Sentenza della Corte di giustizia (Grande Sezione) del 21 giugno 2022, Ligue des droits humains, causa C-817/19, ECLI:EU:C:2022:491
Nella sentenza Ligue des droits humains, la Corte di giustizia è stata chiamata a pronunciarsi, tra l’altro, circa la validità della direttiva PNR alla luce dei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta, nonché dell’art. 52, par. 1, della stessa. La Corte di giustizia si sofferma in particolare sul rispetto del principio di proporzionalità e sul carattere necessario delle ingerenze risultati dalla direttiva PNR ai diritti fondamentali citati. La Corte di giustizia, al termine del proprio lungo ragionamento, arriva alla conclusione che il trasferimento, il trattamento e la conservazione dei dati PNR previsti da tale direttiva possono essere considerati come limitati allo stretto necessario ai fini della lotta contro i reati di terrorismo e i reati gravi, a condizione che i poteri previsti da detta direttiva siano interpretati secondo quanto statuito dalla Corte di giustizia stessa.
Nella sentenza del 21 giugno 2022, Ligue des droits humains la Corte di giustizia, nella formazione della Grande Sezione, è stata chiamata a pronunciarsi in via pregiudiziale rispetto a molteplici questioni sollevate dalla Corte costituzionale belga, giudice del rinvio, adita a livello nazionale, a seguito di ricorso presentato dall’associazione Ligue des droits humains (d’ora in poi, “LDH”) contro il Consiglio dei Ministri del Belgio. Tale ricorso aveva ad oggetto l’annullamento totale o parziale della legge belga del 25 dicembre 2016[2] che disciplina il trattamento dei dati dei passeggeri. In particolare, tale normativa dava attuazione, nel diritto interno, alla direttiva 2016/681 sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (d’ora in avanti, “direttiva PNR”)[3] e alla direttiva 2004/82 concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (in prosieguo, “direttiva API”)[4], nonché in parte alla direttiva 2010/65 relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri[5].
La disciplina contenuta in tale legge prevedeva, tra l’altro, un obbligo, in diversi settori del trasporto internazionale di persone e in capo agli operatori di viaggio, di trasmettere i dati dei rispettivi passeggeri a una banca dati gestita dal Servizio federale pubblico dell’interno del Belgio. Secondo il legislatore nazionale, la finalità di tale legge rientrava quindi in tre categorie: in primo luogo, la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, in secondo luogo, i compiti dei servizi segreti e di sicurezza e, in terzo luogo, il miglioramento dei controlli alle frontiere esterne e il contrasto all’immigrazione irregolare.
L’associazione LDH proponeva pertanto ricorso avente ad oggetto l’illegittimità di tale legge davanti alla Corte costituzionale nazionale facendo valere due motivi. In primo luogo, secondo la LHD, la legge implicherebbe un’ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali, rispettivamente sanciti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (Carta), non conforme all’art. 52, par. 1, della Carta[6] e, in particolare, al principio di proporzionalità. Il secondo motivo di impugnazione verteva invece sulla circostanza per cui, estendendo il sistema previsto dalla direttiva PNR ai trasporti intra-UE, le disposizioni contenute nella legge produrrebbero l’effetto di reintrodurre indirettamente controlli alle frontiere interne contrari alla libera circolazione delle persone. Infatti, dal momento che una persona si trova sul territorio belga, che sia al suo arrivo, alla sua partenza o per uno scalo, i suoi dati sarebbero automaticamente raccolti (par. 55).
La Corte costituzionale belga, nutrendo dubbi circa la compatibilità di una siffatta normativa nazionale con gli obblighi discendenti dal diritto dell’Unione, aveva quindi deciso di sospendere il procedimento davanti ad essa pendente. Il giudice del rinvio aveva quindi chiesto alla Corte di giustizia, da un lato, di interpretare alcune disposizioni del regolamento 2016/679 sulla protezione dei dati personali (d’ora in avanti, “regolamento GDP”)[7], della direttiva API, nonché della direttiva 2010/65. Dall’altro lato, le questioni sollevate dalla Corte costituzionale belga riguardavano l’interpretazione e la validità, alla luce degli articoli 7 e 8 nonché dell’art. 52, par. 1, della Carta, della direttiva PNR e della direttiva API.
Nel suo ragionamento, la Corte di giustizia prende innanzitutto in esame l’interpretazione dell’ambito di applicazione del regolamento GDP al fine di comprendere se il trasferimento, la conservazione e il trattamento dei dati PNR previsto dalla normativa belga rientrasse o meno nell’eccezione prevista dell’art. 2, par. 2, lett. d) del regolamento stesso.
Tale eccezione richiede che siano integrate due condizioni cumulative affinché un trattamento di dati sia escluso dall’ambito di applicazione del regolamento. Mentre la prima di tali condizione è relativa alle finalità del trattamento, vale a dire la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, la seconda condizione verte sull’autore di tale trattamento, ossia deve essere un’“autorità competente”, ai sensi di detta disposizione (par. 67).
Per quanto riguarda la prima condizione, la Corte di giustizia rileva che essa è integrata per quanto riguarda la direttiva PNR (par. 73). Al contrario, ciò non si verifica per quanto riguarda i trattamenti previsti dalla direttiva API e dalla direttiva 2010/65, le cui finalità sono diverse da quelle previste all’art. 2, par. 2, lett. d), del regolamento GDP, ovvero la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali (par. 74). Infatti, per quanto attiene la direttiva API, il trattamento dei dati previsto da tale direttiva ha come finalità quella di migliorare i controlli alle frontiere e combattere l’immigrazione illegale, mentre il trattamento dei dati disciplinato dalla direttiva 2010/65 ha lo scopo di semplificare e armonizzare le procedure amministrative applicate ai trasporti marittimi (parr. 75-76). Secondo la Corte di giustizia, quindi, i trattamenti di dati previsti da una normativa nazionale che traspone, nel diritto interno, le disposizioni della direttiva API e della direttiva 2010/65 rientrano nell’ambito di applicazione del GPD. Invece, “i trattamenti di dati previsti da una normativa nazionale che traspone, nel diritto interno, la direttiva PNR possono essere sottratti, conformemente all’eccezione di cui all’art. 2, par. 2, lett. d), di tale regolamento, all’applicazione di quest’ultimo, fatto salvo il rispetto della seconda condizione […], ossia che l’autore dei trattamenti sia un’autorità competente, ai sensi di tale disposizione” (par. 77).
La Corte di giustizia ritiene integrato anche il secondo requisito qualora il trattamento dei dati PNR sia svolto, in base alla direttiva PNR, dalle autorità competenti designate da ciascuno Stato membro in qualità di unità d’informazione sui passeggeri (“UIP”), in materia di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e dalle altre autorità competenti individuate dagli Stati membri e autorizzate a chiedere o ricevere dalle UIP i dati PNR o i risultati del loro trattamenti (par. 80). Al contrario, secondo la Corte di giustizia, tale secondo requisito non è integrato qualora il trattamento sia effettuato da operatori economici, quali i vettori aerei, anche se sono tenuti a un obbligo legale di trasferimento dei dati PNR, in quanto “non sono né incaricati di pubblico servizio né investiti di prerogative dei pubblici poteri da parte di tale direttiva” (par. 81). Pertanto tali operatori non possono essere considerati come autorità competenti, e non rientrano quindi nell’eccezione prevista dal regolamento GDP, il quale sarà applicabile alla raccolta e al trasferimento all’UIP dei dati PNR da parte dei vettori aerei. Nel caso di specie, la Corte di giustizia ritiene quindi che “la stessa conclusione si impone in un caso, come quello previsto dalla legge del 25 dicembre 2016, in cui la raccolta e il trasferimento di detti dati sono effettuati da altri vettori o dagli operatori di viaggio” (ibid.).
La Corte di giustizia chiarisce quindi quali siano le ricadute a livello nazionale, rispetto a una normativa interna che traspone al contempo le disposizioni della direttiva PNR, della direttiva API e della direttiva 2010/65. Infatti, secondo la Corte di giustizia, quando un trattamento di dati effettuato sulla base di tale normativa rientra nella direttiva API e/o nella direttiva 2010/65, il RGPD è applicabile a tale trattamento. Lo stesso vale per un trattamento di dati effettuato su tale stessa base e rientrante, per quanto riguarda la sua finalità, oltre che nella direttiva PNR, nella direttiva API e/o nella direttiva 2010/65. Infine, quando un trattamento di dati effettuato sulla base della medesima normativa rientra, per quanto riguarda la sua finalità, solo nella direttiva PNR, il regolamento GDP è applicabile qualora si tratti di raccolta e trasferimento dei dati PNR all’UIP, da parte dei vettori aerei (par. 83).
La Corte di giustizia prende poi in esame la questione pregiudiziale relativa alla validità della direttiva PNR alla luce degli artt. 7 e 8, nonché dell’art. 52, par. 1, della Carta.
All’inizio del suo ragionamento, la Corte di giustizia ricorda il principio ermeneutico secondo cui un atto dell’Unione deve essere interpretato, per quanto possibile, in un modo che non pregiudichi la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta. Così, qualora un testo di diritto derivato dell’Unione si presti a più di un’interpretazione, occorre preferire quella che rende la disposizione conforme al diritto primario anziché quella che porta a constatare la sua incompatibilità con quest’ultimo (par. 86). Inoltre, quando le disposizioni di una direttiva lasciano agli Stati membri un margine di discrezionalità per definire le misure di attuazione, “essi sono tenuti non solo a interpretare il loro diritto nazionale conformemente alla direttiva in questione, ma anche a fare in modo di non basarsi su un’interpretazione della stessa che entri in conflitto con i diritti fondamentali tutelati dall’ordinamento giuridico dell’Unione” (par. 87). La Corte di giustizia rileva che la stessa direttiva PNR contiene, peraltro, un gran numero di considerando e disposizioni che impongono una siffatta interpretazione conforme, i quali pongono l’accento sull’importanza che il legislatore dell’Unione attribuisce al pieno rispetto dei diritti fondamentali sanciti dalla Carta.
Tenuto conto di tali premesse, la Corte di giustizia valuta innanzitutto se la disciplina contenuta nella direttiva PNR costituisca un’ingerenza nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta. Essa rileva che i dati PNR contemplati da tale direttiva comprendono in particolare, “oltre al nome del o dei passeggeri aerei, informazioni necessarie alla prenotazione, come le date previste del viaggio e l’itinerario di viaggio, informazioni relative ai biglietti, i gruppi di persone registrate sotto lo stesso numero di prenotazione, gli estremi del o dei passeggeri, informazioni relative ai modi di pagamento o alla fatturazione, informazioni concernenti i bagagli nonché osservazioni generali riguardo ai passeggeri” (par. 93). Pertanto, dato che i dati PNR contengono informazioni su persone fisiche identificate, ossia i passeggeri aerei interessati, i diversi trattamenti di cui tali dati possono essere oggetto incidono sul diritto fondamentale al rispetto della vita privata, garantito dall’art. 7 della Carta. Inoltre, i trattamenti di dati PNR quali quelli di cui alla direttiva PNR rientrano anche nell’art. 8 della Carta a motivo del fatto che essi costituiscono trattamenti di dati personali ai sensi di tale articolo e devono, di conseguenza, soddisfare necessariamente gli obblighi di protezione dei dati discendenti da detto articolo (parr. 94-95).
Richiamando la sua giurisprudenza costante, la Corte di giustizia ritiene quindi che “sia il trasferimento dei dati PNR da parte dei vettori aerei all’UIP dello Stato membro interessato previsto […] dalla direttiva PNR, […] sia la disciplina delle condizioni attinenti alla conservazione di tali dati, al loro uso nonché ai loro eventuali trasferimenti ulteriori alle autorità competenti di tale Stato membro, alle UIP e alle autorità competenti degli altri Stati membri, a Europol, o ancora a autorità di paesi terzi […] costituiscono ingerenze nei diritti garantiti dagli articoli 7 e 8 della Carta” (par. 97). La Corte di giustizia, peraltro, nel suo ragionamento fa presente anche come la direttiva PNR comporti non solo delle ingerenze nei diritti fondamentali in questione, ma anche che esse sono “di una gravità certa […] nella misura in cui, in particolare, ess[e] mira[no] a istituire un sistema di sorveglianza continua, indiscriminata e sistematica, che include la valutazione automatizzata di dati personali di tutte le persone che utilizzano servizi di trasporto aereo” (par. 111).
Tuttavia, la Corte di giustizia rammenta la possibilità per gli Stati membri di giustificare un’ingerenza siffatta ai sensi dell’art. 52, par. 1, della Carta.
Nel valutare le condizioni cumulative previste da tale disposizione, la Corte di giustizia innanzitutto rileva che la limitazione all’esercizio dei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta risultante dal sistema istituito dalla direttiva PNR è prevista da un atto legislativo dell’Unione. Per quanto riguarda invece il rispetto del contenuto essenziale dei diritti di cui agli artt. 7 e 8 della Carta, secondo la Corte di giustizia, vero è che i dati PNR possono, se del caso, rivelare informazioni molto precise sulla vita privata di una persona. Tuttavia, nella misura in cui, da un lato, la natura di tali informazioni è limitata a taluni aspetti di tale vita privata, relativi in particolare ai viaggi aerei di tale persona, e, dall’altro, la direttiva PNR vieta espressamente il trattamento dei dati delicati, “i dati di cui a tale direttiva non consentono, da soli, di ottenere un quadro completo della vita privata di una persona” (par. 120), rispettando così il contenuto essenziale dell’art. 7 della Carta. Inoltre, la direttiva, circoscrivendo le finalità del trattamento di tali dati e disciplinandone il trasferimento, il trattamento e la conservazione al fine di garantire, in particolare, la sicurezza, la riservatezza e l’integrità dei medesimi nonché di proteggerli dagli accessi e dai trattamenti illeciti, rispetta anche il contenuto essenziale dell’art. 8 della Carta.
Per quanto riguarda la questione se il sistema istituito dalla direttiva PNR persegua un obiettivo di interesse generale, la Corte di giustizia rileva che tale direttiva prevede che i dati PNR siano raccolti unicamente a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi. Pertanto, tali finalità costituiscono indubbiamente obiettivi di interesse generale dell’Unione che possono giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta (par. 122). Inoltre, per quanto riguarda l’idoneità del sistema istituito dalla direttiva PNR a raggiungere gli obiettivi perseguiti, la Corte di giustizia rileva che, sebbene il sistema di trattamento automatizzato dei dati previsto dalla direttiva dei dati incontri dei limiti, essi non sono idonei a rendere detto sistema inadatto a contribuire alla realizzazione degli obiettivi perseguiti. Infatti, i trattamenti automatizzati effettuati ai sensi di detta direttiva hanno effettivamente già consentito di identificare passeggeri aerei che presentavano un rischio nell’ambito della lotta contro i reati di terrorismo e i reati gravi (par. 123).
La Corte di giustizia si sofferma poi sul rispetto del principio di proporzionalità e, in particolare, sul carattere necessario delle ingerenze risultati dalla direttiva PNR ai diritti fondamentali. L’esito della valutazione della Corte è che il trasferimento, il trattamento e la conservazione dei dati PNR previsti da tale direttiva possono essere considerati come limitati allo stretto necessario ai fini della lotta contro i reati di terrorismo e i reati gravi, a condizione che detta direttiva sia interpretata conformemente ai diritti fondamentali in questione. A tal fine, la Corte di giustizia fornisce quindi una serie di chiarimenti interpretativi affinché la direttiva possa essere ritenuta valida.
In primo luogo, la Corte di giustizia valuta se la direttiva definisca in modo chiaro e preciso i dati PNR che un vettore aereo è tenuto a comunicare all’UIP. Secondo la Corte di giustizia, il sistema istituito dalla direttiva PNR deve comprendere solo le informazioni chiaramente identificabili e circoscritte nelle rubriche contenute nell’allegato I di quest’ultima. I dati PNR raccolti e trasmessi devono inoltre essere “direttamente connessi con il volo effettuato e il passeggero interessato e devono essere limitati in modo, da un lato, da soddisfare unicamente l’esigenza legittima delle autorità pubbliche di prevenire, accertare, indagare e perseguire reati di terrorismo o reati gravi e, dall’altro, in modo da escludere dati delicati” (par. 128). Tenuto conto di tali criteri, la Corte di giustizia ritiene che l’allegato I alla direttiva PNR è, nel suo insieme, sufficientemente chiaro e preciso (par. 140).
In secondo luogo, rispetto alla finalità dei trattamenti dei dati PNR, l’applicazione del sistema istituito dalla direttiva in questione deve essere limitata alla lotta contro i “reati di terrorismo” e i “reati gravi”. La Corte di giustizia si sofferma quindi sulla definizione dei due termini al fine di verificare se la direttiva preveda norme chiare e precise che limitino l’applicazione del sistema istituito da tale direttiva a quanto strettamente necessario al raggiungimento di tale finalità (parr. 141-142). In particolare, rispetto alla nozione di “reati gravi”, la Corte di giustizia precisa che solo l’obiettivo di lotta contro tali reati può giustificare la grave ingerenza che la direttiva PNR comporta nei diritti fondamentali garantiti dagli artt. 7 e 8 della Carta. Al contrario, l’obiettivo di lotta alla criminalità in generale “può giustificare unicamente ingerenze che non presentino un carattere grave” (par. 148). Pertanto, tale direttiva “deve garantire, mediante norme chiare e precise, che l’applicazione del sistema istituito da detta direttiva si limiti ai soli reati gravi ed escluda, quindi, quelli comuni” (ibid.). Alcuni dei reati elencati nell’allegato II della direttiva PNR rivestono già, secondo la Corte di giustizia, per loro natura, un livello di gravità elevato. Altri reati invece, possono essere considerati come rientranti nei reati gravi solo se sono punibili con una pena detentiva o una misura di sicurezza privativa della libertà personale non inferiore a tre anni, conformemente al diritto nazionale dello Stato membro interessato (par. 150). Tuttavia, la direttiva PNR prevede solo una pena massina applicabile, e non anche alla pena minima. Di conseguenza, l’applicazione di tale sistema non può quindi essere estesa a reati che, sebbene soddisfino il criterio previsto dalla direttiva PNR relativo alla soglia di gravità, e siano in particolare contemplati nell’allegato II a quest’ultima, rientrano nei reati comuni tenuto conto del sistema penale degli Stati membri (par. 151). Spetterà quindi agli Stati membri garantire che l’applicazione del sistema istituito dalla direttiva PNR sia effettivamente limitato alla lotta contro i reati gravi e che tale sistema non sia esteso a reati comuni (par. 152). Tali reati devono, inoltre, presentare un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri, e, di conseguenza, con le categorie di dati trasferiti, trattati e conservati in applicazione della direttiva PNR (parr. 153-157).
In terzo luogo, la direttiva PNR prevede un sistema in base al quale tutti i dati PNR dei passeggeri che si imbarcano su voli rientranti nell’ambito di applicazione di quest’ultima, sono trasferiti all’UIP dello Stato membro nel cui territorio deve atterrare o dal cui territorio deve decollare il volo, indipendentemente da qualsiasi elemento oggettivo che consenta di ritenere che i passeggeri interessati possano presentare un rischio di implicazione in reati di terrorismo o in reati gravi. Tuttavia, i dati così trasferiti sono soggetti, in particolare, a trattamenti automatizzati nell’ambito della valutazione preliminare prevista dalla direttiva e volta all’identificazione di persone mai sospettate di reati di terrorismo o di reati gravi prima di tale valutazione, per i quali è opportuno che le autorità competenti procedano a ulteriori verifiche (par. 159).
La Corte di giustizia, nel suo ragionamento, procede quindi a una distinzione tra i voli effettuati tra uno Stato membro e uno Stato terzo (extra-UE) e i voli effettuati tra Stati membri (intra-UE). Nel primo caso, la Corte di giustizia ritiene che il trasferimento e la valutazione preliminare sistematica dei dati PNR dei passeggeri aerei che entrano o escono dall’Unione, facilita e accelera i controlli di tali dati e l’obiettivo relativo alla lotta contro reati di terrorismo e reati gravi, di modo che la direttiva PNR non viola i limiti dello stretto necessario (par. 162).
Per quanto riguarda i voli intra-UE, la direttiva prevede solo che tale sistema possa essere esteso da parte degli Stati membri a tutti o parte di tali voli. Lo Stato membro, tuttavia, qualora voglia avvalersi di tale facoltà, deve verificare che l’estensione dell’applicazione di tale direttiva a tutti o ad alcuni dei voli intra-UE sia strettamente necessaria per garantire la sicurezza interna dell’Unione o, quantomeno, quella di detto Stato membro, e proteggere così la vita e l’incolumità delle persone (par. 169). A questo proposito, la decisione che prevede tale applicazione deve poter essere oggetto di un controllo effettivo da parte di un tribunale o di un organo amministrativo indipendente, “la cui pronuncia sia dotata di effetto vincolante, diretto a verificare l’esistenza di tale situazione nonché il rispetto delle condizioni e delle garanzie che devono essere previste” (par. 172). Il periodo di applicazione deve altresì essere temporalmente limitato allo stretto necessario, ma rinnovabile in caso di persistenza di tale minaccia (ibid.).
Secondo la Corte di giustizia, nel caso in cui sia accertato, sulla base della valutazione effettuata da uno Stato membro, che ricorrono circostanze sufficientemente concrete per ritenere che quest’ultimo sia confrontato a una minaccia terroristica che si riveli reale e attuale o prevedibile, il fatto per tale Stato membro di prevedere l’applicazione della direttiva PNR a tutti i voli intra-UE provenienti da o diretti verso detto Stato membro, per una durata limitata, non sembra eccedere i limiti dello stretto necessario (par. 171).
Invece, secondo la Corte di giustizia, “in assenza di una minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, l’applicazione indiscriminata da parte di quest’ultimo del sistema istituito dalla direttiva PNR non solo ai voli extra-UE ma anche a tutti i voli intra-UE non può ritenersi limitata allo stretto necessario” (par. 173). L’applicazione della direttiva, in questo caso, deve essere limitata ai voli intra-UE relativi, in particolare, a determinati collegamenti aerei o a modalità di viaggio o ancora a determinati aeroporti per i quali esistano, secondo la valutazione dello Stato membro interessato, indicazioni tali da giustificare questa applicazione. Il carattere strettamente necessario di tale applicazione ai voli intra-UE così selezionati deve essere regolarmente riesaminato, in base all’evoluzione delle condizioni che ne hanno giustificato la loro selezione (par. 174).
In quinto luogo, la Corte di giustizia si sofferma sulla valutazione preliminare dei dati PNR mediante trattamenti automatizzati, che ha lo scopo d’identificare i passeggeri da sottoporre a ulteriore verifica prima del loro arrivo o della loro partenza. Infatti, la direttiva PNR prevede che tale valutazione preliminare si svolga in due fasi. In una prima fase, l’UIP dello Stato membro interessato effettua trattamenti automatizzati dei dati PNR confrontandoli con banche dati o sulla base di criteri prestabiliti. In una seconda fase, nel caso in cui tali trattamenti automatizzati portino a riscontri positivi (hit), detta unità effettua un esame individuale non automatizzato per verificare se sia necessario un intervento delle autorità competenti degli Stati membri (match).
L’UIP può, da un lato, confrontare i dati PNR unicamente con le banche dati riguardanti persone o oggetti ricercati o segnalati (par. 188). Tali banche dati devono peraltro rispondere a determinati requisiti prestabiliti: non devono essere discriminatorie (par. 190) e devono essere utilizzate in relazione alla lotta contro reati di terrorismo e reati gravi che abbiano un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri (par. 191). Dall’altro lato, l’UIP può effettuare la valutazione preliminare sulla base di criteri prestabiliti. In questo caso, l’UIP non può utilizzare tecnologie di intelligenza artificiale nell’ambito di sistemi di autoapprendimento (“machine learning”), che possono modificare, senza intervento e controllo umani, il processo della valutazione e, in particolare, i criteri di valutazione sui quali si fonda il risultato dell’applicazione di questo processo nonché la ponderazione di tali criteri (par. 194). Infatti, il ricorso a siffatte tecnologie rischierebbe di privare di efficacia l’esame individuale richiesto dalla direttiva nel caso di riscontri positivi. Detti criteri devono peraltro essere determinati in modo che la loro applicazione prenda di mira, specificamente, gli individui nei confronti dei quali potrebbe gravare un ragionevole sospetto di partecipazione a reati di terrorismo o a reati gravi (par. 198). L’UIP può quindi prendere in considerazione particolarità nel comportamento concreto di persone in relazione alla preparazione e all’effettuazione di viaggi aerei che, secondo gli accertamenti effettuati e l’esperienza acquisita dalle autorità competenti, potrebbero indicare che le persone che si comportano in tal modo possano essere implicate in reati di terrorismo o in reati gravi (par. 199). In questo contesto, quindi i criteri prestabiliti devono tener conto sia degli elementi “a carico” sia degli elementi “a discarico”, non dando luogo al contempo a discriminazioni dirette o indirette (par. 200). Tali criteri dovrebbero essere poi aggiornati in funzione dell’evoluzione delle condizioni che ne hanno giustificato la presa in considerazione ai fini della valutazione preliminare, consentendo così, in particolare, di reagire agli sviluppi della lotta contro i reati di terrorismo e i reati gravi (par. 201).
La seconda fase della valutazione preliminare comporta che, nel caso di riscontro positivo a seguito di trattamento automatizzato, l’UIP effettui un esame individuale non automatizzato per verificare se sia necessario un intervento delle autorità competenti nazionali. A questo proposito, tenuto conto del tasso di errore inerente ai trattamenti automatizzati di tal genere dei dati PNR e del numero piuttosto consistente di risultati “erroneamente positivi” ottenuti a seguito della loro applicazione nel corso del 2018 e del 2019, l’idoneità del sistema istituito dalla direttiva PNR a raggiungere gli obiettivi perseguiti dipende essenzialmente dal buon funzionamento della verifica dei risultati positivi, ottenuti a titolo di tali trattamenti, che l’UIP effettua, in una seconda fase, con mezzi non automatizzati. Pertanto, l’UIP deve astenersi dal trasferire i risultati di tali trattamenti automatizzati alle autorità competenti, qualora essa non disponga, a seguito di tale riesame, di elementi tali da fondare, in modo giuridicamente adeguato, un sospetto ragionevole di partecipazione a reati di terrorismo o a reati gravi nei confronti delle persone identificate attraverso tali trattamenti automatizzati o qualora disponga di elementi che indichino che detti trattamenti conducono a risultati discriminatori (par. 204).
Riguardo alle verifiche che l’UIP è chiamato ad effettuare, la Corte di giustizia ritiene innanzitutto che gli Stati membri devono assicurare che esso “conservi la documentazione di ogni trattamento dei dati PNR effettuato nell’ambito della valutazione preliminare, nonché nell’ambito del riesame individuale con mezzi non automatizzati, ai fini della verifica della sua liceità e di un autocontrollo” (par. 207). Inoltre, le autorità competenti devono “far prevalere il risultato del riesame individuale effettuato dall’UIP con mezzi non automatizzati su quello ottenuto mediante i trattamenti automatizzati” (par. 208).
In tale contesto, inoltre, le autorità competenti devono garantire la liceità tanto dei trattamenti automatizzati, in particolare il loro carattere non discriminatorio, quanto del riesame individuale. In particolare, le autorità competenti devono assicurarsi che l’interessato sia in grado di comprendere il funzionamento dei criteri di valutazione prestabiliti e dei programmi che applicano tali criteri, in modo da poter decidere, con piena cognizione di causa, se esercitare o meno il suo diritto a un ricorso giurisdizionale garantito, al fine di contestare, se del caso, il carattere illecito e, in particolare, discriminatorio di detti criteri (parr. 209-210). Allo stesso modo, il giudice incaricato del controllo della liceità della decisione adottata dalle autorità competenti nonché, al di fuori dei casi di minacce per la sicurezza dello Stato, l’interessato stesso devono poter conoscere tanto l’insieme dei motivi quanto gli elementi di prova sulla base dei quali è stata adottata tale decisione, ivi compresi i criteri di valutazione prestabiliti e il funzionamento dei programmi che applicano tali criteri (par. 211).
Infine, la comunicazione e la valutazione successive dei dati PNR, ossia dopo l’arrivo o la partenza dell’interessato, possono essere effettuati solo sulla base di nuove circostanze e di elementi oggettivi, che o siano idonei a fondare un ragionevole sospetto d’implicazione di tale persona in reati gravi aventi un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri, oppure consentano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo efficace alla lotta contro reati di terrorismo che presentino un collegamento siffatto (par. 220). Per quanto attiene alle condizioni procedurali alle quali sono soggetti la comunicazione e il trattamento dei dati PNR ai fini della loro successiva valutazione, questi ultimi devono, in linea di principio, salvo casi di urgenza debitamente giustificati, essere subordinati a un controllo preventivo effettuato o da un giudice, o da un’autorità amministrativa indipendente, su richiesta motivata delle autorità competenti, e ciò indipendentemente dalla questione se tale richiesta sia stata presentata prima o dopo la scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP, vale a dire il termine oltre il quale detti dati sono anonimizzati (par. 223)
La Corte di giustizia da ultimo precisa le caratteristiche che l’autorità incaricata di tale controllo preventivo deve soddisfare. Tale autorità deve infatti disporre di tutte le attribuzioni e presentare tutte le garanzie necessarie per assicurare un contemperamento dei vari interessi e diritti in gioco (par. 225). Pertanto, “una siffatta autorità deve godere di uno status che le permetta di agire nell’assolvimento dei propri compiti in modo obiettivo e imparziale e deve, pertanto, essere al riparo da qualsiasi influenza esterna” (par. 226).
La Corte di giustizia prende poi in esame l’ulteriore domanda pregiudiziale sollevata dalla Corte costituzionale belga inerente, in sostanza, alla compatibilità con gli artt. 7, 8 e 52, par. 1, della Carta, della normativa interna che autorizza il trattamento dei dati PNR, raccolti conformemente alla direttiva PNR, ai fini del controllo di attività da parte dei servizi segreti e di sicurezza.
La Corte di giustizia, a questo proposito, rileva innanzitutto che, dalla formulazione delle disposizioni contenute nella direttiva PNR, l’elenco delle finalità perseguite dal trattamento dei dati PNR ha carattere tassativo (par. 223). Pertanto, nei limiti in cui la normativa belga ammette, come finalità del trattamento dei dati PNR, il controllo delle attività contemplate dai servizi segreti e di sicurezza, integrando così tale finalità nella prevenzione, nell’accertamento, nell’indagine e nell’azione penale riguardanti i reati di terrorismo e i reati gravi, “tale normativa rischia di disattendere il carattere tassativo dell’elenco degli obiettivi perseguiti dal trattamento dei dati PNR ai sensi della direttiva PNR” (par. 236). In ogni caso, secondo la Corte di giustizia, spetta al giudice nazionale verificare tale circostanza.
La Corte di giustizia si sofferma poi sulla successiva questione pregiudiziale riguardante, in sostanza, la compatibilità con la direttiva PNR della normativa belga, in base alla quale l’autorità istituita come UIP ha anche la qualità di autorità nazionale competente abilitata ad approvare la comunicazione dei dati PNR alla scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP (par. 238). Essa escluse che l’UIP possa rivestire anche tale ruolo, in quanto l’ente incaricato di esercitare il controllo preventivo deve avere la qualità di terzo rispetto all’autorità che chiede l’accesso ai dati, cosicché detto ente sia in grado di esercitare tale controllo in modo obiettivo e imparziale, al riparo da qualsiasi influenza esterna (par. 245).
La Corte costituzionale belga chiedeva poi alla Corte di giustizia se la direttiva PNR, in combinato disposto con gli articoli 7 e 8, nonché con l’art. 52, par. 1, della Carta, dovesse essere interpretata nel senso di ostare a una normativa nazionale che prevede un periodo generale di conservazione dei dati PNR di cinque anni, senza distinguere a seconda che i passeggeri interessati presentino o meno un rischio in materia di reati di terrorismo o di reati gravi.
La Corte di giustizia innanzitutto afferma che la conservazione “non può essere giustificata in assenza di un rapporto oggettivo tra tale conservazione e gli obiettivi perseguiti dalla direttiva in questione, ossia la lotta contro i reati di terrorismo e i reati gravi che hanno un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri” (par. 251). Essa prende quindi in esame i due periodi previsti dalla direttiva PNR per la conservazione dei dati, rispettivamente il periodo iniziale di 6 mesi e il periodo successivo. L’obiettivo di quest’ultimo periodo, in particolare, è quello di garantire che i dati PNR siano conservati per un periodo sufficientemente lungo per poter effettuare analisi e utilizzarli nelle indagini, che possono già peraltro essere effettuate nel corso del periodo di conservazione iniziale di sei mesi.
Rispetto al primo periodo di sei mesi, tenuto conto delle finalità della direttiva PNR e delle esigenze dell’indagine e delle azioni penali in materia di reati di terrorismo e di reati gravi, la Corte di giustizia ritiene che la conservazione dei dati PNR di tutti i passeggeri aerei assoggettati al sistema istituito da tale direttiva, senza che vi sia il minimo indizio di una loro implicazione in reati terroristici o in reati gravi, non ecceda, in linea di principio, i limiti dello stretto necessario, nella misura in cui essa consente le ricerche necessarie al fine d’identificare persone che non erano sospettate di partecipazione a reati terroristici o a reati gravi (par. 255).
Invece, secondo la Corte di giustizia, dopo la scadenza del periodo iniziale di conservazione di sei mesi, la conservazione dei dati PNR non appare limitata allo stretto necessario per quanto riguarda i passeggeri aerei. Nel caso di passeggeri aerei per i quali né la valutazione preliminare, né le eventuali verifiche effettuate durante il periodo di sei mesi, né alcun’altra circostanza hanno rivelato l’esistenza di elementi obiettivi tali da determinare un rischio di reati di terrorismo o di reati gravi avente un collegamento oggettivo, quantomeno indiretto, con il viaggio aereo effettuato da detti passeggeri, non sembra esistere, in tali circostanze, alcun rapporto, sia pure solo indiretto, tra i dati PNR dei passeggeri di cui trattasi e l’obiettivo perseguito da detta direttiva, che giustifichi la conservazione di questi stessi dati (par. 257).
Nel caso di specie, pertanto, la normativa belga che prevede un periodo generale di conservazione dei dati PNR di cinque anni, applicabile indistintamente a tutti i passeggeri, può violare le disposizioni della direttiva, letta alla luce degli artt. 7 e 8 nonché dell’art. 52, par. 1, della Carta, a meno che essa non possa essere oggetto di un’interpretazione conforme alle citate disposizioni, come interpretate dalla Corte di giustizia, circostanza che spetta al giudice del rinvio verificare.
Inoltre, il giudice del rinvio chiedeva alla Corte di giustizia di stabilire se il diritto dell’Unione dovesse essere interpretato nel senso che esso osta a una normativa nazionale, come quella belga, che prevede un sistema di trasferimento, da parte dei vettori e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR dei voli e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti nello Stato membro che ha adottato detta normativa o in transito in tale Stato membro.
A questo proposito, la Corte di giustizia rileva che una normativa nazionale come quella belga, che applica il sistema previsto dalla direttiva PNR non solo ai voli extra-UE ma anche ai voli intra-UE nonché, al di là di quanto previsto da detta disposizione, a trasporti effettuati con altri mezzi all’interno dell’Unione, “ha come conseguenza il trasferimento e il trattamento sistematici e continui dei dati PNR di qualsiasi passeggero che si sposti con tali mezzi all’interno dell’Unione esercitando la sua libertà di circolazione” (par. 278). In questo caso, secondo la Corte di giustizia, il trasferimento e il trattamento dei dati dei passeggeri costituisce un’ingerenza nei diritti fondamentali che è ulteriormente incrementata dal fatto che tale sistema è esteso ad altri mezzi di trasporto interni all’Unione. Siffatte ingerenze sono, peraltro, idonee a svantaggiare e, di conseguenza, a dissuadere dall’esercizio della loro libertà di circolazione, ai sensi dell’art. 45 della Carta, i cittadini degli Stati membri che hanno adottato una siffatta normativa e, in generale, i cittadini dell’Unione che si spostano con tali mezzi di trasporto nell’Unione, cosicché detta normativa comporta una restrizione a tale libertà fondamentale (par. 279).
La Corte di giustizia quindi ricorda che la possibilità per gli Stati membri di giustificare una limitazione del diritto fondamentale garantito dall’art. 45, par. 1, della Carta deve essere valutata misurando la gravità dell’ingerenza che una siffatta limitazione comporta e verificando che l’importanza dell’obiettivo di interesse generale perseguito da tale limitazione sia collegato a detta gravità (par. 282).
Soffermandosi proprio sul rispetto del principio di necessità, la Corte di giustizia ritiene che il diritto dell’Unione osti a una normativa nazionale come quella belga che prevede, in assenza di minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, un sistema di trasferimento, da parte dei vettori aerei e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR di tutti i voli intra-UE e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti verso tale Stato membro o in transito per esso, al fine di lottare contro i reati di terrorismo e i reati gravi. Infatti, in una situazione del genere, l’applicazione del sistema istituito dalla direttiva PNR deve essere limitata al trasferimento e al trattamento dei dati PNR dei voli e/o dei trasporti relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinati aeroporti, stazioni o porti marittimi per i quali esistano indicazioni che giustifichino tale applicazione. Inoltre, la Corte precisa che il diritto dell’Unione osta a una normativa nazionale che prevede un siffatto sistema di trasferimento e trattamento di detti dati ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale (par. 291).
Infine, la Corte di giustizia era stata investita della questione riguardante la possibilità, ai sensi del diritto dell’Unione, per la Corte costituzionale belga, giudice del rinvio, di limitare nel tempo gli effetti della declaratoria di illegittimità che gli incombe, in forza del diritto nazionale, nei confronti della legge belga in questione.
La Corte di giustizia esclude tale eventualità in quanto “il mantenimento degli effetti di una normativa nazionale, come la legge del 25 dicembre 2016, implicherebbe che tale normativa continui ad imporre ai vettori aerei, così come ad altri vettori e agli operatori di viaggio, obblighi che risultano contrari al diritto dell’Unione e comportano ingerenze gravi nei diritti fondamentali delle persone i cui dati sono stati trasferiti, conservati e trattati nonché restrizioni alla libertà di circolazione di tali persone che eccedono quanto necessario” (par. 295).
[1] Qui il testo della sentenza.
[2] Loi du 25 décembre 2016, relative au traitement des données des passagers.
[3] Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU 2016, L 119, pag. 132).
[4] Direttiva 2004/82/CE del Consiglio del 29 aprile 2004 concernente l'obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU 2004, L 261, pag. 24).
[5] Direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE (GU 2010, L 283, pag. 1).
[6] L’art. 52, par. 1, della Carta prevede che “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.
[7] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 19, p. 1).