CONCLUSIONI DELL’AVVOCATO GENERALE
GIOVANNI PITRUZZELLA
presentate il 27 gennaio 2022 (1)
Causa C‑817/19
Ligue des droits humains
contro
Conseil des ministres
[domanda di pronuncia pregiudiziale proposta dalla Cour constitutionnelle (Corte costituzionale, Belgio)]
«Rinvio pregiudiziale – Protezione dei dati personali – Trattamento dei dati del codice di prenotazione (PNR) – Regolamento (UE) 2016/679 – Ambito di applicazione – Direttiva (UE) 2016/681 – Validità – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e articolo 52, paragrafo 1»
Indice
I. Introduzione
II. Contesto normativo
A. Diritto dell’Unione
1. La Carta
2. RGPD
3. Direttiva PNR
4. Altri atti rilevanti di diritto dell’Unione
B. Diritto belga
C. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte
III. Analisi
A. Sulla prima questione pregiudiziale
B. Sulle questioni pregiudiziali seconda, terza, quarta, sesta e ottava
1. Sui diritti fondamentali enunciati dagli articoli 7 e 8 della Carta
2. Sull’ingerenza nei diritti fondamentali enunciati dagli articoli 7 e 8 della Carta
3. Sulla giustificazione dell’ingerenza risultante dalla direttiva PNR
a) Sul rispetto del requisito secondo il quale eventuali limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta devono essere previste dalla legge
b) Sul rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta
c) Sul rispetto del requisito secondo il quale l’ingerenza deve rispondere ad un obiettivo di interesse generale
d) Sul rispetto del principio di proporzionalità
1) Sull’idoneità dei trattamenti dei dati PNR di cui alla direttiva PNR sotto il profilo dell’obiettivo perseguito
2) Sul carattere strettamente necessario dell’ingerenza
i) Sulla delimitazione delle finalità del trattamento dei dati PNR
ii) Sulle categorie di dati PNR contemplate dalla direttiva PNR (seconda e terza questione pregiudiziale)
– Sul carattere sufficientemente chiaro e preciso dei punti 12 e 18 dell’allegato I (terza questione pregiudiziale)
– Sulla portata dei dati elencati all’allegato I (seconda questione pregiudiziale)
– Sui dati sensibili
iii) Sulla nozione di «passeggero» (quarta questione pregiudiziale)
iv) Sul carattere sufficientemente chiaro, preciso e limitato allo stretto necessario della valutazione preliminare dei passeggeri (sesta questione pregiudiziale)
– Sul confronto con le banche dati ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR
– Sul trattamento dei dati PNR secondo criteri prestabiliti
– Sulle garanzie relative al trattamento automatizzato dei dati PNR
– Conclusione sulla sesta questione pregiudiziale
v) Sulla conservazione dei dati PNR (ottava questione pregiudiziale)
4. Conclusioni sulla seconda, terza, quarta, sesta e ottava questione pregiudiziale
C. Sulla quinta questione pregiudiziale
D. Sulla settima questione pregiudiziale
E. Sulla nona questione pregiudiziale
F. Sulla decima questione pregiudiziale
IV. Conclusione
I. Introduzione
1. Con la presente domanda di pronuncia pregiudiziale, la Cour constitutionnelle (Corte costituzionale, Belgio) sottopone alla Corte una serie di dieci questioni pregiudiziali vertenti sull’interpretazione del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (in prosieguo: il «RGPD») (2), nonché sulla validità e sull’interpretazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (in prosieguo: la «direttiva PNR») (3) e della direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (in prosieguo: la «direttiva API») (4). Tali questioni sono state sollevate nell’ambito di un ricorso proposto dall’associazione senza scopo di lucro Ligue des droits humains (LDH), diretto all’annullamento totale o parziale della loi du 25 décembre 2016 relative au traitement des données des passagers (legge del 25 dicembre 2016, che disciplina il trattamento dei dati dei passeggeri; in prosieguo: la «legge PNR») (5), la quale traspone in diritto belga la direttiva PNR, nonché la direttiva API.
2. Le questioni che la Corte dovrà risolvere nella presente causa si iscrivono nell’ambito di uno dei principali dilemmi del costituzionalismo liberale democratico contemporaneo: come debba essere definito l’equilibrio fra l’individuo e la collettività nell’era dei dati, quando le tecnologie digitali hanno consentito la raccolta, la conservazione, il trattamento e l’analisi di enormi masse di dati personali a fini predittivi. Gli algoritmi, l’analisi dei big data e l’intelligenza artificiale utilizzati dalle autorità pubbliche possono servire a promuovere e a proteggere gli interessi fondamentali della società, con un’efficacia in precedenza inimmaginabile: dalla protezione della sanità pubblica alla sostenibilità ambientale, dalla lotta contro il terrorismo alla prevenzione dei reati, in particolare dei reati gravi. Allo stesso tempo, la raccolta indiscriminata di dati personali e l’utilizzazione delle tecnologie digitali da parte dei poteri pubblici possono dare luogo ad un panottico digitale, vale a dire ad un potere pubblico che vede senza essere visto. Un potere onnisciente che può controllare e prevedere i comportamenti di ognuno e prendere le misure necessarie, fino al risultato paradossale, immaginato da Steven Spielberg nel film Minority Report, di togliere la libertà in via preventiva all’autore di un reato che non è ancora stato commesso. Come è noto, in taluni paesi la società prevale sull’individuo e l’utilizzazione dei dati personali consente legittimamente di realizzare una sorveglianza di massa efficace volta a proteggere interessi pubblici considerati fondamentali. Viceversa, il costituzionalismo europeo – nazionale e sovranazionale – il quale assegna un posto centrale all’individuo e alle sue libertà, mette una barriera importante all’avvento di una società della sorveglianza di massa, soprattutto dopo il riconoscimento dei diritti fondamentali alla protezione della vita privata e alla protezione dei dati personali. Si pone tuttavia la questione della misura in cui tale barriera possa essere eretta senza arrecare un grave pregiudizio a taluni interessi fondamentali della società – come quelli citati in precedenza a titolo esemplificativo – i quali possono tuttavia avere legami costituzionali. Ci si trova al cuore della questione del rapporto fra individuo e collettività nella società digitale. Una questione che esige, da un lato, la ricerca e l’attuazione di equilibri delicati fra gli interessi della collettività e i diritti degli individui, prendendo le mosse dall’importanza assoluta che questi ultimi hanno nel patrimonio costituzionale europeo, e, dall’altro, la predisposizione di garanzie contro gli abusi. Anche qui, ci si trova nell’ambito della versione contemporanea di un tema classico del costituzionalismo poiché, come affermava in maniera lapidaria Le Fédéraliste, gli uomini non sono angeli ed è per questo che sono necessari meccanismi giuridici per limitare e controllare i pubblici poteri.
3. Tali sono le questioni di ordine generale che si iscrivono nel contesto delle presenti conclusioni, le quali non potranno che limitarsi ad interpretare il diritto dell’Unione, alla luce della giurisprudenza anteriore della Corte, impiegando tecniche ben consolidate, fra le quali figura quella dell’interpretazione conforme. Una tecnica alla quale si farà ricorso sovente, qualora ciò risulti giuridicamente possibile, nelle presenti conclusioni, al fine di trovare l’equilibrio necessario, sotto il profilo costituzionale, fra le finalità pubbliche sottese al sistema di trasferimento, raccolta e trattamento dei dati del codice di prenotazione (in prosieguo: i «dati PNR») e i diritti sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»).
II. Contesto normativo
A. Diritto dell’Unione
1. La Carta
4. Ai sensi dell’articolo 7 della Carta, «[o]gni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni».
5. L’articolo 8 della Carta così recita:
«1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.
3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».
6. In conformità all’articolo 52, paragrafo 1, della Carta, «[e]ventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».
2. RGPD
7. L’articolo 2, paragrafo 2, lettera d), del RGPD esclude dall’ambito di applicazione di tale regolamento il trattamento di dati personali effettuato «dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».
8. L’articolo 23, paragrafo 1, lettera d), del RGPD così recita:
«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
(…)
d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica».
3. Direttiva PNR
9. Mi limiterò a fornire una breve descrizione del funzionamento del sistema instaurato dalla direttiva PNR. Ulteriori dettagli sul contenuto delle disposizioni della direttiva PNR rilevante ai fini della risposta da dare alle questioni pregiudiziali verranno forniti nel corso dell’analisi giuridica.
10. In conformità al suo articolo 1, la direttiva PNR, adottata sulla base dell’articolo 82, paragrafo 1, lettera d), TFUE e dell’articolo 87, paragrafo 2, lettera a), TFUE, organizza, a livello dell’Unione europea, un sistema di trasferimento, a cura dei vettori aerei, dei dati PNR dei voli extra-UE (6), nonché le operazioni di raccolta, trattamento e conservazione di tali dati da parte delle autorità competenti degli Stati membri a fini di lotta contro il terrorismo e la criminalità grave.
11. Ai sensi dell’articolo 3, punto 5), di tale direttiva, il «codice di prenotazione» o «PNR» consiste nelle «informazioni relative al viaggio di ciascun passeggero comprendenti i dati necessari per il trattamento e il controllo delle prenotazioni a cura dei vettori aerei e di prenotazione interessati per ogni volo prenotato da qualunque persona o per suo conto, siano esse registrate in sistemi di prenotazione, in sistemi di controllo delle partenze utilizzat[i] per la registrazione dei passeggeri sui voli, o in altri sistemi equivalenti con le stesse funzionalità».
12. L’allegato I alla direttiva PNR (in prosieguo: l’«allegato I») elenca i dati del codice di prenotazione raccolti dai vettori aerei, i quali sono oggetto di trasferimento ai sensi e secondo le modalità previste all’articolo 8 di tale direttiva.
13. L’allegato II della direttiva PNR (in prosieguo: l’«allegato II») contiene l’elenco delle violazioni che costituiscono «reati gravi» ai sensi dell’articolo 3, punto 9, di tale direttiva.
14. L’articolo 2 della direttiva PNR prevede la facoltà, per gli Stati membri, di decidere di applicare tale direttiva anche ai «voli intra-UE» (7) o a taluni di essi, reputati «necessari» per perseguire gli obiettivi di detta direttiva.
15. Ai sensi dell’articolo 4, paragrafo 1, della direttiva PNR, «[c]iascuno Stato membro stabilisce o designa un’autorità competente in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, o una sua sezione, che agisca in qualità di “unità d’informazione sui passeggeri” (UIP)». In conformità al paragrafo 2, lettera a), di tale articolo 4, l’UIP è segnatamente incaricata di raccogliere i dati PNR presso i vettori aerei, conservare, trattare e trasferire tali dati o i risultati del loro trattamento alle autorità competenti di cui all’articolo 7 della direttiva PNR. Ai sensi del paragrafo 2 di tale articolo 7, siffatte autorità sono «le autorità responsabili della prevenzione, dell’accertamento, dell’indagine o del perseguimento dei reati di terrorismo o dei reati gravi» (8).
16. Ai sensi dell’articolo 6, paragrafo 1, seconda frase, della direttiva PNR: «Qualora nei dati PNR trasferiti dai vettori aerei siano compresi dati diversi da quelli elencati nell’allegato I, l’UIP li cancella in via definitiva non appena li riceve». Il paragrafo 2 di tale articolo così recita:
«L’UIP provvede al trattamento dei dati PNR unicamente per le seguenti finalità:
a) valutare i passeggeri prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro per identificare quelli da sottoporre a ulteriore verifica da parte delle autorità competenti di cui all’articolo 7 e, se del caso, da parte di Europol, a norma dell’articolo 10, in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi;
b) rispondere, caso per caso, a una richiesta debitamente motivata e basata su motivi sufficienti da parte delle autorità competenti di trasmettere e trattare dati PNR in casi specifici a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e di comunicare i risultati di tale trattamento alle stesse autorità competenti o, se del caso, a Europol; e
c) analizzare i dati PNR per aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), al fine di identificare le persone che potrebbero essere implicate in reati di terrorismo o in reati gravi».
17. L’articolo 12 della direttiva PNR contiene le disposizioni relative alla conservazione dei dati PNR.
18. L’articolo 5 della direttiva PNR prevede che ciascuna UIP nomini un responsabile della protezione dei dati incaricato di sorvegliare il trattamento dei dati PNR e di attuare le pertinenti garanzie. Inoltre ogni Stato membro è tenuto, in conformità all’articolo 15 di tale direttiva, ad incaricare l’autorità nazionale di controllo di cui all’articolo 25 della decisione quadro 2008/977/GAI (9), sostituita dalla direttiva (UE) 2016/680, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (in prosieguo: la «direttiva polizia») (10), di esercitare la sorveglianza, nel suo territorio, riguardo all’applicazione delle disposizioni adottate conformemente a detta direttiva. Tale autorità, la quale svolge i suoi compiti così da tutelare i diritti fondamentali in relazione al trattamento dei dati personali (11), è segnatamente incaricata, da un lato, di trattare i reclami presentati dagli interessati, svolgere le relative indagini e informare gli interessati, entro un termine ragionevole, dello stato e dell’esito del reclamo e, dall’altro, di verificare la liceità del trattamento dei dati, svolgere indagini, ispezioni e audit conformemente al diritto nazionale, di propria iniziativa o a seguito di un reclamo (12).
4. Altri atti rilevanti di diritto dell’Unione
19. Il contesto normativo della presente causa è completato dalla direttiva API e dalla direttiva polizia. Per motivi di leggibilità delle presenti conclusioni, il contenuto delle disposizioni rilevanti di tali atti verrà illustrato nella misura in cui ciò risulti necessario per il trattamento delle questioni che le riguardano o, più in generale, per le esigenze dell’analisi giuridica.
B. Diritto belga
20. In conformità all’articolo 22 della Costituzione belga: «Ogni persona ha diritto al rispetto della sua vita privata e familiare, eccetto che nei casi e alle condizioni fissati dalla legge».
21. Ai sensi del suo articolo 2, la legge PNR traspone la direttiva API e la direttiva PNR nonché, parzialmente, la direttiva 2010/65/UE (13).
22. In conformità al suo articolo 3, § 1, la legge PNR «stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri diretti verso, provenienti dal o in transito sul territorio nazionale». Ai sensi dell’articolo 4, punti 1 e 2, di tale legge, si intende per «vettore» «ogni persona fisica o giuridica che trasporta persone a titolo professionale per via aerea, marittima, ferroviaria o terrestre» e per «operatore di viaggio» «ogni organizzatore o intermediario di viaggio ai sensi della legge del 16 febbraio 1994, che disciplina il contratto di organizzazione di viaggi e il contratto di intermediario di viaggi».
23. L’articolo 8 della legge PNR dispone quanto segue:
Ǥ l. I dati dei passeggeri sono trattati ai fini:
1° della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste all’articolo 90 ter, § 2, (...) 7°, (...) 8°, (...) 11°, (...) 14°, (...) 17°, 18°, 19° e § 3, du Code d’instruction criminelle (codice di procedura penale);
2° della conduzione di indagini e del perseguimento dei reati, ivi compresa l’esecuzione di pene o di misure restrittive della libertà personale, concernenti le fattispecie previste agli articoli 196, per quanto riguarda i reati di falso in atti autentici e pubblici, 198, 199, 199 bis, 207, 213, 375 e 505 del Code pénal (Codice penale);
3° della prevenzione di gravi turbative dell’ordine pubblico nel quadro della radicalizzazione violenta mediante il controllo dei fenomeni e dei raggruppamenti ai sensi dell’articolo 44/5, §§ 1°, 2° e 3°, e § 2, della loi du 5 août 1992 sur la fonction de police (legge del 5 agosto 1992, in materia di funzioni di polizia);
4° del controllo delle attività di cui agli articoli 7, 1° e 3°/l, e 11, § 1, da 1° a 3° e 5°, della loi du 30 novembre 1998 organique des services de renseignement et de sécurité (legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza) (14);
5° della conduzione delle indagini e del perseguimento dei reati previsti all’articolo 220, § 2, della loi générale sur les douanes et accises du 18 juillet 1997 (legge quadro del 18 luglio 1977, in materia doganale e di accise) e all’articolo 45, terzo comma, de la loi du 22 décembre 2009 relative au régime général d’accise (legge del 22 dicembre 2009, recante il regime generale delle accise) (...).
§ 2. Nel rispetto delle condizioni previste al capo 11, i dati dei passeggeri sono inoltre trattati ai fini del rafforzamento dei controlli sulle persone alle frontiere esterne e del contrasto all’immigrazione irregolare».
24. L’articolo 9 della legge PNR contiene l’elenco dei dati che sono oggetto di trasferimento. Tali dati corrispondono a quelli elencati all’allegato I.
25. In conformità all’articolo 18 della legge PNR, «i dati dei passeggeri sono conservati nella banca dati dei passeggeri per un periodo massimo di cinque anni a decorrere dalla loro registrazione. Decorso detto termine, essi sono distrutti».
26. L’articolo 19 di tale legge prevede che, «[a]lla scadenza di un periodo di sei mesi, a decorrere dalla registrazione dei dati dei passeggeri nella banca dati dei passeggeri, tutti i dati dei passeggeri vengono resi anonimi mediante mascheratura degli elementi di informazione».
27. L’articolo 24 della legge PNR prevede quanto segue:
«§ 1. I dati dei passeggeri sono trattati ai fini dell’effettuazione di una valutazione preliminare dei passeggeri prima del loro arrivo, della loro partenza o del transito previsto sul territorio nazionale al fine di stabilire quali persone debbano essere sottoposte a un controllo più approfondito.
§ 2. Nell’ambito delle finalità di cui all’articolo 8, § 1, 1°, 4° e 5°, o relative alle minacce menzionate agli articoli 8, 1°, lettere a), b), c), d), f), g) e 11, § 2, della legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con:
1° le banche dati gestite dai servizi competenti o che sono direttamente a disposizione degli stessi o loro accessibili nell’ambito delle loro funzioni o con elenchi di persone elaborati dai servizi competenti nell’ambito delle loro funzioni.
2° i criteri di valutazione prestabiliti dall’UIP, di cui all’articolo 25.
§ 3. Nell’ambito delle finalità di cui all’articolo 8, § 1, 3°, la valutazione preliminare dei passeggeri si basa su un riscontro positivo, risultante da una correlazione dei dati dei passeggeri con le banche dati di cui al § 2, 1° (…)».
28. L’articolo 25 della legge PNR riprende il contenuto dell’articolo 6, paragrafo 4, della direttiva PNR.
29. Il capo 11 della legge PNR contiene le disposizioni che disciplinano il trattamento dei dati dei passeggeri ai fini del rafforzamento dei controlli alle frontiere e del contrasto dell’immigrazione irregolare. Tali disposizioni costituiscono la trasposizione in diritto belga della direttiva API.
30. L’articolo 44 della legge PNR prevede che l’UIP designi un responsabile della protezione dei dati all’interno del servizio pubblico federale interno. La sorveglianza sull’applicazione delle disposizioni della legge PNR viene esercitata dalla Commissione per la tutela della vita privata.
31. L’articolo 51 della legge PNR modifica la legge organica del 30 novembre 1998, che disciplina i servizi segreti e di sicurezza, inserendo un articolo 16/3 redatto nei seguenti termini:
«§ 1° I servizi segreti e di sicurezza possono, nell’interesse dell’esercizio dei loro compiti, a fronte di decisione debitamente motivata, accedere ai dati dei passeggeri di cui all’articolo 7 della legge [PNR].
§ 2. La decisione di cui al § 1 viene presa dal direttore del servizio e comunicata per iscritto all’Unità d’informazione sui passeggeri di cui al capo 7 della summenzionata legge. La decisione viene notificata al Comitato permanente R congiuntamente alla motivazione della stessa.
Il Comitato permanente R vieta ai servizi segreti e di sicurezza di utilizzare i dati raccolti in condizioni che non rispettino le condizioni fissate dalla legge.
La decisione può riguardare un insieme di dati relativi ad una specifica operazione dei servizi segreti. In tal caso, l’elenco delle consultazioni dei dati dei passeggeri viene comunicato una volta al mese al Comitato permanente R».
C. Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte
32. Con atto introduttivo presentato alla Cour constitutionnelle (Corte costituzionale) il 24 luglio 2017, la LDH ha proposto un ricorso diretto all’annullamento totale o parziale della legge PNR. A sostegno del suo ricorso, essa ha dedotto due motivi.
33. Con il suo primo motivo, dedotto in via principale e relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 23 del RGPD, con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, nonché con l’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), la LDH ritiene che la legge impugnata non rispetti il principio di proporzionalità con riferimento al suo ambito di applicazione e alle categorie di dati interessate, al trattamento dei dati da essa instaurato, alle sue finalità e alla durata di conservazione dei dati. In particolare, essa sostiene che la definizione dei dati PNR sarebbe eccessivamente ampia e idonea a dar luogo alla rivelazione di dati delicati, e che la definizione della nozione di «passeggero» contenuta in tale legge consentirebbe un trattamento sistematico indiscriminato dei dati di tutti i passeggeri interessati. Inoltre, la LDH ritiene che la legge PNR non definisca in maniera sufficientemente chiara la natura e le modalità del metodo di pre-screening delle banche dati passeggeri, nonché i criteri da applicare quali «indicatori della presenza di una minaccia». Infine, essa ritiene che la legge PNR ecceda i limiti dello stretto necessario, nel senso che essa perseguirebbe finalità di trattamento dei dati PNR più ampie di quelle ammesse dalla direttiva PNR e che il termine di cinque anni per la conservazione dei dati PNR sia sproporzionato. Con il suo secondo motivo, dedotto in subordine e relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, la LDH impugna le disposizioni del capo 11 della legge PNR che traspongono la direttiva API.
34. Il Conseil des ministres (Consiglio dei ministri) del Regno del Belgio, in qualità di parte interveniente dinanzi alla Cour constitutionnelle (Corte costituzionale), si oppone al ricorso della LDH, contestando sia la ricevibilità sia la fondatezza dei due motivi dedotti a suo sostegno.
35. La Cour constitutionnelle (Corte costituzionale) svolge, da parte sua, le seguenti considerazioni.
36. Per quanto riguarda il primo motivo essa si chiede, anzitutto, se la definizione dei dati PNR, figurante all’allegato I, sia sufficientemente chiara e precisa. La descrizione di taluni dati del genere rivestirebbe un carattere esemplificativo e non tassativo. Detto giudice rileva poi che la definizione della nozione di «passeggero» contenuta all’articolo 3, punto 4, della direttiva PNR comporta la raccolta, il trasferimento, il trattamento e la conservazione dei dati PNR di chiunque sia trasportato o debba essere trasportato e sia iscritto nell’elenco dei passeggeri, indipendentemente dall’esistenza di fondati motivi di ritenere che l’interessato abbia commesso o stia per commettere un reato, o sia stato condannato per un reato. Per quanto riguarda il trattamento dei dati PNR, essa osserva che questi ultimi sono sistematicamente oggetto di una valutazione preliminare che implica il controllo incrociato dei dati PNR di tutti i passeggeri con banche dati o criteri prestabiliti, al fine di accertare riscontri. Cionondimeno, la Cour constitutionnelle (Corte costituzionale) precisa che, pur se i criteri devono essere specifici, attendibili e non discriminatori, le sembra tecnicamente impossibile definire in anticipo i criteri prestabiliti che servano alla determinazione di profili a rischio. Per quanto attiene al termine di conservazione dei dati PNR previsto all’articolo 12, paragrafo 1, della direttiva PNR, ai sensi del quale detti dati possono essere conservati per un periodo di cinque anni, il giudice del rinvio ritiene che i dati PNR verrebbero conservati senza tenere conto della questione se, nell’ambito della valutazione preliminare, i passeggeri interessati possano o meno presentare un rischio per la sicurezza pubblica. In tali circostanze, il giudice del rinvio si chiede se, alla luce della giurisprudenza scaturita, segnatamente, dalla sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (15), e del parere 1/15 (Accordo PNR Canada-UE), del 26 luglio 2017 (16), si possa ritenere che il sistema di raccolta, trasferimento, trattamento e conservazione dei dati PNR istituito dalla direttiva PNR non ecceda i limiti dello stretto necessario. In tale contesto, detto giudice si pone parimenti la questione se la direttiva PNR osti ad una normativa nazionale, come quella risultante dall’articolo 8, paragrafo 1, punto 4), della legge PNR, che autorizza il trattamento dei dati PNR per una finalità diversa da quelle previste da tale direttiva. Infine, esso si chiede se l’UIP possa essere considerata un’«altra autorità nazionale» che, ai sensi dell’articolo 12, paragrafo 3, lettera b), ii), della direttiva PNR, può autorizzare la comunicazione dei dati PNR integrali dopo un periodo di sei mesi. Quanto al secondo motivo, il giudice del rinvio rileva che quest’ultimo è diretto avverso l’articolo 3, paragrafo 1, l’articolo 8, paragrafo 2, nonché gli articoli da 28 a 31 della legge PNR, i quali disciplinano la raccolta e il trattamento dei dati dei passeggeri ai fini della lotta contro l’immigrazione irregolare e del rafforzamento dei controlli alle frontiere. Ricordando che, ai sensi della prima di queste disposizioni, detta legge disciplina i voli diretti verso, provenienti dal o in transito sul territorio nazionale, tale giudice precisa che il legislatore nazionale aveva incluso i voli «intra-UE» nell’ambito di applicazione di detta legge al fine di ottenere «un quadro più completo degli spostamenti dei passeggeri che rappresentano una potenziale minaccia per la sicurezza [all’interno dell’Unione] e nazionale», fondandosi sulla facoltà prevista all’articolo 2 della direttiva PNR, in combinato disposto con il considerando 10 della stessa.
37. È in tale contesto che la Cour constitutionnelle (Corte costituzionale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 23 del [RGPD], in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di detto regolamento, debba essere interpretato nel senso che esso si applica a una normativa nazionale come la legge [PNR], che recepisce la direttiva [PNR], la direttiva [API] e la direttiva 2010/65.
2) Se l’allegato I (...) sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui i dati ivi enumerati sono molto ampi – in particolare, i dati di cui al punto 18 [di tale allegato I], che eccedono i dati di cui all’articolo 3, paragrafo 2, della direttiva [API] – e nella misura in cui, considerati complessivamente, detti dati potrebbero rivelare dati delicati e violare così i limiti dello “stretto necessario”.
3) Se i punti 12 e 18 dell’allegato I (...) siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui, tenuto conto dei termini “comprese” e “tra cui”, i dati ivi indicati sono menzionati a titolo esemplificativo e non tassativo, con conseguente violazione eventuale del requisito di precisione e chiarezza delle disposizioni che comportano un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati personali.
4) Se l’articolo 3, punto 4, della direttiva [PNR] e l’allegato I (…) siano compatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui il sistema di raccolta, trasferimento e trattamento generalizzato dei dati dei passeggeri introdotto da dette disposizioni riguarda tutte le persone che si servono di un determinato mezzo di trasporto, a prescindere da ogni elemento obiettivo che consenta di ritenere che detta persona possa presentare un rischio per la sicurezza pubblica.
5) Se l’articolo 6 della direttiva [PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale, come la legge impugnata, che ammette, quale finalità del trattamento dei dati PNR, il controllo delle attività oggetto dei servizi segreti e di sicurezza, includendo così detta finalità nella prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi.
6) Se l’articolo 6 della direttiva [PNR] sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], nella misura in cui la valutazione preliminare da esso introdotta, mediante correlazione con banche dati e criteri prestabiliti, si applica in maniera sistematica e generalizzata ai dati dei passeggeri, a prescindere da qualsiasi elemento obiettivo che consenta di ritenere che essi possano presentare un rischio per la sicurezza pubblica.
7) Se la nozione di “altra autorità nazionale competente” di cui all’articolo 12, paragrafo 3, della direttiva [PNR] possa essere interpretata come indicante l’UIP istituita dalla legge [PNR], che potrebbe quindi autorizzare, nel quadro di ricerche specifiche, l’accesso ai dati PNR, decorso un termine di sei mesi.
8) Se l’articolo 12 della direttiva [PNR], in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della [Carta], debba essere interpretato nel senso che esso osta a una normativa nazionale come la legge impugnata che prevede un termine generale di conservazione dei dati di cinque anni, senza differenziare a seconda che i passeggeri interessati si rivelino, nel quadro della valutazione preliminare, idonei o meno a presentare una minaccia per la sicurezza pubblica.
9) a) Se la direttiva [API] sia compatibile con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], nella misura in cui gli obblighi ivi previsti si applicano ai voli interni all’[Unione].
b) Se la direttiva [API], in combinato disposto con l’articolo 3, paragrafo 2, [TUE] e con l’articolo 45 della [Carta], debba essere interpretata nel senso che essa osta a una disciplina nazionale come quella della legge impugnata che, ai fini del contrasto all’immigrazione irregolare e del rafforzamento dei controlli alle frontiere, autorizza un sistema di raccolta e trattamento dei dati dei passeggeri “diretti verso, provenienti dal o in transito sul territorio nazionale”, il che potrebbe comportare indirettamente una reintroduzione dei controlli alle frontiere interne.
10) Qualora, sulla base delle risposte fornite alle questioni pregiudiziali che precedono, la Cour constitutionnelle (Corte costituzionale) dovesse giungere alla conclusione che la legge impugnata, che recepisce in particolare la direttiva [PNR], viola uno o più degli obblighi derivanti dalle disposizioni citate in tali questioni, se detto giudice possa mantenere provvisoriamente gli effetti della legge [PNR] per evitare una situazione di incertezza del diritto e consentire che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per le finalità previste [da tale] legge».
38. Hanno presentato osservazioni scritte, ai sensi dell’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea, la LDH, i governi belga, ceco, danese, tedesco, estone, irlandese, spagnolo, francese, cipriota, lettone, dei Paesi Bassi, austriaco, polacco, finlandese, nonché il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea. In conformità all’articolo 24 dello Statuto della Corte di giustizia dell’Unione europea, la Commissione, il Garante europeo della protezione dei dati (GEPD) e l’Agenzia dell’Unione europea per i diritti fondamentali (FRA) sono stati invitati a rispondere per iscritto a taluni quesiti posti dalla Corte. Il 13 luglio 2021 si è svolta un’udienza di discussione.
III. Analisi
A. Sulla prima questione pregiudiziale
39. Con la sua prima questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se l’articolo 2, paragrafo 2, lettera d), del RGPD debba essere interpretato nel senso che tale regolamento, e segnatamente il suo articolo 23, paragrafo 1, ai sensi del quale il diritto dell’Unione o i diritti degli Stati membri possono limitare, mediante misure legislative, per ragioni elencate in maniera tassativa, la portata degli obblighi e dei diritti previsti da detto regolamento, si applica al trattamento di dati effettuato sul fondamento di una normativa nazionale, come la legge PNR, che traspone in diritto interno la direttiva PNR nonché la direttiva API e la direttiva 2010/65.
40. L’articolo 2, paragrafo 2, del RGPD prevede talune eccezioni all’ambito di applicazione di tale regolamento quale definito, in maniera molto ampia (17), al suo articolo 2, paragrafo 1 (18). In quanto deroghe all’applicazione di una normativa che disciplina il trattamento di dati personali idoneo ad arrecare pregiudizio alle libertà fondamentali, tali eccezioni devono essere interpretate restrittivamente (19).
41. L’articolo 2, paragrafo 2, lettera d), del RGPD contiene, segnatamente, una clausola di esclusione ai sensi della quale tale regolamento non si applica al trattamento di dati personali effettuato «dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse». Tale clausola di esclusione si fonda su un duplice criterio soggettivo ed oggettivo. È escluso, in tal senso, dall’ambito di applicazione di detto regolamento il trattamento di dati effettuato, in primo luogo, dalle «autorità competenti», e, in secondo luogo, ai fini elencati in tale disposizione. Occorre analizzare, pertanto, i diversi tipi di trattamento di dati coperti dalla legge PNR alla luce di questo duplice criterio.
42. Per quanto riguarda, in primo luogo, il trattamento di dati effettuato dai vettori (aerei, ferroviari, terrestri e marittimi) all’UIP o dagli operatori di viaggio a fini di prestazione di servizi o commerciali, nei limiti previsti da detta legge, essi restano disciplinati dal RGPD, dal momento che non ricorrono né la componente soggettiva né la componente oggettiva del criterio di esclusione contenuto all’articolo 2, paragrafo 2, lettera d), di tale regolamento.
43. Per quanto riguarda, in secondo luogo, il trasferimento dei dati PNR all’UIP da parte dei vettori o degli operatori di viaggio, il quale costituisce, di per sé, un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD (20), la sua inclusione nell’ambito di applicazione di tale regolamento è meno evidente.
44. Infatti, da un lato, tale trasferimento non viene effettuato da un’«autorità competente» ai sensi dell’articolo 3, punto 7), della direttiva polizia, al quale occorre fare riferimento per analogia, in assenza di una definizione di tale nozione da parte del RGPD (21). Un operatore economico, come una compagnia di trasporto o un’agenzia di viaggi, al quale incombe unicamente un obbligo legale di trasferimento di dati personali e al quale non è stata conferita alcuna prerogativa tipica dei pubblici poteri (22), non può essere considerato un organismo o un ente ai sensi di detto articolo 3, punto 7, lettera b) (23).
45. Dall’altro, il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio viene effettuato per eseguire un obbligo imposto dalla legge al fine di consentire il perseguimento dei fini elencati dall’articolo 2, paragrafo 2, lettera d), del RGPD.
46. Orbene, a mio avviso, dal dettato di tale disposizione emerge chiaramente che solo i trattamenti che soddisfano, al contempo, la componente soggettiva e la componente oggettiva del criterio di esclusione da essa enunciato si collocano al di fuori dell’ambito di applicazione del RGPD. Il trasferimento dei dati PNR all’UIP imposto dalla legge PNR alle compagnie di trasporto e agli operatori di viaggio rientra pertanto nell’ambito di applicazione di tale regolamento.
47. Per quanto riguarda le disposizioni della legge PNR che traspongono la direttiva PNR, tale conclusione è corroborata dall’articolo 21, paragrafo 2, di tale direttiva, il quale prevede che quest’ultima «fa salva l’applicabilità della direttiva 95/46/CE (24) al trattamento dei dati personali da parte dei vettori aerei». La lettura di tale disposizione suggerita, segnatamente, dal governo francese, secondo la quale quest’ultima si limiterebbe a prevedere che i vettori restino soggetti agli obblighi fissati dal RGPD per i trattamenti di dati che non sono previsti dalla direttiva PNR, deve, a mio avviso, essere respinta. Infatti, alla luce del suo testo, la portata di tale «clausola di non pregiudizio» è ampia e viene definita unicamente facendo riferimento all’autore del trattamento, mentre non vengono menzionati affatto né la finalità del trattamento né il contesto nel quale quest’ultimo interviene, se esso venga effettuato nell’esercizio dell’attività commerciale del vettore aereo o in esecuzione di un obbligo di legge. Osservo, inoltre, che una clausola dello stesso tenore è contenuta all’articolo 13, paragrafo 3, della direttiva PNR, il quale fa riferimento in particolare agli obblighi incombenti ai vettori aerei in forza del RGPD «relativi all’adozione di adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza dei dati personali». Orbene, tale disposizione figura fra quelle che organizzano la protezione dei dati personali trattati a titolo della direttiva PNR e segue l’articolo 13, paragrafo 1, di tale direttiva il quale, in via generale, assoggetta tutti i trattamenti di dati effettuati in applicazione della stessa alle disposizioni della decisione quadro 2008/977 ivi menzionate. Contrariamente a quanto sostenuto dal governo francese, una siffatta struttura normativa consente, da un lato, di leggere il paragrafo 3 di detto articolo 13 come una clausola che riconduce sotto l’egida del RGPD il solo trattamento di dati previsto dalla direttiva PNR che non è effettuato da «autorità competenti» ai sensi della direttiva polizia e, dall’altro, di intendere il riferimento al rispetto degli obblighi imposti da detto regolamento in materia di sicurezza e riservatezza dei dati come un richiamo alle garanzie che devono obbligatoriamente proteggere il trasferimento dei dati PNR da parte dei vettori alle UIP.
48. La conclusione enunciata al paragrafo 46 delle presenti conclusioni non viene rimessa in discussione dal considerando 19 del RGPD né dal considerando 11 della direttiva polizia, ai quali fanno riferimento, tra l’altro, i governi tedesco, irlandese e francese per sostenere la natura di lex specialis della direttiva PNR. A tal riguardo, vero è che tale direttiva instaura, per il trattamento di dati personali da essa previsto, un contesto di protezione di tali dati autonomo rispetto al RGPD. Tuttavia, detto contesto specifico si applica unicamente al trattamento dei dati PNR effettuato dalle «autorità competenti» ai sensi dell’articolo 3, punto 7, della direttiva polizia, fra le quali figurano segnatamente le UIP, mentre il trasferimento dei dati PNR alle UIP resta soggetto al quadro generale istituito dal RGPD in applicazione, tra l’altro, della «clausola di non pregiudizio» prevista all’articolo 21, paragrafo 2, della direttiva PNR.
49. A sostegno della loro tesi, secondo la quale il RGPD non si applicherebbe al trasferimento dei dati PNR alle UIP da parte dei vettori e degli operatori di viaggio, i governi belga, irlandese, francese e cipriota rinviano alla sentenza del 30 maggio 2006, Parlamento/Consiglio e Commissione (25), nella quale la Corte ha dichiarato che il trasferimento dei dati PNR da parte dei vettori aerei comunitari alle autorità degli Stati Uniti d’America, nell’ambito di un accordo negoziato fra questi ultimi e la Comunità europea, costituiva un trattamento di dati personali ai sensi dell’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 (26) e non rientrava pertanto nell’ambito di applicazione di tale direttiva. Per giungere a tale conclusione, la Corte ha tenuto conto della finalità del trasferimento, nonché del fatto che quest’ultimo «rientra[va] in un ambito istituito dai poteri pubblici», benché i dati fossero raccolti e trasferiti da operatori privati (27).
50. A tal riguardo, è sufficiente rilevare che, nella sentenza del 6 ottobre 2020, La Quadrature du Net e a. (28), la Corte ha giudicato, in sostanza, che la sentenza Parlamento/Consiglio non era trasponibile nel contesto del RGPD (29).
51. Peraltro, al punto 102 della sentenza La Quadrature du Net (30), procedendo ad un’applicazione analogica del ragionamento seguito nelle sentenze Tele2 Sverige e del 2 ottobre 2018, Ministerio Fiscal (31), la Corte ha affermato che, «sebbene [il RGPD] precisi, all’articolo 2, paragrafo 2, lettera d), che esso non si applica ai trattamenti effettuati “dalle autorità competenti” a fini, in particolare, di prevenzione ed accertamento dei reati, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, dall’articolo 23, paragrafo 1, lettere d) e h), del medesimo regolamento risulta che i trattamenti di dati personali effettuati a questi stessi fini da soggetti privati rientrano nel suo ambito di applicazione» (32).
52. Per le suesposte ragioni, sono persuaso del fatto che la conclusione secondo la quale il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio alle UIP rientri nell’ambito di applicazione del RGPD emerge già chiaramente dal dettato dell’articolo 2, paragrafo 2, lettera d), del RGPD, il quale richiama unicamente il trattamento effettuato da «autorità competenti», senza che sia necessario fare riferimento alla clausola di limitazione contenuta all’articolo 23, paragrafo 1, di detto regolamento (33). Cionondimeno, l’affermazione contenuta al punto 102 della sentenza La Quadrature du Net costituisce una presa di posizione chiara della Corte a favore di una siffatta conclusione.
53. Poiché il trasferimento dei dati PNR da parte delle compagnie di trasporto e degli operatori di viaggio ricade nell’ambito di applicazione del RGPD, una normativa nazionale, come la legge PNR, che obbliga tali compagnie e tali operatori ad operare un siffatto trasferimento, costituisce una «misura legislativa» ai sensi dell’articolo 23, punto 1, lettera d), del RGPD e deve soddisfare, pertanto, le condizioni previste da tale disposizione (34).
54. Per quanto riguarda, in terzo luogo, i trattamenti dei dati PNR effettuati dall’UIP e dalle autorità nazionali competenti, l’applicabilità del RGPD dipende, come risulta dalle considerazioni che precedono, dalle finalità che tali trattamenti perseguono.
55. In tal senso, in primo luogo, i trattamenti di dati PNR effettuati dall’UIP e dalle autorità nazionali competenti per le finalità elencate all’articolo 8, § 1, punti da 1 a 3 e 5, della legge PNR (35), sono esclusi dall’ambito di applicazione del RGPD nella misura in cui, come sembra essere il caso, dette finalità possano essere annoverate fra quelle coperte dalla clausola di esclusione di cui all’articolo 2, paragrafo 2, lettera d), del RGPD. La protezione dei dati degli interessati da tali trattamenti ricade nell’ambito di applicazione del diritto nazionale, fatta salva l’applicazione della direttiva polizia (36) e, nell’ambito del suo campo di applicazione, della direttiva PNR.
56. Lo stesso vale, in secondo luogo, per il trattamento dei dati PNR effettuato dall’UIP e dai servizi segreti e di sicurezza nell’ambito della vigilanza sulle attività di cui alle disposizioni della legge organica che disciplina i servizi segreti e di sicurezza elencate all’articolo 8, § 1, punto 4, della legge PNR, nella misura in cui risponda alle finalità enunciate all’articolo 2, paragrafo 2, lettera d), del RGPD, circostanza che incombe al giudice del rinvio valutare.
57. Il governo belga sostiene che il trattamento effettuato ai sensi dell’articolo 8, § 1, punto 4, della legge PNR ricadrebbe in tutti i casi sotto la clausola di esclusione di cui all’articolo 2, paragrafo 2, lettera a), del RGPD, nonché di quella di cui all’articolo 2, paragrafo 3, lettera a), della direttiva polizia, dal momento che le attività dei servizi segreti e di sicurezza non rientrerebbero nell’ambito di applicazione del diritto dell’Unione.
58. A tal riguardo, mentre sottolineo che la Corte non è investita di una questione vertente sull’interpretazione di tali disposizioni, rilevo anzitutto che la Corte ha già affermato che una normativa nazionale, la quale impone obblighi di trattamento ad operatori privati, rientra nell’ambito di applicazione delle disposizioni del diritto dell’Unione in materia di protezione dei dati personali, anche qualora essa abbia ad oggetto la protezione della sicurezza nazionale (37). Ne consegue che il trasferimento dei dati PNR imposto dalla legge PNR ai vettori e agli operatori di viaggio rientra, in linea di principio, nell’ambito di applicazione del RGPD persino qualora esso venga effettuato ai fini dell’articolo 8, § 1, punto 4, di tale legge.
59. Rilevo poi che, benché il considerando 16 del RGPD enunci che quest’ultimo non si applica alle «attività riguardanti la sicurezza nazionale» e il considerando 14 della direttiva polizia precisi che «le attività concernenti la sicurezza nazionale, le attività delle agenzie o unità che si occupano di questioni connesse alla sicurezza nazionale (…) non dovrebbero essere considerate attività rientranti nell’ambito di applicazione [di tale] direttiva», i criteri sulla base dei quali un trattamento di dati personali effettuato da un’autorità, un’unità o un’agenzia pubblici di uno Stato membro ricade nell’ambito di applicazione dell’uno o dell’altro atto del diritto dell’Unione che organizza la protezione degli interessati nei confronti di siffatto trattamento, oppure si colloca al di fuori dell’ambito di applicazione di tale diritto, rispondono ad una logica connessa sia alle funzioni attribuite a tale autorità, a tale unità o a tale agenzia sia alle finalità di detto trattamento. In tal senso, la Corte ha dichiarato che l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce del considerando 16 di tale regolamento, «deve essere inteso come avente l’unico obiettivo di escludere dall’ambito di applicazione di detto regolamento i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che può essere ascritta alla medesima categoria, di modo che il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente affinché tale eccezione sia automaticamente applicabile a una siffatta attività» (38). La Corte ha parimenti precisato che «le attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui all’articolo 2, paragrafo 2, lettera a), del RGPD comprendono, in particolare, (…) quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società» (39). Ne consegue che, nel caso in cui uno Stato membro affidasse ai propri servizi segreti e di sicurezza compiti negli ambiti elencati all’articolo 3, punto 7, lettera a), della direttiva polizia, il trattamento di dati effettuato da tali servizi ai fini dell’assolvimento di detti compiti ricadrebbe nell’ambito di applicazione di tale direttiva nonché, se del caso, della direttiva PNR. Più in generale, rilevo che la Corte ha dichiarato in più occasioni, nell’ambito dell’interpretazione dell’articolo 4, paragrafo 2, TUE, sul quale si fonda, tra l’altro, il governo belga, che la mera circostanza che una misura nazionale sia stata adottata a fini di salvaguardia della sicurezza nazionale non può comportare l’inapplicabilità del diritto dell’Unione e dispensare gli Stati membri dal necessario rispetto di tale diritto (40), mostrandosi dunque reticente ad un’esclusione automatica e in blocco dall’ambito di applicazione del diritto dell’Unione delle attività degli Stati membri connesse alla salvaguardia della sicurezza nazionale.
60. In terzo luogo, in conformità al parere di tutti gli interessati che hanno presentato osservazioni, ad eccezione del governo francese, si deve ritenere che il trattamento dei dati PNR effettuato dalle competenti autorità belghe per le finalità enunciate all’articolo 8, § 2, della legge PNR, ossia «il rafforzamento dei controlli sulle persone alle frontiere esterne e [il contrasto] all’immigrazione irregolare» (41) non rientri nell’ambito della clausola di esclusione contenuta all’articolo 2, paragrafo 2, lettera d), del RGPD, né di nessun’altra causa di esclusione prevista a tale articolo e ricada, pertanto, nell’ambito di applicazione del citato regolamento. Contrariamente a quanto sostenuto dal governo francese, detto trattamento non può essere disciplinato dalla direttiva PNR, il cui articolo 1, paragrafo 2, stabilisce che «[i] dati PNR raccolti a norma della presente direttiva possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi» né, in linea di principio, dalla direttiva polizia la quale, in conformità al suo articolo 1, paragrafo 1, si applica unicamente al trattamento di dati personali da parte delle autorità competenti «a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica». Come emerge dalla decisione di rinvio, l’articolo 8, § 2, della legge PNR e il capo 11 di tale legge, che contiene le disposizioni che disciplinano il trattamento dei dati PNR ai fini del rafforzamento dei controlli di frontiera e della lotta contro l’immigrazione irregolare, e che prevede a tal fine il trasferimento di tali dati dall’UIP, segnatamente, ai servizi di polizia incaricati dei controlli di frontiera, sono intesi a recepire in diritto belga la direttiva API e la direttiva 2010/65. Orbene, queste due direttive impongono alle autorità competenti, per i trattamenti da esse previsti, il rispetto delle disposizioni della direttiva 95/46 (42). Contrariamente a quanto sostenuto dal governo francese, il rinvio alle norme di tutela di tale direttiva deve essere inteso nel senso che esso copre tutti i trattamenti di dati personali effettuati sulla base della direttiva API e della direttiva 2010/65. Il fatto che la direttiva API sia anteriore all’entrata in vigore della decisione quadro 2008/977 è irrilevante al riguardo poiché tale decisione quadro, nonché la direttiva polizia che l’ha sostituita, riguardano unicamente il trattamento di dati personali di cui all’articolo 3, paragrafo 1, della direttiva API, effettuato dalle autorità competenti per finalità repressive in applicazione della legge (43).
61. Sulla base dell’insieme delle considerazioni che precedono, propongo alla Corte di rispondere alla prima questione pregiudiziale dichiarando che l’articolo 23 del RGPD, in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di tale regolamento, deve essere interpretato nel senso che:
– esso si applica ad una normativa nazionale che traspone la direttiva PNR nei limiti in cui tale normativa disciplina il trattamento dei dati PNR effettuato dai vettori e da altri operatori economici, incluso il trasferimento di dati PNR alle UIP, previsto all’articolo 8 di detta direttiva;
– esso non si applica ad una normativa nazionale che traspone la direttiva PNR nei limiti in cui essa disciplina il trattamento di dati effettuato per le finalità previste all’articolo 1, paragrafo 2, di tale direttiva da parte delle competenti autorità nazionali, incluse le UIP e, se del caso, i servizi segreti e di sicurezza dello Stato membro interessato;
– esso si applica ad una normativa nazionale che traspone la direttiva API e la direttiva 2010/65 al fine di migliorare i controlli delle persone alle frontiere esterne e al fine di combattere l’immigrazione irregolare.
B. Sulle questioni pregiudiziali seconda, terza, quarta, sesta e ottava
62. Con le sue questioni pregiudiziali seconda, terza, quarta e sesta, la Cour constitutionnelle (Corte costituzionale) interpella la Corte in merito alla validità della direttiva PNR alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta. L’ottava questione pregiudiziale, benché redatta come una questione di interpretazione, è anch’essa intesa, in sostanza, ad ottenere dalla Corte una pronuncia sulla validità di tale direttiva.
63. Tali questioni vertono sui diversi elementi del sistema di trattamento dei dati PNR istituito dalla direttiva PNR e richiedono, con riferimento a ciascuno di tali elementi, una valutazione del rispetto delle condizioni alle quali è soggetta la legittimità delle limitazioni apportate all’esercizio dei diritti fondamentali enunciati agli articoli 7 e 8 della Carta. Così, la seconda e la terza questione pregiudiziale riguardano il catalogo dei dati PNR figuranti all’allegato I, la quarta verte sulla definizione della nozione di «passeggero» di cui all’articolo 3, punto 4), della direttiva PNR, la sesta attiene all’utilizzazione dei dati PNR ai fini della valutazione preliminare a norma dell’articolo 6 di tale direttiva e l’ottava riguarda il periodo di conservazione dei dati previsto all’articolo 12, paragrafo 1, di detta direttiva.
1. Sui diritti fondamentali enunciati dagli articoli 7 e 8 della Carta
64. L’articolo 7 della Carta garantisce ad ogni persona il diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Quanto all’articolo 8, paragrafo 1, della Carta, esso riconosce esplicitamente ad ogni persona il diritto alla protezione dei dati di carattere personale che la riguardano. Secondo una giurisprudenza costante tali diritti, i quali si riferiscono a qualsiasi informazione riguardante una persona fisica identificata o identificabile, sono strettamente connessi, poiché l’accesso a dati personali di una persona fisica ai fini della loro conservazione o del loro utilizzo incide sul diritto di tale persona al rispetto della vita privata (44).
65. I diritti sanciti agli articoli 7 e 8 della Carta non appaiono tuttavia come prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (45). L’articolo 8, paragrafo 2, della Carta autorizza in tal senso il trattamento dei dati personali qualora siano soddisfatte determinate condizioni. Tale disposizione prevede che i dati personali debbano essere trattati «secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».
66. Eventuali limitazioni apportate al diritto alla protezione dei dati personali, nonché al diritto alla vita privata, devono inoltre rispettare le prescrizioni dell’articolo 52, paragrafo 1, della Carta. Così, siffatte limitazioni devono essere previste dalla legge, rispettare il contenuto essenziale di detti diritti e, nel rispetto del principio di proporzionalità, essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
67. La valutazione di una misura che limita detti diritti deve tenere conto allo stesso modo dell’importanza dei diritti sanciti agli articoli 3, 4, 6 e 7 della Carta e di quella degli obiettivi di salvaguardia della sicurezza nazionale e di lotta contro le forme gravi di criminalità, contribuendo alla protezione dei diritti e delle libertà altrui (46). A tal riguardo, l’articolo 6 della Carta sancisce il diritto di ogni persona non solo alla libertà ma anche alla sicurezza (47).
68. Inoltre, l’articolo 52, paragrafo 3, della Carta è inteso ad assicurare la necessaria coerenza tra i diritti contenuti in quest’ultima e i corrispondenti diritti garantiti dalla CEDU, di cui occorre tenere conto in quanto livello minimo di protezione (48). Il diritto al rispetto della vita privata e familiare, sancito all’articolo 7 della Carta, corrisponde a quello garantito all’articolo 8 della CEDU e deve quindi essergli riconosciuto lo stesso significato e la stessa portata (49). Dalla giurisprudenza della Corte europea dei diritti dell’uomo (in prosieguo: la «Corte EDU») risulta che un’ingerenza nei diritti garantiti a tale articolo può essere giustificata con riferimento al paragrafo 2 di detto articolo soltanto se sia prevista dalla legge, persegua uno o più degli obiettivi legittimi elencati in tale paragrafo e sia necessaria, in una società democratica, al conseguimento di tale/i obiettivo/i (50). La misura deve essere inoltre compatibile con la preminenza del diritto, espressamente menzionata nel preambolo della CEDU e inerente all’oggetto e all’obiettivo dell’articolo 8 della stessa (51).
69. È alla luce di tali principi che occorre esaminare le questioni vertenti sulla validità sollevate dalla Cour constitutionnelle (Corte costituzionale).
2. Sull’ingerenza nei diritti fondamentali enunciati dagli articoli 7 e 8 della Carta
70. La Corte ha già dichiarato che disposizioni che impongono o consentono la comunicazione di dati personali di persone fisiche ad un terzo, quale un’autorità pubblica, devono essere qualificate, in assenza del consenso delle stesse persone fisiche e a prescindere dal successivo utilizzo dei dati in questione, come ingerenze nella loro vita privata e, pertanto, come una limitazione del diritto fondamentale garantito all’articolo 7 della Carta, fatta salva la loro eventuale giustificazione (52). Ciò vale persino in mancanza di circostanze che permettano di qualificare tale ingerenza come «grave» e senza che rilevi il fatto che le informazioni relative alla vita privata siano o meno delicate, o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a detta ingerenza (53). L’accesso delle autorità pubbliche a siffatte informazioni costituisce parallelamente un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito all’articolo 8 della Carta, poiché costituisce un trattamento di dati personali (54). Analogamente, costituisce di per sé un’ingerenza nei diritti garantiti agli articoli 7 e 8 della Carta la conservazione, per un certo periodo, dei dati relativi alla vita privata di una persona (55).
71. La Corte ha parimenti già dichiarato che i dati PNR, come quelli elencati all’allegato I, comprendono informazioni su persone fisiche identificate, ossia i passeggeri aerei interessati, e che pertanto i diversi trattamenti di cui tali dati possono essere oggetto incidono sul diritto fondamentale al rispetto della vita privata, garantito all’articolo 7 della Carta. Tali trattamenti rientrano anche nell’articolo 8 della Carta e devono, di conseguenza, necessariamente soddisfare gli obblighi di protezione dei dati previsti a tale articolo (56).
72. Pertanto, il trattamento dei dati PNR consentito dalla direttiva PNR e, segnatamente, nei limiti in cui ciò sia rilevante ai fini della presente causa, il trasferimento di tali dati da parte dei vettori aerei alle UIP, la loro utilizzazione da parte di tali unità, il loro ulteriore trasferimento verso le competenti autorità nazionali ai sensi dell’articolo 7 di tale direttiva, nonché la loro conservazione costituiscono altrettante ingerenze nei diritti fondamentali garantiti agli articoli 7 e 8 della Carta.
73. Quanto alla gravità di tali ingerenze occorre rilevare, in primo luogo, che la direttiva PNR prevede il trasferimento sistematico e continuato alle UIP dei dati PNR di tutti i passeggeri aerei, come definito all’articolo 3, punto 4, di tale direttiva, che si imbarcano su un volo «extra-UE» ai sensi dell’articolo 3, punto 2, della stessa. Un siffatto trasferimento implica un accesso generale da parte delle UIP a tutti i dati PNR comunicati (57). Tale constatazione non viene rimessa in discussione, contrariamente a quanto fatto valere da alcuni Stati membri nel presente procedimento, dalla circostanza che, poiché tali dati sono soggetti ad un trattamento automatizzato, le UIP avranno concretamente accesso soltanto ai dati la cui analisi abbia prodotto un risultato positivo. Infatti, da un lato, una simile circostanza non ha impedito alla Corte, ad oggi, di affermare, nell’ambito di sistemi simili di trattamento automatizzato di dati personali raccolti o conservati «in blocco», il carattere generale dell’accesso delle autorità pubbliche interessate a siffatti dati. Dall’altro, la mera messa a disposizione delle autorità pubbliche di dati personali, ai fini del loro trattamento e della loro conservazione da parte di tali autorità, comporta un accesso a priori generale e completo delle stesse a tali dati e un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali.
74. In secondo luogo, in conformità all’articolo 2, paragrafo 1, della direttiva PNR, gli Stati membri possono decidere di applicare quest’ultima ai voli «intra‑UE» ai sensi dell’articolo 3, punto 3, della stessa. A tal riguardo rilevo, da un lato, che la direttiva PNR non si limita a prevedere la facoltà per gli Stati membri di estendere la sua applicazione ai voli intra-UE, bensì determina parimenti le condizioni tanto formali quanto materiali che disciplinano l’esercizio di tale facoltà (58) e precisa che, qualora essa venga esercitata soltanto per voli intra‑UE selezionati, la scelta di tali voli deve essere operata tenendo conto degli obiettivi perseguiti da detta direttiva (59). Dall’altro, la direttiva PNR stabilisce le conseguenze dell’esercizio di una siffatta facoltà, prevedendo, al suo articolo 2, paragrafo 2, che, qualora uno Stato membro decida di applicare tale direttiva ai voli intra-UE, tutte le disposizioni della stessa «si applicano ai voli intra-UE come se fossero voli extra-UE e ai dati PNR riguardanti voli intra-UE come se fossero dati PNR riguardanti voli extra-UE».
75. In tali circostanze, contrariamente a quanto fatto valere da un certo numero di governi che hanno presentato osservazioni nel presente procedimento, sono del parere che, nonostante l’applicazione della direttiva PNR ai voli intra-UE dipenda dalla scelta degli Stati membri, il fondamento giuridico delle ingerenze nei diritti al rispetto della vita privata e alla protezione dei dati personali connesse al trasferimento, al trattamento e alla conservazione dei dati PNR relativi a tali voli è costituito, quando viene effettuata una siffatta scelta, dalla direttiva PNR.
76. Orbene, ad eccezione del Regno di Danimarca, che non è soggetto a tale direttiva (60), pressoché tutti gli Stati membri applicano il regime istituito dalla stessa ai voli «intra-UE» (61). Ne consegue che tale regime si applica a tutti i voli che entrano ed escono dall’Unione, nonché a pressoché tutti i voli effettuati all’interno dell’Unione.
77. In terzo luogo, per quanto riguarda i dati PNR da trasferire, l’allegato I elenca 19 rubriche, riguardanti dati biografici (62), i dettagli del viaggio aereo (63) e altri dati raccolti nel contesto del contratto di trasporto aereo, come il recapito telefonico, l’indirizzo di posta elettronica, le modalità di pagamento, l’agenzia o l’agente di viaggio, le informazioni relative al bagaglio nonché osservazioni generali (64). Orbene, come rilevato dalla Corte al punto 128 del parere 1/15, in sede di pronuncia sulle rubriche figuranti all’allegato al progetto di accordo tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione PNR (in prosieguo: il «progetto di accordo PNR Canada-UE»), formulate in maniera ampiamente simile a quelle dell’allegato I, «anche se taluni dati PNR, considerati isolatamente, non sembrano poter rivelare informazioni importanti sulla vita privata degli interessati, tuttavia, considerati complessivamente, detti dati possono, tra l’altro, rivelare un itinerario di viaggio completo, abitudini di viaggio, relazioni esistenti tra due o più persone nonché informazioni sulla situazione finanziaria dei passeggeri aerei, sulle loro abitudini alimentari o sul loro stato di salute, e potrebbero persino fornire informazioni sensibili su tali passeggeri».
78. In quarto luogo, ai sensi dell’articolo 6 della direttiva PNR, i dati trasferiti dai vettori aerei sono destinati ad essere sottoposti ad un esame automatizzato da parte delle UIP, e ciò in maniera sistematica, vale a dire indipendentemente dalla questione se esista il minimo indizio che gli interessati rischino di essere coinvolti in reati di terrorismo o in reati gravi. Più specificamente, nell’ambito della valutazione preliminare dei passeggeri prevista all’articolo 6, paragrafo 2, lettera a), di tale direttiva e in conformità al paragrafo 3 di tale articolo, detti dati possono essere verificati tramite controlli incrociati con banche dati «pertinenti» (articolo 6, paragrafo 3, lettera a) e trattati sulla base di criteri prestabiliti (articolo 6, paragrafo 3, lettera b). Orbene, il primo tipo di trattamento può fornire informazioni supplementari sulla vita privata degli interessati (65) e, a seconda delle banche dati utilizzate per i controlli incrociati, può persino consentire di tracciare un profilo preciso di tali persone. In siffatte circostanze, l’obiezione mossa da diversi governi, secondo la quale la direttiva PNR consentirebbe l’accesso soltanto ad un insieme di dati personali relativamente limitato, non riflette in maniera adeguata la portata potenziale delle ingerenze nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta che tale direttiva comporta, nell’ottica della portata dei dati ai quali essa può consentire l’accesso. Per quanto riguarda il secondo tipo di trattamento di dati, previsto all’articolo 6, paragrafo 3, lettera b), della direttiva PNR, ricordo che, ai punti 169 e 172 del parere 1/15, la Corte ha sottolineato che è inerente ad ogni tipo di analisi fondata su criteri prestabiliti presentare un certo tasso d’errore, e segnatamente un certo numero di risultati «erroneamente positivi». Secondo le cifre contenute nel documento di lavoro dei servizi della Commissione (66) (in prosieguo: il «documento di lavoro del 2020»), allegato alla relazione della Commissione del 2020, il numero di casi di riscontri positivi risultati erronei a seguito del riesame individuale previsto all’articolo 6, paragrafo 5, della direttiva PNR è piuttosto consistente ed era pari, nel corso degli anni 2018 e 2019, ad almeno cinque su sei persone identificate (67).
79. In quinto luogo, in conformità all’articolo 12, paragrafo 1, della direttiva PNR, i dati PNR vengono conservati in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo. La direttiva PNR permette pertanto di disporre di informazioni sulla vita privata dei passeggeri aerei per una durata particolarmente lunga (68). Inoltre, poiché il trasferimento dei dati PNR riguarda la quasi totalità dei voli effettuati in partenza e all’ingresso nell’Unione, nonché all’interno della stessa, e l’aereo è divenuto un mezzo di trasporto piuttosto abituale, una parte significativa dei passeggeri aerei potrebbe vedere conservati i propri dati personali in maniera praticamente permanente, per il solo fatto che essi si spostano in aereo almeno due volte ogni cinque anni.
80. Infine, su un piano più generale, la direttiva PNR prevede misure che, considerate globalmente, sono intese ad attuare a livello dell’Unione un sistema di sorveglianza «indiscriminata», ossia non attivata in funzione di un sospetto gravante su una o più persone specifiche, «massiccia», nella misura in cui essa viene esercitata sui dati personali di un numero elevato di individui (69), che copre una stessa categoria di persone nel suo complesso (70), e «proattiva», nella misura in cui essa mira non solo ad indagare su minacce note, ma anche a trovare o ad individuare pericoli finora sconosciuti (71). Siffatte misure danno luogo, per loro stessa natura, ad ingerenze gravi nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta (72), connesse segnatamente alla loro finalità preventiva e predittiva, la quale richiede la valutazione di dati personali relativi ad ampi segmenti della popolazione, ai fini dell’«identificazione» delle persone in relazione alle quali, in funzione dei risultati di tale valutazione, è opportuno che le autorità competenti procedano a ulteriori verifiche (73). Peraltro, il ricorso sempre più diffuso, a fini di prevenzione di taluni reati gravi, al trattamento di grandi quantità di dati personali di diversa natura raccolti «alla rinfusa», nonché il loro collegamento e il loro trattamento combinato, comportano un «effetto cumulativo» che amplifica la gravità delle restrizioni ai diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali e rischia di favorire un processo di graduale slittamento verso una «società di sorveglianza» (74).
81. Sulla base dell’insieme delle considerazioni che precedono, ritengo che l’ingerenza nei diritti fondamentali protetti dagli articoli 7 e 8 della Carta che la direttiva PNR comporta debba essere quantomeno qualificata come «grave».
82. È vero, come sostenuto in particolare dalla Commissione, che tutte le garanzie e le salvaguardie previste dalla direttiva PNR, segnatamente al fine di evitare un’utilizzazione abusiva dei dati PNR, sono idonee a ridurre l’intensità o la gravità di tali ingerenze. Ciò non toglie che ogni regime che prevede l’accesso e il trattamento di dati personali da parte di autorità pubbliche presenta un livello di gravità, nell’ottica della protezione dei diritti fondamentali colpiti, che è inerente alle sue caratteristiche oggettive. Tale livello di gravità deve, a mio avviso, essere determinato prima di procedere, nell’ambito della valutazione della proporzionalità di dette ingerenze, alla valutazione del carattere sufficiente ed adeguato delle garanzie che tale regime prevede. È così che la Corte ha proceduto, mi sembra, fino ad oggi.
83. Per essere compatibili con la Carta, le ingerenze che la direttiva PNR comporta nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali devono soddisfare le condizioni enunciate ai paragrafi 65 e 66 delle presenti conclusioni; ciò verrà esaminato nel prosieguo, nei limiti degli aspetti che sono stati sottoposti all’attenzione della Corte da parte del giudice del rinvio.
3. Sulla giustificazione dell’ingerenza risultante dalla direttiva PNR
84. Mentre la terza questione pregiudiziale verte sul rispetto della condizione di cui all’articolo 52, paragrafo 1, prima frase, della Carta, secondo la quale tutte le ingerenze in un diritto fondamentale devono essere «previste dalla legge», la seconda, la quarta, la sesta e l’ottava questione pregiudiziale interpellano la Corte segnatamente sul rispetto del principio di proporzionalità, contemplato alla seconda frase di tale disposizione.
a) Sul rispetto del requisito secondo il quale eventuali limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta devono essere previste dalla legge
85. Secondo una consolidata giurisprudenza della Corte (75), la quale si ispira alla giurisprudenza della Corte EDU (76), il requisito secondo cui eventuali limitazioni nell’esercizio dei diritti fondamentali devono essere «previste dalla legge» non riguarda unicamente l’origine «legale» dell’ingerenza – la quale non è contestata nella presente causa – bensì implica anche che la base giuridica che consente tale ingerenza deve definire essa stessa, in maniera chiara e precisa, la portata di quest’ultima. Questo secondo aspetto, che concerne la «qualità della legge» e, dunque, l’accessibilità e la prevedibilità della misura in questione (77), è racchiuso nell’espressione «previste dalla legge» ai sensi sia dell’articolo 52, paragrafo 1, della Carta, sia dell’articolo 8, paragrafo 2, della stessa e dell’articolo 8 della CEDU, non è inteso unicamente ad assicurare il rispetto del principio di legalità e una protezione adeguata contro l’arbitrio (78), ma risponde parimenti ad un’esigenza imperativa di certezza del diritto. Tale requisito è affermato parimenti nel parere del 19 agosto 2016 del comitato consultivo della convenzione 108 (79) sulle implicazioni in materia di protezione di dati del trattamento dei dati passeggeri (in prosieguo: il «parere del 19 agosto 2016») (80).
86. Adottando la direttiva PNR, il legislatore dell’Unione ha proceduto esso stesso a limitare i diritti sanciti agli articoli 7 e 8 della Carta. Le ingerenze che tale direttiva consente in detti diritti non possono dunque essere considerate una conseguenza della scelta degli Stati membri (81), malgrado il potere discrezionale di cui questi ultimi abbiano potuto beneficiare al momento della sua trasposizione nel diritto nazionale, ma trovano il loro fondamento giuridico nella direttiva PNR stessa. In tali circostanze, incombeva al legislatore dell’Unione, al fine di conformarsi alla giurisprudenza richiamata al paragrafo 85 delle presenti conclusioni, nonché alle «norme elevate» di protezione dei diritti fondamentali contenute segnatamente nella Carta e nella CEDU alle quali fa riferimento il considerando 15 della direttiva PNR, formulare regole chiare e precise che definissero tanto la portata quanto l’applicazione delle misure che comportano siffatte ingerenze.
87. Mentre, con la sua terza questione pregiudiziale, il giudice del rinvio si interroga specificamente in merito al rispetto di tale obbligo con riferimento ai punti 12 e 18 dell’allegato I, l’esame della seconda, della quarta e della sesta questione pregiudiziale, con le quali tale giudice solleva dubbi in merito al carattere necessario delle ingerenze nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta che la direttiva PNR comporta, richiederà parimenti una presa di posizione sul carattere sufficientemente chiaro e preciso delle disposizioni della direttiva PNR controverse.
88. Benché tale analisi sia relativa, come ho illustrato al paragrafo 85 delle presenti conclusioni, alla legalità dell’ingerenza, ai sensi dell’articolo 52, paragrafo 1, prima frase, della Carta, procederò alla medesima nell’ambito dell’esame della sua proporzionalità, contemplato alla seconda frase di tale paragrafo, in conformità all’approccio seguito sia dalla Corte sia dalla Corte EDU nelle cause che vertono su misure aventi ad oggetto il trattamento dei dati personali (82).
b) Sul rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta
89. In conformità all’articolo 52, paragrafo 1, prima frase, della Carta, eventuali restrizioni all’esercizio dei diritti fondamentali devono non solo essere basate su un fondamento giuridico sufficientemente preciso, ma devono parimenti rispettare il contenuto essenziale di tali diritti.
90. Come ho illustrato al paragrafo 66 delle presenti conclusioni, tale requisito – che si ritrova incorporato nelle costituzioni di diversi Stati membri (83) e che, pur non essendo riconosciuto espressamente dalla CEDU, è cionondimeno ben radicato nella giurisprudenza della Corte EDU (84) – si trova sancito all’articolo 52, paragrafo 1, della Carta (85). Riconosciuto dalla Corte ben prima della sua codificazione (86), un siffatto requisito è stato costantemente ribadito nella giurisprudenza dei giudici dell’Unione, anche dopo l’entrata in vigore del trattato di Lisbona.
91. Risulta segnatamente dalla sentenza del 6 ottobre 2015, Schrems (87), che l’inosservanza del contenuto essenziale di un diritto fondamentale da parte di un atto dell’Unione comporta in maniera automatica la nullità o l’invalidità dello stesso, senza che sia necessario procedere ad un bilanciamento degli interessi coinvolti. La Corte riconosce pertanto che ogni diritto fondamentale presenta un «nocciolo duro», che garantisce ad ognuno una sfera di libertà al riparo da qualsivoglia ingerenza da parte dei pubblici poteri e che non può subire limitazioni (88), salvo rimettere in discussione i principi democratico, dello Stato di diritto e del rispetto della dignità umana sottesi alla protezione dei diritti fondamentali. Sia dal testo dell’articolo 52, paragrafo 1, della Carta sia dalla giurisprudenza della Corte e, segnatamente, dalla sentenza Schrems I, risulta inoltre che la valutazione avente ad oggetto l’esistenza di un’ingerenza nel contenuto essenziale del diritto fondamentale in questione deve essere effettuata prima della, e a prescindere dalla, valutazione della proporzionalità della misura contestata. Si tratta, in altri termini, di un testo dotato di una propria autonomia.
92. Ciò premesso, stabilire ciò che costituisce il «contenuto essenziale» e, pertanto, intangibile di un diritto fondamentale che può essere limitato nel suo esercizio è un’operazione estremamente complessa. Se, per adempiere alla sua funzione, tale nozione dovrebbe essere definita in termini assoluti, alla luce delle caratteristiche essenziali del diritto fondamentale in questione, degli interessi soggettivi e oggettivi che esso è inteso a proteggere e, più in generale, della sua funzione in una società democratica fondata sul rispetto della dignità umana (89), nella prassi una simile operazione risulta pressoché impossibile, perlomeno senza tenere conto di criteri che vengono solitamente impiegati nell’esame della proporzionalità dell’ingerenza nel diritto in questione, come la gravità di tale ingerenza, la sua portata o la sua dimensione temporale e, pertanto, senza tenere conto delle peculiarità di ciascun caso di specie.
93. Per quanto riguarda segnatamente il diritto fondamentale al rispetto della vita privata, si deve tenere conto non solo dell’importanza rivestita, per la salute mentale e fisica di ogni individuo, il suo benessere, la sua autonomia, la sua realizzazione personale, la sua capacità di costruire e coltivare rapporti sociali, dal fatto di disporre di una sfera privata nella quale sviluppare la propria interiorità personale, ma anche del ruolo svolto da tale diritto al fine di preservare altri diritti e libertà quali, segnatamente, le libertà di pensiero, coscienza, religione, espressione e informazione, il cui pieno godimento presuppone il riconoscimento di una sfera di intimità. Più in generale, occorre tenere conto della funzione svolta in una società democratica dal rispetto del diritto alla vita privata (90). La Corte sembra valutare l’esistenza di un pregiudizio al contenuto essenziale di tale diritto considerando tanto l’intensità quanto la portata dell’ingerenza, il che induce a ritenere che un siffatto pregiudizio sia definito piuttosto sotto il profilo quantitativo che sotto quello qualitativo. In tal senso, da un lato, nella sentenza Digital Rights, la Corte ha giudicato, in sostanza, che l’obbligo di conservazione dei dati imposto dalla direttiva 2006/24/CE (91) non raggiungeva un livello di gravità tale da pregiudicare il contenuto essenziale del diritto al rispetto della vita privata, poiché essa non consentiva di «venire a conoscenza del contenuto delle comunicazioni elettroniche in quanto tale» (92). Dall’altro, nel parere 1/15, la Corte ha sancito, in sostanza, che una limitazione circoscritta ad alcuni aspetti soltanto della vita privata delle persone interessate non poteva dar luogo ad un’ingerenza nel contenuto essenziale di tale diritto fondamentale (93).
94. Quanto al diritto fondamentale alla protezione dei dati personali, la Corte sembra ritenere che il contenuto essenziale di tale diritto venga preservato allorché la misura che stabilisce l’ingerenza circoscrive le finalità del trattamento e prevede norme che garantiscano la sicurezza dei dati interessati, segnatamente contro la distruzione accidentale o illecita, la perdita o l’alterazione accidentale (94).
95. Nella presente causa, pur se il giudice del rinvio non ha menzionato in maniera esplicita il requisito del rispetto del contenuto essenziale dei diritti enunciati agli articoli 7 e 8 della Carta, la questione del rispetto di tale requisito è, a mio avviso, sottesa alla quarta e alla sesta questione pregiudiziale. È per questo motivo che suggerisco alla Corte di affrontarla.
96. A tal riguardo, ricordo che, al punto 150 del parere 1/15, mentre ha riconosciuto che i dati PNR «possono, eventualmente, rivelare informazioni molto precise sulla vita privata di una persona» (95) e che tali informazioni possono svelare, direttamente o indirettamente, dati delicati dell’interessato (96), la Corte ha cionondimeno concluso, per quanto riguarda il progetto di accordo PNR Canada‑UE, che, poiché la «natura di tali informazioni [era] limitata ad alcuni aspetti di tale vita privata, relativi in particolare ai viaggi aerei tra il Canada e l’Unione», la violazione del diritto fondamentale al rispetto della vita privata non era tale da pregiudicare il contenuto essenziale di detto diritto.
97. Orbene, se si esclude il fatto che i dati PNR di cui al progetto di accordo PNR Canada-UE dovevano essere trasferiti verso uno Stato terzo e che il loro trattamento ulteriore doveva essere effettuato dalle autorità di siffatto Stato terzo nel proprio territorio, le ingerenze nel diritto fondamentale al rispetto della vita privata risultanti da detto progetto di accordo e quelle previste dalla direttiva PNR sono, per quanto riguarda la loro natura, ampiamente coincidenti. Ciò vale, segnatamente, per i dati PNR interessati, per il carattere sistematico e generalizzato del trasferimento e del trattamento di tali dati, per la natura automatizzata dello stesso, nonché per la conservazione di detti dati. Per contro, ciò che distingue le due cause è, per così dire, la «copertura geografica» di tali ingerenze. Infatti, come ho illustrato al paragrafo 77 delle presenti conclusioni, i trattamenti dei dati di cui alla presente causa non sono limitati ai collegamenti aerei con un solo paese terzo, come nel caso del parere 1/15, ma riguardano pressoché tutti i voli in entrata e in uscita dall’Unione ed effettuati all’interno della stessa. Ne consegue che, rispetto al progetto di accordo PNR Canada-UE, la direttiva PNR impone il trattamento sistematico di un numero significativamente più elevato di passeggeri aerei, che si spostano con l’aereo all’interno e all’esterno dell’Unione. Inoltre, considerato l’aumento del volume dei dati trattati, nonché la frequenza con la quale essi sono raccolti, il loro trattamento è verosimilmente idoneo a fornire informazioni al contempo più precise e più ampie sulla vita privata degli interessati (abitudini di viaggio, rapporti personali, situazioni finanziarie, ecc.).
98. Ciò non toglie che, come nel caso del parere 1/15, tali informazioni, considerate isolatamente, vertono soltanto su taluni aspetti della vita privata, connessi ai viaggi aerei. Orbene, alla luce della necessità di definire la nozione di «contenuto essenziale» dei diritti fondamentali in maniera restrittiva, affinché essa conservi la sua funzione di bastione contro gli attacchi alla sostanza stessa di tali diritti, ritengo che la conclusione alla quale la Corte è giunta al punto 150 del parere 1/15 possa essere trasposta alla presente causa.
99. Nel parere 1/15, la Corte ha inoltre escluso un pregiudizio al contenuto essenziale del diritto alla protezione dei dati personali (97). Tale conclusione è parimenti trasponibile, a mio avviso, alle circostanze della presente causa. Infatti, come nel caso del progetto di accordo PNR Canada-UE, la direttiva PNR circoscrive, al suo articolo 1, paragrafo 2, le finalità del trattamento dei dati PNR. Peraltro tale direttiva, nonché gli altri atti dell’Unione ai quali essa rinvia, segnatamente il RGPD e la direttiva polizia, contengono disposizioni specifiche destinate a garantire, in particolare, la sicurezza, la riservatezza e l’integrità di tali dati, nonché a proteggerli contro gli accessi e i trattamenti illeciti. Pur se non si può ritenere che una normativa come quella prevista dalla direttiva PNR interessi il contenuto essenziale dei diritti fondamentali protetti dagli articoli 7 e 8 della Carta, ciò non toglie che essa debba essere sottoposta ad un controllo stretto e rigoroso della sua proporzionalità.
c) Sul rispetto del requisito secondo il quale l’ingerenza deve rispondere ad un obiettivo di interesse generale
100. La direttiva PNR mira, segnatamente, ad assicurare la sicurezza interna dell’Unione e a proteggere la vita e la sicurezza delle persone mediante un trasferimento dei dati PNR alle autorità competenti degli Stati membri ai fini della loro utilizzazione nell’ambito della lotta contro il terrorismo e i reati gravi (98).
101. Più specificamente, dall’articolo 1, paragrafo 2, della direttiva PNR, in combinato disposto con i suoi considerando 6 e 7, nonché dalla proposta della Commissione sfociata nell’adozione di tale direttiva (in prosieguo: la «proposta di direttiva PNR») (99), risulta che, nell’ambito di un siffatto obiettivo, i dati PNR vengono utilizzati dalle autorità di contrasto (100) in diversi modi. In primo luogo, tali dati vengono utilizzati al fine di individuare persone coinvolte o sospettate di essere coinvolte in reati terroristici e in reati gravi già commessi, di raccogliere prove nonché, se del caso, di trovare i complici di criminali e di smantellare reti criminali (uso effettuato «reattivamente»). In secondo luogo, i dati PNR possono essere valutati prima dell’arrivo o della partenza dei passeggeri al fine di prevenire la commissione di un crimine e di identificare persone mai sospettate di reati di terrorismo o di reati gravi in precedenza e in relazione alle quali è opportuno, sulla base del risultato di tale valutazione, che le autorità di contrasto procedano a ulteriori verifiche (utilizzazione in modalità «reale»). Infine, i dati PNR vengono utilizzati allo scopo di definire criteri di valutazione che possono essere successivamente applicati nell’apprezzamento del rischio rappresentato dai passeggeri prima del loro arrivo e prima della loro partenza (uso effettuato «proattivamente»»). Una siffatta utilizzazione proattiva dei dati PNR dovrebbe permettere alle autorità di contrasto di far fronte alla minaccia di reati di terrorismo e reati gravi da una prospettiva diversa rispetto a quanto consentito dal trattamento di altre categorie di dati personali (101).
102. Dalla giurisprudenza della Corte risulta che l’obiettivo di salvaguardia della sicurezza pubblica, che copre segnatamente la prevenzione, la ricerca, l’accertamento e il perseguimento sia di reati terroristici sia di reati penali rientranti nelle forme gravi di criminalità, costituisce un obiettivo di interesse generale dell’Unione, ai sensi dell’articolo 52, paragrafo 1, della Carta, idoneo a giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta (102).
103. La Corte ha parimenti riconosciuto che gli obiettivi di salvaguardia della sicurezza pubblica e di lotta contro la criminalità grave contribuiscono alla protezione dei diritti e delle libertà altrui (103). Pertanto, nell’ambito della ponderazione equilibrata fra tali obiettivi e i diritti fondamentali sanciti agli articoli 7 e 8 della Carta (104), occorre tenere parimenti conto dell’importanza dei diritti sanciti agli articoli 3, 4, 6 e 7 della Carta. A tal riguardo, benché, nella sentenza La Quadrature du Net, la Corte abbia giudicato che l’articolo 6 della Carta «non può essere interpretato nel senso che impone ai poteri pubblici un obbligo di adottare misure specifiche al fine di reprimere determinati reati» (105), per contro, per quanto riguarda, in particolare, la lotta effettiva contro i reati di cui sono vittime, in particolare, i minori e le altre persone vulnerabili, essa ha sottolineato che obblighi positivi a carico dei pubblici poteri possono risultare sia dall’articolo 7 della Carta, ai fini dell’adozione di misure giuridiche dirette a tutelare la vita privata e familiare, sia dagli articoli 3 e 4 della stessa, relativamente alla tutela dell’integrità fisica e psichica delle persone e al divieto di tortura e di trattamenti inumani e degradanti (106).
104. Infine, la Corte ha dichiarato che l’importanza dell’obiettivo di salvaguardia della sicurezza nazionale supera quella degli obiettivi di lotta alla criminalità in generale, anche grave, e di salvaguardia della sicurezza pubblica, e che tale obiettivo è pertanto idoneo a giustificare misure che comportino ingerenze nei diritti fondamentali più gravi di quelle che potrebbero giustificare tali altri obiettivi (107). Poiché le attività terroristiche sono idonee a costituire minacce alla sicurezza nazionale degli Stati membri, il sistema attuato dalla direttiva PNR, nella misura in cui funge da strumento di lotta contro siffatte attività, contribuisce all’obiettivo di salvaguardia della sicurezza nazionale degli Stati membri.
d) Sul rispetto del principio di proporzionalità
105. Ai sensi dell’articolo 52, paragrafo 1, seconda frase, della Carta, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni all’esercizio di un diritto fondamentale riconosciuto dalla Carta solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
106. A questo proposito, si deve ricordare che il principio di proporzionalità esige, secondo una costante giurisprudenza della Corte, che gli atti delle istituzioni dell’Unione siano idonei a realizzare gli obiettivi legittimi perseguiti dalla normativa di cui trattasi e non superino i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi (108).
107. In conformità alla giurisprudenza costante della Corte, la tutela del diritto fondamentale al rispetto della vita privata a livello dell’Unione esige che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario. Inoltre, un obiettivo di interesse generale non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura, effettuando un contemperamento equilibrato tra, da un lato, l’obiettivo di interesse generale e, dall’altro, i diritti di cui trattasi (109). Più in particolare, la proporzionalità di una limitazione dei diritti sanciti agli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell’ingerenza che una restrizione siffatta comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (110).
108. Dalla giurisprudenza della Corte risulta che, per soddisfare il requisito di proporzionalità, la direttiva PNR, in quanto fondamento giuridico che comporta ingerenze nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta descritte ai paragrafi da 70 a 83 delle presenti conclusioni, deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione delle misure che comportano siffatte ingerenze e imporre obblighi minimi, in modo che le persone i cui dati sono stati trasferiti dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati personali contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati (111). La necessità di disporre di siffatte garanzie è tanto più importante allorché, come nella fattispecie, i dati personali sono soggetti a trattamento automatizzato e quando è in gioco la protezione di quella categoria particolare di dati personali che sono i dati delicati (112).
109. Per quanto riguarda la portata del controllo giurisdizionale del rispetto degli obblighi risultanti dal principio di proporzionalità, tenuto conto del ruolo importante svolto dalla protezione dei dati personali sotto il profilo del diritto fondamentale al rispetto della vita privata e dell’ingerenza in tale suddetto diritto che la direttiva PNR comporta, il potere discrezionale del legislatore dell’Unione risulta ridotto, cosicché tale controllo deve essere rigoroso (113).
1) Sull’idoneità dei trattamenti dei dati PNR di cui alla direttiva PNR sotto il profilo dell’obiettivo perseguito
110. Al punto 153 del parere 1/15 la Corte ha affermato, in relazione al progetto di accordo PNR Canada-UE, che il trasferimento dei dati PNR verso il Canada e i trattamenti ulteriori degli stessi possono essere considerati idonei a garantire la realizzazione dell’obiettivo relativo alla protezione della sicurezza e dell’incolumità pubbliche. Tale idoneità, riconosciuta da tempo sia a livello dell’Unione che a livello mondiale (114), non mi sembra che possa essere messa in discussione con riferimento alla raccolta e al trattamento ulteriore dei dati PNR per quanto riguarda sia i voli extra-UE sia i voli intra-UE (115).
111. Ciò premesso, l’efficacia del sistema di trattamento dei dati PNR istituito dalla direttiva può essere apprezzato solo in concreto, valutando i risultati della sua applicazione (116). In tale ottica, è essenziale che una siffatta efficacia sia oggetto di una valutazione continua sulla base di dati statistici quanto più precisi e attendibili possibile (117). A tal riguardo, la Commissione dovrebbe, a scadenze regolari, procedere ad un riesame analogo a quello già previsto all’articolo 19 della direttiva PNR.
2) Sul carattere strettamente necessario dell’ingerenza
112. Benché la Cour constitutionnelle (Corte costituzionale) non abbia sollevato esplicitamente dubbi sul fatto che la direttiva PNR contenga norme chiare, precise e limitate allo stretto necessario per quanto riguarda la delimitazione delle finalità del trattamento dei dati PNR (118), l’analisi della proporzionalità del sistema previsto da tale direttiva, sollecitata dal giudice del rinvio, non può omettere, a mio avviso, l’esame di tale questione (119).
i) Sulla delimitazione delle finalità del trattamento dei dati PNR
113. Una delimitazione chiara delle finalità per le quali l’accesso a dati personali da parte delle autorità competenti, nonché il loro uso ulteriore da parte delle stesse, sono permessi costituisce un requisito essenziale di ogni sistema di trattamento di dati, in particolare nelle attività di contrasto. Il soddisfacimento di tale requisito è peraltro necessario al fine di consentire alla Corte di valutare la proporzionalità delle misure in questione, applicando il test di gravità dell’ingerenza rispetto all’importanza dell’obiettivo perseguito, istituito nella sua giurisprudenza (120).
114. La Corte ha sottolineato l’importanza di una chiara delimitazione delle finalità delle misure che comportano limitazioni dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali segnatamente nella sentenza Digital Rights, nella quale essa ha dichiarato invalida la direttiva 2006/24. Al punto 60 di tale sentenza, la Corte ha osservato che siffatta direttiva non prevedeva «alcun criterio oggettivo che permetta di delimitare l’accesso delle autorità nazionali competenti ai dati e il loro uso ulteriore a fini di prevenzione, di accertamento o di indagini penali riguardanti reati che possano, con riguardo alla portata e alla gravità dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, essere considerati sufficientemente gravi da giustificare siffatta ingerenza», e che essa si limitava, al contrario, «a rinviare, all’articolo 1, paragrafo 1, in maniera generale ai reati gravi come definiti da ciascuno Stato membro nel proprio diritto interno».
115. L’articolo 1, paragrafo 2, della direttiva PNR enuncia un criterio generale di limitazione delle finalità secondo il quale «[i] dati PNR raccolti a norma della presente direttiva possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi». Tuttavia, diversamente dalla direttiva 2006/24, la direttiva PNR non si limita ad una siffatta enunciazione ma definisce essa stessa, al suo articolo 3, punti 8 e 9, tanto la nozione di «reati di terrorismo» quanto quella di «reati gravi», la prima tramite un rinvio agli articoli da 1 a 4 della decisione quadro 2002/475/GAI del Consiglio, del 13 giugno 2002, sulla lotta contro il terrorismo (GU 2002, L 164, pag. 3) (sostituita dalla direttiva (UE) 2017/541) (121), la seconda, da un lato, elencando, all’allegato II, le categorie di reati penali rientranti in tale nozione e, dall’altro, fissando una soglia di gravità in termini di durata massima della pena detentiva o della misura di sicurezza con cui tali reati siano punibili.
116. Benché il rinvio alle disposizioni rilevanti della direttiva 2017/541 consenta di caratterizzare in maniera sufficientemente chiara e precisa gli atti che possono essere qualificati come reati di terrorismo ai sensi dell’articolo 3, punto 8, della direttiva PNR, e di valutarne la gravità ai fini della ponderazione dell’importanza dell’obiettivo di salvaguardia della sicurezza pubblica perseguito da tale direttiva e della gravità dell’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta che essa comporta, la stessa conclusione non si impone con un’evidenza analoga nel caso di tutti i reati elencati all’allegato II.
117. Al punto 177 del parere 1/15, la Corte ha riconosciuto che il progetto di accordo PNR Canada-UE definiva con chiarezza e precisione il grado di gravità dei reati contemplati dalla nozione di «reati gravi di natura transnazionale», imponendo che tali reati siano «punibili con una pena privativa della libertà non inferiore nel massimo a quattro anni o con una pena più severa», rinviando «ai reati definiti dal diritto canadese» ed enunciando «le diverse ipotesi nelle quali un reato è ritenuto di natura transnazionale».
118. Rispetto alla normativa esaminata dalla Corte in tale parere, la direttiva PNR, in primo luogo, non tiene conto, nella definizione dei reati contemplati, del loro carattere transnazionale; in secondo luogo, prevede un catalogo tassativo di reati che, per loro natura, sono considerati rientranti nei reati gravi, a condizione di raggiungere il minimo di pena massima previsto all’articolo 3, punto 9, di tale direttiva; e, in terzo luogo, abbassa, in linea di principio, la soglia di gravità, adottando un criterio fondato sul livello della pena massima e fissando tale soglia a tre anni.
119. Per quanto riguarda, in primo luogo, l’assenza di un criterio di limitazione fondato sul carattere transnazionale, è ben vero che circoscrivere l’ambito di applicazione ratione materiae della direttiva PNR ai soli reati «transfrontalieri» gravi avrebbe consentito di focalizzarsi su reati idonei, per loro natura, a presentare, quantomeno potenzialmente, un legame oggettivo con i viaggi aerei e, di conseguenza, con le categorie di dati raccolti e trattati in applicazione della direttiva PNR (122). Tuttavia condivido, in linea di principio, il punto di vista espresso dalla Commissione secondo il quale, diversamente che nel contesto di un accordo internazionale, la rilevanza e la necessità di un siffatto criterio è meno evidente nel caso di uno strumento di lotta contro la criminalità il cui obiettivo consista nel proteggere la sicurezza interna dell’Unione. Peraltro, sempre come affermato dalla Commissione, l’assenza di elementi transfrontalieri non è di per sé un indizio che consenta di escludere la gravità di un reato.
120. Per quanto riguarda, in secondo luogo, il criterio che fissa la soglia di gravità dei reati previsti – il quale, al fine di consentire una valutazione ex ante di tale gravità, deve essere interpretato nel senso che esso si riferisce alla durata massima della pena detentiva o della misura di sicurezza prevista dalla legge e non a quella che può essere concretamente irrogata in un caso particolare – tale criterio, pur fondandosi sul minimo di pena massima e non sul minimo di pena minima, non è di per sé inadatto ad individuare un livello sufficiente di gravità idoneo a giustificare l’ingerenza nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, causata dai trattamenti di dati previsti dalla direttiva PNR. Esso deve tuttavia essere interpretato, a mio avviso, come un criterio che individua un livello di gravità «minimo». In tal senso un siffatto criterio, benché vieti agli Stati membri di considerare «reati gravi» i reati di cui all’allegato II per i quali il loro diritto penale nazionale preveda una pena detentiva o una misura di sicurezza di durata massima inferiore a tre anni, non li obbliga, per contro, a riconoscere automaticamente una siffatta qualificazione a tutti i reati idonei ad essere inclusi in detto allegato II i quali siano punibili con una pena che raggiunge la soglia prevista all’articolo 3, punto 9, della direttiva PNR qualora, alla luce delle specificità del loro sistema penale, un siffatto riconoscimento darebbe luogo ad un ricorso al regime previsto dalla direttiva PNR a fini di prevenzione, accertamento, indagine e azione penale nei confronti di reati comuni, contrario alle finalità perseguite da tale direttiva.
121. Per quanto riguarda, in terzo luogo, il catalogo dell’allegato II, occorre rilevare, anzitutto, che la circostanza che la direttiva PNR elenchi tassativamente i reati che rientrano nella definizione di «reati gravi» costituisce una garanzia formale e sostanziale fondamentale, al fine di garantire la legalità del sistema istituito dalla direttiva PNR e la certezza del diritto dei passeggeri. È giocoforza constatare, tuttavia, che detto catalogo include sia reati che, per loro natura, rivestono un livello di gravità pacificamente elevato – quali, ad esempio, la tratta di esseri umani, lo sfruttamento sessuale di minori e la pedopornografia, il traffico illecito di armi o di materiali nucleari o radioattivi, il dirottamento di aeromobili/navi, i reati che rientrano nella competenza giurisdizionale della Corte penale internazionale, l’omicidio volontario, lo stupro, il rapimento, il sequestro e la presa di ostaggi (123) – sia reati in relazione ai quali un siffatto livello di gravità risulta meno evidente come, ad esempio, la frode, la contraffazione e pirateria di prodotti, la falsificazione di atti amministrativi e il traffico di documenti falsi, nonché il traffico di autoveicoli rubati (124). Peraltro, fra i reati inclusi nell’allegato II, alcuni sono maggiormente idonei rispetto ad altri a rivestire, per la loro stessa natura, un carattere transnazionale, come la tratta di esseri umani, il traffico illecito di stupefacenti o di armi, lo sfruttamento sessuale di minori, il favoreggiamento dell’ingresso e del soggiorno illegali, il dirottamento di aeromobili, e di presentare così un collegamento con il trasporto aereo di passeggeri.
122. Quanto al carattere sufficientemente chiaro e preciso delle rubriche figuranti all’allegato II, anche in tal caso il livello è estremamente variabile. Così, benché l’elenco contenuto in tale allegato debba essere considerato tassativo, molte delle sue rubriche hanno carattere «aperto» (125), mentre altre rinviano a nozioni generiche, idonee ad includere un numero estremamente ampio di reati di diversa gravità, benché sempre nel limite della soglia massima prevista all’articolo 3, punto 9, della direttiva PNR (126).
123. A tal riguardo rilevo, da un lato, che le direttive di armonizzazione adottate nei settori di cui all’articolo 83, paragrafo 1, TFUE, menzionate alla nota 123 delle presenti conclusioni, forniscono elementi rilevanti che consentono di individuare quantomeno alcuni dei reati penali gravi che possono rientrare nelle corrispondenti rubriche dell’allegato II. In tal senso, in particolare, la direttiva 2013/40 definisce, ai suoi articoli da 3 a 8, diversi reati penali rientranti nella nozione di «criminalità informatica» di cui al punto 9 di tale allegato II, premurandosi, in ciascun caso, di escludere gli atti che costituiscono «casi (…) di minore gravità» (127). Analogamente, la direttiva 2019/713 definisce talune tipologie di reati di frode, e la direttiva 2017/1371 definisce gli elementi costitutivi di una «frode che lede gli interessi finanziari dell’Unione». In tale contesto, occorre parimenti menzionare la direttiva 2008/99/CE, adottata sulla base dell’articolo 175, paragrafo 1, CE, sulla tutela penale dell’ambiente (128), la quale definisce, al suo articolo 3, una serie di infrazioni ambientali gravi, idonee ad essere incluse nella rubrica 10 dell’allegato II, compresi gli atti qualificabili come «traffico illecito di specie animali protette e [come] traffico illecito di specie e di essenze vegetali protette», escludendo ogni condotta che abbia un impatto trascurabile sul bene protetto. Ricorderò, infine, la direttiva 2002/90/CE (129), la quale definisce il favoreggiamento dell’ingresso, del transito e del soggiorno illegali, nonché la decisione quadro 2002/946/GAI (130), diretta a rafforzare il quadro penale per la repressione di tali reati, la decisione quadro 2003/568/GAI (131), la quale definisce i reati penali qualificati come «corruzione attiva e passiva nel settore privato», e la decisione quadro 2008/841/GAI (132), la quale definisce i reati relativi alla partecipazione ad un’organizzazione criminale.
124. Dall’altro lato, rilevo, come osservato correttamente dalla Commissione, che, in assenza di un’armonizzazione completa del diritto penale sostanziale, al legislatore dell’Unione non può essere addebitato di non avere specificato ulteriormente i reati di cui all’allegato II. Così, a differenza di quanto verrà osservato nel prosieguo delle presenti conclusioni in relazione all’elenco dei dati PNR contenuto all’allegato I, la trasposizione in diritto interno del catalogo di reati dell’allegato II esige necessariamente dagli Stati membri che essi definiscano, in funzione delle specificità dei loro sistemi penali nazionali, i reati che possono essere contemplati. Tale operazione deve tuttavia essere effettuata nel pieno rispetto del criterio secondo il quale qualsiasi ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta deve essere limitata allo stretto necessario. In tal senso, per esempio, non è escluso, a mio avviso, che gli Stati membri prevedano che l’utilizzazione dei dati PNR sia limitata, per taluni reati come, ad esempio, quelli previsti ai punti 7, 16, 17, 18, 25 dell’allegato II, ai casi in cui tali reati rivestano carattere transfrontaliero, oppure siano commessi nell’ambito di un’organizzazione criminale, o comportino determinate circostanze aggravanti. Incomberà ai giudici degli Stati membri, sotto il controllo della Corte, interpretare le disposizioni nazionali che traspongono detto catalogo in diritto interno in maniera conforme sia alla direttiva PNR sia alla Carta, affinché il trattamento dei dati PNR resti limitato, per ciascuna rubrica, ai reati che raggiungono il livello di gravità elevato richiesto da tale direttiva, nonché ai reati per i quali un siffatto trattamento risulta pertinente (133).
125. Fatte salve le precisazioni apportate ai paragrafi 120 e 124 delle presenti conclusioni, ritengo che l’articolo 3, punto 9, della direttiva PNR, nonché il catalogo di reati contenuto al suo allegato II, soddisfino i requisiti di chiarezza e precisione e non eccedano i limiti dello stretto necessario.
126. È giocoforza riconoscere, tuttavia, che la soluzione illustrata al paragrafo 124 delle presenti conclusioni non soddisfa pienamente. Infatti, da un lato, essa lascia un ampio potere discrezionale agli Stati membri, cosicché l’ambito di applicazione ratione materiae del trattamento dei dati PNR può variare sensibilmente da uno Stato membro all’altro, compromettendo in tal modo l’obiettivo di armonizzazione perseguito dal legislatore dell’Unione (134). Dall’altro, essa implica che il controllo di proporzionalità su un elemento essenziale del sistema, come la limitazione delle finalità di tale trattamento, venga esercitato ex post sulle misure nazionali di trasposizione, piuttosto che ex ante sulla direttiva PNR stessa. Sarebbe pertanto auspicabile che, nel caso in cui la Corte decidesse, come le suggerisco di fare, di considerare l’articolo 3, punto 9, della direttiva PNR nonché il catalogo di reati contenuto al suo allegato II conformi agli articoli 7, 8 e all’articolo 52, paragrafo 1, della Carta, essa attiri l’attenzione del legislatore dell’Unione sul fatto che una siffatta valutazione è soltanto provvisoria e implica da parte di tale legislatore che esso verifichi, alla luce della trasposizione di tale disposizione e di tale catalogo fatta dagli Stati membri, nonché sulla base delle statistiche di cui all’articolo 20 della direttiva PNR, la necessità di: i) specificare ulteriormente, restringendone la portata, le categorie di reati previste da detto catalogo; ii) rimuovere dal medesimo i reati per i quali il trattamento dei dati PNR risulti o sproporzionato o irrilevante o inefficace; iii) innalzare la soglia di gravità dei reati di cui all’articolo 3, punto 9, della direttiva PNR (135). A tal riguardo, rilevo che, benché l’articolo 19, paragrafo 2, lettera b), della direttiva PNR imponga alla Commissione di procedere al riesame di tutti gli elementi di tale direttiva, prestando particolare attenzione «alla necessità e alla proporzionalità della raccolta e del trattamento dei dati PNR per ciascuna delle finalità di cui [a tale] direttiva», né la relazione della Commissione del 2020 né il documento di lavoro del 2020 che l’accompagna contengono, a mio avviso, un esame soddisfacente sul punto.
ii) Sulle categorie di dati PNR contemplate dalla direttiva PNR (seconda e terza questione pregiudiziale)
127. La direttiva PNR prevede il trasferimento alle UIP di 19 categorie di dati PNR raccolti dai vettori aerei ai fini della prenotazione di voli. Tali categorie, elencate nell’allegato I, corrispondono a quelle che risultano nei sistemi di prenotazione delle compagnie aeree e a quelle elencate all’allegato I degli orientamenti sui dati del codice di prenotazione adottate dall’Organizzazione internazionale dell’aviazione civile (OACI) nel 2010 (136) (in prosieguo: gli «orientamenti dell’OACI»).
128. Con la sua seconda questione pregiudiziale, il giudice del rinvio si interroga sulla validità dell’allegato I alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta, tenuto conto, da un lato, dell’ampiezza dei dati personali elencati a tale allegato – e segnatamente dei dati API di cui al punto 18 dello stesso, nella misura in cui eccedono i dati elencati all’articolo 3, paragrafo 2, della direttiva API – e, dall’altro, della possibilità che tali dati, considerati complessivamente, rivelino dati delicati e violino così i limiti dello «stretto necessario». Con la sua terza questione pregiudiziale – la quale verte, come ho già avuto occasione di sottolineare, sul rispetto della prima delle tre condizioni di cui all’articolo 52, paragrafo 1, della Carta, secondo la quale eventuali ingerenze in un diritto fondamentale devono essere «previste dalla legge» – la Cour constitutionnelle (Corte costituzionale) interpella per contro la Corte in merito alla validità dei punti 12 e 18 dell’allegato I, tenuto conto segnatamente del loro carattere «aperto».
129. Poiché l’esame da effettuare nell’ambito della seconda questione pregiudiziale presuppone quello sul carattere sufficientemente chiaro e preciso delle categorie di dati personali di cui all’allegato I, esaminerò per prima la terza questione pregiudiziale.
– Sul carattere sufficientemente chiaro e preciso dei punti 12 e 18 dell’allegato I (terza questione pregiudiziale)
130. Occorre rilevare, in via preliminare, che la portata e la gravità dell’ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta che comporta una misura che introduce limitazioni all’esercizio di tali diritti dipende, anzitutto, dalla portata e dalla natura dei dati personali che costituiscono l’oggetto del trattamento. L’individuazione di tali dati costituisce dunque un’operazione essenziale, alla quale ogni fondamento giuridico che introduca una siffatta misura deve obbligatoriamente procedere nel modo più chiaro e preciso possibile.
131. Tale requisito è stato riconosciuto, con riferimento al trattamento dei dati PNR, dal parere 1/15. Pronunciandosi in relazione alle rubriche figuranti all’allegato del progetto di accordo PNR Canada-UE contenente l’elenco dei dati PNR contemplati dall’accordo previsto, la Corte ha segnatamente giudicato, in tale parere, che il ricorso a categorie generali di informazioni che non determinano a sufficienza la portata dei dati da trasferire, nonché il ricorso ad elenchi esemplificativi di dati che non fissano alcun limite riguardo alla natura e alla portata delle informazioni che possono figurare nella rubrica interessata non soddisfacevano i requisiti di chiarezza e precisione.
132. È alla luce di tali principi che occorre esaminare la terza questione pregiudiziale.
133. Per quanto riguarda il punto 12 dell’allegato I, esso così recita:
«Osservazioni generali (comprese tutte le informazioni disponibili sui minori non accompagnati di età inferiore a 18 anni, quali nome e sesso del minore, età, lingua o lingue parlate, nome e recapito dell’accompagnatore alla partenza e relazione con il minore, nome e recapito dell’accompagnatore all’arrivo e relazione con il minore, agente alla partenza e all’arrivo)».
134. Per quanto riguarda le «osservazioni generali», tale punto costituisce, al pari della rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE, una rubrica detta «testo libero», volta a includere tutte le informazioni raccolte dai vettori aerei nell’ambito della loro attività di prestazione di servizi, oltre a quelle espressamente elencate agli altri punti dell’allegato I. Orbene, è giocoforza constatare, come fatto dalla Corte al punto 160 del parere 1/15, che una rubrica di questo tipo «non fornisce alcuna indicazione sulla natura e sulla portata delle informazioni che devono essere trasmesse, e sembra persino che possa includere informazioni prive di qualsiasi connessione con la finalità del trasferimento dei dati PNR». Inoltre, dal momento che la precisazione fra parentesi figurante nel testo del punto 12 dell’allegato I, concernente le informazioni sui minori non accompagnati, è fornita soltanto a titolo esemplificativo, come testimoniato dall’uso del termine «comprese», tale punto non fissa alcun limite riguardo alla natura e alla portata delle informazioni che possono figurarvi (137).
135. In tali circostanze, non si può ritenere che il punto 12 dell’allegato I sia delimitato con sufficiente chiarezza e precisione.
136. Mentre la Commissione e il Parlamento sembrano condividere tale conclusione, gli Stati membri che hanno presentato osservazioni sulla terza questione pregiudiziale, nonché il Consiglio, vi si oppongono, e ciò sulla base di argomentazioni ampiamente coincidenti.
137. In primo luogo, una prima serie di argomenti è intesa, in generale, a mettere in discussione la possibilità di trasporre alla presente causa le conclusioni alle quali la Corte è pervenuta nel parere 1/15.
138. A tal riguardo, pur essendo consapevole della differenza di contesto che caratterizza le due cause, mi limiterò ad osservare in questa sede che la conclusione alla quale la Corte è giunta, al punto 160 del parere 1/15, in relazione alla rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE era fondata su un’interpretazione esclusivamente semantica e strutturale di tale rubrica. Orbene, una siffatta interpretazione è perfettamente trasponibile al punto 12 dell’allegato I il cui testo è, per la parte non esemplificativa, identico a quello di detta rubrica e presenta una struttura analoga. Peraltro, come si vedrà più in dettaglio nel prosieguo, le due regole in questione si inseriscono nel medesimo contesto normativo multilaterale, costituito segnatamente dagli orientamenti dell’OACI, peraltro richiamati espressamente dalla Corte al punto 156 del parere 1/15. In tali circostanze, non solo nulla osta a che si segua, per il punto 12 dell’allegato I, la stessa interpretazione adottata dalla Corte al punto 160 del parere 1/15 per la rubrica 17 dell’allegato al progetto di accordo PNR Canada-UE, ma soprattutto nulla giustifica che ci si discosti dalla medesima.
139. In secondo luogo, un numero elevato di Stati membri sottolinea che i diversi punti dell’allegato I, incluso il punto 12, corrispondono alle rubriche dell’allegato I agli orientamenti dell’OACI, ben noti ai vettori aerei e ai quali essi sono perfettamente in grado di attribuire un contenuto preciso. Tale punto 12 corrisponderebbe segnatamente alle ultime due rubriche di detto allegato, intitolate rispettivamente «Osservazioni generali» e «Testo libero/campi codice in OSI [Other Supplementary Information], SSR [Special Service Request], SSI [Special Service Information], osservazioni/cronistoria» e aventi ad oggetto «informazioni supplementari» o «relative a servizi richiesti» (138).
140. A tal riguardo, osservo anzitutto che la corrispondenza fra le rubriche dell’allegato I al progetto di accordo PNR Canada-UE, da un lato, e le rubriche dell’allegato I agli orientamenti dell’OACI, dall’altro, non ha impedito alla Corte di dichiarare, nel parere 1/15, che alcune rubriche figuranti all’allegato I di detto progetto di accordo non soddisfacevano i requisiti di chiarezza e precisione ai quali deve rispondere una misura che limiti l’esercizio di diritti fondamentali. Rilevo poi che un rinvio, peraltro non esplicito (139), agli orientamenti dell’OACI non consente, contrariamente a quanto taluni Stati membri sembrano ritenere, di specificare ulteriormente la natura e la portata delle informazioni che possono essere contemplate al punto 12 dell’allegato I. Al contrario, la lettura di tali orientamenti rafforza la conclusione secondo la quale una rubrica «a testo libero», quale detto punto 12, include un numero indefinito di informazioni di diversa natura oltre a quelle che figurano d’ufficio nei PNR (140).
141. In terzo luogo, taluni governi sostengono che incombe agli Stati membri, tramite provvedimenti legislativi interni e nel rispetto dei limiti imposti dagli articoli 7, 8 e dall’articolo 52, paragrafo 1, della Carta, precisare le informazioni che possono figurare al punto 12 dell’allegato I. Infatti, sarebbe nella natura stessa di una direttiva lasciare agli Stati membri un margine discrezionale per quanto riguarda i mezzi necessari per attuare le disposizioni da essa enunciate.
142. A tal riguardo, come ho già illustrato al paragrafo 86 delle presenti conclusioni, ritengo che, qualora talune misure che comportano ingerenze nei diritti fondamentali istituiti dalla Carta abbiano origine da un atto legislativo dell’Unione, incomba al legislatore dell’Unione fissare, nel rispetto dei summenzionati criteri di chiarezza e precisione, nonché del principio di proporzionalità, la portata esatta di tali ingerenze. Ne consegue che, qualora lo strumento scelto da tale legislatore sia una direttiva, non può essere delegata agli Stati membri, a mio avviso, in sede di trasposizione della stessa nei loro diritti nazionali, la determinazione di elementi essenziali che definiscano la portata dell’ingerenza come, nel caso di limitazioni ai diritti fondamentali enunciati agli articoli 7 e 8 della Carta, la natura e la portata dei dati personali sottoposti a trattamento.
143. In quarto luogo, taluni Stati membri osservano che il punto 12 dell’allegato I deve essere inteso nel senso che esso riguarda unicamente informazioni che presentano un collegamento con la prestazione di trasporto. Così interpretato, tale punto sarebbe compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta.
144. Neanche tale argomento mi convince. Anzitutto, infatti, le informazioni che possono figurare in una rubrica «osservazioni generali» e ai codici OSI, SSI, e SSR rivestono una natura estremamente eterogenea (cure mediche, pasti speciali o preferenze alimentari, qualsiasi richiesta di assistenza, informazioni sui minori che viaggiano soli, ecc.) (141) e presentano tutte un collegamento con la prestazione di trasporto nella misura in cui sono intese, segnatamente, a consentire al vettore aereo di adeguare tale prestazione alle esigenze di ciascun passeggero. Un criterio interpretativo fondato sulla rilevanza dell’informazione rispetto alla prestazione di trasporto non consentirebbe dunque di specificare ulteriormente la portata di detto punto 12. Rilevo poi che, avendo al contempo fatto ricorso, al punto 159 del parere 1/15, a tale criterio al fine di interpretare, in maniera conforme ai requisiti di chiarezza e precisione, una diversa rubrica dell’allegato al progetto di accordo PNR Canada-UE, la Corte ha cionondimeno escluso di poter procedere in tal modo nel caso della rubrica 17 di tale allegato, corrispondente al punto 12 dell’allegato I.
145. In quinto luogo, taluni Stati membri hanno posto l’accento sul fatto che le informazioni destinate ad essere contemplate al punto 12 dell’allegato I vengono volontariamente fornite ai vettori aerei dai passeggeri stessi, i quali vengono debitamente informati del trasferimento ulteriore di tali dati alle pubbliche autorità. Mi sembra che l’idea sottesa ad un siffatto argomento sia che esista una sorta di consenso implicito da parte del passeggero interessato a che i dati che lo stesso fornisce alle compagnie aeree vengano successivamente trasferiti alle pubbliche autorità.
146. A tal riguardo, la Corte ha già avuto occasione di precisare che non sussiste un «consenso» qualora la persona interessata non possa liberamente opporsi al trattamento dei suoi dati personali (142). Orbene, per gran parte delle informazioni che possono figurare al punto 12 dell’allegato I, il passeggero interessato non dispone di una scelta vera e propria, ma è tenuto a fornirle per poter beneficiare della prestazione di trasporto. Ciò vale, segnatamente, per le persone con disabilità o a mobilità ridotta o per le persone che necessitano di cure mediche o, ancora, per i minori non accompagnati. Ricordo inoltre che, ai punti 142 e 143 del parere 1/15, la Corte ha chiaramente affermato che i trattamenti dei dati PNR da parte delle autorità pubbliche, i quali perseguono una finalità diversa rispetto a quella per la quale tali dati sono raccolti dai vettori aerei, non possono essere considerati come basati su una qualsivoglia forma di consenso dato dai passeggeri ai fini di tale raccolta.
147. Infine, la maggior parte degli Stati membri fa valere che i trattamenti di dati previsti dalla direttiva PNR sono corredati da numerose garanzie fra le quali, per quanto riguarda il trasferimento di dati alle UIP, l’obbligo ad esse incombente di cancellare i dati non figuranti all’allegato I nonché i dati che possono rivelare l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato.
148. A tal riguardo dirò anzitutto che, a mio avviso, la valutazione del carattere sufficientemente chiaro e preciso delle norme che definiscono la portata e la natura dei dati che possono essere oggetto di un trasferimento alle pubbliche autorità, nella misura in cui è intesa ad assicurare che una misura che comporta ingerenze nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta rispetti i principi di legalità e di certezza del diritto, deve essere svolta senza tenere conto delle garanzie che accompagnano i trattamenti ai quali tali dati saranno sottoposti da dette autorità; tali garanzie vanno prese in considerazione solo in sede di esame della proporzionalità della misura in questione. È peraltro in tal modo che la Corte ha proceduto, ai punti da 155 a 163 del parere 1/15, alla sua valutazione delle rubriche del progetto di accordo PNR Canada-UE. Aggiungo, in maniera più generale, che dovrebbe essere prestata un’attenzione particolare alla necessità di mantenere una netta distinzione fra le diverse fasi che l’esame di una misura che dà luogo ad ingerenze nei diritti fondamentali comporta, poiché una commistione fra tali diverse fasi va sempre a scapito, a mio avviso, di una protezione effettiva dei medesimi.
149. Ciò premesso mi limito a rilevare, in questa sede, da un lato, che l’obbligo incombente alle UIP, in conformità all’articolo 6, paragrafo 1, della direttiva PNR, di cancellare i dati diversi da quelli elencati all’allegato I è utile solo se tale allegato contiene un catalogo chiaro e tassativo dei dati da trasferire. Lo stesso vale per l’obbligo delle UIP, in conformità all’articolo 13, paragrafo 4, della direttiva PNR, di cancellare i dati cosiddetti «sensibili» (143). Infatti, una definizione eccessivamente vaga, imprecisa o aperta delle informazioni che devono essere trasmesse accresce sia la probabilità che siffatti dati siano indirettamente oggetto di trasferimento, sia il rischio che essi non vengano immediatamente individuati e cancellati. In altri termini, le summenzionate garanzie possono assolvere utilmente alla loro funzione solo se le norme che definiscono la natura e la portata dei dati PNR che i vettori aerei sono chiamati a trasferire alle UIP sono sufficientemente chiare e precise e se l’elenco di tali dati presenta un carattere tassativo ed esaustivo.
150. Sulla base dell’insieme delle considerazioni che precedono, e come ho anticipato al paragrafo 135 delle presenti conclusioni, ritengo che il punto 12 dell’allegato I, nella parte in cui include le «osservazioni generali» fra i dati che i vettori aerei sono tenuti a trasferire alle UIP in conformità alla direttiva PNR, non soddisfi i requisiti di chiarezza e precisione richiesti all’articolo 52, paragrafo 1, della Carta, come interpretato dalla Corte (144), e che dovrebbe, pertanto, essere, in tale misura, dichiarato invalido.
151. Nelle loro osservazioni scritte, la Commissione e il Parlamento hanno suggerito alla Corte di fare piuttosto ricorso ad un’«interpretazione conforme» del punto 12 dell’allegato I, leggendolo nel senso che esso riguarda unicamente le informazioni sui minori che sono ivi esplicitamente menzionate fra parentesi. Confesso di avere qualche difficoltà nel ritenere che una siffatta lettura rispetti i limiti di una mera interpretazione conforme. È vero che, secondo un principio ermeneutico generale, un atto dell’Unione dev’essere interpretato, nei limiti del possibile, in modo da non rimettere in discussione la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta (145). È altrettanto vero che, nel caso della direttiva PNR, la possibilità di una simile interpretazione risulta favorita dall’accento posto, segnatamente, da un elevato numero di considerando di tale direttiva sul pieno rispetto dei diritti fondamentali, del diritto al rispetto della vita privata nonché del principio di proporzionalità (146). Tuttavia, è parimenti giurisprudenza costante che un’interpretazione conforme è ammessa solo qualora una norma di diritto derivato dell’Unione ammetta più di un’interpretazione, e che sia pertanto possibile dare la preferenza a quella che renda la norma stessa conforme al diritto primario rispetto a quella che porti a constatare la sua incompatibilità con lo stesso (147).
152. Orbene, il punto 12 dell’allegato I non è idoneo, a mio avviso, ad essere interpretato nel senso suggerito dalla Commissione e dal Parlamento, salvo darne una lettura «contra legem». Infatti, tale punto prende in considerazione, come ho illustrato prima, una categoria ampia di dati di natura diversa, non individuabili a priori, rispetto alla quale i dati sui minori costituiscono unicamente una sottocategoria. Leggere tale punto nel senso che esso riguardi unicamente tale sola sottocategoria equivarrebbe non solo ad ignorare una parte del suo testo, ma sovvertirebbe anche l’ordine logico dell’enunciato che tale punto contiene. Una simile operazione, consistente in sostanza nell’eliminare la parte del testo del punto 12 dell’allegato I considerata non conforme ai requisiti di chiarezza e precisione, può essere effettuata, a mio avviso, solo pronunciando un annullamento parziale.
153. Per quanto riguarda la restante parte del punto 12 dell’allegato I, la quale elenca una serie di dati concernenti i minori non accompagnati, ritengo che essa soddisfi i requisiti di chiarezza e precisione a condizione che essa sia interpretata nel senso che copre unicamente le informazioni concernenti i minori non accompagnati, che siano direttamente connesse al volo e che siano espressamente contemplate da tale punto.
154. Per quanto riguarda il punto 18 dell’allegato I, esso così recita:
«Informazioni anticipate sui passeggeri (API) eventualmente raccolte (tra cui: tipo, numero, paese di rilascio e data di scadenza del documento, cittadinanza, cognome, nome, sesso, data di nascita, compagnia aerea, numero di volo, data di partenza, data di arrivo, aeroporto di partenza, aeroporto di arrivo, ora di partenza e ora di arrivo)».
155. Tale punto presenta una struttura analoga a quella del punto 12 dell’allegato I. Anch’esso menziona una categoria generale di dati, ossia le informazioni anticipate sui passeggeri (Advance Passenger Information – API), seguita, fra parentesi, da un elenco di dati considerati inclusi in tale categoria generale, il quale viene fornito a titolo meramente esemplificativo, come attestato dall’impiego dell’espressione «tra cui».
156. Tuttavia, contrariamente al punto 12 dell’allegato I, il punto 18 di tale allegato rinvia ad una categoria di dati meglio identificabili per quanto riguarda sia la loro natura sia la loro portata. Infatti, dal considerando 4 della direttiva PNR si evince che, quando fa riferimento a tale categoria di dati, essa prende in considerazione le informazioni che, in conformità alla direttiva API, alla quale tale considerando rinvia espressamente, formano oggetto di trasmissione da parte dei vettori aerei alle competenti autorità nazionali, al fine di migliorare i controlli alle frontiere e combattere l’immigrazione irregolare. Tali dati sono elencati all’articolo 3, paragrafo 2, di quest’ultima direttiva.
157. Inoltre, dal considerando 9 (148) della direttiva PNR, nonché dall’articolo 3, paragrafo 2, della direttiva API e dall’elenco esemplificativo contenuto al punto 18 dell’allegato I risulta che i dati API contemplati da detto punto sono, da un lato, dati biografici che consentono di verificare l’identità del passeggero aereo e, dall’altro, dati concernenti il volo prenotato. Per quanto riguarda, più precisamente, la prima categoria, quella dei dati biografici, le informazioni elencate all’articolo 3, paragrafo 2, della direttiva API e al punto 18 dell’allegato I comprendono dati, generati al momento della registrazione, idonei ad essere raccolti dalla banda a lettura ottica di un passaporto (o di un altro documento di viaggio) (149).
158. Pertanto, il punto 18 dell’allegato I, interpretato alla luce dei considerando 4 e 9 della direttiva PNR, individua in linea di principio con sufficiente chiarezza e precisione quantomeno la natura dei dati che esso prende in considerazione.
159. Quanto alla loro portata, è giocoforza constatare, da un lato, che l’articolo 3, paragrafo 2, della direttiva API è redatto anch’esso in maniera «aperta», poiché l’elenco di dati da esso enumerati è preceduto dall’espressione «dette informazioni comprendono» (150), e, dall’altro, che, nella categoria dei dati API, come definita negli atti multilaterali di armonizzazione in materia, figurano parimenti dati diversi da quelli previsti sia dalla direttiva API sia dal punto 18 dell’allegato I (151).
160. In tali circostanze, affinché il punto 18 dell’allegato I soddisfi i requisiti di chiarezza e precisione richiesti ai fondamenti normativi che comportano ingerenze negli articoli 7 e 8 della Carta, esso deve essere interpretato nel senso che copre unicamente i dati API espressamente elencati a tale punto, nonché all’articolo 3, paragrafo 2, della direttiva API, raccolti dai vettori aerei nel normale svolgimento delle loro attività (152).
161. Occorre passare brevemente in rassegna, in questa fase, gli altri punti dell’allegato I che, alla luce del loro testo, presentano parimenti un carattere «aperto» o che non sono sufficientemente precisi, e ciò nonostante il giudice del rinvio non abbia espressamente interpellato la Corte riguardo ai medesimi (153).
162. Per quanto riguarda, anzitutto, il punto 5 dell’allegato I, che menziona «indirizzo, recapito telefonico e indirizzo di posta elettronica», benché si debba ritenere che esso prenda in considerazione soltanto i dati personali espressamente menzionati fra parentesi e presenti pertanto carattere tassativo, lo stesso non precisa tuttavia, come avveniva nel caso della corrispondente rubrica del progetto di accordo PNR Canada-UE (154), se tali dati si riferiscano al solo viaggiatore o ai terzi che abbiano effettuato la prenotazione del volo per il passeggero aereo, ai terzi tramite i quali un passeggero aereo può essere raggiunto, o ancora ai terzi che debbano essere informati in caso di urgenza (155). Alla luce del fatto che interpretare il punto 5 dell’allegato I nel senso che esso comprenda anche le categorie dei summenzionati terzi estenderebbe a soggetti diversi dai passeggeri aerei ai sensi dell’articolo 3, punto 4, della direttiva PNR l’ingerenza che la direttiva PNR comporta, suggerisco alla Corte, in assenza di dati precisi che consentano di ritenere che l’acquisizione sistematica e generalizzata dei dati personali di tali terzi costituisca un elemento strettamente necessario all’efficacia del sistema di trattamento dei dati PNR istituito da tale direttiva, di interpretare detto punto nel senso che esso prende in considerazione unicamente i dati personali ivi espressamente menzionati e riguardanti il passeggero aereo in nome del quale viene effettuata la prenotazione. Vero è che la direttiva PNR non esclude che possano essere oggetto di trasferimento alle UIP anche dati personali di soggetti diversi dal passeggero aereo (156). Tuttavia, è essenziale che le ipotesi in cui ciò è possibile vengano indicate in maniera chiara ed esplicita, come avviene nel caso degli agenti di viaggio, menzionati all’allegato I, punto 9, o degli accompagnatori dei minori che viaggiano soli, di cui al punto 12 di tale allegato. Infatti, è soltanto qualora tale condizione sia soddisfatta che si può ritenere che la decisione di includere tali dati in quelli che devono essere trasferiti alle UIP sia stata oggetto di una ponderazione fra i diversi interessi coinvolti, ai sensi del considerando 15 della direttiva PNR, e che i terzi interessati possono essere adeguatamente informati del trattamento dei loro dati personali.
163. Per quanto riguarda, poi, il punto 6 dell’allegato I, riguardante «[i]nformazioni su tutte le modalità di pagamento, compreso l’indirizzo di fatturazione», al pari di quanto dichiarato dalla Corte al punto 159 del parere 1/15, in relazione alla corrispondente rubrica dell’allegato del progetto di accordo PNR Canada-UE, per rispondere ai requisiti di chiarezza e precisione, tale punto deve essere interpretato come facente «riferimento soltanto alle informazioni relative alle modalità di pagamento e alla fatturazione del biglietto aereo, ad esclusione di qualsiasi altra informazione che non sia direttamente connessa al volo». Pertanto tali informazioni non possono includere, ad esempio, le informazioni relative alle modalità di pagamento di altri servizi non direttamente connessi al volo, come il noleggio di un veicolo all’arrivo (157).
164. Quanto al punto 8, concernente le «informazioni sui viaggiatori abituali (“Frequent flyer”)», esso è definito dalle norme dell’OACI come vertente sul numero di conto e sullo status di viaggiatore abituale (158). Interpretato in tal senso, tale punto soddisfa i requisiti di chiarezza e precisione.
165. Per quanto riguarda il punto 10 dell’allegato I, avente ad oggetto lo «[s]tatus di viaggio del passeggero, inclusi conferme, check-in, precedenti assenze all’imbarco o passeggero senza prenotazione», e il punto 13 di tale allegato, concernente i «[d]ati sull’emissione del biglietto, compresi il numero del biglietto, la data di emissione del biglietto, i biglietti di sola andata, i campi ATFQ», malgrado la loro formulazione aperta, tali punti riguardano unicamente informazioni estremamente precise e chiaramente individuabili, direttamente connesse al volo. Lo stesso vale per il punto 14 dell’allegato I, concernente le «informazioni sul posto, compreso il numero di posto assegnato», e per il punto 16 di tale allegato, riguardante «tutte le informazioni relative al bagaglio».
– Sulla portata dei dati elencati all’allegato I (seconda questione pregiudiziale)
166. Fra gli elementi di cui la Corte tiene conto per valutare il carattere proporzionato di una misura che comporti ingerenze nei diritti sanciti agli articoli 7 e 8 della Carta figura il carattere adeguato, pertinente e non eccessivo dei dati personali trattati (principio della «minimizzazione dei dati») (159). Lo stesso testo è previsto dalla giurisprudenza della Corte EDU (160) ed è raccomandato dalla convenzione 108 (161).
167. Dal considerando 15 della direttiva PNR risulta che l’elenco dei dati PNR che deve essere ottenuto dalle UIP è stato compilato con l’obiettivo sia di riflettere le esigenze legittime delle autorità pubbliche in materia di lotta contro il terrorismo e i reati gravi, sia di proteggere i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, tramite l’applicazione di «norme elevate», conformemente alla Carta, alla convenzione 108 e alla CEDU. Lo stesso considerando precisa che i dati PNR dovrebbero contenere, segnatamente, solo i dati della prenotazione e degli itinerari di viaggio del passeggero sulla cui base le autorità competenti possano identificare i passeggeri aerei che rappresentano una minaccia per la sicurezza interna.
168. Per quanto riguarda, in primo luogo, il carattere adeguato e pertinente dei dati PNR figuranti all’allegato I, i diversi punti di tale allegato, inclusi i punti 5, 6, 8 e 18, come suggerisco di interpretare (162), e il punto 12, ad eccezione della parte che propongo di dichiarare invalida (163), riguardano unicamente dati che forniscono informazioni direttamente connesse ai viaggi aerei rientranti nell’ambito di applicazione della direttiva PNR. Tali dati presentano, inoltre, un collegamento oggettivo con le finalità perseguite da tale direttiva. Più specificamente, i dati API possono essere utilizzati, in particolare, «reattivamente», al fine di identificare una persona già nota alle autorità di contrasto, ad esempio in quanto è sospettata di essere coinvolta in reati terroristici o in reati gravi già commessi o di avere intenzione di commetterli, mentre i dati PNR possono essere utilizzati piuttosto «in tempo reale o proattivamente», al fine di identificare minacce provenienti da persone non ancora note alle autorità di contrasto.
169. Per quanto riguarda, in secondo luogo, la portata dei dati PNR elencati all’allegato I, tali dati, inclusi quelli figuranti ai punti 5, 6, 8, 12 e 18 di tale allegato, come propongo di interpretare ai paragrafi da 134 a 164 delle presenti conclusioni, non risultano eccessivi alla luce, da un lato, dell’importanza dell’obiettivo di sicurezza pubblica perseguito dalla direttiva PNR e, dall’altro, dell’idoneità del regime istituito da tale direttiva a perseguire un siffatto obiettivo.
170. Per quanto riguarda segnatamente i dati API, sui quali si interroga in particolare il giudice del rinvio, rilevo che tali dati, di tipo biografico e relativi alla tratta utilizzata, consentono, di norma, di ricavare unicamente informazioni limitate sulla vita privata dei passeggeri interessati. Peraltro, se è vero che il punto 18 dell’allegato I prende in considerazione informazioni che non figurano fra quelle espressamente menzionate all’articolo 3, paragrafo 2, della direttiva API, tali informazioni, relative all’identità del passeggero aereo (il sesso), al documento di viaggio utilizzato (paese di rilascio, data di scadenza di qualsiasi documento d’identità), o, ancora, al volo utilizzato (compagnia aerea, numero di volo, data e aeroporto di partenza e di arrivo), in parte coincidono o possono essere ricavate dai dati PNR figuranti in altri punti dell’allegato I, ad esempio i punti 3, 7 e 13. Inoltre, nella misura in cui vertono su dati biografici o sui documenti di viaggio utilizzati, dette informazioni sono idonee ad aiutare le autorità di contrasto a verificare l’identità di una persona riducendo così, come rilevato dal considerando 9 della direttiva PNR, il rischio di effettuare controlli e indagini ingiustificati su persone innocenti. Infine, occorre sottolineare che il mero fatto che il punto 18 dell’allegato I includa dati supplementari rispetto a quelli figuranti all’articolo 3, paragrafo 2, della direttiva API non può indurre automaticamente ad affermare il carattere eccessivo di tali dati, nella misura in cui tale direttiva e la direttiva PNR perseguono obiettivi diversi.
171. Quanto ai dati concernenti i minori non accompagnati, elencati al punto 12 dell’allegato I, essi riguardano una categoria vulnerabile di persone che beneficiano di una protezione particolare, anche per quanto riguarda il rispetto della loro vita privata e la protezione dei loro dati personali (164). Ciò non toglie che una limitazione di tali diritti possa risultare necessaria, segnatamente al fine di proteggere i minori da reati gravi di cui possano essere vittime, come la tratta e lo sfruttamento sessuale dei minori o la sottrazione di minori. Non si può dunque ritenere a priori che il punto 12 dell’allegato I, nella misura in cui esige il trasferimento di un numero di dati personali più elevato nel caso dei minori non accompagnati, ecceda quanto strettamente necessario.
172. Pur se i dati personali che i vettori aerei sono tenuti a trasmettere alle UIP in conformità alla direttiva PNR soddisfano, a mio avviso, i requisiti di adeguatezza e pertinenza e pur se la loro portata non eccede quanto strettamente necessario al funzionamento del regime istituito da tale direttiva, ciò non toglie che una siffatta trasmissione riguarda un numero significativo di dati personali di varia natura per ciascun passeggero interessato, nonché un numero estremamente elevato di siffatti dati in termini assoluti. In tali circostanze, è fondamentale che un siffatto trasferimento sia corredato da garanzie sufficienti intese, da un lato, a vigilare affinché vengano trasferiti soltanto i dati espressamente contemplati e, dall’altro, a garantire la sicurezza e la riservatezza dei dati trasferiti.
173. A tal riguardo occorre rilevare, da un lato, che il legislatore dell’Unione, anzitutto, ha previsto una serie di garanzie, che consentono di limitare le categorie di dati PNR resi accessibili da parte delle autorità di contrasto e di assicurare che tale accesso rimanga circoscritto ai soli dati il cui trattamento è considerato necessario ai fini degli obiettivi perseguiti dalla direttiva PNR. In tal senso, in primo luogo, tale direttiva elenca in maniera tassativa e precisa, fatte salve le considerazioni svolte nell’ambito della risposta alla terza questione pregiudiziale, i dati che possono essere trasferiti alle UIP. In secondo luogo, la direttiva PNR enuncia esplicitamente che solo i dati contenuti in tale elenco, risultante da una ponderazione dei diversi interessi ed esigenze menzionati al considerando 15 di tale direttiva, possono essere oggetto di un trasferimento alle UIP (articolo 6, paragrafo 1, della direttiva PNR). In terzo luogo, tale direttiva precisa che qualora nei dati PNR trasferiti siano compresi dati diversi da quelli elencati nell’allegato I, l’UIP li cancella «in via definitiva non appena li riceve» (articolo 6, paragrafo 1, della direttiva PNR). In quarto luogo, detta direttiva prevede che i dati PNR di cui all’allegato I possano essere oggetto di trasferimento soltanto a condizione che siano già stati raccolti dai vettori aerei nel normale svolgimento della loro attività (articolo 8, paragrafo 1, e considerando 8 della direttiva PNR), il che implica che non tutti i dati figuranti all’allegato I siano sistematicamente accessibili alle UIP, bensì unicamente quelli che figurano nel sistema di prenotazione dell’operatore interessato. In quinto luogo, l’articolo 8, paragrafo 1, della direttiva PNR impone ai vettori aerei di utilizzare il metodo «push» per trasmettere i dati PNR alle UIP. Tale metodo, raccomandato dagli orientamenti dell’OACI (165), implica che detti vettori trasferiscano essi stessi i dati PNR nelle banche dati delle UIP. Rispetto al metodo «pull», che consente alle autorità competenti di accedere ai sistemi dei gestori ed estrarre dalle loro banche dati una copia dei dati richiesti, il metodo «push» presenta maggiori garanzie, poiché conferisce al vettore aereo interessato il ruolo di guardiano e di controllore dei dati PNR. Infine, conformandosi agli orientamenti dell’OACI e al principio dello «sportello unico» (166), la direttiva PNR prevede che il trasferimento dei dati PNR abbia luogo tramite un unico organismo, l’UIP, che agisce sotto la supervisione del responsabile di cui all’articolo 5 di tale direttiva e, soprattutto, sotto quella dell’autorità nazionale di controllo di cui all’articolo 15 di detta direttiva.
174. Dall’altro lato, la direttiva PNR prevede un certo numero di garanzie intese a preservare la sicurezza dei dati PNR. Rinvio al riguardo all’articolo 13, paragrafo 2, di tale direttiva, che rende applicabili a tutti i trattamenti di dati personali effettuati in forza della medesima gli articoli 28 e 29 della direttiva polizia, riguardanti la riservatezza del trattamento e la sicurezza dei dati, nonché al paragrafo 3 di questo stesso articolo il quale, in relazione al trattamento dei dati PNR da parte dei vettori aerei, richiama gli obblighi incombenti a questi ultimi ai sensi del RGPD, segnatamente quelli relativi all’adozione di adeguate misure tecniche e organizzative a tutela della sicurezza e della riservatezza di tali dati (167).
175. Infine, occorre sottolineare che la direttiva PNR riconosce, ai suoi considerando 29 e 37, il diritto dei passeggeri di ricevere «informazioni accurate e facilmente accessibili e comprensibili», tra l’altro, sulla raccolta dei dati PNR, sollecitando gli Stati membri a provvedere affinché tale diritto sia rispettato. Pur se tale riconoscimento non si traduce, nel testo della direttiva PNR, in una disposizione avente forza vincolante, ricordo che, come ho rilevato in occasione dell’esame della prima questione pregiudiziale, le disposizioni del RGPD si applicano al trasferimento dei dati PNR alle UIP. I vettori aerei sono pertanto tenuti, nell’ambito di tale trasferimento, a conformarsi, tra l’altro, agli articoli 13 e 14 del RGPD, che prevedono il diritto all’informazione degli interessati da un trattamento di dati personali. Anche se, nell’ambito della trasposizione della direttiva PNR, gli Stati membri dovrebbero prevedere espressamente il diritto all’informazione dei passeggeri aerei, come riconosciuto dai considerando 29 e 37 di tale direttiva, essi non possono in ogni caso, nella misura in cui sarebbe contrario allo spirito della stessa, limitare la portata degli articoli 13 e 14 del RGPD in applicazione dell’articolo 23, paragrafo 1, di tale regolamento. Orbene, per essere effettivo, un siffatto diritto deve riguardare parimenti le categorie di dati PNR oggetto di trasferimento.
176. Alla luce dell’insieme delle considerazioni che precedono, ritengo che i dati PNR il cui trattamento è previsto dalla direttiva PNR, fatte salve le limitazioni suggerite e le precisazioni apportate nell’ambito della terza questione pregiudiziale, siano pertinenti, adeguati e non eccessivi con riferimento alle finalità perseguite da tale direttiva e che la loro portata non ecceda quanto strettamente necessario alla realizzazione di tali finalità.
– Sui dati sensibili
177. La direttiva PNR vieta in generale qualsiasi trattamento dei «dati sensibili» (168).
178. Benché tale direttiva non contenga una definizione della nozione di «dati sensibili», dal suo articolo 13, paragrafo 4, risulta che essa include, perlomeno, i «dati PNR che riveli[no] l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche, l’appartenenza sindacale, lo stato di salute, la vita o l’orientamento sessuali dell’interessato» (169). Al punto 165 del parere 1/15, la Corte ha precisato che qualsiasi misura basata sul postulato secondo cui una o più di tali caratteristiche «potrebbero, di per sé stesse e indipendentemente dal comportamento individuale del viaggiatore interessato, essere rilevanti rispetto alla finalità dei trattamenti dei dati PNR (…) violerebbe i diritti garantiti agli articoli 7 e 8 della Carta, letti in combinato disposto con l’articolo 21 della stessa». Vietando qualsiasi trattamento dei dati contemplati al suo articolo 13, paragrafo 4, la direttiva PNR rispetta pertanto i limiti imposti dalla Corte all’utilizzazione di tali categorie di dati nell’ambito di un sistema di trattamento dei dati PNR, indipendentemente dal fatto che esso rientri nell’ambito di applicazione del diritto nazionale, del diritto dell’Unione o di un accordo internazionale concluso dall’Unione.
179. Il divieto generale di trattamento dei dati delicati sancito dalla direttiva PNR include parimenti la loro raccolta. Pertanto, come precisato espressamente dal considerando 15 di tale direttiva, le 19 rubriche figuranti all’allegato I non sono fondate sui dati PNR di cui all’articolo 13, paragrafo 4, della stessa.
180. Pur se nessuna di tali rubriche contempla esplicitamente tali dati, questi ultimi potrebbero cionondimeno rientrare segnatamente nella rubrica «Osservazioni generali», di cui al punto 12 dell’allegato I, la quale costituisce un «campo aperto» che può coprire, come ho già avuto occasione di osservare nell’ambito dell’esame della terza questione pregiudiziale, un numero indefinito di informazioni di diversa natura. Esiste infatti un rischio concreto, come rilevato peraltro dalla Corte al punto 164 del parere 1/15, che informazioni rientranti in detta rubrica, vertenti ad esempio su preferenze alimentari, richieste di assistenza, forfait di prezzi a favore di determinate categorie di persone o di associazioni, rivelino, in maniera diretta, dati delicati ai sensi dell’articolo 13, paragrafo 4, della direttiva PNR, relativi segnatamente alle convinzioni religiose dei passeggeri interessati, al loro stato di salute o alla loro appartenenza ad un sindacato o ad un partito politico.
181. Orbene, poiché il trattamento di tali dati è in ogni caso escluso dalla direttiva PNR, il loro trasferimento da parte dei vettori aerei non solo eccede manifestamente quanto strettamente necessario, bensì risulta parimenti privo di qualsivoglia utilità. A tal riguardo, occorre sottolineare che il fatto che le UIP siano in ogni caso tenute, in conformità all’articolo 13, paragrafo 4, seconda frase, della direttiva PNR, a cancellare immediatamente i dati PNR che rivelino una delle informazioni elencate alla prima frase di tale paragrafo, non consente di autorizzare o giustificare un trasferimento di siffatti dati (170), poiché il divieto di trattamento dei medesimi enunciato da detta direttiva deve operare a partire dalla prima fase di trattamento dei dati PNR. L’obbligo di cancellazione dei dati delicati costituisce pertanto unicamente una garanzia supplementare che tale direttiva prevede per il caso in cui, eccezionalmente, siffatti dati venissero trasferiti alle UIP per errore.
182. Rilevo inoltre, come osservato dall’avvocato generale Mengozzi al paragrafo 222 delle sue conclusioni nel parere 1/15 (171), che, poiché le informazioni rientranti nelle rubriche «a testo libero», come la rubrica «Osservazioni generali», di cui al punto 12 dell’allegato I, idonee a contenere dati delicati ai sensi dell’articolo 13, paragrafo 4, della direttiva PNR, vengono comunicate soltanto facoltativamente dai passeggeri, è poco probabile che persone coinvolte in reati di terrorismo o in reati gravi procedano ad una siffatta comunicazione spontanea, cosicché il trasferimento sistematico di tali dati può probabilmente riguardare, perlopiù, soltanto persone che hanno chiesto di fruire di un servizio supplementare, le quali non presentano in realtà alcun interesse per le autorità di contrasto (172).
183. Nell’ambito dell’esame della terza questione pregiudiziale, sono giunto alla conclusione che il punto 12 dell’allegato I, nella misura in cui prende in considerazione la rubrica «Osservazioni generali», non soddisfa i requisiti di chiarezza e precisione richiesti all’articolo 52, paragrafo 1, prima frase, della Carta. Per le ragioni illustrate precedentemente, ritengo che l’inclusione di tale rubrica nelle categorie di dati oggetto di un trasferimento sistematico alle UIP, senza che venga apportata alcuna precisazione quanto alle informazioni che essa può contemplare, non soddisfi neanche il criterio di necessità previsto all’articolo 52, paragrafo 1, seconda frase, della Carta, come interpretato dalla Corte (173).
184. Ciò premesso, escludere le rubriche cosiddette «a testo libero» dall’elenco dei dati PNR da trasferire alle autorità statali nell’ambito di un sistema di trattamento dei dati PNR non è sufficiente ad eliminare il rischio che dati delicati vengano cionondimeno messi a disposizione di tali autorità. Dati di tal genere, infatti, possono non solo essere ricavati direttamente da informazioni rientranti in siffatte rubriche, ma essere anche indirettamente rivelati o presunti da informazioni contenute in rubriche «in codice». Così, per fare un esempio, il nome del passeggero aereo può fornire indicazioni o, quantomeno, consentire di formulare ipotesi sull’origine etnica o sull’appartenenza religiosa del passeggero interessato. Lo stesso dicasi per la cittadinanza. Tali dati non si prestano, in linea di principio, ad essere esclusi dall’elenco dei dati PNR da trasferire, né ad essere cancellati dalle autorità autorizzate a riceverli. Pertanto, al fine di evitare il rischio di stigmatizzazione, sulla base di caratteristiche protette, di un gran numero di individui che non sono tuttavia sospettati di alcun reato, è necessario che un sistema di trattamento dei dati PNR preveda garanzie sufficienti che consentano di escludere, in ogni fase del trattamento dei dati raccolti, che tale trattamento possa tenere conto direttamente o indirettamente di siffatte caratteristiche, ad esempio applicando, al momento dell’analisi automatizzata, procedimenti di selezione fondati su tali caratteristiche. Ritornerò su tale aspetto nel prosieguo del mio esame.
185. Sulla base dell’insieme delle considerazioni che precedono, ritengo, fatta salva la conclusione alla quale sono pervenuto nel precedente paragrafo 183, che la direttiva PNR preveda, nella fase del trasferimento dei dati PNR alle UIP, garanzie sufficienti dirette a proteggere i dati delicati.
iii) Sulla nozione di «passeggero» (quarta questione pregiudiziale)
186. Con la sua quarta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte se il sistema istituito dalla direttiva PNR, nella misura in cui consente il trasferimento e il trattamento generalizzati dei dati PNR di tutte le persone che rispondono alla nozione di «passeggero» ai sensi dell’articolo 3, punto 4, di tale direttiva, a prescindere da ogni elemento obiettivo che consenta di ritenere che l’interessato possa presentare un rischio per la sicurezza pubblica, sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Esso si interroga segnatamente sulla possibilità di trasporre al sistema di trattamento di dati personali introdotto dalla direttiva PNR la giurisprudenza della Corte in materia di conservazione e accesso ai dati nel settore delle comunicazioni elettroniche.
187. In tale giurisprudenza, per quel che interessa nel presente procedimento, la Corte ha concluso che una normativa la quale, ai fini della lotta contro i reati gravi, prevede la conservazione preventiva generalizzata e indiscriminata dei dati relativi al traffico attinenti alle comunicazioni elettroniche e dei dati relativi all’ubicazione (174), ai fini dell’accesso da parte delle autorità di contrasto, senza che venga effettuata alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo perseguito, non può essere considerata giustificata, in linea di principio, in una società democratica (175). La Corte ha statuito nello stesso senso in relazione ad una normativa nazionale che, ai fini della lotta contro il terrorismo, prevedeva l’analisi automatizzata di tutti detti dati attraverso un filtraggio effettuato dai fornitori di servizi di comunicazione elettronica su richiesta delle autorità nazionali competenti e in applicazione di parametri da queste stabiliti (176). Secondo la Corte, simili misure possono essere giustificate solo in situazioni nelle quali lo Stato membro interessato si trovi di fronte ad una minaccia grave per la sicurezza nazionale che risulti reale e attuale o prevedibile, e qualora il provvedimento che prevede la loro attuazione sia oggetto di un controllo effettivo da parte di un giudice o di un organo amministrativo indipendente (177). Il ricorso a tali misure in simili situazioni deve inoltre essere, secondo la Corte, temporalmente limitato allo stretto necessario e non può, in ogni caso, avere carattere sistematico (178).
188. Rilevo peraltro che, se, in tale giurisprudenza, la Corte non si è spinta fino ad affermare espressamente, come nella sentenza Schrems I, l’esistenza di un pregiudizio al contenuto essenziale del diritto al rispetto della vita privata, essa ha cionondimeno giudicato che le misure in questione raggiungevano un livello di gravità d’ingerenza tale che, salvo che nel caso limitato di minacce specifiche alla sicurezza nazionale di uno Stato membro, esse non potevano essere semplicemente considerate limitate allo stretto necessario e dunque conformi alla Carta (179), indipendentemente da eventuali garanzie previste contro i rischi di abuso e di accesso illecito ai dati interessati (180).
189. Ho già avuto occasione di sottolineare che una normativa come quella prevista dalla direttiva PNR condivide, con misure del tipo di quelle esaminate dalla Corte nella giurisprudenza richiamata ai paragrafi precedenti delle presenti conclusioni, un certo numero di elementi comuni, che le conferiscono un carattere particolarmente intrusivo. In tal senso, tale direttiva istituisce un sistema generalizzato e indiscriminato di raccolta e di analisi automatizzata dei dati personali di una porzione significativa della popolazione, che si applica globalmente a tutte le persone che rispondono alla nozione di «passeggero» figurante all’articolo 3, punto 4, di detta direttiva e, di conseguenza, anche a quelle per le quali non esiste alcun indizio tale da indurre a ritenere che i loro comportamenti potrebbero presentare un nesso, sia pur indiretto o remoto, con attività terroristiche o con reati gravi. È in tali circostanze che il giudice del rinvio si chiede se tale giurisprudenza sia trasponibile ad un sistema di trattamento dei dati PNR come quello istituito dalla direttiva PNR.
190. A tal riguardo, rilevo che, nel parere 1/15, allorché ha esaminato, ai punti da 186 a 189 dello stesso, l’ambito di applicazione ratione personae del progetto di accordo PNR Canada-UE, la Corte ha evitato qualsiasi parallelismo fra le misure volte alla conservazione e all’accesso generalizzato e indifferenziato al contenuto delle comunicazioni elettroniche, ai dati relativi al traffico e ai dati relativi all’ubicazione, da un lato, e il trasferimento dei dati PNR e il loro trattamento automatizzato nell’ambito della valutazione preliminare dei passeggeri di cui a detto accordo, dall’altro. Esisteva tuttavia già, all’epoca in cui tale parere era stato pronunciato, una consolidata giurisprudenza – confermata, soltanto qualche mese prima di tale pronuncia, dalla sentenza Tele2 Sverige, alla quale il giudice del rinvio rimanda –, nella quale dette misure, salvo situazioni specifiche e puntuali (181), erano giudicate incompatibili con la Carta (182). Le sentenze più recenti della Corte in tale settore, e segnatamente la sentenza La Quadrature du Net, si collocano nella scia di tale giurisprudenza, precisandola e, sotto taluni aspetti, sfumandola.
191. In detti passaggi del parere 1/15, la Corte ha esplicitamente dichiarato che l’accordo PNR Canada-UE non risultava eccedere i limiti dello stretto necessario nella misura in cui consentiva il trasferimento e il trattamento automatizzato, ai fini della loro valutazione preliminare, dei dati PNR di tutti i passeggeri aerei diretti in Canada, e ciò malgrado si ritenesse che un siffatto trasferimento e un siffatto trattamento avessero luogo «indipendentemente da qualsiasi elemento obiettivo che consenta di ritenere che i passeggeri possano presentare un rischio per la sicurezza pubblica in Canada» (183). Al punto 187 di tale parere, la Corte si è spinta fino ad affermare che «l’esclusione di talune categorie di persone, o di alcune zone di origine, sarebbe tale da ostacolare la realizzazione dell’obiettivo del trattamento automatizzato dei dati PNR, ossia l’identificazione, per mezzo di una verifica di tali dati, delle persone che possano presentare un rischio per la sicurezza pubblica tra tutti i passeggeri aerei, e [da] consentire che tale verifica possa essere aggirata» (184).
192. Pertanto, quantomeno per quanto riguarda il trasferimento generalizzato e indifferenziato dei dati PNR, la Corte si è discostata dall’approccio, più rigoroso, seguito in materia di conservazione e di accesso ai metadati.
193. Benché sia innegabile che, nel suo ragionamento, essa ha tenuto conto, come si evince segnatamente dai punti 152 e 188 del parere 1/15, da un lato, della constatazione che il trattamento automatizzato dei dati PNR facilita i controlli di sicurezza, in particolare alle frontiere, e, dall’altro, del fatto che, in conformità alla convenzione di Chicago, i passeggeri aerei desiderosi di entrare nel territorio di uno Stato parte di tale convenzione sono tenuti ad assoggettarsi ai controlli e a rispettare le condizioni di ingresso e di uscita prescritte da tale Stato, inclusa la verifica dei loro dati PNR, ritengo che altre ragioni militino a favore di una siffatta diversità di approccio e, fra queste, in primo luogo, la natura dei dati trattati.
194. La Corte ha sottolineato in numerose occasioni che non solo il contenuto delle comunicazioni elettroniche ma anche i metadati possono rivelare informazioni su «un numero significativo di aspetti della vita privata degli interessati, comprese informazioni sensibili, quali l’orientamento sessuale, le opinioni politiche, le convinzioni religiose, filosofiche, sociali o di altro tipo nonché lo stato di salute»; che tali dati, presi nel loro insieme, «sono idonei a consentire di trarre conclusioni molto precise riguardo alla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di dette persone e gli ambienti sociali da esse frequentati» e che detti dati forniscono, in particolare, gli strumenti per stabilire «il profilo delle persone interessate, informazione tanto sensibile, in rapporto al diritto al rispetto della vita privata, quanto il contenuto stesso delle comunicazioni» (185). Ricordo, peraltro, che le normative esaminate finora dalla Corte, inclusa quella contenuta nella direttiva 2006/24, non prevedevano alcuna eccezione e si applicavano parimenti alle comunicazioni verso o a partire da servizi a carattere sociale o religioso o di professionisti soggetti ad obblighi di segreto professionale. In tal senso, pur non accertando una violazione del contenuto essenziale del diritto al rispetto della vita privata, la Corte ha cionondimeno affermato che, «tenuto conto del carattere sensibile delle informazioni che possono fornire i dati relativi al traffico e i dati relativi all’ubicazione, la riservatezza di tali dati è essenziale per il diritto al rispetto della vita privata» (186).
195. Per contro, se è vero che, come ho ricordato ai paragrafi 77 e 98 delle presenti conclusioni, la Corte ha riconosciuto, nel parere 1/15, che i dati PNR possono eventualmente rivelare informazioni molto precise sulla vita privata di una persona (187), essa ha cionondimeno affermato che la natura di dette informazioni è limitata ad alcuni aspetti di tale vita privata (188), il che rende l’accesso a siffatti dati meno intrusivo rispetto all’accesso al contenuto delle comunicazioni elettroniche, nonché ai dati relativi al traffico e ai dati relativi all’ubicazione.
196. In secondo luogo, non solo la natura dei dati PNR differisce da quella dei dati relativi al traffico e dei dati relativi all’ubicazione, ma differiscono anche il numero e la varietà delle informazioni che possono essere rivelate da queste diverse categorie di dati, fermo restando che quelle contenute nei dati PNR sono sia quantitativamente sia qualitativamente più limitate. Ciò dipende non solo dalla circostanza che i sistemi di trattamento generalizzato e indifferenziato dei dati relativi alle comunicazioni elettroniche possono riguardare la quasi totalità della popolazione considerata, mentre i sistemi di trattamento dei dati PNR si applicano ad una cerchia più ristretta, benché numericamente significativa, di individui, ma anche dalla frequenza di utilizzazione dei mezzi di comunicazione elettronica e dalla molteplicità degli stessi. Peraltro, la direttiva PNR prevede la raccolta e il trattamento di un numero limitato e tassativamente determinato di dati PNR, escludendo i dati rientranti nelle categorie elencate all’articolo 13, paragrafo 4, di tale direttiva, cosicché, se non la quantità, quantomeno la delicatezza delle informazioni sulla vita privata degli interessati che possono risultarne sono idonee ad essere, in parte, valutate in anticipo (189). Orbene, una siffatta limitazione della tipologia di dati contemplati, la quale consenta di escludere una parte significativa di quelli che possono celare informazioni delicate, è possibile solo parzialmente nel caso dei dati relativi al traffico e dei dati relativi all’ubicazione, a causa del numero di utenti e di mezzi di comunicazione interessati (190).
197. In terzo luogo, ogni trattamento dei metadati delle comunicazioni elettroniche non solo è idoneo a toccare la sfera intima della vita della quasi totalità della popolazione, ma interferisce anche con l’esercizio di altre libertà mediante le quali ciascun individuo partecipa alla vita sociale e democratica di un paese (191) e rischia, segnatamente, di comportare effetti dissuasivi sull’esercizio, da parte degli utenti dei mezzi di comunicazione elettronica, della loro libertà di espressione (192), la quale costituisce «uno dei fondamenti essenziali di una società democratica e pluralista», facendo parte dei valori sui quali l’Unione è fondata (193). Tale aspetto è inerente alle misure concernenti tali categorie di dati personali e non riguarda, di norma, i sistemi di trattamento dei dati PNR.
198. In quarto luogo, a causa principalmente del numero e della varietà delle informazioni a carattere delicato che possono essere estratte dal contenuto delle comunicazioni elettroniche, nonché dai dati relativi al traffico e dai dati relativi all’ubicazione, esiste un rischio di arbitrio connesso al trattamento di tali dati significativamente più elevato che per quanto riguarda i sistemi di trattamento dei dati PNR.
199. Per l’insieme delle suesposte ragioni, ritengo che l’approccio più restrittivo adottato dalla Corte nel settore delle comunicazioni elettroniche non sia trasponibile in quanto tale ai sistemi di trattamento dei dati PNR. La Corte si è già espressa, quantomeno implicitamente, in tal senso nel parere 1/15, nel contesto di un accordo internazionale che istituisce un siffatto sistema ai fini della protezione della sicurezza di un paese terzo. La stessa posizione è a mio avviso giustificata, a maggior ragione, nel caso della direttiva PNR, il cui obiettivo è la protezione della sicurezza interna dell’Unione.
200. Ciò premesso, occorre rilevare, come fatto dall’avvocato generale Mengozzi al paragrafo 216 delle sue conclusioni nel parere 1/15 (194), che l’interesse stesso dei sistemi di trattamento dei dati PNR, che siano adottati unilateralmente o che siano oggetto di un accordo internazionale, è proprio quello di garantire la trasmissione massiccia di dati che consenta alle autorità competenti di identificare, mediante strumenti di trattamento automatizzato e di scenari o criteri di valutazione prestabiliti, individui sconosciuti ai servizi di polizia, ma che risultino presentare un «interesse» o un rischio per la sicurezza pubblica e possano essere quindi sottoposti successivamente a controlli individuali più accurati. Il requisito di un «sospetto ragionevole» che si trova affermato nella giurisprudenza della Corte EDU relativa alle intercettazioni mirate praticate nell’ambito di un’indagine penale (195) e in quella della Corte sulla conservazione dei metadati (196) è, pertanto, meno rilevante nel contesto di una siffatta trasmissione e di un siffatto trattamento (197). L’obiettivo, segnatamente, di prevenzione perseguito da siffatti regimi non può essere realizzato neanche circoscrivendo la loro applicazione ad una determinata categoria di individui, come affermato peraltro dalla Corte nei punti del parere 1/15 richiamati al paragrafo 191 delle presenti conclusioni, cosicché la portata della direttiva PNR sembra assicurare la realizzazione efficace di tale obiettivo (198).
201. Occorre parimenti sottolineare che l’importanza strategica del trattamento dei dati PNR quale strumento essenziale della risposta comune dell’Unione al terrorismo e ai reati gravi e quale elemento costitutivo dell’Unione della sicurezza è stato messo in evidenza in diverse occasioni da parte della Commissione (199). Nell’ambito di un «approccio globale» per la lotta al terrorismo, il ruolo svolto dai sistemi di trattamento dei dati PNR è stato riconosciuto anche dal Consiglio di sicurezza delle Nazioni Unite il quale, nella risoluzione 2396(2017) (200), ha imposto agli Stati membri delle Nazioni Unite di «sviluppare la capacità di raccogliere, elaborare e analizzare, a sostegno delle norme e prassi raccomandate dell’[OACI], i dati [PNR] e garantire che i dati PNR siano utilizzati e condivisi con tutte le loro autorità nazionali competenti, nel pieno rispetto dei diritti dell’uomo e delle libertà fondamentali a fini di prevenzione, accertamento e indagine nei confronti dei reati di terrorismo e dei viaggi connessi» (201). Tale obbligo è ribadito nella risoluzione 2482/2019 in materia di terrorismo e di reati transnazionali gravi (202).
202. In tale contesto, l’adozione di un sistema di trattamento dei dati PNR armonizzato a livello dell’Unione, per quanto riguarda sia i voli extra-UE sia, nel caso degli Stati che hanno fatto ricorso all’articolo 2 della direttiva PNR, i voli intra-UE, consente di assicurare che il trattamento di tali dati avvenga nel rispetto del livello elevato di protezione dei diritti sanciti agli articoli 7 e 8 della Carta fissato da tale direttiva e fornisce un sistema giuridico di riferimento per la negoziazione di accordi internazionali sul trattamento e sul trasferimento dei dati PNR (203).
203. Peraltro, se è vero che il sistema attuato dalla direttiva PNR riguarda in maniera indifferenziata tutti i passeggeri aerei, come correttamente sottolineato segnatamente dal Parlamento nelle sue osservazioni scritte e come messo parimenti in evidenza dal Consiglio di sicurezza delle Nazioni Unite nella risoluzione 2396(2017), il quale evoca il rischio concreto di utilizzazione dell’aviazione civile a fini terroristici sia come mezzo di trasporto sia come bersaglio (204), esiste un nesso oggettivo fra il trasporto aereo e le minacce per la sicurezza pubblica collegato, segnatamente, al terrorismo e, perlomeno, a taluni reati gravi come, in particolare, il traffico di stupefacenti o il traffico di esseri umani, i quali hanno, del resto, una forte componente transfrontaliera.
204. Occorre sottolineare, infine, come fatto valere dal Parlamento, dal Consiglio e da diversi Stati membri che hanno depositato osservazioni scritte, che i passeggeri aerei in entrata o in uscita dall’Unione sono tenuti a sottoporsi a controlli di sicurezza (205). Il trasferimento e il trattamento dei dati PNR prima del loro arrivo o prima della loro partenza facilita e accelera tali controlli, come parimenti rilevato dalla Corte nel parere 1/15, consentendo alle autorità di contrasto di concentrarsi sui passeggeri per i quali sussistono motivi concreti per ritenere che possano costituire un effettivo rischio per la sicurezza (206).
205. Infine, per quanto riguarda, segnatamente, l’estensione del sistema della direttiva PNR ai voli intra‑UE, se non è possibile escludere a priori un qualsivoglia impatto sulla libertà di circolazione dei cittadini dell’Unione, sancita segnatamente all’articolo 45 della Carta, l’ingerenza nella vita privata causata dalla direttiva PNR, benché grave, non è a mio avviso tale da comportare, di per sé, un effetto dissuasivo sull’esercizio di tale libertà, poiché il trattamento di dati PNR può anche essere percepito dal pubblico come una misura necessaria ad assicurare la sicurezza dei viaggi aerei (207). Resta il fatto che l’eventualità di un siffatto effetto dissuasivo deve essere oggetto di una valutazione e di un controllo continui.
206. Tuttavia, al fine di rispettare la giurisprudenza richiamata ai paragrafi 107 e 108 delle presenti conclusioni, la direttiva PNR non può limitarsi ad esigere che l’accesso e il trattamento automatizzato dei dati PNR di tutti i passeggeri aerei risponda alla finalità perseguita, ma deve altresì prevedere, in maniera chiara e precisa, le condizioni sostanziali e procedurali che disciplinano tale accesso e tale trattamento, nonché l’ulteriore utilizzo di tali dati (208) e prevedere garanzie adeguate a ciascuna fase di tale processo. Ho già evocato, in sede di esame della seconda questione pregiudiziale, le garanzie che corredano il trasferimento dei dati PNR alle UIP. Passerò in rassegna, nell’esaminare la sesta questione pregiudiziale, quelle che accompagnano più specificamente il trattamento automatizzato di tali dati nonché, nell’ambito dell’esame dell’ottava questione pregiudiziale, quelle connesse alla loro conservazione.
207. Prima di procedere a tale esame, desidero sottolineare l’importanza fondamentale rivestita, nell’ambito del sistema di garanzie attuato dalla direttiva PNR, dal controllo esercitato dall’autorità indipendente di cui all’articolo 15 di tale direttiva. In conformità a quest’articolo, tutti i trattamenti di dati previsti da detta direttiva sono sottoposti alla sorveglianza di un’autorità di controllo indipendente la quale ha il potere di verificare la liceità di tale trattamento, svolgere indagini, ispezioni e audit e trattare i reclami presentati dagli interessati. Un siffatto controllo, esercitato da un soggetto esterno, incaricato della difesa di interessi potenzialmente in conflitto con quelli perseguiti dagli autori dei trattamenti dei dati PNR, e investito del ruolo di vigilare sul rispetto di tutte le limitazioni e le salvaguardie che accompagnano detti trattamenti, costituisce una garanzia essenziale, esplicitamente enunciata all’articolo 8, paragrafo 3, della Carta, la cui efficacia, in termini di tutela dei diritti fondamentali interessati, è persino superiore al sistema dei mezzi di ricorso messi a disposizione dei cittadini. È pertanto fondamentale, a mio avviso, che la Corte interpreti estensivamente la portata dei poteri di sorveglianza previsti all’articolo 15 della direttiva PNR e che gli Stati membri, al momento della trasposizione di tale direttiva nel diritto interno, riconoscano alla loro autorità nazionale di controllo tali poteri nella loro intera portata, munendola dei mezzi materiali e umani necessari allo svolgimento del suo compito.
208. Sulla base dell’insieme delle considerazioni che precedono, ritengo che la direttiva PNR non ecceda i limiti dello stretto necessario nella parte in cui consente il trasferimento e il trattamento automatizzato dei dati di chiunque risponda alla nozione di «passeggero» ai sensi dell’articolo 3, punto 4, di tale direttiva.
iv) Sul carattere sufficientemente chiaro, preciso e limitato allo stretto necessario della valutazione preliminare dei passeggeri (sesta questione pregiudiziale)
209. Con la sua sesta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte se la valutazione preliminare prevista all’articolo 6 della direttiva PNR sia compatibile con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta. Benché il testo di tale questione si focalizzi sul carattere sistematico e generalizzato del trattamento automatizzato dei dati PNR di tutti i passeggeri aerei che tale valutazione preliminare comporta, dalla motivazione della decisione di rinvio si evince che la Cour constitutionnelle (Corte costituzionale) chiede alla Corte una valutazione più globale del rispetto dei requisiti di legalità e proporzionalità nel contesto di un siffatto trattamento. Procederò nel prosieguo a tale valutazione, rinviando al contempo all’analisi effettuata in sede di esame della quarta questione pregiudiziale per quanto riguarda il carattere indiscriminato di detto trattamento automatizzato.
210. L’articolo 6, paragrafo 2, lettera a), della direttiva PNR prevede che le UIP procedano a una valutazione preliminare dei passeggeri aerei prima dell’arrivo previsto nello Stato membro o della partenza prevista dallo Stato membro. Tale valutazione è intesa a identificare i soggetti da sottoporre a ulteriore verifica da parte delle autorità competenti, «in considerazione del fatto che gli stessi potrebbero essere implicati in reati di terrorismo o in reati gravi». In conformità all’articolo 6, paragrafo 6, della direttiva PNR, l’UIP di uno Stato membro trasmette i dati PNR dei passeggeri identificati nell’ambito di tale valutazione o il risultato del trattamento di tali dati, per «ulteriore verifica», alle autorità competenti, di cui all’articolo 7 di detta direttiva, dello stesso Stato membro.
211. Ai sensi dell’articolo 6, paragrafo 3, della direttiva PNR, la valutazione preliminare realizzata ai sensi del paragrafo 2, lettera a), di tale articolo viene effettuata confrontando i dati PNR con banche dati «pertinenti» [articolo 6, paragrafo 3, lettera a)] o trattandoli sulla base di criteri prestabiliti [articolo 6, paragrafo 3, lettera b)].
212. Prima di procedere all’esame di ciascuno di questi due tipi di trattamento di dati, rilevo che dal summenzionato testo dell’articolo 6, paragrafo 3, non risulta chiaramente se gli Stati membri siano tenuti a prevedere che la valutazione preliminare dei passeggeri venga effettuata procedendo sistematicamente e in tutti i casi sia all’una sia all’altra analisi automatizzata oppure se, come sembrerebbe avvalorare l’impiego del verbo «potere» e della congiunzione disgiuntiva «o», essi siano autorizzati a strutturare i loro sistemi in modo da riservare, ad esempio, l’esame previsto al paragrafo 3, lettera b), di tale articolo 6 a casi specifici. A tal riguardo, preciso che la proposta di direttiva PNR prevedeva che tale esame venisse condotto unicamente nell’ambito della lotta contro i reati gravi di natura transfrontaliera (209).
213. Al pari della Commissione, ritengo che dall’economia della direttiva PNR si evinca segnatamente che gli Stati membri sono tenuti a prevedere i due tipi di trattamenti automatizzati, per ragioni concernenti parimenti la necessità di assicurare un’applicazione il più uniforme possibile del sistema di trattamento dei dati PNR dell’Unione. Ciò non implica tuttavia che gli Stati membri non siano autorizzati – e persino tenuti, al fine di garantire che il trattamento di dati che la valutazione preliminare effettuata in conformità all’articolo 6, paragrafo 2, lettera a), della direttiva PNR comporta sia limitato a quanto strettamente necessario – a circoscrivere l’analisi, ai sensi dell’articolo 6, paragrafo 3, lettera b), della direttiva PNR in funzione dei suoi risultati in termini di efficacia per ciascun reato di cui a tale direttiva e, se del caso, a riservarla soltanto a taluni fra tali reati. Depone in tal senso il considerando 7 della direttiva PNR, secondo il quale «affinché il trattamento dei dati PNR rimanga nei limiti di ciò che è necessario, è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi per cui l’uso di tali criteri risulta pertinente».
– Sul confronto con le banche dati ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR
214. La prima parte della valutazione preliminare alla quale procedono le UIP ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, implica, in conformità al paragrafo 3, lettera a), di tale articolo, di confrontare i dati PNR («data matching») con banche dati, al fine di ricercare eventuali riscontri positivi («hits»). Tali hits sono destinati ad essere verificati dalle UIP, in conformità all’articolo 6, paragrafo 5, della direttiva PNR e, se del caso, ad essere tradotti in «match» prima di essere comunicati alle autorità competenti.
215. Come riconosciuto dalla Corte al punto 172 del parere 1/15, la portata dell’ingerenza che questi tipi di analisi automatizzate comportano nei diritti sanciti agli articoli 7 e 8 della Carta dipende essenzialmente dalle banche dati sulle quali esse si fondano. È essenziale, di conseguenza, che le disposizioni che prevedono siffatti trattamenti di dati individuino in maniera sufficientemente chiara e precisa le banche dati con le quali è autorizzato il controllo incrociato dei dati da trattare.
216. Ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, le UIP procedono ad un confronto dei dati PNR con «banche dati pertinenti» (210) alla luce degli obiettivi perseguiti da tale direttiva. Tale disposizione menziona parimenti una categoria specifica di banche dati, ossia quelle riguardanti «persone o oggetti ricercati o segnalati», alle quali il legislatore dell’Unione ha dunque inteso conferire esplicitamente la qualifica di «pertinenti» ai sensi di tale disposizione.
217. Al di là di tale precisazione, la nozione di «banche dati pertinenti» non viene ulteriormente esplicitata. In particolare, non viene indicato se, per essere considerate «pertinenti», le banche dati utilizzate ai fini del controllo incrociato dei dati PNR debbano essere gestite da autorità di contrasto o, più in generale, da qualsiasi autorità pubblica, o semplicemente essere accessibili direttamente o indirettamente alle medesime. Neanche la natura dei dati che siffatte banche possono contenere e il loro rapporto con gli obiettivi perseguiti dalla direttiva PNR vengono precisati (211). Peraltro, dal dettato dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR risulta che possono essere qualificate come «banche dati pertinenti» banche dati sia nazionali e dell’Unione sia internazionali, il che amplia ulteriormente l’elenco delle banche dati potenzialmente contemplate e aumenta il carattere aperto di tale nozione (212).
218. In tali circostanze, in forza del principio generale di interpretazione richiamato al paragrafo 151 delle presenti conclusioni, spetta alla Corte interpretare, per quanto possibile, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR e, segnatamente, la nozione di «banche dati pertinenti» in conformità ai requisiti di chiarezza e precisione richiesti dalla Carta. Inoltre, poiché tale disposizione prevede un’ingerenza nei diritti fondamentali enunciati agli articoli 7 e 8 della Carta, essa deve essere interpretata in maniera restrittiva e tenendo conto della necessità di assicurare un livello elevato di protezione di tali diritti fondamentali, come affermata segnatamente al considerando 15 della direttiva PNR. Essa deve inoltre essere interpretata alla luce del principio della limitazione delle finalità per le quali i dati PNR possono essere trattati, enunciato all’articolo 1, paragrafo 2, della direttiva PNR.
219. Alla luce di tali criteri, occorre interpretare la nozione di «banche dati pertinenti», a mio avviso, nel senso che essa riguarda unicamente le banche dati nazionali gestite dalle autorità competenti ai sensi dell’articolo 7, paragrafo 1, della direttiva PNR, nonché le banche dati dell’Unione e internazionali direttamente utilizzate da tali autorità nell’ambito delle loro funzioni. Dette banche dati devono intrattenere inoltre un rapporto diretto e stretto con le finalità di lotta contro il terrorismo e i reati gravi perseguite dalla direttiva PNR, il che implica che esse siano state sviluppate per tali finalità. Così interpretata, tale nozione va riferita essenzialmente, se non esclusivamente, alle banche dati riguardanti persone od oggetti ricercati o segnalati, menzionate esplicitamente all’articolo 6, paragrafo 3, lettera a), della direttiva PNR.
220. Sono escluse in via generale dalla nozione di «banche dati pertinenti» le banche dati gestite o utilizzate dai servizi segreti degli Stati membri, a meno che esse non soddisfino rigorosamente la condizione di essere strettamente connesse agli obiettivi perseguiti dalla direttiva PNR, e che lo Stato membro in questione riconosca ai suoi servizi segreti competenze specifiche nel settore delle attività di contrasto (213).
221. L’interpretazione appena proposta è in linea con le raccomandazioni formulate dalla Corte al punto 172 del parere 1/15.
222. Tuttavia, anche così interpretato, l’articolo 6, paragrafo 3, lettera a), della direttiva PNR non consente un’individuazione sufficientemente precisa delle banche dati che verranno utilizzate dagli Stati membri nell’ambito del controllo incrociato con i dati PNR e non può essere considerato conforme ai requisiti risultanti dall’articolo 52, paragrafo 1, della Carta, come interpretato dalla Corte. Tale disposizione deve essere pertanto letta nel senso che essa obbliga gli Stati membri, nell’ambito della trasposizione in diritto nazionale della direttiva PNR, a pubblicare un elenco di dette banche dati e ad aggiornarlo. Sarebbe inoltre auspicabile che un elenco delle banche dati «pertinenti», ai sensi dell’articolo 6, paragrafo 3, lettera a), della direttiva PNR, gestite dall’Unione in collaborazione con gli Stati membri, e delle banche dati internazionali sia redatto a livello dell’Unione, al fine di rendere uniforme al riguardo la prassi degli Stati membri.
– Sul trattamento dei dati PNR secondo criteri prestabiliti
223. La seconda parte della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR consiste in un’analisi automatizzata alla luce di criteri prestabiliti. Nell’ambito di tale analisi, i dati PNR vengono trattati, essenzialmente, a fini predittivi, tramite l’applicazione di algoritmi che si ritiene consentano di «identificare» i passeggeri che potrebbero essere coinvolti in reati di terrorismo o in reati gravi. In tale contesto, l’UIP procede, in sostanza, ad un’attività di profilazione (214). Essendo idoneo ad avere conseguenze significative per gli individui identificati dall’algoritmo (215), un siffatto trattamento richiede una precisa regolamentazione per quanto riguarda sia le modalità della sua realizzazione sia le garanzie che devono accompagnarlo. Infatti, come rilevato dalla Corte al punto 172 del parere 1/15, la portata dell’ingerenza che questi tipi di analisi comportano nei diritti sanciti agli articoli 7 e 8 della Carta dipende essenzialmente dai modelli e dai criteri prestabiliti applicati.
224. A tal riguardo rilevo, in primo luogo, che l’articolo 6, paragrafo 4, seconda frase, della direttiva PNR precisa che i criteri prestabiliti secondo i quali è effettuata la valutazione preliminare prevista all’articolo 6, paragrafo 3, lettera b), di tale direttiva, devono essere «mirati, proporzionati e specifici». Il primo di tali requisiti è collegato all’obiettivo di cui alla valutazione preliminare prevista al paragrafo 2, lettera a), di tale articolo, ossia l’identificazione delle persone da sottoporre a ulteriore verifica da parte delle autorità competenti, e risponde dunque alla necessità, messa in evidenza dalla Corte nel parere 1/15, che i criteri utilizzati abbiano come «obiettivo» gli individui sui quali potrebbe gravare un «sospetto ragionevole» di partecipazione a reati di terrorismo o a reati gravi (216). Una siffatta «focalizzazione» implica l’applicazione di criteri di valutazione astratti o, per utilizzare un’espressione che figura nella raccomandazione del 2021 sulla profilazione, di «profili» (217) tramite i quali «filtrare» i dati PNR al fine di reperire i passeggeri ad essi corrispondenti e che potrebbero, pertanto, dover essere sottoposti ad un controllo più approfondito. Per contro, la direttiva PNR non autorizza una profilazione individuale di tutti i passeggeri aerei dei quali vengono analizzati i dati, ad esempio associando a ciascuno di essi una categoria di rischio su una scala predefinita, pena la violazione sia dell’articolo 6, paragrafo 4, di tale direttiva sia dei limiti imposti dalla Corte al trattamento automatizzato dei dati PNR nel parere 1/15.
225. In conformità all’articolo 6, paragrafo 4, seconda frase, i criteri prestabiliti di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono, inoltre, essere «specifici» (218), ossia adeguati agli obiettivi perseguiti e pertinenti rispetto ad essi, nonché «proporzionati» (219), vale a dire non eccedenti i limiti di tale finalità. Per soddisfare tali requisiti, e segnatamente «affinché il trattamento dei dati PNR rimanga nei limiti di ciò che è necessario», il considerando 7 della direttiva PNR, come ho già sottolineato, enuncia che «è opportuno che la definizione e l’applicazione dei criteri di valutazione siano limitate ai reati di terrorismo e a reati gravi per cui l’uso di tali criteri risulta pertinente».
226. Infine, tanto dal preambolo e dalle disposizioni della direttiva PNR quanto dai requisiti enunciati dalla Corte nel parere 1/15 si evince che i criteri prestabiliti di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono parimenti essere «affidabili» (220), il che significa, da un lato, che essi devono essere concepiti per ridurre al minimo il rischio di errori (221) e, dall’altro, che essi devono essere «aggiornati» (222). A tal riguardo, l’articolo 6, paragrafo 4, terza frase, della direttiva PNR impone agli Stati membri di assicurare che tali criteri siano «stabiliti dall’UIP e periodicamente rivisti in cooperazione con le autorità competenti di cui all’articolo 7» (223). Al fine di garantire l’affidabilità di tali criteri e limitare il più possibile risultati erroneamente positivi, è inoltre necessario, come riconosciuto dalla Commissione in risposta ad un quesito scritto posto dalla Corte, che essi siano concepiti in modo da tenere conto sia degli elementi a carico sia degli elementi a discarico.
227. In secondo luogo, la direttiva PNR vieta espressamente la profilazione discriminatoria. Così l’articolo 6, paragrafo 4, prima frase, di tale direttiva, prevede che la valutazione preliminare secondo criteri prestabiliti di cui al paragrafo 3, lettera b), di tale articolo, «è effettuata in modo non discriminatorio». A tal riguardo, occorre precisare che, benché la terza frase di tale articolo 6, paragrafo 4, enunci che detti criteri «non sono in alcun caso basati sull’origine razziale o etnica, sulle opinioni politiche, sulla religione o sulle convinzioni filosofiche, sull’appartenenza sindacale, sullo stato di salute, sulla vita sessuale o sull’orientamento sessuale dell’interessato», il divieto generale di profilazione discriminatoria deve essere inteso come comprendente tutti i motivi di discriminazione menzionati all’articolo 21 della Carta, anche quelli che non sono espressamente menzionati (224).
228. In terzo luogo, sia dal testo dell’articolo 6, paragrafo 3, lettera b), della direttiva PNR sia dal sistema di garanzie che accompagna il trattamento automatizzato dei dati PNR previsto dalla direttiva PNR risulta che il funzionamento degli algoritmi utilizzati nell’ambito dell’analisi prevista a tale disposizione deve essere trasparente, e il risultato della loro applicazione tracciabile. Tale requisito di trasparenza non implica evidentemente che i «profili» utilizzati debbano essere resi pubblici. Per contro, essa richiede che venga assicurato il carattere identificabile del processo decisionale algoritmico. Infatti, da un lato, il requisito secondo cui i criteri alla luce dei quali deve essere effettuata tale analisi devono essere «prestabiliti» esclude che essi possano essere modificati senza intervento umano e osta, pertanto, all’utilizzazione di tecnologie di intelligenza artificiale cosiddette «machine learning» (225) le quali, pur potendo presentare un più elevato grado di precisione, sono difficili da interpretare, anche per gli operatori che hanno proceduto al trattamento automatizzato (226). Dall’altro, la garanzia enunciata all’articolo 6, paragrafi 5 e 6, della direttiva PNR, secondo la quale i riscontri positivi a seguito del trattamento automatizzato dei dati PNR effettuato a norma del paragrafo 2, lettera a), di tale articolo sono singolarmente sottoposti a un esame non automatizzato, per essere effettiva, richiede – nel caso dell’analisi di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR – che sia possibile comprendere la ragione per la quale il programma è arrivato ad un siffatto riscontro, il che non può essere assicurato segnatamente quando vengono utilizzati sistemi di autoapprendimento. Lo stesso vale per il controllo della liceità di tale analisi, anche per quanto riguarda il carattere non discriminatorio dei risultati ottenuti, di cui sono investiti il responsabile della protezione dei dati e l’autorità nazionale di controllo ai sensi, rispettivamente, dell’articolo 6, paragrafo 7, della direttiva PNR, e dell’articolo 15, paragrafo 3, lettera b), di tale direttiva. La trasparenza del funzionamento degli algoritmi utilizzati è parimenti una condizione necessaria al fine di consentire agli interessati di esercitare i loro diritti di reclamo, nonché il loro diritto ad un ricorso giurisdizionale effettivo.
– Sulle garanzie relative al trattamento automatizzato dei dati PNR
229. Ho già avuto occasione di menzionare talune garanzie che accompagnano il trattamento automatizzato dei dati PNR nell’ambito della valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, e che soddisfano i requisiti enunciati dalla Corte nel parere 1/15, ossia il divieto di trattamento sulla base di criteri prestabiliti discriminatori (articolo 6, paragrafo 4, prima e quarta frase, della direttiva PNR; parere 1/15, punto 172), l’aggiornamento periodico dei criteri prestabiliti sulla scorta dei quali deve essere effettuata la valutazione preliminare di cui all’articolo 6, paragrafo 3, lettera b), di tale direttiva (articolo 6, paragrafo 4, terza frase, della direttiva PNR; parere 1/15, punto 174), il riesame non automatizzato dei riscontri positivi a seguito del trattamento automatizzato dei dati PNR (articolo 6, paragrafi 5 e 6, della direttiva PNR; parere 1/15, punto 173) e il controllo della liceità di tale trattamento da parte del responsabile della protezione dei dati e da parte dell’autorità nazionale di controllo [articolo 6, paragrafo 7, e articolo 15, paragrafo 3, lettera b), della direttiva PNR]. In tale contesto, è essenziale che il controllo effettuato da un’autorità indipendente, come l’autorità di cui all’articolo 15 della direttiva PNR, da un lato, possa vertere su ogni aspetto inerente al trattamento automatizzato dei dati PNR, inclusa l’individuazione delle banche dati utilizzate ai fini del confronto ai sensi dell’articolo 6, paragrafo 3, lettera a), di tale direttiva e l’elaborazione dei criteri prestabiliti applicati ai fini dell’analisi ai sensi dell’articolo 6, paragrafo 3, lettera b), di detta direttiva e, dall’altro, possa essere esercitato sia ex ante sia ex post.
230. Occorre sottolineare che le garanzie succitate devono essere considerate applicabili in maniera trasversale ai due tipi di analisi di cui all’articolo 6, paragrafo 3, della direttiva PNR, e ciò malgrado i termini in cui esse sono formulate. In tal senso, benché l’articolo 6, paragrafo 4, prima frase, di detta direttiva richiami l’obbligo del rispetto del principio di non discriminazione soltanto in relazione alla valutazione preliminare realizzata alla luce di criteri prestabiliti, tale obbligo si impone in tutte le fasi del processo di trattamento dei dati PNR e dunque anche qualora essi vengano confrontati con le banche dati pertinenti nell’ambito della valutazione preliminare ai sensi dell’articolo 6, paragrafo 3, lettera a), di tale direttiva. Lo stesso vale per il requisito secondo il quale i criteri prestabiliti utilizzati nell’ambito dell’analisi di cui all’articolo 6, paragrafo 3, lettera b), della direttiva PNR devono essere affidabili e aggiornati, il quale deve essere inteso come comprendente parimenti i dati contenuti nelle banche dati utilizzate ai fini del confronto previsto all’articolo 6, paragrafo 3, lettera a), di tale direttiva. A questo proposito rilevo, più in generale, che tutte le garanzie applicabili ai trattamenti automatizzati di dati personali previsti dalla direttiva polizia sono parimenti applicabili nell’ambito della direttiva PNR, poiché le analisi automatizzate realizzate nell’ambito di tale direttiva devono essere considerate rientranti nel campo di applicazione della direttiva polizia.
231. Alle garanzie elencate al precedente paragrafo 229, si aggiunge quella prevista all’articolo 7, paragrafo 6, della direttiva PNR, la quale completa, da un lato, il divieto di fondare ogni processo decisionale esclusivamente sui risultati del trattamento automatizzato dei dati PNR e, dall’altro, il divieto di discriminazioni nel trattamento e nell’utilizzazione di tali dati. In tal senso, siffatta disposizione prevede che «le autorità competenti non devono adottare decisioni che comportino conseguenze giuridiche negative per l’interessato, o lo danneggino in modo significativo, soltanto sulla base del trattamento automatizzato dei dati PNR» e che tali decisioni «non devono essere adottate sulla base dell’origine razziale o etnica, delle opinioni politiche, della religione o delle convinzioni filosofiche, dell’appartenenza sindacale, dello stato di salute, della vita sessuale o dell’orientamento sessuale dell’interessato». Al pari di quanto precisato al paragrafo 227 delle presenti conclusioni in relazione all’articolo 6, paragrafo 4, quarta frase, della direttiva PNR, occorre integrare tale catalogo di motivi di discriminazione aggiungendovi quelli figuranti all’articolo 21 della Carta e che non sono espressamente menzionati.
232. Per quanto riguarda la sicurezza dei dati PNR, l’articolo 6, paragrafo 8, della direttiva PNR prevede che la conservazione, il trattamento e l’analisi di tali dati da parte delle UIP siano effettuati esclusivamente in un luogo o in luoghi sicuri all’interno del territorio degli Stati membri.
– Conclusione sulla sesta questione pregiudiziale
233. Alla luce dell’insieme delle considerazioni che precedono e fatte salve le interpretazioni proposte segnatamente ai paragrafi 213, 219, 220, 222, 227, 228, 230 e 231 delle presenti conclusioni, ritengo che il trattamento automatizzato dei dati PNR nell’ambito della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR rispetti i requisiti di chiarezza e precisione e sia limitato allo stretto necessario.
v) Sulla conservazione dei dati PNR (ottava questione pregiudiziale)
234. Con la sua ottava questione pregiudiziale, il giudice del rinvio chiede alla Corte se l’articolo 12 della direttiva PNR, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, senza distinguere a seconda che i passeggeri interessati si rivelino, nel quadro della valutazione preliminare, idonei o meno a presentare una minaccia per la sicurezza pubblica.
235. L’articolo 12, paragrafo 1, della direttiva PNR prevede che i dati PNR siano conservati in una banca dati «per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo». In conformità al paragrafo 2 di tale articolo, allo scadere di un «periodo iniziale [di conservazione]» (227) di sei mesi, i dati PNR sono resi anonimi mediante mascheratura di taluni dati che potrebbero servire a identificare direttamente l’interessato. Ai sensi del paragrafo 3 di detto articolo, allo scadere di tale periodo di sei mesi la comunicazione dei dati PNR integrali, inclusi gli elementi mascherati, è consentita solo se è «ragionevolmente» ritenuta necessaria ai fini dell’articolo 6, paragrafo 2, lettera b), della direttiva PNR ed è approvata da un’autorità giudiziaria o da un’altra autorità nazionale competente ai sensi del diritto nazionale per verificare se siano soddisfatte le condizioni per la comunicazione. Infine, il paragrafo 4 dello stesso articolo prevede che, allo scadere del periodo di cinque anni di cui al paragrafo 1, i dati PNR siano cancellati in via definitiva.
236. Da quanto precede risulta che la direttiva PNR stabilisce essa stessa il regime di conservazione dei dati PNR, inclusa la durata di tale conservazione, fissandola a cinque anni (228), cosicché gli Stati membri non hanno, in linea di principio, alcun potere discrezionale al riguardo, il che è stato peraltro confermato dalla Commissione. In tali circostanze, come ho già avuto occasione di osservare, l’ottava questione pregiudiziale, benché formulata come una questione di interpretazione, invita in realtà la Corte a pronunciarsi sulla compatibilità di detto regime con la Carta.
237. È un principio generale in materia di protezione dei dati personali che tali dati non debbano essere conservati in una forma che consenta l’identificazione, diretta o indiretta, degli interessati per un arco di tempo superiore al conseguimento delle finalità per le quali sono trattati (229). Peraltro, secondo una giurisprudenza costante, una normativa che preveda una conservazione dei dati personali deve sempre rispondere a criteri oggettivi, che dimostrino un rapporto tra i dati personali da conservare e l’obiettivo perseguito (230).
238. Nel parere 1/15, la Corte ha dichiarato, per quanto riguarda i dati raccolti al momento dell’ingresso in Canada, che il rapporto necessario tra i dati PNR e l’obiettivo perseguito dal progetto di accordo PNR Canada-UE era dimostrato per tutti i passeggeri aerei fintantoché si trovavano nel territorio di tale paese terzo (231). Per quanto riguarda, per contro, i passeggeri aerei che avevano lasciato il Canada e per i quali non era stato individuato un rischio in materia di terrorismo o di reati gravi di natura transnazionale al loro arrivo in tale paese terzo e fino alla loro partenza dal medesimo, la Corte ha dichiarato che un siffatto rapporto, sia pure indiretto, che giustificasse la conservazione dei loro dati PNR, non risultava esistente (232). Essa ha cionondimeno giudicato che una siffatta conservazione poteva essere ammissibile «[n]ei limiti in cui, tuttavia, sono identificati, in casi particolari, elementi obiettivi che consentano di ritenere che taluni passeggeri aerei possano, anche dopo la loro partenza dal Canada, presentare un rischio in termini di lotta al terrorismo e ai reati gravi di natura transnazionale» (233).
239. Trasposti nel contesto della direttiva PNR, i principi stabiliti dalla Corte nel parere 1/15 implicherebbero che i dati PNR dei voli extra-UE raccolti all’ingresso nell’Unione, nonché i dati PNR dei voli intra-UE raccolti all’ingresso nello Stato membro interessato possano essere conservati, dopo la loro analisi preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR, solo fintantoché i passeggeri interessati rimangano nel territorio dell’Unione o in quello di tale Stato membro. Per quanto riguarda i dati PNR dei voli extra-UE raccolti all’uscita dall’Unione e i dati PNR dei voli intra-UE raccolti all’uscita dallo Stato membro interessato, essi potrebbero essere conservati, in linea di principio, dopo detta valutazione preliminare, solo nel caso dei passeggeri per i quali elementi obiettivi consentano di rivelare l’esistenza di un rischio in termini di lotta al terrorismo e ai reati gravi (234).
240. I governi e le istituzioni che hanno presentato osservazioni dinanzi alla Corte si oppongono in via generale ad una trasposizione nell’ambito della presente causa dei principi stabiliti nel parere 1/15 in materia di conservazione dei dati PNR. A tal riguardo, non è effettivamente escluso che il ricorso, da parte della Corte, ad un criterio connesso al soggiorno dell’interessato nel territorio del Canada abbia potuto essere influenzato dalla circostanza che essa si trovava di fronte ad una conservazione di dati personali nel territorio di un paese terzo. È altrettanto possibile che l’applicazione di un simile criterio nel contesto della direttiva PNR possa tradursi concretamente in un’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali potenzialmente più significativa per talune categorie di persone, segnatamente quelle aventi la loro residenza permanente nell’Unione e che si spostano all’interno della stessa o vi rientrano dopo un soggiorno all’estero. È vero, infine, che detto criterio potrebbe rivelarsi di difficile attuazione nella prassi, quantomeno per i voli intra-EU, come sottolineato da taluni Stati membri e dal Consiglio.
241. Ciò non toglie che, anche a voler escludere il criterio al quale ha fatto ricorso la Corte nel parere 1/15, una conservazione della totalità dei dati PNR di tutti i passeggeri aerei, indipendentemente dal risultato della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR e senza che venga fatta alcuna distinzione in funzione del rischio in materia di terrorismo o di reati gravi sulla base di criteri oggettivi e verificabili, è contraria alla giurisprudenza costante della Corte richiamata al paragrafo 237 delle presenti conclusioni, che la Corte ha inteso applicare in detto parere. Orbene, le considerazioni illustrate ai paragrafi da 201 a 203 delle presenti conclusioni nell’ambito dell’esame della quarta questione pregiudiziale, benché consentano, a mio avviso, di giustificare il trasferimento generalizzato e indiscriminato dei dati PNR, nonché il loro trattamento automatico nell’ambito della valutazione preliminare prevista all’articolo 6, paragrafo 2, lettera a), della direttiva PNR, non consentono, a mio avviso, da sole, di giustificare una conservazione generalizzata e indiscriminata di tali dati, anche dopo una siffatta valutazione.
242. Rilevo inoltre che lo stesso periodo di conservazione di cinque anni è applicato sia alla lotta al terrorismo sia alla lotta ai reati gravi e, nell’ambito di quest’ultima finalità, a tutti i reati di cui all’allegato II senza eccezioni. Orbene, come risulta dalle considerazioni svolte al paragrafo 121 delle presenti conclusioni, detto elenco è particolarmente ampio e copre reati diversi quanto a tipologia e a gravità. A tal riguardo, occorre rilevare che la giustificazione addotta da praticamente tutti gli Stati membri e dalle istituzioni che hanno presentato osservazioni nel presente procedimento, relative alla durata e alla complessità delle indagini, viene evocata concretamente solo per i reati di terrorismo e per taluni reati aventi carattere eminentemente transnazionale, come il traffico di esseri umani o il traffico di stupefacenti nonché, più in generale, per talune forme di criminalità organizzata. Ricordo inoltre che, nel parere 1/15, una giustificazione simile è stata accettata dalla Corte solo in relazione alla conservazione dei dati PNR dei passeggeri aerei per i quali esiste un rischio oggettivo in termini di lotta al terrorismo o ai reati gravi di natura transnazionale, per i quali una conservazione dei dati di cinque anni è stata considerata rispettosa dei limiti di quanto strettamente necessario (235). Per contro, è stato giudicato che tale giustificazione non poteva autorizzare «un’archiviazione continua dei dati PNR di tutti i passeggeri aerei (…) ai fini di un eventuale accesso a detti dati, indipendentemente da un qualsivoglia collegamento con la lotta al terrorismo e ai reati gravi di natura transnazionale» (236).
243. È ben vero, come sottolineato dal Consiglio, dal Parlamento e dalla Commissione, nonché da tutti i governi che hanno presentato osservazioni sull’ottava questione pregiudiziale, che la direttiva PNR prevede garanzie specifiche sia per quanto riguarda la conservazione dei dati PNR, i quali sono in parte mascherati dopo un periodo iniziale di sei mesi, sia per quanto riguarda la loro utilizzazione durante il periodo di conservazione, la quale è soggetta a rigorose condizioni. Tuttavia, in primo luogo, rilevo, da un lato, che il progetto di accordo PNR Canada-UE prevedeva pure un sistema di spersonalizzazione dei dati PNR tramite mascheramento (237) e, dall’altro, che se una siffatta spersonalizzazione, come sottolineato segnatamente dal comitato consultivo della convenzione 108 (238), può attenuare i rischi indotti da un periodo di conservazione prolungato dei dati, come un accesso abusivo, i dati mascherati consentono cionondimeno ancora di identificare le persone e restano, a tale titolo, dati personali, la cui conservazione deve parimenti essere limitata nel tempo per prevenire una sorveglianza permanente generalizzata. A tal riguardo, rilevo che un termine di conservazione di cinque anni ha come conseguenza che un numero significativo di passeggeri, segnatamente quelli che si spostano all’interno dell’Unione, potranno ritrovarsi schedati in maniera quasi permanente. In secondo luogo, per quanto riguarda le restrizioni all’utilizzazione dei dati, osservo che la conservazione di dati personali e l’accesso a tali dati costituiscono ingerenze distinte nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, le quali devono essere giustificate in maniera autonoma. Se l’esistenza di garanzie rigorose in materia di accesso ai dati conservati consente di valutare globalmente l’impatto di una misura di sorveglianza su detti diritti fondamentali, ciò non toglie che esse non consentono di eliminare le ingerenze connesse ad una conservazione generalizzata prolungata.
244. Quanto all’argomento della Commissione secondo il quale è necessario conservare i dati PNR di tutti i passeggeri aerei per consentire alle UIP di assolvere al compito, previsto all’articolo 6, paragrafo 2, lettera c), della direttiva PNR, di aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), di tale articolo, rilevo che, pur ammettendo al contempo che la precisione di tali criteri dipende in parte dal loro confronto con comportamenti «normali», come affermato dalla Commissione, ciò non toglie che la loro elaborazione dev’essere effettuata sulla base dei comportamenti «criminali». Un siffatto argomento, il quale, del resto, è sollevato soltanto da un numero limitato di Stati membri, non può rivestire, a mio avviso, l’importanza decisiva che sembra attribuirgli la Commissione e giustificare, da solo, una conservazione generalizzata dei dati PNR di tutti i passeggeri aerei, in forma non anonima.
245. Alla luce delle considerazioni che precedono, al fine di assicurare un’interpretazione dell’articolo 12, paragrafo 1, della direttiva PNR che sia conforme agli articoli 7, 8 e all’articolo 52, paragrafo 1, della Carta, occorre interpretare tale disposizione, a mio avviso, nel senso che la conservazione dei dati PNR trasmessi dai vettori aerei all’UIP in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo è consentita, dopo che è stata effettuata la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), di tale direttiva, solo nella misura in cui sia accertato, sulla base di criteri oggettivi, un rapporto fra tali dati e la lotta al terrorismo o ai reati gravi. Una conservazione generalizzata e indiscriminata dei dati PNR in una forma non anonimizzata può essere giustificata, in analogia a quanto affermato dalla Corte in questa stessa giurisprudenza, solo a fronte di una minaccia grave per la sicurezza degli Stati membri che si riveli reale e attuale o prevedibile, connessa, ad esempio, ad attività terroristiche, e a condizione che la durata di tale conservazione sia limitata allo stretto necessario.
246. La delimitazione della misura di conservazione prevista all’articolo 12, paragrafo 1, della direttiva PNR può essere fondata, ad esempio, su una valutazione dei rischi o sull’esperienza acquisita dalle autorità nazionali competenti, che consentano di prendere in considerazione taluni collegamenti aerei, modalità di viaggio definite, agenzie tramite le quali vengono fatte le prenotazioni o, ancora, determinate categorie di persone o zone geografiche, individuate sulla base di elementi oggettivi e non discriminatori, al pari di quanto statuito dalla Corte nella sua giurisprudenza in materia di conservazione dei metadati delle comunicazioni elettroniche (239). Inoltre, in analogia al parere 1/15, il rapporto necessario tra i dati PNR e l’obiettivo perseguito dalla direttiva PNR deve essere considerato accertato fintantoché i passeggeri aerei si trovano nell’Unione (o nello Stato membro interessato) o in partenza dalla stessa. Lo stesso vale per i dati dei passeggeri che hanno dato luogo ad un riscontro positivo verificato.
247. Per concludere sull’ottava questione pregiudiziale, desidero dedicare alcune riflessioni alle norme che disciplinano l’accesso ai dati PNR e la loro utilizzazione dopo la realizzazione della valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), della direttiva PNR e prima della loro spersonalizzazione allo scadere del periodo iniziale di conservazione di sei mesi previsto all’articolo 12, paragrafo 2, della direttiva PNR.
248. Dal combinato disposto dell’articolo 6, paragrafo 2, lettera b), e dell’articolo 12, paragrafo 3, della direttiva PNR risulta che, durante tale periodo iniziale, i dati PNR non spersonalizzati o il risultato del loro trattamento possono essere comunicati alle autorità competenti in conformità alla prima di tali disposizioni, senza che siano rispettate le condizioni fissate alle lettere a) e b) della seconda di dette disposizioni (240). L’articolo 6, paragrafo 2, lettera b), della direttiva PNR si limita infatti a prevedere che la richiesta delle autorità competenti in vista di un siffatto trattamento e di una siffatta comunicazione debba essere «debitamente motivata» e «basata su motivi sufficienti».
249. Secondo una costante giurisprudenza, richiamata dalla Corte nel parere 1/15, una normativa dell’Unione non può limitarsi ad esigere che l’accesso delle autorità a dati personali legalmente conservati risponda ad una delle finalità di tale normativa, ma deve prevedere anche le condizioni sostanziali e procedurali che disciplinino tale utilizzo (241) al fine, segnatamente, di proteggere detti dati contro i rischi di abuso (242). In tale parere, la Corte ha dichiarato che l’uso dei dati PNR dopo la loro verifica all’ingresso dei passeggeri aerei in Canada e durante il loro soggiorno in tale paese doveva fondarsi su nuove circostanze che lo giustificassero (243), precisando che «qualora esistano elementi obiettivi che consentano di ritenere che i dati PNR di uno o più passeggeri aerei possano fornire un contributo effettivo all’obiettivo di lotta contro i reati di terrorismo e i reati gravi di natura transnazionale, l’uso di tali dati non sembra eccedere i limiti dello stretto necessario» (244). Rinviando per analogia al punto 120 della sentenza Tele2 Sverige, la Corte ha dichiarato che, al fine di garantire, in pratica, il pieno rispetto di tali condizioni, «è essenziale che l’uso durante il soggiorno dei passeggeri aerei in Canada dei dati PNR conservati sia subordinato, in linea di principio, salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato o da un giudice, o da un ente amministrativo indipendente, e che la decisione di tale giudice o di detto ente intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale» (245). La Corte ha pertanto assoggettato la possibilità di un uso dei dati PNR conservati dopo la loro verifica in occasione del viaggio aereo ad una duplice condizione, al contempo sostanziale – ossia l’esistenza di motivi oggettivi che giustifichino siffatto uso – e procedurale – ossia il controllo da parte di un giudice o di un’autorità amministrativa indipendente. L’interpretazione della Corte, lungi dall’essere «contestuale», costituisce l’applicazione in materia di dati PNR della giurisprudenza scaturita segnatamente dalle sentenze Digital Rights e Tele2 Sverige.
250. Orbene, il regime instaurato dalla direttiva PNR nel corso dei primi sei mesi di conservazione dei dati PNR, il quale autorizza, dopo la valutazione preliminare di cui all’articolo 6, paragrafo 2, lettera a), di tale direttiva, la comunicazione e il trattamento, potenzialmente ripetuti, dei dati PNR, in assenza di garanzie procedurali adeguate e di norme sostanziali sufficientemente chiare e precise che definiscano l’oggetto e le modalità di queste diverse ingerenze, non rispetta i requisiti enunciati dalla Corte nel parere 1/15. Esso non risulta neanche soddisfare il requisito di un uso dei dati PNR che sia limitato allo stretto necessario.
251. Propongo pertanto alla Corte di interpretare l’articolo 6, paragrafo 2, lettera b), della direttiva PNR in modo tale che i trattamenti di dati ai sensi di siffatta disposizione, i quali abbiano luogo nel corso del periodo iniziale di sei mesi previsto all’articolo 12, paragrafo 2, di tale direttiva, rispettino i requisiti fissati dalla Corte nel parere 1/15.
252. Per quanto riguarda la prima condizione, di ordine sostanziale, alla quale la Corte ha subordinato l’uso ulteriore dei dati PNR, ritengo che l’espressione «ragionevolmente» ai sensi dell’articolo 12, paragrafo 3, lettera a), della direttiva PNR e la nozione di «motivi sufficienti» ai sensi dell’articolo 6, paragrafo 2, lettera b), di tale direttiva possano essere interpretate senza difficoltà nel senso che le richieste da parte delle autorità competenti, di cui a tali disposizioni, devono fare riferimento a «elementi obiettivi che consentano di ritenere che i dati PNR di uno o più passeggeri aerei possano fornire un contributo effettivo all’obiettivo di lotta contro i reati di terrorismo e i reati gravi» (246).
253. Per quanto riguarda la seconda condizione, di ordine procedurale, a mio avviso, occorre interpretare l’articolo 6, paragrafo 2, lettera b), della direttiva PNR, in combinato disposto con l’articolo 12, paragrafo 3, della stessa e alla luce degli articoli 7, 8 e dell’articolo 52, paragrafo 1, della Carta, nel senso che il requisito della previa approvazione da parte di un’autorità giudiziaria o di un’autorità amministrativa indipendente, previsto all’articolo 12, paragrafo 3, lettera b), di tale direttiva, si applica a tutti i trattamenti dei dati PNR effettuati in applicazione di detto articolo 6, paragrafo 2, lettera b).
4. Conclusioni sulla seconda, terza, quarta, sesta e ottava questione pregiudiziale
254. Sulla base dell’insieme delle considerazioni che precedono, suggerisco alla Corte di dichiarare invalido il punto 12 dell’allegato I nei limiti in cui include le «osservazioni generali» fra le categorie di dati PNR che i vettori aerei sono tenuti a trasmettere alle UIP, in conformità all’articolo 8 della direttiva PNR, e di dichiarare che dall’esame della seconda, terza, quarta, sesta e ottava questione pregiudiziale non sono emersi altri elementi idonei ad incidere sulla validità di tale direttiva, fatte salve le interpretazioni delle disposizioni della stessa proposte ai paragrafi 153, 160, da 161 a 164, 219, 228, 239 e 251 delle presenti conclusioni.
255. Alla luce della risposta che suggerisco di dare alle questioni pregiudiziali vertenti sulla validità della direttiva PNR, la domanda presentata segnatamente dal Consiglio, intesa al mantenimento degli effetti della direttiva PNR nel caso in cui la Corte decidesse di dichiarare invalida in tutto o in parte la direttiva PNR nel suo complesso, non può essere accolta, a prescindere da ogni altra considerazione.
C. Sulla quinta questione pregiudiziale
256. Con la sua quinta questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se l’articolo 6 della direttiva PNR, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta, debba essere interpretato nel senso che esso osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo delle attività oggetto dei servizi segreti e di sicurezza. Dalla decisione di rinvio risulta che tali attività sono quelle svolte dalle forze di sicurezza dello Stato e dal servizio generale segreto e di sicurezza nell’ambito del loro compito relativo alla protezione della sicurezza nazionale.
257. Come ho illustrato ai paragrafi 113 e 114 delle presenti conclusioni, la limitazione delle finalità del trattamento dei dati personali è una garanzia essenziale da rispettare affinché le ingerenze nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta non eccedano quanto necessario ai sensi della giurisprudenza della Corte. Ho parimenti già precisato che, nel caso delle ingerenze in tali diritti fondamentali previste dalla direttiva PNR, incombeva al legislatore dell’Unione, al fine di rispettare i principi di legalità e proporzionalità sanciti segnatamente all’articolo 52, paragrafo 1, della Carta, prevedere norme chiare e precise che disciplinassero la portata e l’applicazione delle misure comportanti siffatte ingerenze.
258. Orbene, l’articolo 1, paragrafo 2, della direttiva PNR precisa che i dati PNR raccolti a norma della medesima «possono essere trattati unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, secondo quanto previsto all’articolo 6, paragrafo 2, lettere a), b) e c)». In conformità a tale disposizione, le UIP trattano i dati PNR solo al fine di effettuare una valutazione preliminare dei passeggeri aerei [articolo 6, paragrafo 2, lettera a)], rispondere alle richieste specifiche delle autorità competenti [articolo 6, paragrafo 2, lettera b)] e aggiornare i criteri esistenti o definire nuovi criteri da usare nelle valutazioni effettuate ai sensi del paragrafo 3, lettera b), di detto articolo 6 [articolo 6, paragrafo 2, lettera a)]. Nei tre casi, vengono richiamati espressamente gli obiettivi indicati all’articolo 1, paragrafo 2, della direttiva PNR in materia di lotta al terrorismo e ai reati gravi.
259. Peraltro, l’articolo 7, paragrafo 4, di tale direttiva precisa che non solo il trattamento dei dati PNR previsto all’articolo 6 della stessa, ma anche l’ulteriore trattamento di tali dati e del risultato di tale trattamento da parte delle autorità competenti degli Stati membri devono essere limitati «unicamente al fine specifico di prevenire, accertare, indagare o perseguire reati di terrorismo o reati gravi».
260. Il carattere tassativo della determinazione degli obiettivi perseguiti dalla direttiva PNR emerge chiaramente dal testo del suo articolo 1, paragrafo 2, ed è corroborato, oltre che dal suo articolo 6, paragrafo 2, e dal suo articolo 7, paragrafo 4, già menzionati, da diversi articoli e considerando di tale direttiva, i quali ricollegano sistematicamente ciascuna fase del processo di accesso, trattamento, conservazione e condivisione dei dati PNR a questi soli obiettivi specifici (247).
261. Sia dal testo dell’articolo 1, paragrafo 2, della direttiva PNR sia dalla sua interpretazione alla luce dei principi di legalità e proporzionalità, i quali impongono di limitare in maniera tassativa le finalità delle misure che comportano ingerenze nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, si evince che ogni estensione delle finalità del trattamento dei dati PNR al di là degli obiettivi di sicurezza espressamente menzionati in tale disposizione è contraria alla direttiva PNR.
262. Tale divieto di ampliare gli obiettivi perseguiti dalla direttiva vale in particolare, a mio avviso, per quanto riguarda le attività dei servizi segreti e di sicurezza degli Stati membri, anche a causa del difetto di trasparenza che caratterizza il loro modus operandi. Su tale punto, le mie posizioni coincidono con quelle della Commissione, ossia che tali servizi non dovrebbero, in linea di principio, avere un accesso diretto ai dati PNR. In tale contesto, reputo già di per sé censurabile la circostanza che le UIP nazionali possano, come nel caso della UIP belga, annoverare fra i propri membri funzionari distaccati dei servizi di sicurezza (248).
263. Sulla base delle considerazioni che precedono, occorre rispondere alla quinta questione pregiudiziale, a mio avviso, dichiarando che la direttiva PNR, e segnatamente il suo articolo 1, paragrafo 2, e il suo articolo 6, deve essere interpretata nel senso che essa osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo di talune attività oggetto dei servizi segreti e di sicurezza nella misura in cui, nell’ambito di una siffatta finalità, l’UIP nazionale possa essere indotta a trattare detti dati e/o a trasmettere gli stessi o il risultato del loro trattamento a detti servizi a fini diversi da quelli indicati tassativamente all’articolo 1, paragrafo 2, di tale direttiva, circostanza che incombe al giudice nazionale verificare.
D. Sulla settima questione pregiudiziale
264. Con la sua settima questione, il giudice del rinvio chiede, in sostanza, alla Corte se l’articolo 12, paragrafo 3, lettera b), della direttiva PNR debba essere interpretato nel senso che l’UIP costituisce un’«autorità nazionale competente» ai sensi di tale disposizione, la quale può autorizzare la comunicazione dei dati PNR integrali allo scadere del periodo iniziale di sei mesi dal trasferimento di tali dati.
265. Ricordo che l’articolo 12, paragrafo 2, della direttiva PNR prevede che, allo scadere di un periodo di sei mesi, i dati PNR vengano resi anonimi mediante mascheratura di taluni elementi che potrebbero servire a identificare direttamente il passeggero cui essi si riferiscono. Dopo tale termine, la comunicazione integrale di detti dati è consentita solo alle condizioni previste al paragrafo 3 del citato articolo 12 e, segnatamente, qualora tale comunicazione sia stata preventivamente approvata da un’«autorità giudiziaria» [articolo 12, paragrafo 3, lettera b), i)] oppure da un’«altra autorità nazionale competente ai sensi del diritto nazionale per verificare se sono soddisfatte le condizioni per la comunicazione, fatti salvi l’informazione e l’esame a posteriori del responsabile della protezione dei dati dell’UIP» [articolo 12, paragrafo 3, lettera b), ii)].
266. La maggior parte dei governi che hanno presentato le loro osservazioni scritte nel presente procedimento non si è pronunciata sulla settima questione pregiudiziale. Il governo ceco ritiene, al pari della Commissione, che l’articolo 12, paragrafo 3, della direttiva PNR non possa essere interpretato nel senso che l’UIP possa costituire un’«autorità nazionale competente». Per contro, i governi belga (249), irlandese, spagnolo, francese e cipriota si oppongono ad una siffatta interpretazione. Essi ritengono, in sostanza, che nessuna disposizione della direttiva PNR o del diritto dell’Unione osti alla designazione dell’UIP fra le autorità nazionali competenti ai sensi dell’articolo 12, paragrafo 2, lettera b), ii), di detta direttiva, e che l’UIP, per sua natura, sia un’autorità tanto indipendente per poter procedere all’autorizzazione del trattamento dei dati PNR.
267. Da parte mia rilevo, in primo luogo, che dal testo dell’articolo 12, paragrafo 3, lettera b), della direttiva PNR e, segnatamente, dall’uso della congiunzione «o», che collega le due fattispecie ai punti i) e ii) di tale disposizione, risulta che il legislatore dell’Unione ha inteso mettere sullo stesso piano il controllo esercitato dall’autorità nazionale di cui al punto ii) e quello operato dall’autorità giudiziaria di cui al punto i). Ne consegue che detta autorità nazionale deve presentare un livello di indipendenza e imparzialità tale che il controllo da essa esercitato possa essere considerato un’alternativa comparabile al controllo che può essere effettuato da un’autorità giudiziaria (250).
268. In secondo luogo, dai lavori preparatori della direttiva PNR si evince che il legislatore dell’Unione, da un lato, non ha accolto la proposta della Commissione di affidare al responsabile dell’UIP il compito di autorizzare la comunicazione dei dati PNR integrali (251) e, dall’altro, ha esteso, portandolo a sei mesi, il periodo iniziale di conservazione di tali dati proposto da tale istituzione, pari a 30 giorni. È in tale contesto, caratterizzato dalla ricerca di un equilibrio fra la durata del periodo di conservazione prima della spersonalizzazione dei dati PNR e le condizioni alle quali è soggetto il loro smascheramento al termine di tale periodo, che si colloca la decisione del legislatore dell’Unione, di assoggettare l’accesso integrale ai dati PNR a condizioni procedurali più restrittive rispetto a quelle inizialmente previste dalla Commissione e di affidare ad un’autorità indipendente il compito di verificare che le condizioni per la comunicazione siano soddisfatte.
269. In terzo luogo, come osservato correttamente dalla Commissione, dall’economia della direttiva PNR risulta che la ratio del procedimento di approvazione previsto all’articolo 12, paragrafo 3, della direttiva PNR risiede nell’attribuzione ad un soggetto terzo imparziale del compito di procedere, in ciascun singolo caso di specie, ad una ponderazione fra i diritti degli interessati e la finalità repressiva perseguita da tale direttiva.
270. In quarto luogo, dalla giurisprudenza della Corte risulta che l’ente incaricato di effettuare il controllo preventivo, richiesto al fine di autorizzare l’accesso delle autorità nazionali competenti a dati personali legittimamente conservati, deve disporre di tutte le attribuzioni e presentare tutte le garanzie necessarie per garantire una conciliazione dei diversi interessi e diritti in questione. La Corte ha parimenti precisato che tale ente deve godere di uno status che gli permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale, e deve a tale scopo essere al riparo da qualsiasi influenza esterna (252). In particolare, alla luce del requisito di indipendenza richiesto, soprattutto in ambito penale, l’autorità incaricata di esercitare il controllo preventivo deve avere la qualità di terzo rispetto a quella che chiede l’accesso ai dati, di modo che essa non debba essere coinvolta nella conduzione di un’indagine penale e debba mantenere una posizione di neutralità nei confronti delle parti del procedimento penale (253).
271. Orbene, è giocoforza constatare che l’UIP non presenta tutte le garanzie di indipendenza e imparzialità che l’autorità incaricata di esercitare il controllo preventivo previsto all’articolo 12, paragrafo 3, della direttiva PNR deve soddisfare. Infatti, le UIP sono direttamente collegate alle autorità competenti in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. In conformità all’articolo 4, paragrafo 1, della direttiva PNR, l’UIP è essa stessa una siffatta autorità o una sua sezione. Peraltro, il paragrafo 3 di tale articolo prevede che i membri del personale delle UIP possano essere funzionari distaccati delle autorità competenti. È questo il caso, segnatamente, della UIP belga la quale, ai sensi dell’articolo 14 della legge PNR, è composta, tra l’altro, da membri distaccati dei servizi di polizia, delle forze di sicurezza dello Stato, del servizio generale segreto e di sicurezza e dell’amministrazione generale delle dogane e delle accise.
272. È vero che, in linea di principio, i membri della UIP devono offrire tutte le garanzie di integrità, competenza, trasparenza e indipendenza, e che incombe agli Stati membri fare in modo, se del caso, che, tenuto conto dei legami che li uniscono ai loro corpi di appartenenza, tali garanzie possano concretamente essere rispettate, segnatamente al fine di evitare che le autorità competenti nella cui struttura tali membri sono originariamente inseriti abbiano un accesso diretto alla banca dati PNR, e non unicamente ai risultati dei sequestri effettuati dalle UIP. Ciò non toglie che i membri delle UIP distaccati delle autorità competenti ai sensi dell’articolo 7, paragrafo 2, della direttiva PNR mantengano inevitabilmente un legame con i loro servizi di origine durante il periodo del loro distacco, conservando il loro status anche se sono sottoposti all’autorità funzionale e gerarchica del funzionario dirigente dell’UIP.
273. La conclusione secondo la quale l’UIP non è un’autorità nazionale ai sensi dell’articolo 12, paragrafo 3, lettera b), ii), della direttiva PNR è inoltre corroborata dalla circostanza che, in conformità a tale disposizione, il responsabile della protezione dei dati dell’UIP interessata deve essere «informa[to]» della richiesta di comunicazione ed esercita un «esame a posteriori». Infatti, nel caso in cui l’UIP fosse autorizzata, in quanto «altra autorità nazionale», ad approvare una richiesta di comunicazione ai sensi dell’articolo 12, paragrafo 3, della direttiva PNR, il responsabile della protezione dei dati, il quale è incaricato, tra l’altro, in conformità all’articolo 5, paragrafo 1, di tale direttiva, di attuare le pertinenti garanzie che accompagnano il trattamento dei dati PNR, verrebbe informato della domanda di accesso al momento della sua presentazione, e il suo controllo avverrebbe necessariamente ex ante (254).
274. Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere alla settima questione pregiudiziale dichiarando che l’articolo 12, paragrafo 3, lettera b), della direttiva PNR deve essere interpretato nel senso che l’UIP non costituisce un’«altra autorità nazionale competente» ai sensi di tale disposizione.
E. Sulla nona questione pregiudiziale
275. Con la sua nona questione pregiudiziale, il giudice del rinvio chiede, in sostanza, alla Corte, da un lato, se la direttiva API sia compatibile con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta nella misura in cui essa si applichi ai voli interni all’Unione e, dall’altro, se tale direttiva, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, debba essere interpretata nel senso che essa osta ad una normativa nazionale che, ai fini del contrasto all’immigrazione irregolare e del rafforzamento dei controlli alle frontiere, autorizza un sistema di raccolta e trattamento dei dati dei passeggeri che potrebbe comportare indirettamente una reintroduzione dei controlli alle frontiere interne.
276. Dalla decisione di rinvio emerge che siffatta questione pregiudiziale si inserisce nell’ambito dell’esame del secondo motivo di ricorso, dedotto dalla LDH in subordine. Tale motivo, relativo alla violazione dell’articolo 22 della Costituzione belga, in combinato disposto con l’articolo 3, paragrafo 2, TUE e con l’articolo 45 della Carta, è diretto avverso l’articolo 3, § 1, l’articolo 8, § 2 e il capo 11, segnatamente gli articoli da 28 a 31, della legge PNR. Mentre il primo di tali articoli enuncia, in termini generali, l’oggetto di tale legge, precisando che essa «stabilisce gli obblighi a carico dei vettori e degli operatori di viaggio in materia di trasmissione dei dati dei passeggeri diretti, provenienti o in transito sul territorio nazionale», l’articolo 8, § 2, di detta legge prevede che «nel rispetto delle condizioni previste al capo 11 [della stessa], i dati dei passeggeri sono inoltre trattati ai fini del rafforzamento dei controlli sulle persone alle frontiere esterne e del contrasto all’immigrazione irregolare». Nell’ambito di tale finalità, in conformità all’articolo 29, § 1, della legge PNR, solo i «dati dei passeggeri» di cui all’articolo 9, § 1, punto 18, della stessa (ossia i dati API menzionati al punto 18 della direttiva PNR), concernenti tre categorie di passeggeri, sono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri (Belgio). Si tratta dei «passeggeri che intendono entrare o che sono entrati sul territorio attraverso le frontiere esterne del Belgio», dei «passeggeri che intendono lasciare o che hanno lasciato il territorio attraverso le frontiere esterne del Belgio» e dei «passeggeri che intendono attraversare, si trovano o hanno attraversato una zona internazionale di transito sita in Belgio» (255). Dall’articolo 29, § 3, della legge PNR risulta che detti dati vengono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri dall’UIP «immediatamente dopo la loro registrazione nella banca dati dei passeggeri», e che vengono distrutti nelle ventiquattro ore successive alla loro trasmissione. Ai sensi di tale disposizione, decorso tale termine, l’Ufficio stranieri può parimenti rivolgere all’UIP una richiesta motivata al fine di ottenere l’accesso a questi stessi dati qualora ciò risulti necessario nell’ambito delle sue funzioni previste dalla legge. Pertanto, il contesto normativo nel quale si inserisce la nona questione pregiudiziale fuoriesce da quello della direttiva PNR, considerata la finalità perseguita dal trattamento di dati di cui agli articoli 28 e 29 della legge PNR, per inserirsi in quello della direttiva API. Peraltro, risulta segnatamente dal fascicolo depositato nella cancelleria della Corte che il secondo motivo della LDH si fonda su un’interpretazione delle disposizioni del capo 11 della legge PNR, secondo la quale esse si applicano parimenti in caso di attraversamento delle frontiere interne del Belgio.
277. La prima parte della nona questione pregiudiziale si fonda su un presupposto erroneo e, a mio avviso, non deve essere risolta dalla Corte. Infatti, dall’articolo 3, paragrafo 1, della direttiva API, in combinato disposto con l’articolo 2, lettere b) e d), della stessa risulta in maniera inequivocabile che tale direttiva prevede l’obbligo, per i vettori aerei, di trasmettere i dati API alle autorità incaricate del controllo delle persone alle frontiere esterne solo nel caso dei voli che trasportano passeggeri verso un valico autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Analogamente, l’articolo 6, paragrafo 1, di detta direttiva prevede unicamente il trattamento dei dati API relativi a tali voli. Peraltro, se è vero che la direttiva PNR prevede la possibilità per gli Stati membri di estendere l’obbligo di trasferimento dei dati API raccolti anche ai vettori aerei che effettuano voli intra-UE, tale estensione deve lasciare impregiudicata la direttiva API (256). Nel contesto della direttiva PNR, i dati API trasferiti verranno trattati soltanto nell’ambito delle attività di contrasto previste da tale direttiva. Viceversa, il considerando 34 della direttiva PNR enuncia che essa lascia impregiudicate le attuali norme dell’Unione sulle modalità di effettuazione dei controlli alle frontiere o le norme dell’Unione che regolamentano l’ingresso e l’uscita dal suo territorio, e l’articolo 6, paragrafo 9, seconda frase, di tale direttiva stabilisce che, se le valutazioni ai sensi del paragrafo 2 di tale articolo sono effettuate in relazione a voli intra-UE tra Stati membri cui si applica il codice frontiere Schengen (257), le conseguenze di tali valutazioni devono rispettare detto regolamento.
278. Riformulare tale parte della nona questione pregiudiziale, come suggerito, in subordine, dalla Commissione, nel senso che essa riguardi la compatibilità con le disposizioni del Trattato e della Carta non della direttiva API, bensì della direttiva PNR, e segnatamente del suo articolo 2, implicherebbe non solo la modifica dell’atto rispetto al quale il giudice del rinvio ha chiesto una valutazione della validità, ma significherebbe anche uscire dal contesto normativo nel quale tale questione pregiudiziale si colloca. Infatti, come ho spiegato, le disposizioni del capo 11 della legge PNR, contro le quali il secondo motivo di ricorso è diretto, traspongono la direttiva API e non la direttiva PNR.
279. Per il caso in cui la Corte procedesse ad una siffatta riformulazione, mi limito ad alcune riflessioni nel prosieguo per quanto riguarda, segnatamente, la questione se la valutazione preliminare che gli Stati membri sono autorizzati a svolgere sui dati PNR dei passeggeri dei voli intra-UE, in conformità alla facoltà di cui dispongono ai sensi dell’articolo 2 della direttiva PNR, possa essere considerata equivalente all’esercizio delle «verifiche di frontiera» ai sensi dell’articolo 23, lettera a), del codice frontiere Schengen (258). In primo luogo, benché la valutazione preliminare dei dati PNR avvenga non «al valico di frontiera» o al «momento dell’attraversamento della frontiera», bensì prima di tale momento, essa viene cionondimeno effettuata «a causa» dell’attraversamento imminente delle frontiere. In secondo luogo, in conformità all’articolo 2 della direttiva PNR, gli Stati membri sono autorizzati ad estendere la valutazione preliminare dei dati PNR prevista all’articolo 6, paragrafo 2, lettera a), della direttiva PNR ai passeggeri di tutti i voli intra-UE, indipendentemente dal comportamento dell’interessato e da circostanze che attestino l’esistenza di una minaccia per la sicurezza pubblica. Tale valutazione preliminare ha, inoltre, carattere sistematico. Orbene, né l’uno né l’altro di tali elementi sembrano soddisfare gli indizi di cui all’articolo 23, lettera a), seconda frase, ii), iii) e iv), del codice frontiere Schengen (259). In terzo luogo, per quanto riguarda gli indizi di cui alla lettera a), seconda frase, i) e iii), di tale articolo, mi chiedo se la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), della direttiva PNR non si sovrapponga, in tutto o in parte, alla finalità delle verifiche di frontiera effettuate ai sensi dell’articolo 8, paragrafo 2, lettera b), e paragrafo 3, lettera a), vi), e lettera g), iii), del codice frontiere Schengen, come modificato dal regolamento 2017/458, e, soprattutto, se essa si distingua in modo chiaro, sotto il profilo delle sue modalità, da tali verifiche sistematiche (260). A tal riguardo, rilevo che l’articolo 8, paragrafo 2, sexies, e paragrafo 3, i bis), di tale codice precisano che dette verifiche «possono essere effettuate in anticipo sulla base dei dati dei passeggeri ricevuti conformemente alla direttiva API o ad altra normativa dell’Unione o nazionale». Ciò premesso, è vero che la finalità della direttiva PNR non è quella di «accertare che le persone possano essere autorizzate a entrare nel territorio dello Stato membro o autorizzate a lasciarlo» o quella «di evitare che le persone eludano le verifiche di frontiera», che la Corte ha riconosciuto come gli obiettivi del «controllo di frontiera» ai sensi del codice frontiere Schengen (261), dal momento che tale direttiva ha una finalità esclusivamente repressiva. Inoltre, l’articolo 23, lettera a), seconda frase, ii), di detto codice prevede esplicitamente che l’esercizio delle competenze di polizia non può essere considerato equivalente all’esercizio delle verifiche di frontiera quando i controlli riguardano, segnatamente, la lotta contro la criminalità transfrontaliera (262). Infine, la Corte dovrebbe tenere conto nella sua valutazione anche della circostanza, sottolineata segnatamente dalla Commissione, che l’articolo 2 della direttiva PNR autorizza gli Stati membri unicamente ad imporre ai vettori aerei il trasferimento dei dati PNR che essi hanno raccolto nel normale svolgimento delle loro attività, e non prevede pertanto un obbligo analogo a quello previsto dalla direttiva API per il passaggio delle frontiere esterne.
280. Per quanto riguarda la seconda parte della nona questione pregiudiziale ritengo, al pari della Commissione, che essa debba essere intesa nel senso che si riferisce all’attraversamento delle frontiere interne, e che mira ad ottenere dalla Corte chiarimenti che consentano al giudice del rinvio di valutare la compatibilità delle disposizioni del capo 11 della legge PNR con l’abolizione dei controlli alle frontiere interne degli Stati membri nello spazio Schengen.
281. A tal riguardo, alla luce degli scarsi elementi a disposizione della Corte, mi limito a rilevare che le disposizioni del capo 11 della legge PNR possono essere compatibili con il diritto dell’Unione e, segnatamente, con l’articolo 67, paragrafo 2, TFUE solo se sono interpretate nel senso che riguardano unicamente il trasferimento e il trattamento dei dati API dei passeggeri che attraversano le frontiere esterne del Belgio con paesi terzi.
282. Qualora la Corte decidesse di riformulare la seconda parte della nona questione pregiudiziale nel senso che essa verte sull’interpretazione della direttiva PNR in relazione alle disposizioni del capo 11 della legge PNR, mi limito a rilevare che il trattamento dei dati API previsto agli articoli 28 e 29 di tale legge è innestato sul sistema attuato dal legislatore belga per trasporre la direttiva PNR. In tal senso, in primo luogo, i dati API che sono oggetto di trattamento sono quelli elencati al punto 12 dell’allegato I a tale direttiva e non soltanto quelli contenuti nell’elenco figurante all’articolo 3, paragrafo 2, della direttiva API. In secondo luogo, in conformità all’articolo 29, § 1, della legge PNR, tali dati vengono trasmessi ai servizi di polizia incaricati del controllo di frontiera e all’Ufficio stranieri da parte dell’UIP – il quale è incaricato di raccogliere e trattare i dati PNR nell’ambito delle sole finalità perseguite dalla direttiva PNR –, e non, come previsto dalla direttiva API, direttamente dai vettori aerei. Peraltro, tale trasmissione riguarda parimenti i dati dei passeggeri che intendono lasciare o hanno lasciato il territorio belga e non ha come unici destinatari le autorità incaricate dei controlli di frontiera, bensì anche l’Ufficio stranieri, il quale è incaricato della gestione della popolazione immigrata e della lotta all’immigrazione clandestina. In terzo luogo, ai sensi dell’articolo 29, § 4, secondo comma, della legge PNR, l’Ufficio stranieri sembrerebbe legittimato a rivolgere all’UIP richieste di accesso ai dati API persino dopo il trattamento di tali dati al momento dell’attraversamento delle frontiere da parte dei passeggeri interessati. In tal senso, tale Ufficio è de facto assimilato ad un’autorità competente ai sensi dell’articolo 7 della direttiva PNR, pur non rivestendone la natura e non figurando nell’elenco di tali autorità comunicato alla Commissione dal Belgio. Orbene, una simile commistione fra i sistemi previsti dalla direttiva API e dalla direttiva PNR non può, a mio avviso, essere ammessa, in quanto viola il principio della limitazione delle finalità sancito all’articolo 1, paragrafo 2, della direttiva PNR (263).
283. Sulla base dell’insieme delle considerazioni che precedono, propongo alla Corte di rispondere alla nona questione pregiudiziale dichiarando che l’articolo 3, paragrafo 1, della direttiva API, ai sensi del quale gli Stati membri adottano le disposizioni necessarie per istituire l’obbligo per i vettori aerei di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative ai passeggeri previste al paragrafo 2 di tale articolo, in combinato disposto con l’articolo 2, lettere b) e d), di tale direttiva, riguarda unicamente i passeggeri trasportati verso un valico di frontiera autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Una normativa nazionale che, al solo scopo di rafforzare i controlli di frontiera e di combattere l’immigrazione irregolare, estenda tale obbligo ai dati delle persone che attraversano le frontiere interne dello Stato membro interessato per via aerea o con altri mezzi di trasporto sarebbe contraria all’articolo 67, paragrafo 2, TFUE e all’articolo 22 del codice frontiere Schengen.
F. Sulla decima questione pregiudiziale
284. Con la sua decima questione pregiudiziale, il giudice del rinvio chiede in sostanza alla Corte se, qualora dovesse giungere alla conclusione che la legge PNR viola gli articoli 7, 8 e l’articolo 52, paragrafo 1, della Carta, esso possa mantenere provvisoriamente gli effetti di tale legge per evitare una situazione di incertezza del diritto e consentire che i dati raccolti e conservati in precedenza possano ancora essere utilizzati per le finalità previste dalla legge PNR.
285. La Corte ha risposto ad una questione dello stesso tenore nella sentenza La Quadrature du Net concernente la memorizzazione dei metadati delle comunicazioni elettroniche, pronunciata successivamente alla proposizione della presente domanda di pronuncia pregiudiziale. In tale sentenza la Corte ha richiamato, anzitutto, la sua giurisprudenza secondo la quale il primato e l’applicazione uniforme del diritto dell’Unione risulterebbero pregiudicati se i giudici nazionali avessero il potere di attribuire alle norme nazionali il primato, anche solo provvisoriamente, in caso di contrasto con il diritto dell’Unione. Essa ha poi ricordato che, nella sentenza del 29 luglio 2019, Inter-Environnement Wallonie e Bond Beter Leefmilieu Vlaanderen (264), nella quale era in discussione la legittimità di misure adottate in violazione dell’obbligo sancito dal diritto dell’Unione di effettuare una valutazione preliminare delle incidenze di un progetto sull’ambiente e su un sito protetto, essa ha ammesso che un giudice nazionale può, se il diritto interno lo consente, eccezionalmente mantenere gli effetti di siffatte misure qualora tale mantenimento sia giustificato da considerazioni imperative, connesse alla necessità di scongiurare una minaccia grave ed effettiva di interruzione dell’approvvigionamento di energia elettrica dello Stato membro interessato per il tempo strettamente necessario per porre rimedio a tale illegittimità. Essa ha cionondimeno concluso che, a differenza dell’omissione di un obbligo procedurale quale la valutazione preliminare delle incidenze di un progetto nell’ambito specifico della tutela dell’ambiente, una violazione dei diritti fondamentali garantiti agli articoli 7 e 8 della Carta non può essere oggetto di regolarizzazione mediante una procedura analoga a quella prevista nella summenzionata sentenza (265). La stessa risposta deve essere data, a mio avviso, alla decima questione pregiudiziale nel presente procedimento.
286. Nella misura in cui sia il giudice del rinvio sia il governo belga, nonché la Commissione e il Consiglio si chiedono se il diritto dell’Unione osti all’utilizzo, nell’ambito di un procedimento penale, delle informazioni o degli elementi di prova ottenuti utilizzando i dati PNR raccolti, trattati e/o conservati in maniera incompatibile con il diritto dell’Unione, ricordo che, al punto 222 della sentenza La Quadrature du Net, la Corte ha precisato che, allo stato attuale del diritto dell’Unione, spetta, in linea di principio, esclusivamente al diritto nazionale determinare le norme relative all’ammissibilità e alla valutazione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate della commissione di reati gravi, di informazioni ed elementi di prova ottenuti mediante una conservazione di dati contraria al diritto dell’Unione, fatto salvo il rispetto dei principi di equivalenza e di effettività. Per quanto riguarda quest’ultimo, la Corte ha dichiarato che tale principio impone al giudice penale nazionale di non tenere conto delle informazioni e degli elementi di prova, ottenuti mediante una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione incompatibile con il diritto dell’Unione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate di avere commesso atti di criminalità, qualora dette persone non siano in grado di prendere efficacemente posizione su tali informazioni ed elementi di prova, che provengono da un settore che esula dalla competenza dei giudici e possono influenzare in maniera preponderante la valutazione dei fatti. Tali principi sono parimenti trasponibili mutatis mutandis alle circostanze del procedimento principale.
IV. Conclusione
287. Sulla base dell’insieme delle considerazioni che precedono, suggerisco alla Corte di rispondere nei seguenti termini alle questioni pregiudiziali sollevate dalla Cour constitutionnelle (Corte costituzionale, Belgio):
1) L’articolo 23 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l’articolo 2, paragrafo 2, lettera d), di tale regolamento, deve essere interpretato nel senso che:
– esso si applica ad una normativa nazionale che traspone la direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, nei limiti in cui tale normativa disciplina i trattamenti dei dati PNR effettuati dai vettori aerei e da altri operatori economici, incluso il trasferimento di dati PNR alle unità d’informazione sui passeggeri (UIP) di cui all’articolo 4 di detta direttiva, previsto all’articolo 8 della stessa;
– esso non si applica ad una normativa nazionale che traspone la direttiva 2016/681 nei limiti in cui essa disciplina i trattamenti di dati effettuati per le finalità previste all’articolo 1, paragrafo 2, di tale direttiva da parte delle competenti autorità nazionali, incluse le UIP e, se del caso, i servizi segreti e di sicurezza dello Stato membro interessato;
– esso si applica ad una normativa nazionale che traspone la direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate, e la direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE, al fine di migliorare i controlli delle persone alle frontiere esterne e combattere l’immigrazione irregolare.
2) Il punto 12 dell’allegato I alla direttiva 2016/681 è invalido nei limiti in cui include le «osservazioni generali» fra le categorie di dati che i vettori aerei sono tenuti a trasmettere alle UIP, in conformità all’articolo 8 di tale direttiva.
3) Dall’esame della seconda, terza, quarta, sesta e ottava questione non sono emersi altri elementi idonei ad incidere sulla validità della direttiva 2016/681.
4) Il punto 12 dell’allegato I alla direttiva 2016/681, per la parte che non è dichiarata invalida, deve essere interpretato nel senso che comprende le sole informazioni concernenti i minori ivi espressamente menzionate e che sono direttamente connesse con il volo.
5) Il punto 18 dell’allegato I alla direttiva 2016/681 deve essere interpretato nel senso che esso copre unicamente le informazioni preliminari sui passeggeri espressamente elencate a tale punto nonché all’articolo 3, paragrafo 2, della direttiva 2004/82, raccolte dai vettori aerei nel normale svolgimento della loro attività.
6) La nozione di «banche dati pertinenti», di cui all’articolo 6, paragrafo 3, lettera a), della direttiva 2016/681, deve essere interpretata nel senso che essa riguarda unicamente le banche dati nazionali gestite dalle autorità competenti ai sensi dell’articolo 7, paragrafo 1, di tale direttiva, nonché le banche dati dell’Unione e internazionali direttamente utilizzate da tali autorità nell’ambito delle loro funzioni. Dette banche dati devono intrattenere un rapporto diretto e stretto con le finalità di lotta contro il terrorismo e i reati gravi perseguite da detta direttiva, il che implica che esse siano state sviluppate per tali finalità. Nell’ambito della trasposizione nel loro diritto nazionale della direttiva 2016/681, gli Stati membri sono tenuti a pubblicare un elenco di dette banche dati e ad aggiornarlo.
7) L’articolo 6, paragrafo 3, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che esso osta all’uso, nell’ambito del trattamento automatizzato previsto da tale disposizione, di sistemi algoritmici che possono dar luogo, senza intervento umano, ad una modifica dei criteri prestabiliti sulla base dei quali tale trattamento è stato effettuato e che non consentono di individuare in maniera chiara e trasparente i motivi che hanno portato a riscontri positivi a seguito di detto trattamento.
8) L’articolo 12, paragrafo 1, della direttiva 2016/681, in combinato disposto con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che la conservazione dei dati PNR trasmessi dai vettori aerei all’UIP in una banca dati per un periodo di cinque anni dal trasferimento all’UIP dello Stato membro dal cui territorio parte o nel cui territorio atterra il volo è consentita, dopo che è stata effettuata la valutazione preliminare ai sensi dell’articolo 6, paragrafo 2, lettera a), di tale direttiva, solo nella misura in cui sia accertato, sulla base di criteri oggettivi, un rapporto fra tali dati e la lotta al terrorismo o ai reati gravi. Una conservazione generalizzata e indiscriminata di tali dati PNR in forma non anonimizzata può essere giustificata solo a fronte di una minaccia grave per la sicurezza degli Stati membri che si riveli reale e attuale o prevedibile, connessa, ad esempio, ad attività terroristiche, e a condizione che la durata di tale conservazione sia limitata allo stretto necessario.
9) L’articolo 6, paragrafo 2, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che la comunicazione dei dati PNR o del risultato del trattamento di tali dati ai sensi di siffatta disposizione, la quale abbia luogo nel corso del periodo iniziale di sei mesi previsto all’articolo 12, paragrafo 2, di tale direttiva, deve rispettare le condizioni enunciate all’articolo 12, paragrafo 3, lettera b), di detta direttiva.
10) La direttiva 2016/681, e segnatamente il suo articolo 1, paragrafo 2, e il suo articolo 6, deve essere interpretata nel senso che essa osta ad una normativa nazionale che ammette quale finalità del trattamento dei dati PNR il controllo di talune attività oggetto dei servizi segreti e di sicurezza nella misura in cui, nell’ambito di una siffatta finalità, l’UIP nazionale possa essere indotta a trattare detti dati e/o a trasmettere gli stessi o il risultato del loro trattamento a detti servizi a fini diversi da quelli indicati tassativamente all’articolo 1, paragrafo 2, di detta direttiva, circostanza che incombe al giudice nazionale verificare.
11) L’articolo 12, paragrafo 3, lettera b), della direttiva 2016/681 deve essere interpretato nel senso che l’UIP non costituisce un’«altra autorità nazionale competente» ai sensi di tale disposizione.
12) L’articolo 3, paragrafo 1, della direttiva 2004/82, ai sensi del quale gli Stati membri adottano le disposizioni necessarie per istituire l’obbligo per i vettori aerei di trasmettere, entro il termine delle procedure di accettazione, su richiesta delle autorità incaricate di effettuare i controlli delle persone alle frontiere esterne, le informazioni relative ai passeggeri previste al paragrafo 2 di tale articolo, in combinato disposto con l’articolo 2, lettere b) e d), di tale direttiva, riguarda unicamente i passeggeri trasportati verso un valico di frontiera autorizzato per l’attraversamento delle frontiere esterne degli Stati membri con paesi terzi. Una normativa nazionale che, al solo scopo di rafforzare i controlli di frontiera e di combattere l’immigrazione irregolare, estenda tale obbligo ai dati delle persone che attraversano le frontiere interne dello Stato membro interessato per via aerea o con altri mezzi di trasporto sarebbe contraria all’articolo 67, paragrafo 2, TFUE e all’articolo 22 del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen).
13) Un giudice nazionale non può applicare una disposizione del suo diritto nazionale che lo autorizza a limitare nel tempo gli effetti di una dichiarazione di invalidità ad esso incombente, in forza di tale diritto, in relazione ad una normativa nazionale che impone ai vettori aerei, terrestri e marittimi, nonché agli operatori di viaggio, ai fini della lotta al terrorismo e ai reati gravi, un trasferimento dei dati PNR e che prevede un trattamento e una conservazione generalizzati e indiscriminati di tali dati incompatibili con gli articoli 7, 8 e con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali. In applicazione del principio di effettività, il giudice penale nazionale non deve tenere conto delle informazioni e degli elementi di prova ottenuti in applicazione di una siffatta normativa incompatibile con il diritto dell’Unione, nell’ambito di un procedimento penale avviato nei confronti di persone sospettate di aver commesso atti di terrorismo o di criminalità grave, qualora dette persone non siano in grado di prendere efficacemente posizione su tali informazioni ed elementi di prova, che provengono da un settore che esula dalla competenza dei giudici e possono influenzare in maniera preponderante la valutazione dei fatti.