Dostop do prava EU
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">Več o preskusnih funkcijah</a>
Izberite preskusne funkcije, ki jih želite preveriti.
EUR-Lex
Dostop do prava EU

Dokument je izvleček s spletišča EUR-Lex.

Nahajate se tu
Če želite poiskati točno besedno zvezo, uporabite narekovaje. Za iskanje izraza in njegovih različic uporabite zvezdico (*) (npr. transp*, 32019R*). Uporabite vprašaj (?) namesto posameznega znaka v iskanem izrazu, če želite poiskati njegove različice (r?d poišče tudi red, rod ...).
Nasveti za iskanje
Želite več možnosti iskanja? Uporabite Napredno iskanje

Dokument 62015CV0001(01)

Parere della Corte (Grande Sezione) del 26 luglio 2017.
Parere emesso ai sensi dell’articolo 218, paragrafo 11, TFUE.
Parere emesso in forza dell’articolo 218, paragrafo 11, TFUE – Progetto di accordo tra il Canada e l’Unione europea – Trasferimento dei dati del codice di prenotazione dei passeggeri aerei dall’Unione al Canada – Basi giuridiche adeguate – Articolo 16, paragrafo 2, articolo 82, paragrafo 1, secondo comma, lettera d), e articolo 87, paragrafo 2, lettera a), TFUE – Compatibilità con gli articoli 7 e 8 nonché con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.
Parere 1/15.

Zbirka odločb – splošno

Parere 1/15

Parere emesso in forza dell’articolo 218, paragrafo 11, TFUE

«Parere emesso in forza dell’articolo 218, paragrafo 11, TFUE – Progetto di accordo tra il Canada e l’Unione europea – Trasferimento dei dati del codice di prenotazione dei passeggeri aerei dall’Unione al Canada – Basi giuridiche adeguate – Articolo 16, paragrafo 2, articolo 82, paragrafo 1, secondo comma, lettera d), e articolo 87, paragrafo 2, lettera a), TFUE – Compatibilità con gli articoli 7 e 8 nonché con l’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea»

Massime – Parere della Corte (Grande Sezione) del 26 luglio 2017

  1. Accordi internazionali–Conclusione–Previo parere della Corte–Oggetto–Questioni di validità sostanziale o formale di un accordo rispetto al Trattato–Compatibilità dell’accordo con la Carta dei diritti fondamentali dell’Unione europea

    (Art. 6, § 1, TUE, 217 TFUE e 218 TFUE)

  2. Atti delle istituzioni–Scelta della base giuridica–Criteri–Atto dell’Unione che persegue una duplice finalità o che ha una doppia componente–Riferimento alla finalità o alla componente principale o preponderante–Finalità o componenti inscindibili–Cumulo di basi giuridiche–Limiti–Incompatibilità delle procedure

  3. Accordi internazionali–Accordi dell’Unione–Conclusione–Accordo UE‑Canada sul trasferimento e sul trattamento dei dati del codice di prenotazione–Base giuridica–Incidenza dei protocolli n. 21 e n. 22 sulla posizione del Regno Unito, dell’Irlanda e della Danimarca allegati ai Trattati UE e FUE–Inapplicabilità dell’accordo alla Danimarca

    [Artt. 16, § 2, TFUE e 87, § 2, a), TFUE; protocolli n. 21 e n. 22 allegati ai Trattati UE e FUE]

  4. Accordi internazionali–Accordi dell’Unione–Conclusione–Accordo UE‑Canada sul trasferimento e sul trattamento dei dati del codice di prenotazione–Accordo volto a garantire la sicurezza pubblica nonché la protezione dei dati dei passeggeri aerei–Base giuridica–Articolo 16, paragrafo 2, TFUE in combinato con l’articolo 87, paragrafo 2, lettera a), TFUE

    [Artt. 39 TUE, 16, § 2, TFUE e 87, § 2, a), TFUE; protocolli n. 21 e n. 22 allegati ai Trattati UE e FUE; dichiarazione n. 21 allegata ai Trattati UE e FUE]

  5. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Ambito di applicazione–Trattamento dei dati del codice di prenotazione dei passeggeri aerei realizzato in forza di un accordo internazionale concluso tra l’Unione e un paese terzo–Inclusione–Necessità di garantire un livello di protezione delle libertà e dei diritti fondamentali equivalente a quello garantito all’interno dell’Unione–Portata

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; direttiva del Parlamento europeo e del Consiglio 95/46, art. 25, § 6)

  6. Accordi internazionali–Accordi dell’Unione–Conclusione–Accordo con uno Stato terzo sul trasferimento e sul trattamento dei dati del codice di prenotazione–Ingerenza nei diritti al rispetto della vita privata e alla protezione dei dati personali–Obbligo di limitare l’ingerenza allo stretto necessario–Portata

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

  7. Diritti fondamentali–Carta dei diritti fondamentali dell’Unione europea–Limitazione dell’esercizio di diritti e libertà sanciti dalla Carta–Presupposti–Requisito secondo il quale la limitazione dev’essere prevista dalla legge–Portata

    (Carta dei diritti fondamentali dell’Unione europea, art. 52, § 1)

  8. Diritti fondamentali–Tutela dei dati personali–Trattamento in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge–Nozione di legge–Accordo con un paese terzo sul trasferimento e sul trattamento dei dati del codice di prenotazione dei passeggeri aerei–Inclusione

    [Art. 218, § 6, a), v), TFUE e 294 TFUE; Carta dei diritti fondamentali dell’Unione europea, artt. 8, § 2 e 52, § 1]

  9. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Ingerenza–Giustificazione–Protezione della sicurezza pubblica contro il terrorismo e i reati gravi di natura transnazionale–Ammissibilità

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; direttiva del Parlamento europeo e del Consiglio 2016/681, artt. 6, § 4, 7, § 6 e 13, § 4)

  10. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Dati sensibili–Necessità di una giustificazione precisa e solida basata su motivi diversi dalla protezione della sicurezza pubblica contro il terrorismo e i reati gravi di natura transnazionale

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 21 e 52, § 1)

  11. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Rispetto del principio di proporzionalità–Trattamento automatizzato dei dati–Valutazione basata sui modelli, i criteri e le banche dati utilizzati per realizzare tale trattamento

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

  12. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Rispetto del principio di proporzionalità–Trattamento conforme agli obiettivi della convenzione di Chicago–Ammissibilità

  13. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Rispetto del principio di proporzionalità–Necessità di prevedere regole chiare a precise che disciplinano l’accesso e l’uso dei dati–Portata

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

  14. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Rispetto del principio di proporzionalità–Conservazione e uso dei dati durante il soggiorno dei passeggeri nel paese terzo–Requisiti minimi

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

  15. Diritti fondamentali–Rispetto della vita privata–Tutela dei dati personali–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Rispetto del principio di proporzionalità–Conservazione dei dati dopo la partenza dei passeggeri dal paese terzo–Inammissibilità–Eccezione–Passeggeri che presentano un rischio in materia di terrorismo o di reati gravi di natura transnazionale

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

  16. Diritti fondamentali–Rispetto della vita privata–Rispetto nel trattamento dei dati personali–Obbligo di permettere alla persona interessata di accedere ai dati che la riguardano al fine di verificarne l’esattezza e la legittimità–Portata–Conclusione da parte dell’Unione di un accordo con un paese terzo sul trasferimento e sul trattamento di dati del codice di prenotazione dei passeggeri aerei–Necessità di prevedere che i passeggeri siano informati del trasferimento e dell’uso dei loro dati

    (Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 47, comma 1)

  17. Diritti fondamentali–Tutela dei dati personali–Autorità di controllo–Requisito di indipendenza–Oggetto

    (Art. 16, § 2, TFUE; Carta dei diritti fondamentali dell’Unione europea, art. 8, § 3)

  1.  Le disposizioni di un accordo internazionale concluso dall’Unione, conformemente agli articoli 217 TFUE e 218 TFUE, formano parte integrante, a partire dalla sua entrata in vigore, dell’ordinamento giuridico dell’Unione. Le disposizioni di un siffatto accordo devono quindi essere pienamente compatibili con i trattati nonché con i principi costituzionali che ne discendono. A tal riguardo, l’articolo 218, paragrafo 11, TFUE mira a prevenire le complicazioni che potrebbero derivare da contestazioni in sede giurisdizionale relative alla compatibilità con i trattati di accordi internazionali che vincolano l’Unione. Infatti, una decisione giurisdizionale che eventualmente constatasse, dopo la conclusione di un accordo internazionale vincolante per l’Unione, che quest’ultimo è, per il suo contenuto o per la procedura seguita ai fini della sua conclusione, incompatibile con le disposizioni dei trattati non mancherebbe di far sorgere serie difficoltà non solo all’interno dell’Unione, ma anche sul piano delle relazioni internazionali, e rischierebbe di danneggiare tutte le parti interessate, ivi compresi gli Stati terzi. In considerazione della funzione della procedura prevista all’articolo 218, paragrafo 11, TFUE, il solo rischio dell’annullamento di un atto di conclusione di un accordo internazionale è sufficiente ad ammettere il deferimento alla Corte.

    Devono pertanto poter essere esaminate nell’ambito della procedura prevista all’articolo 218, paragrafo 11, TFUE tutte le questioni tali da generare dubbi sulla validità sostanziale o formale dell’accordo in relazione ai trattati. Il giudizio sulla compatibilità di un accordo con i trattati può dipendere a tale riguardo, in particolare, non solo da disposizioni che riguardino la competenza, la procedura o l’organizzazione istituzionale dell’Unione, ma anche da disposizioni di diritto sostanziale. Lo stesso vale anche per una questione relativa alla compatibilità di un accordo internazionale con l’articolo 6, paragrafo 1, primo comma, TUE e, di conseguenza, con le garanzie sancite dalla Carta dei diritti fondamentali dell’Unione europea, la quale ha lo stesso valore giuridico dei trattati.

    (v. punti 67, 69, 70, 74)

  2.  V. il testo della decisione.

    (v. punti 76-78)

  3.  Il ricorso ad un duplice fondamento giuridico è escluso ove le procedure previste dalle rispettive norme siano incompatibili. A tal riguardo, una differenza tra le regole di voto in seno al Consiglio può comportare l’incompatibilità delle basi giuridiche di cui trattasi.

    Nel caso di una decisione del Consiglio relativa alla conclusione di un accordo internazionale previsto, fondata sull’articolo 16, paragrafo 2, TFUE e sull’articolo 87, paragrafo 2, lettera a), TFUE, tale incompatibilità non risulta dai protocolli n. 21, sulla posizione del Regno Unito e dell’Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, e n. 22, sulla posizione della Danimarca, allegati ai Trattati UE e FUE. Per quando riguarda il protocollo n. 21, infatti, dato che l’Irlanda e il Regno Unito hanno notificato che desiderano partecipare all’adozione di tale decisione, le disposizioni di tale protocollo non incideranno sulle regole di voto in seno al Consiglio in caso di ricorso congiunto, per fondare detta decisione, all’articolo 16, paragrafo 2, TFUE e all’articolo 87, paragrafo 2, lettera a), TFUE.

    Per quanto riguarda il protocollo n. 22, esso mira a stabilire un quadro giuridico che consenta agli Stati membri di sviluppare ulteriormente la loro cooperazione nel settore della libertà, sicurezza e giustizia tramite l’adozione, senza la partecipazione del Regno di Danimarca, di misure non vincolanti per tale Stato membro, offrendo al contempo a quest’ultimo la possibilità di partecipare all’adozione di misure in tale settore e di essere vincolato dalle stesse alle condizioni previste all’articolo 8 di detto protocollo. A tal riguardo, poiché la decisione relativa alla conclusione dell’accordo previsto deve essere fondata al contempo sull’articolo 16 TFUE e sull’articolo 87 TFUE e rientra, quindi, nella terza parte, titolo V, capitolo 5, del Trattato FUE in quanto deve essere basata su detto articolo 87 TFUE, il Regno di Danimarca non sarà vincolato, in forza degli articoli 2 e 2 bis del protocollo n. 22, dalle disposizioni di tale decisione né, in tal modo, dall’accordo previsto. Inoltre, il Regno di Danimarca non parteciperà, conformemente all’articolo 1 di detto protocollo, all’adozione di tale decisione. Il protocollo n. 22 non può quindi, nella fattispecie, comportare regole di voto differenti in seno al Consiglio in caso di ricorso congiunto all’articolo 16, paragrafo 2, TFUE e all’articolo 87, paragrafo 2, lettera a), TFUE.

    (v. punti 78, 107, 109-111, 113, 117)

  4.  Tenuto conto al contempo delle sue finalità e del suo contenuto, l’accordo previsto tra il Canada e l’Unione europea sul trasferimento e sul trattamento dei dati del codice di prenotazione ha quindi una doppia componente, l’una riguardante la necessità di garantire la sicurezza pubblica e l’altra concernente la protezione dei dati del codice di prenotazione. Tali due componenti sono legate in modo inscindibile e devono essere quindi considerate entrambe come aventi carattere essenziale. Il contenuto dell’accordo previsto è costituito, infatti, in larga misura, di norme dettagliate che garantiscono che il trasferimento dei dati del codice di prenotazione dei passeggeri aerei ad uno Stato terzo in vista del loro uso a fini di protezione della sicurezza e dell’incolumità pubbliche avvenga in condizioni conformi alla protezione dei dati personali.

    Alla luce delle considerazioni che precedono, la decisione relativa alla conclusione dell’accordo previsto si collega, in primo luogo, direttamente all’obiettivo perseguito dall’articolo 16, paragrafo 2, TFUE. Fatto salvo l’articolo 39 TUE, tale disposizione costituisce, infatti, una base giuridica adeguata quando la protezione dei dati personali è una delle finalità o delle componenti essenziali delle norme adottate dal legislatore dell’Unione, comprese quelle che si inseriscono nell’ambito dell’adozione di misure rientranti nelle disposizioni del Trattato FUE relative alla cooperazione giudiziaria in materia penale e alla cooperazione di polizia, come confermano l’articolo 6 bis del protocollo n. 21 e l’articolo 2 bis del protocollo n. 22, nonché la dichiarazione sulla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all’atto finale della conferenza intergovernativa che ha adottato il Trattato di Lisbona.

    In secondo luogo, tale decisione deve parimenti essere fondata sull’articolo 87, paragrafo 2, lettera a), TFUE che prevede che, ai fini dell’articolo 87, paragrafo 1, TFUE, secondo cui l’Unione sviluppa una cooperazione di polizia che associa tutte le autorità competenti degli Stati membri, il Parlamento e il Consiglio possono stabilire misure riguardanti la raccolta, l’archiviazione, il trattamento, l’analisi e lo scambio delle pertinenti informazioni. Orbene, da un lato, le informazioni pertinenti, ai sensi dell’articolo 87, paragrafo 2, lettera a), TFUE, nel settore della prevenzione o dell’individuazione dei reati e delle relative indagini, possono includere dati personali e, dall’altro, i termini «trattamento» e «scambio» di siffatti dati comprendono al contempo il loro trasferimento verso autorità degli Stati membri competenti in materia e il loro uso da parte di dette autorità. A tal riguardo, il fatto che i dati del codice di prenotazione siano inizialmente raccolti da vettori aerei a fini commerciali e non da un’autorità competente nel settore della prevenzione o dell’individuazione dei reati e delle relative indagini non può ostare a che tale disposizione costituisca altresì una base giuridica adeguata della decisione del Consiglio relativa alla conclusione dell’accordo previsto.

    (v. punti 90, 92, 94-96, 98, 99, 101)

  5.  I diversi trattamenti di cui, secondo un accordo internazionale previsto tra l’Unione e uno paese terzo, i dati del codice di prenotazione dei passeggeri aerei dei voli tra l’Unione e tale paese terzo possono essere oggetto, ossia il loro trasferimento dall’Unione al suddetto paese terzo, l’accesso agli stessi ai fini del loro uso o ancora la loro conservazione, incidono sul diritto fondamentale al rispetto della vita privata, garantito all’articolo 7 della Carta dei diritti fondamentali dell’Unione europea. Tale diritto si ricollega, infatti, ad ogni informazione relativa ad una persona fisica identificata o identificabile Inoltre, i trattamenti dei dati del codice di prenotazione rientrano anche nell’articolo 8 della Carta a motivo del fatto che essi costituiscono trattamenti dei dati di carattere personale ai sensi di tale articolo e devono, di conseguenza, necessariamente soddisfare gli obblighi di protezione dei dati previsti a detto articolo.

    A tal proposito, il diritto alla protezione dei dati di carattere personale richiede, in particolare, che la continuità del livello elevato di protezione delle libertà e dei diritti fondamentali riconosciuto dal diritto dell’Unione sia garantita in caso di trasferimento di dati personali dall’Unione a un paese terzo. Anche se le misure dirette ad assicurare un siffatto livello di protezione possono essere diverse da quelle attuate all’interno dell’Unione al fine di garantire il rispetto degli obblighi risultanti dal diritto dell’Unione, tali misure devono cionondimeno rivelarsi efficaci, nella prassi, al fine di assicurare una protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione.

    Tale requisito relativo ad un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione vale anche nel caso della comunicazione dei dati del codice di prenotazione dal paese terzo verso altri paesi terzi, al fine di evitare che il livello di protezione previsto dall’accordo di trasferimento possa essere eluso da trasferimenti di dati personali verso altri paesi terzi e di assicurare la continuità del livello di protezione offerto dal diritto dell’Unione. In tali circostanze, una siffatta comunicazione richiede l’esistenza o di un accordo tra l’Unione e il paese terzo interessato equivalente a detto accordo, oppure di una decisione della Commissione, ai sensi dell’articolo 25, paragrafo 6, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che accerti che detto paese terzo assicura un livello di protezione adeguato ai sensi del diritto dell’Unione e ricomprenda le autorità verso le quali il trasferimento dei dati del codice di prenotazione è previsto.

    (v. punti 122, 123, 134, 214)

  6.  La comunicazione di dati personali a un terzo, come un’autorità pubblica, costituisce un’ingerenza nel diritto fondamentale sancito all’articolo 7 della Carta dei diritti fondamentali dell’Unione europea, indipendentemente dall’uso ulteriore delle informazioni comunicate. Lo stesso vale per la conservazione dei dati personali nonché per l’accesso agli stessi ai fini del loro uso da parte delle autorità pubbliche. A tal riguardo, poco importa che le informazioni relative alla vita privata di cui trattasi abbiano o meno un carattere sensibile o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza.

    Pertanto, nel caso di un accordo internazionale vertente sul trasferimento di dati del codice di prenotazione a un paese terzo di cui è prevista la conclusione da parte dell’Unione, sia il trasferimento dei suddetti dati dall’Unione all’autorità competente di tale paese terzo sia la disciplina negoziata dall’Unione con il suddetto paese terzo delle condizioni attinenti alla conservazione di detti dati, al loro uso nonché ai loro eventuali trasferimenti ulteriori ad altre autorità del medesimo paese, a Europol, a Eurojust, alle autorità giudiziarie o di polizia degli Stati membri o ancora ad autorità di altri paesi terzi, costituiscono ingerenze nel diritto garantito all’articolo 7 della Carta. Tali operazioni integrano altresì un’ingerenza nel diritto fondamentale alla protezione dei dati personali garantito all’articolo 8 della Carta, poiché esse costituiscono trattamenti di dati personali.

    Ciò detto, i diritti sanciti agli articoli 7 e 8 della Carta non appaiono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale. A tal riguardo, la protezione del diritto fondamentale al rispetto della vita privata a livello dell’Unione richiede che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario. Per soddisfare tale requisito, la normativa di cui trattasi, che comporta l’ingerenza, deve prevedere norme chiare e precise che disciplinino la portata e l’applicazione della misura considerata e fissino un minimo di requisiti, di modo che le persone i cui dati sono stati trasferiti dispongano di garanzie sufficienti tali da permettere di proteggere contro i rischi di abuso. Essa deve in particolare indicare in quali circostanze e a quali condizioni una misura che prevede il trattamento di siffatti dati possa essere adottata, garantendo così che l’ingerenza sia limitata allo stretto necessario. La necessità di disporre di siffatte garanzie è tanto più importante allorché i dati personali sono soggetti a trattamento automatizzato. Tali considerazioni valgono in particolare quando è in gioco la protezione di quella categoria particolare di dati personali che sono i dati sensibili.

    (v. punti 124-126, 136, 140, 141)

  7.  Il requisito previsto all’articolo 52, paragrafo 1, prima frase, della Carta dei diritti fondamentali dell’Unione europea, secondo cui eventuali limitazioni all’esercizio dei diritti fondamentali devono essere previste dalla legge implica che la base giuridica che consente l’ingerenza in tali diritti deve definire essa stessa la portata della limitazione all’esercizio del diritto interessato.

    (v. punto 139)

  8.  Un accordo internazionale vertente sul trasferimento di dati del codice di prenotazione a un paese terzo, di cui è prevista la conclusione da parte dell’Unione, rientra nella nozione di legge, ai sensi dell’articolo 8, paragrafo 2, della Carta dei diritti fondamentali dell’Unione europea e, pertanto, dell’articolo 52, paragrafo 1, della stessa.

    Infatti, l’articolo 218, paragrafo 6, TFUE riflette, a livello esterno, la ripartizione dei poteri tra le istituzioni applicabile a livello interno e istituisce una simmetria tra la procedura di adozione delle misure dell’Unione a livello interno e la procedura di adozione degli accordi internazionali, al fine di garantire che, riguardo a una data materia, il Parlamento e il Consiglio dispongano degli stessi poteri, nel rispetto dell’equilibrio istituzionale previsto dai trattati. Pertanto, la conclusione degli accordi internazionali riguardanti settori ai quali, a livello interno, si applica la procedura legislativa ordinaria, prevista all’articolo 294 TFUE, richiede, in forza dell’articolo 218, paragrafo 6, lettera a), v), TFUE, l’approvazione del Parlamento, di modo che un siffatto accordo può essere considerato come l’equivalente, a livello esterno, di un atto legislativo a livello interno.

    Ne risulta che il trasferimento dei dati del codice di prenotazione verso un paese terzo, come previsto dall’accordo internazionale in questione, è basato su un altro fondamento che è previsto dalla legge, ai sensi dell’articolo 8, paragrafo 2, della Carta.

    (v. punti 145-147)

  9.  Le ingerenze nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea che comporta un accordo internazionale vertente sul trasferimento di dati del codice di prenotazione a un paese terzo, di cui è prevista la conclusione da parte dell’Unione, possono essere giustificate da una finalità d’interesse generale dell’Unione e non sono tali da pregiudicare il contenuto essenziale dei suddetti diritti fondamentali, allorché l’accordo previsto mira, in particolare, a garantire la sicurezza pubblica tramite un trasferimento dei dati del codice di prenotazione e l’uso degli stessi nell’ambito della lotta contro reati di terrorismo e reati gravi di natura transnazionale. Tale obiettivo costituisce, infatti, una finalità d’interesse generale dell’Unione che può giustificare ingerenze, anche gravi, nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta. Del resto, la protezione della sicurezza pubblica contribuisce altresì alla tutela dei diritti e delle libertà altrui. Nei limiti in cui la valutazione dei rischi che presentano i passeggeri aerei a mezzo dell’analisi di tali dati prima del loro arrivo facilita di molto e accelera i controlli di sicurezza e alle frontiere, il trasferimento dei dati del codice di prenotazione dei passeggeri aerei verso un paese terzo e i trattamenti ulteriori degli stessi possono essere considerati idonei a garantire la realizzazione dell’obiettivo, relativo alla protezione della sicurezza e dell’incolumità pubbliche, perseguito dall’accordo previsto.

    (v. punti 148, 149, 151-153)

  10.  Per quanto riguarda un accordo internazionale vertente sul trasferimento dei dati sensibili del codice di prenotazione a un paese terzo, di cui è prevista la conclusione da parte dell’Unione, qualsiasi misura basata sul postulato secondo cui una o più caratteristiche figuranti nell’accordo previsto, come l’origine etnica o razziale, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute o l’orientamento sessuale di una persona, potrebbero, di per se stesse e indipendentemente dal comportamento individuale del viaggiatore interessato, essere rilevanti rispetto alla finalità dei trattamenti dei dati del codice di prenotazione, violerebbe i diritti garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, letti in combinato disposto con l’articolo 21 della stessa. In considerazione del rischio di un trattamento di dati contrario all’articolo 21 della Carta, un trasferimento di tali dati verso il paese terzo interessato richiederebbe una giustificazione precisa e particolarmente solida, vertente su motivi diversi dalla protezione della sicurezza pubblica contro il terrorismo e i reati gravi di natura transnazionale. In assenza di una simile giustificazione, gli articoli 7, 8 e 21 nonché l’articolo 52, paragrafo 1, della Carta ostano sia al trasferimento dei dati sensibili verso uno Stato terzo sia alla disciplina negoziata dall’Unione con tale Stato delle condizioni relative all’uso e alla conservazione di siffatti dati da parte delle autorità del medesimo Stato terzo.

    (v. punti 164-167)

  11.  Nel caso di un accordo internazionale, di cui è prevista la conclusione da parte dell’Unione, vertente sul trasferimento dei dati del codice di prenotazione a un paese terzo e che prevede un trattamento automatizzato di tali dati con l’obiettivo di protezione della sicurezza pubblica contro il terrorismo e i reati gravi di natura transnazionale, la portata dell’ingerenza che le analisi automatizzate dei dati del codice di prenotazione comportano nei diritti sanciti agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea dipende essenzialmente dai modelli e dai criteri prestabiliti nonché dalle banche dati sulle quali si fonda tale tipo di trattamento di dati. Pertanto, i modelli e i criteri prestabiliti devono essere, da un lato, specifici e affidabili, consentendo di raggiungere risultati che abbiano come obiettivo gli individui sui quali potrebbe gravare un sospetto ragionevole di partecipazione a reati di terrorismo o a reati gravi di natura transnazionale e, dall’altro, non discriminatori. Parimenti, le banche dati con le quali i dati del codice di prenotazione sono confrontati devono essere affidabili, aggiornate e limitate a banche dati gestite dal paese terzo interessato in relazione alla lotta al terrorismo e ai reati gravi di natura transnazionale.

    (v. punti 168, 172)

  12.  Un accordo internazionale vertente sul trasferimento dei dati del codice di prenotazione a un paese terzo non eccede i limiti dello stretto necessario in quanto consente il trasferimento dei dati del codice di prenotazione di tutti i passeggeri aerei verso tale paese terzo, allorché tali dati consentono, in particolare, di facilitare i controlli di sicurezza alle frontiere ai quali, conformemente all’articolo 13 della convenzione di Chicago, relativa all’aviazione civile internazionale, tutti i passeggeri sono sottoposti secondo le leggi e i regolamenti del paese terzo.

    (v. punti 187-189)

  13.  Nel caso di un accordo internazionale vertente sul trasferimento dei dati del codice di prenotazione a un paese terzo, di cui è prevista la conclusione da parte dell’Unione, al fine di garantire che la conservazione dei dati trasferiti, l’accesso a tali dati da parte delle autorità nazionali contemplate dall’accordo previsto nonché l’uso degli stessi da parte di queste ultime siano limitati allo stretto necessario, tale accordo deve prevedere norme chiare e precise che indichino in quali circostanze e a quali condizioni tali autorità possano conservarli, avervi accesso e usarli.

    Per quanto riguarda la conservazione dei dati personali, l’atto deve sempre rispondere, segnatamente, a criteri oggettivi, che pongano un rapporto tra i dati personali da conservare e l’obiettivo perseguito. Per quanto riguarda l’uso, da parte di un’autorità, di dati personali legalmente conservati, la misura non può limitarsi ad esigere che l’accesso a detti dati risponda ad una delle finalità della stessa, ma deve prevedere anche le condizioni sostanziali e procedurali che disciplinino tale uso.

    (v. punti 190-192)

  14.  Nel caso di un accordo internazionale che preveda la conservazione dei dati del codice di prenotazione e il loro uso fino all’uscita dei passeggeri aerei dal paese terzo interessato, al fine, in particolare, di facilitare i controlli di sicurezza nonché i controlli alle frontiere, la loro conservazione e il loro uso a tal fine non possono, per loro stessa natura, essere limitati a una cerchia determinata di passeggeri aerei né essere oggetto di una previa autorizzazione di un giudice o di un ente amministrativo indipendente. Pertanto, fintantoché i passeggeri aerei si trovano nel paese terzo interessato o in partenza da tale paese, sussiste il rapporto necessario tra tali dati e l’obiettivo perseguito da detto accordo, cosicché esso non eccede i limiti dello stretto necessario per il solo fatto che consente la conservazione e l’uso sistematici dei dati del codice di prenotazione di tutti tali passeggeri. Parimenti, l’uso sistematico dei suddetti dati allo scopo di verificare l’affidabilità e l’aggiornamento dei modelli e dei criteri prestabiliti sui quali sono fondati i trattamenti automatizzati di tali dati o di definire nuovi modelli e criteri per tali trattamenti, è direttamente connesso all’attuazione dei controlli di sicurezza e dei controlli alle frontiere e si deve quindi, parimenti, ritenere che esso non ecceda i limiti dello stretto necessario.

    Per quanto riguarda l’uso dei dati del codice di prenotazione durante il soggiorno dei passeggeri aerei nel paese terzo interessato, questo deve fondarsi su nuove circostanze, allorché i passeggeri aerei sono stati autorizzati, dopo verifica dei loro dati del codice di prenotazione, ad entrare nel territorio del paese terzo interessato. Detto uso richiede norme che prevedano le condizioni sostanziali e procedurali che disciplinino questo stesso uso al fine, in particolare, di proteggere detti dati contro i rischi di abuso. Siffatte norme devono fondarsi su criteri oggettivi per definire le circostanze e le condizioni alle quali le autorità del paese terzo interessato contemplate dall’accordo previsto sono autorizzate a farne uso.

    A tale riguardo, qualora esistano elementi obiettivi che consentano di ritenere che i dati del codice di prenotazione di uno o più passeggeri aerei possano fornire un contributo effettivo all’obiettivo di lotta contro i reati di terrorismo e i reati gravi di natura transnazionale, l’uso di tali dati non sembra eccedere i limiti dello stretto necessario. Al fine di garantire, in pratica, il pieno rispetto di tali condizioni, è essenziale che l’uso durante il soggiorno dei passeggeri aerei nel paese terzo interessato dei dati del codice di prenotazione conservati sia subordinato, in linea di principio, salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato o da un giudice, o da un ente amministrativo indipendente, e che la decisione di tale giudice o di detto ente intervenga a seguito di una richiesta motivata delle autorità competenti presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale.

    (v. punti 197-202)

  15.  Nel caso di un accordo internazionale, di cui è prevista la conclusione da parte dell’Unione, vertente sul trasferimento dei dati del codice di prenotazione a un paese terzo e che prevede la conservazione di detti dati dopo la partenza dei passeggeri aerei da tale paese terzo con l’obiettivo di protezione della sicurezza pubblica contro il terrorismo e i reati gravi di natura transnazionale, per quanto riguarda i passeggeri aerei per i quali un rischio in materia di terrorismo o di reati gravi di natura transnazionale non è stato individuato al loro arrivo in detto paese terzo e fino alla loro partenza da quest’ultimo, non sembra che esista, una volta ripartiti, alcun rapporto, sia pure indiretto, tra i loro dati del codice di prenotazione e l’obiettivo perseguito dall’accordo previsto, che giustifichi la conservazione di tali dati. L’archiviazione continua dei dati del codice di prenotazione di tutti i passeggeri aerei dopo la loro partenza dal paese terzo non sembra quindi limitata allo stretto necessario. Nei limiti in cui, tuttavia, sono identificati, in casi particolari, elementi obiettivi che consentano di ritenere che taluni passeggeri aerei possano, anche dopo la loro partenza dal suddetto paese terzo, presentare un rischio in termini di lotta al terrorismo e ai reati gravi di natura transnazionale, un’archiviazione dei loro dati del codice di prenotazione appare ammissibile al di là del loro soggiorno in tale paese terzo. L’uso dei dati del codice di prenotazione così archiviati dovrebbe essere fondato su criteri oggettivi per definire le circostanze e le condizioni alle quali le autorità del paese terzo contemplate dall’accordo previsto possano avere accesso a tali dati. Del pari, tale uso dovrebbe essere subordinato, salvo casi di urgenza debitamente giustificati, ad un controllo preventivo effettuato o da un giudice, o da un ente amministrativo indipendente, la cui decisione che autorizzi l’uso intervenga a seguito di una richiesta motivata di tali autorità presentata, in particolare, nell’ambito di procedure di prevenzione, di accertamento o di esercizio dell’azione penale. Per quanto riguarda la durata di conservazione di tali dati, la durata di cinque anni non sembra eccedere i limiti di quanto è strettamente necessario ai fini della lotta al terrorismo e ai reati gravi di natura transnazionale.

    (v. punti 205-209)

  16.  Il diritto fondamentale al rispetto della vita privata, sancito dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea, implica che l’interessato possa assicurarsi che i suoi dati personali siano trattati in modo corretto e lecito. Al fine di poter effettuare le necessarie verifiche, tale persona deve disporre del diritto d’accesso ai dati che la riguardano che sono oggetto di trattamento.

    A tal riguardo, nel caso di un accordo internazionale vertente sul trasferimento dei dati del codice di prenotazione a un paese terzo, di cui è prevista la conclusione da parte dell’Unione, occorre che i passeggeri aerei siano informati del trasferimento dei loro dati del codice di prenotazione verso il paese terzo interessato e dell’uso di tali dati, a partire dal momento in cui tale comunicazione non è suscettibile di compromettere le indagini condotte dalle autorità pubbliche contemplate dall’accordo previsto. Infatti, una siffatta informazione è, de facto, necessaria per consentire ai passeggeri aerei di esercitare i loro diritti di richiedere l’accesso ai dati del codice di prenotazione che li riguardano e, se del caso, la rettifica degli stessi nonché di proporre, conformemente all’articolo 47, primo comma, della Carta, un ricorso effettivo dinanzi a un giudice.

    Pertanto, nelle ipotesi in cui quindi esistano elementi obiettivi che giustifichino l’uso dei dati del codice di prenotazione al fine di combattere il terrorismo e i reati gravi di natura transnazionale e che richiedano una previa autorizzazione di un’autorità giudiziaria o di un ente amministrativo indipendente, un’informazione individuale ai passeggeri aerei risulta necessaria. Lo stesso vale nei casi in cui i dati del codice di prenotazione dei passeggeri aerei siano comunicati ad altre autorità pubbliche o a privati. Tuttavia, una siffatta informazione deve avvenire soltanto a partire dal momento in cui essa non può compromettere le indagini condotte dalle autorità pubbliche contemplate dall’accordo previsto.

    (v. punti 219, 220, 223, 224)

  17.  A termini dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea, il rispetto degli obblighi in materia di trattamento dei dati personali derivanti dall’articolo 8, paragrafi 1 e 2, della stessa è soggetto al controllo di un’autorità indipendente. La garanzia dell’indipendenza di una siffatta autorità di controllo, di cui è stata parimenti prevista l’istituzione all’articolo 16, paragrafo 2, TFUE, è diretta ad assicurare l’efficacia e l’affidabilità del controllo del rispetto delle disposizioni in materia di protezione delle persone fisiche riguardo al trattamento dei dati personali e deve essere interpretata alla luce di tale finalità. L’istituzione di un’autorità di controllo indipendente costituisce, quindi, un elemento essenziale del rispetto della protezione delle persone riguardo al trattamento dei dati personali.

    (v. punti 228, 229)

Na vrh