SENTENZA DELLA CORTE (Grande Sezione)
21 marzo 2024 (*)
«Rinvio pregiudiziale – Regolamento (UE) 2019/1157 – Rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione europea – Validità – Base giuridica – Articolo 21, paragrafo 2, TFUE – Articolo 77, paragrafo 3, TFUE – Regolamento (UE) 2019/1157 – Articolo 3, paragrafo 5 – Obbligo per gli Stati membri di inserire nel supporto di memorizzazione delle carte d’identità due impronte digitali in formato interoperativo digitale – Articolo 7 della Carta dei diritti fondamentali dell’Unione europea – Rispetto della vita privata e familiare – Articolo 8 della Carta dei diritti fondamentali – Tutela dei dati personali – Regolamento (UE) 2016/679 – Articolo 35 – Obbligo di procedere a una valutazione d’impatto sulla protezione dei dati – Mantenimento degli effetti nel tempo di un regolamento dichiarato invalido»
Nella causa C‑61/22,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), con decisione del 13 gennaio 2022, pervenuta in cancelleria il 1° febbraio 2022, nel procedimento
RL
contro
Landeshauptstadt Wiesbaden,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, A. Arabadjiev, A. Prechal, E. Regan (relatore), T. von Danwitz, F. Biltgen e Z. Csehi, presidenti di sezione, J.-C. Bonichot, S. Rodin, D. Gratsias, M.L. Arastey Sahún e M. Gavalec, giudici,
avvocato generale: L. Medina
cancelliere: D. Dittert, capo unità
vista la fase scritta del procedimento e in seguito all’udienza del 14 marzo 2023,
considerate le osservazioni presentate:
– per RL, da W. Achelpöhler, Rechtsanwalt;
– per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;
– per il governo belga, da P. Cottin e A. Van Baelen, in qualità di agenti, assistiti da P. Wytinck, advocaat;
– per il governo spagnolo, da L. Aguilera Ruiz, in qualità di agente;
– per il governo polacco, da B. Majczyna, in qualità di agente;
– per il Parlamento europeo, da G.C. Bartram, P. López-Carceller e J. Rodrigues, in qualità di agenti;
– per il Consiglio dell’Unione europea, da M. França e Z. Šustr, in qualità di agenti;
– per la Commissione europea, da H. Kranenborg, E. Montaguti e I. Zaloguin, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 29 giugno 2023,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sulla validità del regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e dei titoli di soggiorno rilasciati ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU 2019, L 188, pag. 67), e, in particolare, del suo articolo 3, paragrafo 5.
2 Tale domanda è stata presentata nell’ambito di una controversia tra RL e la Landeshauptstadt Wiesbaden (città di Wiesbaden, capitale del Land, Germania) (in prosieguo: la «città di Wiesbaden») relativamente al rigetto da parte di quest’ultima della sua domanda di rilascio di una carta d’identità che non contenga le sue impronte digitali.
I. Contesto normativo
A. Diritto dell’Unione
1. Regolamento 2019/1157
3 I considerando 1, 2, 4, 5, da 17 a 21, 23, da 26 a 29, 32, 33, 36, da 40 a 42 e 46 del regolamento 2019/1157 sono così formulati:
«(1) Il [T]rattato [UE] (...) è inteso ad agevolare la libera circolazione delle persone garantendo al contempo la sicurezza dei popoli d’Europa, con l’istituzione di uno spazio di libertà, sicurezza e giustizia, in conformità alle disposizioni del [Trattato UE] e del [T]rattato [FUE] (...).
(2) La cittadinanza dell’Unione [europea] conferisce a ogni cittadino dell’Unione il diritto di circolare liberamente, entro certi limiti e secondo determinate condizioni. La direttiva 2004/38/CE del Parlamento europeo e del Consiglio[, del 29 aprile 2004, relativa al diritto dei cittadini dell’Unione e dei loro familiari di circolare e di soggiornare liberamente nel territorio degli Stati membri, che modifica il regolamento (CEE) n. 1612/68 ed abroga le direttive 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e 93/96/CEE (GU 2004, L 158, pag. 77).] dà attuazione a tale diritto. Il diritto di circolare e soggiornare liberamente è sancito anche all’articolo 45 della Carta dei diritti fondamentali dell’Unione europea (“Carta”). La libertà di circolazione comporta il diritto di uscire dagli Stati membri ed entrarvi con una carta d’identità o un passaporto in corso di validità.
(...)
(4) La direttiva [2004/38] dispone che gli Stati membri possano adottare le misure necessarie per rifiutare, estinguere o revocare un diritto conferito da detta direttiva in caso di abuso di diritto o frode. La falsificazione di documenti o la falsa descrizione di un fatto sostanziale attinente alle condizioni per la concessione del diritto di soggiorno sono stati individuati come tipici casi di frode nel contesto di tale direttiva.
(5) I livelli di sicurezza delle carte d’identità nazionali rilasciate dagli Stati membri e dei permessi di soggiorno per i cittadini dell’Unione che soggiornano in un altro Stato membro e per i loro familiari variano notevolmente. Tali divergenze aumentano il rischio di falsificazione e frode documentale e comportano altresì difficoltà pratiche per i cittadini che intendono esercitare il diritto di libera circolazione. Le statistiche della rete europea per l’analisi dei rischi di frode documentale dimostrano un aumento nel tempo delle carte d’identità usate in modo fraudolento.
(...)
(17) Gli elementi di sicurezza sono necessari per verificare l’autenticità di un documento e determinare l’identità di una persona. L’istituzione di norme minime di sicurezza e l’inserimento di dati biometrici nelle carte d’identità e nelle carte di soggiorno di familiari non aventi la cittadinanza di uno Stato membro sono fattori importanti per rendere più sicuro l’uso di tali documenti nell’Unione. L’inserimento di tali identificatori biometrici dovrebbe permettere ai cittadini dell’Unione di beneficiare pienamente dei loro diritti di libera circolazione.
(18) La memorizzazione di un’immagine del volto e di due impronte digitali (“dati biometrici”) sulle carte d’identità e di soggiorno, come già previsto per i passaporti e i permessi di soggiorno biometrici rilasciati a cittadini di paesi terzi, è un metodo adeguato per unire un’identificazione e un’autenticazione affidabili a un minor rischio di frode, ai fini del rafforzamento della sicurezza delle carte d’identità e di soggiorno.
(19) Come prassi generale, per verificare l’autenticità del documento e l’identità del titolare gli Stati membri dovrebbero verificare in primo luogo l’immagine del volto e, se necessario per confermare senza dubbio l’autenticità del documento e l’identità del titolare, anche le impronte digitali.
(20) Nei casi in cui la verifica dei dati biometrici non confermi l’autenticità del documento o l’identità del suo titolare, gli Stati membri dovrebbero garantire lo svolgimento di un controllo manuale obbligatorio da parte di personale qualificato.
(21) Il presente regolamento non fornisce una base giuridica per la costituzione o il mantenimento di banche dati a livello nazionale per la conservazione di dati biometrici negli Stati membri, che è una questione di diritto nazionale da trattare nel rispetto del diritto dell’Unione in materia di protezione dei dati. Il presente regolamento, inoltre, non fornisce una base giuridica per la costituzione o il mantenimento di una banca dati centralizzata a livello dell’Unione.
(...)
(23) Ai fini del presente regolamento è opportuno tenere conto delle prescrizioni tecniche del documento [dell’Organizzazione internazionale per l’aviazione civile (ICAO)] 9303 che garantiscono un’interoperabilità globale anche in relazione alla predisposizione alla lettura ottica e il ricorso all’ispezione visiva.
(...)
(26) Gli Stati membri dovrebbero garantire che siano predisposte procedure adeguate ed efficaci per l’acquisizione degli identificatori biometrici e che tali procedure siano conformi ai diritti e ai principi della Carta, della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del Consiglio d’Europa[, firmata a Roma il 4 novembre 1950,] e della Convenzione delle Nazioni Unite sui diritti del fanciullo[, adottata dall’Assemblea generale delle Nazioni Unite il 20 novembre 1989 (Recueil des traités des Nations unies, vol. 1577, pag. 3), ed entrata in vigore il 2 settembre 1990]. Gli Stati membri dovrebbero garantire che l’interesse superiore del minore costituisca una considerazione preminente in tutta la procedura di acquisizione. A tale scopo, il personale qualificato dovrebbe ricevere una formazione adeguata sulle prassi a misura di minore per l’acquisizione degli identificatori biometrici.
(27) In caso di difficoltà nell’acquisizione degli identificatori biometrici, gli Stati membri dovrebbero assicurare che siano predisposte procedure appropriate per rispettare la dignità della persona interessata. Pertanto, è opportuno tenere conto di considerazioni specifiche relative al genere e alle esigenze specifiche dei minori e delle persone vulnerabili.
(28) L’introduzione di norme minime relative alla sicurezza e al formato delle carte d’identità dovrebbe consentire agli Stati membri di fare affidamento sull’autenticità di tali documenti quando i cittadini dell’Unione esercitano il loro diritto di libera circolazione. L’introduzione di norme di sicurezza rafforzate dovrebbe fornire garanzie sufficienti alle autorità pubbliche e agli enti privati per consentire loro di fare affidamento sull’autenticità delle carte d’identità quando sono utilizzate dai cittadini dell’Unione a fini dell’identificazione.
(29) Un segno distintivo che consiste nel codice a due lettere dello Stato membro che rilascia il documento stampato in negativo in un rettangolo blu e circondato da dodici stelle gialle, agevola l’ispezione visiva del documento, in particolare quando il titolare esercita il diritto di libera circolazione.
(...)
(32) Gli Stati membri dovrebbero adottare tutti i provvedimenti necessari per garantire che i dati biometrici identifichino correttamente la persona cui è rilasciata una carta di identità. A tal fine gli Stati membri potrebbero prendere in considerazione l’acquisizione degli identificatori biometrici, in particolare l’immagine del volto, attraverso la rilevazione sul posto da parte delle autorità nazionali che rilasciano le carte d’identità.
(33) Gli Stati membri dovrebbero scambiarsi le informazioni necessarie per accedere alle informazioni contenute sul supporto di memorizzazione protetto nonché per autenticarle e verificarle. I formati utilizzati per il supporto di memorizzazione protetto dovrebbero essere interoperabili, anche per quanto riguarda i valichi di frontiera automatizzati.
(...)
(36) I titoli di soggiorno rilasciati ai cittadini dell’Unione dovrebbero contenere informazioni specifiche per poter essere identificati in quanto tali in tutti gli Stati membri. Ciò dovrebbe facilitare il riconoscimento dell’esercizio del diritto di libera circolazione da parte dei cittadini dell’Unione e dei diritti inerenti a tale esercizio, ma l’armonizzazione dovrebbe limitarsi a quanto è necessario per ovviare alle carenze degli attuali documenti. Gli Stati membri sono liberi di scegliere il formato in cui sono rilasciati tali documenti e potrebbero rilasciarli in un formato conforme alle specifiche di cui al documento ICAO 9303.
(...)
(40) Per quanto riguarda i dati personali da trattare nel contesto dell’applicazione del presente regolamento, si applica il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio[, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il “RGPD”)]. Occorre specificare ulteriormente le garanzie applicabili ai dati personali trattati, e in particolare ai dati sensibili quali gli identificatori biometrici. Gli interessati dovrebbero essere edotti del fatto che nei loro documenti è presente un supporto di memorizzazione contenente i loro dati biometrici e accessibile senza contatto, e di tutti i casi in cui sono utilizzati i dati contenuti nelle loro carte d’identità e nei loro titoli di soggiorno. In ogni caso, gli interessati dovrebbero poter accedere ai dati personali trattati nelle loro carte d’identità e nei loro titoli di soggiorno e dovrebbero avere il diritto di farli eventualmente rettificare, mediante il rilascio di un nuovo documento, qualora tali dati siano errati o incompleti. Il supporto di memorizzazione dovrebbe garantire un elevato livello di sicurezza e una protezione efficace dall’accesso non autorizzato dei dati personali in esso contenuti.
(41) Gli Stati membri dovrebbero essere responsabili del corretto trattamento dei dati biometrici, dall’acquisizione all’immissione dei dati sul supporto di memorizzazione altamente protetto, in conformità del [RGPD].
(42) Gli Stati membri dovrebbero esercitare particolare cautela nel cooperare con un fornitore esterno di servizi. Tale cooperazione non dovrebbe escludere la responsabilità degli Stati membri derivante dal diritto nazionale o dell’Unione o in caso di violazione degli obblighi in materia di dati personali.
(...)
(46) Poiché gli obiettivi del presente regolamento, vale a dire rafforzare la sicurezza e facilitare l’esercizio dei diritti di libera circolazione dei cittadini dell’Unione e dei loro familiari, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del [TUE]. Il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo».
4 L’articolo 1 del regolamento 2019/1157, intitolato «Oggetto», così dispone:
«Il presente regolamento rafforza le norme di sicurezza applicabili alle carte d’identità rilasciate dagli Stati membri ai loro cittadini e ai titoli di soggiorno rilasciati dagli Stati membri ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione».
5 L’articolo 2 di tale regolamento, intitolato «Ambito di applicazione», stabilisce quanto segue:
«Il presente regolamento si applica:
a) alle carte d’identità rilasciate dagli Stati membri ai loro cittadini ai sensi dell’articolo 4, paragrafo 3, della direttiva [2004/38];
Il presente regolamento non si applica ai documenti di identificazione rilasciati a titolo provvisorio aventi un periodo di validità inferiore a sei mesi.
b) agli attestati d’iscrizione rilasciati ai sensi dell’articolo 8 della direttiva [2004/38] ai cittadini dell’Unione per soggiorni di durata superiore a tre mesi in uno Stato membro ospitante e ai documenti che attestano il soggiorno permanente rilasciati su richiesta ai sensi dell’articolo 19 della direttiva [2004/38] ai cittadini dell’Unione;
c) alle carte di soggiorno rilasciate ai sensi dell’articolo 10 della direttiva [2004/38] ai familiari di cittadini dell’Unione non aventi la cittadinanza di uno Stato membro e alle carte di soggiorno permanente rilasciate ai sensi dell’articolo 20 della direttiva [2004/38] ai familiari di cittadini dell’Unione non aventi la cittadinanza di uno Stato membro».
6 L’articolo 3 di detto regolamento, intitolato «Norme di sicurezza/formato/prescrizioni tecniche», ai paragrafi da 5 a 7 e 10 prevede quanto segue:
«5. Le carte d’identità hanno un supporto di memorizzazione altamente protetto che contiene un’immagine del volto del titolare e due impronte digitali in formato interoperativo digitale. Per il rilevamento degli identificatori biometrici, gli Stati membri applicano le prescrizioni tecniche stabilite dalla decisione di esecuzione C(2018) 7767 della Commissione[, del 30 novembre 2018, che stabilisce le specifiche tecniche del modello uniforme per i permessi di soggiorno rilasciati a cittadini di paesi terzi e che abroga la decisione C (2002) 3069].
6. Il supporto di memorizzazione è dotato di capacità sufficiente e della capacità di garantire l’integrità, l’autenticità e la riservatezza dei dati. I dati conservati sono accessibili senza contatto e sono protetti secondo quanto previsto dalla decisione di esecuzione C(2018)7767. Gli Stati membri si scambiano le informazioni necessarie per autenticare il supporto di memorizzazione e per accedere ai dati biometrici di cui al paragrafo 5 e verificarli.
7. I minori di età inferiore a dodici anni possono essere esentati dall’obbligo di rilevamento delle impronte digitali.
I minori di età inferiore a sei anni sono esentati dall’obbligo di rilevamento delle impronte digitali.
Le persone per cui il rilevamento delle impronte digitali è fisicamente impossibile sono esentate dall’obbligo di tale rilevamento.
(...)
10. Se gli Stati membri conservano nelle carte d’identità dati per servizi telematici come l’amministrazione in linea e il commercio elettronico, tali dati nazionali sono fisicamente o logicamente separati dai dati biometrici di cui al paragrafo 5».
7 Ai sensi dell’articolo 5 del medesimo regolamento, intitolato «Eliminazione graduale»:
«1. Le carte d’identità non conformi ai requisiti di cui all’articolo 3 cessano di essere valide alla loro scadenza o entro il 3 agosto 2031, se quest’ultima data è anteriore.
2. In deroga al paragrafo 1:
a) le carte d’identità che (...) non comprendono una MRZ funzionale, quale definita al paragrafo 3, cessano di essere valide alla loro scadenza o entro il 3 agosto 2026, se quest’ultima data è anteriore;
(...)
3. Ai fini del paragrafo 2, per MRZ funzionale si intende:
a) una zona a lettura ottica conforme alla parte 3 del documento ICAO 9303; o
b) qualsiasi altra zona a lettura ottica per la quale lo Stato membro emittente notifica le regole necessarie per la lettura e la visualizzazione delle informazioni ivi contenute, a meno che uno Stato membro non notifichi alla Commissione [europea], entro il 2 agosto 2021, di non essere in grado di leggere e visualizzare tali informazioni.
(...)».
8 L’articolo 6 del regolamento 2019/1157, intitolato «Informazioni minime», al primo comma così dispone:
«Sui titoli di soggiorno rilasciati dagli Stati membri ai cittadini dell’Unione figurano come minimo i seguenti elementi:
(...)
f) le informazioni che devono figurare sugli attestati di iscrizione e sui documenti che attestano il soggiorno permanente, rilasciati rispettivamente a norma degli articoli 8 e 19 della direttiva [2004/38];
(...)».
9 L’articolo 10 di tale regolamento, intitolato «Acquisizione degli identificatori biometrici», prevede quanto segue:
«1. Gli identificatori biometrici sono acquisiti unicamente da personale qualificato e debitamente designato dalle autorità competenti per il rilascio delle carte d’identità o delle carte di soggiorno, al fine di essere inseriti nel supporto di memorizzazione altamente protetto di cui all’articolo 3, paragrafo 5, per le carte d’identità e all’articolo 7, paragrafo 1, per le carte di soggiorno. In deroga alla prima frase, il rilevamento delle impronte digitali è effettuato esclusivamente da personale qualificato e debitamente autorizzato di tali autorità, salvo nel caso di domande presentate alle autorità diplomatiche e consolari dello Stato membro.
Al fine di garantire la coerenza degli identificatori biometrici con l’identità del richiedente, il richiedente si presenta di persona almeno una volta durante la procedura di rilascio per ciascuna domanda.
2. Gli Stati membri garantiscono che siano predisposte procedure adeguate ed efficaci per l’acquisizione degli identificatori biometrici e che tali procedure siano conformi ai diritti e ai principi sanciti nella Carta, nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e nella Convenzione delle Nazioni Unite sui diritti del fanciullo.
In caso di difficoltà nell’acquisizione degli identificatori biometrici, gli Stati membri assicurano che siano predisposte procedure appropriate per rispettare la dignità della persona interessata.
3. Fatta salva la necessità di trattamento ai sensi del diritto dell’Unione e nazionale, gli identificatori biometrici memorizzati ai fini della personalizzazione delle carte d’identità o dei titoli di soggiorno sono conservati in modo altamente sicuro e solo fino alla data di ritiro del documento e, in ogni caso, non oltre 90 giorni dalla data di rilascio. Trascorso tale periodo, tali identificatori biometrici sono immediatamente cancellati o distrutti».
10 L’articolo 11 di detto regolamento, intitolato «Protezione dei dati personali e responsabilità», ai paragrafi 4 e 6 stabilisce quanto segue:
«4. La cooperazione con i fornitori esterni di servizi non esclude la responsabilità dello Stato membro che possa derivare dal diritto dell’Unione o nazionale in caso di violazione degli obblighi in materia di dati personali.
(...)
6. I dati biometrici conservati nel supporto di memorizzazione delle carte d’identità e dei titoli di soggiorno possono essere usati esclusivamente in conformità del diritto dell’Unione e nazionale, dal personale debitamente autorizzato delle autorità nazionali e delle agenzie dell’Unione competenti, allo scopo di verificare:
a) l’autenticità della carta d’identità o del titolo di soggiorno;
b) l’identità del titolare attraverso elementi comparativi direttamente disponibili laddove la legge esiga la presentazione della carta d’identità o del titolo di soggiorno».
11 L’articolo 14 del medesimo regolamento, intitolato «Prescrizioni tecniche aggiuntive», ai paragrafi 1 e 2 così dispone:
«1. Per garantire, se del caso, che le carte d’identità e i titoli di soggiorno di cui all’articolo 2, lettere a) e c), siano conformi alle future norme minime di sicurezza, la Commissione stabilisce, mediante atti di esecuzione, prescrizioni tecniche aggiuntive riguardanti:
a) ulteriori caratteristiche e requisiti di sicurezza, comprese le norme atte a rafforzare la protezione contro la contraffazione e la falsificazione;
b) le prescrizioni tecniche per il supporto di memorizzazione degli elementi biometrici di cui all’articolo 3, paragrafo 5, e la relativa sicurezza, comprese la prevenzione dell’accesso non autorizzato e la facilitazione della convalida;
c) i requisiti qualitativi e le norme tecniche comuni relativi all’immagine del volto e alle impronte digitali.
Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 15, paragrafo 2.
2. Secondo la procedura di cui all’articolo 15, paragrafo 2, può essere deciso che le prescrizioni di cui al presente articolo siano segrete e non siano pubblicabili. (...)».
2. Il RGPD
12 Il considerando 51 del RGPD così recita:
«Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche (...)».
13 L’articolo 4 di tale regolamento, intitolato «Definizioni», così recita:
«Ai fini del presente regolamento s’intende per:
(...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)».
14 L’articolo 9 di detto regolamento, intitolato «Trattamento di categorie particolari di dati personali», al paragrafo 1 prevede quanto segue:
«È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona».
15 L’articolo 35 del medesimo regolamento, intitolato «Valutazione d’impatto sulla protezione dei dati», ai paragrafi 1, 3 e 10 così dispone:
«1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
(...)
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
(...)
10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento».
3. Regolamento (UE) 2016/399
16 L’articolo 8 del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (GU 2016, L 77, pag. 1), come modificato dal regolamento (UE) 2017/458 del Parlamento europeo e del Consiglio, del 15 marzo 2017 (GU 2017, L 74, pag. 1), ai paragrafi 1 e 2 prevede quanto segue:
«1. L’attraversamento delle frontiere esterne è oggetto di verifiche da parte delle guardie di frontiera. Le verifiche sono effettuate a norma del presente capo.
(...)
2. All’ingresso e all’uscita, i beneficiari del diritto alla libera circolazione ai sensi del diritto dell’Unione sono sottoposti alle seguenti verifiche:
a) l’accertamento dell’identità e della cittadinanza della persona nonché dell’autenticità e della validità del documento di viaggio per l’attraversamento della frontiera, anche tramite consultazione delle pertinenti banche dati (...)
b) l’accertamento che il beneficiario del diritto alla libera circolazione ai sensi del diritto dell’Unione non sia considerato una minaccia per l’ordine pubblico, la sicurezza interna, la salute pubblica o le relazioni internazionali di uno degli Stati membri (...)
In caso di dubbi quanto all’autenticità del documento di viaggio o all’identità del titolare, è verificato almeno uno degli identificatori biometrici integrati nei passaporti e nei documenti di viaggio rilasciati conformemente al regolamento (CE) n. 2252/2004 [del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (GU 2004, L 385, pag. 1)]. Ove possibile, tale accertamento è effettuato anche in relazione a documenti di viaggio non contemplati da tale regolamento.
(...)».
4. Direttiva 2004/38
17 L’articolo 4, della direttiva 2004/38, intitolato «Diritto di uscita», ai paragrafi 1 e 3 così dispone:
«1. Senza pregiudizio delle disposizioni applicabili ai controlli dei documenti di viaggio alle frontiere nazionali, ogni cittadino dell’Unione munito di una carta d’identità o di un passaporto in corso di validità e i suoi familiari non aventi la cittadinanza di uno Stato membro e muniti di passaporto in corso di validità hanno il diritto di lasciare il territorio di uno Stato membro per recarsi in un altro Stato membro.
(...)
3. Gli Stati membri rilasciano o rinnovano ai loro cittadini, ai sensi della legislazione nazionale, una carta d’identità o un passaporto dai quali risulti la loro cittadinanza».
18 L’articolo 5 di tale direttiva, intitolato «Diritto d’ingresso», al paragrafo 1 stabilisce quanto segue:
«Senza pregiudizio delle disposizioni applicabili ai controlli dei documenti di viaggio alle frontiere nazionali, gli Stati membri ammettono nel loro territorio il cittadino dell’Unione munito di una carta d’identità o di un passaporto in corso di validità, nonché i suoi familiari non aventi la cittadinanza di uno Stato membro, muniti di valido passaporto.
Nessun visto d’ingresso né alcuna formalità equivalente possono essere prescritti al cittadino dell’Unione».
19 L’articolo 6 di detta direttiva, intitolato «Diritto di soggiorno sino a tre mesi», così recita:
«1. I cittadini dell’Unione hanno il diritto di soggiornare nel territorio di un altro Stato membro per un periodo non superiore a tre mesi senza alcuna condizione o formalità, salvo il possesso di una carta d’identità o di un passaporto in corso di validità.
2. Le disposizioni del paragrafo 1 si applicano anche ai familiari in possesso di un passaporto in corso di validità non aventi la cittadinanza di uno Stato membro che accompagnino o raggiungano il cittadino dell’Unione».
20 L’articolo 8 della direttiva 2004/38, intitolato «Formalità amministrative per i cittadini dell’Unione», ai paragrafi 1 e 3 prevede quanto segue:
«1. Senza pregiudizio dell’articolo 5, paragrafo 5, per soggiorni di durata superiore a tre mesi lo Stato membro ospitante può richiedere ai cittadini dell’Unione l’iscrizione presso le autorità competenti.
(...)
3. Per il rilascio dell’attestato d’iscrizione, gli Stati membri possono unicamente prescrivere al
– cittadino dell’Unione cui si applica l’articolo 7, paragrafo 1, lettera a), di esibire una carta d’identità o un passaporto in corso di validità, una conferma di assunzione del datore di lavoro o un certificato di lavoro o una prova dell’attività autonoma esercitata,
– cittadino dell’Unione cui si applica l’articolo 7, paragrafo 1, lettera b), di esibire una carta d’identità o un passaporto in corso di validità e di fornire la prova che le condizioni previste da tale norma sono soddisfatte,
– cittadino dell’Unione cui si applica l’articolo 7, paragrafo 1, lettera c), di esibire una carta d’identità o un passaporto in corso di validità, di fornire la prova di essere iscritto presso un istituto riconosciuto e di disporre di un’assicurazione malattia che copre tutti i rischi e di esibire la dichiarazione o altro mezzo equivalente di cui all’articolo 7, paragrafo 1, lettera c). Gli Stati membri non possono esigere che detta dichiarazione indichi un importo specifico delle risorse».
5. Accordo interistituzionale
21 I punti da 12 a 14 dell’Accordo interistituzionale «Legiferare meglio» tra il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione europea, del 13 aprile 2016 (GU 2016, L 123, pag. 1; in prosieguo: l’«accordo interistituzionale»), così recitano:
«12. (...)
Le valutazioni d’impatto sono uno strumento inteso a fornire alle tre istituzioni un ausilio per prendere decisioni ben fondate e non sostituiscono le decisioni politiche nell’ambito del processo decisionale democratico. (...)
Le valutazioni d’impatto dovrebbero riguardare l’esistenza, la portata e le conseguenze di un problema e determinare se sia necessaria o meno l’azione dell’Unione. Dovrebbero individuare soluzioni alternative nonché, laddove possibile, costi e benefici potenziali a breve e a lungo termine, valutando gli impatti sotto il profilo economico, ambientale e sociale in modo integrato e equilibrato e fondandosi su analisi qualitative e quantitative. È opportuno che siano rispettati rigorosamente i principi di sussidiarietà e di proporzionalità, nonché i diritti fondamentali. (...) Le valutazioni d’impatto dovrebbero basarsi su informazioni accurate, oggettive e complete ed essere proporzionate quanto alla loro portata e alle tematiche su cui si concentrano.
13. La Commissione effettua valutazioni d’impatto delle proprie iniziative legislative (...) suscettibili di avere un impatto economico, ambientale o sociale significativo. Le iniziative incluse nel programma di lavoro della Commissione o nella dichiarazione comune, sono di norma corredate di una valutazione d’impatto.
(...) I risultati finali delle valutazioni d’impatto sono messi a disposizione del Parlamento europeo, del Consiglio [dell’Unione europea] e dei parlamenti nazionali e sono pubblicati insieme al parere o ai pareri del comitato per il controllo normativo contestualmente all’adozione dell’iniziativa della Commissione.
14. All’atto dell’esame delle proposte legislative della Commissione, il Parlamento (...) e il Consiglio tengono pienamente conto delle valutazioni d’impatto della Commissione. A tal fine, le valutazioni d’impatto sono presentate in modo tale da facilitare l’esame da parte del Parlamento (...) e del Consiglio delle scelte effettuate dalla Commissione.
B. Diritto tedesco
22 L’articolo 5 del Gesetz über Personalausweise und den elektronischen Identitätsnachweis (legge relativa alle carte di identità e all’identificazione elettronica), del 18 giugno 2009 (BGBl. I, pag. 1346), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: il «PAuswG»), intitolato «Modello di carta d’identità; dati memorizzati», al paragrafo 9, così dispone:
«Le due impronte digitali del richiedente [la carta d’identità] da memorizzare sul supporto elettronico di memorizzazione ai sensi del regolamento [2019/1157] sono memorizzate sul supporto elettronico di memorizzazione e trattamento della carta d’identità sotto forma di impronta piatta del dito dell’indice sinistro e destro. Qualora la persona sia priva del dito indice, l’impronta digitale sia di qualità insufficiente o il polpastrello sia lesionato, è memorizzata, in sostituzione, l’impronta piatta del pollice, del dito medio o dell’anulare. Le impronte digitali non sono memorizzate qualora l’acquisizione sia impossibile per ragioni mediche di natura non temporanea».
23 Ai sensi dell’articolo 6, paragrafi 1 e 2, del PAuswG:
«(1) Le carte d’identità sono rilasciate per un periodo di validità di dieci anni.
(2) Prima della scadenza della validità di una carta d’identità, può essere richiesta una nuova carta d’identità se può essere dimostrato un legittimo interesse al rilascio di una nuova carta d’identità».
24 L’articolo 9 del PAuswG, intitolato «Rilascio della carta», al paragrafo 1, prima frase, stabilisce quanto segue:
«Le carte d’identità e le carte d’identità provvisorie sono rilasciate su richiesta ai cittadini tedeschi ai sensi dell’articolo 116, paragrafo 1, della Legge fondamentale».
25 L’articolo 28 del PAuswG, intitolato «Invalidità», al paragrafo 3 prevede quanto segue:
«I malfunzionamenti del supporto elettronico di memorizzazione e di trattamento non incidono sulla validità della carta d’identità».
II. Procedimento principale e questione pregiudiziale
26 Il 30 novembre 2021 il ricorrente nel procedimento principale ha chiesto alla città di Wiesbaden il rilascio di una nuova carta d’identità, per il motivo che il chip elettronico della sua vecchia carta era difettoso. Egli ha tuttavia chiesto che la nuova carta non contenesse le sue impronte digitali.
27 La città di Wiesbaden ha respinto tale domanda sulla base di un duplice motivo. Da un lato, il ricorrente nel procedimento principale non avrebbe diritto al rilascio di una nuova carta d’identità poiché era già in possesso di un documento d’identità valido. Invero, conformemente all’articolo 28, paragrafo 3, del PAuswG, una carta d’identità manterrebbe la sua validità anche se il suo chip elettronico è difettoso. Dall’altro lato, e in ogni caso, dal 2 agosto 2021, l’inserimento di due impronte digitali nel supporto di memorizzazione delle carte d’identità sarebbe obbligatoria in forza dell’articolo 5, paragrafo 9, del PAuswG, il quale trasporrebbe l’articolo 3, paragrafo 5, del regolamento 2019/1157.
28 Il 21 dicembre 2021 il ricorrente nel procedimento principale ha proposto ricorso dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), giudice del rinvio, affinché fosse ingiunto alla città di Wiesbaden di rilasciargli una carta d’identità senza che fossero rilevate le sue impronte digitali.
29 Il giudice del rinvio esprime dubbi quanto alla legittimità dei due motivi della decisione di cui trattasi nel procedimento principale. Per quanto riguarda, segnatamente, il secondo motivo, esso è incline a ritenere che la validità del regolamento 2019/1157 o, quanto meno, quella dell’articolo 3, paragrafo 5, di quest’ultimo, sarebbe contestabile.
30 In primo luogo, il giudice del rinvio si chiede se tale regolamento avrebbe dovuto essere adottato sul fondamento dell’articolo 77, paragrafo 3, TFUE e, di conseguenza, al termine della procedura legislativa speciale prevista da tale disposizione, piuttosto che sulla base dell’articolo 21, paragrafo 2, TFUE e in applicazione della procedura legislativa ordinaria. Infatti, da un lato, l’articolo 77, paragrafo 3, TFUE farebbe specifico riferimento alla competenza dell’Unione ad adottare, tra le altre, disposizioni in materia di carte d’identità e sarebbe quindi una disposizione più specifica rispetto all’articolo 21, paragrafo 2, TFUE. Dall’altro lato, nella sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670), la Corte avrebbe dichiarato che il regolamento n. 2252/2004, laddove stabilisce norme sugli elementi biometrici dei passaporti, era validamente fondato sull’articolo 62, punto 2, lettera a), CE, il quale corrisponderebbe attualmente all’articolo 77, paragrafo 3, TFUE.
31 In secondo luogo, il giudice del rinvio invoca la possibile esistenza di un vizio procedurale che ha inficiato l’adozione del regolamento 2019/1157. Come avrebbe infatti sottolineato il Garante europeo della protezione dei dati (in prosieguo: il «GEPD») nel suo parere 7/2018, del 10 agosto 2018, sulla proposta di regolamento sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e di altri documenti (in prosieguo: il «parere 7/2018»), l’acquisizione e la memorizzazione di impronte digitali costituirebbero trattamenti di dati personali che devono essere oggetto di una valutazione d’impatto ai sensi dell’articolo 35, paragrafo 10, del RGPD. Orbene, nel caso di specie, una tale valutazione non sarebbe stata effettuata. In particolare, il documento di cui è corredata detta proposta di regolamento, intitolato «Impact assessment», non potrebbe essere considerato una valutazione d’impatto ai sensi di tale disposizione.
32 In terzo luogo, il giudice del rinvio si interroga più specificamente sulla compatibilità dell’articolo 3, paragrafo 5, del regolamento 2019/1157 con gli articoli 7 e 8 della Carta relativi, rispettivamente, al rispetto della vita privata e della vita familiare e alla protezione dei dati di carattere personale. Infatti, l’obbligo imposto agli Stati membri di rilasciare carte d’identità il cui supporto di memorizzazione contenga due impronte digitali costituirebbe una limitazione all’esercizio dei diritti riconosciuti da queste due disposizioni della Carta, limitazione che potrebbe essere giustificata solo in caso di soddisfacimento delle condizioni di cui all’articolo 52, paragrafo 1, della Carta.
33 Orbene, da un lato, detta limitazione potrebbe non rispondere a una finalità di interesse generale. È vero che la Corte ha ammesso, nella sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670), che la lotta contro gli ingressi illegali di cittadini di paesi terzi nel territorio dell’Unione è una finalità riconosciuta dal diritto dell’Unione. Tuttavia, la carta d’identità non sarebbe principalmente un documento di viaggio, come il passaporto, e la sua finalità sarebbe soltanto quella di consentire la verifica dell’identità di un cittadino dell’Unione nei suoi rapporti tanto con autorità amministrative quanto con soggetti privati terzi.
34 Dall’altro lato, anche ipotizzando che detto regolamento persegua una finalità di interesse generale riconosciuta dal diritto dell’Unione, sussisterebbero dubbi quanto alla proporzionalità della medesima limitazione. La soluzione adottata dalla Corte nella sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670), non sarebbe infatti trasponibile al regolamento 2019/1157, in quanto essa era relativa ai passaporti la cui detenzione, contrariamente alle carte d’identità, è facoltativa in Germania e il cui uso persegue una finalità diversa.
35 Per contro, dal parere 7/2018 risulterebbe che il fatto di inserire e memorizzare impronte digitali potrebbe coinvolgere in modo estensivo fino a 370 milioni di cittadini dell’Unione e sottoporre potenzialmente l’85% della popolazione dell’Unione all’obbligo del rilevamento delle impronte digitali. Orbene, tale coinvolgimento in modo estensivo, congiuntamente ai dati molto sensibili trattati (immagine del volto in combinazione con due impronte digitali), implicherebbe che la limitazione apportata all’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta, risultante dall’obbligo di rilevamento delle impronte digitali ai fini dell’elaborazione delle carte d’identità, è di maggiore entità rispetto a quella riguardante i passaporti, il che richiederebbe, a sua volta, una giustificazione più solida nonché un attento esame della misura di cui trattasi secondo un criterio di stretta necessità.
36 In ogni caso, la necessità di procedere a un controllo rigoroso di proporzionalità deriverebbe altresì dall’articolo 9, paragrafo 1, del RGPD, in forza del quale il trattamento di tali dati biometrici è, in linea di principio, vietato e può essere autorizzato solo in casi eccezionali e rigorosamente limitati.
37 In tale contesto, se è vero che il giudice del rinvio ritiene che l’utilizzo di dati biometrici riduca il rischio che un documento possa essere falsificato, il medesimo nutre tuttavia dubbi sulla questione se tale mera circostanza possa giustificare la portata della limitazione apportata al diritto alla protezione dei dati personali alla luce, in particolare, delle seguenti ragioni.
38 Anzitutto, nel suo parere 7/2018, il GEPD avrebbe sottolineato che altre tecniche per la stampa di sicurezza dei documenti di identificazione, come gli ologrammi o le filigrane, erano nettamente meno invasive, consentendo al contempo anche di impedire la falsificazione di tali documenti e di verificarne l’autenticità. Per di più, il fatto che il diritto tedesco ammetta che una carta d’identità il cui chip elettronico sia difettoso resti valida dimostrerebbe che gli elementi fisici, in particolare le microstampe o le sovrastampe reattive ai raggi ultravioletti, sono sufficienti a garantire la sicurezza di dette carte.
39 Inoltre, l’articolo 3, paragrafo 7, del regolamento 2019/1157 autorizzerebbe gli Stati membri ad esentare i minori di età inferiore a dodici anni dall’obbligo di rilevamento delle impronte digitali e, in ogni caso, imporrebbe loro di esentare i minori di età inferiore a sei anni da tale obbligo, il che dimostrerebbe che l’acquisizione di due impronte digitali non è strettamente necessaria.
40 Peraltro, l’articolo 3, paragrafo 5, del regolamento 2019/1157 non rispetterebbe il principio di minimizzazione dei dati di cui all’articolo 5 del RGPD, dal quale risulta che l’acquisizione e l’utilizzo di dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Infatti, pur consentendo di favorire l’interoperabilità dei diversi tipi di sistemi, il rilevamento di due impronte digitali complete, e non solo dei punti caratteristici di tali impronte (le «minuzie»), aumenterebbe anche la quantità di dati personali conservati e quindi il rischio di usurpazione d’identità in caso di fuga di dati. Tale rischio non sarebbe peraltro trascurabile, in quanto i chip elettronici utilizzati nelle carte d’identità potrebbero essere letti da scanner non autorizzati.
41 Infine e in sostanza, la limitazione apportata all’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta potrebbe non essere legittima poiché, nel suo parere 7/2018, il GEPD avrebbe rilevato che, quando il regolamento 2019/1157 è stato adottato, il numero di carte d’identità fraudolente era relativamente esiguo in proporzione al numero di carte emesse (38 870 carte fraudolente constatate tra il 2013 e il 2017) e che tale numero era in diminuzione da diversi anni.
42 In tale contesto, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’obbligo di inserire e memorizzare le impronte digitali nelle carte d’identità in forza dell’articolo 3, paragrafo 5, del regolamento [2019/1157] costituisca una violazione del diritto dell’Unione di rango superiore, in particolare:
a) dell’articolo 77, paragrafo 3, TFUE;
b) degli articoli 7 e 8 della [Carta];
c) dell’articolo 35, paragrafo 10, del [RGPD]
e sia quindi invalido per uno di tali motivi».
III. Sulla questione pregiudiziale
43 Con la sua questione, il giudice del rinvio chiede, in sostanza, se tale regolamento 2019/1157 sia invalido, in tutto o in parte, per il motivo che, in primo luogo, esso sarebbe stato adottato secondo una base giuridica errata, in secondo luogo, esso violerebbe l’articolo 35, paragrafo 10, del RGPD e, in terzo luogo, violerebbe gli articoli 7 e 8 della Carta.
A. Sul primo motivo di invalidità, relativo al ricorso a una base giuridica errata
44 Il primo motivo di invalidità menzionato dal giudice del rinvio verte sulla questione di stabilire se, tenuto conto in particolare del riferimento esplicito alle carte d’identità di cui all’articolo 77, paragrafo 3, TFUE, nonché della soluzione adottata nella sentenza del 17 ottobre 2013, Schwarz (C‑291/12, EU:C:2013:670), il regolamento 2019/1157 avrebbe dovuto essere adottato sul fondamento di tale articolo 77, paragrafo 3, e in applicazione della procedura legislativa speciale da esso prevista, e non, come è accaduto, sulla base dell’articolo 21, paragrafo 2, TFUE.
1. Osservazioni preliminari
45 Secondo costante giurisprudenza, la scelta della base giuridica di un atto dell’Unione deve fondarsi su elementi oggettivi che possano essere sottoposti a sindacato giurisdizionale, tra i quali figurano la finalità e il contenuto di tale atto (sentenze del 16 febbraio 2022, Ungheria/Parlamento e Consiglio, C‑156/21, EU:C:2022:97, punto 107, nonché del 16 febbraio 2022, Polonia/Parlamento e Consiglio, C‑157/21, EU:C:2022:98, punto 121).
46 Inoltre, va rilevato che qualora esista, nei Trattati, una disposizione più specifica che possa costituire la base giuridica dell’atto di cui trattasi, questo deve fondarsi su tale disposizione (sentenze del 6 settembre 2012, Parlamento/Consiglio, C‑490/10, EU:C:2012:525, punto 44, nonché dell’8 dicembre 2020, Polonia/Parlamento e Consiglio, C‑626/18, EU:C:2020:1000, punto 48 e giurisprudenza ivi citata).
47 Infine, se l’esame di un atto dell’Unione dimostra che esso persegue molteplici finalità o che possiede molteplici componenti, e se una di tali finalità o di tali componenti è identificabile come principale o preponderante, mentre le altre sono solo accessorie, la base giuridica per l’adozione di tale atto deve essere determinata conformemente a tale finalità o componente principale [v., in tal senso, sentenza del 20 novembre 2018, Commissione/Consiglio (AMP Antartico), C‑626/15 e C‑659/16, EU:C:2018:925, punto 77, nonché parere 1/19 (Convenzione di Istanbul), del 6 ottobre 2021, EU:C:2021:832, punto 286].
2. Sui rispettivi ambiti di applicazione dell’articolo 21, paragrafo 2, TFUE e dell’articolo 77, paragrafo 3, TFUE
48 L’articolo 21, paragrafo 2, TFUE stabilisce che, quando un’azione dell’Unione risulti necessaria per garantire a ogni cittadino dell’Unione il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri e salvo che i Trattati non abbiano previsto poteri di azione a tal fine, il Parlamento e il Consiglio, deliberando secondo la procedura legislativa ordinaria, possono adottare disposizioni intese a facilitare l’esercizio di detti diritti.
49 Ne consegue che tale disposizione conferisce all’Unione una competenza generale ad adottare le disposizioni necessarie al fine di facilitare l’esercizio del diritto dei cittadini dell’Unione di circolare e di soggiornare liberamente nel territorio degli Stati membri, previsto all’articolo 20, paragrafo 2, lettera a), TFUE, fatti salvi i poteri di azione previsti a tal fine dai Trattati.
50 Orbene, a differenza dell’articolo 21, paragrafo 2, TFUE, l’articolo 77, paragrafo 3, TFUE prevede esplicitamente poteri di azione del genere per quanto riguarda l’adozione di misure relative ai passaporti, alle carte d’identità, ai titoli di soggiorno o altro documento assimilato rilasciati ai cittadini dell’Unione al fine di facilitare l’esercizio del diritto, di cui all’articolo 20, paragrafo 2, lettera a), TFUE, di circolare e di soggiornare liberamente nel territorio degli Stati membri.
51 È vero che l’articolo 77, paragrafo 3, TFUE figura nel titolo V di tale Trattato, dedicato allo spazio di libertà, sicurezza e giustizia e, più precisamente, nel capo 2 di tale titolo, intitolato «Politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione». Tuttavia, ai sensi dell’articolo 77, paragrafo 1, TFUE, l’Unione sviluppa una politica volta a garantire tanto l’assenza di qualsiasi controllo sulle persone, a prescindere dalla nazionalità, all’atto dell’attraversamento delle frontiere interne, quanto il controllo delle persone e la sorveglianza efficace dell’attraversamento delle frontiere esterne, nonché ad instaurare progressivamente un sistema integrato di gestione di tali frontiere. Orbene, le disposizioni relative ai passaporti, alle carte d’identità, ai titoli di soggiorno o altro documento assimilato menzionati nel titolo di competenza di cui a detto articolo 77, paragrafo 3, costituiscono parte integrante di una tale politica dell’Unione. Per quanto riguarda, infatti, i cittadini dell’Unione, tali documenti consentono loro, in particolare, di attestare la loro qualità di beneficiari del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri e, quindi, di esercitare tale diritto. Pertanto, detto articolo 77, paragrafo 3, è idoneo a fondare l’adozione di misure relative a detti documenti quando una tale azione risulti necessaria per facilitare l’esercizio di detto diritto, previsto all’articolo 20, paragrafo 2, lettera a), TFUE.
52 Tale interpretazione della portata materiale dell’articolo 77, paragrafo 3, TFUE non può essere inficiata né dall’evoluzione storica dei Trattati in materia di competenza dell’Unione ad adottare misure relative ai passaporti, alle carte d’identità, ai titoli di soggiorno e ad altri documenti assimilati, alla quale fanno riferimento il Parlamento, il Consiglio e la Commissione, né dalla circostanza, menzionata dal governo tedesco, secondo la quale tale disposizione prevede che essa si applichi «salvo che i [T]rattati non abbiano previsto poteri di azione a tale scopo».
53 È vero che il Trattato di Lisbona ha soppresso la disposizione precedentemente contenuta nell’articolo 18, paragrafo 3, CE, che escludeva espressamente la possibilità per il legislatore dell’Unione di ricorrere all’articolo 18, paragrafo 2, CE (divenuto articolo 21, paragrafo 2, TFUE) come base giuridica per l’adozione tanto di «disposizioni relative ai passaporti, alle carte d’identità, ai titoli di soggiorno o altro documento assimilato», quanto di «disposizioni relative alla sicurezza sociale o alla protezione sociale». Tuttavia, al contempo, tale Trattato ha espressamente conferito all’Unione un potere di azione in tali due settori, vale a dire, da un lato, all’articolo 21, paragrafo 3, TFUE per quanto riguarda la sicurezza sociale e la protezione sociale e, dall’altro, all’articolo 77, paragrafo 3, TFUE per quanto riguarda le disposizioni relative ai passaporti, alle carte d’identità, ai titoli di soggiorno o altro documento assimilato, e ha sottoposto l’adozione delle misure in detti settori a una procedura legislativa speciale e, in particolare, all’unanimità in seno al Consiglio.
54 In tali circostanze, non si può dedurre dalla soppressione della disposizione precedentemente contenuta nell’articolo 18, paragrafo 3, CE che sarebbe d’ora in poi possibile adottare «disposizioni relative ai passaporti, alle carte d’identità, ai titoli di soggiorno o altro documento assimilato» sul fondamento dell’articolo 21, paragrafo 2, TFUE. Al contrario, dall’evoluzione storica risulta che, con l’articolo 77, paragrafo 3, TFUE, gli autori dei Trattati hanno inteso conferire all’Unione una competenza più specifica per l’adozione di disposizioni del genere intese a facilitare l’esercizio del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri, garantito all’articolo 20, paragrafo 2, lettera a), TFUE, rispetto alla competenza più generale prevista da tale articolo 21, paragrafo 2.
55 Inoltre, la precisazione di cui all’articolo 77, paragrafo 3, TFUE, secondo la quale tale disposizione si applica «salvo che i [T]rattati non abbiano previsto poteri di azione a tale scopo», deve essere intesa, alla luce dell’impianto sistematico generale del Trattato FUE, nel senso che i poteri di azione in tal modo contemplati sono quelli conferiti non già da una disposizione avente portata più generale, quale l’articolo 21, paragrafo 2, TFUE, bensì da una disposizione ancora più specifica.
56 Pertanto, l’adozione del regolamento 2019/1157 avrebbe potuto fondarsi sull’articolo 21, paragrafo 2, TFUE solo a condizione che la finalità o la componente principale o preponderante di tale regolamento si collocasse al di fuori dell’ambito di applicazione specifico dell’articolo 77, paragrafo 3, TFUE, ossia il rilascio dei passaporti, delle carte d’identità, dei titoli di soggiorno o altro documento assimilato, al fine di facilitare l’esercizio del diritto di cui all’articolo 20, paragrafo 2, lettera a), TFUE.
3. Sulla finalità o la componente principale o preponderante del regolamento 2019/1157
57 In primo luogo, per quanto riguarda la finalità del regolamento 2019/1157, l’articolo 1 di quest’ultimo stabilisce che esso ha ad oggetto il rafforzamento delle norme di sicurezza applicabili alle carte d’identità rilasciate dagli Stati membri ai loro cittadini e ai titoli di soggiorno rilasciati dagli Stati membri ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione.
58 Nello stesso senso, il considerando 46 di tale regolamento afferma che gli obiettivi di quest’ultimo consistono nel «rafforzare la sicurezza» di tali documenti di viaggio e d’identità per «facilitare l’esercizio dei diritti di libera circolazione dei cittadini dell’Unione e dei loro familiari», il che è confermato anche dai considerando 1, 2, 5, 17, 28, 29 e 36 di detto regolamento.
59 In secondo luogo, per quanto riguarda il contenuto del regolamento 2019/1157, occorre rilevare che quest’ultimo consta di sedici articoli. Gli articoli 1 e 2 di tale regolamento ne definiscono rispettivamente l’oggetto e l’ambito di applicazione. Gli articoli 3 e 4 nonché 6 e 7 di detto regolamento, che ne costituiscono le componenti principali, stabiliscono, tra l’altro, i requisiti in termini di sicurezza, contenuto, formato o prescrizioni tecniche che le carte d’identità e i titoli di soggiorno rilasciati dagli Stati membri devono rispettare, mentre gli articoli 5 e 8 del medesimo regolamento prevedono l’eliminazione graduale delle carte d’identità e delle carte di soggiorno che non soddisfano i requisiti da esso stabiliti. Infine, gli articoli da 9 a 16 del regolamento 2019/1157 precisano il modo in cui devono essere attuati gli obblighi da esso previsti, in particolare per quanto riguarda l’acquisizione degli identificatori biometrici e la protezione dei dati personali.
60 È vero che l’articolo 2 del regolamento 2019/1157 precisa che quest’ultimo si applica non solo alle carte d’identità rilasciate dagli Stati membri ai loro cittadini, ma anche agli attestati d’iscrizione rilasciati ai sensi dell’articolo 8 della direttiva 2004/38 ai cittadini dell’Unione per soggiorni di durata superiore a tre mesi in uno Stato membro ospitante e ai documenti che attestano il soggiorno permanente rilasciati su richiesta ai sensi dell’articolo 19 di tale direttiva, attestati e documenti che non possono essere assimilati alle carte d’identità, ai passaporti o ai permessi di soggiorno. Tuttavia, il regolamento 2019/1157 non contiene alcuna disposizione che disciplini tali attestati e si limita a indicare, al suo articolo 6, primo comma, lettera f), che i titoli di soggiorno rilasciati dagli Stati membri ai cittadini dell’Unione devono contenere le informazioni che devono figurare sugli attestati di iscrizione e sui documenti che attestano il soggiorno permanente rilasciati a norma, rispettivamente, degli articoli 8 e 19 della direttiva 2004/38. Di conseguenza, si deve ritenere che la finalità e la componente di tale regolamento che si ricollegano a detti attestati abbiano una portata estremamente limitata, di modo che la base giuridica di detto regolamento non può essere determinata alla luce di tale finalità o di tale componente.
61 In dette circostanze, dalla finalità e dalle componenti principali del regolamento 2019/1157 risulta che quest’ultimo rientra nel novero degli atti che ricadono nell’ambito di applicazione specifico dell’articolo 77, paragrafo 3, TFUE, quale individuato ai punti da 48 a 51 della presente sentenza.
62 Di conseguenza, adottando il regolamento 2019/1157 sul fondamento dell’articolo 21, paragrafo 2, TFUE, il legislatore dell’Unione ha violato l’articolo 77, paragrafo 3, TFUE e ha fatto ricorso a una procedura legislativa inadeguata.
63 Ne discende che il primo motivo di invalidità menzionato dal giudice del rinvio, vertente sul fatto che il regolamento 2019/1157 è stato adottato erroneamente sul fondamento dell’articolo 21, paragrafo 2, TFUE e in applicazione della procedura legislativa ordinaria, è tale da comportare l’invalidità di detto regolamento.
B. Sul secondo motivo di invalidità, vertente sul mancato rispetto dell’articolo 35, paragrafo 10, del RGPD
64 Il secondo motivo di invalidità menzionato dal giudice del rinvio è presentato come vertente sul fatto che il regolamento 2019/1157 sarebbe stato adottato senza che sia stata effettuata una valutazione d’impatto sulla protezione dei dati, in violazione dell’articolo 35, paragrafo 10, del RGPD.
65 A tale riguardo, va rilevato che l’articolo 35, paragrafo 1, del RGPD dispone che, quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. L’articolo 35, paragrafo 3, di tale regolamento precisa che una valutazione del genere è imposta nel caso di un trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, di detto regolamento, quali i dati biometrici intesi a identificare in modo univoco una persona fisica.
66 Dato che, nel caso di specie, il regolamento 2019/1157 non procede di per sé ad alcun trattamento applicato a dati o insiemi di dati personali, ma si limita a prevedere che gli Stati membri effettuino determinati trattamenti in caso di domanda di carta d’identità, si deve constatare che l’adozione di tale regolamento non era subordinata al fatto che fosse previamente effettuata una valutazione dell’impatto dei trattamenti previsti, ai sensi dell’articolo 35, paragrafo 1, del RGPD. Orbene, l’articolo 35, paragrafo 10, di tale regolamento istituisce una deroga all’articolo 35, paragrafo 1, di detto regolamento.
67 Ne consegue che, poiché, come risulta da quanto precede, l’articolo 35, paragrafo 1, del RGPD non era destinato ad applicarsi al momento dell’adozione del regolamento 2019/1157, tale adozione non ha potuto avvenire in violazione dell’articolo 35, paragrafo 10, del regolamento 2016/679.
68 Alla luce di quanto precede, il secondo motivo, vertente sulla violazione dell’articolo 35, paragrafo 10, del RGPD, non è tale da comportare l’invalidità del regolamento 2019/1157.
C. Sul terzo motivo di invalidità, vertente sull’incompatibilità dell’articolo 3, paragrafo 5, del regolamento 2019/1157 con gli articoli 7 e 8 della Carta
69 Il terzo motivo di invalidità del regolamento 2019/1157 menzionato dal giudice del rinvio verte sulla questione di stabilire se l’obbligo di inserire due impronte digitali complete nel supporto di memorizzazione delle carte d’identità rilasciate dagli Stati membri, previsto all’articolo 3, paragrafo 5, di tale regolamento, comporti una limitazione ingiustificata dei diritti garantiti dagli articoli 7 e 8 della Carta.
1. Sull’esistenza di una limitazione
70 L’articolo 7 della Carta prevede, in particolare, che ogni persona ha diritto al rispetto della propria vita privata. Quanto all’articolo 8, paragrafo 1, della medesima, esso stabilisce che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Da tali disposizioni, lette in combinato disposto, deriva che in linea di principio qualsiasi trattamento dei dati personali effettuato da un terzo è idoneo a costituire pregiudizio a tali diritti (sentenza del 17 ottobre 2013, Schwarz, C‑291/12, EU:C:2013:670, punto 25).
71 Nel caso di specie, l’articolo 3, paragrafo 5, del regolamento 2019/1157 dispone che il supporto di memorizzazione altamente protetto che le carte d’identità rilasciate dagli Stati membri ai loro cittadini devono avere deve contenere dati biometrici, vale a dire un’immagine del volto e due impronte digitali in formato interoperativo digitale.
72 Orbene, va constatato che tali dati personali consentono l’identificazione precisa delle persone fisiche interessate e sono particolarmente sensibili a causa dei rischi significativi per le libertà e i diritti fondamentali che il loro uso può presentare, come risulta, in particolare, dal considerando 51 del RGPD, regolamento che si applica ai dati di cui trattasi, come ricordato dal considerando 40 del regolamento 2019/1157.
73 Di conseguenza, l’obbligo di inserire due impronte digitali nel supporto di memorizzazione delle carte d’identità, previsto dall’articolo 3, paragrafo 5, del regolamento 2019/1157, costituisce una limitazione tanto del diritto al rispetto della vita privata quanto del diritto alla protezione dei dati di carattere personale, sanciti rispettivamente agli articoli 7 e 8 della Carta.
74 Inoltre, tale obbligo implica la previa realizzazione di due trattamenti di dati personali in successione, vale a dire il rilevamento di dette impronte presso l’interessato, poi la loro memorizzazione provvisoria ai fini della personalizzazione delle carte d’identità, trattamenti disciplinati dall’articolo 10 di detto regolamento. Detti trattamenti costituiscono anch’essi limitazioni dei diritti sanciti dagli articoli 7 e 8 della Carta.
2. Sulla giustificazione della limitazione
75 Come risulta da costante giurisprudenza, il diritto al rispetto della vita privata e il diritto alla protezione dei dati di carattere personale, garantiti rispettivamente dagli articoli 7 e 8 della Carta, non sono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale (v., in tal senso, sentenza del 20 settembre 2022, SpaceNet e Telekom Deutschland, C‑793/19 e C‑794/19, EU:C:2022:702, punto 63).
76 Possono quindi essere apportate limitazioni a tali diritti, purché, conformemente all’articolo 52, paragrafo 1, prima frase, della Carta, esse siano previste dalla legge e rispettino il contenuto essenziale di detti diritti. Inoltre, ai sensi della seconda frase di tale paragrafo, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni del genere solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. A tale riguardo, l’articolo 8, paragrafo 2, della Carta precisa che i dati di carattere personale devono, in particolare, essere trattati «per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge».
a) Sul rispetto del principio di legalità
77 Per quanto riguarda il requisito, stabilito dall’articolo 52, paragrafo 1, prima frase, della Carta, secondo cui qualsiasi limitazione nell’esercizio dei diritti riconosciuti dalla medesima deve essere prevista dalla legge, va rammentato che detto requisito implica che l’atto che consente l’ingerenza in tali diritti deve definire, esso stesso, la portata della limitazione dell’esercizio del diritto considerato, fermo restando, da un lato, che tale requisito non esclude che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione, e, dall’altro, che la Corte può, se del caso, precisare, in via interpretativa, la portata concreta della limitazione sia rispetto ai termini stessi della normativa dell’Unione di cui trattasi sia rispetto all’impianto sistematico e agli obiettivi che essa persegue, come interpretati alla luce dei diritti fondamentali garantiti dalla Carta (sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 114).
78 Nel caso di specie, le limitazioni all’esercizio dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta derivanti dall’obbligo di inserire due impronte digitali complete nel supporto di memorizzazione delle carte d’identità rilasciate dagli Stati membri nonché le condizioni di applicazione e la portata di tali limitazioni sono definite in modo chiaro e preciso dall’articolo 3, paragrafo 5, e dall’articolo 10, paragrafi 1 e 3, del regolamento 2019/1157, adottati dal legislatore dell’Unione secondo la procedura legislativa ordinaria e i cui effetti saranno mantenuti dalla presente sentenza.
79 Di conseguenza, dette limitazioni all’esercizio dei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta soddisfano il principio di legalità di cui all’articolo 52, paragrafo 1, prima frase, della Carta.
b) Sul rispetto del contenuto essenziale dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta
80 Occorre constatare che le informazioni fornite dalle impronte digitali non consentono, di per sé, di avere una visione di insieme sulla vita privata e familiare delle persone interessate.
81 In tali circostanze, la limitazione che comporta l’obbligo di inserire due impronte digitali nel supporto di memorizzazione delle carte d’identità rilasciate dagli Stati membri, previsto dall’articolo 3, paragrafo 5, del regolamento 2019/1157, non pregiudica il contenuto essenziale dei diritti fondamentali sanciti dagli articoli 7 e 8 della Carta (v., per analogia, sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 120).
c) Sul rispetto del principio di proporzionalità
82 Come risulta dall’articolo 52, paragrafo 1, seconda frase, della Carta, affinché limitazioni all’esercizio dei diritti fondamentali garantiti da quest’ultima possano essere apportate nel rispetto del principio di proporzionalità, tali limitazioni devono essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.
83 Più specificamente, le deroghe alla protezione dei dati personali e le limitazioni di queste ultime operano entro i limiti dello stretto necessario, fermo restando che, qualora sia possibile una scelta fra più misure appropriate al soddisfacimento dei legittimi obiettivi perseguiti, si deve ricorrere alla meno restrittiva di esse. Inoltre, un obiettivo di interesse generale non può essere legittimamente perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali interessati dalla misura di cui trattasi, effettuando un contemperamento equilibrato tra, da un lato, l’obiettivo di interesse generale e, dall’altro, i diritti interessati, al fine di garantire che gli inconvenienti causati da tale misura non siano sproporzionati rispetto agli scopi perseguiti. Così, la possibilità per gli Stati membri di giustificare una limitazione ai diritti garantiti dagli articoli 7 e 8 della Carta deve essere valutata misurando la gravità dell’ingerenza che una limitazione siffatta comporta, e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia adeguata a detta gravità (sentenza del 22 novembre 2022, Luxembourg Business Registers, C‑37/20 e C‑601/20, EU:C:2022:912, punto 64 e giurisprudenza ivi citata).
84 Di conseguenza, per verificare se, nel caso di specie, le ingerenze nei diritti garantiti agli articoli 7 e 8 della Carta risultanti dall’obbligo di inserire due impronte digitali nel supporto di memorizzazione delle carte d’identità, previsto dall’articolo 3, paragrafo 5, del regolamento 2019/1157, rispettino il principio di proporzionalità, occorre esaminare, in primo luogo, se tale misura persegua uno o più obiettivi di interesse generale riconosciuti dall’Unione e sia effettivamente idonea a realizzare tali obiettivi, in secondo luogo, se le ingerenze che ne derivano siano limitate allo stretto necessario, nel senso che detti obiettivi non potrebbero ragionevolmente essere conseguiti in modo altrettanto efficace con altri mezzi meno lesivi di tali diritti fondamentali delle persone interessate, e, in terzo luogo, se dette ingerenze non siano sproporzionate rispetto agli obiettivi, il che implica in particolare una ponderazione di tali obiettivi e della gravità di dette ingerenze (v., in tal senso, sentenze del 22 novembre 2022, Luxembourg Business Registers, C‑37/20 e C‑601/20, EU:C:2022:912, punto 66, nonché dell’8 dicembre 2022, Orde van Vlaamse Balies e a., C‑694/20, EU:C:2022:963, punto 42).
1) Sul perseguimento di una o più finalità di interesse generale riconosciute dall’Unione e sull’idoneità della misura a realizzare tali finalità
i) Sul carattere di interesse generale delle finalità perseguite dalla misura di cui trattasi
85 Conformemente al suo articolo 1, oggetto del regolamento 2019/1157 è il rafforzamento delle norme di sicurezza applicabili, segnatamente, alle carte d’identità rilasciate dagli Stati membri ai loro cittadini che esercitano il diritto di libera circolazione.
86 Più specificamente e come risulta dai considerando 4, 5, da 17 a 20, e 32 del regolamento 2019/1157, l’inserimento dei dati biometrici, tra i quali figurano due impronte digitali complete, nel supporto di memorizzazione delle carte d’identità mira a garantire l’autenticità di dette carte nonché a consentire l’identificazione affidabile del loro titolare, contribuendo al contempo, conformemente ai considerando 23 e 33 nonché all’articolo 3, paragrafo 5, di tale regolamento, all’interoperabilità dei sistemi di verifica dei documenti di identificazione, al fine di ridurre il rischio di falsificazione e frode documentale.
87 Orbene, la Corte ha già avuto occasione di dichiarare, a proposito del rilascio dei passaporti (v., in tal senso, sentenza del 17 ottobre 2013, Schwarz, C‑291/12, EU:C:2013:670, punti da 36 a 38) nonché dell’istituzione di un archivio di identificazione dei cittadini di paesi terzi (v., in tal senso, sentenza del 3 ottobre 2019, A e a., C‑70/18, EU:C:2019:823, punto 46 e giurisprudenza ivi citata), che la lotta contro la frode documentale, la quale comprende, in particolare, la lotta contro la fabbricazione di carte d’identità false e contro l’usurpazione d’identità, costituisce una finalità di interesse generale riconosciuta dall’Unione.
88 Quanto alla finalità dell’interoperabilità dei sistemi di verifica dei documenti di identificazione, anch’essa ha un tale carattere poiché, come risulta dal considerando 17 del regolamento 2019/1157, essa contribuisce a facilitare l’esercizio, da parte dei cittadini dell’Unione, del diritto loro riconosciuto dall’articolo 20 TFUE di circolare e di soggiornare liberamente nel territorio degli Stati membri.
ii) Sull’idoneità della misura di cui trattasi a rispondere effettivamente alle finalità di interesse generale perseguite
89 Nel caso di specie, l’inserimento di due impronte digitali complete nel supporto di memorizzazione delle carte d’identità è idonea a realizzare le finalità di interesse generale di lotta contro la fabbricazione di carte d’identità false e contro l’usurpazione d’identità nonché di interoperabilità dei sistemi di verifica, addotte dal legislatore dell’Unione per giustificare tale misura.
90 Infatti, anzitutto, l’inserimento di dati biometrici, quali le impronte digitali, nelle carte d’identità può rendere più difficoltosa la fabbricazione di carte d’identità false, in quanto, in particolare, conformemente all’articolo 3, paragrafo 5, del regolamento 2019/1157, in combinato disposto con l’articolo 14, paragrafi 1 e 2, di tale regolamento, detti dati devono essere memorizzati secondo prescrizioni tecniche precise e che possono essere mantenute segrete.
91 Inoltre, l’inserimento di tali dati biometrici costituisce un mezzo che consente, conformemente all’articolo 11, paragrafo 6, e ai considerando 18 e 19 del regolamento 2019/1157, di verificare in modo affidabile l’autenticità della carta d’identità e l’identità del titolare della carta e, in tal modo far sì che vi sia un minor rischio di frode.
92 Infine, la scelta del legislatore dell’Unione di prevedere l’inserimento delle impronte digitali complete risulta altresì idonea a realizzare la finalità di interoperabilità dei sistemi di verifica delle carte d’identità, poiché il ricorso alle impronte digitali complete consente di garantire una compatibilità con l’insieme dei sistemi automatizzati di identificazione delle impronte digitali utilizzati dagli Stati membri, sebbene detti sistemi non ricorrano necessariamente al medesimo meccanismo di identificazione.
93 Il giudice del rinvio osserva altresì che l’articolo 3, paragrafo 7, del regolamento 2019/1157 autorizza, al suo primo comma, gli Stati membri ad esentare dal rilevamento delle impronte digitali, in particolare, i minori di età inferiore a dodici anni e impone loro persino, al suo secondo comma, di esentare da tale rilevamento i minori di età inferiore a sei anni.
94 È vero che una normativa è idonea a garantire la realizzazione della finalità invocata solo se le misure da essa previste rispondono realmente all’intento di raggiungerla e se sono attuate in modo coerente e sistematico (v., per analogia, sentenza del 5 dicembre 2023, Nordic Info, C‑128/22, EU:C:2023:951, punto 84 e giurisprudenza ivi citata).
95 Tuttavia, il regolamento 2019/1157 soddisfa tale requisito sebbene preveda esenzioni dall’obbligo di procedere al rilevamento delle impronte digitali dei minori dal momento che, come risulta dal suo considerando 26, tali esenzioni mirano a tener conto dell’interesse superiore del minore.
96 Lo stesso vale per quanto riguarda la norma di cui all’articolo 5 del regolamento 2019/1157, secondo la quale le carte d’identità non conformi ai requisiti di cui all’articolo 3 di tale regolamento cessano di essere valide solo alla loro scadenza o entro il 3 agosto 2031. Invero, il legislatore dell’Unione poteva ritenere che un tale periodo transitorio fosse adeguato al fine di evitare agli Stati membri l’onere di emettere nuove carte d’identità per tutte le persone interessate in un periodo molto breve, senza tuttavia mettere in discussione l’efficacia a lungo termine delle misure previste da tale regolamento.
97 Quanto alla circostanza che taluni Stati membri prevedono nella loro normativa che le carte d’identità da essi rilasciate restino valide nonostante la natura difettosa del supporto elettronico di memorizzazione, è sufficiente rilevare che normative del genere sono compatibili con il regolamento 2019/1157 solo a condizione che il periodo transitorio menzionato al punto precedente non sia scaduto.
2) Sul carattere necessario del ricorso alla misura di cui trattasi al fine di realizzare le finalità di interesse generale perseguite
98 Per quanto concerne, in primo luogo, il principio stesso di inserire le impronte digitali nel supporto di memorizzazione delle carte d’identità, occorre rilevare che le impronte digitali costituiscono mezzi affidabili ed efficaci per determinare con certezza l’identità di una persona e che il procedimento utilizzato ai fini del rilevamento di tali impronte è semplice da attuare.
99 In particolare, come rilevato dall’avvocato generale al paragrafo 90 delle sue conclusioni, il semplice inserimento di un’immagine del volto costituirebbe un mezzo di identificazione meno efficace rispetto all’inserimento, oltre che di tale immagine, di due impronte digitali, poiché l’invecchiamento, lo stile di vita, la malattia o un intervento chirurgico estetico o ricostruttivo possono alterare le caratteristiche anatomiche del volto.
100 È vero che la valutazione d’impatto realizzata dalla Commissione di cui è corredata la proposta di regolamento all’origine del regolamento 2019/1157 ha precisato che doveva essere privilegiata l’opzione consistente nel non rendere obbligatorio l’inserimento di due impronte digitali nel supporto di memorizzazione delle carte d’identità.
101 Tuttavia, oltre al fatto che la Commissione stessa ha scelto di non adottare tale opzione nella sua proposta legislativa, va rilevato che, sebbene l’accordo interistituzionale preveda, al punto 14, che, all’atto dell’esame delle proposte legislative della Commissione, il Parlamento e il Consiglio devono tenere pienamente conto delle valutazioni d’impatto della Commissione, questo stesso accordo precisa, al punto 12, che dette valutazioni «sono uno strumento inteso a fornire alle tre istituzioni un ausilio per prendere decisioni ben fondate e non sostituiscono le decisioni politiche nell’ambito del processo decisionale democratico». Perciò, benché tenuti a prendere in considerazione le valutazioni d’impatto della Commissione, il Parlamento e il Consiglio non sono per questo vincolati dal contenuto di queste ultime, in particolare, per quanto riguarda le valutazioni che vi figurano (v., in tal senso, sentenza del 21 giugno 2018, Polonia/Parlamento e Consiglio, C‑5/16, EU:C:2018:483, punto 159 nonché giurisprudenza ivi citata).
102 Di conseguenza, il mero fatto che il legislatore dell’Unione abbia adottato una misura diversa ed eventualmente più restrittiva di quella raccomandata al termine della valutazione d’impatto non è idoneo a dimostrare che esso abbia ecceduto i limiti di quanto era necessario alla realizzazione dell’obiettivo perseguito (v., in tal senso, sentenza del 4 maggio 2016, Pillbox 38, C‑477/14, EU:C:2016:324, punto 65).
103 Nella fattispecie, la valutazione d’impatto effettuata dalla Commissione ha constatato che l’opzione consistente nel rendere obbligatorio l’inserimento di impronte digitali nel supporto di memorizzazione delle carte d’identità era la più efficace ai fini della realizzazione della finalità specifica di lottare contro la fabbricazione di carte d’identità false e di migliorare l’autenticazione documentale. In tali circostanze, l’opzione consistente nel non rendere obbligatorio detto inserimento non può, in ogni caso, mettere in discussione la necessità, ai sensi della giurisprudenza ricordata al punto 84 della presente sentenza, della misura adottata dal legislatore dell’Unione.
104 In secondo luogo, per quanto concerne l’inserimento di due impronte digitali complete piuttosto che di alcuni dei punti caratteristici di tali impronte (in prosieguo: le «minuzie»), da un lato, come rilevato dall’avvocato generale al paragrafo 93 delle sue conclusioni, le minuzie non presentano le stesse garanzie di un’impronta completa. Dall’altro, l’inserimento di un’impronta completa è necessario per l’interoperabilità dei sistemi di verifica dei documenti di identificazione, il che costituisce una delle finalità essenziali perseguite. Invero, come risulta dal punto 47 del parere 7/2018 e come altresì sottolineato dal giudice del rinvio, gli Stati membri utilizzano diverse tecnologie di identificazione delle impronte digitali, cosicché il fatto di inserire nel supporto di memorizzazione della carta d’identità solo alcune delle caratteristiche di un’impronta digitale avrebbe quindi l’effetto di compromettere la realizzazione della finalità di interoperabilità dei sistemi di verifica dei documenti di identificazione perseguita dal regolamento 2019/1157.
105 Dalle considerazioni che precedono risulta che le limitazioni apportate ai diritti fondamentali garantiti dagli articoli 7 e 8 della Carta derivanti dall’obbligo di inserire due impronte digitali complete nel supporto di memorizzazione appaiono rispettare i limiti dello stretto necessario.
3) Sull’esistenza di una ponderazione tra, da un lato, la gravità dell’ingerenza nei diritti fondamentali coinvolti e, dall’altro le finalità perseguite da tale misura
i) Sulla gravità dell’ingerenza causata dalla limitazione all’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta
106 La valutazione della gravità dell’ingerenza causata da una limitazione ai diritti garantiti dagli articoli 7 e 8 della Carta implica che si tenga conto della natura dei dati personali di cui trattasi, in particolare del carattere eventualmente sensibile di tali dati, nonché della natura e delle modalità concrete del trattamento dei dati, in particolare del numero di persone che hanno accesso a tali dati e delle modalità di accesso a questi ultimi. Se del caso, deve anche essere presa in considerazione l’esistenza di misure volte a prevenire il rischio che tali dati siano oggetto di trattamenti abusivi.
107 Nel caso di specie, è vero che la limitazione dell’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta risultante dal regolamento 2019/1157 può riguardare un gran numero di persone, e tale numero è stato stimato dalla Commissione nella sua valutazione d’impatto in 370 milioni di abitanti sui 440 milioni che contava allora l’Unione. Le impronte digitali, in quanto dati biometrici, presentano, per loro natura, una particolare sensibilità, che gode, come risulta segnatamente dal considerando 51 del RGPD, di una specifica protezione nel diritto dell’Unione.
108 Tuttavia, occorre sottolineare che il rilevamento e la memorizzazione di due impronte digitali complete sono autorizzate dal regolamento 2019/1157 solo ai fini dell’inserimento di tali impronte digitali nel supporto di memorizzazione delle carte d’identità.
109 Inoltre, dall’articolo 3, paragrafo 5, di tale regolamento, in combinato disposto con l’articolo 10, paragrafo 3, di quest’ultimo, risulta che, una volta effettuato l’inserimento e avvenuto il ritiro della carta d’identità da parte della persona interessata, le impronte digitali rilevate sono conservate unicamente nel supporto di memorizzazione di detta carta, la quale è, in linea di principio, fisicamente detenuta da tale persona.
110 Infine, il regolamento 2019/1157 prevede un insieme di garanzie volte a limitare i rischi che, in occasione della sua attuazione, dati personali siano raccolti o utilizzati per scopi diversi dalla realizzazione delle finalità da esso perseguite, e ciò non solo per quanto riguarda i trattamenti di dati personali che tale regolamento rende obbligatori, ma anche con riferimento ai principali trattamenti ai quali possono essere sottoposte le impronte digitali integrate nel supporto di memorizzazione delle carte d’identità.
111 Per quanto riguarda, dunque, sotto un primo profilo, la raccolta dei dati, l’articolo 10, paragrafi 1 e 2, del regolamento 2019/1157 stabilisce che gli identificatori biometrici sono acquisiti «unicamente da personale qualificato e debitamente designato» e che tale personale deve rispettare «procedure adeguate ed efficaci per l’acquisizione degli identificatori biometrici», procedure che devono essere conformi ai diritti e ai principi sanciti nella Carta, nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e nella Convenzione delle Nazioni Unite sui diritti del fanciullo. Inoltre, come rilevato al punto 93 della presente sentenza, l’articolo 3, paragrafo 7, di tale regolamento contiene norme speciali per i minori di età inferiore a dodici anni (primo e secondo comma) nonché per le persone per cui il rilevamento delle impronte digitali è fisicamente impossibile (terzo comma), atteso che queste ultime persone sono «esentate dall’obbligo di tale rilevamento».
112 Per quanto riguarda, sotto un secondo profilo, la memorizzazione dei dati, da un lato, il regolamento 2019/1157 obbliga gli Stati membri a procedere alla memorizzazione, come dati biometrici, di un’immagine del volto e di due impronte digitali. A tale riguardo, il considerando 21 di tale regolamento precisa espressamente che quest’ultimo non fornisce «una base giuridica per la costituzione o il mantenimento di banche dati a livello nazionale per la conservazione di dati biometrici negli Stati membri, che è una questione di diritto nazionale da trattare nel rispetto del diritto dell’Unione», né fornisce «una base giuridica per la costituzione o il mantenimento di una banca dati centralizzata a livello dell’Unione». Dall’altro lato, l’articolo 10, paragrafo 3, di detto regolamento prevede che tali «identificatori biometrici (...) sono conservati (...) solo fino alla data di ritiro del documento e, in ogni caso, non oltre 90 giorni dalla data di rilascio» e precisa che, «[t]rascorso tale periodo, tali identificatori biometrici sono immediatamente cancellati o distrutti».
113 Ne risulta, in particolare, che l’articolo 10, paragrafo 3, del regolamento 2019/1157 non consente agli Stati membri di trattare i dati biometrici per fini diversi da quelli previsti da tale regolamento. Inoltre, la medesima disposizione osta a una conservazione centralizzata di impronte digitali che vada al di là della memorizzazione provvisoria di tali impronte ai fini della personalizzazione delle carte d’identità.
114 Infine, l’articolo 11, paragrafo 6, del regolamento 2019/1157 menziona la possibilità che i dati biometrici contenuti nel supporto di memorizzazione protetto possano essere usati, in conformità del diritto dell’Unione e nazionale, dal personale debitamente autorizzato delle autorità nazionali e delle agenzie dell’Unione competenti.
115 Per quanto concerne la lettera a) di tale disposizione, essa autorizza l’uso dei dati biometrici conservati nel supporto di memorizzazione delle carte d’identità e dei titoli di soggiorno solo allo scopo di verificare l’autenticità della carta d’identità o del titolo di soggiorno.
116 Quanto alla lettera b) di detta disposizione, essa prevede che i dati biometrici memorizzati sul supporto di memorizzazione delle carte d’identità e dei titoli di soggiorno possono essere usati allo scopo di verificare l’identità del titolare «attraverso elementi comparativi direttamente disponibili laddove la legge esiga la presentazione della carta d’identità o del titolo di soggiorno». Orbene, dal momento che un tale trattamento può fornire informazioni supplementari sulla vita privata delle persone interessate, esso può essere effettuato solo a fini strettamente limitati all’identificazione della persona interessata e in condizioni precisamente delimitate dalla legge che esige la presentazione della carta d’identità o del titolo di soggiorno.
117 Per quanto riguarda, sotto un terzo profilo, l’accesso ai dati biometrici registrati nel supporto di memorizzazione delle carte d’identità, occorre sottolineare che il considerando 19 del regolamento 2019/1157 stabilisce un ordine di priorità nell’uso dei mezzi di verifica dell’autenticità del documento e dell’identità del titolare, prevedendo che gli Stati membri debbano «verificare in primo luogo l’immagine del volto» e, se necessario, per confermare senza dubbio l’autenticità del documento e l’identità del titolare, «[verificare] anche le impronte digitali».
118 Per quanto riguarda, sotto un quarto profilo, il rischio di accesso non autorizzato ai dati memorizzati, l’articolo 3, paragrafi 5 e 6, del regolamento 2019/1157 prevede, per ridurre al minimo tale rischio, che le impronte digitali siano memorizzate in un «supporto di memorizzazione altamente protetto», dotato di «capacità sufficiente e della capacità di garantire l’integrità, l’autenticità e la riservatezza dei dati». Inoltre, dall’articolo 3, paragrafo 10, di tale regolamento risulta che, «[s]e gli Stati membri conservano nelle carte d’identità dati per servizi telematici come l’amministrazione in linea e il commercio elettronico, tali dati nazionali sono fisicamente o logicamente separati», in particolare, dalle impronte digitali rilevate e memorizzate sul fondamento di detto regolamento. Infine, dai considerando 41 e 42 nonché dall’articolo 11, paragrafo 4, del medesimo regolamento risulta che gli Stati membri restano responsabili del corretto trattamento dei dati biometrici, anche quando essi cooperano con fornitori esterni di servizi.
ii) Sull’importanza delle finalità perseguite
119 Come ricordato al punto 86 della presente sentenza, l’inserimento di due impronte digitali nel supporto di memorizzazione delle carte d’identità mira a lottare contro la fabbricazione di carte d’identità false e contro l’usurpazione d’identità nonché a garantire l’interoperabilità dei sistemi di verifica dei documenti di identificazione. Orbene, in tal senso, esso è idoneo a contribuire alla tutela della vita privata delle persone interessate nonché, più in generale, alla lotta contro la criminalità e il terrorismo.
120 Inoltre, una misura del genere consente di rispondere all’esigenza, per ogni cittadino dell’Unione, di disporre di mezzi per identificarsi in modo affidabile e, per gli Stati membri, di assicurarsi che le persone che invocano diritti riconosciuti dal diritto dell’Unione ne siano effettivamente titolari. Essa contribuisce, in particolare, ad agevolare l’esercizio, da parte dei cittadini dell’Unione, del diritto alla libertà di circolazione e di soggiorno, che è anch’essa un diritto fondamentale garantito dall’articolo 45 della Carta. Pertanto, le finalità perseguite dal regolamento 2019/1157, e in particolare mediante l’inserimento di due impronte digitali nel supporto di memorizzazione delle carte d’identità, hanno un’importanza particolare non solo per l’Unione e gli Stati membri, ma anche per i cittadini dell’Unione.
121 Peraltro, la legittimità e l’importanza di tali finalità non sono affatto messe in discussione dalla circostanza, cui fa riferimento il giudice del rinvio, che il parere 7/2018 menzionava, ai suoi paragrafi da 24 a 26, il fatto che tra il 2013 e il 2017 sono stati individuati solo 38 870 casi di carte d’identità fraudolente e che detta cifra era in diminuzione da diversi anni.
122 Infatti, anche a voler ritenere che il numero di carte d’identità fraudolente sia esiguo, il legislatore dell’Unione non era tenuto ad attendere che tale numero fosse in aumento per adottare misure dirette a prevenire il rischio di utilizzo di tali carte, ma poteva, in particolare al fine di controllare i rischi, prevedere un’evoluzione di tal genere, purché fossero rispettate le altre condizioni relative al rispetto del principio di proporzionalità.
iii) Bilanciamento
123 Alla luce di quanto precede, va constatato che non appare che la limitazione dell’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta risultante dall’inserimento di due impronte digitali nel supporto di memorizzazione delle carte d’identità sia, tenuto conto della natura dei dati di cui trattasi, della natura e delle modalità dei trattamenti nonché dei meccanismi di salvaguardia previsti, di gravità sproporzionata rispetto all’importanza delle finalità perseguite da detta misura. Pertanto, una misura del genere deve essere considerata fondata su una ponderazione equilibrata tra, da un lato, tali finalità e, dall’altro, i diritti fondamentali coinvolti.
124 Di conseguenza, la limitazione all’esercizio dei diritti garantiti dagli articoli 7 e 8 della Carta non viola il principio di proporzionalità, cosicché il terzo motivo non è tale da comportare l’invalidità del regolamento 2019/1157.
125 Dall’insieme delle considerazioni che precedono risulta che il regolamento 2019/1157 è invalido in quanto è stato adottato sul fondamento dell’articolo 21, paragrafo 2, TFUE.
IV. Sul mantenimento nel tempo degli effetti del regolamento 2019/1157
126 Gli effetti di un atto dichiarato invalido possono essere mantenuti per motivi di certezza del diritto, in particolare qualora gli effetti immediati della sentenza che dichiara tale invalidità comporterebbero conseguenze negative gravi per gli interessati (v., in tal senso, sentenza del 17 marzo 2016, Parlamento/Commissione, C‑286/14, EU:C:2016:183, punto 67).
127 Nel caso di specie, l’invalidazione del regolamento 2019/1157 con effetto immediato sarebbe tale da produrre conseguenze negative gravi per un numero significativo di cittadini dell’Unione, in particolare per la loro sicurezza nello spazio di libertà, sicurezza e giustizia.
128 In tali circostanze, la Corte decide che occorre mantenere gli effetti di tale regolamento fino all’entrata in vigore, entro un termine ragionevole che non può eccedere i due anni a decorrere dal 1° gennaio dell’anno successivo alla data di pronuncia della presente sentenza, di un nuovo regolamento, fondato sull’articolo 77, paragrafo 3, TFUE, diretto a sostituirlo.
V. Sulle spese
129 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) Il regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e dei titoli di soggiorno rilasciati ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione, è invalido.
2) Gli effetti del regolamento 2019/1157 sono mantenuti fino all’entrata in vigore, entro un termine ragionevole che non può eccedere i due anni a decorrere dal 1° gennaio dell’anno successivo alla data di pronuncia della presente sentenza, di un nuovo regolamento, fondato sull’articolo 77, paragrafo 3, TFUE, diretto a sostituirlo.
Firme