In assenza di una minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato uno Stato membro, il diritto dell’Unione osta a una normativa nazionale che prevede il trasferimento e il trattamento dei dati PNR dei voli intra-UE nonché dei trasporti effettuati con altri mezzi all’interno dell’Unione…
La direttiva PNR[1] impone il trattamento sistematico di un numero rilevante di dati PNR (Passenger Name Record) dei passeggeri aerei dei voli extra-UE in ingresso e in uscita dall’Unione, ai fini della lotta contro il terrorismo e i reati gravi. Inoltre, l’articolo 2 di tale direttiva prevede, per gli Stati membri, la facoltà di applicare quest’ultima anche ai voli intra-UE (CS n. 19/22).
La Ligue des droits humains (LDH) è un’associazione senza fini di lucro, che ha investito la Cour constitutionnelle (Corte costituzionale) del Belgio, nel luglio 2017, di un ricorso diretto all’annullamento della legge belga del 25 dicembre 2016, la quale recepiva nell’ordinamento del Belgio, al contempo, la direttiva PNR, la direttiva API[2] e la direttiva 2010/65[3]. Secondo la LDH, questa legge violerebbe il diritto al rispetto della vita privata e alla protezione dei dati personali, garantiti dall’ordinamento belga e da quello dell’Unione. Essa critica, da un lato, l’eccessiva ampiezza dei dati PNR e, dall’altro, il carattere generale della raccolta, del trasferimento e del trattamento di tali dati. A suo parere, la legge lederebbe anche la libera circolazione delle persone, in quanto reintrodurrebbe indirettamente i controlli alle frontiere, estendendo il sistema PNR ai voli intra-UE nonché ai trasporti effettuati con altri mezzi all’interno dell’Unione.
Nell’ottobre 2019, la Cour constitutionnelle ha proposto alla Corte di giustizia dieci questioni pregiudiziali vertenti, segnatamente, sulla validità della direttiva PNR nonché sulla compatibilità con il diritto dell’Unione della legge del 25 dicembre 2016.
Nella sua sentenza pronunciata in data odierna, la Corte, in primo luogo, dichiara che, dal momento che l’interpretazione, fornita dalla Corte, delle disposizioni della direttiva PNR alla luce dei diritti fondamentali garantiti agli articoli 7, 8 e 21 nonché all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») garantisce la conformità di tale direttiva a detti articoli, l’esame delle questioni sollevate non ha rivelato alcun elemento tale da inficiare la validità di detta direttiva.
[1] Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi (GU 2016, L 119, pag. 132).
[2] Direttiva 2004/82/CE del Consiglio, del 29 aprile 2004, concernente l’obbligo dei vettori di comunicare i dati relativi alle persone trasportate (GU 2004, L 261, pag. 24).
[3] Direttiva 2010/65/UE del Parlamento europeo e del Consiglio, del 20 ottobre 2010, relativa alle formalità di dichiarazione delle navi in arrivo o in partenza da porti degli Stati membri e che abroga la direttiva 2002/6/CE (GU 2010, L 283, pag. 1).
In via preliminare, essa rammenta che un atto dell’Unione deve essere interpretato, per quanto possibile, in modo che non pregiudichi la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta; gli Stati membri devono pertanto fare in modo di non basarsi su un’interpretazione dello stesso che entri in conflitto con i diritti fondamentali tutelati dall’ordinamento giuridico dell’Unione o con gli altri principi generali riconosciuti in tale ordinamento giuridico. Per quanto riguarda la direttiva PNR, la Corte precisa che un gran numero di considerando e disposizioni di quest’ultima impongono una siffatta interpretazione conforme, ponendo l’accento sull’importanza che il legislatore attribuisce, facendo riferimento a un livello elevato di protezione dei dati, al pieno rispetto dei diritti fondamentali sanciti dalla Carta.
La Corte constata che la direttiva PNR comporta ingerenze di una gravità certa nei diritti garantiti dagli articoli 7 e 8 della Carta, nella misura in cui, in particolare, essa mira a istituire un sistema di sorveglianza continua, indiscriminata e sistematica, che include la valutazione automatizzata di dati personali di tutte le persone che utilizzano servizi di trasporto aereo. Essa rammenta che la possibilità per gli Stati membri di giustificare un’ingerenza siffatta deve essere valutata misurandone la gravità e verificando che l’importanza dell’obiettivo di interesse generale perseguito sia adeguata a detta gravità.
La Corte conclude che il trasferimento, il trattamento e la conservazione dei dati PNR previsti da tale direttiva possono essere considerati come limitati allo stretto necessario ai fini della lotta contro i reati di terrorismo e i reati gravi, a condizione che i poteri previsti da detta direttiva siano oggetto di un’interpretazione restrittiva. A tal riguardo, la sentenza pronunciata in data odierna precisa, segnatamente, che:
- Il sistema istituito dalla direttiva PNR deve comprendere solo le informazioni chiaramente identificabili e circoscritte nelle rubriche contenute nell’allegato I a quest’ultima, le quali sono connesse al volo effettuato e al passeggero interessato, il che implica, per talune rubriche contenute in tale allegato, che sono comprese solo le informazioni espressamente previste.
- L’applicazione del sistema istituito dalla direttiva PNR deve essere limitata ai reati di terrorismo e ai soli reati gravi che presentino un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo di passeggeri. Per quanto attiene a detti reati gravi, l’applicazione di tale sistema non può essere estesa a reati che, sebbene soddisfino il criterio previsto da questa direttiva, relativo alla soglia di gravità, e siano in particolare contemplati nell’allegato II a quest’ultima, rientrano nei reati comuni tenuto conto delle specificità del sistema penale nazionale.
- L’eventuale estensione dell’applicazione della direttiva PNR a tutti i voli intra-UE o a una parte di essi, che può essere decisa da uno Stato membro avvalendosi della facoltà prevista da tale direttiva, deve essere limitata allo stretto necessario. A tal fine, essa deve poter essere oggetto di un controllo effettivo da parte di un organo giurisdizionale o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante. A tal riguardo, la Corte precisa che:
- nel solo caso in cui detto Stato membro constati l’esistenza di circostanze sufficientemente concrete per ritenere di essere confrontato a una minaccia terroristica che si rivela reale e attuale o prevedibile, l’applicazione di tale direttiva a tutti i voli intra-UE provenienti da o diretti verso detto Stato membro, per una durata limitata allo stretto necessario, ma rinnovabile, non deve eccedere i limiti dello stretto necessario;
- in assenza di una siffatta minaccia terroristica, l’applicazione di detta direttiva non può estendersi a tutti i voli intra-UE, ma deve essere limitata ai voli intra-UE relativi, in particolare, a determinati collegamenti aerei o a modalità di viaggio o ancora a determinati aeroporti per i quali esistano, secondo la valutazione dello Stato membro interessato, indicazioni tali da giustificare questa applicazione. Il carattere strettamente necessario di tale applicazione ai voli intra-UE così selezionati deve essere regolarmente riesaminato, in base all’evoluzione delle condizioni che ne hanno giustificato la loro selezione.
- Ai fini della valutazione preliminare dei dati PNR, che ha lo scopo d’identificare i passeggeri da sottoporre a ulteriore verifica prima del loro arrivo o della loro partenza e che è, in una prima fase, effettuata mediante trattamenti automatizzati, l’Unità d’informazione sui passeggeri (UIP) può, da un lato, confrontare tali dati unicamente con le sole banche dati riguardanti persone o oggetti ricercati o segnalati. Tali banche dati non devono essere discriminatorie e devono essere utilizzate, dalle autorità competenti, in relazione alla lotta contro reati di terrorismo e reati gravi che hanno un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri. Per quanto attiene, dall’altro lato, alla valutazione preliminare sulla base di criteri prestabiliti, l’UIP non può utilizzare tecnologie di intelligenza artificiale nell’ambito di sistemi di autoapprendimento («machine learning»), che possono modificare, senza intervento e controllo umani, il processo della valutazione e, in particolare, i criteri di valutazione sui quali si fonda il risultato dell’applicazione di questo processo nonché la ponderazione di tali criteri. Detti criteri devono essere determinati in modo che la loro applicazione prenda di mira, specificamente, gli individui nei confronti dei quali potrebbe gravare un ragionevole sospetto di partecipazione a reati di terrorismo o a reati gravi e in modo da tener conto sia degli elementi «a carico» sia degli elementi «a discarico», non dando luogo al contempo a discriminazioni dirette o indirette.
- Tenuto conto del tasso di errore inerente ai trattamenti automatizzati di tal genere dei dati PNR e del numero piuttosto consistente di risultati «erroneamente positivi», ottenuti a seguito della loro applicazione nel corso del 2018 e del 2019, l’idoneità del sistema istituito dalla direttiva PNR a raggiungere gli obiettivi perseguiti dipende essenzialmente dal buon funzionamento della verifica dei risultati positivi, ottenuti a titolo di tali trattamenti, che l’UIP effettua, in una seconda fase, con mezzi non automatizzati. A tal riguardo, gli Stati membri devono prevedere norme chiare e precise atte a orientare e a inquadrare l’analisi effettuata dai funzionari dell’UIP incaricati del riesame individuale, al fine di assicurare il pieno rispetto dei diritti fondamentali sanciti dagli articoli 7, 8 e 21 della Carta e, in particolare, al fine di garantire una prassi amministrativa coerente all’interno dell’UIP che rispetti il divieto di discriminazioni. In particolare, essi devono assicurarsi che l’UIP stabilisca criteri di riesame oggettivi che consentano ai suoi funzionari di verificare, da un lato, se e in che misura un riscontro positivo (hit) riguardi effettivamente un individuo che può essere implicato in reati di terrorismo o in reati gravi nonché, dall’altro, il carattere non discriminatorio dei trattamenti automatizzati. In tale contesto, la Corte sottolinea inoltre che le autorità competenti devono assicurarsi che l’interessato possa comprendere il funzionamento dei criteri di valutazione prestabiliti e dei programmi che applicano tali criteri in modo che possa decidere, con piena cognizione di causa, se esercitare o meno il suo diritto a un ricorso giurisdizionale. Parimenti, nell’ambito di un tale ricorso, il giudice incaricato del controllo della legittimità della decisione adottata dalle autorità competenti nonché, al di fuori dei casi di minacce per la sicurezza dello Stato, l’interessato stesso devono poter conoscere tanto l’insieme dei motivi quanto gli elementi di prova sulla base dei quali è stata adottata tale decisione, ivi compresi i criteri di valutazione prestabiliti e il funzionamento dei programmi che applicano tali criteri.
- La comunicazione e la valutazione successive dei dati PNR, ossia dopo l’arrivo o la partenza dell’interessato, possono essere effettuati solo sulla base di nuove circostanze e di elementi oggettivi, che o siano idonei a fondare un ragionevole sospetto d’implicazione di tale persona in reati gravi aventi un collegamento oggettivo, quantomeno indiretto, con il trasporto aereo dei passeggeri, oppure consentano di ritenere che tali dati potrebbero, in un caso concreto, fornire un contributo efficace alla lotta contro reati di terrorismo che presentino un collegamento siffatto. La comunicazione dei dati PNR ai fini di una siffatta valutazione successiva deve, in linea di principio, salvo casi di urgenza debitamente giustificati, essere subordinata a un controllo preventivo effettuato o da un giudice, o da un’autorità amministrativa indipendente, su richiesta motivata delle autorità competenti, e ciò indipendentemente dalla questione se tale richiesta sia stata presentata prima o dopo la scadenza del periodo di sei mesi successivo al trasferimento di tali dati all’UIP.
In secondo luogo, la Corte giudica che la direttiva PNR, letta alla luce della Carta, osta a una normativa nazionale che autorizza il trattamento di dati PNR raccolti conformemente a tale direttiva per finalità diverse da quelle espressamente previste dall’articolo 1, paragrafo 2, di detta direttiva.
In terzo luogo, per quanto attiene al periodo di conservazione dei dati PNR, la Corte ha giudicato che l’articolo 12 della direttiva PNR, letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, osta a una normativa nazionale che prevede un periodo generale di conservazione quinquennale di tali dati, applicabile indistintamente a tutti i passeggeri aerei.
Infatti, secondo la Corte, dopo la scadenza del periodo iniziale di conservazione di sei mesi, la conservazione dei dati PNR non appare limitata allo stretto necessario per quanto riguarda i passeggeri aerei per i quali né la valutazione preliminare, né le eventuali verifiche effettuate durante il periodo di conservazione iniziale di sei mesi, né alcun’altra circostanza abbiano rivelato l’esistenza di elementi obiettivi – quale il fatto che i dati PNR dei passeggeri interessati abbiano dato luogo a un riscontro positivo verificato nell’ambito della valutazione preliminare – atti a determinare un rischio in materia di reati di terrorismo o di reati gravi aventi un collegamento oggettivo, quantomeno indiretto, con il viaggio aereo effettuato da tali passeggeri. Invece, essa afferma che, nel corso del periodo iniziale di sei mesi, la conservazione dei dati PNR di tutti i passeggeri aerei assoggettati al sistema istituito da tale direttiva non sembra, in linea di principio, eccedere i limiti dello stretto necessario.
In quarto luogo, la Corte giudica che il diritto dell’Unione osta a una normativa nazionale che prevede, in assenza di minaccia terroristica reale e attuale o prevedibile alla quale sia confrontato lo Stato membro interessato, un sistema di trasferimento, da parte dei vettori aerei e degli operatori di viaggio, e di trattamento, da parte delle autorità competenti, dei dati PNR di tutti i voli intra-UE e dei trasporti effettuati con altri mezzi all’interno dell’Unione, provenienti da o diretti verso tale Stato membro o ancora in transito per esso, al fine di lottare contro i reati di terrorismo e i reati gravi. Infatti, in una situazione del genere, l’applicazione del sistema istituito dalla direttiva PNR deve essere limitata al trasferimento e al trattamento dei dati PNR dei voli e/o dei trasporti relativi, in particolare, a determinati collegamenti o modalità di viaggio o ancora a determinati aeroporti, stazioni o porti marittimi per i quali esistano indicazioni che giustifichino tale applicazione. Inoltre, la Corte precisa che il diritto dell’Unione osta a una normativa nazionale che prevede un siffatto sistema di trasferimento e trattamento di detti dati ai fini del miglioramento dei controlli alle frontiere e della lotta all’immigrazione illegale.