla validità della direttiva PNR alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta. L’ottava questione pregiudiziale, benché redatta come una questione di interpretazione, è anch’essa intesa, in sostanza, ad ottenere dalla Corte una pronuncia sulla validità di tale direttiva.

63. Tali questioni vertono sui diversi elementi del sistema di trattamento dei dati PNR istituito dalla direttiva PNR e richiedono, con riferimento a ciascuno di tali elementi, una valutazione del rispetto delle condizioni alle quali è soggetta la legittimità delle limitazioni apportate all’esercizio dei diritti fondamentali enunciati agli articoli 7 e 8 della Carta. Così, la seconda e la terza questione pregiudiziale riguardano il catalogo dei dati PNR figuranti all’allegato I, la quarta verte sulla definizione della nozione di «passeggero» di cui all’articolo 3, punto 4), della direttiva PNR, la sesta attiene all’utilizzazione dei dati PNR ai fini della valutazione preliminare a norma dell’articolo 6 di tale direttiva e l’ottava riguarda il periodo di conservazione dei dati previsto all’articolo 12, paragrafo 1, di detta direttiva.

1. Sui diritti fondamentali enunciati dagli articoli 7 e 8 della Carta

64. L’articolo 7 della Carta garantisce ad ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Quanto all’articolo 8, paragrafo 1, della Carta, esso riconosce esplicitamente ad ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano. Secondo una giurisprudenza costante tali diritti, i quali si riferiscono a qualsiasi informazione riguardante una persona fisica identificata o identificabile, sono strettamente connessi, poiché l’accesso a dati personali di una persona fisica ai fini della loro conservazione o del loro utilizzo incide sul diritto di tale persona al rispetto della vita privata (44).

65. I diritti sanciti agli articoli 7 e 8 della Carta non appaiono tuttavia come prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (45). L’articolo 8, paragrafo 2, della Carta autorizza in tal senso il trattamento dei dati personali qualora siano soddisfatte determinate condizioni. Tale disposizione prevede che i dati personali debbano essere trattati «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».

66. Eventuali limitazioni apportate al diritto alla protezione dei dati personali, nonché al diritto alla vita privata, devono inoltre rispettare le prescrizioni dell’articolo 52, paragrafo 1, della Carta. Così, siffatte limitazioni devono essere previste dalla legge, rispettare il contenuto essenziale di detti diritti e, nel rispetto del principio di proporzionalità, essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

67. La valutazione di una misura che limita detti diritti deve tenere conto allo stesso modo dell’importanza dei diritti sanciti agli articoli 3, 4, 6 e 7 della Carta e di quella degli obiettivi di salvaguardia della sicurezza nazionale e di lotta contro le forme gravi di criminalità, contribuendo alla protezione dei diritti e delle libertà altrui (46). A tal riguardo, l’articolo 6 della Carta sancisce il diritto di ogni persona non solo alla libertà ma anche alla sicurezza (47).

68. Inoltre, l’articolo 52, paragrafo 3, della Carta è inteso ad assicurare la necessaria coerenza tra i diritti contenuti in quest’ultima e i corrispondenti diritti garantiti dalla CEDU, di cui occorre tenere conto in quanto livello minimo di protezione (48). Il diritto al rispetto della vita privata e familiare, sancito all’articolo 7 della Carta, corrisponde a quello garantito all’articolo 8 della CEDU e deve quindi essergli riconosciuto lo stesso significato e la stessa portata (49). Dalla giurisprudenza della Corte europea dei diritti dell’uomo (in prosieguo: la «Corte EDU») risulta che un’ingerenza nei diritti garantiti a tale articolo può essere giustificata con riferimento al paragrafo 2 di detto articolo soltanto se sia prevista dalla legge, persegua uno o più degli obiettivi legittimi elencati in tale paragrafo e sia necessaria, in una società democratica, al conseguimento di tale/i obiettivo/i (50). La misura deve essere inoltre compatibile con la preminenza del diritto, espressamente menzionata nel preambolo della CEDU e inerente all’oggetto e all’obiettivo dell’articolo 8 della stessa (51).

69. È alla luce di tali principi che occorre esaminare le questioni vertenti sulla validità sollevate dalla Cour constitutionnelle (Corte costituzionale).

2. Sull’ingerenza nei diritti fondamentali enunciati dagli articoli 7 e 8 della Carta

70. La Corte ha già dichiarato che disposizioni che impongono o consentono la comunicazione di dati personali di persone fisiche ad un terzo, quale un’autorità pubblica, devono essere qualificate, in assenza del consenso delle stesse persone fisiche e a prescindere dal successivo utilizzo dei dati in questione, come ingerenze nella loro vita privata e, pertanto, come una limitazione del diritto fondamentale garantito all’articolo 7 della Carta, fatta salva la loro eventuale giustificazione (52). Ciò vale persino in mancanza di circostanze che permettano di qualificare tale ingerenza come «grave» e senza che rilevi il fatto che le informazioni relative alla vita privata siano o meno delicate, o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a detta ingerenza (53). L’accesso delle autorità pubbliche a siffatte informazioni costituisce parallelamente un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito all’articolo 8 della Carta, poiché costituisce un trattamento di dati personali (54). Analogamente, costituisce di per sé un’ingerenza nei diritti garantiti agli articoli 7 e 8 della Carta la conservazione, per un certo periodo, dei dati relativi alla vita privata di una persona (55).

71. La Corte ha parimenti già dichiarato che i dati PNR, come quelli elencati all’allegato I, comprendono informazioni su persone fisiche identificate, ossia i passeggeri aerei interessati, e che pertanto i diversi trattamenti di cui tali dati possono essere oggetto incidono sul diritto fondamentale al rispetto della vita privata, garantito all’articolo 7 della Carta. Tali trattamenti rientrano anche nell’articolo 8 della Carta e devono, di conseguenza, necessariamente soddisfare gli obblighi di protezione dei dati previsti a tale articolo (56).

72. Pertanto, il trattamento dei dati PNR consentito dalla direttiva PNR e, segnatamente, nei limiti in cui ciò sia rilevante ai fini della presente causa, il trasferimento di tali dati da parte dei vettori aerei alle UIP, la loro utilizzazione da parte di tali unità, il loro ulteriore trasferimento verso le competenti autorità nazionali ai sensi dell’articolo 7 di tale direttiva, nonché la loro conservazione costituiscono altrettante ingerenze nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta.

73. Quanto alla gravità di tali ingerenze occorre rilevare, in primo luogo, che la direttiva PNR prevede il trasferimento sistematico e continuato alle UIP dei dati PNR di tutti i passeggeri aerei, come definito all’articolo 3, punto 4, di tale direttiva, che si imbarcano su un volo «extra-UE» ai sensi dell’articolo 3, punto 2, della stessa. Un siffatto trasferimento implica un accesso generale da parte delle UIP a tutti i dati PNR comunicati (57). Tale constatazione non viene rimessa in discussione, contrariamente a quanto fatto valere da alcuni Stati membri nel presente procedimento, dalla circostanza che, poiché tali dati sono soggetti ad un trattamento automatizzato, le UIP avranno concretamente accesso soltanto ai dati la cui analisi abbia prodotto un risultato positivo. Infatti, da un lato, una simile circostanza non ha impedito alla Corte, ad oggi, di affermare, nell’ambito di sistemi simili di trattamento automatizzato di dati personali raccolti o conservati «in blocco», il carattere generale dell’accesso delle autorità pubbliche interessate a siffatti dati. Dall’altro, la mera messa a disposizione delle autorità pubbliche di dati personali, ai fini del loro trattamento e della loro conservazione da parte di tali autorità, comporta un accesso a priori generale e completo delle stesse a tali dati e un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali.

74. In secondo luogo, in conformità all’articolo 2, paragrafo 1, della direttiva PNR, gli Stati membri possono decidere di applicare quest’ultima ai voli «intra‑UE» ai sensi dell’articolo 3, punto 3, della stessa. A tal riguardo rilevo, da un lato, che la direttiva PNR non si limita a prevedere la facoltà per gli Stati membri di estendere la sua applicazione ai voli intra-UE, bensì determina parimenti le condizioni tanto formali quanto materiali che disciplinano l’esercizio di tale facoltà (58) e precisa che, qualora essa venga esercitata soltanto per voli intra‑UE selezionati, la scelta di tali voli deve essere operata tenendo conto degli obiettivi perseguiti da detta direttiva (59). Dall’altro, la direttiva PNR stabilisce le conseguenze dell’esercizio di una siffatta facoltà, prevedendo, al suo articolo 2, paragrafo 2, che, qualora uno Stato membro decida di applicare tale direttiva ai voli intra-UE, tutte le disposizioni della stessa «si applicano ai voli intra-UE come se fossero voli extra-UE e ai dati PNR riguardanti voli intra-UE come se fossero dati PNR riguardanti voli extra-UE».

75. In tali circostanze, contrariamente a quanto fatto valere da un certo numero di governi che hanno presentato osservazioni nel presente procedimento, sono del parere che, nonostante l’applicazione della direttiva PNR ai voli intra-UE dipenda dalla scelta degli Stati membri, il fondamento giuridico delle ingerenze nei diritti al rispetto della vita privata e alla protezione dei dati personali connesse al trasferimento, al trattamento e alla conservazione dei dati PNR relativi a tali voli è costituito, quando viene effettuata una siffatta scelta, dalla direttiva PNR.

76. Orbene, ad eccezione del Regno di Danimarca, che non è soggetto a tale direttiva (60), pressoché tutti gli Stati membri applicano il regime istituito dalla stessa ai voli «intra-UE» (61). Ne consegue che tale regime si applica a tutti i voli che entrano ed escono dall’Unione, nonché a pressoché tutti i voli effettuati all’interno dell’Unione.

77. In terzo luogo, per quanto riguarda i dati PNR da trasferire, l’allegato I elenca 19 rubriche, riguardanti dati biografici (62), i dettagli del viaggio aereo (63) e altri dati raccolti nel contesto del contratto di trasporto aereo, come il recapito telefonico, l’indirizzo di posta elettronica, le modalità di pagamento, l’agenzia o l’agente di viaggio, le informazioni relative al bagaglio nonché osservazioni generali (64). Orbene, come rilevato dalla Corte al punto 128 del parere 1/15, in sede di pronuncia sulle rubriche figuranti all’allegato al progetto di accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione PNR (in prosieguo: il «progetto di accordo PNR Canada-UE»), formulate in maniera ampiamente simile a quelle dell’allegato I, «anche se taluni dati PNR, considerati isolatamente, non sembrano poter rivelare informazioni importanti sulla vita privata degli interessati, tuttavia, considerati complessivamente, detti dati possono, tra l’altro, rivelare un itinerario di viaggio completo, abitudini di viaggio, relazioni esistenti tra due o più persone nonché informazioni sulla situazione finanziaria dei passeggeri aerei, sulle loro abitudini alimentari o sul loro stato di salute, e potrebbero persino fornire informazioni sensibili su tali passeggeri».

78. In quarto luogo, ai sensi dell’articolo 6 della direttiva PNR, i dati trasferiti dai vettori aerei sono destinati ad essere sottoposti ad un esame automatizzato da parte delle UIP, e ciò in maniera sistematica, vale a dire indipendentemente dalla questione se esista il minimo indizio che gli interessati rischino di essere coinvolti in reati di terrorismo o in reati gravi. Più specificamente, nell’ambito della valutazione preliminare dei passeggeri prevista all’articolo 6, paragrafo 2, lettera a), di tale direttiva e in conformità al paragrafo 3 di tale articolo, detti dati possono essere verificati tramite controlli incrociati con banche dati «pertinenti» (articolo 6, paragrafo 3, lettera a) e trattati sulla base di criteri prestabiliti (articolo 6, paragrafo 3, lettera b). Orbene, il primo tipo di trattamento può fornire informazioni supplementari sulla vita privata degli interessati (65) e, a seconda delle banche dati utilizzate per i controlli incrociati, può persino consentire di tracciare un profilo preciso di tali persone. In siffatte circostanze, l’obiezione mossa da diversi governi, secondo la quale la direttiva PNR consentirebbe l’accesso soltanto ad un insieme di dati personali relativamente limitato, non riflette in maniera adeguata la portata potenziale delle ingerenze nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta che tale direttiva comporta, nell’ottica della portata dei dati ai quali essa può consentire l’accesso. Per quanto riguarda il secondo tipo di trattamento di dati, previsto all’articolo 6, paragrafo 3, lettera b), della direttiva PNR, ricordo che, ai punti 169 e 172 del parere 1/15, la Corte ha sottolineato che è inerente ad ogni tipo di analisi fondata su criteri prestabiliti presentare un certo tasso d’errore, e segnatamente un certo numero di risultati «erroneamente positivi». Secondo le cifre contenute nel documento di lavoro dei servizi della Commissione (66) (in prosieguo: il «documento di lavoro del 2020»), allegato alla relazione della Commissione del 2020, il numero di casi di riscontri positivi risultati erronei a seguito del riesame individuale previsto all’articolo 6, paragrafo 5, della direttiva PNR è piuttosto consistente ed era pari, nel corso degli anni 2018 e 2019, ad almeno cinque su sei persone identificate (67).

79. In quinto luogo, in conformità all’articolo 12, paragrafo 1, della direttiva PNR, i dati PNR vengono conservati in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo. La direttiva PNR permette pertanto di disporre di informazioni sulla vita privata dei passeggeri aerei per una durata particolarmente lunga (68). Inoltre, poiché il trasferimento dei dati PNR riguarda la quasi totalità dei voli effettuati in partenza e all’ingresso nell’Unione, nonché all’interno della stessa, e l’aereo è divenuto un mezzo di trasporto piuttosto abituale, una parte significativa dei passeggeri aerei potrebbe vedere conservati i propri dati personali in maniera praticamente permanente, per il solo fatto che essi si spostano in aereo almeno due volte ogni cinque anni.

80. Infine, su un piano più generale, la direttiva PNR prevede misure che, considerate globalmente, sono intese ad attuare a livello dell’Unione un sistema di sorveglianza «indiscriminata», ossia non attivata in funzione di un sospetto gravante su una o più persone specifiche, «massiccia», nella misura in cui essa viene esercitata sui dati personali di un numero elevato di individui (69), che copre una stessa categoria di persone nel suo complesso (70), e «proattiva», nella misura in cui essa mira non solo ad indagare su minacce note, ma anche a trovare o ad individuare pericoli finora sconosciuti (71). Siffatte misure danno luogo, per loro stessa natura, ad ingerenze gravi nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta (72), connesse segnatamente alla loro finalità preventiva e predittiva, la quale richiede la valutazione di dati personali relativi ad ampi segmenti della popolazione, ai fini dell’«identificazione» delle persone in relazione alle quali, in funzione dei risultati di tale valutazione, è opportuno che le autorità competenti procedano a ulteriori verifiche (73). Peraltro, il ricorso sempre più diffuso, a fini di prevenzione di taluni reati gravi, al trattamento di grandi quantità di dati personali di diversa natura raccolti «alla rinfusa», nonché il loro collegamento e il loro trattamento combinato, comportano un «effetto cumulativo» che amplifica la gravità delle restrizioni ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali e rischia di favorire un processo di graduale slittamento verso una «società di sorveglianza» (74).

81. Sulla base dell’insieme delle considerazioni che precedono, ritengo che l’ingerenza nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta che la direttiva PNR comporta debba essere quantomeno qualificata come «grave».

82. È vero, come sostenuto in particolare dalla Commissione, che tutte le garanzie e le salvaguardie previste dalla direttiva PNR, segnatamente al fine di evitare un’utilizzazione abusiva dei dati PNR, sono idonee a ridurre l’intensità o la gravità di tali ingerenze. Ciò non toglie che ogni regime che prevede l’accesso e il trattamento di dati personali da parte di autorità pubbliche presenta un livello di gravità, nell’ottica della protezione dei diritti fondamentali colpiti, che è inerente alle sue caratteristiche oggettive. Tale livello di gravità deve, a mio avviso, essere determinato prima di procedere, nell’ambito della valutazione della proporzionalità di dette ingerenze, alla valutazione del carattere sufficiente ed adeguato delle garanzie che tale regime prevede. È così che la Corte ha proceduto, mi sembra, fino ad oggi.

83. Per essere compatibili con la Carta, le ingerenze che la direttiva PNR comporta nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali devono soddisfare le condizioni enunciate ai paragrafi 65 e 66 delle presenti conclusioni; ciò verrà esaminato nel prosieguo, nei limiti degli aspetti che sono stati sottoposti all’attenzione della Corte da parte del giudice del rinvio.

3. Sulla giustificazione dell’ingerenza risultante dalla direttiva PNR

84. Mentre la terza questione pregiudiziale verte sul rispetto della condizione di cui all’articolo 52, paragrafo 1, prima frase, della Carta, secondo la quale tutte le ingerenze in un diritto fondamentale devono essere «previste dalla legge», la seconda, la quarta, la sesta e l’ottava questione pregiudiziale interpellano la Corte segnatamente sul rispetto del principio di proporzionalità, contemplato alla seconda frase di tale disposizione.

a) Sul rispetto del requisito secondo il quale eventuali limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta devono essere previste dalla legge

85. Secondo una consolidata giurisprudenza della Corte (75), la quale si ispira alla giurisprudenza della Corte EDU (76), il requisito secondo cui eventuali limitazioni nell’esercizio dei diritti fondamentali devono essere «previste dalla legge» non riguarda unicamente l’origine «legale» dell’ingerenza – la quale non è contestata nella presente causa – bensì implica anche che la base giuridica che consente tale ingerenza deve definire essa stessa, in maniera chiara e precisa, la portata di quest’ultima. Questo secondo aspetto, che concerne la «qualità della legge» e, dunque, l’accessibilità e la prevedibilità della misura in questione (77), è racchiuso nell’espressione «previste dalla legge» ai sensi sia dell’articolo 52, paragrafo 1, della Carta, sia dell’articolo 8, paragrafo 2, della stessa e dell’articolo 8 della CEDU, non è inteso unicamente ad assicurare il rispetto del principio di legalità e una protezione adeguata contro l’arbitrio (78), ma risponde parimenti ad un’esigenza imperativa di certezza del diritto. Tale requisito è affermato parimenti nel parere del 19 agosto 2016 del comitato consultivo della convenzione 108 (79) sulle implicazioni in materia di protezione di dati del trattamento dei dati passeggeri (in prosieguo: il «parere del 19 agosto 2016») (80).

86. Adottando la direttiva PNR, il legislatore dell’Unione ha proceduto esso stesso a limitare i diritti sanciti agli articoli 7 e 8 della Carta. Le ingerenze che tale direttiva consente in detti diritti non possono dunque essere considerate una conseguenza della scelta degli Stati membri (81), malgrado il potere discrezionale di cui questi ultimi abbiano potuto beneficiare al momento della sua trasposizione nel diritto nazionale, ma trovano il loro fondamento giuridico nella direttiva PNR stessa. In tali circostanze, incombeva al legislatore dell’Unione, al fine di conformarsi alla giurisprudenza richiamata al paragrafo 85 delle presenti conclusioni, nonché alle «norme elevate» di protezione dei diritti fondamentali contenute segnatamente nella Carta e nella CEDU alle quali fa riferimento il considerando 15 della direttiva PNR, formulare regole chiare e precise che definissero tanto la portata quanto l’applicazione delle misure che comportano siffatte ingerenze.

87. Mentre, con la sua terza questione pregiudiziale, il giudice del rinvio si interroga specificamente in merito al rispetto di tale obbligo con riferimento ai punti 12 e 18 dell’allegato I, l’esame della seconda, della quarta e della sesta questione pregiudiziale, con le quali tale giudice solleva dubbi in merito al carattere necessario delle ingerenze nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta che la direttiva PNR comporta, richiederà parimenti una presa di posizione sul carattere sufficientemente chiaro e preciso delle disposizioni della direttiva PNR controverse.

88. Benché tale analisi sia relativa, come ho illustrato al paragrafo 85 delle presenti conclusioni, alla legalità dell’ingerenza, ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, procederò alla medesima nell’ambito dell’esame della sua proporzionalità, contemplato alla seconda frase di tale paragrafo, in conformità all’approccio seguito sia dalla Corte sia dalla Corte EDU nelle cause che vertono su misure aventi ad oggetto il trattamento dei dati personali (82).

b) Sul rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta

89. In conformità all’articolo 52, paragrafo 1, prima frase, della Carta, eventuali restrizioni all’esercizio dei diritti fondamentali devono non solo essere basate su un fondamento giuridico sufficientemente preciso, ma devono parimenti rispettare il contenuto essenziale di tali diritti.

90. Come ho illustrato al paragrafo 66 delle presenti conclusioni, tale requisito – che si ritrova incorporato nelle costituzioni di diversi Stati membri (83) e che, pur non essendo riconosciuto espressamente dalla CEDU, è cionondimeno ben radicato nella giurisprudenza della Corte EDU (84) – si trova sancito all’articolo 52, paragrafo 1, della Carta (85). Riconosciuto dalla Corte ben prima della sua codificazione (86), un siffatto requisito è stato costantemente ribadito nella giurisprudenza dei giudici dell’Unione, anche dopo l’entrata in vigore del trattato di Lisbona.

91. Risulta segnatamente dalla sentenza del 6 ottobre 2015, Schrems (87), che l’inosservanza del contenuto essenziale di un diritto fondamentale da parte di un atto dell’Unione comporta in maniera automatica la nullità o l’invalidità dello stesso, senza che sia necessario procedere ad un bilanciamento degli interessi coinvolti. La Corte riconosce pertanto che ogni diritto fondamentale presenta un «nocciolo duro», che garantisce ad ognuno una sfera di libertà al riparo da qualsivoglia ingerenza da parte dei pubblici poteri e che non può subire limitazioni (88), salvo rimettere in discussione i principi democratico, dello Stato di diritto e del rispetto della dignità umana sottesi alla protezione dei diritti fondamentali. Sia dal testo dell’articolo 52, paragrafo 1, della Carta sia dalla giurisprudenza della Corte e, segnatamente, dalla sentenza Schrems I, risulta inoltre che la valutazione avente ad oggetto l’esistenza di un’ingerenza nel contenuto essenziale del diritto fondamentale in questione deve essere effettuata prima della, e a prescindere dalla, valutazione della proporzionalità della misura contestata. Si tratta, in altri termini, di un testo dotato di una propria autonomia.

92. Ciò premesso, stabilire ciò che costituisce il «contenuto essenziale» e, pertanto, intangibile di un diritto fondamentale che può essere limitato nel suo esercizio è un’operazione estremamente complessa. Se, per adempiere alla sua funzione, tale nozione dovrebbe essere definita in termini assoluti, alla luce delle caratteristiche essenziali del diritto fondamentale in questione, degli interessi soggettivi e oggettivi che esso è inteso a proteggere e, più in generale, della sua funzione in una società democratica fondata sul rispetto della dignità umana (89), nella prassi una simile operazione risulta pressoché impossibile, perlomeno senza tenere conto di criteri che vengono solitamente impiegati nell’esame della proporzionalità dell’ingerenza nel diritto in questione, come la gravità di tale ingerenza, la sua portata o la sua dimensione temporale e, pertanto, senza tenere conto delle peculiarità di ciascun caso di specie.

93. Per quanto riguarda segnatamente il diritto fondamentale al rispetto della vita privata, si deve tenere conto non solo dell’importanza rivestita, per la salute mentale e fisica di ogni individuo, il suo benessere, la sua autonomia, la sua realizzazione personale, la sua capacità di costruire e coltivare rapporti sociali, dal fatto di disporre di una sfera privata nella quale sviluppare la propria interiorità personale, ma anche del ruolo svolto da tale diritto al fine di preservare altri diritti e libertà quali, segnatamente, le libertà di pensiero, coscienza, religione, espressione e informazione, il cui pieno godimento presuppone il riconoscimento di una sfera di intimità. Più in generale, occorre tenere conto della funzione svolta in una società democratica dal rispetto del diritto alla vita privata (90). La Corte sembra valutare l’esistenza di un pregiudizio al contenuto essenziale di tale diritto considerando tanto l’intensità quanto la portata dell’ingerenza, il che induce a ritenere che un siffatto pregiudizio sia definito piuttosto sotto il profilo quantitativo che sotto quello qualitativo. In tal senso, da un lato, nella sentenza Digital Rights, la Corte ha giudicato, in sostanza, che l’obbligo di conservazione dei dati imposto dalla direttiva 2006/24/CE (91) non raggiungeva un livello di gravità tale da pregiudicare il contenuto essenziale del diritto al rispetto della vita privata, poiché essa non consentiva di «venire a conoscenza del contenuto delle comunicazioni elettroniche in quanto tale» (92). Dall’altro, nel parere 1/15, la Corte ha sancito, in sostanza, che una limitazione circoscritta ad alcuni aspetti soltanto della vita privata delle persone interessate non poteva dar luogo ad un’ingerenza nel contenuto essenziale di tale diritto fondamentale (93).

94. Quanto al diritto fondamentale alla protezione dei dati personali, la Corte sembra ritenere che il contenuto essenziale di tale diritto venga preservato allorché la misura che stabilisce l’ingerenza circoscrive le finalità del trattamento e prevede norme che garantiscano la sicurezza dei dati interessati, segnatamente contro la distruzione accidentale o illecita, la perdita o l’alterazione accidentale (94).

95. Nella presente causa, pur se il giudice del rinvio non ha menzionato in maniera esplicita il requisito del rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta, la questione del rispetto di tale requisito è, a mio avviso, sottesa alla quarta e alla sesta questione pregiudiziale. È per questo motivo che suggerisco alla Corte di affrontarla.

96. A tal riguardo, ricordo che, al punto 150 del parere 1/15, mentre ha riconosciuto che i dati PNR «possono, eventualmente, rivelare informazioni molto precise sulla vita privata di una persona» (95) e che tali informazioni possono svelare, direttamente o indirettamente, dati delicati dell’interessato (96), la Corte ha cionondimeno concluso, per quanto riguarda il progetto di accordo PNR Canada‑UE, che, poiché la «natura di tali informazioni [era] limitata ad alcuni aspetti di tale vita privata, relativi in particolare ai viaggi aerei tra il Canada e l’Unione», la violazione del diritto fondamentale al rispetto della vita privata non era tale da pregiudicare il contenuto essenziale di detto diritto.

97. Orbene, se si esclude il fatto che i dati PNR di cui al progetto di accordo PNR Canada-UE dovevano essere trasferiti verso uno Stato terzo e che il loro trattamento ulteriore doveva essere effettuato dalle autorità di siffatto Stato terzo nel proprio territorio, le ingerenze nel diritto fondamentale al rispetto della vita privata risultanti da detto progetto di accordo e quelle previste dalla direttiva PNR sono, per quanto riguarda la loro natura, ampiamente coincidenti. Ciò vale, segnatamente, per i dati PNR interessati, per il carattere sistematico e generalizzato del trasferimento e del trattamento di tali dati, per la natura automatizzata dello stesso, nonché per la conservazione di detti dati. Per contro, ciò che distingue le due cause è, per così dire, la «copertura geografica» di tali ingerenze. Infatti, come ho illustrato al paragrafo 77 delle presenti conclusioni, i trattamenti dei dati di cui alla presente causa non sono limitati ai collegamenti aerei con un solo paese terzo, come nel caso del parere 1/15, ma riguardano pressoché tutti i voli in entrata e in uscita dall’Unione ed effettuati all’interno della stessa. Ne consegue che, rispetto al progetto di accordo PNR Canada-UE, la direttiva PNR impone il trattamento sistematico di un numero significativamente più elevato di passeggeri aerei, che si spostano con l’aereo all’interno e all’esterno dell’Unione. Inoltre, considerato l’aumento del volume dei dati trattati, nonché la frequenza con la quale essi sono raccolti, il loro trattamento è verosimilmente idoneo a fornire informazioni al contempo più precise e più ampie sulla vita privata degli interessati (abitudini di viaggio, rapporti personali, situazioni finanziarie, ecc.).

98. Ciò non toglie che, come nel caso del parere 1/15, tali informazioni, considerate isolatamente, vertono soltanto su taluni aspetti della vita privata, connessi ai viaggi aerei. Orbene, alla luce della necessità di definire la nozione di «contenuto essenziale» dei diritti fondamentali in maniera restrittiva, affinché essa conservi la sua funzione di bastione contro gli attacchi alla sostanza stessa di tali diritti, ritengo che la conclusione alla quale la Corte è giunta al punto 150 del parere 1/15 possa essere trasposta alla presente causa.

99. Nel parere 1/15, la Corte ha inoltre escluso un pregiudizio al contenuto essenziale del diritto alla protezione dei dati personali (97). Tale conclusione è parimenti trasponibile, a mio avviso, alle circostanze della presente causa. Infatti, come nel caso del progetto di accordo PNR Canada-UE, la direttiva PNR circoscrive, al suo articolo 1, paragrafo 2, le finalità del trattamento dei dati PNR. Peraltro tale direttiva, nonché gli altri atti dell’Unione ai quali essa rinvia, segnatamente il RGPD e la direttiva polizia, contengono disposizioni specifiche destinate a garantire, in particolare, la sicurezza, la riservatezza e l’integrità di tali dati, nonché a proteggerli contro gli accessi e i trattamenti illeciti. Pur se non si può ritenere che una normativa come quella prevista dalla direttiva PNR interessi il contenuto essenziale dei diritti fondamentali protetti dagli articoli 7 e 8 della Carta, ciò non toglie che essa debba essere sottoposta ad un controllo stretto e rigoroso della sua proporzionalità.

c) Sul rispetto del requisito secondo il quale l’ingerenza deve rispondere ad un obiettivo di interesse generale

100. La direttiva PNR mira, segnatamente, ad assicurare la sicurezza interna dell’Unione e a proteggere la vita e la sicurezza delle persone mediante un trasferimento dei dati PNR alle autorità competenti degli Stati membri ai fini della loro utilizzazione nell’ambito della lotta contro il terrorismo e i reati gravi (98).

101. Più specificamente, dall’articolo 1, paragrafo 2, della direttiva PNR, in combinato disposto con i suoi considerando 6 e 7, nonché dalla proposta della Commissione sfociata nell’adozione di tale direttiva (in prosieguo: la «proposta di direttiva PNR») (99), risulta che, nell’ambito di un siffatto obiettivo, i dati PNR vengono utilizzati dalle autorità di contrasto (100) in diversi modi. In primo luogo, tali dati vengono utilizzati al fine di individuare persone coinvolte o sospettate di essere coinvolte in reati terroristici e in reati gravi già commessi, di raccogliere prove nonché, se del caso, di trovare i complici di criminali e di smantellare reti criminali (uso effettuato «reattivamente»). In secondo luogo, i dati PNR possono essere valutati prima dell’arrivo o della partenza dei passeggeri al fine di prevenire la commissione di un crimine e di identificare persone mai sospettate di reati di terrorismo o di reati gravi in precedenza e in relazione alle quali è opportuno, sulla base del risultato di tale valutazione, che le autorità di contrasto procedano a ulteriori verifiche (utilizzazione in modalità «reale»). Infine, i dati PNR vengono utilizzati allo scopo di definire criteri di valutazione che possono essere successivamente applicati nell’apprezzamento del rischio rappresentato dai passeggeri prima del loro arrivo e prima della loro partenza (uso effettuato «proattivamente»»). Una siffatta utilizzazione proattiva dei dati PNR dovrebbe permettere alle autorità di contrasto di far fronte alla minaccia di reati di terrorismo e reati gravi da una prospettiva diversa rispetto a quanto consentito dal trattamento di altre categorie di dati personali (101).

102. Dalla giurisprudenza della Corte risulta che l’obiettivo di salvaguardia della sicurezza pubblica, che copre segnatamente la prevenzione, la ricerca, l’accertamento e il perseguimento sia di reati terroristici sia di reati penali rientranti nelle forme gravi di criminalità, costituisce un obiettivo di interesse generale dell’Unione, ai sensi dell’articolo 52, paragrafo 1, della Carta, idoneo a giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta (102).

103. La Corte ha parimenti riconosciuto che gli obiettivi di salvaguardia della sicurezza pubblica e di lotta contro la criminalità grave contribuiscono alla protezione dei diritti e delle libertà altrui (103). Pertanto, nell’ambito della ponderazione equilibrata fra tali obiettivi e i diritti fondamentali sanciti agli articoli 7 e 8 della Carta (104), occorre tenere parimenti conto dell’importanza dei diritti sanciti agli articoli 3, 4, 6 e 7 della Carta. A tal riguardo, benché, nella sentenza La Quadrature du Net, la Corte abbia giudicato che l’articolo 6 della Carta «non può essere interpretato nel senso che impone ai poteri pubblici un obbligo di adottare misure specifiche al fine di reprimere determinati reati» (105), per contro, per quanto riguarda, in particolare, la lotta effettiva contro i reati di cui sono vittime, in particolare, i minori e le altre persone vulnerabili, essa ha sottolineato che obblighi positivi a carico dei pubblici poteri possono risultare sia dall’articolo 7 della Carta, ai fini dell’adozione di misure giuridiche dirette a tutelare la vita privata e familiare, sia dagli articoli 3 e 4 della stessa, relativamente alla tutela dell’integrità fisica e psichica delle persone e al divieto di tortura e di trattamenti inumani e degradanti (106).

104. Infine, la Corte ha dichiarato che l’importanza dell’obiettivo di salvaguardia della sicurezza nazionale supera quella degli obiettivi di lotta alla criminalità in generale, anche grave, e di salvaguardia della sicurezza pubblica, e che tale obiettivo è pertanto idoneo a giustificare misure che comportino ingerenze nei diritti fondamentali più gravi di quelle che potrebbero giustificare tali altri obiettivi (107). Poiché le attività terroristiche sono idonee a costituire minacce alla sicurezza nazionale degli Stati membri, il sistema attuato dalla direttiva PNR, nella misura in cui funge da strumento di lotta contro siffatte attività, contribuisce all’obiettivo di salvaguardia della sicurezza nazionale degli Stati membri.

d) Sul rispetto del principio di proporzionalità

105. Ai sensi dell’articolo 52, paragrafo 1, seconda frase, della Carta, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

106. A questo proposito, si deve ricordare che il principio di proporzionalità esige, secondo una costante giurisprudenza della Corte, che gli atti delle istituzioni dell’Unione siano idonei a realizzare gli obiettivi legittimi perseguiti dalla normativa di cui trattasi e non superino i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi (108).

107. In conformità alla giurisprudenza costante della Corte, la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione esige che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario. Inoltre, un obiettivo di interesse generale non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, effettuando un contemperamento equilibrato tra, da un lato, l’obiettivo di interesse generale e, dall’altro, i diritti di cui trattasi (109). Più in particolare, la proporzionalità di una limitazione dei diritti sanciti agli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell’ingerenza che una restrizione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (110).

108. Dalla giurisprudenza della Corte risulta che, per soddisfare il requisito di proporzionalità, la direttiva PNR, in quanto fondamento giuridico che comporta ingerenze nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta descritte ai paragrafi da 70 a 83 delle presenti conclusioni, deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione delle misure che comportano siffatte ingerenze e imporre obblighi minimi, in modo che le persone i cui dati sono stati trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati (111). La necessità di disporre di siffatte garanzie è tanto più importante allorché, come nella fattispecie, i dati personali sono soggetti a trattamento automatizzato e quando è in gioco la protezione di quella categoria particolare di dati personali che sono i dati delicati (112).

109. Per quanto riguarda la portata del controllo giurisdizionale del rispetto degli obblighi risultanti dal principio di proporzionalità, tenuto conto del ruolo importante svolto dalla protezione dei dati personali sotto il profilo del diritto fondamentale al rispetto della vita privata e dell’ingerenza in tale suddetto diritto che la direttiva PNR comporta, il potere discrezionale del legislatore dell’Unione risulta ridotto, cosicché tale controllo deve essere rigoroso (113).

1) Sull’idoneità dei trattamenti dei dati PNR di cui alla direttiva PNR sotto il profilo dell’obiettivo perseguito

110. Al punto 153 del parere 1/15 la Corte ha affermato, in relazione al progetto di accordo PNR Canada-UE, che il trasferimento dei dati PNR verso il Canada e i trattamenti ulteriori degli stessi possono essere considerati idonei a garantire la realizzazione dell’obiettivo relativo alla protezione della sicurezza e dell’incolumità pubbliche. Tale idoneità, riconosciuta da tempo sia a livello dell’Unione che a livello mondiale (114), non mi sembra che possa essere messa in discussione con riferimento alla raccolta e al trattamento ulteriore dei dati PNR per quanto riguarda sia i voli extra-UE sia i voli intra-UE (115).

111. Ciò premesso, l’efficacia del sistema di trattamento dei dati PNR istituito dalla direttiva può essere apprezzato solo in concreto, valutando i risultati della sua applicazione (116). In tale ottica, è essenziale che una siffatta efficacia sia oggetto di una valutazione continua sulla base di dati statistici quanto più precisi e attendibili possibile (117). A tal riguardo, la Commissione dovrebbe, a scadenze regolari, procedere ad un riesame analogo a quello già previsto all’articolo 19 della direttiva PNR.

2) Sul carattere strettamente necessario dell’ingerenza

112. Benché la Cour constitutionnelle (Corte costituzionale) non abbia sollevato esplicitamente dubbi sul fatto che la direttiva PNR contenga norme chiare, precise e limitate allo stretto necessario per quanto riguarda la delimitazione delle finalità del trattamento dei dati PNR (118), l’analisi della proporzionalità del sistema previsto da tale direttiva, sollecitata dal giudice del rinvio, non può omettere, a mio avviso, l’esame di tale questione (119).

i) Sulla delimitazione delle finalità del trattamento dei dati PNR

113. Una delimitazione chiara delle finalità per le quali l’accesso a dati personali da parte delle autorità competenti, nonché il loro uso ulteriore da parte delle stesse, sono permessi costituisce un requisito essenziale di ogni sistema di trattamento di dati, in particolare nelle attività di contrasto. Il soddisfacimento di tale requisito è peraltro necessario al fine di consentire alla Corte di valutare la proporzionalità delle misure in questione, applicando il test di gravità dell’ingerenza rispetto all’importanza dell’obiettivo perseguito, istituito nella sua giurisprudenza (120).

114. La Corte ha sottolineato l’importanza di una chiara delimitazione delle finalità delle misure che comportano limitazioni dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali segnatamente nella sentenza Digital Rights, nella quale essa ha dichiarato invalida la direttiva 2006/24. Al punto 60 di tale sentenza, la Corte ha osservato che siffatta direttiva non prevedeva «alcun criterio oggettivo che permetta di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, di accertamento o di indagini penali riguardanti reati che possano, con riguardo alla portata e alla gravità dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, essere considerati sufficientemente gravi da giustificare siffatta ingerenza», e che essa si limitava, al contrario, «a rinviare, all’articolo 1, paragrafo 1, in maniera generale ai reati gravi come definiti da ciascuno Stato membro nel proprio diritto interno».

115. L’articolo 1, paragrafo 2, della direttiva PNR enuncia un criterio generale di limitazione delle finalità secondo il quale «[i] dati PNR raccolti a norma della presente direttiva possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi». Tuttavia, diversamente dalla direttiva 2006/24, la direttiva PNR non si limita ad una siffatta enunciazione ma definisce essa stessa, al suo articolo 3, punti 8 e 9, tanto la nozione di «reati di terrorismo» quanto quella di «reati gravi», la prima tramite un rinvio agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio, del 13 giugno 2002, sulla lotta contro il terrorismo (GU 2002, L 164, pag. 3) (sostituita dalla direttiva (UE) 2017/541) (121), la seconda, da un lato, elencando, all’allegato II, le categorie di reati penali rientranti in tale nozione e, dall’altro, fissando una soglia di gravità in termini di durata massima della pena detentiva o della misura di sicurezza con cui tali reati siano punibili.

116. Benché il rinvio alle disposizioni rilevanti della direttiva 2017/541 consenta di caratterizzare in maniera sufficientemente chiara e precisa gli atti che possono essere qualificati come reati di terrorismo ai sensi dell’articolo 3, punto 8, della direttiva PNR, e di valutarne la gravità ai fini della ponderazione dell’importanza dell’obiettivo di salvaguardia della sicurezza pubblica perseguito da tale direttiva e della gravità dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta che essa comporta, la stessa conclusione non si impone con un’evidenza analoga nel caso di tutti i reati elencati all’allegato II.

117. Al punto 177 del parere 1/15, la Corte ha riconosciuto che il progetto di accordo PNR Canada-UE definiva con chiarezza e precisione il grado di gravità dei reati contemplati dalla nozione di «reati gravi di natura transnazionale», imponendo che tali reati siano «punibili con una pena privativa della libertà non inferiore nel massimo a quattro anni o con una pena più severa», rinviando «ai reati definiti dal diritto canadese» ed enunciando «le diverse ipotesi nelle quali un reato è ritenuto di natura transnazionale».

118. Rispetto alla normativa esaminata dalla Corte in tale parere, la direttiva PNR, in primo luogo, non tiene conto, nella definizione dei reati contemplati, del loro carattere transnazionale; in secondo luogo, prevede un catalogo tassativo di reati che, per loro natura, sono considerati rientranti nei reati gravi, a condizione di raggiungere il minimo di pena massima previsto all’articolo 3, punto 9, di tale direttiva; e, in terzo luogo, abbassa, in linea di principio, la soglia di gravità, adottando un criterio fondato sul livello della pena massima e fissando tale soglia a tre anni.

119. Per quanto riguarda, in primo luogo, l’assenza di un criterio di limitazione fondato sul carattere transnazionale, è ben vero che circoscrivere l’ambito di applicazione ratione materiae della direttiva PNR ai soli reati «transfrontalieri» gravi avrebbe consentito di focalizzarsi su reati idonei, per loro natura, a presentare, quantomeno potenzialmente, un legame oggettivo con i viaggi aerei e, di conseguenza, con le categorie di dati raccolti e trattati in applicazione della direttiva PNR (122). Tuttavia condivido, in linea di principio, il punto di vista espresso dalla Commissione secondo il quale, diversamente che nel contesto di un accordo internazionale, la rilevanza e la necessità di un siffatto criterio è meno evidente nel caso di uno strumento di lotta contro la criminalità il cui obiettivo consista nel proteggere la sicurezza interna dell’Unione. Peraltro, sempre come affermato dalla Commissione, l’assenza di elementi transfrontalieri non è di per sé un indizio che consenta di escludere la gravità di un reato.

120. Per quanto riguarda, in secondo luogo, il criterio che fissa la soglia di gravità dei reati previsti – il quale, al fine di consentire una valutazione ex ante di tale gravità, deve essere interpretato nel senso che esso si riferisce alla durata massima della pena detentiva o della misura di sicurezza prevista dalla legge e non a quella che può essere concretamente irrogata in un caso particolare – tale criterio, pur fondandosi sul minimo di pena massima e non sul minimo di pena minima, non è di per sé inadatto ad individuare un livello sufficiente di gravità idoneo a giustificare l’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, causata dai trattamenti di dati previsti dalla direttiva PNR. Esso deve tuttavia essere interpretato, a mio avviso, come un criterio che individua un livello di gravità «minimo». In tal senso un siffatto criterio, benché vieti agli Stati membri di considerare «reati gravi» i reati di cui all’allegato II per i quali il loro diritto penale nazionale preveda una pena detentiva o una misura di sicurezza di durata massima inferiore a tre anni, non li obbliga, per contro, a riconoscere automaticamente una siffatta qualificazione a tutti i reati idonei ad essere inclusi in detto allegato II i quali siano punibili con una pena che raggiunge la soglia prevista all’articolo 3, punto 9, della direttiva PNR qualora, alla luce delle specificità del loro sistema penale, un siffatto riconoscimento darebbe luogo ad un ricorso al regime previsto dalla direttiva PNR a fini di prevenzione, accertamento, indagine e azione penale nei confronti di reati comuni, contrario alle finalità perseguite da tale direttiva.

121. Per quanto riguarda, in terzo luogo, il catalogo dell’allegato II, occorre rilevare, anzitutto, che la circostanza che la direttiva PNR elenchi tassativamente i reati che rientrano nella definizione di «reati gravi» costituisce una garanzia formale e sostanziale fondamentale, al fine di garantire la legalità del sistema istituito dalla direttiva PNR e la certezza del diritto dei passeggeri. È giocoforza constatare, tuttavia, che detto catalogo include sia reati che, per loro natura, rivestono un livello di gravità pacificamente elevato – quali, ad esempio, la tratta di esseri umani, lo sfruttamento sessuale di minori e la pedopornografia, il traffico illecito di armi o di materiali nucleari o radioattivi, il dirottamento di aeromobili/navi, i reati che rientrano nella competenza giurisdizionale della Corte penale internazionale, l’omicidio volontario, lo stupro, il rapimento, il sequestro e la presa di ostaggi (123) – sia reati in relazione ai quali un siffatto livello di gravità risulta meno evidente come, ad esempio, la frode, la contraffazione e pirateria di prodotti, la falsificazione di atti amministrativi e il traffico di documenti falsi, nonché il traffico di autoveicoli rubati (124). Peraltro, fra i reati inclusi nell’allegato II, alcuni sono maggiormente idonei rispetto ad altri a rivestire, per la loro stessa natura, un carattere transnazionale, come la tratta di esseri umani, il traffico illecito di stupefacenti o di armi, lo sfruttamento sessuale di minori, il favoreggiamento dell’ingresso e del soggiorno illegali, il dirottamento di aeromobili, e di presentare così un collegamento con il trasporto aereo di passeggeri.

122. Quanto al carattere sufficientemente chiaro e preciso delle rubriche figuranti all’allegato II, anche in tal caso il livello è estremamente variabile. Così, benché l’elenco contenuto in tale allegato debba essere considerato tassativo, molte delle sue rubriche hanno carattere «aperto» (125), mentre altre rinviano a nozioni generiche, idonee ad includere un numero estremamente ampio di reati di diversa gravità, benché sempre nel limite della soglia massima prevista all’articolo 3, punto 9, della direttiva PNR (126).

123. A tal riguardo rilevo, da un lato, che le direttive di armonizzazione adottate nei settori di cui all’articolo 83, paragrafo 1, TFUE, menzionate alla nota 123 delle presenti conclusioni, forniscono elementi rilevanti che consentono di individuare quantomeno alcuni dei reati penali gravi che possono rientrare nelle corrispondenti rubriche dell’allegato II. In tal senso, in particolare, la direttiva 2013/40 definisce, ai suoi articoli da 3 a 8, diversi reati penali rientranti nella nozione di «criminalità informatica» di cui al punto 9 di tale allegato II, premurandosi, in ciascun caso, di escludere gli atti che costituiscono «casi (…) di minore gravità» (127). Analogamente, la direttiva 2019/713 definisce talune tipologie di reati di frode, e la direttiva 2017/1371 definisce gli elementi costitutivi di una «frode che lede gli interessi finanziari dell’Unione». In tale contesto, occorre parimenti menzionare la direttiva 2008/99/CE, adottata sulla base dell’articolo 175, paragrafo 1, CE, sulla tutela penale dell’ambiente (128), la quale definisce, al suo articolo 3, una serie di infrazioni ambientali gravi, idonee ad essere incluse nella rubrica 10 dell’allegato II, compresi gli atti qualificabili come «traffico illecito di specie animali protette e [come] traffico illecito di specie e di essenze vegetali protette», escludendo ogni condotta che abbia un impatto trascurabile sul bene protetto. Ricorderò, infine, la direttiva 2002/90/CE (129), la quale definisce il favoreggiamento dell’ingresso, del transito e del soggiorno illegali, nonché la decisione quadro 2002/946/GAI (130), diretta a rafforzare il quadro penale per la repressione di tali reati, la decisione quadro 2003/568/GAI (131), la quale definisce i reati penali qualificati come «corruzione attiva e passiva nel settore privato», e la decisione quadro 2008/841/GAI (132), la quale definisce i reati relativi alla partecipazione ad un’organizzazione criminale.

124. Dall’altro lato, rilevo, come osservato correttamente dalla Commissione, che, in assenza di un’armonizzazione completa del diritto penale sostanziale, al legislatore dell’Unione non può essere addebitato di non avere specificato ulteriormente i reati di cui all’allegato II. Così, a differenza di quanto verrà osservato nel prosieguo delle presenti conclusioni in relazione all’elenco dei dati PNR contenuto all’allegato I, la trasposizione in diritto interno del catalogo di reati dell’allegato II esige necessariamente dagli Stati membri che essi definiscano, in funzione delle specificità dei loro sistemi penali nazionali, i reati che possono essere contemplati. Tale operazione deve tuttavia essere effettuata nel pieno rispetto del criterio secondo il quale qualsiasi ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta deve essere limitata allo stretto necessario. In tal senso, per esempio, non è escluso, a mio avviso, che gli Stati membri prevedano che l’utilizzazione dei dati PNR sia limitata, per taluni reati come, ad esempio, quelli previsti ai punti 7, 16, 17, 18, 25 dell’allegato II, ai casi in cui tali reati rivestano carattere transfrontaliero, oppure siano commessi nell’ambito di un’organizzazione criminale, o comportino determinate circostanze aggravanti. Incomberà ai giudici degli Stati membri, sotto il controllo della Corte, interpretare le disposizioni nazionali che traspongono detto catalogo in diritto interno in maniera conforme sia alla direttiva PNR sia alla Carta, affinché il trattamento dei dati PNR resti limitato, per ciascuna rubrica, ai reati che raggiungono il livello di gravità elevato richiesto da tale direttiva, nonché ai reati per i quali un siffatto trattamento risulta pertinente (133).

125. Fatte salve le precisazioni apportate ai paragrafi 120 e 124 delle presenti conclusioni, ritengo che l’articolo 3, punto 9, della direttiva PNR, nonché il catalogo di reati contenuto al suo allegato II, soddisfino i requisiti di chiarezza e precisione e non eccedano i limiti dello stretto necessario.

126. È giocoforza riconoscere, tuttavia, che la soluzione illustrata al paragrafo 124 delle presenti conclusioni non soddisfa pienamente. Infatti, da un lato, essa lascia un ampio potere discrezionale agli Stati membri, cosicché l’ambito di applicazione ratione materiae del trattamento dei dati PNR può variare sensibilmente da uno Stato membro all’altro, compromettendo in tal modo l’obiettivo di armonizzazione perseguito dal legislatore dell’Unione (134). Dall’altro, essa implica che il controllo di proporzionalità su un elemento essenziale del sistema, come la limitazione delle finalità di tale trattamento, venga esercitato ex post sulle misure nazionali di trasposizione, piuttosto che ex ante sulla direttiva PNR stessa. Sarebbe pertanto auspicabile che, nel caso in cui la Corte decidesse, come le suggerisco di fare, di considerare l’articolo 3, punto 9, della direttiva PNR nonché il catalogo di reati contenuto al suo allegato II conformi agli articoli 7, 8 e all’articolo 52, paragrafo 1, della Carta, essa attiri l’attenzione del legislatore dell’Unione sul fatto che una siffatta valutazione è soltanto provvisoria e implica da parte di tale legislatore che esso verifichi, alla luce della trasposizione di tale disposizione e di tale catalogo fatta dagli Stati membri, nonché sulla base delle statistiche di cui all’articolo 20 della direttiva PNR, la necessità di: i) specificare ulteriormente, restringendone la portata, le categorie di reati previste da detto catalogo; ii) rimuovere dal medesimo i reati per i quali il trattamento dei dati PNR risulti o sproporzionato o irrilevante o inefficace; iii) innalzare la soglia di gravità dei reati di cui all’articolo 3, punto 9, della direttiva PNR (135). A tal riguardo, rilevo che, benché l’articolo 19, paragrafo 2, lettera b), della direttiva PNR imponga alla Commissione di procedere al riesame di tutti gli elementi di tale direttiva, prestando particolare attenzione «alla necessità e alla proporzionalità della raccolta e del trattamento dei dati PNR per ciascuna delle finalità di cui [a tale] direttiva», né la relazione della Commissione del 2020 né il documento di lavoro del 2020 che l’accompagna contengono, a mio avviso, un esame soddisfacente sul punto.

ii) Sulle categorie di dati PNR contemplate dalla direttiva PNR (seconda e terza questione pregiudiziale)

127. La direttiva PNR prevede il trasferimento alle UIP di 19 categorie di dati PNR raccolti dai vettori aerei ai fini della prenotazione di voli. Tali categorie, elencate nell’allegato I, corrispondono a quelle che risultano nei sistemi di prenotazione delle compagnie aeree e a quelle elencate all’allegato I degli orientamenti sui dati del codice di prenotazione adottate dall’Organizzazione internazionale dell’aviazione civile (OACI) nel 2010 (136) (in prosieguo: gli «orientamenti dell’OACI»).

128. Con la sua seconda questione pregiudiziale, il giudice del rinvio si interroga sulla validità dell’allegato I alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta, tenuto conto, da un lato, dell’ampiezza dei dati personali elencati a tale allegato – e segnatamente dei dati API di cui al punto 18 dello stesso, nella misura in cui eccedono i dati elencati all’articolo 3, paragrafo 2, della direttiva API – e, dall’altro, della possibilità che tali dati, considerati complessivamente, rivelino dati delicati e violino così i limiti dello «stretto necessario». Con la sua terza questione pregiudiziale – la quale verte, come ho già avuto occasione di sottolineare, sul rispetto della prima delle tre condizioni di cui all’articolo 52, paragrafo 1, della Carta, secondo la quale eventuali ingerenze in un diritto fondamentale devono essere «previste dalla legge» – la Cour constitutionnelle (Corte costituzionale) interpella per contro la Corte in merito alla validità dei punti 12 e 18 dell’allegato I, tenuto conto segnatamente del loro carattere «aperto».

129. Poiché l’esame da effettuare nell’ambito della seconda questione pregiudiziale presuppone quello sul carattere sufficientemente chiaro e preciso delle categorie di dati personali di cui all’allegato I, esaminerò per prima la terza questione pregiudiziale.

– Sul carattere sufficientemente chiaro e preciso dei punti 12 e 18 dell’allegato I (terza questione pregiudiziale)

130. Occorre rilevare, in via preliminare, che la portata e la gravità dell’ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta che comporta una misura che introduce limitazioni all’esercizio di tali diritti dipende, anzitutto, dalla portata e dalla natura dei dati personali che costituiscono l’oggetto del trattamento. L’individuazione di tali dati costituisce dunque un’operazione essenziale, alla quale ogni fondamento giuridico che introduca una siffatta misura deve obbligatoriamente procedere nel modo più chiaro e preciso possibile.

131. Tale requisito è stato riconosciuto, con riferimento al trattamento dei dati PNR, dal parere 1/15. Pronunciandosi in relazione alle rubriche figuranti all’allegato del progetto di accordo PNR Canada-UE contenente l’elenco dei dati PNR contemplati dall’accordo previsto, la Corte ha segnatamente giudicato, in tale parere, che il ricorso a categorie generali di informazioni che non determinano a sufficienza la portata dei dati da trasferire, nonché il ricorso ad elenchi esemplificativi di dati che non fissano alcun limite riguardo alla natura e alla portata delle informazioni che possono figurare nella rubrica interessata non soddisfacevano i requisiti di chiarezza e precisione.

132. È alla luce di tali principi che occorre esaminare la terza questione pregiudiziale.

133. Per quanto riguarda il punto 12 dell’allegato I, esso così recita:

«Osservazioni generali (comprese tutte le informazioni disponibili sui minori non accompagnati di età inferiore a 18 anni, quali nome e sesso del minore, età, lingua o lingue parlate, nome e recapito dell’accompagnatore alla partenza e relazione con il minore, nome e recapito dell’accompagnatore all’arrivo e relazione con il minore, agente alla partenza e all’arrivo)».

134. Per quanto riguarda le «osservazioni generali», tale punto costituisce, al pari della rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE, una rubrica detta «testo libero», volta a includere tutte le informazioni raccolte dai vettori aerei nell’ambito della loro attività di prestazione di servizi, oltre a quelle espressamente elencate agli altri punti dell’allegato I. Orbene, è giocoforza constatare, come fatto dalla Corte al punto 160 del parere 1/15, che una rubrica di questo tipo «non fornisce alcuna indicazione sulla natura e sulla portata delle informazioni che devono essere trasmesse, e sembra persino che possa includere informazioni prive di qualsiasi connessione con la finalità del trasferimento dei dati PNR». Inoltre, dal momento che la precisazione fra parentesi figurante nel testo del punto 12 dell’allegato I, concernente le informazioni sui minori non accompagnati, è fornita soltanto a titolo esemplificativo, come testimoniato dall’uso del termine «comprese», tale punto non fissa alcun limite riguardo alla natura e alla portata delle informazioni che possono figurarvi (137).

135. In tali circostanze, non si può ritenere che il punto 12 dell’allegato I sia delimitato con sufficiente chiarezza e precisione.

136. Mentre la Commissione e il Parlamento sembrano condividere tale conclusione, gli Stati membri che hanno presentato osservazioni sulla terza questione pregiudiziale, nonché il Consiglio, vi si oppongono, e ciò sulla base di argomentazioni ampiamente coincidenti.

137. In primo luogo, una prima serie di argomenti è intesa, in generale, a mettere in discussione la possibilità di trasporre alla presente causa le conclusioni alle quali la Corte è pervenuta nel parere 1/15.

138. A tal riguardo, pur essendo consapevole della differenza di contesto che caratterizza le due cause, mi limiterò ad osservare in questa sede che la conclusione alla quale la Corte è giunta, al punto 160 del parere 1/15, in relazione alla rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE era fondata su un’interpretazione esclusivamente semantica e strutturale di tale rubrica. Orbene, una siffatta interpretazione è perfettamente trasponibile al punto 12 dell’allegato I il cui testo è, per la parte non esemplificativa, identico a quello di detta rubrica e presenta una struttura analoga. Peraltro, come si vedrà più in dettaglio nel prosieguo, le due regole in questione si inseriscono nel medesimo contesto normativo multilaterale, costituito segnatamente dagli orientamenti dell’OACI, peraltro richiamati espressamente dalla Corte al punto 156 del parere 1/15. In tali circostanze, non solo nulla osta a che si segua, per il punto 12 dell’allegato I, la stessa interpretazione adottata dalla Corte al punto 160 del parere 1/15 per la rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE, ma soprattutto nulla giustifica che ci si discosti dalla medesima.

139. In secondo luogo, un numero elevato di Stati membri sottolinea che i diversi punti dell’allegato I, incluso il punto 12, corrispondono alle rubriche dell’allegato I agli orientamenti dell’OACI, ben noti ai vettori aerei e ai quali essi sono perfettamente in grado di attribuire un contenuto preciso. Tale punto 12 corrisponderebbe segnatamente alle ultime due rubriche di detto allegato, intitolate rispettivamente «Osservazioni generali» e «Testo libero/campi codice in OSI [Other Supplementary Information], SSR [Special Service Request], SSI [Special Service Information], osservazioni/cronistoria» e aventi ad oggetto «informazioni supplementari» o «relative a servizi richiesti» (138).

140. A tal riguardo, osservo anzitutto che la corrispondenza fra le rubriche dell’allegato I al progetto di accordo PNR Canada-UE, da un lato, e le rubriche dell’allegato I agli orientamenti dell’OACI, dall’altro, non ha impedito alla Corte di dichiarare, nel parere 1/15, che alcune rubriche figuranti all’allegato I di detto progetto di accordo non soddisfacevano i requisiti di chiarezza e precisione ai quali deve rispondere una misura che limiti l’esercizio di diritti fondamentali. Rilevo poi che un rinvio, peraltro non esplicito (139), agli orientamenti dell’OACI non consente, contrariamente a quanto taluni Stati membri sembrano ritenere, di specificare ulteriormente la natura e la portata delle informazioni che possono essere contemplate al punto 12 dell’allegato I. Al contrario, la lettura di tali orientamenti rafforza la conclusione secondo la quale una rubrica «a testo libero», quale detto punto 12, include un numero indefinito di informazioni di diversa natura oltre a quelle che figurano d’ufficio nei PNR (140).

141. In terzo luogo, taluni governi sostengono che incombe agli Stati membri, tramite provvedimenti legislativi interni e nel rispetto dei limiti imposti dagli articoli 7, 8 e dall’articolo 52, paragrafo 1, della Carta, precisare le informazioni che possono figurare al punto 12 dell’allegato I. Infatti, sarebbe nella natura stessa di una direttiva lasciare agli Stati membri un margine discrezionale per quanto riguarda i mezzi necessari per attuare le disposizioni da essa enunciate.

142. A tal riguardo, come ho già illustrato al paragrafo 86 delle presenti conclusioni, ritengo che, qualora talune misure che comportano ingerenze nei diritti fondamentali istituiti dalla Carta abbiano origine da un atto legislativo dell’Unione, incomba al legislatore dell’Unione fissare, nel rispetto dei summenzionati criteri di chiarezza e precisione, nonché del principio di proporzionalità, la portata esatta di tali ingerenze. Ne consegue che, qualora lo strumento scelto da tale legislatore sia una direttiva, non può essere delegata agli Stati membri, a mio avviso, in sede di trasposizione della stessa nei loro diritti nazionali, la determinazione di elementi essenziali che definiscano la portata dell’ingerenza come, nel caso di limitazioni ai diritti fondamentali enunciati agli articoli 7 e 8 della Carta, la natura e la portata dei dati personali sottoposti a trattamento.

143. In quarto luogo, taluni Stati membri osservano che il punto 12 dell’allegato I deve essere inteso nel senso che esso riguarda unicamente informazioni che presentano un collegamento con la prestazione di trasporto. Così interpretato, tale punto sarebbe compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta.

144. Neanche tale argomento mi convince. Anzitutto, infatti, le informazioni che possono figurare in una rubrica «osservazioni generali» e ai codici OSI, SSI, e SSR rivestono una natura estremamente eterogenea (cure mediche, pasti speciali o preferenze alimentari, qualsiasi richiesta di assistenza, informazioni sui minori che viaggiano soli, ecc.) (141) e presentano tutte un collegamento con la prestazione di trasporto nella misura in cui sono intese, segnatamente, a consentire al vettore aereo di adeguare tale prestazione alle esigenze di ciascun passeggero. Un criterio interpretativo fondato sulla rilevanza dell’informazione rispetto alla prestazione di trasporto non consentirebbe dunque di specificare ulteriormente la portata di detto punto 12. Rilevo poi che, avendo al contempo fatto ricorso, al punto 159 del parere 1/15, a tale criterio al fine di interpretare, in maniera conforme ai requisiti di chiarezza e precisione, una diversa rubrica dell’allegato al progetto di accordo PNR Canada-UE, la Corte ha cionondimeno escluso di poter procedere in tal modo nel caso della rubrica 17 di tale allegato, corrispondente al punto 12 dell’allegato I.

145. In quinto luogo, taluni Stati membri hanno posto l’accento sul fatto che le informazioni destinate ad essere contemplate al punto 12 dell’allegato I vengono volontariamente fornite ai vettori aerei dai passeggeri stessi, i quali vengono debitamente informati del trasferimento ulteriore di tali dati alle pubbliche autorità. Mi sembra che l’idea sottesa ad un siffatto argomento sia che esista una sorta di consenso implicito da parte del passeggero interessato a che i dati che lo stesso fornisce alle compagnie aeree vengano successivamente trasferiti alle pubbliche autorità.

146. A tal riguardo, la Corte ha già avuto occasione di precisare che non sussiste un «consenso» qualora la persona interessata non possa liberamente opporsi al trattamento dei suoi dati personali (142). Orbene, per gran parte delle informazioni che possono figurare al punto 12 dell’allegato I, il passeggero interessato non dispone di una scelta vera e propria, ma è tenuto a fornirle per poter beneficiare della prestazione di trasporto. Ciò vale, segnatamente, per le persone con disabilità o a mobilità ridotta o per le persone che necessitano di cure mediche o, ancora, per i minori non accompagnati. Ricordo inoltre che, ai punti 142 e 143 del parere 1/15, la Corte ha chiaramente affermato che i trattamenti dei dati PNR da parte delle autorità pubbliche, i quali perseguono una finalità diversa rispetto a quella per la quale tali dati sono raccolti dai vettori aerei, non possono essere considerati come basati su una qualsivoglia forma di consenso dato dai passeggeri ai fini di tale raccolta.

147. Infine, la maggior parte degli Stati membri fa valere che i trattamenti di dati previsti dalla direttiva PNR sono corredati da numerose garanzie fra le quali, per quanto riguarda il trasferimento di dati alle UIP, l’obbligo ad esse incombente di cancellare i dati non figuranti all’allegato I nonché i dati che possono rivelare l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato.

148. A tal riguardo dirò anzitutto che, a mio avviso, la valutazione del carattere sufficientemente chiaro e preciso delle norme che definiscono la portata e la natura dei dati che possono essere oggetto di un trasferimento alle pubbliche autorità, nella misura in cui è intesa ad assicurare che una misura che comporta ingerenze nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta rispetti i principi di legalità e di certezza del diritto, deve essere svolta senza tenere conto delle garanzie che accompagnano i trattamenti ai quali tali dati saranno sottoposti da dette autorità; tali garanzie vanno prese in considerazione solo in sede di esame della proporzionalità della misura in questione. È peraltro in tal modo che la Corte ha proceduto, ai punti da 155 a 163 del parere 1/15, alla sua valutazione delle rubriche del progetto di accordo PNR Canada-UE. Aggiungo, in maniera più generale, che dovrebbe essere prestata un’attenzione particolare alla necessità di mantenere una netta distinzione fra le diverse fasi che l’esame di una misura che dà luogo ad ingerenze nei diritti fondamentali comporta, poiché una commistione fra tali diverse fasi va sempre a scapito, a mio avviso, di una protezione effettiva dei medesimi.

149. Ciò premesso mi limito a rilevare, in questa sede, da un lato, che l’obbligo incombente alle UIP, in conformità all’articolo 6, paragrafo 1, della direttiva PNR, di cancellare i dati diversi da quelli elencati all’allegato I è utile solo se tale allegato contiene un catalogo chiaro e tassativo dei dati da trasferire. Lo stesso vale per l’obbligo delle UIP, in conformità all’articolo 13, paragrafo 4, della direttiva PNR, di cancellare i dati cosiddetti «sensibili» (143). Infatti, una definizione eccessivamente vaga, imprecisa o aperta delle informazioni che devono essere trasmesse accresce sia la probabilità che siffatti dati siano indirettamente oggetto di trasferimento, sia il rischio che essi non vengano immediatamente individuati e cancellati. In altri termini, le summenzionate garanzie possono assolvere utilmente alla loro funzione solo se le norme che definiscono la natura e la portata dei dati PNR che i vettori aerei sono chiamati a trasferire alle UIP sono sufficientemente chiare e precise e se l’elenco di tali dati presenta un carattere tassativo ed esaustivo.

150. Sulla base dell’insieme delle considerazioni che precedono, e come ho anticipato al paragrafo 135 delle presenti conclusioni, ritengo che il punto 12 dell’allegato I, nella parte in cui include le «osservazioni generali» fra i dati che i vettori aerei sono tenuti a trasferire alle UIP in conformità alla direttiva PNR, non soddisfi i requisiti di chiarezza e precisione richiesti all’articolo 52, paragrafo 1, della Carta, come interpretato dalla Corte (144), e che dovrebbe, pertanto, essere, in tale misura, dichiarato invalido.

151. Nelle loro osservazioni scritte, la Commissione e il Parlamento hanno suggerito alla Corte di fare piuttosto ricorso ad un’«interpretazione conforme» del punto 12 dell’allegato I, leggendolo nel senso che esso riguarda unicamente le informazioni sui minori che sono ivi esplicitamente menzionate fra parentesi. Confesso di avere qualche difficoltà nel ritenere che una siffatta lettura rispetti i limiti di una mera interpretazione conforme. È vero che, secondo un principio ermeneutico generale, un atto dell’Unione dev’essere interpretato, nei limiti del possibile, in modo da non rimettere in discussione la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta (145). È altrettanto vero che, nel caso della direttiva PNR, la possibilità di una simile interpretazione risulta favorita dall’accento posto, segnatamente, da un elevato numero di considerando di tale direttiva sul pieno rispetto dei diritti fondamentali, del diritto al rispetto della vita privata nonché del principio di proporzionalità (146). Tuttavia, è parimenti giurisprudenza costante che un’interpretazione conforme è ammessa solo qualora una norma di diritto derivato dell’Unione ammetta più di un’interpretazione, e che sia pertanto possibile dare la preferenza a quella che renda la norma stessa conforme al diritto primario rispetto a quella che porti a constatare la sua incompatibilità con lo stesso (147).

152. Orbene, il punto 12 dell’allegato I non è idoneo, a mio avviso, ad essere interpretato nel senso suggerito dalla Commissione e dal Parlamento, salvo darne una lettura «contra legem». Infatti, tale punto prende in considerazione, come ho illustrato prima, una categoria ampia di dati di natura diversa, non individuabili a priori, rispetto alla quale i dati sui minori costituiscono unicamente una sottocategoria. Leggere tale punto nel senso che esso riguardi unicamente tale sola sottocategoria equivarrebbe non solo ad ignorare una parte del suo testo, ma sovvertirebbe anche l’ordine logico dell’enunciato che tale punto contiene. Una simile operazione, consistente in sostanza nell’eliminare la parte del testo del punto 12 dell’allegato I considerata non conforme ai requisiti di chiarezza e precisione, può essere effettuata, a mio avviso, solo pronunciando un annullamento parziale.

153. Per quanto riguarda la restante parte del punto 12 dell’allegato I, la quale elenca una serie di dati concernenti i minori non accompagnati, ritengo che essa soddisfi i requisiti di chiarezza e precisione a condizione che essa sia interpretata nel senso che copre unicamente le informazioni concernenti i minori non accompagnati, che siano direttamente connesse al volo e che siano espressamente contemplate da tale punto.

154. Per quanto riguarda il punto 18 dell’allegato I, esso così recita:

«Informazioni anticipate sui passeggeri (API) eventualmente raccolte (tra cui: tipo, numero, paese di rilascio e data di scadenza del documento, cittadinanza, cognome, nome, sesso, data di nascita, compagnia aerea, numero di volo, data di partenza, data di arrivo, aeroporto di partenza, aeroporto di arrivo, ora di partenza e ora di arrivo)».

155. Tale punto presenta una struttura analoga a quella del punto 12 dell’allegato I. Anch’esso menziona una categoria generale di dati, ossia le informazioni anticipate sui passeggeri (Advance Passenger Information – API), seguita, fra parentesi, da un elenco di dati considerati inclusi in tale categoria generale, il quale viene fornito a titolo meramente esemplificativo, come attestato dall’impiego dell’espressione «tra cui».

156. Tuttavia, contrariamente al punto 12 dell’allegato I, il punto 18 di tale allegato rinvia ad una categoria di dati meglio identificabili per quanto riguarda sia la loro natura sia la loro portata. Infatti, dal considerando 4 della direttiva PNR si evince che, quando fa riferimento a tale categoria di dati, essa prende in considerazione le informazioni che, in conformità alla direttiva API, alla quale tale considerando rinvia espressamente, formano oggetto di trasmissione da parte dei vettori aerei alle competenti autorità nazionali, al fine di migliorare i controlli alle frontiere e combattere l’immigrazione irregolare. Tali dati sono elencati all’articolo 3, paragrafo 2, di quest’ultima direttiva.

157. Inoltre, dal considerando 9 (148) della direttiva PNR, nonché dall’articolo 3, paragrafo 2, della direttiva API e dall’elenco esemplificativo contenuto al punto 18 dell’allegato I risulta che i dati API contemplati da detto punto sono, da un lato, dati biografici che consentono di verificare l’identità del passeggero aereo e, dall’altro, dati concernenti il volo prenotato. Per quanto riguarda, più precisamente, la prima categoria, quella dei dati biografici, le informazioni elencate all’articolo 3, paragrafo 2, della direttiva API e al punto 18 dell’allegato I comprendono dati, generati al momento della registrazione, idonei ad essere raccolti dalla banda a lettura ottica di un passaporto (o di un altro documento di viaggio) (149).

158. Pertanto, il punto 18 dell’allegato I, interpretato alla luce dei considerando 4 e 9 della direttiva PNR, individua in linea di principio con sufficiente chiarezza e precisione quantomeno la natura dei dati che esso prende in considerazione.

159. Quanto alla loro portata, è giocoforza constatare, da un lato, che l’articolo 3, paragrafo 2, della direttiva API è redatto anch’esso in maniera «aperta», poiché l’elenco di dati da esso enumerati è preceduto dall’espressione «dette informazioni comprendono» (150), e, dall’altro, che, nella categoria dei dati API, come definita negli atti multilaterali di armonizzazione in materia, figurano parimenti dati diversi da quelli previsti sia dalla direttiva API sia dal punto 18 dell’allegato I (151).

160. In tali circostanze, affinché il punto 18 dell’allegato I soddisfi i requisiti di chiarezza e precisione richiesti ai fondamenti normativi che comportano ingerenze negli articoli 7 e 8 della Carta, esso deve essere interpretato nel senso che copre unicamente i dati API espressamente elencati a tale punto, nonché all’articolo 3, paragrafo 2, della direttiva API, raccolti dai vettori aerei nel normale svolgimento delle loro attività (152).

161. Occorre passare brevemente in rassegna, in questa fase, gli altri punti dell’allegato I che, alla luce del loro testo, presentano parimenti un carattere «aperto» o che non sono sufficientemente precisi, e ciò nonostante il giudice del rinvio non abbia espressamente interpellato la Corte riguardo ai medesimi (153).

162. Per quanto riguarda, anzitutto, il punto 5 dell’allegato I, che menziona «indirizzo, recapito telefonico e indirizzo di posta elettronica», benché si debba ritenere che esso prenda in considerazione soltanto i dati personali espressamente menzionati fra parentesi e presenti pertanto carattere tassativo, lo stesso non precisa tuttavia, come avveniva nel caso della corrispondente rubrica del progetto di accordo PNR Canada-UE (154), se tali dati si riferiscano al solo viaggiatore o ai terzi che abbiano effettuato la prenotazione del volo per il passeggero aereo, ai terzi tramite i quali un passeggero aereo può essere raggiunto, o ancora ai terzi che debbano essere informati in caso di urgenza (155). Alla luce del fatto che interpretare il punto 5 dell’allegato I nel senso che esso comprenda anche le categorie dei summenzionati terzi estenderebbe a soggetti diversi dai passeggeri aerei ai sensi dell’articolo 3, punto 4, della direttiva PNR l’ingerenza che la direttiva PNR comporta, suggerisco alla Corte, in assenza di dati precisi che consentano di ritenere che l’acquisizione sistematica e generalizzata dei dati personali di tali terzi costituisca un elemento strettamente necessario all’efficacia del sistema di trattamento dei dati PNR istituito da tale direttiva, di interpretare detto punto nel senso che esso prende in considerazione unicamente i dati personali ivi espressamente menzionati e riguardanti il passeggero aereo in nome del quale viene effettuata la prenotazione. Vero è che la direttiva PNR non esclude che possano essere oggetto di trasferimento alle UIP anche dati personali di soggetti diversi dal passeggero aereo (156). Tuttavia, è essenziale che le ipotesi in cui ciò è possibile vengano indicate in maniera chiara ed esplicita, come avviene nel caso degli agenti di viaggio, menzionati all’allegato I, punto 9, o degli accompagnatori dei minori che viaggiano soli, di cui al punto 12 di tale allegato. Infatti, è soltanto qualora tale condizione sia soddisfatta che si può ritenere che la decisione di includere tali dati in quelli che devono essere trasferiti alle UIP sia stata oggetto di una ponderazione fra i diversi interessi coinvolti, ai sensi del considerando 15 della direttiva PNR, e che i terzi interessati possono essere adeguatamente informati del trattamento dei loro dati personali.

163. Per quanto riguarda, poi, il punto 6 dell’allegato I, riguardante «[i]nformazioni su tutte le modalità di pagamento, compreso l’indirizzo di fatturazione», al pari di quanto dichiarato dalla Corte al punto 159 del parere 1/15, in relazione alla corrispondente rubrica dell’allegato del progetto di accordo PNR Canada-UE, per rispondere ai requisiti di chiarezza e precisione, tale punto deve essere interpretato come facente «riferimento soltanto alle informazioni relative alle modalità di pagamento e alla fatturazione del biglietto aereo, ad esclusione di qualsiasi altra informazione che non sia direttamente connessa al volo». Pertanto tali informazioni non possono includere, ad esempio, le informazioni relative alle modalità di pagamento di altri servizi non direttamente connessi al volo, come il noleggio di un veicolo all’arrivo (157).

164. Quanto al punto 8, concernente le «informazioni sui viaggiatori abituali (“Frequent flyer”)», esso è definito dalle norme dell’OACI come vertente sul numero di conto e sullo status di viaggiatore abituale (158). Interpretato in tal senso, tale punto soddisfa i requisiti di chiarezza e precisione.

165. Per quanto riguarda il punto 10 dell’allegato I, avente ad oggetto lo «[s]tatus di viaggio del passeggero, inclusi conferme, check-in, precedenti assenze all’imbarco o passeggero senza prenotazione», e il punto 13 di tale allegato, concernente i «[d]ati sull’emissione del biglietto, compresi il numero del biglietto, la data di emissione del biglietto, i biglietti di sola andata, i campi ATFQ», malgrado la loro formulazione aperta, tali punti riguardano unicamente informazioni estremamente precise e chiaramente individuabili, direttamente connesse al volo. Lo stesso vale per il punto 14 dell’allegato I, concernente le «informazioni sul posto, compreso il numero di posto assegnato», e per il punto 16 di tale allegato, riguardante «tutte le informazioni relative al bagaglio».

– Sulla portata dei dati elencati all’allegato I (seconda questione pregiudiziale)

166. Fra gli elementi di cui la Corte tiene conto per valutare il carattere proporzionato di una misura che comporti ingerenze nei diritti sanciti agli articoli 7 e 8 della Carta figura il carattere adeguato, pertinente e non eccessivo dei dati personali trattati (principio della «minimizzazione dei dati») (159). Lo stesso testo è previsto dalla giurisprudenza della Corte EDU (160) ed è raccomandato dalla convenzione 108 (161).

167. Dal considerando 15 della direttiva PNR risulta che l’elenco dei dati PNR che deve essere ottenuto dalle UIP è stato compilato con l’obiettivo sia di riflettere le esigenze legittime delle autorità pubbliche in materia di lotta contro il terrorismo e i reati gravi, sia di proteggere i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, tramite l’applicazione di «norme elevate», conformemente alla Carta, alla convenzione 108 e alla CEDU. Lo stesso considerando precisa che i dati PNR dovrebbero contenere, segnatamente, solo i dati della prenotazione e degli itinerari di viaggio del passeggero sulla cui base le autorità competenti possano identificare i passeggeri aerei che rappresentano una minaccia per la sicurezza interna.

168. Per quanto riguarda, in primo luogo, il carattere adeguato e pertinente dei dati PNR figuranti all’allegato I, i diversi punti di tale allegato, inclusi i punti 5, 6, 8 e 18, come suggerisco di interpretare (162), e il punto 12, ad eccezione della parte che propongo di dichiarare invalida (163), riguardano unicamente dati che forniscono informazioni direttamente connesse ai viaggi aerei rientranti nell’ambito di applicazione della direttiva PNR. Tali dati presentano, inoltre, un collegamento oggettivo con le finalità perseguite da tale direttiva. Più specificamente, i dati API possono essere utilizzati, in particolare, «reattivamente», al fine di identificare una persona già nota alle autorità di contrasto, ad esempio in quanto è sospettata di essere coinvolta in reati terroristici o in reati gravi già commessi o di avere intenzione di commetterli, mentre i dati PNR possono essere utilizzati piuttosto «in tempo reale o proattivamente», al fine di identificare minacce provenienti da persone non ancora note alle autorità di contrasto.

169. Per quanto riguarda, in secondo luogo, la portata dei dati PNR elencati all’allegato I, tali dati, inclusi quelli figuranti ai punti 5, 6, 8, 12 e 18 di tale allegato, come propongo di interpretare ai paragrafi da 134 a 164 delle presenti conclusioni, non risultano eccessivi alla luce, da un lato, dell’importanza dell’obiettivo di sicurezza pubblica perseguito dalla direttiva PNR e, dall’altro, dell’idoneità del regime istituito da tale direttiva a perseguire un siffatto obiettivo.

170. Per quanto riguarda segnatamente i dati API, sui quali si interroga in particolare il giudice del rinvio, rilevo che tali dati, di tipo biografico e relativi alla tratta utilizzata, consentono, di norma, di ricavare unicamente informazioni limitate sulla vita privata dei passeggeri interessati. Peraltro, se è vero che il punto 18 dell’allegato I prende in considerazione informazioni che non figurano fra quelle espressamente menzionate all’articolo 3, paragrafo 2, della direttiva API, tali informazioni, relative all’identità del passeggero aereo (il sesso), al documento di viaggio utilizzato (paese di rilascio, data di scadenza di qualsiasi documento d’identità), o, ancora, al volo utilizzato (compagnia aerea, numero di volo, data e aeroporto di partenza e di arrivo), in parte coincidono o possono essere ricavate dai dati PNR figuranti in altri punti dell’allegato I, ad esempio i punti 3, 7 e 13. Inoltre, nella misura in cui vertono su dati biografici o sui documenti di viaggio utilizzati, dette informazioni sono idonee ad aiutare le autorità di contrasto a verificare l’identità di una persona riducendo così, come rilevato dal considerando 9 della direttiva PNR, il rischio di effettuare controlli e indagini ingiustificati su persone innocenti. Infine, occorre sottolineare che il mero fatto che il punto 18 dell’allegato I includa dati supplementari rispetto a quelli figuranti all’articolo 3, paragrafo 2, della direttiva API non può indurre automaticamente ad affermare il carattere eccessivo di tali dati, nella misura in cui tale direttiva e la direttiva PNR perseguono obiettivi diversi.

171. Quanto ai dati concernenti i minori non accompagnati, elencati al punto 12 dell’allegato I, essi riguardano una categoria vulnerabile di persone che beneficiano di una protezione particolare, anche per quanto riguarda il rispetto della loro vita privata e la protezione dei loro dati personali (164). Ciò non toglie che una limitazione di tali diritti possa risultare necessaria, segnatamente al fine di proteggere i minori da reati gravi di cui possano essere vittime, come la tratta e lo sfruttamento sessuale dei minori o la sottrazione di minori. Non si può dunque ritenere a priori che il punto 12 dell’allegato I, nella misura in cui esige il trasferimento di un numero di dati personali più elevato nel caso dei minori non accompagnati, ecceda quanto strettamente necessario.

172. Pur se i dati personali che i vettori aerei sono tenuti a trasmettere alle UIP in conformità alla direttiva PNR soddisfano, a mio avviso, i requisiti di adeguatezza e pertinenza e pur se la loro portata non eccede quanto strettamente necessario al funzionamento del regime istituito da tale direttiva, ciò non toglie che una siffatta trasmissione riguarda un numero significativo di dati personali di varia natura per ciascun passeggero interessato, nonché un numero estremamente elevato di siffatti dati in termini assoluti. In tali circostanze, è fondamentale che un siffatto trasferimento sia corredato da garanzie sufficienti intese, da un lato, a vigilare affinché vengano trasferiti soltanto i dati espressamente contemplati e, dall’altro, a garantire la sicurezza e la riservatezza dei dati trasferiti.

173. A tal riguardo occorre rilevare, da un lato, che il legislatore dell’Unione, anzitutto, ha previsto una serie di garanzie, che consentono di limitare le categorie di dati PNR resi accessibili da parte delle autorità di contrasto e di assicurare che tale accesso rimanga circoscritto ai soli dati il cui trattamento è considerato necessario ai fini degli obiettivi perseguiti dalla direttiva PNR. In tal senso, in primo luogo, tale direttiva elenca in maniera tassativa e precisa, fatte salve le considerazioni svolte nell’ambito della risposta alla terza questione pregiudiziale, i dati che possono essere trasferiti alle UIP. In secondo luogo, la direttiva PNR enuncia esplicitamente che solo i dati contenuti in tale elenco, risultante da una ponderazione dei diversi interessi ed esigenze menzionati al considerando 15 di tale direttiva, possono essere oggetto di un trasferimento alle UIP (articolo 6, paragrafo 1, della direttiva PNR). In terzo luogo, tale direttiva precisa che qualora nei dati PNR trasferiti siano compresi dati diversi da quelli elencati nell’allegato I, l’UIP li cancella «in via definitiva non appena li riceve» (articolo 6, paragrafo 1, della direttiva PNR). In quarto luogo, detta direttiva prevede che i dati PNR di cui all’allegato I possano essere oggetto di trasferimento soltanto a condizione che siano già stati raccolti dai vettori aerei nel normale svolgimento della loro attività (articolo 8, paragrafo 1, e considerando 8 della direttiva PNR), il che implica che non tutti i dati figuranti all’allegato I siano sistematicamente accessibili alle UIP, bensì unicamente quelli che figurano nel sistema di prenotazione dell’operatore interessato. In quinto luogo, l’articolo 8, paragrafo 1, della direttiva PNR impone ai vettori aerei di utilizzare il metodo «push» per trasmettere i dati PNR alle UIP. Tale metodo, raccomandato dagli orientamenti dell’OACI (165), implica che detti vettori trasferiscano essi stessi i dati PNR nelle banche dati delle UIP. Rispetto al metodo «pull», che consente alle autorità competenti di accedere ai sistemi dei gestori ed estrarre dalle loro banche dati una copia dei dati richiesti, il metodo «push» presenta maggiori garanzie, poiché conferisce al vettore aereo interessato il ruolo di guardiano e di controllore dei dati PNR. Infine, conformandosi agli orientamenti dell’OACI e al principio dello «sportello unico» (166), la direttiva PNR prevede che il trasferimento dei dati PNR abbia luogo tramite un unico organismo, l’UIP, che agisce sotto la supervisione del responsabile di cui all’articolo 5 di tale direttiva e, soprattutto, sotto quella dell’autorità nazionale di controllo di cui all’articolo 15 di detta direttiva.

174. Dall’altro lato, la direttiva PNR prevede un certo numero di garanzie intese a preservare la sicurezza dei dati PNR. Rinvio al riguardo all’articolo 13, paragrafo 2, di tale direttiva, che rende applicabili a tutti i trattamenti di dati personali effettuati in forza della medesima gli articoli 28 e 29 della direttiva polizia, riguardanti la riservatezza del trattamento e la sicurezza dei dati, nonché al paragrafo 3 di questo stesso articolo il quale, in relazione al trattamento dei dati PNR da parte dei vettori aerei, richiama gli obblighi incombenti a questi ultimi ai sensi del RGPD, segnatamente quelli relativi all’adozione di adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza di tali dati (167).

175. Infine, occorre sottolineare che la direttiva PNR riconosce, ai suoi considerando 29 e 37, il diritto dei passeggeri di ricevere «informazioni accurate e facilmente accessibili e comprensibili», tra l’altro, sulla raccolta dei dati PNR, sollecitando gli Stati membri a provvedere affinché tale diritto sia rispettato. Pur se tale riconoscimento non si traduce, nel testo della direttiva PNR, in una disposizione avente forza vincolante, ricordo che, come ho rilevato in occasione dell’esame della prima questione pregiudiziale, le disposizioni del RGPD si applicano al trasferimento dei dati PNR alle UIP. I vettori aerei sono pertanto tenuti, nell’ambito di tale trasferimento, a conformarsi, tra l’altro, agli articoli 13 e 14 del RGPD, che prevedono il diritto all’informazione degli interessati da un trattamento di dati personali. Anche se, nell’ambito della trasposizione della direttiva PNR, gli Stati membri dovrebbero prevedere espressamente il diritto all’informazione dei passeggeri aerei, come riconosciuto dai considerando 29 e 37 di tale direttiva, essi non possono in ogni caso, nella misura in cui sarebbe contrario allo spirito della stessa, limitare la portata degli articoli 13 e 14 del RGPD in applicazione dell’articolo 23, paragrafo 1, di tale regolamento. Orbene, per essere effettivo, un siffatto diritto deve riguardare parimenti le categorie di dati PNR oggetto di trasferimento.

176. Alla luce dell’insieme delle considerazioni che precedono, ritengo che i dati PNR il cui trattamento è previsto dalla direttiva PNR, fatte salve le limitazioni suggerite e le precisazioni apportate nell’ambito della terza questione pregiudiziale, siano pertinenti, adeguati e non eccessivi con riferimento alle finalità perseguite da tale direttiva e che la loro portata non ecceda quanto strettamente necessario alla realizzazione di tali finalità.

– Sui dati sensibili

177. La direttiva PNR vieta in generale qualsiasi trattamento dei «dati sensibili» (168).

178. Benché tale direttiva non contenga una definizione della nozione di «dati sensibili», dal suo articolo 13, paragrafo 4, risulta che essa include, perlomeno, i «dati PNR che riveli[no] l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato» (169). Al punto 165 del parere 1/15, la Corte ha precisato che qualsiasi misura basata sul postulato secondo cui una o più di tali caratteristiche «potrebbero, di per sé stesse e indipendentemente dal comportamento individuale del viaggiatore interessato, essere rilevanti rispetto alla finalità dei trattamenti dei dati PNR (…) violerebbe i diritti garantiti agli articoli 7 e 8 della Carta, letti in combinato disposto con l’articolo 21 della stessa». Vietando qualsiasi trattamento dei dati contemplati al suo articolo 13, paragrafo 4, la direttiva PNR rispetta pertanto i limiti imposti dalla Corte all’utilizzazione di tali categorie di dati nell’ambito di un sistema di trattamento dei dati PNR, indipendentemente dal fatto che esso rientri nell’ambito di applicazione del diritto nazionale, del diritto dell’Unione o di un accordo internazionale concluso dall’Unione.

179. Il divieto generale di trattamento dei dati delicati sancito dalla direttiva PNR include parimenti la loro raccolta. Pertanto, come precisato espressamente dal considerando 15 di tale direttiva, le 19 rubriche figuranti all’allegato I non sono fondate sui dati PNR di cui all’articolo 13, paragrafo 4, della stessa.

180. Pur se nessuna di tali rubriche contempla esplicitamente tali dati, questi ultimi potrebbero cionondimeno rientrare segnatamente nella rubrica «Osservazioni generali», di cui al punto 12 dell’allegato I, la quale costituisce un «campo aperto» che può coprire, come ho già avuto occasione di osservare nell’ambito dell’esame della terza questione pregiudiziale, un numero indefinito di informazioni di diversa natura. Esiste infatti un rischio concreto, come rilevato peraltro dalla Corte al punto 164 del parere 1/15, che informazioni rientranti in detta rubrica, vertenti ad esempio su preferenze alimentari, richieste di assistenza, forfait di prezzi a favore di determinate categorie di persone o di associazioni, rivelino, in maniera diretta, dati delicati ai sensi dell’articolo 13, paragrafo 4, della direttiva PNR, relativi segnatamente alle convinzioni religiose dei passeggeri interessati, al loro stato di salute o alla loro appartenenza ad un sindacato o ad un partito politico.

181. Orbene, poiché il trattamento di tali dati è in ogni caso escluso dalla direttiva PNR, il loro trasferimento da parte dei vettori aerei non solo eccede manifestamente quanto strettamente necessario, bensì risulta parimenti privo di qualsivoglia utilità. A tal riguardo, occorre sottolineare che il fatto che le UIP siano in ogni caso tenute, in conformità all’articolo 13, paragrafo 4, seconda frase, della direttiva PNR, a cancellare immediatamente i dati PNR che rivelino una delle informazioni elencate alla prima frase di tale paragrafo, non consente di autorizzare o giustificare un trasferimento di siffatti dati (170), poiché il divieto di trattamento dei medesimi enunciato da detta direttiva deve operare a partire dalla prima fase di trattamento dei dati PNR. L’obbligo di cancellazione dei dati delicati costituisce pertanto unicamente una garanzia supplementare che tale direttiva prevede per il caso in cui, eccezionalmente, siffatti dati venissero trasferiti alle UIP per errore.

182. Rilevo inoltre, come osservato dall’avvocato generale Mengozzi al paragrafo 222 delle sue conclusioni nel parere 1/15 (171), che, poiché le informazioni rientranti nelle rubriche «a testo libero», come la rubrica «Osservazioni generali», di cui al punto 12 dell’allegato I, idonee a contenere dati delicati ai sensi dell’articolo 13, paragrafo 4, della direttiva PNR, vengono comunicate soltanto facoltativamente dai passeggeri, è poco probabile che persone coinvolte in reati di terrorismo o in reati gravi procedano ad una siffatta comunicazione spontanea, cosicché il trasferimento sistematico di tali dati può probabilmente riguardare, perlopiù, soltanto persone che hanno chiesto di fruire di un servizio supplementare, le quali non presentano in realtà alcun interesse per le autorità di contrasto (172).

183. Nell’ambito dell’esame della terza questione pregiudiziale, sono giunto alla conclusione che il punto 12 dell’allegato I, nella misura in cui prende in considerazione la rubrica «Osservazioni generali», non soddisfa i requisiti di chiarezza e precisione richiesti all’articolo 52, paragrafo 1, prima frase, della Carta. Per le ragioni illustrate precedentemente, ritengo che l’inclusione di tale rubrica nelle categorie di dati oggetto di un trasferimento sistematico alle UIP, senza che venga apportata alcuna precisazione quanto alle informazioni che essa può contemplare, non soddisfi neanche il criterio di necessità previsto all’articolo 52, paragrafo 1, seconda frase, della Carta, come interpretato dalla Corte (173).

184. Ciò premesso, escludere le rubriche cosiddette «a testo libero» dall’elenco dei dati PNR da trasferire alle autorità statali nell’ambito di un sistema di trattamento dei dati PNR non è sufficiente ad eliminare il rischio che dati delicati vengano cionondimeno messi a disposizione di tali autorità. Dati di tal genere, infatti, possono non solo essere ricavati direttamente da informazioni rientranti in siffatte rubriche, ma essere anche indirettamente rivelati o presunti da informazioni contenute in rubriche «in codice». Così, per fare un esempio, il nome del passeggero aereo può fornire indicazioni o, quantomeno, consentire di formulare ipotesi sull’origine etnica o sull’appartenenza religiosa del passeggero interessato. Lo stesso dicasi per la cittadinanza. Tali dati non si prestano, in linea di principio, ad essere esclusi dall’elenco dei dati PNR da trasferire, né ad essere cancellati dalle autorità autorizzate a riceverli. Pertanto, al fine di evitare il rischio di stigmatizzazione, sulla base di caratteristiche protette, di un gran numero di individui che non sono tuttavia sospettati di alcun reato, è necessario che un sistema di trattamento dei dati PNR preveda garanzie sufficienti che consentano di escludere, in ogni fase del trattamento dei dati raccolti, che tale trattamento possa tenere conto direttamente o indirettamente di siffatte caratteristiche, ad esempio applicando, al momento dell’analisi automatizzata, procedimenti di selezione fondati su tali caratteristiche. Ritornerò su tale aspetto nel prosieguo del mio esame.

185. Sulla base dell’insieme delle considerazioni che precedono, ritengo, fatta salva la conclusione alla quale sono pervenuto nel precedente paragrafo 183, che la direttiva PNR preveda, nella fase del trasferimento dei dati PNR alle UIP, garanzie sufficienti dirette a proteggere i dati delicati.

iii) Sulla nozione di «passeggero» (quarta questione pregiudiziale)

186. Con la sua quarta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte se il sistema istituito dalla direttiva PNR, nella misura in cui consente il trasferimento e il trattamento generalizzati dei dati PNR di tutte le persone che rispondono alla nozione di «passeggero» ai sensi dell’articolo 3, punto 4, di tale direttiva, a prescindere da ogni elemento obiettivo che consenta di ritenere che l’interessato possa presentare un rischio per la sicurezza pubblica, sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Esso si interroga segnatamente sulla possibilità di trasporre al sistema di trattamento di dati personali introdotto dalla direttiva PNR la giurisprudenza della Corte in materia di conservazione e accesso ai dati nel settore delle comunicazioni elettroniche.

187. In tale giurisprudenza, per quel che interessa nel presente procedimento, la Corte ha concluso che una normativa la quale, ai fini della lotta contro i reati gravi, prevede la conservazione preventiva generalizzata e indiscriminata dei dati relativi al traffico attinenti alle comunicazioni elettroniche e dei dati relativi all’ubicazione (174), ai fini dell’accesso da parte delle autorità di contrasto, senza che venga effettuata alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo perseguito, non può essere considerata giustificata, in linea di principio, in una società democratica (175). La Corte ha statuito nello stesso senso in relazione ad una normativa nazionale che, ai fini della lotta contro il terrorismo, prevedeva l’analisi automatizzata di tutti detti dati attraverso un filtraggio effettuato dai fornitori di servizi di comunicazione elettronica su richiesta delle autorità nazionali competenti e in applicazione di parametri da queste stabiliti (176). Secondo la Corte, simili misure possono essere giustificate solo in situazioni nelle quali lo Stato membro interessato si trovi di fronte ad una minaccia grave per la sicurezza nazionale che risulti reale e attuale o prevedibile, e qualora il provvedimento che prevede la loro attuazione sia oggetto di un controllo effettivo da parte di un giudice o di un organo amministrativo indipendente (177). Il ricorso a tali misure in simili situazioni deve inoltre essere, secondo la Corte, temporalmente limitato allo stretto necessario e non può, in ogni caso, avere carattere sistematico (178).

188. Rilevo peraltro che, se, in tale giurisprudenza, la Corte non si è spinta fino ad affermare espressamente, come nella sentenza Schrems I, l’esistenza di un pregiudizio al contenuto essenziale del diritto al rispetto della vita privata, essa ha cionondimeno giudicato che le misure in questione raggiungevano un livello di gravità d’ingerenza tale che, salvo che nel caso limitato di minacce specifiche alla sicurezza nazionale di uno Stato membro, esse non potevano essere semplicemente considerate limitate allo stretto necessario e dunque conformi alla Carta (179), indipendentemente da eventuali garanzie previste contro i rischi di abuso e di accesso illecito ai dati interessati (180).

189. Ho già avuto occasione di sottolineare che una normativa come quella prevista dalla direttiva PNR condivide, con misure del tipo di quelle esaminate dalla Corte nella giurisprudenza richiamata ai paragrafi precedenti delle presenti conclusioni, un certo numero di elementi comuni, che le conferiscono un carattere particolarmente intrusivo. In tal senso, tale direttiva istituisce un sistema generalizzato e indiscriminato di raccolta e di analisi automatizzata dei dati personali di una porzione significativa della popolazione, che si applica globalmente a tutte le persone che rispondono alla nozione di «passeggero» figurante all’articolo 3, punto 4, di detta direttiva e, di conseguenza, anche a quelle per le quali non esiste alcun indizio tale da indurre a ritenere che i loro comportamenti potrebbero presentare un nesso, sia pur indiretto o remoto, con attività terroristiche o con reati gravi. È in tali circostanze che il giudice del rinvio si chiede se tale giurisprudenza sia trasponibile ad un sistema di trattamento dei dati PNR come quello istituito dalla direttiva PNR.

190. A tal riguardo, rilevo che, nel parere 1/15, allorché ha esaminato, ai punti da 186 a 189 dello stesso, l’ambito di applicazione ratione personae del progetto di accordo PNR Canada-UE, la Corte ha evitato qualsiasi parallelismo fra le misure volte alla conservazione e all’accesso generalizzato e indifferenziato al contenuto delle comunicazioni elettroniche, ai dati relativi al traffico e ai dati relativi all’ubicazione, da un lato, e il trasferimento dei dati PNR e il loro trattamento automatizzato nell’ambito della valutazione preliminare dei passeggeri di cui a detto accordo, dall’altro. Esisteva tuttavia già, all’epoca in cui tale parere era stato pronunciato, una consolidata giurisprudenza – confermata, soltanto qualche mese prima di tale pronuncia, dalla sentenza Tele2 Sverige, alla quale il giudice del rinvio rimanda –, nella quale dette misure, salvo situazioni specifiche e puntuali (181), erano giudicate incompatibili con la Carta (182). Le sentenze più recenti della Corte in tale settore, e segnatamente la sentenza La Quadrature du Net, si collocano nella scia di tale giurisprudenza, precisandola e, sotto taluni aspetti, sfumandola.

191. In detti passaggi del parere 1/15, la Corte ha esplicitamente dichiarato che l’accordo PNR Canada-UE non risultava eccedere i limiti dello stretto necessario nella misura in cui consentiva il trasferimento e il trattamento automatizzato, ai fini della loro valutazione preliminare, dei dati PNR di tutti i passeggeri aerei diretti in Canada, e ciò malgrado si ritenesse che un siffatto trasferimento e un siffatto trattamento avessero luogo «indipendentemente da qualsiasi elemento obiettivo che consenta di ritenere che i passeggeri possano presentare un rischio per la sicurezza pubblica in Canada» (183). Al punto 187 di tale parere, la Corte si è spinta fino ad affermare che «l’esclusione di talune categorie di persone, o di alcune zone di origine, sarebbe tale da ostacolare la realizzazione dell’obiettivo del trattamento automatizzato dei dati PNR, ossia l’identificazione, per mezzo di una verifica di tali dati, delle persone che possano presentare un rischio per la sicurezza pubblica tra tutti i passeggeri aerei, e [da] consentire che tale verifica possa essere aggirata» (184).

192. Pertanto, quantomeno per quanto riguarda il trasferimento generalizzato e indifferenziato dei dati PNR, la Corte si è discostata dall’approccio, più rigoroso, seguito in materia di conservazione e di accesso ai metadati.

193. Benché sia innegabile che, nel suo ragionamento, essa ha tenuto conto, come si evince segnatamente dai punti 152 e 188 del parere 1/15, da un lato, della constatazione che il trattamento automatizzato dei dati PNR facilita i controlli di sicurezza, in particolare alle frontiere, e, dall’altro, del fatto che, in conformità alla convenzione di Chicago, i passeggeri aerei desiderosi di entrare nel territorio di uno Stato parte di tale convenzione sono tenuti ad assoggettarsi ai controlli e a rispettare le condizioni di ingresso e di uscita prescritte da tale Stato, inclusa la verifica dei loro dati PNR, ritengo che altre ragioni militino a favore di una siffatta diversità di approccio e, fra queste, in primo luogo, la natura dei dati trattati.

194. La Corte ha sottolineato in numerose occasioni che non solo il contenuto delle comunicazioni elettroniche ma anche i metadati possono rivelare informazioni su «un numero significativo di aspetti della vita privata degli interessati, comprese informazioni sensibili, quali l’orientamento sessuale, le opinioni politiche, le convinzioni religiose, filosofiche, sociali o di altro tipo nonché lo stato di salute»; che tali dati, presi nel loro insieme, «sono idonei a consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di dette persone e gli ambienti sociali da esse frequentati» e che detti dati forniscono, in particolare, gli strumenti per stabilire «il profilo delle persone interessate, informazione tanto sensibile, in rapporto al diritto al rispetto della vita privata, quanto il contenuto stesso delle comunicazioni» (185). Ricordo, peraltro, che le normative esaminate finora dalla Corte, inclusa quella contenuta nella direttiva 2006/24, non prevedevano alcuna eccezione e si applicavano parimenti alle comunicazioni verso o a partire da servizi a carattere sociale o religioso o di professionisti soggetti ad obblighi di segreto professionale. In tal senso, pur non accertando una violazione del contenuto essenziale del diritto al rispetto della vita privata, la Corte ha cionondimeno affermato che, «tenuto conto del carattere sensibile delle informazioni che possono fornire i dati relativi al traffico e i dati relativi all’ubicazione, la riservatezza di tali dati è essenziale per il diritto al rispetto della vita privata» (186).

195. Per contro, se è vero che, come ho ricordato ai paragrafi 77 e 98 delle presenti conclusioni, la Corte ha riconosciuto, nel parere 1/15, che i dati PNR possono eventualmente rivelare informazioni molto precise sulla vita privata di una persona (187), essa ha cionondimeno affermato che la natura di dette informazioni è limitata ad alcuni aspetti di tale vita privata (188), il che rende l’accesso a siffatti dati meno intrusivo rispetto all’accesso al contenuto delle comunicazioni elettroniche, nonché ai dati relativi al traffico e ai dati relativi all’ubicazione.

196. In secondo luogo, non solo la natura dei dati PNR differisce da quella dei dati relativi al traffico e dei dati relativi all’ubicazione, ma differiscono anche il numero e la varietà delle informazioni che possono essere rivelate da queste diverse categorie di dati, fermo restando che quelle contenute nei dati PNR sono sia quantitativamente sia qualitativamente più limitate. Ciò dipende non solo dalla circostanza che i sistemi di trattamento generalizzato e indifferenziato dei dati relativi alle comunicazioni elettroniche possono riguardare la quasi totalità della popolazione considerata, mentre i sistemi di trattamento dei dati PNR si applicano ad una cerchia più ristretta, benché numericamente significativa, di individui, ma anche dalla frequenza di utilizzazione dei mezzi di comunicazione elettronica e dalla molteplicità degli stessi. Peraltro, la direttiva PNR prevede la raccolta e il trattamento di un numero limitato e tassativamente determinato di dati PNR, escludendo i dati rientranti nelle categorie elencate all’articolo 13, paragrafo 4, di tale direttiva, cosicché, se non la quantità, quantomeno la delicatezza delle informazioni sulla vita privata degli interessati che possono risultarne sono idonee ad essere, in parte, valutate in anticipo (189). Orbene, una siffatta limitazione della tipologia di dati contemplati, la quale consenta di escludere una parte significativa di quelli che possono celare informazioni delicate, è possibile solo parzialmente nel caso dei dati relativi al traffico e dei dati relativi all’ubicazione, a causa del numero di utenti e di mezzi di comunicazione interessati (190).

197. In terzo luogo, ogni trattamento dei metadati delle comunicazioni elettroniche non solo è idoneo a toccare la sfera intima della vita della quasi totalità della popolazione, ma interferisce anche con l’esercizio di altre libertà mediante le quali ciascun individuo partecipa alla vita sociale e democratica di un paese (191) e rischia, segnatamente, di comportare effetti dissuasivi sull’esercizio, da parte degli utenti dei mezzi di comunicazione elettronica, della loro libertà di espressione (192), la quale costituisce «uno dei fondamenti essenziali di una società democratica e pluralista», facendo parte dei valori sui quali l’Unione è fondata (193). Tale aspetto è inerente alle misure concernenti tali categorie di dati personali e non riguarda, di norma, i sistemi di trattamento dei dati PNR.

198. In quarto luogo, a causa principalmente del numero e della varietà delle informazioni a carattere delicato che possono essere estratte dal contenuto delle comunicazioni elettroniche, nonché dai dati relativi al traffico e dai dati relativi all’ubicazione, esiste un rischio di arbitrio connesso al trattamento di tali dati significativamente più elevato che per quanto riguarda i sistemi di trattamento dei dati PNR.

199. Per l’insieme delle suesposte ragioni, ritengo che l’approccio più restrittivo adottato dalla Corte nel settore delle comunicazioni elettroniche non sia trasponibile in quanto tale ai sistemi di trattamento dei dati PNR. La Corte si è già espressa, quantomeno implicitamente, in tal senso nel parere 1/15, nel contesto di un accordo internazionale che istituisce un siffatto sistema ai fini della protezione della sicurezza di un paese terzo. La stessa posizione è a mio avviso giustificata, a maggior ragione, nel caso della direttiva PNR, il cui obiettivo è la protezione della sicurezza interna dell’Unione.

200. Ciò premesso, occorre rilevare, come fatto dall’avvocato generale Mengozzi al paragrafo 216 delle sue conclusioni nel parere 1/15 (194), che l’interesse stesso dei sistemi di trattamento dei dati PNR, che siano adottati unilateralmente o che siano oggetto di un accordo internazionale, è proprio quello di garantire la trasmissione massiccia di dati che consenta alle autorità competenti di identificare, mediante strumenti di trattamento automatizzato e di scenari o criteri di valutazione prestabiliti, individui sconosciuti ai servizi di polizia, ma che risultino presentare un «interesse» o un rischio per la sicurezza pubblica e possano essere quindi sottoposti successivamente a controlli individuali più accurati. Il requisito di un «sospetto ragionevole» che si trova affermato nella giurisprudenza della Corte EDU relativa alle intercettazioni mirate praticate nell’ambito di un’indagine penale (195) e in quella della Corte sulla conservazione dei metadati (196) è, pertanto, meno rilevante nel contesto di una siffatta trasmissione e di un siffatto trattamento (197). L’obiettivo, segnatamente, di prevenzione perseguito da siffatti regimi non può essere realizzato neanche circoscrivendo la loro applicazione ad una determinata categoria di individui, come affermato peraltro dalla Corte nei punti del parere 1/15 richiamati al paragrafo 191 delle presenti conclusioni, cosicché la portata della direttiva PNR sembra assicurare la realizzazione efficace di tale obiettivo (198).

201. Occorre parimenti sottolineare che l’importanza strategica del trattamento dei dati PNR quale strumento essenziale della risposta comune dell’Unione al terrorismo e ai reati gravi e quale elemento costitutivo dell’Unione della sicurezza è stato messo in evidenza in diverse occasioni da parte della Commissione (199). Nell’ambito di un «approccio globale» per la lotta al terrorismo, il ruolo svolto dai sistemi di trattamento dei dati PNR è stato riconosciuto anche dal Consiglio di sicurezza delle Nazioni Unite il quale, nella risoluzione 2396(2017) (200), ha imposto agli Stati membri delle Nazioni Unite di «sviluppare la capacità di raccogliere, elaborare e analizzare, a sostegno delle norme e prassi raccomandate dell’[OACI], i dati [PNR] e garantire che i dati PNR siano utilizzati e condivisi con tutte le loro autorità nazionali competenti, nel pieno rispetto dei diritti dell’uomo e delle libertà fondamentali a fini di prevenzione, accertamento e indagine nei confronti dei reati di terrorismo e dei viaggi connessi» (201). Tale obbligo è ribadito nella risoluzione 2482/2019 in materia di terrorismo e di reati transnazionali gravi (202).

202. In tale contesto, l’adozione di un sistema di trattamento dei dati PNR armonizzato a livello dell’Unione, per quanto riguarda sia i voli extra-UE sia, nel caso degli Stati che hanno fatto ricorso all’articolo 2 della direttiva PNR, i voli intra-UE, consente di assicurare che il trattamento di tali dati avvenga nel rispetto del livello elevato di protezione dei diritti sanciti agli articoli 7 e 8 della Carta fissato da tale direttiva e fornisce un sistema giuridico di riferimento per la negoziazione di accordi internazionali sul trattamento e sul trasferimento dei dati PNR (203).

203. Peraltro, se è vero che il sistema attuato dalla direttiva PNR riguarda in maniera indifferenziata tutti i passeggeri aerei, come correttamente sottolineato segnatamente dal Parlamento nelle sue osservazioni scritte e come messo parimenti in evidenza dal Consiglio di sicurezza delle Nazioni Unite nella risoluzione 2396(2017), il quale evoca il rischio concreto di utilizzazione dell’aviazione civile a fini terroristici sia come mezzo di trasporto sia come bersaglio (204), esiste un nesso oggettivo fra il trasporto aereo e le minacce per la sicurezza pubblica collegato, segnatamente, al terrorismo e, perlomeno, a taluni reati gravi come, in particolare, il traffico di stupefacenti o il traffico di esseri umani, i quali hanno, del resto, una forte componente transfrontaliera.

204. Occorre sottolineare, infine, come fatto valere dal Parlamento, dal Consiglio e da diversi Stati membri che hanno depositato osservazioni scritte, che i passeggeri aerei in entrata o in uscita dall’Unione sono tenuti a sottoporsi a controlli di sicurezza (205). Il trasferimento e il trattamento dei dati PNR prima del loro arrivo o prima della loro partenza facilita e accelera tali controlli, come parimenti rilevato dalla Corte nel parere 1/15, consentendo alle autorità di contrasto di concentrarsi sui passeggeri per i quali sussistono motivi concreti per ritenere che possano costituire un effettivo rischio per la sicurezza (206).

205. Infine, per quanto riguarda, segnatamente, l’estensione del sistema della direttiva PNR ai voli intra‑UE, se non è possibile escludere a priori un qualsivoglia impatto sulla libertà di circolazione dei cittadini dell’Unione, sancita segnatamente all’articolo 45 della Carta, l’ingerenza nella vita privata causata dalla direttiva PNR, benché grave, non è a mio avviso tale da comportare, di per sé, un effetto dissuasivo sull’esercizio di tale libertà, poiché il trattamento di dati PNR può anche essere percepito dal pubblico come una misura necessaria ad assicurare la sicurezza dei viaggi aerei (207). Resta il fatto che l’eventualità di un siffatto effetto dissuasivo deve essere oggetto di una valutazione e di un controllo continui.

206. Tuttavia, al fine di rispettare la giurisprudenza richiamata ai paragrafi 107 e 108 delle presenti conclusioni, la direttiva PNR non può limitarsi ad esigere che l’accesso e il trattamento automatizzato dei dati PNR di tutti i passeggeri aerei risponda alla finalità perseguita, ma deve altresì prevedere, in maniera chiara e precisa, le condizioni sostanziali e procedurali che disciplinano tale accesso e tale trattamento, nonché l’ulteriore utilizzo di tali dati (208) e prevedere garanzie adeguate a ciascuna fase di tale processo. Ho già evocato, in sede di esame della seconda questione pregiudiziale, le garanzie che corredano il trasferimento dei dati PNR alle UIP. Passerò in rassegna, nell’esaminare la sesta questione pregiudiziale, quelle che accompagnano più specificamente il trattamento automatizzato di tali dati nonché, nell’ambito dell’esame dell’ottava questione pregiudiziale, quelle connesse alla loro conservazione.

207. Prima di procedere a tale esame, desidero sottolineare l’importanza fondamentale rivestita, nell’ambito del sistema di garanzie attuato dalla direttiva PNR, dal controllo esercitato dall’autorità indipendente di cui all’articolo 15 di tale direttiva. In conformità a quest’articolo, tutti i trattamenti di dati previsti da detta direttiva sono sottoposti alla sorveglianza di un’autorità di controllo indipendente la quale ha il potere di verificare la liceità di tale trattamento, svolgere indagini, ispezioni e audit e trattare i reclami presentati dagli interessati. Un siffatto controllo, esercitato da un soggetto esterno, incaricato della difesa di interessi potenzialmente in conflitto con quelli perseguiti dagli autori dei trattamenti dei dati PNR, e investito del ruolo di vigilare sul rispetto di tutte le limitazioni e le salvaguardie che accompagnano detti trattamenti, costituisce una garanzia essenziale, esplicitamente enunciata all’articolo 8, paragrafo 3, della Carta, la cui efficacia, in termini di tutela dei diritti fondamentali interessati, è persino superiore al sistema dei mezzi di ricorso messi a disposizione dei cittadini. È pertanto fondamentale, a mio avviso, che la Corte interpreti estensivamente la portata dei poteri di sorveglianza previsti all’articolo 15 della direttiva PNR e che gli Stati membri, al momento della trasposizione di tale direttiva nel diritto interno, riconoscano alla loro autorità nazionale di controllo tali poteri nella loro intera portata, munendola dei mezzi materiali e umani necessari allo svolgimento del suo compito.

208. Sulla base dell’insieme delle considerazioni che precedono, ritengo che la direttiva PNR non ecceda i limiti dello stretto necessario nella parte in cui consente il trasferimento e il trattamento automatizzato dei dati di chiunque risponda alla nozione di «passeggero» ai sensi dell’articolo 3, punto 4, di tale direttiva.

iv) Sul carattere sufficientemente chiaro, preciso e limitato allo stretto necessario della valutazione preliminare dei passeggeri (sesta questione pregiudiziale)

209. Con la sua sesta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte se la valutazione preliminare prevista all’articolo 6 della direttiva PNR sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Benché il testo di tale questione si focalizzi sul carattere sistematico e generalizzato del trattamento automatizzato dei dati PNR di tutti i passeggeri aerei che tale valutazione preliminare comporta, dalla motivazione della decisione di rinvio si evince che la Cour constitutionnelle (Corte costituzionale) chiede alla Corte una valutazione più globale del rispetto dei requisiti di legalità e proporzionalità nel contesto di un siffatto trattamento. Procederò nel prosieguo a tale valutazione, rinviando al contempo all’analisi effettuata in sede di esame della quarta questione pregiudiziale per quanto riguarda il carattere indiscriminato di detto trattamento automatizzato.

210. L’articolo 6, paragrafo 2, lettera a), della direttiva PNR prevede che le UIP procedano a una valutazione preliminare dei passeggeri aerei prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro. Tale valutazione è intesa a identificare i soggetti da sottoporre a ulteriore verifica da parte delle autorità competenti, «in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi». In conformità all’articolo 6, paragrafo 6, della direttiva PNR, l’UIP di uno Stato membro trasmette i dati PNR dei passeggeri identificati nell’ambito di tale valutazione o il risultato del trattamento di tali dati, per «ulteriore verifica», alle autorità competenti, di cui all’articolo 7 di detta direttiva, dello stesso Stato membro.

211. Ai sensi dell’articolo 6, paragrafo 3, della direttiva PNR, la valutazione preliminare realizzata ai sensi del paragrafo 2, lettera a), di tale articolo viene effettuata confrontando i dati PNR con banche dati «pertinenti» [articolo 6, paragrafo 3, lettera a)] o trattandoli sulla base di criteri prestabiliti [articolo 6, paragrafo 3, lettera b)].

212. Prima di procedere all’esame di ciascuno di questi due tipi di trattamento di dati, rilevo che dal summenzionato testo dell’articolo 6, paragrafo 3, non risulta chiaramente se gli Stati membri siano tenuti a prevedere che la valutazione preliminare dei passeggeri venga effettuata procedendo sistematicamente e in tutti i casi sia all’una sia all’altra analisi automatizzata oppure se, come sembrerebbe avvalorare l’impiego del verbo «potere» e della congiunzione disgiuntiva «o», essi siano autorizzati a strutturare i loro sistemi in modo da riservare, ad esempio, l’esame previsto al paragrafo 3, lettera b), di tale articolo 6 a casi specifici. A tal riguardo, preciso che la proposta di direttiva PNR prevedeva che tale esame venisse condotto unicamente nell’ambito della lotta contro i reati gravi di natura transfrontaliera (209).

213. Al pari della Commissione, ritengo che dall’economia della direttiva PNR si evinca segnatamente che gli Stati membri sono tenuti a prevedere i due tipi di trattamenti automatizzati, per ragioni concernenti parimenti la necessità di assicurare un’applicazione il più uniforme possibile del sistema di trattamento dei dati PNR dell’Unione. Ciò non implica tuttavia che gli Stati membri non siano autorizzati – e persino tenuti, al fine di garantire che il trattamento di dati che la valutazione preliminare effettuata in conformità all’articolo 6, paragrafo 2, lettera a), della direttiva PNR comporta sia limitato a quanto strettamente necessario – a circoscrivere l’analisi, ai sensi dell’articolo 6, paragrafo 3, lettera b), della direttiva PNR in funzione dei suoi risultati in termini di efficacia per ciascun reato di cui a tale direttiva e, se del caso, a riservarla soltanto a taluni fra tali reati. Depone in tal senso il considerando 7 della direttiva PNR, secondo il quale «affinché il trattamento dei dati PNR rimanga nei limiti di ciò che è necessario, è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi per cui l’uso di tali criteri risulta pertinente».

– Sul confronto con le banche dati ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR

214. La prima parte della valutazione preliminare alla quale procedono le UIP ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, implica, in conformità al paragrafo 3, lettera a), di tale articolo, di confrontare i dati PNR («data matching») con banche dati, al fine di ricercare eventuali riscontri positivi («hits»). Tali hits sono destinati ad essere verificati dalle UIP, in conformità all’articolo 6, paragrafo 5, della direttiva PNR e, se del caso, ad essere tradotti in «match» prima di essere comunicati alle autorità competenti.

215. Come riconosciuto dalla Corte al punto 172 del parere 1/15, la portata dell’ingerenza che questi tipi di analisi automatizzate comportano nei diritti sanciti agli articoli 7 e 8 della Carta dipende essenzialmente dalle banche dati sulle quali esse si fondano. È essenziale, di conseguenza, che le disposizioni che prevedono siffatti trattamenti di dati individuino in maniera sufficientemente chiara e precisa le banche dati con le quali è autorizzato il controllo incrociato dei dati da trattare.

216. Ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, le UIP procedono ad un confronto dei dati PNR con «banche dati pertinenti» (210) alla luce degli obiettivi perseguiti da tale direttiva. Tale disposizione menziona parimenti una categoria specifica di banche dati, ossia quelle riguardanti «persone o oggetti ricercati o segnalati», alle quali il legislatore dell’Unione ha dunque inteso conferire esplicitamente la qualifica di «pertinenti» ai sensi di tale disposizione.

217. Al di là di tale precisazione, la nozione di «banche dati pertinenti» non viene ulteriormente esplicitata. In particolare, non viene indicato se, per essere considerate «pertinenti», le banche dati utilizzate ai fini del controllo incrociato dei dati PNR debbano essere gestite da autorità di contrasto o, più in generale, da qualsiasi autorità pubblica, o semplicemente essere accessibili direttamente o indirettamente alle medesime. Neanche la natura dei dati che siffatte banche possono contenere e il loro rapporto con gli obiettivi perseguiti dalla direttiva PNR vengono precisati (211). Peraltro, dal dettato dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR risulta che possono essere qualificate come «banche dati pertinenti» banche dati sia nazionali e dell’Unione sia internazionali, il che amplia ulteriormente l’elenco delle banche dati potenzialmente contemplate e aumenta il carattere aperto di tale nozione (212).

218. In tali circostanze, in forza del principio generale di interpretazione richiamato al paragrafo 151 delle presenti conclusioni, spetta alla Corte interpretare, per quanto possibile, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR e, segnatamente, la nozione di «banche dati pertinenti» in conformità ai requisiti di chiarezza e precisione richiesti dalla Carta. Inoltre, poiché tale disposizione prevede un’ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta, essa deve essere interpretata in maniera restrittiva e tenendo conto della necessità di assicurare un livello elevato di protezione di tali diritti fondamentali, come affermata segnatamente al considerando 15 della direttiva PNR. Essa deve inoltre essere interpretata alla luce del principio della limitazione delle finalità per le quali i dati PNR possono essere trattati, enunciato all’articolo 1, paragrafo 2, della direttiva PNR.

219. Alla luce di tali criteri, occorre interpretare la nozione di «banche dati pertinenti», a mio avviso, nel senso che essa riguarda unicamente le banche dati nazionali gestite dalle autorità competenti ai sensi dell’articolo 7, paragrafo 1, della direttiva PNR, nonché le banche dati dell’Unione e internazionali direttamente utilizzate da tali autorità nell’ambito delle loro funzioni. Dette banche dati devono intrattenere inoltre un rapporto diretto e stretto con le finalità di lotta contro il terrorismo e i reati gravi perseguite dalla direttiva PNR, il che implica che esse siano state sviluppate per tali finalità. Così interpretata, tale nozione va riferita essenzialmente, se non esclusivamente, alle banche dati riguardanti persone od oggetti ricercati o segnalati, menzionate esplicitamente all’articolo 6, paragrafo 3, lettera a), della direttiva PNR.

220. Sono escluse in via generale dalla nozione di «banche dati pertinenti» le banche dati gestite o utilizzate dai servizi segreti degli Stati membri, a meno che esse non soddisfino rigorosamente la condizione di essere strettamente connesse agli obiettivi perseguiti dalla direttiva PNR, e che lo Stato membro in questione riconosca ai suoi servizi segreti competenze specifiche nel settore delle attività di contrasto (213).

221. L’interpretazione appena proposta è in linea con le raccomandazioni formulate dalla Corte al punto 172 del parere 1/15.

222. Tuttavia, anche così interpretato, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR non consente un’individuazione sufficientemente precisa delle banche dati che verranno utilizzate dagli Stati membri nell’ambito del controllo incrociato con i dati PNR e non può essere considerato conforme ai requisiti risultanti dall’articolo 52, paragrafo 1, della Carta, come interpretato dalla Corte. Tale disposizione deve essere pertanto letta nel senso che essa obbliga gli Stati membri, nell’ambito della trasposizione in diritto nazionale della direttiva PNR, a pubblicare un elenco di dette banche dati e ad aggiornarlo. Sarebbe inoltre auspicabile che un elenco delle banche dati «pertinenti», ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, gestite dall’Unione in collaborazione con gli Stati membri, e delle banche dati internazionali sia redatto a livello dell’Unione, al fine di rendere uniforme al riguardo la prassi degli Stati membri.

– Sul trattamento dei dati PNR secondo criteri prestabiliti

223. La seconda parte della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR consiste in un’analisi automatizzata alla luce di criteri prestabiliti. Nell’ambito di tale analisi, i dati PNR vengono trattati, essenzialmente, a fini predittivi, tramite l’applicazione di algoritmi che si ritiene consentano di «identificare» i passeggeri che potrebbero essere coinvolti in reati di terrorismo o in reati gravi. In tale contesto, l’UIP procede, in sostanza, ad un’attività di profilazione (214). Essendo idoneo ad avere conseguenze significative per gli individui identificati dall’algoritmo (215), un siffatto trattamento richiede una precisa regolamentazione per quanto riguarda sia le modalità della sua realizzazione sia le garanzie che devono accompagnarlo. Infatti, come rilevato dalla Corte al punto 172 del parere 1/15, la portata dell’ingerenza che questi tipi di analisi comportano nei diritti sanciti agli articoli 7 e 8 della Carta dipende essenzialmente dai modelli e dai criteri prestabiliti applicati.

224. A tal riguardo rilevo, in primo luogo, che l’articolo 6, paragrafo 4, seconda frase, della direttiva PNR precisa che i criteri prestabiliti secondo i quali è effettuata la valutazione preliminare prevista all’articolo 6, paragrafo 3, lettera b), di tale direttiva, devono essere «mirati, proporzionati e specifici». Il primo di tali requisiti è collegato all’obiettivo di cui alla valutazione preliminare prevista al paragrafo 2, lettera a), di tale articolo, ossia l’identificazione delle persone da sottoporre a ulteriore verifica da parte delle autorità competenti, e risponde dunque alla necessità, messa in evidenza dalla Corte nel parere 1/15, che i criteri utilizzati abbiano come «obiettivo» gli individui sui quali potrebbe gravare un «sospetto ragionevole» di partecipazione a reati di terrorismo o a reati gravi (216). Una siffatta «focalizzazione» implica l’applicazione di criteri di valutazione astratti o, per utilizzare un’espressione che figura nella raccomandazione del 2021 sulla profilazione, di «profili» (217) tramite i quali «filtrare» i dati PNR al fine di reperire i passeggeri ad essi corrispondenti e che potrebbero, pertanto, dover essere sottoposti ad un controllo più approfondito. Per contro, la direttiva PNR non autorizza una profilazione individuale di tutti i passeggeri aerei dei quali vengono analizzati i dati, ad esempio associando a ciascuno di essi una categoria di rischio su una scala predefinita, pena la violazione sia dell’articolo 6, paragrafo 4, di tale direttiva sia dei limiti imposti dalla Corte al trattamento automatizzato dei dati PNR nel parere 1/15.

225. In conformità all’articolo 6, paragrafo 4, seconda frase, i criteri prestabiliti di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono, inoltre, essere «specifici» (218), ossia adeguati agli obiettivi perseguiti e pertinenti rispetto ad essi, nonché «proporzionati» (219), vale a dire non eccedenti i limiti di tale finalità. Per soddisfare tali requisiti, e segnatamente «affinché il trattamento dei dati PNR rimanga nei limiti di ciò che è necessario», il considerando 7 della direttiva PNR, come ho già sottolineato, enuncia che «è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi per cui l’uso di tali criteri risulta pertinente».

226. Infine, tanto dal preambolo e dalle disposizioni della direttiva PNR quanto dai requisiti enunciati dalla Corte nel parere 1/15 si evince che i criteri prestabiliti di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono parimenti essere «affidabili» (220), il che significa, da un lato, che essi devono essere concepiti per ridurre al minimo il rischio di errori (221) e, dall’altro, che essi devono essere «aggiornati» (222). A tal riguardo, l’articolo 6, paragrafo 4, terza frase, della direttiva PNR impone agli Stati membri di assicurare che tali criteri siano «stabiliti dall’UIP e periodicamente rivisti in cooperazione con le autorità competenti di cui all’articolo 7» (223). Al fine di garantire l’affidabilità di tali criteri e limitare il più possibile risultati erroneamente positivi, è inoltre necessario, come riconosciuto dalla Commissione in risposta ad un quesito scritto posto dalla Corte, che essi siano concepiti in modo da tenere conto sia degli elementi a carico sia degli elementi a discarico.

227. In secondo luogo, la direttiva PNR vieta espressamente la profilazione discriminatoria. Così l’articolo 6, paragrafo 4, prima frase, di tale direttiva, prevede che la valutazione preliminare secondo criteri prestabiliti di cui al paragrafo 3, lettera b), di tale articolo, «è effettuata in modo non discriminatorio». A tal riguardo, occorre precisare che, benché la terza frase di tale articolo 6, paragrafo 4, enunci che detti criteri «non sono in alcun caso basati sull’origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale dell’interessato», il divieto generale di profilazione discriminatoria deve essere inteso come comprendente tutti i motivi di discriminazione menzionati all’articolo 21 della Carta, anche quelli che non sono espressamente menzionati (224).

228. In terzo luogo, sia dal testo dell’articolo 6, paragrafo 3, lettera b), della direttiva PNR sia dal sistema di garanzie che accompagna il trattamento automatizzato dei dati PNR previsto dalla direttiva PNR risulta che il funzionamento degli algoritmi utilizzati nell’ambito dell’analisi prevista a tale disposizione deve essere trasparente, e il risultato della loro applicazione tracciabile. Tale requisito di trasparenza non implica evidentemente che i «profili» utilizzati debbano essere resi pubblici. Per contro, essa richiede che venga assicurato il carattere identificabile del processo decisionale algoritmico. Infatti, da un lato, il requisito secondo cui i criteri alla luce dei quali deve essere effettuata tale analisi devono essere «prestabiliti» esclude che essi possano essere modificati senza intervento umano e osta, pertanto, all’utilizzazione di tecnologie di intelligenza artificiale cosiddette «machine learning» (225) le quali, pur potendo presentare un più elevato grado di precisione, sono difficili da interpretare, anche per gli operatori che hanno proceduto al trattamento automatizzato (226). Dall’altro, la garanzia enunciata all’articolo 6, paragrafi 5 e 6, della direttiva PNR, secondo la quale i riscontri positivi a seguito del trattamento automatizzato dei dati PNR effettuato a norma del paragrafo 2, lettera a), di tale articolo sono singolarmente sottoposti a un esame non automatizzato, per essere effettiva, richiede – nel caso dell’analisi di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR – che sia possibile comprendere la ragione per la quale il programma è arrivato ad un siffatto riscontro, il che non può essere assicurato segnatamente quando vengono utilizzati sistemi di autoapprendimento. Lo stesso vale per il controllo della liceità di tale analisi, anche per quanto riguarda il carattere non discriminatorio dei risultati ottenuti, di cui sono investiti il responsabile della protezione dei dati e l’autorità nazionale di controllo ai sensi, rispettivamente, dell’articolo 6, paragrafo 7, della direttiva PNR, e dell’articolo 15, paragrafo 3, lettera b), di tale direttiva. La trasparenza del funzionamento degli algoritmi utilizzati è parimenti una condizione necessaria al fine di consentire agli interessati di esercitare i loro diritti di reclamo, nonché il loro diritto ad un ricorso giurisdizionale effettivo.

– Sulle garanzie relative al trattamento automatizzato dei dati PNR

229. Ho già avuto occasione di menzionare talune garanzie che accompagnano il trattamento automatizzato dei dati PNR nell’ambito della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, e che soddisfano i requisiti enunciati dalla Corte nel parere 1/15, ossia il divieto di trattamento sulla base di criteri prestabiliti discriminatori (articolo 6, paragrafo 4, prima e quarta frase, della direttiva PNR; parere 1/15, punto 172), l’aggiornamento periodico dei criteri prestabiliti sulla scorta dei quali deve essere effettuata la valutazione preliminare di cui all’articolo 6, paragrafo 3, lettera b), di tale direttiva (articolo 6, paragrafo 4, terza frase, della direttiva PNR; parere 1/15, punto 174), il riesame non automatizzato dei riscontri positivi a seguito del trattamento automatizzato dei dati PNR (articolo 6, paragrafi 5 e 6, della direttiva PNR; parere 1/15, punto 173) e il controllo della liceità di tale trattamento da parte del responsabile della protezione dei dati e da parte dell’autorità nazionale di controllo [articolo 6, paragrafo 7, e articolo 15, paragrafo 3, lettera b), della direttiva PNR]. In tale contesto, è essenziale che il controllo effettuato da un’autorità indipendente, come l’autorità di cui all’articolo 15 della direttiva PNR, da un lato, possa vertere su ogni aspetto inerente al trattamento automatizzato dei dati PNR, inclusa l’individuazione delle banche dati utilizzate ai fini del confronto ai sensi dell’articolo 6, paragrafo 3, lettera a), di tale direttiva e l’elaborazione dei criteri prestabiliti applicati ai fini dell’analisi ai sensi dell’articolo 6, paragrafo 3, lettera b), di detta direttiva e, dall’altro, possa essere esercitato sia ex ante sia ex post.

230. Occorre sottolineare che le garanzie succitate devono essere considerate applicabili in maniera trasversale ai due tipi di analisi di cui all’articolo 6, paragrafo 3, della direttiva PNR, e ciò malgrado i termini in cui esse sono formulate. In tal senso, benché l’articolo 6, paragrafo 4, prima frase, di detta direttiva richiami l’obbligo del rispetto del principio di non discriminazione soltanto in relazione alla valutazione preliminare realizzata alla luce di criteri prestabiliti, tale obbligo si impone in tutte le fasi del processo di trattamento dei dati PNR e dunque anche qualora essi vengano confrontati con le banche dati pertinenti nell’ambito della valutazione preliminare ai sensi dell’articolo 6, paragrafo 3, lettera a), di tale direttiva. Lo stesso vale per il requisito secondo il quale i criteri prestabiliti utilizzati nell’ambito dell’analisi di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono essere affidabili e aggiornati, il quale deve essere inteso come comprendente parimenti i dati contenuti nelle banche dati utilizzate ai fini del confronto previsto all’articolo 6, paragrafo 3, lettera a), di tale direttiva. A questo proposito rilevo, più in generale, che tutte le garanzie applicabili ai trattamenti automatizzati di dati personali previsti dalla direttiva polizia sono parimenti applicabili nell’ambito della direttiva PNR, poiché le analisi automatizzate realizzate nell’ambito di tale direttiva devono essere considerate rientranti nel campo di applicazione della direttiva polizia.

231. Alle garanzie elencate al precedente paragrafo 229, si aggiunge quella prevista all’articolo 7, paragrafo 6, della direttiva PNR, la quale completa, da un lato, il divieto di fondare ogni processo decisionale esclusivamente sui risultati del trattamento automatizzato dei dati PNR e, dall’altro, il divieto di discriminazioni nel trattamento e nell’utilizzazione di tali dati. In tal senso, siffatta disposizione prevede che «le autorità competenti non devono adottare decisioni che comportino conseguenze giuridiche negative per l’interessato, o lo danneggino in modo significativo, soltanto sulla base del trattamento automatizzato dei dati PNR» e che tali decisioni «non devono essere adottate sulla base dell’origine razziale o etnica, delle opinioni politiche, della religione o delle convinzioni filosofiche, dell’appartenenza sindacale, dello stato di salute, della vita sessuale o dell’orientamento sessuale dell’interessato». Al pari di quanto precisato al paragrafo 227 delle presenti conclusioni in relazione all’articolo 6, paragrafo 4, quarta frase, della direttiva PNR, occorre integrare tale catalogo di motivi di discriminazione aggiungendovi quelli figuranti all’articolo 21 della Carta e che non sono espressamente menzionati.

232. Per quanto riguarda la sicurezza dei dati PNR, l’articolo 6, paragrafo 8, della direttiva PNR prevede che la conservazione, il trattamento e l’analisi di tali dati da parte delle UIP siano effettuati esclusivamente in un luogo o in luoghi sicuri all’interno del territorio degli Stati membri.

– Conclusione sulla sesta questione pregiudiziale

233. Alla luce dell’insieme delle considerazioni che precedono e fatte salve le interpretazioni proposte segnatamente ai paragrafi 213, 219, 220, 222, 227, 228, 230 e 231 delle presenti conclusioni, ritengo che il trattamento automatizzato dei dati PNR nell’ambito della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR rispetti i requisiti di chiarezza e precisione e sia limitato allo stretto necessario.

v) Sulla conservazione dei dati PNR (ottava questione pregiudiziale)

234. Con la sua ottava questione pregiudiziale, il giudice del rinvio chiede alla Corte se l’articolo 12 della direttiva PNR, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, senza distinguere a seconda che i passeggeri interessati si rivelino, nel quadro della valutazione preliminare, idonei o meno a presentare una minaccia per la sicurezza pubblica.

235. L’articolo 12, paragrafo 1, della direttiva PNR prevede che i dati PNR siano conservati in una banca dati «per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo». In conformità al paragrafo 2 di tale articolo, allo scadere di un «periodo iniziale [di conservazione]» (227) di sei mesi, i dati PNR sono resi anonimi mediante mascheratura di taluni dati che potrebbero servire a identificare direttamente l’interessato. Ai sensi del paragrafo 3 di detto articolo, allo scadere di tale periodo di sei mesi la comunicazione dei dati PNR integrali, inclusi gli elementi mascherati, è consentita solo se è «ragionevolmente» ritenuta necessaria ai fini dell’articolo 6, paragrafo 2, lettera b), della direttiva PNR ed è approvata da un’autorità giudiziaria o da un’altra autorità nazionale competente ai sensi del diritto nazionale per verificare se siano soddisfatte le condizioni per la comunicazione. Infine, il paragrafo 4 dello stesso articolo prevede che, allo scadere del periodo di cinque anni di cui al paragrafo 1, i dati PNR siano cancellati in via definitiva.

236. Da quanto precede risulta che la direttiva PNR stabilisce essa stessa il regime di conservazione dei dati PNR, inclusa la durata di tale conservazione, fissandola a cinque anni (228), cosicché gli Stati membri non hanno, in linea di principio, alcun potere discrezionale al riguardo, il che è stato peraltro confermato dalla Commissione. In tali circostanze, come ho già avuto occasione di osservare, l’ottava questione pregiudiziale, benché formulata come una questione di interpretazione, invita in realtà la Corte a pronunciarsi sulla compatibilità di detto regime con la Carta.

237. È un principio generale in materia di protezione dei dati personali che tali dati non debbano essere conservati in una forma che consenta l’identificazione, diretta o indiretta, degli interessati per un arco di tempo superiore al conseguimento delle finalità per le quali sono trattati (229). Peraltro, secondo una giurisprudenza costante, una normativa che preveda una conservazione dei dati personali deve sempre rispondere a criteri oggettivi, che dimostrino un rapporto tra i dati personali da conservare e l’obiettivo perseguito (230).

238. Nel parere 1/15, la Corte ha dichiarato, per quanto riguarda i dati raccolti al momento dell’ingresso in Canada, che il rapporto necessario tra i dati PNR e l’obiettivo perseguito dal progetto di accordo PNR Canada-UE era dimostrato per tutti i passeggeri aerei fintantoché si trovavano nel territorio di tale paese terzo (231). Per quanto riguarda, per contro, i passeggeri aerei che avevano lasciato il Canada e per i quali non era stato individuato un rischio in materia di terrorismo o di reati gravi di natura transnazionale al loro arrivo in tale paese terzo e fino alla loro partenza dal medesimo, la Corte ha dichiarato che un siffatto rapporto, sia pure indiretto, che giustificasse la conservazione dei loro dati PNR, non risultava esistente (232). Essa ha cionondimeno giudicato che una siffatta conservazione poteva essere ammissibile «[n]ei limiti in cui, tuttavia, sono identificati, in casi particolari, elementi obiettivi che consentano di ritenere che taluni passeggeri aerei possano, anche dopo la loro partenza dal Canada, presentare un rischio in termini di lotta al terrorismo e ai reati gravi di natura transnazionale» (233).

239. Trasposti nel contesto della direttiva PNR, i principi stabiliti dalla Corte nel parere 1/15 implicherebbero che i dati PNR dei voli extra-UE raccolti all’ingresso nell’Unione, nonché i dati PNR dei voli intra-UE raccolti all’ingresso nello Stato membro interessato possano essere conservati, dopo la loro analisi preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, solo fintantoché i passeggeri interessati rimangano nel territorio dell’Unione o in quello di tale Stato membro. Per quanto riguarda i dati PNR dei voli extra-UE raccolti all’uscita dall’Unione e i dati PNR dei voli intra-UE raccolti all’uscita dallo Stato membro interessato, essi potrebbero essere conservati, in linea di principio, dopo detta valutazione preliminare, solo nel caso dei passeggeri per i quali elementi obiettivi consentano di rivelare l’esistenza di un rischio in termini di lotta al terrorismo e ai reati gravi (234).

240. I governi e le istituzioni che hanno presentato osservazioni dinanzi alla Corte si oppongono in via generale ad una trasposizione nell’ambito della presente causa dei principi stabiliti nel parere 1/15 in materia di conservazione dei dati PNR. A tal riguardo, non è effettivamente escluso che il ricorso, da parte della Corte, ad un criterio connesso al soggiorno dell’interessato nel territorio del Canada abbia potuto essere influenzato dalla circostanza che essa si trovava di fronte ad una conservazione di dati personali nel territorio di un paese terzo. È altrettanto possibile che l’applicazione di un simile criterio nel contesto della direttiva PNR possa tradursi concretamente in un’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali potenzialmente più significativa per talune categorie di persone, segnatamente quelle aventi la loro residenza permanente nell’Unione e che si spostano all’interno della stessa o vi rientrano dopo un soggiorno all’estero. È vero, infine, che detto criterio potrebbe rivelarsi di difficile attuazione nella prassi, quantomeno per i voli intra-EU, come sottolineato da taluni Stati membri e dal Consiglio.

241. Ciò non toglie che, anche a voler escludere il criterio al quale ha fatto ricorso la Corte nel parere 1/15, una conservazione della totalità dei dati PNR di tutti i passeggeri aerei, indipendentemente dal risultato della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR e senza che venga fatta alcuna distinzione in funzione del rischio in materia di terrorismo o di reati gravi sulla base di criteri oggettivi e verificabili, è contraria alla giurisprudenza costante della Corte richiamata al paragrafo 237 delle presenti conclusioni, che la Corte ha inteso applicare in detto parere. Orbene, le considerazioni illustrate ai paragrafi da 201 a 203 delle presenti conclusioni nell’ambito dell’esame della quarta questione pregiudiziale, benché consentano, a mio avviso, di giustificare il trasferimento generalizzato e indiscriminato dei dati PNR, nonché il loro trattamento automatico nell’ambito della valutazione preliminare prevista all’articolo 6, paragrafo 2, lettera a), della direttiva PNR, non consentono, a mio avviso, da sole, di giustificare una conservazione generalizzata e indiscriminata di tali dati, anche dopo una siffatta valutazione.

242. Rilevo inoltre che lo stesso periodo di conservazione di cinque anni è applicato sia alla lotta al terrorismo sia alla lotta ai reati gravi e, nell’ambito di quest’ultima finalità, a tutti i reati di cui all’allegato II senza eccezioni. Orbene, come risulta dalle considerazioni svolte al paragrafo 121 delle presenti conclusioni, detto elenco è particolarmente ampio e copre reati diversi quanto a tipologia e a gravità. A tal riguardo, occorre rilevare che la giustificazione addotta da praticamente tutti gli Stati membri e dalle istituzioni che hanno presentato osservazioni nel presente procedimento, relative alla durata e alla complessità delle indagini, viene evocata concretamente solo per i reati di terrorismo e per taluni reati aventi carattere eminentemente transnazionale, come il traffico di esseri umani o il traffico di stupefacenti nonché, più in generale, per talune forme di criminalità organizzata. Ricordo inoltre che, nel parere 1/15, una giustificazione simile è stata accettata dalla Corte solo in relazione alla conservazione dei dati PNR dei passeggeri aerei per i quali esiste un rischio oggettivo in termini di lotta al terrorismo o ai reati gravi di natura transnazionale, per i quali una conservazione dei dati di cinque anni è stata considerata rispettosa dei limiti di quanto strettamente necessario (235). Per contro, è stato giudicato che tale giustificazione non poteva autorizzare «un’archiviazione continua dei dati PNR di tutti i passeggeri aerei (…) ai fini di un eventuale accesso a detti dati, indipendentemente da un qualsivoglia collegamento con la lotta al terrorismo e ai reati gravi di natura transnazionale» (236).

243. È ben vero, come sottolineato dal Consiglio, dal Parlamento e dalla Commissione, nonché da tutti i governi che hanno presentato osservazioni sull’ottava questione pregiudiziale, che la direttiva PNR prevede garanzie specifiche sia per quanto riguarda la conservazione dei dati PNR, i quali sono in parte mascherati dopo un periodo iniziale di sei mesi, sia per quanto riguarda la loro utilizzazione durante il periodo di conservazione, la quale è soggetta a rigorose condizioni. Tuttavia, in primo luogo, rilevo, da un lato, che il progetto di accordo PNR Canada-UE prevedeva pure un sistema di spersonalizzazione dei dati PNR tramite mascheramento (237) e, dall’altro, che se una siffatta spersonalizzazione, come sottolineato segnatamente dal comitato consultivo della convenzione 108 (238), può attenuare i rischi indotti da un periodo di conservazione prolungato dei dati, come un accesso abusivo, i dati mascherati consentono cionondimeno ancora di identificare le persone e restano, a tale titolo, dati personali, la cui conservazione deve parimenti essere limitata nel tempo per prevenire una sorveglianza permanente generalizzata. A tal riguardo, rilevo che un termine di conservazione di cinque anni ha come conseguenza che un numero significativo di passeggeri, segnatamente quelli che si spostano all’interno dell’Unione, potranno ritrovarsi schedati in maniera quasi permanente. In secondo luogo, per quanto riguarda le restrizioni all’utilizzazione dei dati, osservo che la conservazione di dati personali e l’accesso a tali dati costituiscono ingerenze distinte nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, le quali devono essere giustificate in maniera autonoma. Se l’esistenza di garanzie rigorose in materia di accesso ai dati conservati consente di valutare globalmente l’impatto di una misura di sorveglianza su detti diritti fondamentali, ciò non toglie che esse non consentono di eliminare le ingerenze connesse ad una conservazione generalizzata prolungata.

244. Quanto all’argomento della Commissione secondo il quale è necessario conservare i dati PNR di tutti i passeggeri aerei per consentire alle UIP di assolvere al compito, previsto all’articolo 6, paragrafo 2, lettera c), della direttiva PNR, di aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), di tale articolo, rilevo che, pur ammettendo al contempo che la precisione di tali criteri dipende in parte dal loro confronto con comportamenti «normali», come affermato dalla Commissione, ciò non toglie che la loro elaborazione dev’essere effettuata sulla base dei comportamenti «criminali». Un siffatto argomento, il quale, del resto, è sollevato soltanto da un numero limitato di Stati membri, non può rivestire, a mio avviso, l’importanza decisiva che sembra attribuirgli la Commissione e giustificare, da solo, una conservazione generalizzata dei dati PNR di tutti i passeggeri aerei, in forma non anonima.

245. Alla luce delle considerazioni che precedono, al fine di assicurare un’interpretazione dell’articolo 12, paragrafo 1, della direttiva PNR che sia conforme agli articoli 7, 8 e all’articolo 52, paragrafo 1, della Carta, occorre interpretare tale disposizione, a mio avviso, nel senso che la conservazione dei dati PNR trasmessi dai vettori aerei all’UIP in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo è consentita, dopo che è stata effettuata la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), di tale direttiva, solo nella misura in cui sia accertato, sulla base di criteri oggettivi, un rapporto fra tali dati e la lotta al terrorismo o ai reati gravi. Una conservazione generalizzata e indiscriminata dei dati PNR in una forma non anonimizzata può essere giustificata, in analogia a quanto affermato dalla Corte in questa stessa giurisprudenza, solo a fronte di una minaccia grave per la sicurezza degli Stati membri che si riveli reale e attuale o prevedibile, connessa, ad esempio, ad attività terroristiche, e a condizione che la durata di tale conservazione sia limitata allo stretto necessario.

246. La delimitazione della misura di conservazione prevista all’articolo 12, paragrafo 1, della direttiva PNR può essere fondata, ad esempio, su una valutazione dei rischi o sull’esperienza acquisita dalle autorità nazionali competenti, che consentano di prendere in considerazione taluni collegamenti aerei, modalità di viaggio definite, agenzie tramite le quali vengono fatte le prenotazioni o, ancora, determinate categorie di persone o zone geografiche, individuate sulla base di elementi oggettivi e non discriminatori, al pari di quanto statuito dalla Corte nella sua giurisprudenza in materia di conservazione dei metadati delle comunicazioni elettroniche (239). Inoltre, in analogia al parere 1/15, il rapporto necessario tra i dati PNR e l’obiettivo perseguito dalla direttiva PNR deve essere considerato accertato fintantoché i passeggeri aerei si trovano nell’Unione (o nello Stato membro interessato) o in partenza dalla stessa. Lo stesso vale per i dati dei passeggeri che hanno dato luogo ad un riscontro positivo verificato.

247. Per concludere sull’ottava questione pregiudiziale, desidero dedicare alcune riflessioni alle norme che disciplinano l’accesso ai dati PNR e la loro utilizzazione dopo la realizzazione della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR e prima della loro spersonalizzazione allo scadere del periodo iniziale di conservazione di sei mesi previsto all’articolo 12, paragrafo 2, della direttiva PNR.

248. Dal combinato disposto dell’articolo 6, paragrafo 2, lettera b), e dell’articolo 12, paragrafo 3, della direttiva PNR risulta che, durante tale periodo iniziale, i dati PNR non spersonalizzati o il risultato del loro trattamento possono essere comunicati alle autorità competenti in conformità alla prima di tali disposizioni, senza che siano rispettate le condizioni fissate alle lettere a) e b) della seconda di dette disposizioni (240). L’articolo 6, paragrafo 2, lettera b), della direttiva PNR si limita infatti a prevedere che la richiesta delle autorità competenti in vista di un siffatto trattamento e di una siffatta comunicazione debba essere «debitamente motivata» e «basata su motivi sufficienti».

249. Secondo una costante giurisprudenza, richiamata dalla Corte nel parere 1/15, una normativa dell’Unione non può limitarsi ad esigere che l’accesso delle autorità a dati personali legalmente conservati risponda ad una delle finalità di tale normativa, ma deve prevedere anche le condizioni sostanziali e procedurali che disciplinino tale utilizzo (241) al fine, segnatamente, di proteggere detti dati contro i rischi di abuso (242). In tale parere, la Corte ha dichiarato che l’uso dei dati PNR dopo la loro verifica all’ingresso dei passeggeri aerei in Canada e durante il loro soggiorno in tale paese doveva fondarsi su nuove circostanze che lo giustificassero (243), precisando che «qualora esistano elementi obiettivi che consentano di ritenere che i dati PNR di uno o più passeggeri aerei possano fornire un contributo effettivo all’obiettivo di lotta contro i reati di terrorismo e i reati gravi di natura transnazionale, l’uso di tali dati non sembra eccedere i limiti dello stretto necessario» (244). Rinviando per analogia al punto 120 della sentenza Tele2 Sverige, la Corte ha dichiarato che, al fine di garantire, in pratica, il pieno rispetto di tali condizioni, «è essenziale che l’uso durante il soggiorno dei passeggeri aerei in Canada dei dati PNR conservati sia subordinato, in linea di principio, salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato o da un giudice, o da un ente amministrativo indipendente, e che la decisione di tale giudice o di detto ente intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale» (245). La Corte ha pertanto assoggettato la possibilità di un uso dei dati PNR conservati dopo la loro verifica in occasione del viaggio aereo ad una duplice condizione, al contempo sostanziale – ossia l’esistenza di motivi oggettivi che giustifichino siffatto uso – e procedurale – ossia il controllo da parte di un giudice o di un’autorità amministrativa indipendente. L’interpretazione della Corte, lungi dall’essere «contestuale», costituisce l’applicazione in materia di dati PNR della giurisprudenza scaturita segnatamente dalle sentenze Digital Rights e Tele2 Sverige.

250. Orbene, il regime instaurato dalla direttiva PNR nel corso dei primi sei mesi di conservazione dei dati PNR, il quale autorizza, dopo la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), di tale direttiva, la comunicazione e il trattamento, potenzialmente ripetuti, dei dati PNR, in assenza di garanzie procedurali adeguate e di norme sostanziali sufficientemente chiare e precise che definiscano l’oggetto e le modalità di queste diverse ingerenze, non rispetta i requisiti enunciati dalla Corte nel parere 1/15. Esso non risulta neanche soddisfare il requisito di un uso dei dati PNR che sia limitato allo stretto necessario.

251. Propongo pertanto alla Corte di interpretare l’articolo 6, paragrafo 2, lettera b), della direttiva PNR in modo tale che i trattamenti di dati ai sensi di siffatta disposizione, i quali abbiano luogo nel corso del periodo iniziale di sei mesi previsto all’articolo 12, paragrafo 2, di tale direttiva, rispettino i requisiti fissati dalla Corte nel parere 1/15.

252. Per quanto riguarda la prima condizione, di ordine sostanziale, alla quale la Corte ha subordinato l’uso ulteriore dei dati PNR, ritengo che l’espressione «ragionevolmente» ai sensi dell’articolo 12, paragrafo 3, lettera a), della direttiva PNR e la nozione di «motivi sufficienti» ai sensi dell’articolo 6, paragrafo 2, lettera b), di tale direttiva possano essere interpretate senza difficoltà nel senso che le richieste da parte delle autorità competenti, di cui a tali disposizioni, devono fare riferimento a «elementi obiettivi che consentano di ritenere che i dati PNR di uno o più passeggeri aerei possano fornire un contributo effettivo all’obiettivo di lotta contro i reati di terrorismo e i reati gravi» (246).

253. Per quanto riguarda la seconda condizione, di ordine procedurale, a mio avviso, occorre interpretare l’articolo 6, paragrafo 2, lettera b), della direttiva PNR, in combinato disposto con l’articolo 12, paragrafo 3, della stessa e alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta, nel senso che il requisito della previa approvazione da parte di un’autorità giudiziaria o di un’autorità amministrativa indipendente, previsto all’articolo 12, paragrafo 3, lettera b), di tale direttiva, si applica a tutti i trattamenti dei dati PNR effettuati in applicazione di detto articolo 6, paragrafo 2, lettera b).

4. Conclusioni sulla seconda, terza, quarta, sesta e ottava questione pregiudiziale

254. Sulla base dell’insieme delle considerazioni che precedono, suggerisco alla Corte di dichiarare invalido il punto 12 dell’allegato I nei limiti in cui include le «osservazioni generali» fra le categorie di dati PNR che i vettori aerei sono tenuti a trasmettere alle UIP, in conformità all’articolo 8 della direttiva PNR, e di dichiarare che dall’esame della seconda, terza, quarta, sesta e ottava questione pregiudiziale non sono emersi altri elementi idonei ad incidere sulla validità di tale direttiva, fatte salve le interpretazioni delle disposizioni della stessa proposte ai paragrafi 153, 160, da 161 a 164, 219, 228, 239 e 251 delle presenti conclusioni.

255. Alla luce della risposta che suggerisco di dare alle questioni pregiudiziali vertenti sulla validità della direttiva PNR, la domanda presentata segnatamente dal Consiglio, intesa al mantenimento degli effetti della direttiva PNR nel caso in cui la Corte decidesse di dichiarare invalida in tutto o in parte la direttiva PNR nel suo complesso, non può essere accolta, a prescindere da ogni altra considerazione.

C. Sulla quinta questione pregiudiziale

256. Con la sua quinta questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se l’articolo 6 della direttiva PNR, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo delle attività oggetto dei servizi segreti e di sicurezza. Dalla decisione di rinvio risulta che tali attività sono quelle svolte dalle forze di sicurezza dello Stato e dal servizio generale segreto e di sicurezza nell’ambito del loro compito relativo alla protezione della sicurezza nazionale.

257. Come ho illustrato ai paragrafi 113 e 114 delle presenti conclusioni, la limitazione delle finalità del trattamento dei dati personali è una garanzia essenziale da rispettare affinché le ingerenze nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta non eccedano quanto necessario ai sensi della giurisprudenza della Corte. Ho parimenti già precisato che, nel caso delle ingerenze in tali diritti fondamentali previste dalla direttiva PNR, incombeva al legislatore dell’Unione, al fine di rispettare i principi di legalità e proporzionalità sanciti segnatamente all’articolo 52, paragrafo 1, della Carta, prevedere norme chiare e precise che disciplinassero la portata e l’applicazione delle misure comportanti siffatte ingerenze.

258. Orbene, l’articolo 1, paragrafo 2, della direttiva PNR precisa che i dati PNR raccolti a norma della medesima «possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, secondo quanto previsto all’articolo 6, paragrafo 2, lettere a), b) e c)». In conformità a tale disposizione, le UIP trattano i dati PNR solo al fine di effettuare una valutazione preliminare dei passeggeri aerei [articolo 6, paragrafo 2, lettera a)], rispondere alle richieste specifiche delle autorità competenti [articolo 6, paragrafo 2, lettera b)] e aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), di detto articolo 6 [articolo 6, paragrafo 2, lettera a)]. Nei tre casi, vengono richiamati espressamente gli obiettivi indicati all’articolo 1, paragrafo 2, della direttiva PNR in materia di lotta al terrorismo e ai reati gravi.

259. Peraltro, l’articolo 7, paragrafo 4, di tale direttiva precisa che non solo il trattamento dei dati PNR previsto all’articolo 6 della stessa, ma anche l’ulteriore trattamento di tali dati e del risultato di tale trattamento da parte delle autorità competenti degli Stati membri devono essere limitati «unicamente al fine specifico di prevenire, accertare, indagare o perseguire reati di terrorismo o reati gravi».

260. Il carattere tassativo della determinazione degli obiettivi perseguiti dalla direttiva PNR emerge chiaramente dal testo del suo articolo 1, paragrafo 2, ed è corroborato, oltre che dal suo articolo 6, paragrafo 2, e dal suo articolo 7, paragrafo 4, già menzionati, da diversi articoli e considerando di tale direttiva, i quali ricollegano sistematicamente ciascuna fase del processo di accesso, trattamento, conservazione e condivisione dei dati PNR a questi soli obiettivi specifici (247).

261. Sia dal testo dell’articolo 1, paragrafo 2, della direttiva PNR sia dalla sua interpretazione alla luce dei principi di legalità e proporzionalità, i quali impongono di limitare in maniera tassativa le finalità delle misure che comportano ingerenze nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, si evince che ogni estensione delle finalità del trattamento dei dati PNR al di là degli obiettivi di sicurezza espressamente menzionati in tale disposizione è contraria alla direttiva PNR.

262. Tale divieto di ampliare gli obiettivi perseguiti dalla direttiva vale in particolare, a mio avviso, per quanto riguarda le attività dei servizi segreti e di sicurezza degli Stati membri, anche a causa del difetto di trasparenza che caratterizza il loro modus operandi. Su tale punto, le mie posizioni coincidono con quelle della Commissione, ossia che tali servizi non dovrebbero, in linea di principio, avere un accesso diretto ai dati PNR. In tale contesto, reputo già di per sé censurabile la circostanza che le UIP nazionali possano, come nel caso della UIP belga, annoverare fra i propri membri funzionari distaccati dei servizi di sicurezza (248).

263. Sulla base delle considerazioni che precedono, occorre rispondere alla quinta questione pregiudiziale, a mio avviso, dichiarando che la direttiva PNR, e segnatamente il suo articolo 1, paragrafo 2, e il suo articolo 6, deve essere interpretata nel senso che essa osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo di talune attività oggetto dei servizi segreti e di sicurezza nella misura in cui, nell’ambito di una siffatta finalità, l’UIP nazionale possa essere indotta a trattare detti dati e/o a trasmettere gli stessi o il risultato del loro trattamento a detti servizi a fini diversi da quelli indicati tassativamente all’articolo 1, paragrafo 2, di tale direttiva, circostanza che incombe al giudice nazionale verificare.

D. Sulla settima questione pregiudiziale

264. Con la sua settima questione, il giudice del rinvio chiede, in sostanza, alla Corte se l’articolo 12, paragrafo 3, lettera b), della direttiva PNR debba essere interpretato nel senso che l’UIP costituisce un’«autorità nazionale competente» ai sensi di tale disposizione, la quale può autorizzare la comunicazione dei dati PNR integrali allo scadere del periodo iniziale di sei mesi dal trasferimento di tali dati.

265. Ricordo che l’articolo 12, paragrafo 2, della direttiva PNR prevede che, allo scadere di un periodo di sei mesi, i dati PNR vengano resi anonimi mediante mascheratura di taluni elementi che potrebbero servire a identificare direttamente il passeggero cui essi si riferiscono. Dopo tale termine, la comunicazione integrale di detti dati è consentita solo alle condizioni previste al paragrafo 3 del citato articolo 12 e, segnatamente, qualora tale comunicazione sia stata preventivamente approvata da un’«autorità giudiziaria» [articolo 12, paragrafo 3, lettera b), i)] oppure da un’«altra autorità nazionale competente ai sensi del diritto nazionale per verificare se sono soddisfatte le condizioni per la comunicazione, fatti salvi l’informazione e l’esame a posteriori del responsabile della protezione dei dati dell’UIP» [articolo 12, paragrafo 3, lettera b), ii)].

266. La maggior parte dei governi che hanno presentato le loro osservazioni scritte nel presente procedimento non si è pronunciata sulla settima questione pregiudiziale. Il governo ceco ritiene, al pari della Commissione, che l’articolo 12, paragrafo 3, della direttiva PNR non possa essere interpretato nel senso che l’UIP possa costituire un’«autorità nazionale competente». Per contro, i governi belga (249), irlandese, spagnolo, francese e cipriota si oppongono ad una siffatta interpretazione. Essi ritengono, in sostanza, che nessuna disposizione della direttiva PNR o del diritto dell’Unione osti alla designazione dell’UIP fra le autorità nazionali competenti ai sensi dell’articolo 12, paragrafo 2, lettera b), ii), di detta direttiva, e che l’UIP, per sua natura, sia un’autorità tanto indipendente per poter procedere all’autorizzazione del trattamento dei dati PNR.

267. Da parte mia rilevo, in primo luogo, che dal testo dell’articolo 12, paragrafo 3, lettera b), della direttiva PNR e, segnatamente, dall’uso della congiunzione «o», che collega le due fattispecie ai punti i) e ii) di tale disposizione, risulta che il legislatore dell’Unione ha inteso mettere sullo stesso piano il controllo esercitato dall’autorità nazionale di cui al punto ii) e quello operato dall’autorità giudiziaria di cui al punto i). Ne consegue che detta autorità nazionale deve presentare un livello di indipendenza e imparzialità tale che il controllo da essa esercitato possa essere considerato un’alternativa comparabile al controllo che può essere effettuato da un’autorità giudiziaria (250).

268. In secondo luogo, dai lavori preparatori della direttiva PNR si evince che il legislatore dell’Unione, da un lato, non ha accolto la proposta della Commissione di affidare al responsabile dell’UIP il compito di autorizzare la comunicazione dei dati PNR integrali (251) e, dall’altro, ha esteso, portandolo a sei mesi, il periodo iniziale di conservazione di tali dati proposto da tale istituzione, pari a 30 giorni. È in tale contesto, caratterizzato dalla ricerca di un equilibrio fra la durata del periodo di conservazione prima della spersonalizzazione dei dati PNR e le condizioni alle quali è soggetto il loro smascheramento al termine di tale periodo, che si colloca la decisione del legislatore dell’Unione, di assoggettare l’accesso integrale ai dati PNR a condizioni procedurali più restrittive rispetto a quelle inizialmente previste dalla Commissione e di affidare ad un’autorità indipendente il compito di verificare che le condizioni per la comunicazione siano soddisfatte.

269. In terzo luogo, come osservato correttamente dalla Commissione, dall’economia della direttiva PNR risulta che la ratio del procedimento di approvazione previsto all’articolo 12, paragrafo 3, della direttiva PNR risiede nell’attribuzione ad un soggetto terzo imparziale del compito di procedere, in ciascun singolo caso di specie, ad una ponderazione fra i diritti degli interessati e la finalità repressiva perseguita da tale direttiva.

270. In quarto luogo, dalla giurisprudenza della Corte risulta che l’ente incaricato di effettuare il controllo preventivo, richiesto al fine di autorizzare l’accesso delle autorità nazionali competenti a dati personali legittimamente conservati, deve disporre di tutte le attribuzioni e presentare tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in questione. La Corte ha parimenti precisato che tale ente deve godere di uno status che gli permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna (252). In particolare, alla luce del requisito di indipendenza richiesto, soprattutto in ambito penale, l’autorità incaricata di esercitare il controllo preventivo deve avere la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che essa non debba essere coinvolta nella conduzione di un’indagine penale e debba mantenere una posizione di neutralità nei confronti delle parti del procedimento penale (253).

271. Orbene, è giocoforza constatare che l’UIP non presenta tutte le garanzie di indipendenza e imparzialità che l’autorità incaricata di esercitare il controllo preventivo previsto all’articolo 12, paragrafo 3, della direttiva PNR deve soddisfare. Infatti, le UIP sono direttamente collegate alle autorità competenti in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. In conformità all’articolo 4, paragrafo 1, della direttiva PNR, l’UIP è essa stessa una siffatta autorità o una sua sezione. Peraltro, il paragrafo 3 di tale articolo prevede che i membri del personale delle UIP possano essere funzionari distaccati delle autorità competenti. È questo il caso, segnatamente, della UIP belga la quale, ai sensi dell’articolo 14 della legge PNR, è composta, tra l’altro, da membri distaccati dei servizi di polizia, delle forze di sicurezza dello Stato, del servizio generale segreto e di sicurezza e dell’amministrazione generale delle dogane e delle accise.

272. È vero che, in linea di principio, i membri della UIP devono offrire tutte le garanzie di integrità, competenza, trasparenza e indipendenza, e che incombe agli Stati membri fare in modo, se del caso, che, tenuto conto dei legami che li uniscono ai loro corpi di appartenenza, tali garanzie possano concretamente essere rispettate, segnatamente al fine di evitare che le autorità competenti nella cui struttura tali membri sono originariamente inseriti abbiano un accesso diretto alla banca dati PNR, e non unicamente ai risultati dei sequestri effettuati dalle UIP. Ciò non toglie che i membri delle UIP distaccati delle autorità competenti ai sensi dell’articolo 7, paragrafo 2, della direttiva PNR mantengano inevitabilmente un legame con i loro servizi di origine durante il periodo del loro distacco, conservando il loro status anche se sono sottoposti all’autorità funzionale e gerarchica del funzionario dirigente dell’UIP.

273. La conclusione secondo la quale l’UIP non è un’autorità nazionale ai sensi dell’articolo 12, paragrafo 3, lettera b), ii), della direttiva PNR è inoltre corroborata dalla circostanza che, in conformità a tale disposizione, il responsabile della protezione dei dati dell’UIP interessata deve essere «informa[to]» della richiesta di comunicazione ed esercita un «esame a posteriori». Infatti, nel caso in cui l’UIP fosse autorizzata, in quanto «altra autorità nazionale», ad approvare una richiesta di comunicazione ai sensi dell’articolo 12, paragrafo 3, della direttiva PNR, il responsabile della protezione dei dati, il quale è incaricato, tra l’altro, in conformità all’articolo 5, paragrafo 1, di tale direttiva, di attuare le pertinenti garanzie che accompagnano il trattamento dei dati PNR, verrebbe informato della domanda di accesso al momento della sua presentazione, e il suo controllo avverrebbe necessariamente ex ante (254).

274. Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere alla settima questione pregiudiziale dichiarando che l’articolo 12, paragrafo 3, lettera b), della direttiva PNR deve essere interpretato nel senso che l’UIP non costituisce un’«altra autorità nazionale competente» ai sensi di tale disposizione.

E. Sulla nona questione pregiudiziale

275. Con la sua nona questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte, da un lato, se la direttiva API sia compatibile con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta nella misura in cui essa si applichi ai voli interni all’Unione e, dall’altro, se tale direttiva, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, debba essere interpretata nel senso che essa osta ad una normativa nazionale che, ai fini del contrasto all’immigrazione irregolare e del rafforzamento dei controlli alle frontiere, autorizza un sistema di raccolta e trattamento dei dati dei passeggeri che potrebbe comportare indirettamente una reintroduzione dei controlli alle frontiere interne.

276. Dalla decisione di rinvio emerge che siffatta questione pregiudiziale si inserisce nell’ambito dell’esame del secondo motivo di ricorso, dedotto dalla LDH in subordine. Tale motivo, relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, è diretto avverso l’articolo 3, § 1, l’articolo 8, § 2 e il capo 11, segnatamente gli articoli da 28 a 31, della legge PNR. Mentre il primo di tali articoli enuncia, in termini generali, l’oggetto di tale legge, precisando che essa «stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri diretti, provenienti o in transito sul territorio nazionale», l’articolo 8, § 2, di detta legge prevede che «nel rispetto delle condizioni previste al capo 11 [della stessa], i dati dei passeggeri sono inoltre trattati ai fini del rafforzamento dei controlli sulle persone alle frontiere esterne e del contrasto all’immigrazione irregolare». Nell’ambito di tale finalità, in conformità all’articolo 29, § 1, della legge PNR, solo i «dati dei passeggeri» di cui all’articolo 9, § 1, punto 18, della stessa (ossia i dati API menzionati al punto 18 della direttiva PNR), concernenti tre categorie di passeggeri, sono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri (Belgio). Si tratta dei «passeggeri che intendono entrare o che sono entrati sul territorio attraverso le frontiere esterne del Belgio», dei «passeggeri che intendono lasciare o che hanno lasciato il territorio attraverso le frontiere esterne del Belgio» e dei «passeggeri che intendono attraversare, si trovano o hanno attraversato una zona internazionale di transito sita in Belgio» (255). Dall’articolo 29, § 3, della legge PNR risulta che detti dati vengono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri dall’UIP «immediatamente dopo la loro registrazione nella banca dati dei passeggeri», e che vengono distrutti nelle ventiquattro ore successive alla loro trasmissione. Ai sensi di tale disposizione, decorso tale termine, l’Ufficio stranieri può parimenti rivolgere all’UIP una richiesta motivata al fine di ottenere l’accesso a questi stessi dati qualora ciò risulti necessario nell’ambito delle sue funzioni previste dalla legge. Pertanto, il contesto normativo nel quale si inserisce la nona questione pregiudiziale fuoriesce da quello della direttiva PNR, considerata la finalità perseguita dal trattamento di dati di cui agli articoli 28 e 29 della legge PNR, per inserirsi in quello della direttiva API. Peraltro, risulta segnatamente dal fascicolo depositato nella cancelleria della Corte che il secondo motivo della LDH si fonda su un’interpretazione delle disposizioni del capo 11 della legge PNR, secondo la quale esse si applicano parimenti in caso di attraversamento delle frontiere interne del Belgio.

277. La prima parte della nona questione pregiudiziale si fonda su un presupposto erroneo e, a mio avviso, non deve essere risolta dalla Corte. Infatti, dall’articolo 3, paragrafo 1, della direttiva API, in combinato disposto con l’articolo 2, lettere b) e d), della stessa risulta in maniera inequivocabile che tale direttiva prevede l’obbligo, per i vettori aerei, di trasmettere i dati API alle autorità incaricate del controllo delle persone alle frontiere esterne solo nel caso dei voli che trasportano passeggeri verso un valico autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Analogamente, l’articolo 6, paragrafo 1, di detta direttiva prevede unicamente il trattamento dei dati API relativi a tali voli. Peraltro, se è vero che la direttiva PNR prevede la possibilità per gli Stati membri di estendere l’obbligo di trasferimento dei dati API raccolti anche ai vettori aerei che effettuano voli intra-UE, tale estensione deve lasciare impregiudicata la direttiva API (256). Nel contesto della direttiva PNR, i dati API trasferiti verranno trattati soltanto nell’ambito delle attività di contrasto previste da tale direttiva. Viceversa, il considerando 34 della direttiva PNR enuncia che essa lascia impregiudicate le attuali norme dell’Unione sulle modalità di effettuazione dei controlli alle frontiere o le norme dell’Unione che regolamentano l’ingresso e l’uscita dal suo territorio, e l’articolo 6, paragrafo 9, seconda frase, di tale direttiva stabilisce che, se le valutazioni ai sensi del paragrafo 2 di tale articolo sono effettuate in relazione a voli intra-UE tra Stati membri cui si applica il codice frontiere Schengen (257), le conseguenze di tali valutazioni devono rispettare detto regolamento.

278. Riformulare tale parte della nona questione pregiudiziale, come suggerito, in subordine, dalla Commissione, nel senso che essa riguardi la compatibilità con le disposizioni del Trattato e della Carta non della direttiva API, bensì della direttiva PNR, e segnatamente del suo articolo 2, implicherebbe non solo la modifica dell’atto rispetto al quale il giudice del rinvio ha chiesto una valutazione della validità, ma significherebbe anche uscire dal contesto normativo nel quale tale questione pregiudiziale si colloca. Infatti, come ho spiegato, le disposizioni del capo 11 della legge PNR, contro le quali il secondo motivo di ricorso è diretto, traspongono la direttiva API e non la direttiva PNR.

279. Per il caso in cui la Corte procedesse ad una siffatta riformulazione, mi limito ad alcune riflessioni nel prosieguo per quanto riguarda, segnatamente, la questione se la valutazione preliminare che gli Stati membri sono autorizzati a svolgere sui dati PNR dei passeggeri dei voli intra-UE, in conformità alla facoltà di cui dispongono ai sensi dell’articolo 2 della direttiva PNR, possa essere considerata equivalente all’esercizio delle «verifiche di frontiera» ai sensi dell’articolo 23, lettera a), del codice frontiere Schengen (258). In primo luogo, benché la valutazione preliminare dei dati PNR avvenga non «al valico di frontiera» o al «momento dell’attraversamento della frontiera», bensì prima di tale momento, essa viene cionondimeno effettuata «a causa» dell’attraversamento imminente delle frontiere. In secondo luogo, in conformità all’articolo 2 della direttiva PNR, gli Stati membri sono autorizzati ad estendere la valutazione preliminare dei dati PNR prevista all’articolo 6, paragrafo 2, lettera a), della direttiva PNR ai passeggeri di tutti i voli intra-UE, indipendentemente dal comportamento dell’interessato e da circostanze che attestino l’esistenza di una minaccia per la sicurezza pubblica. Tale valutazione preliminare ha, inoltre, carattere sistematico. Orbene, né l’uno né l’altro di tali elementi sembrano soddisfare gli indizi di cui all’articolo 23, lettera a), seconda frase, ii), iii) e iv), del codice frontiere Schengen (259). In terzo luogo, per quanto riguarda gli indizi di cui alla lettera a), seconda frase, i) e iii), di tale articolo, mi chiedo se la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR non si sovrapponga, in tutto o in parte, alla finalità delle verifiche di frontiera effettuate ai sensi dell’articolo 8, paragrafo 2, lettera b), e paragrafo 3, lettera a), vi), e lettera g), iii), del codice frontiere Schengen, come modificato dal regolamento 2017/458, e, soprattutto, se essa si distingua in modo chiaro, sotto il profilo delle sue modalità, da tali verifiche sistematiche (260). A tal riguardo, rilevo che l’articolo 8, paragrafo 2, sexies, e paragrafo 3, i bis), di tale codice precisano che dette verifiche «possono essere effettuate in anticipo sulla base dei dati dei passeggeri ricevuti conformemente alla direttiva API o ad altra normativa dell’Unione o nazionale». Ciò premesso, è vero che la finalità della direttiva PNR non è quella di «accertare che le persone possano essere autorizzate a entrare nel territorio dello Stato membro o autorizzate a lasciarlo» o quella «di evitare che le persone eludano le verifiche di frontiera», che la Corte ha riconosciuto come gli obiettivi del «controllo di frontiera» ai sensi del codice frontiere Schengen (261), dal momento che tale direttiva ha una finalità esclusivamente repressiva. Inoltre, l’articolo 23, lettera a), seconda frase, ii), di detto codice prevede esplicitamente che l’esercizio delle competenze di polizia non può essere considerato equivalente all’esercizio delle verifiche di frontiera quando i controlli riguardano, segnatamente, la lotta contro la criminalità transfrontaliera (262). Infine, la Corte dovrebbe tenere conto nella sua valutazione anche della circostanza, sottolineata segnatamente dalla Commissione, che l’articolo 2 della direttiva PNR autorizza gli Stati membri unicamente ad imporre ai vettori aerei il trasferimento dei dati PNR che essi hanno raccolto nel normale svolgimento delle loro attività, e non prevede pertanto un obbligo analogo a quello previsto dalla direttiva API per il passaggio delle frontiere esterne.

280. Per quanto riguarda la seconda parte della nona questione pregiudiziale ritengo, al pari della Commissione, che essa debba essere intesa nel senso che si riferisce all’attraversamento delle frontiere interne, e che mira ad ottenere dalla Corte chiarimenti che consentano al giudice del rinvio di valutare la compatibilità delle disposizioni del capo 11 della legge PNR con l’abolizione dei controlli alle frontiere interne degli Stati membri nello spazio Schengen.

281. A tal riguardo, alla luce degli scarsi elementi a disposizione della Corte, mi limito a rilevare che le disposizioni del capo 11 della legge PNR possono essere compatibili con il diritto dell’Unione e, segnatamente, con l’articolo 67, paragrafo 2, TFUE solo se sono interpretate nel senso che riguardano unicamente il trasferimento e il trattamento dei dati API dei passeggeri che attraversano le frontiere esterne del Belgio con paesi terzi.

282. Qualora la Corte decidesse di riformulare la seconda parte della nona questione pregiudiziale nel senso che essa verte sull’interpretazione della direttiva PNR in relazione alle disposizioni del capo 11 della legge PNR, mi limito a rilevare che il trattamento dei dati API previsto agli articoli 28 e 29 di tale legge è innestato sul sistema attuato dal legislatore belga per trasporre la direttiva PNR. In tal senso, in primo luogo, i dati API che sono oggetto di trattamento sono quelli elencati al punto 12 dell’allegato I a tale direttiva e non soltanto quelli contenuti nell’elenco figurante all’articolo 3, paragrafo 2, della direttiva API. In secondo luogo, in conformità all’articolo 29, § 1, della legge PNR, tali dati vengono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri da parte dell’UIP – il quale è incaricato di raccogliere e trattare i dati PNR nell’ambito delle sole finalità perseguite dalla direttiva PNR –, e non, come previsto dalla direttiva API, direttamente dai vettori aerei. Peraltro, tale trasmissione riguarda parimenti i dati dei passeggeri che intendono lasciare o hanno lasciato il territorio belga e non ha come unici destinatari le autorità incaricate dei controlli di frontiera, bensì anche l’Ufficio stranieri, il quale è incaricato della gestione della popolazione immigrata e della lotta all’immigrazione clandestina. In terzo luogo, ai sensi dell’articolo 29, § 4, secondo comma, della legge PNR, l’Ufficio stranieri sembrerebbe legittimato a rivolgere all’UIP richieste di accesso ai dati API persino dopo il trattamento di tali dati al momento dell’attraversamento delle frontiere da parte dei passeggeri interessati. In tal senso, tale Ufficio è de facto assimilato ad un’autorità competente ai sensi dell’articolo 7 della direttiva PNR, pur non rivestendone la natura e non figurando nell’elenco di tali autorità comunicato alla Commissione dal Belgio. Orbene, una simile commistione fra i sistemi previsti dalla direttiva API e dalla direttiva PNR non può, a mio avviso, essere ammessa, in quanto viola il principio della limitazione delle finalità sancito all’articolo 1, paragrafo 2, della direttiva PNR (263).

283. Sulla base dell’insieme delle considerazioni che precedono, propongo alla Corte di rispondere alla nona questione pregiudiziale dichiarando che l’articolo 3, paragrafo 1, della direttiva API, ai sensi del quale gli Stati membri adottano le disposizioni necessarie per istituire l’obbligo per i vettori aerei di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative ai passeggeri previste al paragrafo 2 di tale articolo, in combinato disposto con l’articolo 2, lettere b) e d), di tale direttiva, riguarda unicamente i passeggeri trasportati verso un valico di frontiera autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Una normativa nazionale che, al solo scopo di rafforzare i controlli di frontiera e di combattere l’immigrazione irregolare, estenda tale obbligo ai dati delle persone che attraversano le frontiere interne dello Stato membro interessato per via aerea o con altri mezzi di trasporto sarebbe contraria all’articolo 67, paragrafo 2, TFUE e all’articolo 22 del codice frontiere Schengen.

F. Sulla decima questione pregiudiziale

284. Con la sua decima questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se, qualora dovesse giungere alla conclusione che la legge PNR viola gli articoli 7, 8 e l’articolo 52, paragrafo 1, della Carta, esso possa mantenere provvisoriamente gli effetti di tale legge per evitare una situazione di incertezza del diritto e consentire che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per le finalità previste dalla legge PNR.

285. La Corte ha risposto ad una questione dello stesso tenore nella sentenza La Quadrature du Net concernente la memorizzazione dei metadati delle comunicazioni elettroniche, pronunciata successivamente alla proposizione della presente domanda di pronuncia pregiudiziale. In tale sentenza la Corte ha richiamato, anzitutto, la sua giurisprudenza secondo la quale il primato e l’applicazione uniforme del diritto dell’Unione risulterebbero pregiudicati se i giudici nazionali avessero il potere di attribuire alle norme nazionali il primato, anche solo provvisoriamente, in caso di contrasto con il diritto dell’Unione. Essa ha poi ricordato che, nella sentenza del 29 luglio 2019, Inter-Environnement Wallonie e Bond Beter Leefmilieu Vlaanderen (264), nella quale era in discussione la legittimità di misure adottate in violazione dell’obbligo sancito dal diritto dell’Unione di effettuare una valutazione preliminare delle incidenze di un progetto sull’ambiente e su un sito protetto, essa ha ammesso che un giudice nazionale può, se il diritto interno lo consente, eccezionalmente mantenere gli effetti di siffatte misure qualora tale mantenimento sia giustificato da considerazioni imperative, connesse alla necessità di scongiurare una minaccia grave ed effettiva di interruzione dell’approvvigionamento di energia elettrica dello Stato membro interessato per il tempo strettamente necessario per porre rimedio a tale illegittimità. Essa ha cionondimeno concluso che, a differenza dell’omissione di un obbligo procedurale quale la valutazione preliminare delle incidenze di un progetto nell’ambito specifico della tutela dell’ambiente, una violazione dei diritti fondamentali garantiti agli articoli 7 e 8 della Carta non può essere oggetto di regolarizzazione mediante una procedura analoga a quella prevista nella summenzionata sentenza (265). La stessa risposta deve essere data, a mio avviso, alla decima questione pregiudiziale nel presente procedimento.

286. Nella misura in cui sia il giudice del rinvio sia il governo belga, nonché la Commissione e il Consiglio si chiedono se il diritto dell’Unione osti all’utilizzo, nell’ambito di un procedimento penale, delle informazioni o degli elementi di prova ottenuti utilizzando i dati PNR raccolti, trattati e/o conservati in maniera incompatibile con il diritto dell’Unione, ricordo che, al punto 222 della sentenza La Quadrature du Net, la Corte ha precisato che, allo stato attuale del diritto dell’Unione, spetta, in linea di principio, esclusivamente al diritto nazionale determinare le norme relative all’ammissibilità e alla valutazione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate della commissione di reati gravi, di informazioni ed elementi di prova ottenuti mediante una conservazione di dati contraria al diritto dell’Unione, fatto salvo il rispetto dei principi di equivalenza e di effettività. Per quanto riguarda quest’ultimo, la Corte ha dichiarato che tale principio impone al giudice penale nazionale di non tenere conto delle informazioni e degli elementi di prova, ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione incompatibile con il diritto dell’Unione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate di avere commesso atti di criminalità, qualora dette persone non siano in grado di prendere efficacemente posizione su tali informazioni ed elementi di prova, che provengono da un settore che esula dalla competenza dei giudici e possono influenzare in maniera preponderante la valutazione dei fatti. Tali principi sono parimenti trasponibili mutatis mutandis alle circostanze del procedimento principale.

IV. Conclusione

287. Sulla base dell’insieme delle considerazioni che precedono, suggerisco alla Corte di rispondere nei seguenti termini alle questioni pregiudiziali sollevate dalla Cour constitutionnelle (Corte costituzionale, Belgio):

1) L’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di tale regolamento, deve essere interpretato nel senso che:

– esso si applica ad una normativa nazionale che traspone la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, nei limiti in cui tale normativa disciplina i trattamenti dei dati PNR effettuati dai vettori aerei e da altri operatori economici, incluso il trasferimento di dati PNR alle unità d’informazione sui passeggeri (UIP) di cui all’articolo 4 di detta direttiva, previsto all’articolo 8 della stessa;

– esso non si applica ad una normativa nazionale che traspone la direttiva 2016/681 nei limiti in cui essa disciplina i trattamenti di dati effettuati per le finalità previste all’articolo 1, paragrafo 2, di tale direttiva da parte delle competenti autorità nazionali, incluse le UIP e, se del caso, i servizi segreti e di sicurezza dello Stato membro interessato;

– esso si applica ad una normativa nazionale che traspone la direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate, e la direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE, al fine di migliorare i controlli delle persone alle frontiere esterne e combattere l’immigrazione irregolare.

2) Il punto 12 dell’allegato I alla direttiva 2016/681 è invalido nei limiti in cui include le «osservazioni generali» fra le categorie di dati che i vettori aerei sono tenuti a trasmettere alle UIP, in conformità all’articolo 8 di tale direttiva.

3) Dall’esame della seconda, terza, quarta, sesta e ottava questione non sono emersi altri elementi idonei ad incidere sulla validità della direttiva 2016/681.

4) Il punto 12 dell’allegato I alla direttiva 2016/681, per la parte che non è dichiarata invalida, deve essere interpretato nel senso che comprende le sole informazioni concernenti i minori ivi espressamente menzionate e che sono direttamente connesse con il volo.

5) Il punto 18 dell’allegato I alla direttiva 2016/681 deve essere interpretato nel senso che esso copre unicamente le informazioni preliminari sui passeggeri espressamente elencate a tale punto nonché all’articolo 3, paragrafo 2, della direttiva 2004/82, raccolte dai vettori aerei nel normale svolgimento della loro attività.

6) La nozione di «banche dati pertinenti», di cui all’articolo 6, paragrafo 3, lettera a), della direttiva 2016/681, deve essere interpretata nel senso che essa riguarda unicamente le banche dati nazionali gestite dalle autorità competenti ai sensi dell’articolo 7, paragrafo 1, di tale direttiva, nonché le banche dati dell’Unione e internazionali direttamente utilizzate da tali autorità nell’ambito delle loro funzioni. Dette banche dati devono intrattenere un rapporto diretto e stretto con le finalità di lotta contro il terrorismo e i reati gravi perseguite da detta direttiva, il che implica che esse siano state sviluppate per tali finalità. Nell’ambito della trasposizione nel loro diritto nazionale della direttiva 2016/681, gli Stati membri sono tenuti a pubblicare un elenco di dette banche dati e ad aggiornarlo.

7) L’articolo 6, paragrafo 3, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che esso osta all’uso, nell’ambito del trattamento automatizzato previsto da tale disposizione, di sistemi algoritmici che possono dar luogo, senza intervento umano, ad una modifica dei criteri prestabiliti sulla base dei quali tale trattamento è stato effettuato e che non consentono di individuare in maniera chiara e trasparente i motivi che hanno portato a riscontri positivi a seguito di detto trattamento.

8) L’articolo 12, paragrafo 1, della direttiva 2016/681, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che la conservazione dei dati PNR trasmessi dai vettori aerei all’UIP in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo è consentita, dopo che è stata effettuata la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), di tale direttiva, solo nella misura in cui sia accertato, sulla base di criteri oggettivi, un rapporto fra tali dati e la lotta al terrorismo o ai reati gravi. Una conservazione generalizzata e indiscriminata di tali dati PNR in forma non anonimizzata può essere giustificata solo a fronte di una minaccia grave per la sicurezza degli Stati membri che si riveli reale e attuale o prevedibile, connessa, ad esempio, ad attività terroristiche, e a condizione che la durata di tale conservazione sia limitata allo stretto necessario.

9) L’articolo 6, paragrafo 2, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che la comunicazione dei dati PNR o del risultato del trattamento di tali dati ai sensi di siffatta disposizione, la quale abbia luogo nel corso del periodo iniziale di sei mesi previsto all’articolo 12, paragrafo 2, di tale direttiva, deve rispettare le condizioni enunciate all’articolo 12, paragrafo 3, lettera b), di detta direttiva.

10) La direttiva 2016/681, e segnatamente il suo articolo 1, paragrafo 2, e il suo articolo 6, deve essere interpretata nel senso che essa osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo di talune attività oggetto dei servizi segreti e di sicurezza nella misura in cui, nell’ambito di una siffatta finalità, l’UIP nazionale possa essere indotta a trattare detti dati e/o a trasmettere gli stessi o il risultato del loro trattamento a detti servizi a fini diversi da quelli indicati tassativamente all’articolo 1, paragrafo 2, di detta direttiva, circostanza che incombe al giudice nazionale verificare.

11) L’articolo 12, paragrafo 3, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che l’UIP non costituisce un’«altra autorità nazionale competente» ai sensi di tale disposizione.

12) L’articolo 3, paragrafo 1, della direttiva 2004/82, ai sensi del quale gli Stati membri adottano le disposizioni necessarie per istituire l’obbligo per i vettori aerei di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative ai passeggeri previste al paragrafo 2 di tale articolo, in combinato disposto con l’articolo 2, lettere b) e d), di tale direttiva, riguarda unicamente i passeggeri trasportati verso un valico di frontiera autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Una normativa nazionale che, al solo scopo di rafforzare i controlli di frontiera e di combattere l’immigrazione irregolare, estenda tale obbligo ai dati delle persone che attraversano le frontiere interne dello Stato membro interessato per via aerea o con altri mezzi di trasporto sarebbe contraria all’articolo 67, paragrafo 2, TFUE e all’articolo 22 del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen).

13) Un giudice nazionale non può applicare una disposizione del suo diritto nazionale che lo autorizza a limitare nel tempo gli effetti di una dichiarazione di invalidità ad esso incombente, in forza di tale diritto, in relazione ad una normativa nazionale che impone ai vettori aerei, terrestri e marittimi, nonché agli operatori di viaggio, ai fini della lotta al terrorismo e ai reati gravi, un trasferimento dei dati PNR e che prevede un trattamento e una conservazione generalizzati e indiscriminati di tali dati incompatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali. In applicazione del principio di effettività, il giudice penale nazionale non deve tenere conto delle informazioni e degli elementi di prova ottenuti in applicazione di una siffatta normativa incompatibile con il diritto dell’Unione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate di aver commesso atti di terrorismo o di criminalità grave, qualora dette persone non siano in grado di prendere efficacemente posizione su tali informazioni ed elementi di prova, che provengono da un settore che esula dalla competenza dei giudici e possono influenzare in maniera preponderante la valutazione dei fatti.

1 Lingua originale: il francese.

2 GU 2016, L 119, pag. 1.

3 GU 2016, L 119, pag. 132.

4 GU 2004, L 261, pag. 24.

5 Moniteur belge del 25 gennaio 2017, pag. 12905.

6 Ai sensi dell’articolo 3, punto 2, della direttiva PNR, costituisce un «volo extra-UE» «un volo di linea o non di linea effettuato da un vettore aereo in provenienza da un paese terzo e che deve atterrare nel territorio di uno Stato membro oppure in partenza dal territorio di uno Stato membro e che deve atterrare in un paese terzo, compresi, in entrambi i casi, i voli con scali nel territorio di Stati membri o di paesi terzi».

7 Ai sensi dell’articolo 3, punto 3), della direttiva PNR, costituisce un «volo intra-UE» «un volo di linea o non di linea effettuato da un vettore aereo in provenienza dal territorio di uno Stato membro e che deve atterrare nel territorio di uno o più altri Stati membri, senza alcuno scalo nel territorio di un paese terzo».

8 L’articolo 7, paragrafo 1, della direttiva PNR prevede che ciascuno Stato membro adotti l’elenco delle autorità competenti autorizzate a chiedere o ricevere dalle UIP i dati PNR o i risultati del loro trattamento ai fini di un’ulteriore verifica delle informazioni o di interventi appropriati per prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi. Tale elenco è stato pubblicato dalla Commissione nel 2018 (GU 2018, C 194, pag. 1; rettifica in GU 2020, C 366, pag. 55).

9 Decisione quadro del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU 2008, L 350, pag. 60).

10 GU 2016, L 119, pag. 89. L’articolo 25 della decisione quadro 2008/977/GAI è stato sostituito dall’articolo 41 della direttiva polizia.

11 V. articolo 15, paragrafo 2, della direttiva PNR.

12 V. articolo 15, paragrafo 3, lettere a) e b), della direttiva PNR.

13 Direttiva del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE (GU 2010, L 283, pag. 1).

14 Moniteur belge del 18 dicembre 1998, pag. 40312.

15 C‑203/15 e C‑698/15; in prosieguo: la «sentenza Tele2 Sverige», EU:C:2016:970.

16 In prosieguo: il «parere 1/15», EU:C:2017:592.

17 V., in tal senso, sentenza del 22 giugno 2021, Latvia Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 61).

18 Ai sensi dell’articolo 2, paragrafo 1, del RGPD, «[i]l presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

19 V. sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 84), nonché sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 62).

20 V., in tal senso, sentenza del 6 ottobre 2020, Privacy International (C‑623/17, EU:C:2020:790, punto 41 e giurisprudenza ivi citata; in prosieguo: la «sentenza Privacy International»,). Ai sensi dell’articolo 4, punto 2, del RGPD, costituisce «trattamento» «qualsiasi operazione (…) applicat[a] a dati personali o insiemi di dati personali, come (…) la comunicazione mediante trasmissione».

21 V., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 69). Ai sensi dell’articolo 3, punto 7, lettera a) e b), della direttiva polizia, è «autorità competente» «a) qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; o b) qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici» a questi stessi fini.

22 Nessun indizio in tal senso risulta dalla decisione di rinvio.

23 Un siffatto operatore non può neanche essere qualificato come «responsabile del trattamento» ai sensi dell’articolo 4, punto 8, del RGPD o dell’articolo 3, punto 9, della direttiva polizia, trattandosi piuttosto del «titolare del trattamento» ai sensi dell’articolo 4, punto 7, seconda frase, del RGPD. Ai sensi dell’articolo 4, punto 8, del RGPD e dell’articolo 3, punto 9, della direttiva polizia, che sono redatti in maniera identica, il «responsabile del trattamento» è la «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento». Ai sensi dell’articolo 4, punto 7, prima frase, del RGPD, il «titolare del trattamento», è «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che (…) determina le finalità e i mezzi del trattamento», mentre la seconda frase di tale disposizione precisa che «quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri».

24 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). Tale direttiva è stata abrogata e sostituita dal RGPD, v. articolo 94 di tale regolamento.

25 C‑317/04 e C‑318/04; in prosieguo: la «sentenza Parlamento/Consiglio», EU:C:2006:346. Nelle cause sfociate in tale sentenza, il Parlamento aveva chiesto, da un lato, l’annullamento della decisione 2004/496/CE del Consiglio, del 17 maggio 2004, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d’America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all’ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti (GU 2004, L 183, pag. 83, e rettifica in GU 2005, L 255, pag. 168), e, dall’altro, l’annullamento della decisione 2004/535/CE della Commissione, del 14 maggio 2004, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all’Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti – United States’ Bureau of Customs and Border Protection (GU 2004, L 235, pag. 11).

26 Ai sensi dell’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46, le disposizioni di tale direttiva non si applicavano ai trattamenti di dati personali «effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale» (il corsivo è mio).

27 Sull’«approccio teleologico» e «contestuale» della Corte nella sentenza Parlamento/Consiglio, v. conclusioni dell’avvocato generale Campos Sánchez-Bordona nelle cause riunite La Quadrature du Net e a. (C‑511/18 e C‑512/18, EU:C:2020:6, paragrafi 47 e 62).

28 C‑511/18, C‑512/18 e C‑520/18; in prosieguo: la «sentenza La Quadrature du Net», EU:C:2020:791.

29 V. sentenza La Quadrature du Net, punti da 100 a 102.

30 V., nello stesso senso, sentenza Privacy International, punto 47.

31 C‑207/16; in prosieguo: la «sentenza Ministerio Fiscal», EU:C:2018:788, punto 34.

32 V., per analogia, sentenze Tele2 Sverige, punti da 72 a 74, e Ministerio fiscal, punto 34. Tali sentenze vertevano sull’interpretazione dell’articolo 15, paragrafo 1, prima frase, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), il quale prevede una clausola di limitazione analoga a quella contenuta all’articolo 23, paragrafo 1, lettere da a) a d), del RGPD.

33 Un riferimento all’articolo 15, paragrafo 1, della direttiva 2002/58 era giustificato nel contesto di tale direttiva, alla luce del dettato della clausola di esclusione prevista all’articolo 1, paragrafo 3, della stessa, che fa riferimento, in termini generali, alle «attività dello Stato in settori che rientrano nel diritto penale».

34 V., per analogia, sentenza Privacy International, punti 38 e 39.

35 Si tratta dei trattamenti disciplinati dai capi da 7 a 10 e 12 della legge PNR.

36 V., in tal senso, sentenze La Quadrature du Net, punto 103, e Privacy International, punto 48.

37 V., segnatamente, sentenza La Quadrature du Net.

38 V. sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 66).

39 V. sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504).

40 V. sentenza La Quadrature du Net, punto 99 e giurisprudenza ivi citata.

41 Le condizioni che accompagnano tale trattamento di dati sono previste al capo 11 della legge PNR.

42 V. considerando 8, 9 e 12 e articolo 6 della direttiva API, e articolo 8, paragrafo 2, della direttiva 2010/65.

43 L’utilizzazione delle informazioni anticipate sui passeggeri (in prosieguo: i «dati API») per finalità repressive in applicazione della legge [«finalità di applicazione normativa»: così, testualmente, nella versione italiana; NdT] è espressamente prevista all’articolo 6, paragrafo 1, ultimo comma, della direttiva API.

44 V., in tal senso, segnatamente, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 170 e giurisprudenza ivi citata).

45 V., segnatamente, sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 172 e giurisprudenza ivi citata).

46 V., in tal senso, sentenza La Quadrature du Net, punto 122.

47 V. sentenza La Quadrature du Net, punto 123.

48 V. sentenza La Quadrature du Net, punto 124 e giurisprudenza ivi citata.

49 V. sentenza del 18 giugno 2020, Commissione/Ungheria (Trasparenza associativa) (C‑78/18, EU:C:2020:476, punto 122 e giurisprudenza ivi citata).

50 V., segnatamente, Corte EDU, 4 dicembre 2015, Roman Zakharov c. Russia (CE:ECHR:2015:1204JUD004714306, § 227); Corte EDU, 18 maggio 2010, Kennedy c. Regno Unito (CE:ECHR:2010:0518JUD002683905, § 130), e Corte EDU, 25 maggio 2021, Centrum för Rättvisa c. Svezia (CE:ECHR:2021:0525JUD003525208, § 246).

51 V. Corte EDU, 4 dicembre 2015, Roman Zakharov c. Russia, (CE:ECHR:2015:1204JUD004714306, § 228); Corte EDU, 4 maggio 2000, Rotaru c. Romania (CE:ECHR:2000:0504JUD002834195, § 52); Corte EDU, 4 dicembre 2008, S. e Marper c. Regno Unito (CE:ECHR:2008:1204JUD003056204, § 95); Corte EDU, 18 maggio 2021, Kennedy c. Regno Unito (CE:ECHR:2010:0518JUD002683905, § 151), e Corte EDU, 25 maggio 2021, Centrüm för Rättvisa c. Svezia (CE:ECHR:2021:0525JUD003525208, § 246).

52 V., tra l’altro, sentenza del 18 giugno 2020, Commissione/Ungheria (C‑78/18, EU:C:2020:476, punti 124 e 126, e giurisprudenza ivi citata); v., parimenti, Corte EDU, 4 maggio 2000, Rotaru c. Romania (CE:ECHR:2000:0504JUD00283419, § 48); Corte EDU, 26 marzo 1987, Leander c. Svezia (ECHR:1987:0326JUD000924881, § 46), nonché Corte EDU, 29 giugno 2006, Weber e Saravia c. Germania (CE:ECHR:2006:0629DEC005493400, § 79).

53 V., tra l’altro, sentenza Ministerio Fiscal, punto 51 e giurisprudenza ivi citata.

54 V., tra l’altro, sentenza del 18 giugno 2020, Commissione/Ungheria (C‑78/18, EU:C:2020:476, punto 126), nonché sentenza Ministerio Fiscal, punto 51 e giurisprudenza ivi citata.

55 V. sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12; in prosieguo: la «sentenza Digital Rights», EU:C:2014:238, punto 34).

56 Parere 1/15, punti da 121 a 123.

57 V., per analogia, sentenza Privacy International, punti 79 e 80 e giurisprudenza ivi citata.

58 V. articolo 2, paragrafi da 1 a 3, della direttiva PNR.

59 V. articolo 2, paragrafo 3, della direttiva PNR.

60 In conformità agli articoli 1 e 2 del protocollo (n. 22) sulla posizione della Danimarca, poiché tale Stato membro non ha partecipato all’adozione della direttiva PNR, quest’ultimo non è da essa vincolato né è soggetto alla sua applicazione (v. considerando 40 di tale direttiva). Dalle osservazioni scritte depositate dal governo danese emerge cionondimeno che il Regno di Danimarca ha adottato nel 2018 una legge in materia di raccolta, utilizzazione e conservazione dei dati PNR, le cui disposizioni coincidono in larga parte con quelle della direttiva PNR. Quanto all’Irlanda, dal considerando 39 della direttiva PNR risulta che tale Stato membro ha notificato, in conformità all’articolo 3 del protocollo n. 21 sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, il proprio intento di partecipare all’adozione e all’applicazione di tale direttiva.

61 La Commissione ha pubblicato un elenco aggiornato degli Stati membri che hanno deciso di applicare la direttiva PNR ai voli intra-UE a norma dell’articolo 2 della [direttiva PNR] (GU 2020, C 358, pag. 7), rettificato nel settembre 2021 con l’aggiunta della Slovenia e la soppressione del riferimento al Regno Unito (GU 2021, C 360, pag. 8). L’Irlanda e l’Austria non figurano in tale elenco. La relazione della Commissione al Parlamento europeo e al Consiglio sul riesame della direttiva [PNR], del 24 luglio 2020 [COM(2020)305 final, pag. 11 (in prosieguo: la «relazione della Commissione del 2020»)], menziona il fatto che tutti gli Stati membri, tranne uno, hanno esteso la raccolta dei dati PNR ai voli intra-UE.

62 V., segnatamente, punti 4) e 18) dell’allegato I relativi ai nomi, al sesso, alla data di nascita, alla cittadinanza e ai documenti di identità del passeggero.

63 V., segnatamente, punti 2), 3), 7), 13) e 18) dell’allegato I alla direttiva PNR che menzionano, in particolare, il numero di volo, gli aeroporti di partenza e di arrivo, nonché le date e gli orari di partenza e di arrivo.

64 V. punti 5), 6), 9), 12) e 16) dell’allegato I.

65 V., in tal senso, parere 1/15, punto 131.

66 SWD(2020)128 final.

67 Il documento di lavoro del 2020 (pag. 28 e nota 55) menziona un tasso di riscontri positivi dello 0,59% per il 2019, dei quali solo lo 0,11% sono stati oggetto di un trasferimento alle autorità competenti. Per il 2018, le percentuali corrispondenti erano rispettivamente dello 0,25% e dello 0,04%.

68 V. parere 1/15, punto 132.

69 Il sistema istituito dalla direttiva PNR era idoneo a coprire, prima della crisi sanitaria, fino ad un miliardo di passeggeri l’anno, dati accessibili su https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table?lang=fr.

70 Ossia chiunque corrisponda alla nozione di «passeggero», come definita all’articolo 3, punto 4, di detta direttiva PNR e che si imbarchi su un «volo extra-UE», nonché, de facto, un «volo intra-UE».

71 In uno studio adottato dalla Commissione europea per la democrazia attraverso il diritto (Commissione di Venezia) nel 2015, si ritiene che siffatte misure ricadano nella nozione di «sorveglianza strategica» e seguano una «tendenza generale» al ricorso ad una «sorveglianza proattiva» della popolazione; v. studio Aggiornamento della relazione del 2007 sul controllo democratico dei servizi di sicurezza e relazione sul controllo democratico delle agenzie di raccolta di informazioni di origine elettromagnetica, adottato dalla Commissione di Venezia in occasione della sua 102° sessione plenaria (Venezia, 20 e 21 marzo 2015), https://www.venice.coe.int/webforms/documents/?pdf=CDL-AD(2015)006-f, punto 61.

72 Per quanto riguarda l’articolo 8 della CEDU, v. sentenza della Corte EDU, 25 maggio 2021, Big Brother Watch e a. c. Regno Unito (ECLI:CE:ECHR:2021:0525JUD005817013, § 325; in prosieguo: la «sentenza Big Brother Watch»), sulle misure di intercettazione di massa, nella quale la Corte EDU afferma che l’intensità dell’ingerenza nell’esercizio del diritto al rispetto della vita privata di tali misure aumenta via via che vengono attraversate le diverse fasi del processo, ossia l’intercettazione e la conservazione iniziale delle comunicazioni e dei dati associati, il trattamento automatizzato mediante l’applicazione di selettori, l’esame da parte di analisti e la conservazione successiva dei dati, nonché l’utilizzazione del «prodotto finale».

73 V., in tal senso, considerando 6 e 7 della direttiva PNR; v., per un’analisi approfondita della finalità e delle implicazioni per la protezione della vita privata e dei dati personali, la relazione intitolata Passenger Name Records (PNR), data mining and data protection: the need for strong safeguards, preparata da Korff, D. con il contributo di Georges, M., https://rm.coe.int/16806a601b (in prosieguo: la «relazione Korff»).

74 Come è sottolineato nella relazione Korff, «PNR is not an isolated issue, but a new symptom of a much wider disease».

75 V., tra l’altro, sentenze del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 175); dell’8 settembre 2020, Recorded Artists Actors Performers (C‑265/19, EU:C:2020:677, punto 86 e giurisprudenza ivi citata), nonché sentenza Privacy international, punto 65.

76 V., tra l’altro, sentenze della Corte EDU dell’8 giugno 2006, Lupsa c. Romania, (CE:ECHR:2006:0608JUD001033704, §§ 32 e 33), e del 15 dicembre 2020, Piskìn c. Turchia (CE:ECHR:2020:1215JUD00333991, § 206); v., parimenti, sentenza Big Brother Watch, § 333. Sulla necessità di riconoscere all’espressione «previste dalla legge» di cui all’articolo 52, paragrafo 1, della Carta la stessa interpretazione adottata dalla Corte EDU, v. conclusioni dell’avvocato generale Wathelet nella causa WebMindLicenses (C‑419/14, EU:C:2015:606, paragrafi da 134 a 143).

77 V., da ultimo, sentenza Big Brother Watch, § 333.

78 V. sentenza del 17 dicembre 2015, WebMindLicenses (C‑419/14, EU:C:2015:832, punto 81); v., parimenti, Corte EDU, 1° luglio 2008, Liberty e a. c. Regno Unito (CE:ECHR:2008:0701JUD005824300, § 69), nonché sentenza Big Brother Watch, § 333.

79 Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, adottata a Strasburgo il 28 gennaio 1981 e ratificata da tutti gli Stati membri, più nota come la «convenzione 108». Un protocollo di modifica a tale convenzione è stato elaborato nel 2018 ai fini di un suo aggiornamento. Con decisione (UE) 2019/682 del Consiglio, del 9 aprile 2019 (GU 2019, L 115, pag. 7), gli Stati membri sono stati autorizzati a ratificare, nell’interesse dell’Unione, detto protocollo di modifica nella misura in cui le sue disposizioni rientrano nella competenza esclusiva dell’Unione. Nel prosieguo delle presenti conclusioni, mi riferirò parimenti al testo della convenzione 108 aggiornata la quale, benché non ancora ratificata da tutti gli Stati membri e non ancora entrata in vigore, prevede, come risulta dalla decisione 2019/682, garanzie che si basano sugli stessi principi enunciati nel RGPD e nella direttiva polizia.

80 https://rm.coe.int/t-pd-2016-18rev-avis-pnr-fr/16807b6c09, pagg. 3 e 5. La relazione esplicativa che accompagna il protocollo di modifica della convenzione 108 (in prosieguo: la «relazione esplicativa sulla convenzione 108 aggiornata») pone anche l’accento sulla necessità che la misura che prevede ingerenze nei diritti al rispetto della vita privata e alla protezione dei dati personali sia «accessibile», «prevedibile», «sufficientemente dettagliata» e «formulata in modo chiaro»; v. punto 91 di detta relazione esplicativa, https://rm.coe.int/convention-108-convention-pour-la-protection-des-personnes-a-l-egard-d/16808b3726.

81 V., a contrario, sentenza del 3 dicembre 2019, Repubblica ceca/Parlamento e Consiglio (C‑482/17, EU:C:2019:1035, punto 135).

82 V., tra l’altro, sentenza La Quadrature du Net, punto 132 e la giurisprudenza ivi citata; v., parimenti, Corte EDU, sentenza Big Brother Watch, § 334.

83 V., a tal riguardo, Tridimas, T., Gentile, G., «The essence of Rights: an unreliable Boundary?», German Law Journal, 2019, pag. 796; Lenaerts, K., «Limits on limitations: The Essence of Fundamental Rights in the EU», German Law Journal, 2019, 20, pagg. 779 e segg.

84 A partire dalla sentenza della Corte EDU del 24 ottobre 1979, Winterwerp c. Paesi Bassi (CE:ECHR:1979:1024JUD000630173, § 60).

85 V. Spiegazioni relative alla Carta dei diritti fondamentali (GU 2007, C 303, pag. 17; in particolare, «Spiegazione relativa all’articolo 52», pag. 32; in prosieguo: le «spiegazioni relative alla Carta»).

86 V., già in tal senso, segnatamente, sentenze del 14 maggio 1974, Nold/Commissione (4/73, EU:C:1974:51, punto 14), e del 13 dicembre 1979, Hauer (44/79, EU:C:1979:290, punto 23).

87 C‑362/14; in prosieguo: la sentenza «Schrems I», EU:C:2015:650, punti da 94 a 98.

88 V. Lenaerts, K., op. cit., pag. 781; Tridimas, T., Gentile, G., op. cit., pag. 803.

89 Le spiegazioni relative alla Carta riconoscono espressamente che «la dignità della persona umana fa parte della sostanza stessa dei diritti sanciti nella Carta» e che [e]ssa non può pertanto subire pregiudizio, neanche in caso di limitazione di un diritto».

90 Rimando al riguardo alle considerazioni contenute nell’opinione, in parte concordante, comune ai giudici Lemmens, Vehabović e Bošniak nella sentenza Big Brother Watch, §§ da 3 a 10.

91 Direttiva del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU 2006, L 105, pag. 54).

92 V. sentenza Digital Rights, punto 39; v., parimenti, in relazione alla direttiva 2002/58, sentenza Tele2 Sverige, punto 101.

93 V. parere 1/15, punto 150.

94 V. in tal senso, segnatamente, sentenza Digital Rights, punto 40.

95 V., in questo stesso senso, parere 1/15, punto 128.

96 V. parere 1/15, punti 164 e 165.

97 V. parere 1/15, punto 150.

98 V., segnatamente, considerando 5, 6, 15 e 22 della direttiva PNR.

99 Proposta della Commissione del 2 febbraio 2011, sull’uso dei dati del codice di prenotazione a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi [COM (2011) 32 def., pag. 4].

100 Per ragioni di semplificazione, nelle presenti conclusioni utilizzerò le espressioni «servizi di polizia» o «autorità di contrasto» per indicare, in generale, ogni autorità investita di poteri nei settori dell’accertamento, della prevenzione, dell’indagine o del perseguimento in materia di terrorismo o di reati gravi, disciplinati dalla direttiva PNR.

101 V. considerando 7 della direttiva PNR. V., parimenti, proposta di direttiva PNR, pag. 5.

102 V., in tal senso, parere 1/15, nonché sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18; in prosieguo: la «sentenza Prokuratuur», EU:C:2021:152, punto 33 e giurisprudenza ivi citata).

103 V., in tal senso, parere 1/15, punto 149 e giurisprudenza ivi citata, nonché sentenza La Quadrature du Net.

104 V., infra, analisi sulla proporzionalità dell’ingerenza.

105 V. sentenza La Quadrature du Net, punto 125.

106 V. sentenza La Quadrature du Net, punto 126 e giurisprudenza ivi citata.

107 V. sentenza La Quadrature du Net, punto 136.

108 V. sentenza Digital Rights, punto 46 e giurisprudenza ivi citata.

109 V. parere 1/15, punto 140, nonché sentenza La Quadrature du Net, punto 130 e giurisprudenza ivi citata. La necessità che il trattamento di dati personali rifletta in tutte le fasi un «giusto equilibrio tra tutti gli interessi in questione, siano essi pubblici o privati, e i diritti e le libertà in gioco», è parimenti enunciata all’articolo 5 della convenzione 108.

110 V., in tal senso, sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punto 55 e giurisprudenza ivi citata), nonché sentenze La Quadrature du Net, punto 131, e Prokuratuur, punto 32.

111 V., in tal senso, sentenze Digital Rights, punto 54, e Schrems I, punto 91, nonché parere 1/15, punto 141.

112 V. parere 1/15, punto 141 e giurisprudenza ivi citata.

113 V., in tal senso, sentenza Digital Rights, punto 48.

114 V., in tal senso, paragrafi da 201 a 203 delle presenti conclusioni.

115 Rinvio, a tal riguardo, ai dati contenuti nel documento di lavoro del 2020.

116 V., in tal senso, parere del 19 agosto 2016, pag. 5.

117 Sull’importanza delle statistiche ai fini della valutazione dell’efficacia del sistema istituito dalla direttiva PNR v., segnatamente, parere 1/2011, del 14 giugno 2011, sulla proposta di direttiva PNR, https://fra.europa.eu/sites/default/files/fra_uploads/1786-FRA-PNR-Opinion-2011_FR.pdf, punto 2.1.2.1 (in prosieguo: il «parere 1/2011 della FRA»).

118 Per contro, tale questione viene sollevata chiaramente dal Verwaltungsgericht Wiesbaden (tribunale amministrativo di Wiesbaden, Germania) nella causa pendente C‑215/20.

119 La Commissione è stata invitata a presentare le sue osservazioni al riguardo nell’ambito di un quesito con richiesta di risposta scritta. Gli altri interessati hanno potuto prendere posizione in udienza.

120 V. paragrafo 107 in fine delle presenti conclusioni.

121 Direttiva del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU 2017, L 88, pag. 6).

122 Rilevo, a tal riguardo, che la nozione di «reato di natura transnazionale» come definita, ad esempio, nel progetto di accordo PNR Canada-UE, era tanto ampia da includere parimenti i casi in cui i reati sono commessi in un solo Stato e l’autore «si trova o intende recarsi in un altro Stato»; v. articolo 3, paragrafo 3, lettera e), del progetto di accordo PNR Canada-UE, il cui testo viene ripreso al punto 30 del parere 1/15. Osservo parimenti che, nel suo parere 1/2011 (punti 2.2.3.1 e 3.7), la FRA aveva suggerito di limitare il sistema PNR dell’Unione ai soli reati transnazionali gravi. La proposta di direttiva PNR prevedeva per contro un trattamento automatizzato differenziato per i reati transnazionali e per quelli che non rivestono siffatto carattere (v. articolo 4, paragrafo 2, lettera a), di tale proposta).

123 Rilevo, peraltro, che una parte dei reati di cui all’allegato II rientrano in sfere di criminalità qualificata come «particolarmente grave» dall’articolo 83, paragrafo 1, primo comma, TFUE ed elencate al secondo comma di tale paragrafo. Si tratta segnatamente della tratta degli esseri umani, dello sfruttamento sessuale dei minori, del traffico illecito di stupefacenti, del traffico illecito di armi, del riciclaggio di denaro, della corruzione, della contraffazione di mezzi di pagamento, della criminalità informatica e della criminalità organizzata. In numerosi di tali settori, il legislatore dell’Unione ha adottato, sulla base dell’articolo 83, paragrafo 1, TFUE, direttive che stabiliscono «norme minime relative alla definizione dei reati e delle sanzioni»; v., segnatamente, direttiva 2011/36/UE del Parlamento europeo e del Consiglio, del 5 aprile 2011, concernente la prevenzione e la repressione della tratta di esseri umani e la protezione delle vittime, e che sostituisce la decisione quadro 2002/629/GAI del Consiglio (GU 2011, L 101, pag. 1); direttiva 2011/93/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l’abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (GU 2011, L 335, pag. 1); direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU 2013, L 218, pag. 8); direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro 2001/413/GAI del Consiglio (GU 2019, L 123, pag. 18); direttiva (UE) 2017/1371 del Parlamento europeo e del Consiglio, del 5 luglio 2017, relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (GU 2017, L 198, pag. 29), e direttiva (UE) 2018/1673 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla lotta al riciclaggio mediante il diritto penale (GU 2018, L 284, pag. 22).

124 Rilevo, ciò malgrado, che tutti i reati di cui all’allegato I, ad eccezione dello «spionaggio industriale», figurano all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio, del 13 giugno 2002, relativa al mandato d’arresto europeo e alle procedure di consegna tra Stati membri (GU 2002, L 190, pag. 1). Pur se non vengono esplicitamente qualificati come gravi, essi danno cionondimeno luogo, allorché raggiungono la stessa soglia di pena detentiva prevista all’articolo 3, punto 9, della direttiva PNR, alla consegna in base ad un mandato d’arresto europeo, indipendentemente dalla doppia incriminazione per il reato. La quasi totalità di detti reati, ad eccezione del «sabotaggio», del «dirottamento di aeromobile» e dello «spionaggio industriale», figura parimenti all’allegato I al regolamento (UE) 2018/1727 del Parlamento europeo e del Consiglio, del 14 novembre 2018, che istituisce l’Agenzia dell’Unione europea per la cooperazione giudiziaria penale (Eurojust) e che sostituisce e abroga la decisione 2002/187/GAI del Consiglio (GU 2018, L 295, pag. 138), che elenca le «forme gravi di criminalità» rientranti nelle competenze di Eurojust.

125 Si tratta, segnatamente, dei punti 7, 8, 10 e 16.

126 È il caso, ad esempio, della «frode» (punto 7), della «corruzione» (punto 6), della «criminalità informatica» (punto 9) e della «criminalità ambientale» (punto 10). È in merito, in particolare, ai reati di frode che si interroga il Verwaltungsgericht Wiesbaden (tribunale amministrativo di Wiesbaden, Germania) nella causa pendente C‑215/20.

127 Tale direttiva precisa del resto, al suo articolo 9, la durata minima della pena detentiva con la quale detti reati sono punibili, soglia che solo in determinate circostanze raggiunge i tre anni.

128 Direttiva del Parlamento europeo e del Consiglio, del 19 novembre 2008 (GU 2008, L 328, pag. 28).

129 Direttiva del Consiglio, del 28 novembre 2002, volta a definire il favoreggiamento dell’ingresso, del transito e del soggiorno illegali (GU 2002, L 328, pag. 17).

130 Decisione quadro del Consiglio, del 28 novembre 2002, relativa al rafforzamento del quadro penale per la repressione del favoreggiamento dell’ingresso, del transito e del soggiorno illegali (GU 2002, L 328, pag. 1).

131 Decisione quadro del Consiglio, del 22 luglio 2003, relativa alla lotta contro la corruzione nel settore privato (GU 2003, L 192, pag. 54).

132 Decisione quadro del Consiglio, del 24 ottobre 2008, relativa alla lotta contro la criminalità organizzata (GU 2008, L 300, pag. 42).

133 V., segnatamente, considerando 7 e 22 della direttiva PNR.

134 V. considerando 35 della direttiva PNR.

135 V., per analogia, sentenze del 16 dicembre 2008, Arcelor Atlantique e Lorraine e a. (C‑127/07, EU:C:2008:728, punti 61 e 62), e del 17 ottobre 2013, Schaible (C‑101/12, EU:C:2013:661, punti 91 e 94).

136 V. documento 9944, approvato dal Segretario generale dell’OACI e pubblicato sotto la sua autorità. La versione francese di tale documento è disponibile sul sito: https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_fr.pdf. In conformità al punto 9.22 dell’allegato 9 (Facilitazioni) alla convenzione sull’aviazione civile internazionale, firmata a Chicago il 7 dicembre 1944 (in prosieguo: la «convenzione di Chicago»), gli Stati contraenti di tale convenzione che esigano i dati PNR sono tenuti ad adeguare le loro esigenze in materia di dati e il trattamento di tali dati, tra l’altro, a tali orientamenti.

137 Nello stesso senso, v. parere 1/15, punto 160.

138 V. punti 2.1.2 e 2.1.5 degli orientamenti dell’OACI.

139 Il solo riferimento agli orientamenti dell’OACI nella direttiva PNR è contenuto al considerando 17 della stessa e riguarda unicamente i «formati di dati supportati dai vettori aerei per il trasferimento dei dati PNR agli Stati membri».

140 In tal senso, il punto 2.1.5 di detti orientamenti menziona «informazioni supplementari» o «relative a servizi richiesti», che possono avere ad oggetto «richieste di cure mediche o di pasti speciali, “minori che viaggiano soli”, richieste di assistenza, ecc.». Il punto 2.1.6 precisa, da parte sua, che il «campo “osservazioni generali”» può parimenti contenere «determinate informazioni, come la corrispondenza o comunicazioni interne fra il personale delle compagnie aeree e le agenzie di prenotazione».

141 V. punti 2.1.5 e 2.1.6 degli orientamenti dell’OACI.

142 V. sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670, punto 32), concernente il caso di un richiedente passaporto tenuto a sottoporsi al rilevamento delle sue impronte digitali per poter disporre di un documento che gli consenta di spostarsi verso un paese terzo.

143 Ritornerò su tale categoria di dati nel prosieguo delle presenti conclusioni.

144 La FRA si è espressa in tal senso nel suo parere 1/2011, pag. 13. Nel suo parere del 25 marzo 2011 sulla proposta di direttiva PNR (https://edps.europa.eu/sites/edp/files/publication/11-03-25_pnr_en.pdf, punto 47) (in prosieguo: il «parere del GEPD del 25 marzo 2011»), il GEPD ha proposto di escludere la rubrica «Osservazioni generali» dall’elenco dell’allegato I.

145 V., segnatamente, sentenze del 19 novembre 2009, Sturgeon e a. (C‑402/07 e C‑432/07, EU:C:2009:716, punto 47 e giurisprudenza ivi citata); del 19 settembre 2013, Riesame Commissione/Strack (C‑579/12 RX-II, EU:C:2013:570, punto 40), nonché del 14 maggio 2019, M e a. (Revoca dello status di rifugiato) (C‑391/16, C‑77/17 e C‑78/17, EU:C:2019:403, punto 77 e giurisprudenza ivi citata).

146 V., segnatamente, considerando 5, 7, 11, 15, 16, 20, 22, 23, 25, 27, 28, 31, 36 e 37 della direttiva PNR.

147 V. sentenze del 26 giugno 2007, Ordre des barreaux francophones et germanophone e a. (C‑305/05, EU:C:2007:383, punto 28), nonché del 14 maggio 2019, M e a. (Revoca dello status di rifugiato) (C‑391/16, C‑77/17 e C‑78/17, EU:C:2019:403, punto 77).

148 Per quanto qui rileva, il considerando 9 prevede che «[l]’uso dei dati PNR e dei dati API ha costituito un valore aggiunto in termini di assistenza apportata agli Stati membri nel verificare l’identità delle persone, rinforzando così il valore di tale risultato ai fini delle attività di contrasto e riducendo al minimo il rischio di effettuare controlli e indagini su persone innocenti».

149 In tal senso, v., parimenti, proposta di direttiva PNR, pag. 7, punto 1. Questi stessi dati figurano negli orientamenti sulle informazioni anticipate sui passeggeri (dati API) elaborate dall’Organizzazione mondiale delle dogane (OMD), dall’Associazione internazionale del trasporto aereo (IATA) e dall’OACI, http://www.wcoomd.org/~/media/wco/public/fr/pdf/topics/facilitation/instruments-and-tools/tools/api-guidelines-and-pnr-doc/api-guidelines-_f.pdf?db=web [(in prosieguo: gli «orientamenti sui dati API», punto 8.1.5, lettera a)], come «principali elementi di dati che possono figurare nella banda a lettura ottica dei documenti di viaggio ufficiali».

150 L’articolo 3, paragrafo 2, della direttiva API così recita: «Dette informazioni comprendono: il numero e il tipo di documento di viaggio utilizzato, la cittadinanza, il nome completo, la data di nascita, il valico di frontiera di ingresso nel territorio degli Stati membri, il numero del trasporto, l’ora di partenza e di arrivo del mezzo di trasporto, il numero complessivo di passeggeri trasportati con tale mezzo, il primo punto di imbarco». Sottolineo che, nel suo programma di lavoro per il 2022, COM(2021) 645 final, pag. 9, la Commissione ha previsto un aggiornamento della direttiva API. Nel settembre del 2020, essa ha pubblicato una valutazione di tale direttiva, la quale costituisce la base per la sua futura revisione, SWD(2020), 174 final (in prosieguo: il «documento di lavoro del 2020 sulla direttiva API»). In detto documento, la Commissione sottolinea segnatamente il fatto che l’elenco di dati contenuto all’articolo 3, paragrafo 2, della direttiva API non è in linea con le norme internazionali sui dati API, segnatamente in quanto non include tutti i dati figuranti nella banda a lettura ottica dei documenti di identità (v., in particolare, pag. 48).

151 V. orientamenti sui dati API, punti 8.1.5, lettere b) e c).

152 Un’interpretazione analoga della corrispondente rubrica del progetto di accordo PNR Canada-UE figura al punto 161 del parere 1/15.

153 Rilevo che la Corte è attualmente investita di una serie di questioni pregiudiziali vertenti specificamente sul carattere sufficientemente preciso di diversi punti dell’allegato I, e segnatamente dei punti 4, 8, 12 e 18 (v. causa pendente C‑215/20).

154 V. parere 1/15, punto 158.

155 Rilevo che le informazioni relative all’agenzia o all’agente di viaggio sono già contemplate all’allegato I, punto 5.

156 V. definizione di dati PNR all’articolo 3, punto 5, della direttiva PNR.

157 In tal senso, v., parimenti, conclusioni dell’avvocato generale Mengozzi nel parere 1/15 [(Accordo PNR Canada-UE), EU:C:2016:656], paragrafo 218.

158 V. rubrica corrispondente dell’appendice I agli orientamenti dell’OACI.

159 V., segnatamente, in tal senso, sentenza Digital Rights, punto 57. Sul requisito secondo il quale le categorie di dati interessate da una misura di accesso siano limitate a quanto strettamente necessario all’obiettivo perseguito, v., da ultimo, sentenza Prokuratuur, punto 38. Il principio di minimizzazione dei dati è previsto, tra l’altro, all’articolo 5, paragrafo 1, lettera c), del RGPD, e all’articolo 4, paragrafo 1, lettera c), della direttiva polizia.

160 V., segnatamente, Corte EDU, 18 aprile 2013, M.K. c. Francia (CE:ECHR:2013:0418JUD001952209, § 35).

161 V. relazione esplicativa della convenzione 108 del 1981, (https://rm.coe.int/16800ca471), articolo 5, punto 40, nonché relazione esplicativa sulla convenzione 108 aggiornata, articolo 5, punto 51.

162 V. paragrafi da 154 a 158 e da 162 a 164 delle presenti conclusioni.

163 V. paragrafi da 133 a 153 delle presenti conclusioni.

164 Il diritto del minore al rispetto della sua vita privata è sancito segnatamente all’articolo 16 della convenzione di New York sui diritti del fanciullo, adottata il 20 novembre 1989 ed entrata in vigore il 2 settembre 1990.

165 V. punto 2.7.3 degli orientamenti dell’OACI.

166 V. punto 2.7.4 degli orientamenti dell’OACI.

167 La necessità di garantire la sicurezza e l’affidabilità del trasferimento dei dati alle UIP è peraltro richiamata all’articolo 16, paragrafo 1, della direttiva PNR, concernente i mezzi elettronici utilizzati per tale trasferimento, ed è stata uno dei criteri ai quali la Commissione si è conformata ai fini dell’adozione, richiesta al paragrafo 3 di tale articolo, dei protocolli comuni e dei formati di dati che devono essere utilizzati dai vettori aerei per detto trasferimento; v. decisione di esecuzione (UE) 2017/759 della Commissione, del 28 aprile 2017, sui protocolli comuni e i formati dei dati che i vettori aerei devono utilizzare per trasferire i dati PNR alle Unità di informazione sui passeggeri (GU 2017, L 113, pag. 48).

168 V. considerando 37 della direttiva PNR.

169 Le categorie di dati personali elencate all’articolo 13, paragrafo 4, della direttiva PNR sono tutte comprese in quelle che rispondono alla nozione di «categorie particolari di dati personali» di cui all’articolo 9, paragrafo 1, del RGPD.

170 A tal riguardo sono irrilevanti, a mio avviso, le allegazioni addotte da diversi Stati membri che hanno presentato osservazioni sulla seconda questione pregiudiziale, relative all’esistenza di mezzi tecnici che consentono di cancellare agevolmente i dati delicati trasmessi dai vettori aerei.

171 Conclusioni dell’avvocato generale Mengozzi nel parere 1/15 (Accordo PNR Canada-UE), EU:C:2016:656.

172 Rilevo che anche gli orientamenti dell’OACI, pur non escludendo che i dati delicati che possono essere estratti dalle rubriche «a testo libero» possano essere utilizzati per la valutazione del rischio che un passeggero può rappresentare, raccomandano cionondimeno agli Stati contraenti di fare in modo che essi vengano presi in considerazione soltanto qualora esistano indizi concreti che richiedano il loro utilizzo ai fini perseguiti dai loro regimi PNR.

173 Ricordo che una simile esclusione era già stata suggerita dal GEPD nel suo parere del 25 marzo 2011, punto 47.

174 Si tratta di dati che possono fornire informazioni sulle comunicazioni effettuate da un utente di un mezzo di comunicazione elettronica o sull’ubicazione delle apparecchiature terminali da esso utilizzate.

175 V., in tal senso, sentenze La Quadrature du Net, punti da 141 a 145, e Tele2 Sverige, punti 105 e 106, emesse nell’ambito dell’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, in combinato disposto con gli articoli 7, 8 e 11, nonché con l’articolo 52, paragrafo 1, della Carta, nonché sentenza Digital Rights, punti 57 e 58, nella quale la Corte ha dichiarato l’invalidità della direttiva 2006/24.

176 V. sentenza La Quadrature du Net, punto 177.

177 V. sentenza La Quadrature du Net, punti da 134 a 139 e 177. Secondo la Corte, la responsabilità incombente agli Stati membri in materia di sicurezza nazionale «corrisponde all’interesse primario di tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società e comprende la prevenzione e la repressione di attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese, e in particolare da minacciare direttamente la società, la popolazione o lo Stato in quanto tale, quali in particolare le attività di terrorismo»; v. sentenze La Quadrature du Net, punto 135, e Privacy International, punto 74.

178 V. sentenza La Quadrature du Net, punti 138 e 178.

179 V., segnatamente, sentenza La Quadrature du Net, punti da 141 a 145.

180 V. sentenza La Quadrature du Net, punti 115 e 116; v., parimenti, conclusioni dell’avvocato generale Campos Sanchéz-Bordona nelle cause riunite SpaceNet e Telekom Deutschland (C‑793/19 e C‑794/19, EU:C:2021:939, paragrafi 74 e 75).

181 V. sentenza Tele2 Sverige, punto 119.

182 V., in tal senso, sentenza Tele2 Sverige, punti da 103 a 107 e 119 e giurisprudenza ivi citata.

183 V. parere 1/15, punti 186 e 187.

184 Nelle sentenze Digital Rights (punto 59) e Tele2 Sverige (punto 111), come nella giurisprudenza posteriore (v., segnatamente, sentenza La Quadrature du Net, punti da 143 a 150), è appunto il fatto che la normativa in questione non si fondava su «elementi oggettivi» del tipo di quelli menzionati dalla Corte al punto 187 del parere 1/15, che permettono di prendere in considerazione un pubblico i cui dati erano idonei a rivelare una connessione, almeno indiretta, con atti di criminalità grave, a rendere tale normativa non proporzionata.

185 V. sentenza La Quadrature du Net (punto 117 e giurisprudenza ivi citata): v., parimenti, sentenza Prokuratuur (punto 36).

186 Sentenza La Quadrature du Net, punto 142.

187 V. parere 1/15, punti 128 e 150.

188 V. parere 1/15, punto 150.

189 Sulla difficoltà di una siffatta valutazione nel caso dei metadati, v. sentenza Prokuratuur, punto 40.

190 Uno sforzo in tal senso è stato fatto dal legislatore tedesco nella normativa oggetto delle cause riunite C‑793/19 e C‑794/19, SpaceNet e Telekom Deutschland, nelle quali l’avvocato generale Campos Sánchez-Bordona ha presentato le sue conclusioni (EU:C:2021:939, paragrafi 60 e 61).

191 Rimando al riguardo al paragrafo 93 delle presenti conclusioni.

192 V. sentenza La Quadrature du Net, punto 118 e giurisprudenza ivi citata.

193 V. sentenza Tele2 Sverige, punto 93.

194 Conclusioni dell’avvocato generale Mengozzi nel parere 1/15 [(Accordo PNR Canada-UE), EU:C:2016:656].

195 V., segnatamente, Corte EDU, 4 dicembre 2015, Roman Zakharov c. Russia, (CE:ECHR:2015:1204JUD004714306, § 260).

196 V. sentenze La Quadrature du Net (punti da 146 a 151), e Tele2 Sverige (punto 119).

197 In tal senso, nel caso delle misure di intercettazione di massa, v. sentenza Big Brother Watch, § 348.

198 V., per analogia, sentenza del 3 ottobre 2019, A e a. (C‑70/18, EU:C:2019:823, punto 61).

199 V., recentemente, comunicazione della Commissione sulla strategia dell’UE per l’Unione della sicurezza [COM(2020) 605 final, pag. 28], nonché comunicazione della Commissione: Un programma di lotta al terrorismo dell’UE: prevedere, prevenire, proteggere e reagire [COM(2020) 795 final, pagg. 15 e segg.].

200 Risoluzione del 21 dicembre 2017 [in prosieguo: la «risoluzione 2396 (2017)»], https://undocs.org/fr/S/RES/2396(2017).

201 V. risoluzione 2396 (2017), punto 12; allo stesso punto 12, il Consiglio di sicurezza delle Nazioni Unite «esorta l’OACI a collaborare con i suoi Stati membri per stabilire uno standard per la raccolta, l’utilizzo, il trattamento e la protezione dei dati PNR». A seguito di un siffatto invito, il 23 giugno 2020 l’OACI ha adottato l’emendamento n. 28 dell’allegato 9 alla convenzione di Chicago che, come già ricordato, stabilisce standard internazionali in materia di facilitazione e il cui capo 9, sezione D, verte specificamente sui PNR. Il 12 gennaio 2021, la Commissione ha adottato una proposta di decisione del Consiglio relativa alla posizione da adottare, a nome dell’Unione europea, nell’[OACI] per quanto riguarda tale emendamento [COM(2021) 16 final].

202 Risoluzione del 19 luglio 2019, punto 15, c), https://undocs.org/fr/S/RES/2482(2019).

203 Esistono attualmente due accordi internazionali conclusi dall’Unione con, rispettivamente, l’Australia [accordo tra l’Unione europea e l’Australia sul trattamento e sul trasferimento dei [dati PNR] da parte dei vettori aerei all’Agenzia australiana delle dogane e della protezione di frontiera (GU 2012, L 186, pag. 4)], e gli Stati Uniti d’America [Accordo tra gli Stati Uniti d’America e l’Unione europea sull’uso e il trasferimento delle registrazioni dei [dati PNR] al dipartimento degli Stati Uniti per la sicurezza interna (GU 2012, L 215, pag. 5)]. È in corso una valutazione congiunta di questi due accordi, ai fini della conclusione di nuovi accordi. Il 18 febbraio 2020, il Consiglio ha inoltre autorizzato la Commissione ad avviare negoziati con il Giappone.

204 V. risoluzione 2396 (2017), pag. 4.

205 Incluse le persone che beneficiano del diritto alla libera circolazione ai sensi del diritto dell’Unione; v. regolamento (UE) 2017/458 del Parlamento europeo e del Consiglio, del 15 marzo 2017, che modifica il regolamento (UE) 2016/399 per quanto riguarda il rafforzamento delle verifiche nelle banche dati pertinenti alle frontiere esterne (GU 2017, L 74, pag. 7).

206 In tal senso, v., parimenti, parere 1/15, punto 187. V., anche, comunicazione della Commissione sull’approccio globale al trasferimento dei dati del codice [PNR] verso paesi terzi [COM(2010)492 definitivo, pag. 6, punto 2.2].

207 È quanto implica, in certo qual modo, la Commissione nella sua proposta di direttiva PNR, pag. 3.

208 V., in tal senso, sentenza Prokuratuur, punto 49 e giurisprudenza ivi citata.

209 V. articolo 4, paragrafo 2, lettera a), della proposta di direttiva PNR.

210 Mentre nella versione in lingua francese l’articolo 6, paragrafo 3, lettera a), menziona «bases de données utiles» [«banche dati utili», ndt], nella maggior parte delle altre versioni linguistiche tale disposizione contempla piuttosto «banche dati pertinenti»: v., segnatamente, le versioni in lingua spagnola («pertinentes»), tedesca («massgeblich»), inglese («relevant»), italiana («pertinenti»), neerlandese («relevant») e portoghese («relevantes»).

211 Nei termini in cui è redatto, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR sembra consentire analisi sotto forma di esplorazione di dati tramite controlli incrociati con dati estremamente vari, a condizione che tale esplorazione sia finalizzata al perseguimento degli obiettivi contemplati da tale direttiva. Sui rischi connessi al «data mining» in materia di dati PNR, v. relazione Korff, pag. 77. Il GEPD ha sottolineato energicamente l’assenza di precisione e prevedibilità dell’individuazione delle banche dati con le quali i dati PNR possono essere confrontati nel suo parere del 25 marzo 2011, punto 18.

212 Il carattere vago e aperto del testo dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR si traduce in una trasposizione in diritto nazionale estremamente variegata, che va da un’interpretazione restrittiva della nozione di «banche dati pertinenti», la quale limita l’analisi prevista al solo confronto con le banche dati esplicitamente menzionate in tale disposizione (è il caso della Repubblica federale di Germania, come si evince dalle osservazioni presentate dal suo governo dinanzi alla Corte) ad un’interpretazione più ampia che copre qualsiasi banca dati disponibile o accessibile alle autorità competenti nell’ambito delle loro funzioni [in tal senso è redatto segnatamente l’articolo 24, §1, punto 1), della legge PNR].

213 In nessun caso, a mio avviso, uno Stato membro dovrà considerarsi tenuto, sulla base dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, ad autorizzare la sua UIP a confrontare sistematicamente i dati PNR con «banche dati pertinenti», ai sensi di tale disposizione, gestite dai suoi servizi segreti.

214 L’articolo 3, punto 4, della direttiva polizia definisce la «profilazione» come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica». La stessa definizione figura all’articolo 4, punto 4, del RGPD e al punto 1, lettera c), dell’allegato alla raccomandazione CM/Rec(2021)8, del 3 novembre 2021, del Comitato dei Ministri del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati personali nel contesto delle attività di profilazione, https://search.coe.int/cm/pages/result_details.aspx?ObjectId= 0900001680a46148, (in prosieguo: la «raccomandazione del 2021 sulla profilazione»).

215 Il punto 1, lettera j, i), della raccomandazione del 2021 sulla profilazione definisce come «trattamenti di profilazione a rischio elevato», la «profilazione il cui funzionamento comporta effetti giuridici o che hanno un impatto significativo per l’interessato oppure per il gruppo di persone identificato tramite il trattamento di profilazione».

216 V. parere 1/15, punto 272.

217 Ai sensi del punto 1.1, lettera d), dell’allegato alla raccomandazione del 2021 sulla profilazione, il termine «profilo» designa «un insieme di dati attribuito ad una persona, che caratterizza una categoria di persone o che è destinato ad essere applicato ad una persona». Come spiegato dalla relazione sull’evoluzione della situazione successivamente all’adozione della raccomandazione (2010)13 sulla profilazione (https://rm.coe.int/t-pd-2019-07fin-fr-rapport-profilage-2770-2878-8993-1-final-clean-2755/1680a0925b, pag. 21), la quale ha preceduto l’adozione della raccomandazione del 2021 sulla profilazione, la nozione di «profilo» conserva tutto il suo significato in sistemi che, come la direttiva PNR, distinguono le operazioni di creazione di profili [v., segnatamente, articolo 6, paragrafo 2, lettera b), di tale direttiva] da quelle che la applicano e consente «una trasparenza dei criteri che vengono applicati in un secondo tempo tramite l’operazione di profilazione».

218 V. articolo 6, paragrafo 4, della direttiva PNR, nonché parere 1/15, punto 172.

219 V. articolo 6, paragrafo 4, della direttiva PNR.

220 V. parere 1/15, punto 172.

221 V. considerando 7 della direttiva PNR.

222 V. parere 1/15, punto 174.

223 La stessa prescrizione figura al punto 174 del parere 1/15.

224 Rilevo che l’insieme dei motivi di discriminazione figuranti all’articolo 21 della Carta viene riprodotto al considerando 20 della direttiva PNR. Un allineamento all’elenco dei motivi di discriminazione vietati di cui all’articolo 21 era stato proposto dalla FRA nel suo parere 1/2011, pag. 8.

225 Ai sensi del punto 1.1, lettera g), dell’allegato alla raccomandazione del 2021 sulla profilazione, l’espressione «machine learning» designa «un trattamento che utilizza metodi particolari di intelligenza artificiale fondato su procedimenti statistici per dare ai computer la possibilità di “apprendere” a partire da dati, ossia di migliorare le loro prestazioni nel risolvere diversi compiti senza essere esplicitamente programmati per ciascuno».

226 Per quanto riguarda gli effetti dell’opacità dei sistemi algoritmici sulla possibilità di un controllo umano inteso a prevenire gli effetti dannosi di tali sistemi e i loro impatti negativi sui diritti dell’uomo, v. raccomandazione CM/Rec (2020)1 del Comitato dei Ministri agli Stati membri, sugli impatti dei sistemi algoritmici sui diritti dell’uomo.

227 Tale definizione è contenuta al considerando 25 della direttiva PNR.

228 L’enunciato del considerando 37 della direttiva PNR, che menziona «la conservazione dei dati PNR nelle UIP per un periodo non superiore a cinque anni, scaduto il quale i dati dovrebbero essere cancellati» (il corsivo è mio), non consente, a mio avviso, di rimettere in discussione il dettato chiaro dell’articolo 12, paragrafo 1, di tale direttiva.

229 V., per quanto riguarda il trattamento dei dati personali a fini di accertamento, prevenzione, perseguimento e indagine nei confronti di reati penali, direttiva polizia, articolo 4, lettera e), e considerando 26. V., più in generale, articolo 5, paragrafo 1, lettera e), del RGPD, e articolo 5, paragrafo 4, lettera e), della convenzione 108 aggiornata.

230 V. sentenze Schrems I (punto 93), Tele2 Sverige (punto 110), parere 1/15 (punto 191), nonché sentenza La Quadrature du Net (punto 133).

231 V. parere 1/15, punto 197.

232 V. parere 1/15, punto 205.

233 V. parere 1/15, punto 207.

234 Si tratterebbe, in tal caso, di un’applicazione per analogia dei punti 187 e segg. del parere 1/15, poiché quest’ultimo contemplava unicamente l’ipotesi dei dati PNR raccolti all’ingresso nel territorio del Canada.

235 V. parere 1/15, punto 209.

236 V. parere 1/15, punto 205.

237 Il progetto di accordo PNR Canada-UE prevedeva un mascheramento dei nomi di tutti i passeggeri trenta giorni dopo averli ricevuti dal Canada e un mascheramento di altre informazioni espressamente elencate due anni dopo averle ricevute: v. articolo 16, punto 3, del progetto di accordo PNR Canada-UE esaminato dalla Corte, e parere 1/15, punto 30.

238 V. parere del 19 agosto 2016, pag. 9.

239 V., segnatamente, sentenza La Quadrature du Net, punti 148 e149.

240 Lo stesso vale per le richieste di comunicazione dei dati PNR presentate dalle UIP di altri Stati membri ai sensi dell’articolo 9, paragrafo 2, della direttiva PNR.

241 V. parere 1/15, punto 192 e giurisprudenza ivi citata. Più recentemente, v. sentenze Privacy international, punto 77 e, per analogia, Prokuratuur, punto 49 e giurisprudenza ivi citata.

242 V. parere 1/15, punto 200.

243 V. parere 1/15, punto 200.

244 V. parere 1/15, punto 201.

245 V. parere 1/15, punto 202.

246 V., in tal senso, parere 1/15, punto 201.

247 V., segnatamente, articolo 4, articolo 7, paragrafi 1 e 2, articolo 9, paragrafo 2, articolo 10, paragrafo 2, articolo 12, paragrafo 4, della direttiva PNR; v., in particolare, considerando 6, 9, 10, 11, 15, 23, 25, 35 e 38 di tale direttiva. Ricordo peraltro che la proposta di direttiva PNR precisava, al suo considerando 28, che «[l]a presente direttiva non pregiudica la possibilità che gli Stati membri istituiscano, ai sensi della legislazione nazionale, un sistema di raccolta e trattamento dei dati PNR per finalità diverse da quelle previste nella presente direttiva». Orbene, tale precisazione non è stata ripresa nel testo finale della direttiva PNR.

248 Tale possibilità è tuttavia ammessa all’articolo 4, paragrafo 3, della direttiva PNR, ai sensi del quale «[i] membri del personale delle UIP possono essere funzionari distaccati delle autorità competenti», quantomeno nella misura in cui i servizi segreti e di sicurezza dello Stato membro interessato possano essere qualificati come «autorità competenti», ai sensi dell’articolo 7, paragrafo 2, di tale direttiva.

249 Per quanto riguarda i dubbi espressi dal governo belga in merito alla competenza della Corte a rispondere alla settima questione pregiudiziale, occorre osservare che, stando ai termini di tale questione, il giudice del rinvio interpella la Corte sull’interpretazione dell’articolo 12, paragrafo 3, della direttiva PNR e non sulla compatibilità della normativa nazionale con tale disposizione. In ogni caso, secondo giurisprudenza costante, la Corte può fornire indicazioni ai giudici nazionali, che consentano a questi ultimi di valutare tale compatibilità (v., segnatamente, sentenza del 7 settembre 2016, ANODE, C‑121/15, EU:C:2016:637, punto 54 e giurisprudenza ivi citata).

250 V., a tal riguardo, sentenza del 5 novembre 2019, Commissione/Polonia (Indipendenza dei tribunali ordinari) (C‑192/18, EU:C:2019:924, punti da 108 a 110).

251 L’articolo 9, paragrafo 2, quarta frase, della proposta di direttiva PNR disponeva che «[l’]accesso integrale ai dati PNR è consentito solo al capo dell’Unità d’informazione sui passeggeri».

252 Sentenza Prokuratuur, punti 52 e 53.

253 Sentenza Prokuratuur, punti 53 e 54. Nello stesso senso, v. sentenza Big Brother Watch, §§ da 349 a 352.

254 L’articolo 9, paragrafo 2, quarta frase, della proposta di direttiva PNR disponeva che «[l’]accesso integrale ai dati PNR è consentito solo al capo dell’Unità d’informazione sui passeggeri».

255 Legge PNR, articolo 29, §§ 1 e 2.

256 V. considerando 10 della direttiva PNR.

257 Regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (GU 2016, L 77, pag. 1; in prosieguo: il «codice frontiere Schengen»).

258 L’articolo 23, lettera a), del codice frontiere Schengen prevede che l’esercizio delle competenze di polizia non possa essere considerato equivalente all’esercizio delle verifiche di frontiera quando le misure di polizia «i) non hanno come obiettivo il controllo di frontiera; ii) si basano su informazioni e l’esperienza generali di polizia quanto a possibili minacce per la sicurezza pubblica e sono volte, in particolare, alla lotta contro la criminalità transfrontaliera; iii) sono ideate ed eseguite in maniera chiaramente distinta dalle verifiche sistematiche sulle persone alle frontiere esterne; iv) sono effettuate sulla base di verifiche a campione».

259 V., per analogia, sentenza del 13 dicembre 2018, Touring Tours und Travel e Sociedad de transportes (C‑412/17 e C‑474/17, EU:C:2018:1005, punto 61 e giurisprudenza ivi citata), nonché ordinanza del 4 giugno 2020, FU (C‑554/19, non pubblicata, EU:C:2020:439, punti da 49 a 56).

260 A tal riguardo, rilevo che, al punto 188 del parere 1/15, la Corte ha affermato che «l’identificazione, tramite i dati PNR, di passeggeri che possono presentare un rischio per la sicurezza pubblica fa parte dei controlli alle frontiere».

261 V. sentenza del 13 dicembre 2018, Touring Tours und Travel e Sociedad de transportes (C‑412/17 e C‑474/17, EU:C:2018:1005, punto 55 e giurisprudenza ivi citata).

262 V., in tal senso, segnatamente, ordinanza del 4 giugno 2020, FU (C‑554/19, non pubblicata, EU:C:2020:439, punto 46).

263 Nel suo documento di lavoro del 2020 sulla direttiva API (pag. 20), la Commissione sottolinea parimenti il carattere problematico di una sovrapposizione dei sistemi di trattamento dei dati PNR e API a livello nazionale.

264 C‑411/17, EU:C:2019:622, punti 175, 176, 179 e 181.

265 V. sentenza La Quadrature du Net, punti da 217 a 219.