Edição provisória

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

21 de junho de 2022 (*)

Índice


I. Quadro jurídico

A. Direito da União

1. Diretiva 95/46/CE

2. Diretiva API

3. Diretiva 2010/65

4. RGPD

5. Diretiva 2016/680

6. Diretiva PNR

7. DecisãoQuadro 2002/475

B. Direito belga

1. Constituição

2. Lei de 25 de dezembro de 2016

II. Litígio no processo principal e questões prejudiciais

III. Quanto às questões prejudiciais

A. Quanto à primeira questão

B. Quanto às segunda a quarta e sexta questões

1. Quanto às ingerências resultantes da Diretiva PNR nos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta

2. Quanto à justificação das ingerências resultantes da Diretiva PNR

a) Quanto ao respeito pelo princípio da legalidade e pelo conteúdo essencial dos direitos fundamentais em causa

b) Quanto ao objetivo de interesse geral e à aptidão dos tratamentos dos dados PNR relativamente a este objetivo

c) Quanto ao caráter necessário das ingerências resultantes da Diretiva PNR

1) Quanto aos dados dos passageiros aéreos visados pela Diretiva PNR

2) Quanto às finalidades dos tratamentos dos dados PNR

3) Quanto ao nexo entre os dados PNR e as finalidades dos tratamentos desses dados

4) Quanto aos passageiros aéreos e aos voos em causa

5) Quanto à avaliação prévia dos dados PNR através de tratamentos automatizados

i) Quanto à comparação dos dados PNR com as bases de dados

ii) Quanto ao tratamento dos dados PNR de acordo com critérios preestabelecidos

iii) Quanto às garantias que rodeiam o tratamento automatizado dos dados PNR

6) Quanto à comunicação e à avaliação posteriores dos dados PNR

C. Quanto à quinta questão

D. Quanto à sétima questão

E. Quanto à oitava questão

F. Quanto à nona questão, alínea a)

G. Quanto à nona questão, alínea b)

H. Quanto à décima questão

IV. Quanto às despesas


«Reenvio prejudicial – Tratamento de dados pessoais – Dados dos registos de identificação dos passageiros (PNR) – Regulamento (UE) 2016/679 – Artigo 2.°, n.° 2, alínea d) – Âmbito de aplicação – Diretiva (UE) 2016/681 – Utilização dos dados PNR dos passageiros dos voos operados entre a União Europeia e países terceiros – Faculdade de incluir os dados dos passageiros dos voos operados na União – Tratamento automatizado desses dados – Prazo de conservação – Luta contra as infrações terroristas e a criminalidade grave – Validade – Carta dos Direitos Fundamentais da União Europeia – Artigos 7.°, 8.°, 21.° e 52.°, n.° 1 – Legislação nacional que estende a aplicação do sistema PNR a outros transportes efetuados na União – Liberdade de circulação na União – Carta dos Direitos Fundamentais – Artigo 45.°»

No processo C‑817/19,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.° TFUE, pela Cour constitutionnelle (Tribunal Constitucional, Bélgica), por Decisão de 17 de outubro de 2019, que deu entrada no Tribunal de Justiça em 31 de outubro de 2019, no processo

Ligue des droits humains

contra

Conseil des ministres,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, A. Arabadjiev, S. Rodin, I. Jarukaitis e N. Jääskinen, presidentes de secção, T. von Danwitz (relator), M. Safjan, F. Biltgen, P. G. Xuereb, N. Piçarra, L. S. Rossi, A. Kumin e N. Wahl, juízes,

advogado‑geral: G. Pitruzzella,

secretário: M. Krausenböck, administradora,

vistos os autos e após a audiência de 13 de julho de 2021,

vistas as observações apresentadas:

–        em representação da Ligue des droits humains, por C. Forget, avocate,

–        em representação do Governo belga, por P. Cottin, J.‑C. Halleux, C. Pochet e M. Van Regemorter, na qualidade de agentes, assistidos por C. Caillet, advocaat, E. Jacubowitz, avocat, bem como por G. Ceuppens, V. Dethy e D. Vertongen,

–        em representação do Governo checo, por T. Machovičová, O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes,

–        em representação do Governo dinamarquês, por M. Jespersen, J. Nymann‑Lindegren, V. Pasternak Jørgensen e M. Søndahl Wolff, na qualidade de agentes,

–        em representação do Governo alemão, por D. Klebs e J. Möller, na qualidade de agentes,

–        em representação do Governo estónio, por N. Grünberg, na qualidade de agente,

–        em representação da Irlanda, por M. Browne, A. Joyce e J. Quaney, na qualidade de agentes, assistidos por D. Fennelly, BL,

–        em representação do Governo espanhol, por L. Aguilera Ruiz, na qualidade de agente,

–        em representação do Governo francês, por D. Dubois, E. de Moustier e T. Stehelin, na qualidade de agentes,

–        em representação do Governo cipriota, por E. Neofytou, na qualidade de agente,

–        em representação do Governo letão, por E. Bārdiņš, K. Pommere e V. Soņeca, na qualidade de agentes,

–        em representação do Governo neerlandês, por M. K. Bulterman, A. Hanje, J. Langer e C. S. Schillemans, na qualidade de agentes,

–        em representação do Governo austríaco, por G. Kunnert, A. Posch e J. Schmoll, na qualidade de agentes,

–        em representação do Governo polaco, por B. Majczyna, na qualidade de agente,

–        em representação do Governo eslovaco, por B. Ricziová, na qualidade de agente,

–        em representação do Governo finlandês, por A. Laine e H. Leppo, na qualidade de agentes,

–        em representação do Parlamento Europeu, por O. Hrstková Šolcová e P. López‑Carceller, na qualidade de agentes,

–        em representação do Conselho da União Europeia, por J. Lotarski, N. Rouam, E. Sitbon e C. Zadra, na qualidade de agentes,

–        em representação da Comissão Europeia, por D. Nardi e M. Wasmeier, na qualidade de agentes,

–        em representação da Autoridade Europeia para a Proteção de Dados, por P. Angelov, A. Buchta, F. Coudert e C.‑A. Marnier, na qualidade de agentes,

–        em representação da Agência dos Direitos Fundamentais da União Europeia, por L. López, T. Molnar, M. Nespor e M. O’Flaherty, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 27 de janeiro de 2022,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto, em substância:

–        a interpretação do artigo 2.°, n.° 2, alínea d), e do artigo 23.° do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (a seguir «RGPD») (JO 2016, L 119, p. 1, a seguir «RGPD»), da Diretiva 2004/82/CE do Conselho, de 29 de abril de 2004, relativa à obrigação de comunicação de dados dos passageiros pelas transportadoras (JO 2004, L 261, p. 24, a seguir «Diretiva API»), bem como da Diretiva 2010/65/UE do Parlamento Europeu e do Conselho, de 20 de outubro de 2010, relativa às formalidades de declaração exigidas aos navios à chegada e/ou à partida dos portos dos Estados‑Membros e que revoga a Diretiva 2002/6/CE (JO 2010, L 283, p. 1);

–        a interpretação e a validade, à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), dos artigos 3.°, ponto 4, 6.° e 12.°, bem como do anexo I da Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave (JO 2016, L 119, p. 132, a seguir «Diretiva PNR»), bem como

–        a interpretação e a validade, à luz do artigo 3.°, n.° 2, TUE e do artigo 45.° da Carta, da Diretiva API.

2        Este pedido foi apresentado no âmbito de um litígio que opõe a Ligue des droits humains ao Conseil des ministres (Conselho de Ministros, Bélgica) a respeito da legalidade da Lei de 25 de dezembro de 2016, relativa ao tratamento dos dados dos passageiros.

I.      Quadro jurídico

A.      Direito da União

1.      Diretiva 95/46/CE

3        A Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), foi revogada, com efeitos a partir de 25 de maio de 2018, pelo RGPD. O artigo 3.°, n.° 2, desta diretiva dispunha:

«A presente diretiva não se aplica ao tratamento de dados pessoais:

–      efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as atividades do Estado no domínio do direito penal,

–      efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas.»

2.      Diretiva API

4        Os considerandos 1, 7, 9 e 12 da Diretiva API preveem:

«(1)      A fim de combater eficazmente a imigração ilegal e de melhorar o controlo de fronteiras, é essencial que todos os Estados‑Membros introduzam um regime que estabeleça as obrigações das transportadoras aéreas que transportem passageiros para o território dos Estados‑Membros. Para garantir a maior eficácia de tal objetivo, devem, além disso, harmonizar‑se, na medida do possível, as sanções pecuniárias previstas nos Estados‑Membros em caso de incumprimento das obrigações das transportadoras, tendo em conta as diferenças dos ordenamentos e das práticas jurídicos dos Estados‑Membros

[...]

(7)      As obrigações a impor às transportadoras por força da presente diretiva são complementares das que decorrem do artigo 26.° da Convenção de 1990 de Aplicação do Acordo de Schengen de 14 de junho de 1985, complementado pela Diretiva 2001/51/CE [do Conselho, de 28 de junho de 2001, que completa as disposições do artigo 26.° da Convenção de Aplicação do Acordo de Schengen de 14 de junho de 1985 (JO 2001, L 187, p. 45),] tendo ambos os tipos de obrigações o mesmo objetivo de controlo dos fluxos migratórios e de luta contra a imigração ilegal.

[...]

(9)      A fim de combater mais eficazmente a imigração clandestina e facilitar o cumprimento deste objetivo, é essencial que, sem prejuízo do disposto na Diretiva [95/46], desde cedo se tenham em conta quaisquer inovações tecnológicas, sobretudo no que respeita à integração e utilização de dados biométricos na informação a prestar pelas transportadoras.

[...]

(12)      A Diretiva [95/46] aplica‑se ao tratamento de dados pessoais pelas autoridades dos Estados‑Membros. Significa isto que embora seja legítimo processar dados sobre passageiros, para efeitos de realização de controlos nas fronteiras, a fim de permitir a sua utilização como prova em ações judiciais relacionadas com a aplicação da legislação e da regulamentação em matéria de entrada e imigração, incluindo as disposições em matéria de proteção da ordem pública e da segurança interna, qualquer outro tratamento de algum modo incompatível com esta finalidade é contrário ao princípio enunciado na alínea b) do n.° 1 do artigo 6.° da Diretiva [95/46]. Os Estados‑Membros devem prever um sistema de sanções a aplicar em caso de utilização contrária à finalidade prevista na presente diretiva.»

5        O artigo 1.° da Diretiva API, sob a epígrafe «Objetivo», prevê:

«A presente diretiva tem por objeto melhorar os controlos de fronteira e combater a imigração ilegal através da transmissão antecipada, pelas transportadoras, dos dados dos passageiros às autoridades nacionais competentes.»

6        O artigo 2.° desta diretiva, sob a epígrafe «Definições», enuncia:

«Para efeitos da presente diretiva, entende‑se por:

a)      “Transportadora”, qualquer pessoa singular ou coletiva que preste serviços de transporte aéreo de passageiros, a título profissional,

b)      “Fronteiras externas”, as fronteiras externas dos Estados‑Membros com países terceiros,

c)      “Controlo de fronteiras”, o controlo nas fronteiras que, independentemente de qualquer outro motivo, se baseia exclusivamente na intenção de passar a fronteira,

d)      “Ponto de passagem da fronteira”, qualquer ponto de passagem autorizado pelas autoridades competentes para a passagem das fronteiras externas,

e)      “Dados pessoais”, “tratamento de dados pessoais” e “ficheiro de dados pessoais”, o mesmo que no artigo 2.° da Diretiva [95/46].»

7        O artigo 3.° da referida diretiva, sob a epígrafe «Transmissão de dados», dispõe, nos seus n.os 1 e 2:

«1.      Os Estados‑Membros devem tomar as disposições necessárias para obrigar as transportadoras a transmitirem, até ao final do registo de embarque e a pedido das autoridades responsáveis pelos controlos de passageiros nas fronteiras externas, as informações relativas aos passageiros que transportarem até um ponto autorizado de passagem de fronteira através do qual entrem no território de um Estado‑Membro.

2.      As informações acima referidas devem incluir:

–        o número e o tipo do documento de viagem utilizado,

–        a nacionalidade,

–        o nome completo,

–        a data de nascimento,

–        o ponto de passagem da fronteira à entrada no território dos Estados‑Membros,

–        o código do transporte,

–        a hora de partida e de chegada do transporte,

–        o número total de passageiros incluídos nesse transporte,

–        o ponto inicial de embarque.»

8        O artigo 6.° da Diretiva API, sob a epígrafe «Tratamento de dados», enuncia:

«1.      Os dados pessoais a que se refere o n.° 1 do artigo 3.° são transmitidos às autoridades responsáveis pela realização de controlos de passageiros nas fronteiras externas através das quais derem entrada no território de um Estado‑Membro, a fim de facilitar a execução desses controlos com o objetivo de combater mais eficazmente a imigração ilegal.

Os Estados‑Membros devem assegurar que esses dados sejam recolhidos pelas transportadoras e transmitidos eletronicamente ou, em caso de avaria, por qualquer outro meio apropriado, às autoridades responsáveis pela realização de controlos no ponto autorizado de passagem da fronteira de entrada do passageiro no território de um Estado‑Membro. As autoridades responsáveis pelo controlo de passageiros nas fronteiras externas devem conservar os dados num ficheiro provisório.

Após a entrada dos passageiros, estas autoridades devem apagar os dados no prazo de 24 horas a contar da sua transmissão, a não ser que sejam necessários para o exercício das funções legais das autoridades responsáveis pelo controlo de passageiros nas fronteiras externas, segundo o seu direito interno e sob reserva das disposições sobre proteção de dados da Diretiva [95/46].

Os Estados‑Membros devem tomar as medidas necessárias para obrigar as transportadoras a, no prazo de 24 horas a contar da chegada do meio de transporte, nos termos do n.° 1 do artigo 3.°, apagar os dados pessoais por elas recolhidos e transmitidos às autoridades de fronteira para efeitos da presente diretiva.

Segundo o seu direito interno e sob reserva das disposições sobre proteção de dados da Diretiva [95/46], os Estados‑Membros também podem utilizar os dados pessoais a que se refere o n.° 1 do artigo 3.° para efeitos de aplicação da lei.

2.      Os Estados‑Membros devem tomar as medidas necessárias para obrigar as transportadoras a informar os passageiros, nos termos da Diretiva [95/46]. Esta obrigação inclui também as informações referidas na alínea c) do artigo 10.° e na alínea c) do n.° 1 do artigo 11.° da Diretiva [95/46].»

3.      Diretiva 2010/65

9        A Diretiva 2010/65 é revogada, por força do artigo 25.° do Regulamento (UE) 2019/1239 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, que estabelece um ambiente europeu de plataforma única para o setor marítimo e que revoga a Diretiva 2010/65 (JO 2019, L 198, p. 64), a partir de 15 de agosto de 2025.

10      O considerando 2 da mesma diretiva enuncia:

«A fim de facilitar o transporte marítimo e de reduzir os encargos administrativos das companhias de navegação, as formalidades de declaração exigidas por atos jurídicos da União e dos Estados‑Membros deverão ser simplificadas e harmonizadas na medida do possível. [...]»

11      O artigo 1.° da referida diretiva, sob a epígrafe «Objeto e âmbito de aplicação», dispõe, nos seus n.os 1 e 2:

«1.      A presente diretiva tem por objeto simplificar e harmonizar os procedimentos administrativos aplicados ao transporte marítimo através da normalização da transmissão eletrónica de informações e da racionalização das formalidades de declaração.

2.      A presente diretiva aplica‑se às formalidades de declaração aplicáveis ao transporte marítimo para os navios à chegada e à partida de portos dos Estados‑Membros.»

12      Nos termos do artigo 8.° da mesma diretiva, sob a epígrafe «Confidencialidade»:

«1.      Os Estados‑Membros tomam, em conformidade com os atos jurídicos aplicáveis da União ou com a legislação nacional, as medidas necessárias para garantir a confidencialidade das informações comerciais e de outras informações confidenciais trocadas nos termos da presente diretiva.

2.      Os Estados‑Membros tomam precauções especiais para proteger os dados de caráter comercial recolhidos nos termos da presente diretiva. No que se refere aos dados de caráter pessoal, os Estados‑Membros asseguram o respeito da Diretiva [95/46]. As instituições e os órgãos da União [Europeia] asseguram o respeito do Regulamento (CE) n.° 45/2001 [do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO 2001, L 8, p. 1)].»

4.      RGPD

13      O considerando 19 do RGPD enuncia:

«A proteção das pessoas singulares em matéria de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, e de livre circulação desses dados, é objeto de um ato jurídico da União específico. O presente regulamento não deverá, por isso, ser aplicável às atividades de tratamento para esses efeitos. Todavia, os dados pessoais tratados pelas autoridades competentes ao abrigo do presente regulamento deverão ser regulados, quando forem usados para os efeitos referidos, por um ato jurídico da União mais específico, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho[, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89)]. Os Estados‑Membros podem confiar às autoridades competentes na aceção da Diretiva [2016/680] funções não necessariamente a executar para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, de modo a que o tratamento dos dados pessoais para esses outros efeitos, na medida em que se insira na esfera do direito da União, seja abrangido pelo âmbito de aplicação do presente regulamento.

[...]»

14      O artigo 2.° deste regulamento, sob a epígrafe «Âmbito de aplicação material», dispõe, nos seus n.os 1 e 2:

«1.      O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2.      O presente regulamento não se aplica ao tratamento de dados pessoais:

a)      Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

b)      Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

[...]

d)      Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.»

15      O artigo 4.° do referido regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

1)      “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável [...];

2)      “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[...]»

16      O artigo 23.° do RGPD, sob a epígrafe «Limitações», dispõe:

«1.      O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.° a 22.° e no artigo 34.°, bem como no artigo 5.°, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.° a 22.°, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

a)      A segurança do Estado;

b)      A defesa;

c)      A segurança pública;

d)      A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

[...]

h)      Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);

2.      Em especial, as medidas legislativas referidas no n.° 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:

a)      Às finalidades do tratamento ou às diferentes categorias de tratamento;

b)      Às categorias de dados pessoais;

c)      Ao alcance das limitações impostas;

d)      Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;

e)      À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

f)      Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;

g)      Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e

h)      Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.»

17      O artigo 94.° deste regulamento, sob a epígrafe «Revogação da Diretiva [95/46]», prevê:

«1.      A Diretiva [95/46] é revogada com efeitos a partir de 25 de maio de 2018.

2.      As remissões para a diretiva revogada são consideradas remissões para presente regulamento. As referências ao Grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.° da Diretiva [95/46], são consideradas referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.»

5.      Diretiva 2016/680

18      A Diretiva 2016/680, em conformidade com o seu artigo 59.°, revogou e substituiu, a partir de 6 de maio de 2018, a Decisão‑Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO 2008, L 350, p. 60).

19      Nos termos dos considerandos 9 a 11 da Diretiva 2016/680:

«(9)      Nesse sentido, o [RGPD] estabelece regras gerais para proteger as pessoas singulares relativamente ao tratamento de dados pessoais e assegurar a livre circulação de dados pessoais na União.

(10)      Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições específicas sobre proteção de dados pessoais e sobre a livre circulação dos dados pessoais, nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.° do TFUE.

(11)      Por conseguinte, esses domínios deverão ser objeto de uma diretiva que estabeleça regras específicas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, no respeito da natureza específica dessas atividades. Essas autoridades competentes podem incluir não só as autoridades públicas como, por exemplo, as autoridades judiciárias, a polícia ou outras autoridades de aplicação da lei, mas também outros organismos ou entidades designados pelo direito dos Estados‑Membros para o exercício da autoridade e dos poderes públicos para efeitos da presente diretiva. Caso esses organismos ou entidades tratem dados pessoais para efeitos que não sejam os da presente diretiva, é aplicável o [RGPD]. O [RGPD] é, pois, aplicável nos casos em que um organismo ou uma entidade recolhe dados pessoais para outros efeitos e, em seguida, os trata a fim de dar cumprimento a uma obrigação legal a que está sujeito. Pode ser o caso das instituições financeiras quando retêm, para efeitos de investigação, deteção ou repressão de infrações penais, certos dados pessoais por si tratados e os fornecem apenas às autoridades nacionais competentes em casos específicos e nos termos do direito dos Estados‑Membros. Os organismos ou entidades que tratam dados pessoais em nome dessas autoridades no âmbito da presente diretiva deverão estar vinculados por contrato ou por outro ato jurídico e pelas disposições aplicáveis aos subcontratantes nos termos da presente diretiva, sem prejuízo da aplicação do [RGPD] ao tratamento de dados pessoais pelo subcontratante não abrangido pela presente diretiva.»

20      O artigo 1.° desta diretiva, sob a epígrafe «Objeto e objetivos», que corresponde, em substância, ao artigo 1.° da Decisão‑Quadro 2008/977, prevê, no seu n.° 1:

«A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.»

21      O artigo 3.° da referida diretiva, sob a epígrafe «Definições», dispõe:

«Para efeitos da presente diretiva, entende‑se por:

[...]

7.      “Autoridade competente”:

a)      Uma autoridade pública competente para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; ou

b)      Qualquer outro organismo ou entidade designados pelo direito de um Estado‑Membro para exercer a autoridade pública e os poderes públicos para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

[...]»

6.      Diretiva PNR

22      Os considerandos 4 a 12, 15, 19, 20, 22, 25, 27, 28, 33, 36 e 37 da Diretiva PNR enunciam:

«(4)      A Diretiva [API] regula a transmissão antecipada de dados referentes a informações prévias sobre passageiros (API — advance passenger information) pelas transportadoras aéreas às autoridades nacionais competentes, a fim de melhorar os controlos nas fronteiras e combater a imigração ilegal.

(5)      A presente diretiva tem nomeadamente por objetivos garantir a segurança e proteger a vida e a segurança das pessoas e criar um regime jurídico aplicável à proteção dos dados PNR no que respeita ao seu tratamento pelas autoridades competentes.

(6)      A utilização eficaz de dados PNR, nomeadamente mediante a sua comparação com várias bases de dados sobre as pessoas e os objetos procurados a fim de obter provas e, se for caso disso, detetar cúmplices de criminosos e desmantelar redes criminosas, é necessária para prevenir, detetar, investigar e reprimir infrações terroristas e a criminalidade grave e, assim, reforçar a segurança interna.

(7)      A avaliação dos dados PNR permite identificar pessoas insuspeitas de envolvimento em infrações terroristas ou criminalidade grave antes de tal avaliação e que deverão ser sujeitas a um controlo mais minucioso pelas autoridades competentes. Através da utilização dos dados PNR é possível fazer face à ameaça que representam as infrações terroristas e a criminalidade grave numa perspetiva diferente da do tratamento de outras categorias de dados pessoais. Contudo, a fim de assegurar que o tratamento de dados PNR se continua a restringir ao necessário, a fixação e a aplicação de critérios de avaliação deverão limitar‑se a infrações terroristas e à criminalidade grave para as quais a utilização de tais critérios seja relevante. Além disso, os critérios de avaliação deverão ser definidos de modo a reduzir ao mínimo o número de pessoas inocentes incorretamente identificadas pelo sistema.

(8)      As transportadoras aéreas já fazem a recolha e o tratamento dos dados PNR dos seus passageiros para fins comerciais. A presente diretiva não deverá impor às transportadoras aéreas a obrigação de recolherem ou conservarem dados adicionais dos passageiros, nem a estes últimos a obrigação de fornecerem outros dados para além dos que já são fornecidos às transportadoras aéreas.

(9)      Algumas transportadoras aéreas conservam os dados API que recolhem como parte dos dados PNR, enquanto outras não o fazem. A utilização dos dados PNR em conjunto com os dados API contribui para ajudar os Estados‑Membros a verificar a identidade dos indivíduos, reforçando, assim, a utilidade desse resultado para fins policiais e minimizando o risco de controlar e investigar pessoas inocentes. Importa, pois, garantir que, caso recolham dados API, as transportadoras aéreas procedam à sua transferência, independentemente de os conservarem por meios técnicos distintos dos utilizados para outros dados PNR.

(10)      A fim de prevenir, detetar, investigar e reprimir as infrações terroristas e a criminalidade grave, é essencial que todos os Estados‑Membros adotem disposições que prevejam a obrigação de as transportadoras aéreas que operam voos extra‑UE transferirem os dados PNR que recolham, incluindo os dados API. Os Estados‑Membros deverão ter igualmente a possibilidade de alargar esta obrigação às transportadoras aéreas que operam voos intra‑UE. Essas disposições deverão aplicar‑se sem prejuízo do disposto na Diretiva [API].

(11)      O tratamento de dados pessoais deverá ser proporcionado em relação aos objetivos específicos de segurança visados pela presente diretiva.

(12)      A definição de “infrações terroristas” utilizada na presente diretiva deverá ser idêntica à que consta da Decisão‑Quadro 2002/475/JAI do Conselho[, de 13 de junho de 2002, relativa à luta contra o terrorismo (JO 2002, L 164, p. 3)]. A definição de “criminalidade grave” deverá abranger as categorias de infrações enumeradas no anexo II da presente diretiva.

[...]

(15)      Uma lista de dados PNR, a obter por uma [unidade de informações de passageiros (UIP)], deverá ser elaborada com o objetivo de refletir as exigências legítimas das autoridades públicas a fim de prevenirem, detetarem, investigarem e reprimirem as infrações terroristas ou a criminalidade grave, aumentando assim a segurança interna na União e salvaguardando os direitos fundamentais, nomeadamente o direito à privacidade e à proteção dos dados pessoais. Para o efeito, deverão ser aplicadas normas exigentes, de acordo com a [Carta], a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (a “Convenção n.° 108”) e a Convenção [Europeia] para a Proteção dos Direitos do Homem e das Liberdades Fundamentais[, assinada em Roma a 4 de novembro de 1950] (a “CEDH”). Essa lista não deverá basear‑se na raça ou origem étnica, na religião ou nas convicções da pessoa, nem nas suas opiniões, políticas ou outras, na sua filiação sindical nem na sua saúde, vida ou orientação sexual. Os dados PNR deverão incluir unicamente informações pormenorizadas sobre as reservas e os itinerários do passageiro que permitam às autoridades competentes identificar os passageiros aéreos que representem uma ameaça para a segurança interna.

[...]

(19)      Cada Estado‑Membro deverá ser responsável pela avaliação das ameaças potenciais relacionadas com infrações terroristas e criminalidade grave.

(20)      Tendo plenamente em conta o direito à proteção dos dados pessoais e à não discriminação, não deverá ser tomada qualquer decisão que produza efeitos jurídicos que prejudiquem uma pessoa ou que a afete significativamente apenas com base no tratamento automatizado dos dados PNR. Além disso, nos termos dos artigos 8.° e 21.° da Carta, nenhuma decisão dessa natureza deverá introduzir uma discriminação em razão do sexo, da raça, da cor ou origem étnica ou social, das características genéticas, da língua, da religião ou das convicções, das opiniões políticas ou outras, da pertença a uma minoria nacional, da riqueza, do nascimento, da deficiência, da idade ou da orientação sexual. A Comissão [Europeia] deverá igualmente ter em conta estes princípios quando proceder ao reexame da aplicação da presente diretiva.

[...]

(22)      Tendo plenamente em conta os princípios enunciados na recente jurisprudência do Tribunal de Justiça da União Europeia na matéria, a aplicação da presente diretiva deverá garantir o pleno respeito dos direitos fundamentais, do direito à privacidade e do princípio da proporcionalidade. Deverá também cumprir efetivamente os objetivos da necessidade e proporcionalidade a fim de respeitar os interesses gerais reconhecidos pela União e atender à necessidade de proteger os direitos e as liberdades de terceiros na luta contra as infrações terroristas e a criminalidade grave. A aplicação da presente diretiva deverá ser devidamente justificada e deverão ser criadas as garantias necessárias para assegurar a legalidade da conservação, análise, transferência ou utilização de dados PNR.

[...]

(25)      O prazo durante [o] qual deverão ser conservados os dados PNR deverá ser tão longo quanto necessário e proporcionado à consecução dos objetivos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave. Atendendo à natureza dos dados e à sua utilização, é necessário que os dados PNR sejam conservados durante um prazo suficientemente longo para permitir a realização de análises e a sua utilização no âmbito de investigações. A fim de evitar uma utilização desproporcionada, após o prazo inicial de conservação, os dados PNR deverão ser anonimizados mediante o mascaramento de elementos dos dados. A fim de assegurar o nível mais elevado de proteção de dados, o acesso aos dados PNR integrais, que permitem a identificação direta do seu titular, só deverá ser concedido em condições muito estritas e limitadas após aquele prazo inicial.

[...]

(27)      Em cada Estado‑Membro, o tratamento dos dados PNR pela UIP e pelas autoridades competentes deverá estar sujeito a uma norma de proteção de dados pessoais, prevista pelo direito nacional, que seja conforme com a Decisão‑Quadro [2008/977] e com os requisitos específicos em matéria de proteção de dados estabelecidos na presente diretiva. As remissões para a Decisão‑Quadro [2008/977] deverão ser entendidas como remissões para a legislação atualmente em vigor e para a legislação que a substitua.

(28)      Tendo em conta o direito à proteção dos dados pessoais, os direitos dos titulares dos dados no que se refere ao tratamento dos dados PNR que lhes dizem respeito, nomeadamente os direitos de acesso, retificação, apagamento ou limitação, e os direitos a indemnização e a recurso judicial, deverão ser conformes com a Decisão‑Quadro [2008/977] e com o elevado nível de proteção conferido pela Carta e pela CEDH.

[...]

(33)      A presente diretiva não obsta a que os Estados‑Membros prevejam, no âmbito do respetivo direito nacional, um sistema de recolha e tratamento dos dados PNR provenientes de operadores económicos que não sejam as transportadoras, tais como agências de viagem e operadores turísticos que prestam serviços afins, incluindo a reserva de voos, para os quais procedem à recolha e ao tratamento de dados PNR, ou de fornecedores de serviços de transporte que não sejam os especificados na presente diretiva, desde que esse direito nacional seja conforme com o acervo da União.

[...]

(36)      A presente diretiva respeita os direitos fundamentais e os princípios enunciados na Carta, em especial o direito à proteção de dados pessoais, o direito ao respeito pela vida privada e o direito à não discriminação, consagrados nos artigos 8.°, 7.° e 21.° da mesma, e deverá, assim, ser aplicada em conformidade. A presente diretiva é compatível com os princípios da proteção de dados e as suas disposições são conformes com a Decisão‑Quadro [2008/977]. Além disso, a fim de respeitar o princípio da proporcionalidade, a presente diretiva prevê, em relação a determinadas matérias, normas de proteção de dados mais estritas do que as estabelecidas na Decisão‑Quadro [2008/977].

(37)      O âmbito de aplicação da presente diretiva é o mais limitado possível, uma vez que: prevê que os dados PNR sejam conservados nas UIP durante um prazo não superior a cinco anos, após o qual tais dados deverão ser apagados; prevê que os dados sejam anonimizados mediante mascaramento de elementos de dados após o decurso de um prazo inicial de seis meses; e proíbe recolher e utilizar dados sensíveis. A fim de assegurar a eficácia do sistema e um elevado nível de proteção dos dados, os Estados‑Membros deverão garantir que uma autoridade de controlo independente a nível nacional e, especificamente, um responsável pela proteção de dados, sejam incumbidos de prestar aconselhamento sobre a forma como os dados PNR são tratados e de a monitorizar. Qualquer tratamento de dados PNR deverá ser registado ou documentado para efeitos de verificação da sua legalidade, autocontrolo e garantia da integridade dos dados e da segurança do seu tratamento. Os Estados‑Membros deverão também assegurar que os passageiros sejam informados de forma clara e precisa sobre a recolha de dados PNR e sobre os seus direitos.»

23      O artigo 1.° da Diretiva PNR, sob a epígrafe «Objeto e âmbito de aplicação», enuncia:

«1.      A presente diretiva prevê:

a)      A transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros (PNR) de voos extra‑UE;

b)      O tratamento dos dados referidos na alínea a), inclusive a sua recolha, utilização e conservação pelos Estados‑Membros, e o respetivo intercâmbio entre Estados‑Membros.

2.      Os dados PNR recolhidos nos termos da presente diretiva só podem ser tratados para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, conforme previsto no artigo 6.°, n.° 2, alíneas a), b) e c).»

24      O artigo 2.° desta diretiva, sob a epígrafe «Aplicação da presente diretiva aos voos intra‑UE», tem a seguinte redação:

«1.      Se decidirem aplicar a presente diretiva aos voos intra‑UE, os Estados‑Membros notificam a Comissão por escrito. Os Estados‑Membros podem efetuar ou revogar essa notificação a todo o tempo. A Comissão publica essa notificação ou uma eventual revogação da mesma no Jornal Oficial da União Europeia.

2.      Caso seja efetuada a notificação a que se refere o n.° 1, todas as disposições da presente diretiva são aplicáveis aos voos intra‑UE como se se tratassem de voos extra‑UE e aos dados PNR respeitantes aos voos intra‑UE como se se tratassem de dados referentes a voos extra‑UE.

3.      Os Estados‑Membros podem decidir aplicar a presente diretiva apenas a voos intra‑UE selecionados. Ao tomarem essa decisão, selecionam os voos que considerem necessário a fim de prosseguir os objetivos da presente diretiva. Os Estados‑Membros podem decidir alterar a seleção de voos intra‑UE, a todo o tempo.»

25      O artigo 3.° da referida diretiva, sob a epígrafe «Definições», dispõe:

Para efeitos da presente diretiva, entende‑se por:

1)      “Transportadora aérea”, uma empresa de transporte aéreo titular de uma licença de exploração válida ou equivalente que lhe permite transportar passageiros por via aérea;

2)      “Voo extra‑UE”, um voo regular ou não regular efetuado por uma transportadora aérea a partir de um país terceiro e programado para aterrar no território de um Estado‑Membro, ou a partir do território de um Estado‑Membro e programado para aterrar num país terceiro, incluindo, em ambos os casos, os voos com escala no território de Estados‑Membros ou de países terceiros;

3)      “Voo intra‑UE”, um voo regular ou não regular efetuado por uma transportadora aérea a partir do território de um Estado‑Membro, programado para aterrar no território de um ou mais Estados‑Membros, sem escala no território de um país terceiro;

4)      “Passageiro”, uma pessoa, incluindo pessoas em trânsito ou em correspondência e excluindo membros da tripulação, transportada ou a transportar numa aeronave com o consentimento da transportadora aérea, decorrendo esse consentimento do registo dessa pessoa na lista de passageiros;

5)      “Registo de identificação dos passageiros” ou “PNR” (Passenger Name Record), um registo das formalidades de viagem impostas a cada passageiro que contém as informações necessárias para permitir o tratamento e o controlo das reservas feitas pelas transportadoras aéreas participantes relativamente a cada viagem reservada por uma pessoa ou em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas utilizado para efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas equivalentes que ofereçam as mesmas funcionalidades;

6)      “Sistema de reservas”, o sistema interno da transportadora aérea, no qual são recolhidos dados PNR para o tratamento das reservas;

7)      “Método de transferência por exportação”, o método através do qual as transportadoras aéreas transferem os dados PNR enumerados no anexo I para a base de dados da autoridade requerente;

8)      “Infrações terroristas”, as infrações definidas no direito nacional a que se referem os artigos 1.° a 4.° da Decisão‑Quadro [2002/475];

9)      “Criminalidade grave”, as infrações enumeradas no anexo II puníveis com pena ou medida de segurança privativas de liberdade de duração máxima não inferior a três anos nos termos do direito nacional de um Estado‑Membro;

10)      “Anonimizar mediante mascaramento de elementos de dados”, tornar invisíveis para os utilizadores os elementos dos dados suscetíveis de identificar diretamente o seu titular.»

26      O artigo 4.° da Diretiva PNR, sob a epígrafe «Unidade de informações de passageiros», enuncia, nos seus n.os 1 a 3:

«1.      Cada Estado‑Membro cria ou designa uma autoridade competente para efeitos de prevenção, deteção, investigação ou repressão das infrações terroristas e da criminalidade grave, ou cria ou designa uma secção de tal autoridade, para agir na qualidade da sua “unidade de informações de passageiros” (UIP).

2.      A UIP é responsável:

a)      Pela recolha dos dados PNR junto das transportadoras aéreas, pela conservação e pelo tratamento desses dados e pela transferência desses dados ou dos resultados do seu tratamento às autoridades competentes referidas no artigo 7.°;

b)      Pelo intercâmbio de dados PNR e dos resultados do seu tratamento com as UIP de outros Estados‑Membros e com a Europol, nos termos dos artigos 9.° e 10.°

3.      Os membros do pessoal das UIP podem ser agentes destacados pelas autoridades competentes. Os Estados‑Membros dotam as UIP dos recursos adequados para o exercício das suas funções.»

27      O artigo 5.° desta diretiva, sob a epígrafe «Responsável pela proteção de dados na UIP», tem a seguinte redação:

«1.      A UIP nomeia um responsável pela proteção de dados incumbido de controlar o tratamento dos dados PNR e de aplicar as salvaguardas relevantes.

2.      Os Estados‑Membros dotam os responsáveis pela proteção de dados dos meios necessários ao desempenho dos deveres e das funções que lhes incumbem nos termos do presente artigo, de forma eficaz e independente.

3.      Os Estados‑Membros asseguram que o titular dos dados tenha o direito de contactar o responsável pela proteção de dados, enquanto ponto de contacto único, para todos os assuntos respeitantes ao tratamento dos dados PNR de que é titular.»

28      O artigo 6.° da referida diretiva, sob a epígrafe «Tratamento dos dados PNR», dispõe:

«1.      Os dados PNR transferidos pelas transportadoras aéreas são recolhidos pela UIP do Estado‑Membro em causa, conforme previsto no artigo 8.° Caso os dados PNR transferidos pelas transportadoras aéreas incluam dados distintos dos enumerados no anexo I, a UIP apaga imediata e definitivamente esses dados assim que os receber.

2.      A UIP procede ao tratamento dos dados PNR exclusivamente para os seguintes fins:

a)      Proceder a uma avaliação dos passageiros antes da sua chegada prevista ao Estado‑Membro ou da sua partida prevista desse Estado‑Membro, a fim de identificar as pessoas que, pelo facto de poderem estar implicadas numa infração terrorista ou numa forma de criminalidade grave, devem ser sujeitas a um controlo mais minucioso pelas autoridades competentes a que se refere o artigo 7.° e, se for caso disso, pela Europol, nos termos do artigo 10.°;

b)      Responder, caso a caso, aos pedidos devidamente fundamentados, baseados em motivos suficientes, apresentados pelas autoridades competentes, para fornecer e tratar dados PNR, em casos específicos, para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas ou da criminalidade grave, e para disponibilizar às autoridades competentes ou, se for caso disso, à Europol os resultados desse tratamento; e

c)      Analisar os dados PNR com o objetivo de atualizar ou criar novos critérios a utilizar nas avaliações realizadas nos termos do n.° 3, alínea b), a fim de identificar pessoas que possam estar implicadas em infrações terroristas ou em formas de criminalidade grave.

3.      Ao realizar a avaliação a que se refere o n.° 2, alínea a), a UIP pode:

a)      Comparar os dados PNR com os que constam das bases de dados relevantes para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas e da criminalidade grave, incluindo bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta, de acordo com as regras da União, internacionais e nacionais, aplicáveis a essas bases de dados; ou

b)      Proceder ao tratamento dos dados PNR de acordo com critérios preestabelecidos.

4.      Qualquer avaliação dos passageiros antes da sua chegada prevista ao Estado‑Membro ou da sua partida prevista do Estado‑Membro, feita nos termos do n.° 3, alínea b), de acordo com os critérios preestabelecidos, é realizada de forma não discriminatória. Os referidos critérios preestabelecidos devem ser orientados em função dos objetivos, proporcionados e específicos. Os Estados‑Membros asseguram que esses critérios sejam fixados e revistos regularmente pelas UIP, em cooperação com as autoridades competentes a que se refere o artigo 7.° Esses critérios não podem, em caso algum, basear‑se na raça ou na origem étnica de uma pessoa, nas suas opiniões políticas, religião ou convicções filosóficas, na sua filiação sindical, na sua saúde, vida ou orientação sexual.

5.      Os Estados‑Membros asseguram que qualquer resultado positivo obtido através do tratamento automatizado dos dados PNR efetuado ao abrigo n.° 2, alínea a), seja verificado individualmente por meios não automatizados, para aferir se é ou não necessário que a autoridade competente referida no artigo 7.° intervenha, de acordo com o direito nacional.

6.      A UIP de um Estado‑Membro transmite os dados PNR das pessoas identificadas nos termos do n.° 2, alínea a), ou os resultados do tratamento desses dados, às autoridades competentes referidas no artigo 7.° desse mesmo Estado‑Membro, para efeitos de um controlo mais minucioso. Essas transferências de dados só podem ser feitas caso a caso e, se houver tratamento automatizado dos dados PNR, após verificação individual por meios não automatizados.

7.      Os Estados‑Membros asseguram que o responsável pela proteção de dados tenha acesso a todos os dados tratados pela UIP. Se o responsável pela proteção de dados considerar que o tratamento dos dados não foi efetuado em conformidade com a lei, pode remeter a questão para a autoridade nacional de controlo.

[...]

9.      As consequências das avaliações dos passageiros, referidas no n.° 2, alínea a), do presente artigo, não põem em causa o direito das pessoas que gozam do direito de livre circulação da União de entrarem no território do Estado‑Membro em causa, tal como estabelecido na Diretiva 2004/38/CE do Parlamento Europeu e do Conselho[, de 29 de abril de 2004, relativa ao direito de livre circulação e residência dos cidadãos da União e dos membros das suas famílias no território dos Estados‑Membros, que altera o Regulamento (CEE) n.° 1612/68 e que revoga as Diretivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e 93/96/CEE (JO 2004, L 158, p. 77)]. Além disso, quando as avaliações sejam efetuadas em relação a voos intra‑UE operados entre Estados‑Membros aos quais seja aplicável o Regulamento (CE) n.° 562/2006 do Parlamento Europeu e do Conselho[, de 15 de março de 2006, que estabelece o código comunitário relativo ao regime de passagem de pessoas nas fronteiras (Código das Fronteiras Schengen) (JO 2006, L 105, p. 1)], as consequências de tais avaliações devem observar o referido regulamento.»

29      Nos termos do artigo 7.° da Diretiva PNR, sob a epígrafe «Autoridades competentes»:

«1.      Cada Estado‑Membro adota uma lista das autoridades competentes habilitadas a solicitar às UIP ou a delas receber dados PNR ou o resultado do tratamento de tais dados, a fim de analisar mais minuciosamente essas informações ou de tomar medidas apropriadas para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave.

2.      As autoridades referidas no n.° 1 são as autoridades competentes para fins de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave.

[...]

4.      Os dados PNR e o resultado do tratamento de tais dados recebidos pela UIP podem ser objeto de tratamento ulterior pelas autoridades competentes dos Estados‑Membros exclusivamente para efeitos específicos de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave.

5.      O disposto no n.° 4 é aplicável sem prejuízo das competências das autoridades policiais ou judiciárias nacionais quando forem detetadas outras infrações ou indícios de outras infrações no decurso de ações repressivas desencadeadas na sequência do referido tratamento.

6.      As autoridades competentes abstêm‑se de tomar qualquer decisão que produza efeitos jurídicos adversos para uma pessoa ou que a afete de forma grave apenas com base no tratamento automatizado dos dados PNR. Tais decisões não podem basear‑se na raça ou origem étnica da pessoa, nas suas opiniões políticas, religião ou convicções filosóficas, filiação sindical nem na sua saúde, vida ou orientação sexual.»

30      O artigo 8.° desta diretiva, sob a epígrafe «Obrigações impostas às transportadoras aéreas em matéria de transferência de dados», prevê, nos seus n.os 1 a 3:

«1.      Os Estados‑Membros adotam as medidas necessárias para assegurar que as transportadoras aéreas transfiram, pelo método de exportação, os dados PNR enumerados no anexo I, na medida em que já tenham recolhido esses dados no exercício normal das suas atividades, para a base de dados da UIP do Estado‑Membro em cujo território o voo aterrará ou do qual descolará. Caso um voo seja explorado por uma ou mais transportadoras aéreas em regime de partilha de código, a obrigação de transferir os dados PNR de todos os passageiros do voo cabe à transportadora aérea que o opera. Caso os voos extra‑UE incluam uma ou mais escalas em aeroportos de diferentes Estados‑Membros, as transportadoras aéreas transferem os dados PNR da totalidade dos passageiros para as UIP de todos os Estados‑Membros em causa. O mesmo se aplica aos voos intra‑UE com uma ou mais escalas nos aeroportos de diferentes Estados‑Membros, mas só em relação aos Estados‑Membros que recolhem dados PNR de voos intra‑UE.

2.      Caso as transportadoras aéreas tenham recolhido [dados API] enumeradas no ponto 18 do anexo I, mas não os conservem pelos mesmos meios técnicos que os dados PNR, os Estados‑Membros adotam as medidas necessárias para garantir que as transportadoras aéreas também transfiram, pelo método de exportação, esses dados para a UIP do Estado‑Membro a que se refere o n.° 1. Em caso de tal transferência, todas as disposições da presente diretiva são aplicáveis aos dados API em causa.

3.      As transportadoras aéreas transferem os dados PNR por via eletrónica, utilizando protocolos comuns e formatos de dados reconhecidos, adotados pelo procedimento de exame a que se refere o artigo 17.°, n.° 2, ou, em caso de avaria técnica, por quaisquer outros meios apropriados que assegurem um nível adequado de segurança dos dados:

a)      24 a 48 horas antes da hora programada da partida do voo; e

b)      Imediatamente após o encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avião preparados para partir e o embarque ou desembarque já não seja possível.»

31      O artigo 12.° da referida diretiva, sob a epígrafe «Prazo de conservação e anonimização dos dados», dispõe:

«1.      Os Estados‑Membros asseguram que os dados PNR fornecidos pelas transportadoras aéreas à UIP sejam conservados numa base de dados dessa UIP por um prazo de cinco anos contados a partir da sua transferência para a UIP do Estado‑Membro em cujo território o voo aterre ou de cujo território descole.

2.      Decorrido um prazo de seis meses após a transferência dos dados PNR referida no n.° 1, todos os dados PNR são anonimizados mediante mascaramento dos seguintes elementos de dados suscetíveis de identificar diretamente o passageiro ao qual dizem respeito os dados PNR:

a)      Nome(s), incluindo os nomes de outros passageiros mencionados nos PNR, bem como o número de passageiros nos PNR que viajam em conjunto;

b)      Endereço e informações de contacto;

c)      Todas as informações sobre os meios de pagamento, incluindo o endereço de faturação, na medida em que contenham informações suscetíveis de identificar diretamente o passageiro ao qual os PNR dizem respeito ou quaisquer outras pessoas;

d)      Informação de passageiro frequente;

e)      Observações gerais, na medida em que contenham informações suscetíveis de permitir identificar diretamente o passageiro ao qual os PNR dizem respeito; e

f)      Quaisquer dados API que tenham sido recolhidos.

3.      Decorrido o prazo de seis meses referido no n.° 2, só é permitida a divulgação dos dados PNR integrais caso essa divulgação seja:

a)      Considerada necessária, com base em motivos razoáveis, para os fins referidos no artigo 6.°, n.° 2, alínea b); e

b)      Autorizada por:

i)      uma autoridade judiciária, ou

ii)      outra autoridade nacional competente, nos termos do direito nacional, para verificar se estão reunidas as condições de divulgação, sob reserva de o responsável pela proteção de dados da UIP ser informado e proceder a uma verificação expost.

4.      Os Estados‑Membros asseguram que os dados PNR sejam apagados de forma definitiva no termo do prazo referido no n.° 1. Esta obrigação aplica‑se sem prejuízo dos casos em que dados PNR específicos tenham sido transferidos para uma autoridade competente e sejam utilizados no âmbito de um caso específico para efeitos de prevenção, deteção, investigação ou repressão de infrações terroristas ou criminalidade grave; nesse caso a conservação dos dados pela autoridade competente rege‑se pelo direito nacional.

5.      O resultado do tratamento a que se refere o artigo 6.°, n.° 2, alínea a), só é conservado pela UIP durante o período necessário para informar as autoridades competentes e, nos termos do artigo 9.°, n.° 1, as UIP de outros Estados‑Membros, de um resultado positivo. Caso se constate, na sequência de uma verificação individual por meios não automatizados referida no artigo 6.°, n.° 5, alínea a), que o resultado do tratamento automatizado é negativo, este pode, ainda assim, ser conservado a fim de evitar “falsos” resultados positivos no futuro, desde que os dados de base não sejam apagados, nos termos do n.° 4 do presente artigo.»

32      O artigo 13.° da Diretiva PNR, sob a epígrafe «Proteção de dados pessoais», enuncia, nos seus n.os 1 a 5:

«1.      Os Estados‑Membros asseguram que, em qualquer tratamento de dados pessoais nos termos da presente diretiva, todos os passageiros tenham o mesmo direito à proteção dos seus dados pessoais, os direitos de acesso, retificação, apagamento e limitação, e os direitos a indemnização e recurso judicial, nos termos do direito da União e do direito nacional, e em aplicação dos artigos 17.°, 18.°, 19.° e 20.° da Decisão‑Quadro [2008/977]. Esses artigos são, por conseguinte, aplicáveis.

2.      Os Estados‑Membros preveem que as disposições adotadas nos termos do direito nacional em aplicação dos artigos 21.° e 22.° da Decisão‑Quadro [2008/977], respeitantes à confidencialidade do tratamento e à segurança dos dados, sejam igualmente aplicáveis a qualquer tratamento de dados pessoais efetuado nos termos da presente diretiva.

3.      A presente diretiva não prejudica a aplicabilidade da Diretiva [95/46] ao tratamento dos dados pessoais pelas transportadoras aéreas, em especial as suas obrigações de tomarem as medidas técnicas e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.

4.      Os Estados‑Membros proíbem o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical[,] saúde, vida ou orientação sexual. Se receber dados PNR que revelem tais informações, a UIP apaga‑os imediatamente.

5.      Os Estados‑Membros asseguram que a UIP conserve a documentação relativa a todos os sistemas e procedimentos de tratamento sob a sua responsabilidade. Essa documentação deve conter, no mínimo:

a)      O nome e os contactos da organização e do pessoal da UIP a quem é confiado o tratamento de dados PNR e os diferentes níveis de autorização de acesso;

b)      Os pedidos apresentados pelas autoridades competentes e pelas UIP de outros Estados‑Membros;

c)      Todos os pedidos e transferências de dados PNR para um país terceiro.

A UIP disponibiliza toda a documentação existente à autoridade nacional de controlo, a pedido desta.»

33      Segundo o artigo 15.° desta diretiva, sob a epígrafe «Autoridade nacional de controlo»:

«1.      Cada Estado‑Membro estabelece que a autoridade nacional de controlo referida no artigo 25.° da Decisão‑Quadro [2008/977] seja responsável por prestar aconselhamento e monitorizar a aplicação, no seu território, das disposições adotadas pelos Estados‑Membros por força da presente diretiva. É aplicável o artigo 25.° da Decisão‑Quadro [2008/977].

2.      As referidas autoridades nacionais de controlo exercem as atividades previstas no n.° 1, tendo em vista a proteção dos direitos fundamentais no âmbito do tratamento de dados pessoais.

3.      Cabe a cada autoridade nacional de controlo:

a)      Analisar as reclamações apresentadas por qualquer titular de dados, investigar a questão e informar os titulares dos dados sobre os progressos e os resultados da reclamação num prazo razoável;

b)      Verificar a legalidade do tratamento de dados, proceder a investigações, inspeções e auditorias nos termos do direito nacional, por sua própria iniciativa ou com base numa reclamação a que se refere a alínea a).

4.      A autoridade nacional de controlo aconselha, mediante pedido, os titulares de dados sobre o exercício dos direitos previstos em disposições adotadas em aplicação da presente diretiva.»

34      O artigo 19.° da referida diretiva, sob a epígrafe «Reexame», prevê:

«1.      Com base nas informações prestadas pelos Estados‑Membros, incluindo as informações estatísticas referidas no artigo 20.°, n.° 2, a Comissão procede, até 25 de maio de 2020, a um reexame de todos os elementos da presente diretiva e apresenta um relatório ao Parlamento Europeu e ao Conselho [da União Europeia].

2.      Ao proceder ao reexame, a Comissão presta especial atenção:

a)      Ao cumprimento das normas aplicáveis de proteção de dados pessoais;

b)      À necessidade e proporcionalidade da recolha e do tratamento dos dados PNR para cada um dos fins fixados na presente diretiva;

c)      À duração do prazo de conservação dos dados;

d)      À eficácia do intercâmbio de informações entre os Estados‑Membros; e

e)      À qualidade das avaliações, nomeadamente no que respeita às informações estatísticas recolhidas nos termos do artigo 20.°

3.      O relatório referido no n.° 1 inclui também um reexame da necessidade, proporcionalidade e eficácia da inclusão, no âmbito de aplicação da presente diretiva, da recolha e transferência obrigatórias de dados PNR, no que respeita a todos os voos intra‑UE ou a uma seleção destes. A Comissão tem em conta a experiência adquirida pelos Estados‑Membros, especialmente por aqueles que aplicam a presente diretiva a voos intra‑UE, nos termos do artigo 2.° O relatório considera também a necessidade de incluir no âmbito de aplicação da presente diretiva operadores económicos que não sejam transportadoras, tais como agências de viagem e operadores turísticos que prestam serviços afins, incluindo a reserva de voos.

4.      À luz do reexame efetuado nos termos do presente artigo, a Comissão apresenta, se necessário, ao Parlamento Europeu e ao Conselho uma proposta legislativa destinada a alterar a presente diretiva.»

35      O artigo 21.° da mesma diretiva, sob a epígrafe «Relação com outros instrumentos», enuncia, no seu n.° 2:

«A presente diretiva não prejudica a aplicabilidade da Diretiva [95/46] ao tratamento de dados pessoais pelas transportadoras aéreas.»

36      O anexo I da Diretiva PNR, sob a epígrafe «Dados dos registos de identificação dos passageiros recolhidos pelas transportadoras aéreas», dispõe:

«1.      Código de identificação do registo PNR

2.      Data da reserva/emissão do bilhete

3.      Data(s) da viagem prevista

4.      Nome(s)

5.      Endereço e informações de contacto (número de telefone, endereço de correio eletrónico)

6.      Todas as informações sobre as modalidades de pagamento, incluindo o endereço de faturação

7.      Itinerário completo para o PNR em causa

8.       Informação de passageiro frequente

9.      Agência/agente de viagens

10.      Situação do passageiro, incluindo confirmações, situação do registo, não comparência ou passageiro de última hora sem reserva

11.      Informação do PNR separada/dividida

12.      Observações gerais (designadamente todas as informações disponíveis sobre menores não acompanhados com idade inferior a 18 anos, como nome e sexo do menor, idade, língua(s) falada(s), nome e contactos da pessoa que o acompanha no momento da partida e sua relação com o menor, nome e contactos da pessoa que o acompanha no momento da chegada e sua relação com o menor, agente presente na partida e na chegada)

13.      Informações sobre a emissão dos bilhetes, incluindo número do bilhete, data de emissão, bilhetes só de ida, dados ATFQ (Automatic Ticket Fare Quote)

14.      Número do lugar e outras informações relativas ao lugar

15.      Informações sobre a partilha de código

16.      Todas as informações relativas às bagagens

17.      Número e outros nomes de passageiros que figuram no PNR

18.      Todas as informações prévias sobre os passageiros (dados API) que tenham sido recolhidas (incluindo, tipo e número de documento(s), país de emissão e termo de validade do(s) documento(s), nacionalidade, nome(s) e apelido(s), sexo, data de nascimento, companhia aérea, número de voo, data de partida, data de chegada, aeroporto de partida, aeroporto de chegada, hora de partida e hora de chegada)

19.      Historial completo das modificações dos dados PNR enumerados nos pontos 1 a 18.»

37      O anexo II desta diretiva, sob a epígrafe «Lista de infrações a que se refere o artigo 3.°, [ponto] 9», tem a seguinte redação:

«1.      Participação em organização criminosa

2.      Tráfico de seres humanos

3.      Exploração sexual de crianças e pedopornografia

4.      Tráfico de estupefacientes e substâncias psicotrópicas

5.      Tráfico de armas, munições e explosivos

6.      Corrupção

7.      Fraude, incluindo a fraude lesiva dos interesses financeiros da União

8.      Branqueamento dos produtos do crime e contrafação de moeda, incluindo o euro

9.      Criminalidade informática/cibercrime

10.      Crimes contra o ambiente, incluindo o tráfico de espécies animais ameaçadas e de espécies e variedades vegetais ameaçadas

11.      Auxílio à entrada e à permanência irregulares

12.      Homicídio voluntário, ofensas corporais graves

13.      Tráfico de órgãos e tecidos humanos

14.      Rapto, sequestro e tomada de reféns

15.      Assalto organizado ou à mão armada

16.      Tráfico de bens culturais, incluindo antiguidades e obras de arte

17.      Contrafação e piratagem de produtos

18.      Falsificação de documentos administrativos e respetivo tráfico

19.      Tráfico de substâncias hormonais e de outros estimuladores de crescimento

20.      Tráfico de materiais nucleares e radioativos

21.      Violação

22.      Crimes abrangidos pela jurisdição do Tribunal Penal Internacional

23.      Desvio de avião ou navio

24.      Sabotagem

25.      Tráfico de veículos roubados

26.      Espionagem industrial.»

7.      DecisãoQuadro 2002/475

38      O artigo 1.° da Decisão‑Quadro 2002/475 definia o conceito de «infração terrorista» enumerando uma série de atos intencionais previstos nas alíneas a) a i) deste mesmo artigo, praticados com o objetivo de «intimidar gravemente uma população», «constranger indevidamente os poderes públicos, ou uma organização internacional, a praticar ou a abster‑se de praticar qualquer ato», ou «desestabilizar gravemente ou destruir as estruturas fundamentais políticas, constitucionais, económicas ou sociais de um país, ou de uma organização internacional». Os artigos 2.° e 3.° desta decisão‑quadro definiam, respetivamente, os conceitos de «infrações relativas a um grupo terrorista» e de «infrações relacionadas com as atividades terroristas». O artigo 4.° da referida decisão‑quadro regulava a criminalização da instigação e da cumplicidade na prática dessas infrações bem como da tentativa de as cometer.

39      A Decisão‑Quadro 2002/475 foi revogada pela Diretiva (UE) 2017/541 do Parlamento Europeu e do Conselho, de 15 de março de 2017, relativa à luta contra o terrorismo e que substitui a Decisão‑Quadro 2002/475/JAI do Conselho e altera a Decisão 2005/671/JAI do Conselho (JO 2017, L 88, p. 6), cujos artigos 3.° a 14.° contêm definições análogas.

B.      Direito belga

1.      Constituição

40      O artigo 22.° da Constituição dispõe:

«Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, exceto nos casos e nas condições estabelecidos por lei.

A proteção deste direito é garantida por lei, por decreto, ou pela regra prevista no artigo 134.°»

2.      Lei de 25 de dezembro de 2016

41      O artigo 2.° da loi du 25 décembre 2016 relative au traitement des données des passagers (Lei de 25 de dezembro de 2016, relativa ao tratamento dos dados dos passageiros) (Moniteur belge de 25 de janeiro de 2017, p. 12905, a seguir «Lei de 25 de dezembro de 2016»), tem a seguinte redação:

«A presente lei e os decretos reais, que serão adotados em execução da presente lei, transpõem a [Diretiva API] e a [Diretiva PNR]. A presente lei e o decreto real relativo ao setor marítimo transpõem parcialmente a Diretiva [2010/65].»

42      O artigo 3.° desta lei dispõe:

«§ l.      A presente lei determina as obrigações das transportadoras e dos operadores de viagens relativas à transmissão de dados dos passageiros com destino, proveniência ou trânsito em território nacional.

§ 2.      O Rei determina por decreto aprovado em Conselho de Ministros, por setor de transportes e para os operadores de viagens, os dados dos passageiros a transmitir e as respetivas modalidades de transmissão, após parecer da Commission de la protection de la vie privée (Comissão para a proteção da vida privada).»

43      O artigo 4.° da referida lei prevê:

«Para efeitos da aplicação da presente lei e dos seus decretos de execução, entende‑se por:

[...]

8°      “serviços competentes”: os serviços previstos no artigo 14.°, § 1, 2°;

9°      “PNR”: o registo das formalidades de viagem impostas a cada passageiro, que contém as informações referidas no artigo 9.°, necessárias para permitir o tratamento e o controlo das reservas feitas pelas transportadoras e pelos operadores de viagens participantes relativamente a cada viagem reservada por uma pessoa ou em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas (utilizados para efetuar o controlo dos passageiros embarcados nos voos), ou de sistemas equivalentes que ofereçam as mesmas funcionalidades;

10°      “Passageiro”, uma pessoa, incluindo pessoas em trânsito ou em correspondência e excluindo membros da tripulação, transportada ou a transportar pela transportadora com o consentimento desta última, decorrendo esse consentimento do registo dessa pessoa na lista de passageiros;

[...]»

44      O artigo 8.° da Lei de 25 de dezembro de 2016 enuncia:

«§ l.      Os dados dos passageiros são tratados para efeitos de:

1°      Investigação e repressão, incluindo a execução de penas ou de medidas restritivas da liberdade, relativas às infrações previstas no artigo 90.° ter, § 2, [...] 7°, [...] 8°, [...] 11°, [...] 14°, [...] 17°, 18°, 19°, e § 3, do Code d’Instruction criminelle (Código de Processo Penal);

2°      Investigação e repressão, incluindo a execução de penas ou de medidas restritivas da liberdade, relativas às infrações previstas nos artigos 196.°, no que respeita às infrações de falsificação de documentos autênticos e públicos, 198.°, 199.°, 199.° bis, 207.°, 213.°, 375.° e 505.° do Code pénal (Código Penal);

[...]

4°      Acompanhamento das atividades referidas no artigo 7.°, 1° e 3°/1, e no artigo 11.°, § 1, 1° a 3° e 5°, da loi du 30 novembre 1998 organique des services de renseignement et de sécurité (Lei Orgânica dos Serviços de Informações e de Segurança, de 30 de novembro de 1998);

5°      Investigação e repressão das infrações previstas no artigo 220.°, § 2, da loi générale sur les douanes et accises du 18 juillet 1977 (Lei geral em matéria aduaneira e de impostos especiais de consumo, de 18 de julho de 1977) e no artigo 45.°, n.° 3, da loi du 22 décembre 2009 relative au régime général d’accise (Lei relativa ao regime geral dos impostos especiais de consumo, de 22 de dezembro de 2009) […]

§ 2.      Nas condições previstas no capítulo 11, os dados dos passageiros são igualmente tratados a fim de melhorar os controlos de pessoas nas fronteiras externas e combater a imigração ilegal.»

45      Nos termos do artigo 14.°, § 1, desta lei:

«A UIP é composta:

[...]

2°      por membros destacados provenientes dos seguintes serviços competentes:

a)      dos Serviços de Polícia referidos na loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux (Lei que organiza um serviço de polícia integrado, estruturado em dois níveis, de 7 de dezembro de 1998);

b)      da Sûreté de l’État (Segurança do Estado) referida na Lei Orgânica dos Serviços de Informações e de Segurança, de 30 de novembro de 1998;

c)      do Service général de Renseignement et de Sécurité (Serviço Geral de Informações e de Segurança) referido na Lei Orgânica dos Serviços de Informações e de Segurança, de 30 de novembro de 1998;

[...]»

46      O artigo 24.° da referida lei, que figura na secção 1, intitulada «Tratamento de dados dos passageiros no âmbito da avaliação prévia dos passageiros», do capítulo 10 da mesma lei, relativo ao tratamento de dados, tem a seguinte redação:

«§ 1.      Os dados dos passageiros são tratados para efeitos de realização de uma avaliação prévia dos passageiros antes da sua chegada, da sua partida ou do seu trânsito previsto em território nacional, a fim de determinar as pessoas que devem ser submetidas a um controlo mais minucioso.

§ 2.      No âmbito das finalidades previstas no artigo 8.°, § 1, 1°, 4° e 5°, ou relativas às ameaças mencionadas nos artigos 8.°, 1°, a), b), c), d), f), g), e 11.°, § 2, da Lei Orgânica dos Serviços de Informações e de Segurança, de 30 de novembro de 1998, a avaliação prévia dos passageiros assenta numa correspondência positiva, resultante de uma correlação dos dados dos passageiros com:

1°      os bancos de dados geridos pelos serviços competentes ou que estejam diretamente à sua disposição ou acessíveis no âmbito das suas funções ou com listas de pessoas elaboradas pelos serviços competentes no âmbito das suas funções.

2°      os critérios de avaliação preestabelecidos pela UIP, referidos no artigo 25.°

§ 3.      No âmbito das finalidades previstas no artigo 8.°, § 1, 3°, a avaliação prévia dos passageiros assenta numa correspondência positiva, resultante de uma correlação dos dados dos passageiros com os bancos de dados referidos no § 2, 1°.

§ 4.      A correspondência positiva é validada pela UIP no prazo de vinte e quatro horas após a receção da notificação automatizada da correspondência positiva.

§ 5.      A partir do momento dessa validação, o serviço competente na origem dessa correspondência positiva dá‑lhe seguimento útil o mais rapidamente possível.»

47      O capítulo 11 da Lei de 25 de dezembro de 2016, sob a epígrafe «Tratamento de dados dos passageiros a fim de melhorar o controlo nas fronteiras e combater a imigração ilegal», inclui os artigos 28.° a 31.° da mesma.

48      O artigo 28.° desta lei dispõe:

«§ 1.      O presente capítulo aplica‑se ao tratamento dos dados dos passageiros pelos serviços de polícia encarregados do controlo nas fronteiras e pelo Office des étrangers (Serviço de Estrangeiros) a fim de melhorar os controlos de pessoas nas fronteiras externas e combater a imigração ilegal.

§ 2.      É aplicável sem prejuízo das obrigações que incumbem aos serviços de polícia encarregados do controlo nas fronteiras e ao Serviço de Estrangeiros de transmitirem dados pessoais ou informações por força de disposições legais ou regulamentares.»

49      Nos termos do artigo 29.° da referida lei:

«§ 1.      Para efeitos do artigo 28.°, § 1, os dados de passageiros são transmitidos aos serviços de polícia encarregados do controlo nas fronteiras e ao Serviço de Estrangeiros, a fim de lhes permitir exercer as suas funções legais, dentro dos limites previstos no presente artigo.

§ 2.      Apenas são transmitidos os dados de passageiros referidos no artigo 9.°, § 1, 18°, relativos às seguintes categorias de passageiros:

1°      Os passageiros que tencionam entrar ou entraram no território pelas fronteiras externas da Bélgica;

2°      Os passageiros que tencionam sair ou saíram do território pelas fronteiras externas da Bélgica;

3°      Os passageiros que tencionam passar, se encontram ou passaram numa zona internacional de trânsito situada na Bélgica.

§ 3.      Os dados dos passageiros referidos no § 2 são transmitidos aos serviços de polícia encarregados do controlo nas fronteiras externas da Bélgica imediatamente após o respetivo registo no banco de dados de passageiros. Esses serviços conservam os referidos dados num ficheiro temporário e destroem‑nos nas vinte e quatro horas seguintes à transmissão.

§ 4.      Os dados dos passageiros referidos no § 2 são transmitidos ao Serviço de Estrangeiros imediatamente após o respetivo registo no banco de dados dos passageiros, sempre que tal seja necessário para o exercício das suas funções legais. Esse serviço conserva os referidos dados num ficheiro temporário e destrói‑os nas vinte e quatro horas seguintes à transmissão.

Se, decorrido esse prazo, necessitar do acesso aos dados dos passageiros referidos no § 2 no âmbito do exercício das suas atribuições legais, o Serviço de Estrangeiros envia um requerimento devidamente fundamentado à UIP.

[...]»

50      A Lei de 25 de dezembro de 2016 passou a ser aplicável às companhias aéreas, às transportadoras que asseguram um serviço internacional de transporte de passageiros (transportadoras HST) e aos intermediários de viagem que têm um contrato com essas transportadoras (distribuidores de bilhetes HST), bem como às transportadoras por autocarro, respetivamente, pelo Decreto real de 18 de julho de 2017 relativo à execução da Lei de 25 de dezembro de 2016, que abrange as obrigações para as companhias aéreas (Moniteur belge de 28 de julho de 2017, p. 75934), pelo Decreto Real de 3 de fevereiro de 2019, relativo à execução da Lei de 25 de dezembro de 2016, que abrange as obrigações para as transportadoras HST e para os distribuidores de bilhetes HST (Moniteur belge de 12 de fevereiro de 2019, p. 13018), e pelo Decreto Real de 3 de fevereiro de 2019, relativo à execução da Lei de 25 de dezembro de 2016, que abrange as obrigações para as transportadoras por autocarro (Moniteur belge de 12 fevereiro de 2019, p. 13023).

II.    Litígio no processo principal e questões prejudiciais

51      Por petição de 24 de julho de 2017, a Ligue des droits humains interpôs na Cour constitutionnelle (Tribunal Constitucional, Bélgica) um recurso de anulação total ou parcial da Lei de 25 de dezembro de 2016.

52      O órgão jurisdicional de reenvio declara que esta lei transpõe para o direito interno a Diretiva PNR e a Diretiva API, bem como, parcialmente, a Diretiva 2010/65. Resulta dos trabalhos preparatórios da referida lei que esta visa «criar um quadro legal para impor a diferentes setores de transporte de pessoas de caráter internacional (aéreo, ferroviário, rodoviário internacional e marítimo), e a operadores de viagens a obrigação de transmitirem os dados dos seus passageiros a um banco de dados gerido pelo [Service public fédéral intérieur (Serviço Público Federal Interno, Bélgica)]». O legislador nacional precisou igualmente que as finalidades da Lei de 25 de dezembro de 2016 se inserem em três categorias, a saber, em primeiro lugar, a prevenção, a deteção, a investigação e a repressão de infrações penais ou a execução de sanções penais, em segundo lugar, as funções dos serviços de informações e de segurança e, em terceiro lugar, a melhoria dos controlos nas fronteiras externas e a luta contra a imigração ilegal.

53      A Liga dos Direitos Humanos invoca dois fundamentos de recurso, o primeiro relativo à violação do artigo 22.° da Constituição, em conjugação com o artigo 23.° do RGPD, com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta, bem como com o artigo 8.° da CEDH, e o segundo, invocado a título subsidiário, relativo à violação deste artigo 22.°, em conjugação com o artigo 3.°, n.° 2, TUE e com o artigo 45.° da Carta.

54      Com o seu primeiro fundamento, a Ligue des droits humains alega, em substância, que esta lei implica uma ingerência nos direitos ao respeito pela vida privada e à proteção dos dados pessoais, que não é conforme com o artigo 52.°, n.° 1, da Carta, nomeadamente com o princípio da proporcionalidade. Com efeito, o âmbito de aplicação da referida lei e a definição dos dados recolhidos, suscetíveis de revelar informações sensíveis, são demasiado latos. De igual modo, o conceito de «passageiro», na aceção da mesma lei, permite um tratamento automatizado sistemático, não direcionado, dos dados de todos os passageiros. Além disso, a natureza e as modalidades do método de prescreening bem como as bases de dados com as quais esses dados são comparados, depois de transmitidos, não são determinadas de forma suficientemente clara. Por outro lado, a Lei de 25 de dezembro de 2016 prossegue finalidades diferentes das da Diretiva PNR. Por último, o prazo de cinco anos previsto nesta lei para a conservação dos referidos dados é desproporcionado.

55      Com o seu segundo fundamento, relativo ao artigo 3.°, § 1, ao artigo 8.°, § 2, e aos artigos 28.° a 31.° da Lei de 25 de dezembro de 2016, a Ligue des droits humains alega que, ao alargar o sistema previsto pela Diretiva PNR aos transportes intra‑UE, estas disposições têm por efeito restabelecer indiretamente controlos nas fronteiras internas contrários à liberdade de circulação das pessoas. Com efeito, quando uma pessoa se encontra no território belga, seja à chegada, à partida ou em escala, os seus dados são automaticamente recolhidos.

56      O Conselho de Ministros contesta esta argumentação. Considera, em especial, que o primeiro fundamento é inadmissível na medida em que visa o RGPD, que não é aplicável à Lei de 25 de dezembro de 2016. Por outro lado, o tratamento dos dados previsto por esta lei, em conformidade com a Diretiva PNR, constitui um instrumento essencial no âmbito, nomeadamente, da luta contra o terrorismo e a grande criminalidade, e as medidas que resultam da referida lei são necessárias para alcançar os objetivos prosseguidos e proporcionadas.

57      No que respeita ao primeiro fundamento, o órgão jurisdicional de reenvio interroga‑se, antes de mais, sobre a aplicabilidade da proteção prevista pelo RGPD aos tratamentos de dados instituídos pela Lei de 25 de dezembro de 2016, que visa aplicar, principalmente, a Diretiva PNR. Este órgão jurisdicional salienta, seguidamente, referindo‑se à jurisprudência resultante do Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592), que a definição dos dados PNR, que figura no artigo 3.°, ponto 5, bem como no anexo I desta diretiva, pode, por um lado, não ser suficientemente clara e precisa, devido ao caráter não exaustivo da descrição de alguns desses dados contida nessas disposições e, por outro, conduzir indiretamente à revelação de dados sensíveis. Além disso, a definição do conceito de «passageiro» que figura no artigo 3.°, ponto 4, da referida diretiva pode ter como consequência que a recolha, a transferência, o tratamento e a conservação dos dados PNR constituam obrigações gerais e indiferenciadas, aplicáveis a qualquer pessoa transportada ou que deva ser transportada e inscrita na lista dos passageiros, independentemente da existência de motivos sérios para crer que essa pessoa cometeu ou está prestes a cometer uma infração ou, ainda, foi declarada culpada de uma infração.

58      O referido órgão jurisdicional observa ainda que os dados PNR, em conformidade com as disposições da Diretiva PNR, são sistematicamente objeto de uma avaliação prévia que implica um cruzamento com bases de dados ou critérios preestabelecidos, com vista a estabelecer correspondências. Ora, o Comité Consultivo da Convenção n.° 108 do Conselho da Europa indicou, no seu Parecer de 19 de agosto de 2016 sobre as implicações em matéria de proteção dos dados do tratamento dos dados dos passageiros [T‑PD(2016)18rev] que os tratamentos dos dados pessoais dizem respeito a todos os passageiros e não apenas às pessoas visadas, suspeitos de estarem implicados numa infração penal ou de constituírem uma ameaça imediata para a segurança nacional ou a ordem pública, e que os dados PNR podem não só ser comparados (data matching) com bases de dados como também ser tratados por exploração (data mining) através de seletores ou algoritmos preditivos, com o objetivo de identificar qualquer pessoa que possa estar implicada ou envolver‑se em atividades criminosas, podendo tal avaliação dos passageiros através do estabelecimento de correspondência de dados suscitar questões de previsibilidade, em especial quando é efetuada com base em algoritmos preditivos que utilizam critérios dinâmicos que podem evoluir continuamente consoante as suas capacidades de autoaprendizagem. Neste contexto, o órgão jurisdicional de reenvio considera que, embora os critérios preestabelecidos para determinar perfis de risco devam ser específicos, fiáveis e não discriminatórios, em conformidade com o Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592), parece tecnicamente impossível definir melhor estes critérios.

59      Quanto ao prazo de conservação de cinco anos e ao acesso aos dados previstos no artigo 12.° da Diretiva PNR, este órgão jurisdicional salienta que a Comissão para a proteção da vida privada (Bélgica), no seu Parecer de iniciativa n.° 01/2010, de 13 de janeiro de 2010, relativo ao projeto de lei de aprovação do Acordo PNR UE‑Estados Unidos da América, considerou que, quando o prazo de conservação é longo e os dados são armazenados em massa, aumenta o risco de definição de perfis das pessoas em causa, tal como o de desvio da utilização desses dados para finalidades diferentes das inicialmente previstas. Resulta, além disso, do Parecer de 19 de agosto de 2016 do Comité Consultivo da Convenção n.° 108 do Conselho da Europa que os dados mascarados permitem ainda identificar as pessoas e continuam, portanto, a ser dados pessoais e que a sua conservação deve ser limitada no tempo a fim de evitar uma vigilância permanente generalizada.

60      Nestas circunstâncias, tendo em conta a jurisprudência resultante, nomeadamente, do Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592), o órgão jurisdicional de reenvio interroga‑se sobre se se pode considerar que o sistema de recolha, de transferência, de tratamento e de conservação dos dados PNR estabelecido pela Diretiva PNR respeita os limites do estritamente necessário. Este órgão jurisdicional considera que importa igualmente determinar se esta diretiva se opõe a uma legislação nacional que autoriza o tratamento dos dados PNR para uma finalidade diferente das previstas pela referida diretiva e se uma divulgação desses dados integrais após a sua anonimização, nos termos do artigo 12.° da mesma diretiva, poderia ser autorizada por uma autoridade nacional como a UIP criada pela Lei de 25 de dezembro de 2016.

61      Quanto ao segundo fundamento, o órgão jurisdicional de reenvio indica que o artigo 3.°, § 1, desta lei determina as obrigações das transportadoras e dos operadores de viagens relativas à transmissão de dados dos passageiros «com destino, proveniência ou trânsito em território nacional». Este órgão jurisdicional acrescenta, no que diz respeito ao âmbito de aplicação da referida lei, que o legislador nacional decidiu da «inclusão intra‑UE na recolha de dados» a fim de obter «um quadro mais completo das deslocações dos passageiros que constituam uma potencial ameaça para a segurança intracomunitária e nacional», o que é previsto no artigo 2.° da Diretiva PNR, em conjugação com o seu considerando 10, para os voos no dentro da União. O referido órgão jurisdicional precisa ainda que a Comissão para a proteção da vida privada, no seu Parecer n.° 55/2015, de 16 de dezembro de 2015, sobre o anteprojeto de lei que deu origem à Lei de 25 de dezembro de 2016, se interrogou sobre um eventual conflito entre o sistema PNR belga e o princípio da livre circulação de pessoas, na medida em que esse sistema inclui os transportes efetuados dentro da União.

62      Foi nestas circunstâncias que a Cour constitutionnelle (Tribunal Constitucional, Bélgica) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      Deve o artigo 23.° do [RGPD], lido em conjugação com o artigo 2.°, n.° 2, alínea d), deste regulamento, ser interpretado no sentido de que se aplica a uma legislação nacional como a [Lei de 25 de dezembro de 2016], que transpõe a [Diretiva PNR], bem como a [Diretiva API] e a Diretiva [2010/65]?

2)      O anexo I da [Diretiva PNR] é compatível com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], na medida em que os dados que enumera são muito vastos – nomeadamente os dados referidos no ponto 18 do anexo I [desta diretiva], que excedem os dados referidos no artigo 3.°, n.° 2, da [Diretiva API] – e [que], considerados conjuntamente, poderiam revelar dados sensíveis e violar, assim, os limites do “estritamente necessário”?

3)      Os pontos 12 e 18 do anexo I da [Diretiva PNR] são compatíveis com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], na medida em que, tendo em conta os termos “designadamente” e “incluindo”, os dados a que se referem são mencionados a título exemplificativo, e não exaustivo, de modo que a exigência de precisão e de clareza das regras que implicam uma ingerência no direito ao respeito da vida privada e no direito à proteção dos dados pessoais não é respeitada?

4)      O artigo 3.°, ponto 4, da [Diretiva PNR] e o anexo I da mesma diretiva são compatíveis com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], na medida em que o sistema de recolha, de transferência e de tratamento generalizados de dados dos passageiros que essas disposições instituem abrange qualquer pessoa que utilize o meio de transporte em causa, independentemente de qualquer elemento objetivo que permita considerar que essa pessoa é suscetível de representar um risco para a segurança pública?

5)      Deve o artigo 6.° da [Diretiva PNR], lido em conjugação com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], ser interpretado no sentido de que se opõe a uma legislação nacional como a lei impugnada, que admite como finalidade do tratamento dos dados “PNR” o acompanhamento das atividades visadas pelos serviços de informações e de segurança, integrando assim esta finalidade na prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave?

6)      O artigo 6.° da [Diretiva PNR] é compatível com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], na medida em que a avaliação prévia que regula, através de uma correlação com bancos de dados e critérios preestabelecidos, se aplica de forma sistemática e generalizada aos dados dos passageiros, independentemente de qualquer elemento objetivo que permita considerar que esses passageiros são suscetíveis de representar um risco para a segurança pública?

7)      Pode o conceito de “outra autoridade nacional competente” a que se refere o artigo 12.°, n.° 3, da [Diretiva PNR] ser interpretado no sentido de que abrange a UIP criada pela Lei de 25 de dezembro de 2016, que pode, assim, autorizar o acesso aos dados “PNR”, decorrido o prazo de seis meses, no âmbito de investigações pontuais?

8)      Deve o artigo 12.° da [Diretiva PNR], lido em conjugação com os artigos 7.°, 8.° e 52.°, n.° 1, da [Carta], ser interpretado no sentido de que se opõe a uma legislação nacional como a lei impugnada, que prevê um prazo geral de conservação dos dados de cinco anos, sem distinguir se os passageiros em causa se revelam, no âmbito da avaliação prévia, suscetíveis ou não de representar um risco para a segurança pública?

9)      a)      A [Diretiva API] é compatível com o artigo 3.°, n.° 2, [TUE] e com o artigo 45.° da [Carta], na medida em que as obrigações que institui se aplicam aos voos no interior da União Europeia?

b)      Deve a [Diretiva API], lida em conjugação com o artigo 3.°, n.° 2, [TUE] e com o artigo 45.° da [Carta], ser interpretada no sentido de que se opõe a uma legislação nacional como a lei impugnada, que, para efeitos de combate à imigração ilegal e de melhoria dos controlos nas fronteiras, autoriza um sistema de recolha e de tratamento de dados dos passageiros “com destino, proveniência ou trânsito em território nacional”, o que pode implicar indiretamente o restabelecimento dos controlos nas fronteiras internas?

10)      Se, com base nas respostas dadas às questões prejudiciais anteriores, concluir que a lei impugnada, que transpõe, designadamente, a [Diretiva PNR], viola uma ou mais das obrigações decorrentes das disposições mencionadas nestas questões, poderia a Cour constitutionnelle (Tribunal Constitucional) manter provisoriamente os efeitos da [Lei de 25 de dezembro de 2016] a fim de evitar uma insegurança jurídica e permitir que os dados recolhidos e conservados anteriormente possam ainda ser utilizados para os fins previstos pela referida lei?»

III. Quanto às questões prejudiciais

A.      Quanto à primeira questão

63      Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 2.°, n.° 2, alínea d), e o artigo 23.° do RGPD devem ser interpretados no sentido de que este regulamento é aplicável aos tratamentos de dados pessoais previstos por uma legislação nacional que visa transpor, para o direito interno, simultaneamente as disposições da Diretiva PNR, da Diretiva API e da Diretiva 2010/65, em particular à transferência, à conservação e ao tratamento dos dados PNR.

64      Como decorre do artigo 2.°, n.° 1, do RGPD, este regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de tais dados contidos em ficheiros ou a eles destinados. O conceito de «tratamento» é definido de forma ampla no artigo 4.°, ponto 2, do referido regulamento no sentido de que inclui, nomeadamente, a recolha, o registo, a conservação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou o apagamento de tais dados ou conjuntos de dados.

65      O Governo belga alega, no entanto, que a transferência dos dados PNR, por operadores económicos, para a UIP, para fins de prevenção e de deteção das infrações penais, conforme previsto no artigo 1.°, n.° 1, alínea a), e n.° 2, bem como no artigo 8.° da Diretiva PNR, que constitui um «tratamento» de dados pessoais na aceção do artigo 4.°, ponto 2, do RGPD, tal como a sua recolha prévia, não está abrangida pelo âmbito de aplicação deste regulamento por força do artigo 2.°, n.° 2, alínea d), do referido regulamento, com fundamento em que a jurisprudência decorrente do Acórdão de 30 de maio de 2006, Parlamento/Conselho e Comissão, C‑317/04 e C‑318/04, EU:C:2006:346, n.os 57 a 59, relativa ao artigo 3.°, n.° 2, primeiro travessão, da Diretiva 95/46, é transponível para essa disposição do referido regulamento.

66      A este respeito, é verdade que, como o Tribunal de Justiça já concluiu, o artigo 3.°, n.° 2, primeiro travessão, da Diretiva 95/46, que foi revogada e substituída pelo RGPD com efeitos a partir de 25 de maio de 2018, excluía do seu âmbito de aplicação, de forma geral, o «tratamento de dados que tenha como objeto a segurança pública, a defesa [e] a segurança do Estado», sem estabelecer uma distinção em função do autor do tratamento de dados em causa. Assim, os tratamentos efetuados por operadores privados decorrentes de obrigações impostas pelos poderes públicos podiam, eventualmente, ser abrangidos pela exceção prevista nesta disposição, tendo em conta que a sua formulação visava todos os tratamentos, independentemente do seu autor, que tivessem por objeto a segurança pública, a defesa ou a segurança do Estado (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 101).

67      Todavia, o artigo 2.°, n.° 2, alínea d), do RGPD estabelece essa distinção, uma vez que, como o advogado‑geral salientou nos n.os 41 e 46 das suas conclusões, a redação desta disposição destaca claramente que são exigidos dois requisitos para que um tratamento de dados seja abrangido pela exceção nele prevista. Enquanto o primeiro requisito diz respeito às finalidades do tratamento, a saber, a prevenção, a deteção, a investigação, e a repressão de infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, o segundo requisito diz respeito ao autor desse tratamento, a saber, uma «autoridade competente», na aceção da referida disposição.

68      Como o Tribunal de Justiça constatou igualmente, resulta do artigo 23.°, n.° 1, alíneas d) e h), do RGPD que os tratamentos de dados pessoais efetuados por particulares para os fins previstos no artigo 2.°, n.° 2, alínea d), deste regulamento estão abrangidos pelo âmbito de aplicação do mesmo (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 102).

69      Daqui resulta que a jurisprudência decorrente do Acórdão de 30 de maio de 2006, Parlamento/Conselho e Comissão (C‑317/04 e C‑318/04, EU:C:2006:346), invocada pelo Governo belga, não é transponível para a exceção ao âmbito de aplicação do RGPD que figura no seu artigo 2.°, n.° 2, alínea d).

70      Além disso, à semelhança das outras exceções ao âmbito de aplicação do RGPD previstas no artigo 2.°, n.° 2, deste regulamento, esta exceção deve ser objeto de interpretação estrita.

71      Como resulta do considerando 19 do mesmo regulamento, a referida exceção é motivada pelo facto de os tratamentos de dados pessoais efetuados, pelas autoridades competentes, para efeitos, nomeadamente, de prevenção e de deteção de infrações penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, serem regulados por um ato mais específico da União, a saber, a Diretiva 2016/680, que foi adotada no mesmo dia que o RGPD [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.° 69].

72      Como precisam, por outro lado, os considerandos 9 a 11 da Diretiva 2016/680, esta estabelece regras específicas relativas à proteção das pessoas singulares no que diz respeito a estes tratamentos, respeitando a natureza específica dessas atividades que se inserem nos domínios da cooperação judiciária em matéria penal e da cooperação policial, ao passo que o RGPD estabelece regras gerais relativas à proteção dessas pessoas que se destinam a ser aplicadas aos referidos tratamentos quando o ato mais específico que constitui a Diretiva 2016/680 não seja aplicável. Em especial, segundo o considerando 11 desta diretiva, o RGPD aplica‑se ao tratamento de dados pessoais efetuado por uma «autoridade competente», na aceção do artigo 3.°, ponto 7, da referida diretiva, mas para efeitos que não sejam os nela previstos [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.° 70].

73      No que respeita ao primeiro requisito referido no n.° 67 do presente acórdão, mais especificamente às finalidades prosseguidas pelos tratamentos de dados pessoais previstos na Diretiva PNR, importa recordar que, em conformidade com o artigo 1.°, n.° 2, desta diretiva, os dados PNR só podem ser tratados para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave. Estas finalidades estão abrangidas pelas finalidades visadas no artigo 2.°, n.° 2, alínea d), do RGPD e no artigo 1.°, n.° 1, da Diretiva 2016/680, pelo que tais tratamentos são suscetíveis de estar abrangidos pela exceção prevista no artigo 2.°, n.° 2, alínea d), deste regulamento e, por conseguinte, de estar abrangidos pelo âmbito de aplicação desta diretiva.

74      Em contrapartida, não é esse o caso dos tratamentos previstos na Diretiva API e na Diretiva 2010/65, cujas finalidades são diferentes das previstas no artigo 2.°, n.° 2, alínea d), do RGPD e no artigo 1.°, n.° 1, da Diretiva 2016/680.

75      Com efeito, no que respeita à Diretiva API, esta tem por objeto melhorar os controlos nas fronteiras e combater a imigração ilegal, como resulta dos seus considerandos 1, 7 e 9, bem como do seu artigo 1.°, através da transmissão antecipada, pelas transportadoras, dos dados dos passageiros às autoridades nacionais competentes. Aliás, vários considerandos e disposições desta diretiva deixam claro que os tratamentos de dados previstos para a sua aplicação estão abrangidos pelo âmbito de aplicação do RGPD. Assim, o considerando 12 da referida diretiva indica que «a Diretiva [95/46] [se aplica] ao tratamento de dados pessoais pelas autoridades dos Estados‑Membros». Além disso, o artigo 6.°, n.° 1, quinto parágrafo, da Diretiva API precisa que os Estados‑Membros podem também utilizar os dados API para efeitos de aplicação da lei, «sob reserva das disposições sobre proteção de dados da Diretiva [95/46]», sendo esta expressão igualmente utilizada no terceiro parágrafo desta disposição. Do mesmo modo, é utilizada, nomeadamente no considerando 9 da Diretiva API, a expressão «sem prejuízo do disposto na Diretiva [95/46]». Por último, o artigo 6.°, n.° 2, da Diretiva API prevê que os passageiros devem ser informados pelas transportadoras «nos termos da Diretiva [95/46]».

76      Quanto à Diretiva 2010/65, resulta do seu considerando 2 e do seu artigo 1.°, n.° 1, que esta diretiva tem por objeto simplificar e harmonizar os procedimentos administrativos aplicados ao transporte marítimo através da normalização da transmissão eletrónica de informações e da racionalização das formalidades de declaração, a fim de facilitar o transporte marítimo e de reduzir os encargos administrativos das companhias de navegação. Ora, o artigo 8.°, n.° 2, da referida diretiva confirma que os tratamentos de dados previstos para a sua aplicação estão abrangidos pelo âmbito de aplicação do RGPD, uma vez que esta disposição impõe, com efeito, aos Estados‑Membros, no que se refere aos dados pessoais, que assegurem o respeito da Diretiva 95/46.

77      Daqui resulta que os tratamentos de dados previstos por uma legislação nacional que transpõe, para o direito interno, as disposições da Diretiva API e da Diretiva 2010/65, estão abrangidos pelo âmbito de aplicação do RGPD. Em contrapartida, os tratamentos de dados previstos por uma legislação nacional que transpõe, para o direito interno, a Diretiva PNR são suscetíveis de escapar, em conformidade com a exceção que figura no artigo 2.°, n.° 2, alínea d), deste regulamento, à aplicação do mesmo, sem prejuízo da observância do segundo requisito recordado no n.° 67 do presente acórdão, a saber, que o autor dos tratamentos seja uma autoridade competente, na aceção desta última disposição.

78      No que respeita a este segundo requisito, o Tribunal de Justiça declarou que, na medida em que a Diretiva 2016/680 define, no seu artigo 3.°, n.° 7, o conceito de «autoridade competente», essa definição deve ser aplicada, por analogia, ao artigo 2.°, n.° 2, alínea d), do RGPD [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.° 69].

79      Ora, por força dos artigos 4.° e 7.° da Diretiva PNR, cada Estado‑Membro deve, respetivamente, designar, como sua UIP, uma autoridade competente para efeitos de prevenção, deteção, investigação ou repressão das infrações terroristas e da criminalidade grave, e adotar uma lista das autoridades competentes habilitadas a solicitar às UIP ou a delas receber dados PNR ou o resultado do tratamento de tais dados, sendo estas últimas autoridades igualmente autoridades competentes na matéria, como se precisa no artigo 7.°, n.° 2, da referida diretiva.

80      Resulta destes elementos que os tratamentos de dados PNR efetuados pela UIP e pelas referidas autoridades competentes para tais fins preenchem os dois requisitos mencionados no n.° 67 do presente acórdão, pelo que esses tratamentos, além de estarem abrangidos pelas disposições da própria Diretiva PNR, estão abrangidos pelas disposições da Diretiva 2016/680 e não pelas do RGPD, o que é, de resto, confirmado pelo considerando 27 da Diretiva PNR.

81      Em contrapartida, uma vez que os operadores económicos, como as transportadoras aéreas, mesmo que estejam sujeitos a uma obrigação legal de transferência dos dados PNR, não são encarregados do exercício da autoridade pública nem investidos de prerrogativas de poder público por esta diretiva, esses operadores não podem ser considerados autoridades competentes, na aceção do artigo 3.°, n.° 7, da Diretiva 2016/680 e do artigo 2.°, n.° 2, alínea d), do RGPD, pelo que a recolha e a transferência desses dados para a UIP, pelas transportadoras aéreas, estão abrangidas por esse regulamento. Impõe‑se a mesma conclusão numa situação, como a prevista pela Lei de 25 de dezembro de 2016, em que a recolha e a transferência dos referidos dados são efetuadas por outras transportadoras ou pelos operadores de viagens.

82      Por último, o órgão jurisdicional de reenvio interroga‑se sobre a eventual relevância da adoção de uma legislação nacional destinada a transpor simultaneamente as disposições da Diretiva PNR, da Diretiva API e da Diretiva 2010/65, à semelhança da Lei de 25 de dezembro de 2016. A este respeito, importa recordar que, como resulta dos n.os 72 e 75 a 77 do presente acórdão, os tratamentos de dados previstos por estas duas últimas diretivas estão abrangidos pelo âmbito de aplicação do RGPD, que contém regras gerais relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

83      Assim, quando um tratamento de dados efetuado com base nessa legislação está abrangido pela Diretiva API e/ou pela Diretiva 2010/65, o RGPD é aplicável a esse tratamento. O mesmo se pode dizer de um tratamento de dados efetuado nessa mesma base e abrangido, quanto à sua finalidade, não só pela Diretiva PNR, como também pela Diretiva API e/ou pela Diretiva 2010/65. Por último, quando um tratamento de dados efetuado com base na mesma legislação só é abrangido, quanto à sua finalidade, pela Diretiva PNR, o RGPD é aplicável se se tratar da recolha e da transferência dos dados PNR para a UIP, pelas transportadoras aéreas. Em contrapartida, quando esse tratamento é efetuado pela UIP ou pelas autoridades competentes para os fins previstos no artigo 1.°, n.° 2, da Diretiva PNR, esse tratamento, além de estar abrangido pelo direito nacional, está abrangido pela Diretiva 2016/680.

84      Atendendo às considerações precedentes, há que responder à primeira questão que o artigo 2.°, n.° 2, alínea d), e o artigo 23.° do RGPD devem ser interpretados no sentido de que este regulamento é aplicável ao tratamento de dados pessoais previsto por uma legislação nacional que transpõe, para o direito interno, simultaneamente as disposições da Diretiva API, da Diretiva 2010/65 e da Diretiva PNR no que se refere, por um lado, a tratamentos de dados efetuados por operadores privados e, por outro, a tratamentos de dados efetuados pelas autoridades públicas abrangidos, única ou igualmente, pela Diretiva API ou pela Diretiva 2010/65. Em contrapartida, o referido regulamento não é aplicável ao tratamento de dados previsto nessa legislação que é abrangido apenas pela Diretiva PNR, o qual é efetuado pela UIP ou pelas autoridades competentes para os fins previstos no artigo 1.°, n.° 2, desta diretiva.

B.      Quanto às segunda a quarta e sexta questões

85      Com as suas segunda a quarta e sexta questões, que devem ser examinadas conjuntamente, o órgão jurisdicional de reenvio interroga o Tribunal de Justiça, em substância, sobre a validade da Diretiva PNR à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta. Estas questões dizem respeito, nomeadamente:

–        ao anexo I desta diretiva e aos dados que este anexo enumera, nomeadamente os referidos nos seus pontos 12 e 18, à luz dos requisitos de clareza e de precisão (segunda e terceira questões);

–        ao artigo 3.°, ponto 4, da referida diretiva e ao anexo I da mesma, na medida em que o sistema de recolha, de transferência e de tratamento generalizados dos dados PNR que estas disposições instituem é suscetível de se aplicar a qualquer pessoa que viaje num voo abrangido pelas disposições desta mesma diretiva (quarta questão); e

–        ao artigo 6.° da Diretiva PNR, na medida em que prevê uma avaliação prévia, através de uma comparação dos dados PNR com bases de dados e/ou do seu tratamento de acordo com critérios preestabelecidos, que se aplica de forma sistemática e generalizada a esses dados, independentemente de qualquer elemento objetivo que permita considerar que os passageiros em causa são suscetíveis de representar um risco para a segurança pública (sexta questão).

86      A título preliminar, há que recordar que, segundo um princípio geral de interpretação, um ato da União deve ser interpretado, tanto quanto possível, de forma a não pôr em causa a sua validade e em conformidade com o direito primário no seu conjunto, nomeadamente com as disposições da Carta. Assim, quando um diploma de direito derivado da União seja suscetível de mais do que uma interpretação, há que dar preferência àquela que torna a disposição compatível com o direito primário em vez da interpretação que leva a declarar a sua incompatibilidade com este (Acórdão de 2 de fevereiro de 2021, Consob, C‑481/19, EU:C:2021:84, n.° 50 e jurisprudência referida).

87      Além disso, segundo jurisprudência constante, quando as disposições de uma diretiva deixam aos Estados‑Membros uma margem de apreciação para definirem medidas de transposição adaptadas às diferentes situações possíveis, incumbe‑lhes, na execução dessas medidas, não só interpretar o seu direito nacional em conformidade com a diretiva em causa mas também providenciar no sentido de não se basearem numa interpretação dessa diretiva que entre em conflito com os direitos fundamentais protegidos pela ordem jurídica da União ou com os outros princípios gerais reconhecidos nesta ordem jurídica [v., neste sentido, Acórdãos de 15 de fevereiro de 2016, N., C‑601/15 PPU, EU:C:2016:84, n.° 60 e jurisprudência referida, bem como de 16 de julho de 2020, État belge (Reagrupamento familiar – Filho menor), C‑133/19, C‑136/19 e C‑137/19, EU:C:2020:577, n.° 33 e jurisprudência referida].

88      No que respeita à Diretiva PNR, importa salientar que, nomeadamente, os seus considerandos 15, 20, 22, 25, 36 e 37 destacam a importância que o legislador da União atribui, referindo‑se a um elevado nível de proteção dos dados, ao pleno respeito pelos direitos fundamentais consagrados nos artigos 7.°, 8.° e 21.° da Carta, bem como pelo princípio da proporcionalidade, pelo que, como enuncia o considerando 36, esta diretiva «deverá […] ser aplicada em conformidade».

89      Em especial, o considerando 22 da Diretiva PNR sublinha que, «[t]endo plenamente em conta os princípios enunciados na recente jurisprudência do [Tribunal de Justiça] na matéria, a aplicação [desta] diretiva deverá garantir o pleno respeito dos direitos fundamentais, do direito à privacidade e do princípio da proporcionalidade» e «cumprir efetivamente os objetivos da necessidade e proporcionalidade a fim de respeitar os interesses gerais reconhecidos pela União e atender à necessidade de proteger os direitos e as liberdades de terceiros na luta contra as infrações terroristas e a criminalidade grave». Este considerando acrescenta que essa aplicação «deverá ser devidamente justificada e deverão ser criadas as garantias necessárias para assegurar a legalidade da conservação, análise, transferência ou utilização de dados PNR».

90      Por outro lado, o artigo 19.°, n.° 2, da Diretiva PNR impõe à Comissão, no âmbito do reexame desta diretiva, que preste especial atenção «[a]o cumprimento das normas aplicáveis de proteção de dados pessoais», «[à] necessidade e proporcionalidade da recolha e do tratamento dos dados PNR para cada um dos fins fixados na presente diretiva», bem como à «duração do prazo de conservação dos dados».

91      Importa, por conseguinte, verificar se a Diretiva PNR, em conformidade com o que exigem, nomeadamente, os seus considerandos e as suas disposições referidos nos n.os 88 a 90 do presente acórdão, pode ser interpretada de uma forma que assegure o pleno respeito pelos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta, bem como pelo princípio da proporcionalidade consagrado no artigo 52.°, n.° 1, da mesma.

1.      Quanto às ingerências resultantes da Diretiva PNR nos direitos fundamentais garantidos nos artigos 7 e 8 da Carta

92      O artigo 7.° da Carta garante a todas as pessoas o direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações, ao passo que o artigo 8.°, n.° 1, da Carta confere expressamente a todas as pessoas o direito à proteção dos dados de caráter pessoal que lhes digam respeito.

93      Como resulta do artigo 3.°, ponto 5, da Diretiva PNR e da enumeração que figura no anexo I da mesma, os dados PNR previstos nesta diretiva incluem, nomeadamente, além do nome do ou dos passageiros aéreos, informações necessárias para a reserva, tais como as datas previstas da viagem e o itinerário de viagem, informações relativas aos bilhetes, os grupos de pessoas registadas sob o mesmo número de reserva, as informações de contacto do ou dos passageiros, informações relativas às modalidades de pagamento ou à faturação, informações relativas às bagagens bem como observações gerais sobre os passageiros.

94      Uma vez que os dados PNR contêm, assim, informações sobre pessoas singulares identificadas, ou seja, os passageiros aéreos em causa, os diferentes tratamentos de que estes podem ser objeto afetam o direito fundamental ao respeito pela vida privada, garantido pelo artigo 7.° da Carta [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.os 121 e 122 bem como jurisprudência referida].

95      Acresce que os tratamentos de dados PNR como os previstos pela Diretiva PNR estão igualmente abrangidos pelo artigo 8.° da Carta, uma vez que constituem tratamentos de dados pessoais na aceção deste artigo e devem, assim, necessariamente, respeitar os requisitos da proteção de dados previstos neste artigo [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 123 e jurisprudência referida].

96      Ora, é jurisprudência constante que a comunicação de dados pessoais a um terceiro, como uma autoridade pública, constitui uma ingerência nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta, seja qual for a utilização posterior das informações comunicadas. O mesmo se diga da conservação dos dados pessoais e do acesso aos referidos dados com vista à sua utilização pelas autoridades públicas. A este respeito, pouco importa que as informações relativas à vida privada em questão sejam ou não sensíveis, ou que os interessados tenham ou não sofrido inconvenientes em razão dessa ingerência [Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.os 124 e 126 bem como jurisprudência referida].

97      Assim, tanto a transferência dos dados PNR pelas transportadoras aéreas para a UIP do Estado‑Membro em causa, prevista no artigo 1.°, n.° 1, alínea a), da Diretiva PNR, em conjugação com o artigo 8.° da mesma, como o enquadramento dos requisitos relativos à conservação desses dados, à sua utilização, bem como às suas eventuais transferências posteriores para as autoridades competentes desse Estado‑Membro, para as UIP e para as autoridades competentes dos outros Estados‑Membros, para a Europol ou, ainda, para autoridades de países terceiros, permitidas, nomeadamente, pelos artigos 6.°, 7.°, 9.° e 10.° a 12.° desta diretiva, constituem ingerências nos direitos garantidos pelos artigos 7.° e 8.° da Carta.

98      No que toca à gravidade destas ingerências, importa salientar, em primeiro lugar, que, nos termos do seu artigo 1.°, n.° 1, alínea a), lido em conjugação com o seu artigo 8.°, a Diretiva PNR prevê a transferência sistemática e contínua para as UIP dos dados PNR de qualquer passageiro que viaje num voo extra‑UE, na aceção do artigo 3.°, ponto 2, desta diretiva, operado entre países terceiros e a União. Como o advogado‑geral salientou no n.° 73 das suas conclusões, tal transferência implica um acesso geral por parte das UIP a todos os dados PNR comunicados, relativos a todas as pessoas que utilizam serviços de transporte aéreo, independentemente da utilização posterior desses dados.

99      Em segundo lugar, o artigo 2.° da Diretiva PNR prevê, no seu n.° 1, que os Estados‑Membros podem decidir aplicá‑la aos voos intra‑UE, na aceção do artigo 3.°, ponto 3, da mesma, e precisa, no seu n.° 2, que, em tal caso, todas as disposições da referida diretiva «são aplicáveis aos voos intra‑UE como se se tratassem de voos extra‑UE e aos dados PNR respeitantes aos voos intra‑UE como se se tratassem de dados referentes a voos extra‑UE».

100    Em terceiro lugar, ainda que certos dados PNR enumerados no anexo I da Diretiva PNR, conforme resumidos no n.° 93 do presente acórdão, considerados isoladamente, não pareçam suscetíveis de revelar informações precisas sobre a vida privada das pessoas em causa, não deixa de ser verdade que, considerados conjuntamente, os referidos dados podem revelar, entre outros, um itinerário de viagem completo, hábitos de viagem, relações existentes entre duas ou mais pessoas e informações sobre a situação financeira dos passageiros aéreos, os seus hábitos alimentares ou o seu estado de saúde, podendo até revelar informações sensíveis sobre esses passageiros [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 128].

101    Em quarto lugar, nos termos do artigo 6.°, n.° 2, alíneas a) e b), da Diretiva PNR, os dados transferidos pelas transportadoras aéreas destinam‑se a ser objeto não só de uma avaliação prévia, que ocorre antes da chegada prevista ou da partida prevista dos passageiros, mas também de uma avaliação posterior.

102    No que respeita à avaliação prévia, resulta do artigo 6.°, n.° 2, alínea a), e n.° 3, da Diretiva PNR que esta avaliação é efetuada, pelas UIP dos Estados‑Membros, de forma sistemática e por meios automatizados, ou seja, de forma contínua e independentemente da questão de saber se existe a menor indicação quanto ao risco de envolvimento das pessoas em causa em infrações terroristas ou em criminalidade grave. Para este efeito, estas disposições preveem que os dados PNR podem ser comparados com «bases de dados relevantes» e ser objeto de tratamento de acordo com «critérios preestabelecidos».

103    Neste contexto, importa recordar que o Tribunal de Justiça já declarou que o alcance da ingerência que as análises automatizadas dos dados PNR comportam nos direitos consagrados nos artigos 7.° e 8.° da Carta depende essencialmente dos modelos e dos critérios preestabelecidos, bem como das bases de dados em que assenta esse tipo de tratamento de dados [Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 172].

104    Ora, como o advogado‑geral salientou no n.° 78 das suas conclusões, o tratamento previsto no artigo 6.°, n.° 3, alínea a), da Diretiva PNR, a saber, a comparação dos dados PNR com as «bases de dados relevantes», é suscetível de fornecer informações adicionais sobre a vida privada dos passageiros aéreos e de permitir retirar conclusões muito precisas a este respeito.

105    Quanto aos tratamentos dos dados PNR de acordo com «critérios preestabelecidos», previstos no artigo 6.°, n.° 3, alínea b), da Diretiva PNR, é verdade que o artigo 6.°, n.° 4, desta diretiva exige que a avaliação dos passageiros através desses critérios seja efetuada de forma não discriminatória e, nomeadamente, sem se basear numa série de características previstas no último período deste n.° 4. Além disso, os critérios adotados devem ser orientados em função dos objetivos, proporcionados e específicos.

106    Contudo, o Tribunal de Justiça já declarou que, na medida em que análises automatizadas dos dados PNR são efetuadas a partir de dados pessoais não verificados e na medida em que se baseiam em modelos e critérios preestabelecidos, apresentam necessariamente uma certa taxa de erro [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 169]. Em especial, como o advogado‑geral salientou, em substância, no n.° 78 das suas conclusões, resulta do documento de trabalho da Comissão [SWD(2020) 128 final] anexo ao seu relatório de 24 de julho de 2020, relativo ao reexame da Diretiva PNR, que o número de casos de resultados positivos resultantes dos tratamentos automatizados previstos no artigo 6.°, n.° 3, alíneas a) e b), desta diretiva que se revelaram errados após verificação individual por meios não automatizados é bastante significativo e ascendia, durante os anos de 2018 e 2019, a pelo menos cinco de seis pessoas identificadas. Estes tratamentos conduzem, assim, a uma análise aprofundada dos dados PNR relativos às referidas pessoas.

107    No que respeita à avaliação posterior dos dados PNR prevista no artigo 6.°, n.° 2, alínea b), da Diretiva PNR, resulta desta disposição que, durante o prazo de seis meses subsequente à transferência dos dados PNR, previsto no artigo 12.°, n.° 2, desta diretiva, a UIP está obrigada, a pedido das autoridades competentes, a fornecer‑lhes os dados PNR e a proceder a um tratamento em casos específicos, para efeitos de luta contra as infrações terroristas ou a criminalidade grave.

108    Além disso, mesmo que, decorrido esse prazo de seis meses, os dados PNR sejam anonimizados mediante mascaramento de certos elementos desses dados, a UIP pode ser obrigada, em conformidade com o artigo 12.°, n.° 3, da Diretiva PNR, na sequência de tal pedido, a divulgar os dados PNR integrais, sob uma forma que permita identificar a pessoa em causa, às autoridades competentes quando existam motivos razoáveis para considerar que tal é necessário para os fins previstos no artigo 6.°, n.° 2, alínea b), desta diretiva, estando, porém, essa divulgação subordinada à autorização concedida por uma autoridade judiciária ou «outra autoridade nacional competente».

109    Em quinto lugar, ao prever, no seu artigo 12.°, n.° 1, sem fornecer mais precisões a este respeito, que os dados PNR são conservados numa base de dados durante um prazo de cinco anos após a sua transferência para a UIP do Estado‑Membro em cujo território o voo aterre ou de cujo território descole, a Diretiva PNR, atendendo ao facto de os dados PNR integrais serem ainda suscetíveis de ser divulgados na caso referido no número anterior, apesar da sua anonimização depois de decorrido o prazo inicial de seis meses através do mascaramento de certos elementos de dados, permite dispor de informações sobre a vida privada dos passageiros aéreos durante um período que o Tribunal de Justiça já qualificou, no seu Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592, n.° 132), de particularmente longo.

110    Atendendo ao caráter habitual da utilização dos transportes aéreos, esse prazo de conservação tem como consequência que uma grande parte da população da União é suscetível de ver os seus dados PNR conservados, repetidamente, no âmbito do sistema instituído pela Diretiva PNR e, desse modo, acessíveis a análises efetuadas no âmbito das avaliações prévias e posteriores da UIP e das autoridades competentes durante um período considerável, ou mesmo indefinido, no caso de pessoas que viajem de avião mais do que uma vez de cinco em cinco anos.

111    À luz de todas as considerações precedentes, há que considerar que a Diretiva PNR comporta ingerências de efetiva gravidade nos direitos garantidos nos artigos 7.° e 8.° da Carta, na medida, nomeadamente, em que visa instaurar um regime de vigilância contínuo, não direcionado e sistemático, que inclui a avaliação automatizada de dados pessoais de todas as pessoas que utilizam serviços de transporte aéreo.

2.      Quanto à justificação das ingerências resultantes da Diretiva PNR

112    Há que recordar que os direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta não são prerrogativas absolutas, mas devem ser tomados em consideração de acordo com a sua função na sociedade [Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 136 e jurisprudência referida, bem como Acórdão de 6 de outubro de 2020, Privacy International, C‑623/17, EU:C:2020:790, n.° 63 e jurisprudência referida].

113    Nos termos do artigo 52.°, n.° 1, primeiro período, da Carta, qualquer restrição ao exercício dos direitos e liberdades reconhecidos pela mesma deve ser prevista por lei e respeitar o seu conteúdo essencial. Segundo o artigo 52.°, n.° 1, segundo período, da Carta, na observância do princípio da proporcionalidade, essas restrições só podem ser introduzidas a tais direitos e liberdades se forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União, ou à necessidade de proteção dos direitos e liberdades de terceiros. A este respeito, o artigo 8.°, n.° 2, da Carta precisa que os dados pessoais devem, nomeadamente, ser tratados «para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei».

114    Importa acrescentar que o requisito segundo o qual qualquer restrição ao exercício de direitos fundamentais deve ser prevista por lei implica que o próprio ato que permite a ingerência nesses direitos deve definir o alcance da restrição ao exercício do direito em causa, precisando‑se, por um lado, que este requisito não impede que a limitação em causa seja formulada em termos suficientemente abertos para poder adaptar‑se a situações diferentes bem como à evolução das circunstâncias (v., neste sentido, Acórdão de 22 de abril de 2022, Polónia/Parlamento e Conselho, C‑401/19, EU:C:2022:297, n.os 64 e 74 bem como jurisprudência referida) e, por outro, que o Tribunal de Justiça pode, se for caso disso, precisar, por via de interpretação, o alcance concreto da restrição tendo em conta tanto os próprios termos da regulamentação da União em causa como a sua economia geral e os objetivos que prossegue, conforme interpretados à luz dos direitos fundamentais garantidos pela Carta.

115    No que toca à observância do princípio da proporcionalidade, a proteção do direito fundamental ao respeito da vida privada ao nível da União impõe, em conformidade com a jurisprudência constante do Tribunal de Justiça, que as derrogações à proteção dos dados pessoais e as respetivas restrições ocorram na estrita medida do necessário. Além disso, um objetivo de interesse geral não pode ser prosseguido sem se ter em conta o facto de que deve ser conciliado com os direitos fundamentais afetados pela medida, mediante uma ponderação equilibrada entre o objetivo e os direitos em causa [Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 140, bem como Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 52 e jurisprudência referida].

116    Mais concretamente, a possibilidade de os Estados‑Membros justificarem uma restrição aos direitos garantidos nos artigos 7.° e 8.° da Carta deve ser apreciada através da medição da gravidade da ingerência que tal restrição implica e da verificação de que a importância do objetivo de interesse geral prosseguido por esta restrição está relacionada com essa gravidade (v. neste sentido, Acórdãos de 2 de outubro de 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, n.° 55 e jurisprudência referida, bem como de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 53 e jurisprudência referida).

117    Para satisfazer o requisito da proporcionalidade, a regulamentação em causa que contenha a ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação das medidas nela previstas e imponham exigências mínimas, de modo que as pessoas cujos dados foram transferidos disponham de garantias suficientes que permitam proteger eficazmente os seus dados pessoais contra os riscos de abuso. Deve, em especial, indicar em que circunstâncias e em que condições se pode adotar uma medida que preveja o tratamento desses dados, garantindo, assim, que a ingerência se limita ao estritamente necessário. A necessidade de dispor de tais garantias é ainda mais importante quando os dados pessoais são sujeitos a tratamento automatizado. Estas considerações são válidas, em particular, quando os dados PNR são suscetíveis de revelar informações sensíveis sobre os passageiros [Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 141, bem como Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 132 e jurisprudência referida].

118    Assim, uma regulamentação que prevê uma conservação de dados pessoais deve sempre pautar‑se por critérios objetivos, que estabeleçam uma relação entre os dados a conservar e o objetivo prosseguido [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 191 e jurisprudência referida, bem como Acórdãos de 3 de outubro de 2019, A e o., C‑70/18, EU:C:2019:823, n.° 63, e de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 133].

a)      Quanto ao respeito pelo princípio da legalidade e pelo conteúdo essencial dos direitos fundamentais em causa

119    A restrição ao exercício dos direitos fundamentais garantidos pelos artigos 7.° e 8.° da Carta decorrente do sistema estabelecido pela Diretiva PNR está prevista num ato legislativo da União. Quanto à questão de saber se, em conformidade com a jurisprudência recordada no n.° 114 do presente acórdão, esta diretiva, enquanto ato do direito da União que permite a ingerência nesses direitos, define ela própria o alcance da restrição do exercício dos referidos direitos, importa salientar que as disposições desta diretiva e os seus anexos I e II, por um lado, contêm uma enumeração dos dados PNR e, por outro, enquadram o tratamento desses dados, nomeadamente ao definirem as finalidades e as modalidades desses tratamentos. De resto, esta questão confunde‑se em grande medida com a do cumprimento do requisito da proporcionalidade recordada no n.° 117 do presente acórdão (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.° 180) e será examinada nos n.os 125 e seguintes do presente acórdão.

120    No que toca ao respeito pelo conteúdo essencial dos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta, é verdade que os dados PNR podem, eventualmente, revelar informações muito precisas sobre a vida privada de uma pessoa. Todavia, na medida em que, por um lado, a natureza dessas informações se limita a certos aspetos dessa vida privada, relativos, em particular, às viagens aéreas dessa pessoa, e, por outro, a Diretiva PNR proíbe expressamente, no seu artigo 13.°, n.° 4, o tratamento de dados sensíveis, na aceção do artigo 9.°, n.° 1, do RGPD, os dados visados por esta diretiva não permitem, só por si, ter uma visão completa da vida privada de uma pessoa. Além disso, a referida diretiva circunscreve, no seu artigo 1.°, n.° 2, em conjugação com o seu artigo 3.°, pontos 8 e 9, bem como com o seu anexo II, as finalidades do tratamento desses dados. Por último, esta mesma diretiva estabelece, nos seus artigos 4.° a 15.°, regras que enquadram a transferência, os tratamentos e a conservação dos referidos dados, bem como regras destinadas a assegurar, nomeadamente, a segurança, a confidencialidade e a integridade desses mesmos dados, bem como a protegê‑los contra o acesso e os tratamentos ilegais. Nestas condições, as ingerências que a Diretiva PNR comporta não violam o conteúdo essencial dos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta.

b)      Quanto ao objetivo de interesse geral e à aptidão dos tratamentos dos dados PNR relativamente a este objetivo

121    No que respeita à questão de saber se o sistema estabelecido pela Diretiva PNR prossegue um objetivo de interesse geral, resulta dos considerandos 5, 6 e 15 desta diretiva que a mesma tem por objetivo garantir a segurança interna da União e, assim, proteger a vida e a segurança das pessoas, criando simultaneamente um regime jurídico que assegura um elevado nível de proteção dos direitos fundamentais dos passageiros, em especial os direitos ao respeito pela vida privada e à proteção dos dados pessoais, quando os dados PNR são tratados pelas autoridades competentes.

122    Para este efeito, o artigo 1.°, n.° 2, da Diretiva PNR dispõe que os dados PNR recolhidos em conformidade com esta diretiva só podem ser objeto dos tratamentos previstos no artigo 6.°, n.° 2, alíneas a) a c), da mesma para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave. Ora, estas finalidades constituem indubitavelmente objetivos de interesse geral da União suscetíveis de justificar ingerências, mesmo graves, nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta [v., neste sentido, Acórdão de 8 de abril de 2014, Digital Rights Ireland e o., C‑293/12 e C‑594/12, EU:C:2014:238, n.° 42, bem como Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.os 148 e 149].

123    No que respeita à aptidão do sistema estabelecido pela Diretiva PNR para realizar os objetivos prosseguidos, há que constatar que, embora a possibilidade de resultados «falsos negativos» e o número bastante significativo de resultados «falsos positivos» que, como foi salientado no n.° 106 do presente acórdão, foram obtidos na sequência dos tratamentos automatizados previstos por esta diretiva durante os anos de 2018 e 2019 sejam suscetíveis de limitar a aptidão desse sistema, não são, contudo, suscetíveis de tornar o referido sistema inapto para contribuir para a realização do objetivo relativo à luta contra as infrações terroristas e a criminalidade grave. Com efeito, como resulta do documento de trabalho da Comissão referido no n.° 106 do presente acórdão, os tratamentos automatizados efetuados ao abrigo da referida diretiva já permitiram efetivamente a identificação de passageiros aéreos que representavam um risco no âmbito da luta contra as infrações terroristas e a criminalidade grave.

124    Além disso, atendendo à taxa de erro inerente aos tratamentos automatizados dos dados PNR e, nomeadamente, ao número bastante significativo de resultados «falsos positivos», a aptidão do sistema estabelecido pela Diretiva PNR depende essencialmente do bom funcionamento da verificação subsequente dos resultados obtidos no âmbito desses tratamentos, por meios não automatizados, tarefa que incumbe, por força desta diretiva, à UIP. As disposições previstas para esse efeito pela referida diretiva contribuem, portanto, para a realização destes objetivos.

c)      Quanto ao caráter necessário das ingerências resultantes da Diretiva PNR

125    Em conformidade com a jurisprudência recordada nos n.os 115 a 118 do presente acórdão, importa verificar se as ingerências resultantes da Diretiva PNR se limitam ao estritamente necessário e, nomeadamente, se esta diretiva enuncia regras claras e precisas que regulem o alcance e a aplicação das medidas nela previstas e se o sistema que estabelece continua a pautar‑se por critérios objetivos, que estabeleçam uma relação entre os dados PNR, que estão estreitamente associados à reserva e à realização de viagens aéreas, e as finalidades prosseguidas pela referida diretiva, a saber, a luta contra as infrações terroristas e a criminalidade grave.

1)      Quanto aos dados dos passageiros aéreos visados pela Diretiva PNR

126    Importa apreciar se as rubricas de dados que figuram no anexo I da Diretiva PNR definem de forma clara e precisa os dados PNR que uma transportadora aérea está obrigada a fornecer à UIP.

127    A título preliminar, há que recordar que, como resulta do considerando 15 da Diretiva PNR, o legislador da União pretendeu que a lista dos dados PNR a transmitir a uma UIP fosse elaborada «com o objetivo de refletir as exigências legítimas das autoridades públicas a fim de prevenirem, detetarem, investigarem e reprimirem as infrações terroristas ou a criminalidade grave, aumentando assim a segurança interna na União e salvaguardando os direitos fundamentais, nomeadamente o direito à privacidade e à proteção dos dados pessoais». Em particular, segundo esse mesmo considerando, esses dados «deverão incluir unicamente informações pormenorizadas sobre as reservas e os itinerários do passageiro que permitam às autoridades competentes identificar os passageiros aéreos que representem uma ameaça para a segurança interna». Além disso, a Diretiva PNR proíbe, no seu artigo 13.°, n.° 4, primeiro período, «o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical[,] saúde, vida ou orientação sexual».

128    Por conseguinte, os dados PNR recolhidos e comunicados em conformidade com o anexo I da Diretiva PNR devem apresentar uma relação direta com o voo efetuado e o passageiro em causa e devem ser limitados de modo, por um lado, a responder unicamente às exigências legítimas dos poderes públicos em matéria de prevenção, deteção, investigação e repressão das infrações terroristas ou da criminalidade grave e, por outro, a excluir dados sensíveis.

129    Ora, as rubricas 1 a 4, 7, 9, 11, 15, 17 e 19 do anexo I da Diretiva PNR cumprem estes requisitos, bem como os de clareza e de precisão, na medida em que visam informações claramente identificáveis e circunscritas, em relação direta com o voo efetuado e com o passageiro em causa. Como o advogado‑geral salientou no n.° 165 das suas conclusões, é também esse o caso das rubricas 10, 13, 14 e 16, não obstante a sua redação aberta.

130    Em contrapartida, são necessárias clarificações para efeitos da interpretação das rubricas 5, 6, 8, 12 e 18.

131    No que respeita à rubrica 5, que se refere ao «[e]ndereço e [às] informações de contacto (número de telefone, endereço de correio eletrónico)», esta rubrica não precisa expressamente se o referido endereço e as referidas informações de contacto se referem apenas ao passageiro aéreo ou também aos terceiros que efetuaram a reserva do voo para o passageiro aéreo, aos terceiros por intermédio dos quais um passageiro aéreo pode ser contactado ou, ainda, aos terceiros que devem ser informados em caso de emergência. Todavia, como o advogado‑geral salientou, em substância, no n.° 162 das suas conclusões, tendo em conta os requisitos de clareza e de precisão, esta rubrica não pode ser interpretada no sentido de permitir igualmente, de forma implícita, a recolha e a transmissão de dados pessoais de tais terceiros. Por conseguinte, a referida rubrica deve ser interpretada no sentido de que visa apenas o endereço postal e as informações de contacto, a saber, o número de telefone e o endereço de correio eletrónico, do passageiro aéreo em nome do qual a reserva foi feita.

132    No que toca à rubrica 6, que visa «[t]odas as informações sobre as modalidades de pagamento, incluindo o endereço de faturação», esta rubrica deve ser interpretada, a fim de satisfazer os requisitos de clareza e de precisão, no sentido de que diz apenas respeito às informações sobre as modalidades de pagamento e a faturação do bilhete de avião, excluindo qualquer outra informação sem relação direta com o voo [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 159].

133    Quanto à rubrica 8, que visa a «informação de passageiro frequente», deve ser interpretada, como o advogado‑geral salientou no n.° 164 das suas conclusões, no sentido de que visa exclusivamente os dados relativos ao estatuto do passageiro em causa no contexto de um programa de fidelidade de uma determinada companhia aérea ou de um determinado grupo de companhias aéreas, bem como o número que identifica esse passageiro como «passageiro frequente». A rubrica 8 não permite, portanto, a recolha das informações relativas às transações através das quais esse estatuto foi adquirido.

134    No que respeita à rubrica 12, visa as «[o]bservações gerais (designadamente todas as informações disponíveis sobre menores não acompanhados com idade inferior a 18 anos, como nome e sexo do menor, idade, língua(s) falada(s), nome e contactos da pessoa que o acompanha no momento da partida e sua relação com o menor, nome e contactos da pessoa que o acompanha no momento da chegada e sua relação com o menor, agente presente na partida e na chegada)».

135    A este respeito, há que salientar desde já que, embora os termos «observações gerais» não satisfaçam os requisitos de clareza e de precisão na medida em que não fixam, enquanto tais, nenhuma limitação quanto à natureza e à extensão das informações que podem ser recolhidas e fornecidas a uma UIP ao abrigo da rubrica 12 [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 160], a enumeração que figura entre parênteses satisfaz, por seu lado, esses requisitos.

136    Por conseguinte, para dar à rubrica 12 uma interpretação que, em aplicação da jurisprudência recordada no n.° 86 do presente acórdão, a torne conforme com os requisitos de clareza e de precisão e, de forma mais ampla, com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta, há que considerar que só são admitidas a recolha e a comunicação das informações expressamente enumeradas nesta rubrica, a saber, o nome e o sexo do passageiro aéreo menor, a sua idade, a(s) língua(s) falada(s), o nome e os contactos da pessoa que o acompanha no momento da partida e sua relação com o menor, o nome e os contactos da pessoa que o acompanha no momento da chegada e sua relação com o menor, o agente presente na partida e na chegada.

137    Por último, no que toca à rubrica 18, visa «[t]odas as informações prévias sobre os passageiros (dados API) que tenham sido recolhidas (incluindo, tipo e número de documento(s), país de emissão e termo de validade do(s) documento(s), nacionalidade, nome(s) e apelido(s), sexo, data de nascimento, companhia aérea, número de voo, data de partida, data de chegada, aeroporto de partida, aeroporto de chegada, hora de partida e hora de chegada)».

138    Como o advogado‑geral salientou, em substância, nos n.os 156 a 160 das suas conclusões, resulta desta rubrica 18, lida à luz dos considerandos 4 e 9 da Diretiva PNR, que as informações a que se refere são exaustivamente os dados API enumerados na referida rubrica e no artigo 3.°, n.° 2, da Diretiva API.

139    Assim, pode considerar‑se que a rubrica 18, sob condição de ser interpretada no sentido de que abrange apenas as informações expressamente previstas nesta mesma rubrica bem como no referido artigo 3.°, n.° 2, da Diretiva API, cumpre os requisitos de clareza e de precisão [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 161].

140    Por conseguinte, há que concluir que, interpretada em conformidade com as considerações expostas, nomeadamente, nos n.os 130 a 139 do presente acórdão, o anexo I da Diretiva PNR apresenta, no seu conjunto, um caráter suficientemente claro e preciso, delimitando assim o alcance da ingerência nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta.

2)      Quanto às finalidades dos tratamentos dos dados PNR

141    Como resulta do artigo 1.°, n.° 2, da Diretiva PNR, os tratamentos dos dados PNR recolhidos em conformidade com esta diretiva têm por finalidade a luta contra as «infrações terroristas» e a «criminalidade grave».

142    Quanto à questão de saber se a Diretiva PNR prevê, nesta matéria, regras claras e precisas que limitem a aplicação do sistema estabelecido por essa diretiva ao que seja estritamente necessário para esses fins, importa salientar, por um lado, que os termos «infrações terroristas» são definidos no artigo 3.°, ponto 8, da referida diretiva por referência às «infrações definidas no direito nacional a que se referem os artigos 1.° a 4.° da Decisão‑Quadro [2002/475]».

143    Ora, além de esta decisão‑quadro definir, nos seus artigos 1.° a 3.°, de forma clara e precisa, as «infrações terroristas», as «infrações relativas a um grupo terrorista» e as «infrações relacionadas com as atividades terroristas», que os Estados‑Membros deviam tornar puníveis como infrações penais por força da referida decisão‑quadro, a Diretiva (UE) 2017/541 do Parlamento Europeu e do Conselho, de 15 de março de 2017, relativa à luta contra o terrorismo e que substitui a Decisão‑Quadro 2002/475 e altera a Decisão 2005/671/JAI do Conselho (JO 2017, L 88, p. 6), define igualmente nos seus artigos 3.° a 14.°, de forma clara e precisa, essas mesmas infrações.

144    Por outro lado, o artigo 3.°, ponto 9, da Diretiva PNR define os termos «criminalidade grave» por referência às «infrações enumeradas no anexo II [desta diretiva] puníveis com pena ou medida de segurança privativas de liberdade de duração máxima não inferior a três anos nos termos do direito nacional de um Estado‑Membro».

145    Ora, antes de mais, este anexo enumera de forma exaustiva as diferentes categorias de infrações que podem enquadrar‑se na «criminalidade grave» prevista no artigo 3.°, ponto 9, da Diretiva PNR.

146    Seguidamente, tendo em conta as especificidades que, no momento da adoção da referida diretiva, apresentavam os sistemas penais dos Estados‑Membros, na falta de uma harmonização das infrações assim visadas, o legislador da União podia limitar‑se a visar categorias de infrações sem definir os seus elementos constitutivos, tanto mais que esses elementos são, hipoteticamente, necessariamente definidos pelo direito nacional para o qual remete o artigo 3.°, ponto 9, da Diretiva PNR, na medida em que os Estados‑Membros são obrigados a respeitar o princípio da legalidade dos delitos e das penas enquanto componente do valor comum, partilhado com a União, do Estado de direito previsto no artigo 2.° TUE (v., por analogia, Acórdão de 16 de fevereiro de 2022, Hungria/Parlamento e Conselho, C‑156/21, EU:C:2022:97, n.os 136, 160 e 234), princípio que está, de resto, consagrado no artigo 49.°, n.° 1, da Carta e que os Estados‑Membros são obrigados a respeitar quando aplicam um ato da União, como a Diretiva PNR (v., neste sentido, Acórdão de 10 de novembro de 2011, QB, C‑405/10, EU:C:2011:722, n.° 48 e jurisprudência referida). Assim, tendo igualmente em conta o sentido habitual dos termos utilizados nesse mesmo anexo, há que considerar que este determina, de maneira suficientemente clara e precisa, as infrações suscetíveis de constituir criminalidade grave.

147    É verdade que os pontos 7, 8, 10 e 16 do anexo II visam categorias de infrações muito gerais (fraude, branqueamento dos produtos do crime e contrafação de moeda, crimes contra o ambiente, tráfico de bens culturais), fazendo, contudo, referência a infrações específicas abrangidas por estas categorias gerais. A fim de assegurar uma precisão suficiente igualmente exigida pelo artigo 49.° da Carta, estes pontos devem ser interpretados no sentido de que se referem às infrações mencionadas, conforme especificadas pelo direito nacional e/ou pelo direito da União na matéria. Interpretados neste sentido, pode considerar‑se que os referidos pontos cumprem os requisitos de clareza e de precisão.

148    Por último, importa ainda recordar que, embora, em conformidade com o princípio da proporcionalidade, o objetivo de luta contra a criminalidade grave seja suscetível de justificar a ingerência grave que a Diretiva PNR comporta nos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta, o mesmo não acontece com o da luta contra a criminalidade em geral, uma vez que este último objetivo pode justificar unicamente ingerências sem caráter grave (v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 59 e jurisprudência referida). Assim, esta diretiva deve assegurar, através de regras claras e precisas, que a aplicação do sistema estabelecido pela referida diretiva se limita apenas às infrações que se enquadrem na criminalidade grave, excluindo, desse modo, as que se enquadrem na criminalidade comum.

149    A este respeito, como o advogado‑geral salientou no n.° 121 das suas conclusões, muitas das infrações referidas no anexo II da Diretiva PNR, como o tráfico de seres humanos, a exploração sexual de crianças e a pedopornografia, o tráfico de armas, munições e explosivos, o branqueamento, a criminalidade informática, o tráfico de órgãos e tecidos humanos, o tráfico de estupefacientes e substâncias psicotrópicas, o tráfico de materiais nucleares ou radioativos, o desvio de avião ou de navio, os crimes abrangidos pela jurisdição do Tribunal Penal Internacional, o homicídio voluntário, a violação, o rapto, o sequestro e a tomada de reféns, revestem, pela sua natureza, um nível de gravidade incontestavelmente elevado.

150    Além disso, embora outras infrações, igualmente referidas nesse anexo II, possam, a priori, ser menos facilmente associadas à criminalidade grave, resulta, no entanto, dos próprios termos do artigo 3.°, ponto 9, da Diretiva PNR que essas infrações só podem ser enquadradas na criminalidade grave se forem puníveis com pena ou medida de segurança privativas de liberdade de duração máxima não inferior a três anos nos termos do direito nacional do Estado‑Membro em causa. Os requisitos resultantes desta disposição, que dizem respeito à natureza e à severidade da pena aplicável, podem, em princípio, limitar a aplicação do sistema estabelecido pela referida diretiva a infrações que apresentem um nível suficiente de gravidade suscetível de justificar a ingerência nos direitos fundamentais consagrados nos artigos 8.° e 7.° da Carta que resulta do sistema estabelecido pela mesma diretiva.

151    Todavia, na medida em que o artigo 3.°, ponto 9, da Diretiva PNR não se refere à pena mínima aplicável, mas à pena máxima aplicável, não se pode excluir que os dados PNR possam ser objeto de um tratamento para efeitos de luta contra infrações que, embora preencham o critério previsto por esta disposição relativo ao limiar de gravidade, atendendo às especificidades do sistema penal nacional, não se enquadrem na criminalidade grave mas na criminalidade comum.

152    Por conseguinte, incumbe aos Estados‑Membros garantir que a aplicação do sistema estabelecido pela Diretiva PNR seja efetivamente limitada à luta contra a criminalidade grave e que esse sistema não seja alargado às infrações que se enquadram na criminalidade comum.

3)      Quanto ao nexo entre os dados PNR e as finalidades dos tratamentos desses dados

153    É verdade que, como o advogado‑geral salientou, em substância, no n.° 119 das suas conclusões, os termos do artigo 3.°, ponto 8, e do artigo 3.°, ponto 9, da Diretiva PNR, em conjugação com o anexo II da mesma, não fazem expressamente referência a um critério que possa circunscrever o âmbito de aplicação desta diretiva apenas às infrações suscetíveis, pela sua natureza, de apresentarem, pelo menos indiretamente, um nexo objetivo com as viagens aéreas e, por conseguinte, com as categoria de dados transferidos, tratados e conservados em aplicação da referida diretiva.

154    Todavia, como o advogado‑geral salientou no n.° 121 das suas conclusões, certas infrações referidas no anexo II da Diretiva PNR, como o tráfico de seres humanos, o tráfico de estupefacientes ou de armas, o auxílio à entrada e à permanência irregulares ou, ainda, o desvio de avião, são, pela sua própria natureza, suscetíveis de apresentarem um nexo direto com o transporte aéreo de passageiros. O mesmo se pode dizer de certas infrações terroristas, como o facto de provocar destruições maciças nos sistemas de transporte ou nas infraestruturas, ou de proceder à captura de aeronaves, infrações que estavam previstas no artigo 1.°, n.° 1, alíneas d) e e), da Decisão‑Quadro 2002/475, para o qual remete o artigo 3.°, ponto 8, da Diretiva PNR, ou ainda o facto de fazer deslocações para fins de terrorismo e de organizar ou facilitar tais deslocações, infrações previstas nos artigos 9.° e 10.° da Diretiva 2017/541.

155    Neste contexto, há que recordar igualmente que a Comissão fundamentou a sua proposta de Diretiva do Parlamento Europeu e do Conselho relativa à utilização dos dados dos registos de identificação dos passageiros para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, de 2 de fevereiro de 2011 [COM(2011) 32 final], que deu origem à Diretiva PNR, destacando o facto de que «[o]s atentados terroristas nos Estados Unidos em 2001, o ataque terrorista abortado em agosto de 2006 visando fazer explodir vários aviões durante o trajeto do Reino Unido para os Estados Unidos, bem como a tentativa de atentado terrorista a bordo de um voo de Amesterdão para Detroit, em dezembro de 2009, tornaram evidente a capacidade dos terroristas para organizarem atentados em qualquer país tendo como alvo voos internacionais» e que «[a] maioria das atividades terroristas tem natureza transfronteiriça e envolve viagens internacionais, designadamente para campos de treino fora da UE». Além disso, para justificar a necessidade de uma análise dos dados PNR para efeitos da luta contra a criminalidade grave, a Comissão referiu‑se, a título exemplificativo, ao caso de um grupo de traficantes que, para efeitos de tráfico de seres humanos, tinham apresentado documentos falsos para procederem às formalidades de registo num voo bem como ao caso de uma rede de tráfico de seres humanos e de tráfico de drogas que, para importar drogas para várias regiões da Europa, recorria a pessoas que eram, elas próprias, vítimas de tráfico, tendo comprado os bilhetes de avião dessas pessoas com cartões de crédito roubados. Ora, todos estes casos diziam respeito a infrações que apresentavam um nexo direto com o transporte aéreo de passageiros, na medida em que se tratava de infrações que tinham como alvo o transporte aéreo de passageiros bem como de infrações cometidas por ocasião, ou com o auxílio, de uma viagem aérea.

156    Além disso, há que constatar que mesmo as infrações que não apresentem esse nexo direto com o transporte aéreo de passageiros podem, em função das circunstâncias do caso concreto, apresentar um nexo indireto com o transporte aéreo de passageiros. É o que acontece, nomeadamente, quando o transporte aéreo é usado como meio para preparar tais infrações ou para se subtrair à ação penal depois da sua prática. Em contrapartida, as infrações desprovidas de qualquer nexo objetivo, ainda que indireto, com o transporte aéreo de passageiros não podem justificar a aplicação do sistema estabelecido pela Diretiva PNR.

157    Nestas circunstâncias, o artigo 3.°, pontos 8 e 9, desta diretiva, em conjugação com o anexo II da mesma e à luz dos requisitos resultantes dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta, exige que os Estados‑Membros assegurem, nomeadamente na verificação individual por meios não automatizados prevista no artigo 6.°, n.° 5, da referida diretiva, que a aplicação do sistema estabelecido pela mesma seja limitada às infrações terroristas e apenas à criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

4)      Quanto aos passageiros aéreos e aos voos em causa

158    O sistema estabelecido pela Diretiva PNR abrange os dados PNR de todas as pessoas que correspondam ao conceito de «passageiro», na aceção do artigo 3.°, ponto 4, desta diretiva, e viajem em voos abrangidos pelo âmbito de aplicação da mesma.

159    Segundo o artigo 8.°, n.° 1, da referida diretiva, esses dados são transferidos para a UIP do Estado‑Membro em cujo território o voo aterrará ou do qual descolará, independentemente de qualquer elemento objetivo que permita considerar que os passageiros em causa são suscetíveis de representarem um risco de envolvimento em infrações terroristas ou criminalidade grave. No entanto, os dados assim transferidos são, nomeadamente, sujeitos a tratamentos automatizados no âmbito da avaliação prévia nos termos do artigo 6.°, n.° 2, alínea a), e n.° 3, da Diretiva PNR, tendo essa avaliação por finalidade, como resulta do considerando 7 desta diretiva, identificar pessoas insuspeitas de envolvimento em infrações terroristas ou criminalidade grave antes de tal avaliação e que deverão ser sujeitas a um controlo mais minucioso pelas autoridades competentes.

160    Mais especificamente, resulta do artigo 1.°, n.° 1, alínea a), e do artigo 2.° da Diretiva PNR que esta distingue os passageiros que viajam em voos extra‑UE, operados entre a União e países terceiros, e os passageiros que viajam em voos intra‑UE, operados entre diferentes Estados‑Membros.

161    No que respeita aos passageiros dos voos extra‑UE, há que recordar que, relativamente aos passageiros que viajem entre a União e o Canadá, o Tribunal de Justiça já declarou que o tratamento automatizado dos seus dados PNR, previamente à sua chegada ao Canadá, facilita e acelera os controlos de segurança, nomeadamente nas fronteiras. Acresce que a exclusão de certas categorias de pessoas ou de certas zonas de origem poderia obstar à realização do objetivo do tratamento automatizado dos dados PNR, em concreto, a identificação, através de uma verificação destes dados, das pessoas suscetíveis de representar um risco para a segurança pública, de entre todos os passageiros aéreos, e permitir que esta verificação pudesse ser contornada [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 187].

162    Ora, estas considerações podem ser transpostas, mutatis mutandis, para a situação dos passageiros que viajem em voos entre a União e todos os países terceiros, que os Estados‑Membros são obrigados a submeter ao sistema estabelecido pela Diretiva PNR, em conformidade com o artigo 1.°, n.° 1, alínea a), desta diretiva, lido em conjugação com o artigo 3.°, pontos 2 e 4, da referida diretiva. Com efeito, a transferência e a avaliação prévia dos dados PNR dos passageiros aéreos que entrem ou saiam da União não podem ser limitadas a um círculo determinado de passageiros aéreos, tendo em conta a própria natureza das ameaças à segurança pública que podem resultar de infrações terroristas e de criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros entre a União e países terceiros. Assim, há que considerar que existe a relação necessária entre esses dados e o objetivo relativo à luta contra tais infrações, pelo que a Diretiva PNR não ultrapassa os limites do estritamente necessário pelo simples facto de impor aos Estados‑Membros a transferência e a avaliação prévia sistemáticas dos dados PNR de todos esses passageiros.

163    No que respeita aos passageiros que viajem em voos entre diferentes Estados‑Membros da União, o artigo 2.°, n.° 1, da Diretiva PNR, lido em conjugação com o considerando 10 da mesma, prevê apenas a faculdade de os Estados‑Membros alargarem a aplicação do sistema estabelecido por esta diretiva aos voos intra‑UE.

164    Assim, o legislador da União não pretendeu impor aos Estados‑Membros a obrigação de alargarem a aplicação do sistema estabelecido pela Diretiva PNR aos voos intra‑UE mas, como resulta do artigo 19.°, n.° 3, desta diretiva, reservou a sua decisão sobre essa extensão, considerando que esta devia ser precedida de uma avaliação detalhada das suas implicações jurídicas, nomeadamente sobre os direitos fundamentais das pessoas em causa.

165    A este respeito, importa salientar que, ao enunciar que o relatório de reexame da Comissão previsto no artigo 19.°, n.° 1, da Diretiva PNR «inclui também um reexame da necessidade, proporcionalidade e eficácia da inclusão, no âmbito de aplicação da presente diretiva, da recolha e transferência obrigatórias de dados PNR, no que respeita a todos os voos intra‑UE ou a uma seleção destes», e que deve, a este respeito, ter em conta a «experiência adquirida pelos Estados‑Membros, especialmente por aqueles que aplicam a presente diretiva a voos intra‑UE, nos termos do artigo 2.°», o artigo 19.°, n.° 3, desta diretiva destaca que, para o legislador da União, o sistema estabelecido pela Diretiva PNR não deve necessariamente ser alargado a todos os voos intra‑UE.

166    Na mesma ordem de ideias, o artigo 2.°, n.° 3, da Diretiva PNR dispõe que os Estados‑Membros podem decidir aplicar esta diretiva apenas a certos voos intra‑UE, quando o considerarem necessário a fim de prosseguir os objetivos da referida diretiva, podendo alterar a seleção desses voos a todo o tempo.

167    Em qualquer caso, a faculdade de os Estados‑Membros alargarem a aplicação do sistema estabelecido pela Diretiva PNR aos voos intra‑UE deve ser exercida, como resulta do considerando 22 da mesma, no pleno respeito pelos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta. Quanto a este aspeto, embora, em conformidade com o considerando 19 da referida diretiva, caiba aos Estados‑Membros avaliar as ameaças relacionadas com as infrações terroristas e a criminalidade grave, a verdade é que o exercício desta faculdade pressupõe que, nessa avaliação, os Estados‑Membros concluam pela existência de uma ameaça relacionada com tais infrações suscetível de justificar a aplicação da mesma diretiva também aos voos intra‑UE.

168    Nestas circunstâncias, um Estado‑Membro, quando pretenda exercer a faculdade prevista no artigo 2.° da Diretiva PNR, seja para todos os voos intra‑EU, ao abrigo do n.° 2 deste artigo, ou apenas para alguns desses voos, ao abrigo do n.° 3 do referido artigo, não está dispensado de verificar se a extensão da aplicação desta diretiva à totalidade ou a parte dos voos intra‑UE é efetivamente necessária e proporcionada para efeitos da realização do objetivo previsto no artigo 1.°, n.° 2, da referida diretiva.

169    Assim, tendo em conta os considerandos 5 a 7, 10 e 22 da Diretiva PNR, tal Estado‑Membro deve verificar se os tratamentos, previstos nesta diretiva, dos dados PNR dos passageiros que viajem em voos intra‑UE, ou alguns desses voos, são estritamente necessários, atendendo à gravidade da ingerência nos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta, para garantir a segurança interna da União ou, pelo menos, a do referido Estado‑Membro e, assim, para proteger a vida e a segurança das pessoas.

170    No que respeita, em particular, às ameaças relacionadas com infrações terroristas, resulta da jurisprudência do Tribunal de Justiça que as atividades terroristas fazem parte das que são suscetíveis de desestabilizar gravemente as estruturas constitucionais, políticas, económicas ou sociais fundamentais de um país, em especial de ameaçar diretamente a sociedade, a população ou o Estado enquanto tal, e que corresponde ao interesse primordial de cada Estado‑Membro prevenir e reprimir essas atividades para proteger as funções essenciais do Estado e os interesses fundamentais da sociedade, com o objetivo de salvaguardar a segurança nacional. Tais ameaças distinguem‑se, pela sua natureza, pela sua particular gravidade e pelo caráter específico das circunstâncias que as constituem, do risco geral e permanente que é o das infrações penais graves (v., neste sentido, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 135 e 136, bem como de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.os 61 e 62).

171    Assim, numa situação em que se constate, com base na avaliação efetuada por um Estado‑Membro, que existem circunstâncias suficientemente concretas que permitam considerar que este último enfrenta uma ameaça terrorista que se afigure real e atual ou previsível, o facto de esse Estado‑Membro prever a aplicação da Diretiva PNR, ao abrigo do artigo 2.°, n.° 1, desta diretiva, a todos os voos intra‑UE a partir do referido Estado‑Membro ou com destino ao mesmo, por um período limitado, não parece exceder os limites do estritamente necessário. Com efeito, a existência dessa ameaça é suscetível, por si só, de estabelecer uma relação entre, por um lado, a transferência e o tratamento dos dados em causa e, por outro, a luta contra o terrorismo (v., por analogia, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 137).

172    A decisão que prevê essa aplicação deve poder ser objeto de fiscalização efetiva por um órgão jurisdicional ou por uma entidade administrativa independente, cuja decisão produza efeitos vinculativos, destinada a verificar a existência dessa situação e a observância dos requisitos e das garantias que devem estar previstos. O prazo de aplicação deve igualmente ser temporalmente limitado ao estritamente necessário, mas renovável em caso de persistência dessa ameaça (v., por analogia, Acórdãos de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 168, e de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 58).

173    Em contrapartida, na ausência de uma ameaça terrorista real e atual ou previsível que o Estado‑Membro em causa enfrente, não se pode considerar que a aplicação pelo mesmo, sem distinção, do sistema estabelecido pela Diretiva PNR não só aos voos extra‑UE mas também a todos os voos intra‑EU, seja limitada ao estritamente necessário.

174    Em tal situação, a aplicação do sistema estabelecido pela Diretiva PNR a certos voos intra‑UE deve limitar‑se à transferência e ao tratamento dos dados PNR dos voos relativos, nomeadamente, a certas ligações aéreas ou a esquemas de viagem ou, ainda, a certos aeroportos relativamente aos quais existam indicações suscetíveis de justificar essa aplicação. Cabe ao Estado‑Membro em causa, em tal situação, selecionar os voos intra‑UE, em conformidade com os resultados da apreciação a que deve proceder com base nos requisitos expostos nos n.os 163 a 169 do presente acórdão, e reexaminá‑la regularmente em função da evolução das condições que justificaram a sua seleção, a fim de assegurar que a aplicação do sistema estabelecido pela referida diretiva aos voos intra‑UE seja sempre limitada ao estritamente necessário.

175    Resulta das considerações precedentes que a interpretação assim adotada do artigo 2.° e do artigo 3.°, ponto 4, da Diretiva PNR, à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta, é suscetível de assegurar que essas disposições respeitam os limites do estritamente necessário.

5)      Quanto à avaliação prévia dos dados PNR através de tratamentos automatizados

176    Nos termos do artigo 6.°, n.° 2, alínea a), da Diretiva PNR, a avaliação prévia nele prevista tem como objetivo identificar as pessoas que, pelo facto de poderem estar implicadas numa infração terrorista ou numa forma de criminalidade grave, devem ser sujeitas a um controlo mais minucioso, nomeadamente pelas autoridades competentes a que se refere o artigo 7.° desta diretiva.

177    Esta avaliação prévia é feita em duas etapas. Na primeira etapa, a UIP do Estado‑Membro em causa procede, em conformidade com o artigo 6.°, n.° 3, da Diretiva PNR, a tratamentos automatizados dos dados PNR, comparando‑os com bases de dados ou de acordo com critérios preestabelecidos. Na segunda etapa, na hipótese de esses tratamentos automatizados conduzirem a um resultado positivo (hit), a referida unidade procede, nos termos do artigo 6.°, n.° 5, desta diretiva, a uma verificação individual por meios não automatizados, para aferir se é ou não necessário que as autoridades competentes referidas no artigo 7.° da mencionada diretiva intervenham, de acordo com o direito nacional (match).

178    Ora, como foi recordado no n.° 106 do presente acórdão, os tratamentos automatizados apresentam necessariamente uma taxa de erro bastante significativa, na medida em que são efetuados a partir de dados pessoais não verificados e se baseiam em critérios preestabelecidos.

179    Nestas condições, e tendo em conta a necessidade, sublinhada pelo quarto considerando do preâmbulo da Carta, de reforçar a proteção dos direitos fundamentais, à luz, nomeadamente, da evolução científica e tecnológica, deve ser garantido, como enunciam o considerando 20 e o artigo 7.°, n.° 6, da Diretiva PNR, que nenhuma decisão que produza efeitos jurídicos adversos para uma pessoa ou que a afete de forma grave possa ser tomada pelas autoridades competentes apenas com base no tratamento automatizado dos dados PNR. Além disso, em conformidade com o artigo 6.°, n.° 6, desta diretiva, a própria UIP só pode transferir os dados PNR para essas autoridades depois de ter efetuado uma verificação individual por meios não automatizados. Por último, para além destas verificações que a UIP e as autoridades competentes devem efetuar elas próprias, a legalidade de todos os tratamentos automatizados deve poder ser objeto de uma fiscalização pelo responsável pela proteção de dados e pela autoridade nacional de controlo, por força, respetivamente, do artigo 6.°, n.° 7, e do artigo 15.°, n.° 3, alínea b), da referida diretiva, bem como pelos órgãos jurisdicionais nacionais no âmbito do recurso judicial previsto no artigo 13.°, n.° 1, da mesma diretiva.

180    Ora, como o advogado‑geral salientou, em substância, no n.° 207 das suas conclusões, a autoridade nacional de controlo, o responsável pela proteção de dados e a UIP devem ser dotados dos meios materiais e pessoais necessários para exercerem a fiscalização que lhes incumbe por força da Diretiva PNR. Além disso, é necessário que a regulamentação nacional que transpõe esta diretiva para o direito interno e que autoriza os tratamentos automatizados nela previstos fixe regras claras e precisas que enquadrem a determinação das bases de dados bem como dos critérios de análise utilizados, sem poder recorrer, para efeitos da avaliação prévia, a outros métodos não previstos expressamente no artigo 6.°, n.° 2, desta diretiva.

181    Por outro lado, decorre do artigo 6.°, n.° 9, da Diretiva PNR que as consequências da avaliação prévia nos termos do artigo 6.°, n.° 2, alínea a), da mesma não põem em causa o direito das pessoas que gozam do direito de livre circulação de entrarem no território do Estado‑Membro em causa, tal como estabelecido na Diretiva 2004/38, e devem, além disso, observar o Regulamento n.° 562/2006. Assim, o sistema estabelecido pela Diretiva PNR não permite às autoridades competentes limitar este direito para além do que é previsto pela Diretiva 2004/38 e pelo Regulamento n.° 562/2006.

i)      Quanto à comparação dos dados PNR com as bases de dados

182    Segundo o artigo 6.°, n.° 3, alínea a), da Diretiva PNR, a UIP «pode», ao realizar a avaliação a que se refere o artigo 6.°, n.° 2, alínea a), desta diretiva, comparar os dados PNR com os que constam das «bases de dados relevantes» para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas e da criminalidade grave, «incluindo bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta, de acordo com as regras da União, internacionais e nacionais, aplicáveis a essas bases de dados».

183    Embora decorra da própria redação deste artigo 6.°, n.° 3, alínea a), da Diretiva PNR, em especial dos termos «incluindo», que as bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta figuram entre as «bases de dados relevantes» visadas por esta disposição, esta não precisa, em contrapartida, que outras bases de dados poderiam igualmente ser consideradas «relevantes» à luz dos objetivos prosseguidos por esta diretiva. Com efeito, como o advogado‑geral salientou no n.° 217 das suas conclusões, a referida disposição não precisa expressamente a natureza dos dados que podem estar contidos nessas bases e a sua relação com esses objetivos, nem indica se os dados PNR devem ser comparados exclusivamente com as bases de dados geridas por autoridades públicas ou se podem também ser comparados com bases de dados geridas por entidades privadas.

184    Nestas condições, o artigo 6.°, n.° 3, alínea a), da Diretiva PNR poderia, à primeira vista, prestar‑se a uma interpretação segundo a qual os dados PNR podem ser utilizados como simples critérios de pesquisa para realizar análises a partir de bases de dados diversas, incluindo bases de dados que as agências de segurança e de informações dos Estados‑Membros gerem e exploram na prossecução de objetivos diferentes dos visados por esta diretiva, e que tais análises podem revestir a forma de uma exploração de dados (data mining). Ora, a possibilidade de efetuar tais análises e de comparar os dados PNR com essas bases de dados seria suscetível de gerar, no espírito dos passageiros do transporte aéreo, a sensação de que a sua vida privada é objeto de uma forma de vigilância. Assim, embora a avaliação prévia prevista nessa disposição parta de um conjunto de dados relativamente limitado que são os dados PNR, tal interpretação deste artigo 6.°, n.° 3, alínea a), não pode ser acolhida, uma vez que seria suscetível de dar origem a uma utilização desproporcionada desses dados, fornecendo os meios para determinar o perfil das pessoas em causa, pela simples razão de tencionarem viajar de avião.

185    Por conseguinte, em conformidade com a jurisprudência recordada nos n.os 86 e 87 do presente acórdão, há que interpretar o artigo 6.°, n.° 3, alínea a), da Diretiva PNR de modo a garantir o pleno respeito pelos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta.

186    A este respeito, resulta dos considerandos 7 e 15 da Diretiva PNR que o tratamento automatizado previsto no artigo 6.°, n.° 3, alínea a), desta diretiva deve ser limitado ao estritamente necessário para efeitos da luta contra as infrações terroristas e a criminalidade grave, assegurando simultaneamente um elevado nível de proteção desses direitos fundamentais.

187    Além disso, como a Comissão salientou, em substância, em resposta a uma pergunta do Tribunal de Justiça, os termos desta disposição, segundo a qual a UIP «pode» comparar os dados PNR com as bases de dados nela referidas, permitem à UIP escolher uma modalidade de tratamento que se limite ao estritamente necessário, em função da situação concreta. Ora, tendo em conta a necessária observância dos requisitos de clareza e de precisão exigidos para assegurar a proteção dos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta, a UIP é obrigada a limitar o tratamento automatizado previsto no artigo 6.°, n.° 3, alínea a), da Diretiva PNR apenas às bases de dados que esta disposição permite identificar. A este respeito, embora a referência, que figura nesta última disposição, às «bases de dados relevantes» não se preste a uma interpretação que especifique de modo suficientemente claro e preciso as bases de dados assim visadas, o mesmo não se pode dizer da referência às «bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta, de acordo com as regras da União, internacionais e nacionais, aplicáveis a essas bases de dados».

188    Por conseguinte, como o advogado‑geral salientou, em substância, no n.° 219 das suas conclusões, o artigo 6.°, n.° 3, alínea a), da Diretiva PNR deve, à luz destes direitos fundamentais, ser interpretado no sentido de que estas últimas bases de dados são as únicas bases de dados com as quais a UIP pode comparar os dados PNR.

189    No que respeita aos requisitos que essas bases de dados devem satisfazer, importa salientar que, segundo o artigo 6.°, n.° 4, da Diretiva PNR, a avaliação prévia efetuada de acordo com os critérios preestabelecidos deve, nos termos do artigo 6.°, n.° 3, alínea b), desta diretiva, ser realizada de forma não discriminatória, esses critérios devem ser orientados em função dos objetivos, proporcionados e específicos, e devem ser fixados e revistos regularmente pelas UIP, em cooperação com as autoridades competentes a que se refere o artigo 7.° da mesma diretiva. Embora, ao fazer referência ao artigo 6.°, n.° 3, alínea b), desta mesma diretiva, os termos deste artigo 6.°, n.° 4, visem unicamente o tratamento dos dados PNR de acordo com critérios preestabelecidos, esta última disposição deve ser int

190    erpretada, à luz dos artigos 7.°, 8.° e 21.° da Carta, no sentido de que os requisitos que prescreve devem ser aplicados mutatis mutandis à comparação desses dados com as bases de dados referidas no número anterior do presente acórdão, tanto mais que esses requisitos correspondem, em substância, aos requisitos para o cruzamento dos dados PNR com bases de dados, adotados pela jurisprudência decorrente do Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017 (EU:C:2017:592, n.° 172).

191    A este respeito, importa precisar que o requisito relativo ao caráter não discriminatório das referidas bases de dados implica, nomeadamente, que a inscrição nas bases de dados sobre pessoas procuradas ou alvo de um alerta se baseie em elementos objetivos e não discriminatórios, definidos pelas regras da União, internacionais e nacionais, aplicáveis a essas bases de dados (v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 78).

192    Além disso, para preencherem o requisito relativo ao caráter orientado em função dos objetivos, proporcionado e específico dos critérios preestabelecidos, as bases de dados referidas no n.° 188 do presente acórdão devem ser exploradas em relação com a luta contra as infrações terroristas e a criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

193    Por outro lado, as bases de dados utilizadas nos termos do artigo 6.°, n.° 3, alínea a), da Diretiva PNR devem, tendo em conta as considerações que figuram nos n.os 183 e 184 do presente acórdão, ser geridas pelas autoridades competentes referidas no artigo 7.° desta diretiva ou, no que respeita às bases de dados da União bem como às bases de dados internacionais, ser exploradas por essas autoridades no âmbito da sua missão de luta contra as infrações terroristas e a criminalidade grave. Ora, é esse o caso das bases de dados sobre pessoas ou objetos procurados ou alvo de um alerta, de acordo com as regras da União, internacionais e nacionais, aplicáveis a essas bases de dados.

ii)    Quanto ao tratamento dos dados PNR de acordo com critérios preestabelecidos

194    O artigo 6.°, n.° 3, alínea b), da Diretiva PNR prevê que a UIP pode igualmente proceder ao tratamento dos dados PNR de acordo com critérios preestabelecidos. Resulta do artigo 6.°, n.° 2, alínea a), desta diretiva que a avaliação prévia e, portanto, o tratamento dos dados PNR de acordo com critérios preestabelecidos visa, em substância, identificar as pessoas que possam estar implicadas numa infração terrorista ou numa forma de criminalidade grave.

195    No que respeita aos critérios que a UIP pode utilizar para esse efeito, importa salientar, antes de mais, que, segundo os próprios termos do artigo 6.°, n.° 3, alínea b), da Diretiva PNR, esses critérios devem ser «preestabelecidos». Como o advogado‑geral salientou no n.° 228 das suas conclusões, este requisito opõe‑se à utilização de tecnologias de inteligência artificial no âmbito de sistemas de autoaprendizagem (machine learning), suscetíveis de alterar, sem intervenção e controlo humanos, o processo de avaliação e, em especial, os critérios de avaliação em que se baseia o resultado da aplicação desse processo bem como a ponderação desses critérios.

196    Importa acrescentar que o recurso a tais tecnologias poderia privar de efeito útil a verificação individual dos resultados positivos bem como a fiscalização da legalidade exigidas pelas disposições da Diretiva PNR. Com efeito, como o advogado‑geral salientou, em substância, no n.° 228 das suas conclusões, tendo em conta a opacidade que caracteriza o funcionamento das tecnologias de inteligência artificial, pode revelar‑se impossível compreender a razão pela qual um dado programa chegou a um resultado positivo. Nestas condições, a utilização de tais tecnologias seria suscetível de privar também as pessoas em causa do seu direito à ação, consagrado no artigo 47.° da Carta, que a Diretiva PNR visa, segundo o seu considerando 28, garantir a um nível elevado, em particular para contestar o caráter não discriminatório dos resultados obtidos.

197    No que respeita, seguidamente, aos requisitos resultantes do artigo 6.°, n.° 4, da Diretiva PNR, esta disposição enuncia, no seu primeiro período, que a avaliação prévia de acordo com critérios preestabelecidos é realizada de forma não discriminatória e precisa, no quarto período, que esses critérios não podem, em caso algum, basear‑se na raça ou na origem étnica de uma pessoa, nas suas opiniões políticas, religião ou convicções filosóficas, na sua filiação sindical, na sua saúde, vida sexual ou orientação sexual.

198    Assim, os Estados‑Membros não podem adotar, enquanto critérios preestabelecidos, critérios que assentem em características referidas no número anterior do presente acórdão e cuja utilização pode ser suscetível de dar origem a discriminações. A este respeito, resulta dos termos do artigo 6.°, n.° 4, quarto período, da Diretiva PNR, segundo os quais os critérios preestabelecidos não podem «em caso algum» basear‑se nessas características, que esta disposição visa tanto as discriminações diretas como as discriminações indiretas. Esta interpretação é, aliás, confirmada pelo artigo 21.°, n.° 1, da Carta, à luz do qual a referida disposição deve ser lida, que proíbe «a» discriminação baseada nas referidas características. Nestas condições, os critérios preestabelecidos devem ser determinados de modo a que, embora formulados de forma neutra, a sua aplicação não possa ser suscetível de prejudicar especialmente as pessoas que tenham as características protegidas.

199    No que respeita aos requisitos relativos ao caráter orientado em função dos objetivos, proporcionado e específico dos critérios preestabelecidos, previstos no artigo 6.°, n.° 4, segundo período, da Diretiva PNR, decorre destes requisitos que os critérios utilizados para efeitos da avaliação prévia devem ser determinados de modo a visar, especificamente, as pessoas relativamente às quais possa existir uma suspeita razoável de participação em infrações terroristas ou em formas de criminalidade grave visadas por esta diretiva. Esta leitura é corroborada pelos próprios termos do artigo 6.°, n.° 2, alínea a), da mesma, que destacam o «facto» de que as pessoas em causa «poderem» estar implicadas «numa» infração terrorista ou «numa» forma de criminalidade grave. Na mesma ordem de ideias, o considerando 7 da referida diretiva precisa que a fixação e a aplicação de critérios de avaliação deverão limitar‑se a infrações terroristas e à criminalidade grave «para as quais a utilização de tais critérios seja relevante».

200    A fim de se orientar dessa forma para as pessoas assim visadas e tendo em conta o risco de discriminação que critérios baseados nas características mencionadas no artigo 6.°, n.° 4, quarto período, da Diretiva PNR comportam, a UIP e as autoridades competentes não podem, em princípio, basear‑se nessas características. Em contrapartida, como o Governo alemão salientou na audiência, podem, nomeadamente, tomar em conta particularidades no comportamento factual de pessoas relacionadas com a preparação e a realização de viagens aéreas, que podem, segundo as constatações efetuadas e a experiência adquirida pelas autoridades competentes, indicar que as pessoas que se comportem desse modo podem estar implicadas em infrações terroristas ou formas de criminalidade grave.

201    Neste contexto, como a Comissão observou em resposta a uma pergunta do Tribunal de Justiça, os critérios preestabelecidos devem ser determinados de modo a ter em conta tanto os elementos «incriminatórios» como os elementos «ilibatórios», sendo este requisito suscetível de contribuir para a fiabilidade desses critérios e, nomeadamente, de assegurar que são proporcionados, como exige o artigo 6.°, n.° 4, segundo período, da Diretiva PNR.

202    Por último, nos termos do artigo 6.°, n.° 4, terceiro período, desta diretiva, os critérios preestabelecidos devem ser revistos regularmente. No âmbito dessa revisão, esses critérios devem ser atualizados em função da evolução das condições que justificaram a sua tomada em consideração para efeitos da avaliação prévia, permitindo assim, nomeadamente, reagir às evoluções da luta contra as infrações terroristas e a criminalidade grave referidas no n.° 157 do presente acórdão [v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 82]. Em especial, a referida revisão deve tomar em conta a experiência adquirida no âmbito da aplicação dos critérios preestabelecidos, a fim de reduzir, tanto quanto possível, o número de resultados «falsos positivos» e, deste modo, contribuir para o caráter estritamente necessário da aplicação desses critérios.

iii) Quanto às garantias que rodeiam o tratamento automatizado dos dados PNR

203    A observância dos requisitos a que o artigo 6.°, n.° 4, da Diretiva PNR sujeita o tratamento automatizado dos dados PNR impõe‑se não só no âmbito da determinação e da revisão das bases de dados e dos critérios preestabelecidos previstos nesta disposição, mas também, como o advogado‑geral salientou no n.° 230 das suas conclusões, ao longo de todo o processo de tratamento desses dados.

204    No que respeita, mais especificamente, aos critérios preestabelecidos, importa, antes de mais, precisar que, embora a UIP deva, como enuncia o considerando 7 da Diretiva PNR, definir os critérios de avaliação de modo a reduzir ao mínimo o número de pessoas inocentes incorretamente identificadas pelo sistema estabelecido por esta diretiva, essa mesma unidade deve, ainda assim, em conformidade com o artigo 6.°, n.os 5 e 6, da referida diretiva, proceder a uma verificação individual de qualquer resultado positivo por meios não automatizados, a fim de detetar, na medida do possível, a eventual existência de resultados «falsos positivos». Além disso, não obstante o facto de dever fixar os critérios de avaliação de maneira não discriminatória, a UIP é obrigada a proceder a tal verificação a fim de excluir eventuais resultados discriminatórios. A UIP deve respeitar esta mesma obrigação de verificação relativamente à comparação dos dados PNR com as bases de dados.

205    Assim, a UIP deve abster‑se de transferir os resultados desses tratamentos automatizados para as autoridades competentes referidas no artigo 7.° da Diretiva PNR quando, atendendo às considerações que figuram no n.° 198 do presente acórdão, não disponha, na sequência dessa verificação, de elementos suscetíveis de justificar suficientemente uma suspeita razoável de participação em infrações terroristas ou em formas de criminalidade grave relativamente a pessoas identificadas por meio desses tratamentos automatizados ou quando disponha de elementos que indiquem que os referidos tratamentos conduzem a resultados discriminatórios.

206    No que respeita às verificações a que a UIP deve proceder para esse efeito, decorre do artigo 6.°, n.os 5 e 6, da Diretiva PNR, lido em conjugação com os considerandos 20 e 22 da mesma, que os Estados‑Membros devem prever regras claras e precisas suscetíveis de orientar e enquadrar a análise efetuada pelos agentes encarregados da verificação individual, a fim de assegurar o pleno respeito pelos direitos fundamentais consagrados nos artigos 7.°, 8.° e 21.° da Carta e, nomeadamente, de garantir uma prática administrativa coerente no âmbito da UIP que respeite o princípio da não discriminação.

207    Em especial, tendo em conta o número bastante significativo de resultados «falsos positivos», evocado no n.° 106 do presente acórdão, os Estados‑Membros devem assegurar‑se de que a UIP estabelece, de forma clara e precisa, critérios de verificação objetivos que permitam aos seus agentes verificar, por um lado, se, e em que medida, um resultado positivo (hit) diz efetivamente respeito a uma pessoa que é suscetível de estar implicada nas infrações terroristas ou nas formas de criminalidade grave referidas no n.° 157 do presente acórdão e deve, por isso, ser objeto de um controlo mais minucioso pelas autoridades competentes referidas no artigo 7.° desta diretiva, bem como, por outro lado, o caráter não discriminatório dos tratamentos automatizados previstos pela referida diretiva, nomeadamente dos critérios preestabelecidos e das bases de dados utilizadas.

208    Neste contexto, os Estados‑Membros são obrigados a assegurar que, em conformidade com o artigo 13.°, n.° 5, da Diretiva PNR, lido em conjugação com o considerando 37 da mesma, a UIP conserve a documentação de qualquer tratamento dos dados PNR efetuado no âmbito da avaliação prévia, incluindo no âmbito da verificação individual por meios não automatizados, para efeitos de verificação da sua legalidade e de autocontrolo.

209    Em seguida, por força do artigo 7.°, n.° 6, primeiro período, da Diretiva PNR, as autoridades competentes abstêm‑se de tomar qualquer decisão que produza efeitos jurídicos adversos para uma pessoa ou que a afete de forma grave apenas com base no tratamento automatizado dos dados PNR, o que implica, no âmbito da avaliação prévia, que devem ter em conta e, se for caso disso, fazer prevalecer o resultado da verificação individual efetuada por meios não automatizados pela UIP sobre o obtido pelos tratamentos automatizados. O segundo período deste artigo 7.°, n.° 6, precisa que tais decisões não devem ser discriminatórias.

210    Neste âmbito, as autoridades competentes devem assegurar‑se da legalidade tanto desses tratamentos automatizados, nomeadamente do seu caráter não discriminatório, como da verificação individual.

211    Em especial, as autoridades competentes devem assegurar‑se de que o interessado, embora sem lhe ser necessariamente permitido, durante o procedimento administrativo, tomar conhecimento dos critérios de avaliação preestabelecidos e dos programas que aplicam esses critérios, pode compreender o funcionamento desses critérios e desses programas, de modo a que possa decidir, com pleno conhecimento de causa, se exerce ou não o seu direito a um recurso judicial garantido no artigo 13.°, n.° 1, da Diretiva PNR, para colocar em causa, se for caso disso, o caráter ilegal e, nomeadamente, discriminatório dos referidos critérios (v., por analogia, Acórdão de 24 de novembro de 2020, Minister van Buitenlandse Zaken, C‑225/19 e C‑226/19, EU:C:2020:951, n.° 43 e jurisprudência referida). O mesmo se deve aplicar aos critérios de verificação referidos no n.° 206 do presente acórdão.

212    Por último, no âmbito de um recurso interposto ao abrigo do artigo 13.°, n.° 1, da Diretiva PNR, o juiz encarregado da fiscalização da legalidade da decisão adotada pelas autoridades competentes, bem como, salvo nos casos de ameaça para a segurança do Estado, o próprio interessado, devem poder tomar conhecimento quer da totalidade dos motivos quer dos elementos de prova com base nas quais essa decisão foi tomada (v., por analogia, Acórdão de 4 de junho de 2013, ZZ, C‑300/11, EU:C:2013:363, n.os 54 a 59), incluindo dos critérios de avaliação preestabelecidos e do funcionamento dos programas que aplicam esses critérios.

213    Por outro lado, por força, respetivamente, do artigo 6.°, n.° 7, e do artigo 15.°, n.° 3, alínea b), da Diretiva PNR, cabe ao responsável pela proteção de dados e à autoridade nacional de controlo assegurar a fiscalização da legalidade dos tratamentos automatizados efetuados pela UIP no âmbito da avaliação prévia, fiscalização que abrange, nomeadamente, o caráter não discriminatório desses tratamentos. Embora a primeira destas disposições precise, para esse efeito, que o responsável pela proteção de dados tem acesso a todos os dados tratados pela UIP, esse acesso deve necessariamente ser extensivo aos critérios preestabelecidos e às bases de dados utilizadas por essa unidade, a fim de assegurar a eficácia e o elevado nível de proteção dos dados que esse responsável deve assegurar em conformidade com o considerando 37 desta diretiva. Do mesmo modo, as investigações, as inspeções e as auditorias que a autoridade nacional de controlo efetua nos termos da segunda destas disposições podem igualmente incidir sobre esses critérios preestabelecidos e essas bases de dados.

214    Resulta de todas as considerações precedentes que as disposições da Diretiva PNR que regulam a avaliação prévia dos dados PNR nos termos do artigo 6.°, n.° 2, alínea a), desta diretiva se prestam a uma interpretação conforme com os artigos 7.°, 8.° e 21.° da Carta, respeitando os limites do estritamente necessário.

6)      Quanto à comunicação e à avaliação posteriores dos dados PNR

215    Ao abrigo do artigo 6.°, n.° 2, alínea b), da Diretiva PNR, os dados PNR podem igualmente, a pedido das autoridades competentes, ser fornecidos a estas últimas e ser objeto de uma avaliação posteriormente à chegada prevista ao Estado‑Membro ou à partida prevista deste.

216    No que diz respeito aos requisitos em que esse fornecimento e essa avaliação podem ser efetuados, resulta dos termos desta disposição que a UIP pode tratar os dados PNR para responder «caso a caso» aos «pedidos devidamente fundamentados, baseados em motivos suficientes» das autoridades competentes, no sentido de que esses dados lhes sejam fornecidos e sejam tratados, «em casos específicos, para efeitos de prevenção, deteção, investigação e repressão de infrações terroristas ou da criminalidade grave». Além disso, quando um pedido é apresentado mais de seis meses após a transferência dos dados PNR para a UIP, prazo após o qual todos os dados PNR são anonimizados mediante mascaramento de certos elementos, em conformidade com o artigo 12.°, n.° 2, desta diretiva, o artigo 12.°, n.° 3, da referida diretiva dispõe que a divulgação dos dados PNR integrais e, por conseguinte, de uma versão não anonimizada dos mesmos só é autorizada se estiver preenchido o duplo requisito de, por um lado, ser considerada necessária, com base em motivos razoáveis, para os fins referidos no artigo 6.°, n.° 2, alínea b), da referida diretiva e, por outro, ser autorizada por uma autoridade judiciária ou por outra autoridade nacional competente, nos termos do direito nacional.

217    A este respeito, resulta, antes de mais, dos próprios termos do artigo 6.°, n.° 2, alínea b), da Diretiva PNR que a UIP não pode proceder sistematicamente ao fornecimento e à avaliação posteriores dos dados PNR de todos os passageiros aéreos e que só pode responder «caso a caso» a pedidos que visam esses tratamentos «em casos específicos». Todavia, na medida em que esta disposição se refere a «casos específicos», esses tratamentos não têm necessariamente de se limitar aos dados PNR de um único passageiro aéreo, mas podem, como a Comissão salientou em resposta a uma pergunta do Tribunal de Justiça, incidir igualmente sobre uma pluralidade de pessoas, desde que as pessoas em causa partilhem um certo número de características que permitam considerá‑las em conjunto um «caso específico» para efeitos do fornecimento e da avaliação pretendidos.

218    No que diz respeito, seguidamente, aos requisitos materiais exigidos para que os dados PNR de passageiros aéreos possam ser objeto de uma comunicação e de uma avaliação posteriores, embora o artigo 6.°, n.° 2, alínea b), e o artigo 12.°, n.° 3, alínea a), da Diretiva PNR se refiram, respetivamente, a «motivos suficientes» e a «motivos razoáveis» sem precisar expressamente a natureza desses motivos, decorre, no entanto, dos próprios termos da primeira dessas disposições, que se refere às finalidades previstas no artigo 1.°, n.° 2, da referida diretiva, que a comunicação dos dados PNR e a avaliação subsequente só podem ser efetuadas para efeitos de verificação da existência de indícios de eventual envolvimento das pessoas em causa em infrações terroristas ou formas de criminalidade grave que apresentem, como resulta do n.° 157 do presente acórdão, um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

219    Ora, no âmbito do sistema estabelecido pela Diretiva PNR, o fornecimento e o tratamento dos dados PNR em aplicação do artigo 6.°, n.° 2, alínea b), desta diretiva dizem respeito a dados de pessoas que já foram objeto de uma avaliação prévia antes da sua chegada prevista ao Estado‑Membro em causa ou da sua saída prevista deste. Além disso, um pedido de avaliação posterior é suscetível de visar, nomeadamente, as pessoas cujos dados PNR não tenham sido transferidos para as autoridades competentes na sequência da avaliação prévia, na medida em que esta não tenha revelado elementos que indiquem que essas pessoas podiam estar implicadas em infrações terroristas ou criminalidade grave com um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros. Nestas circunstâncias, a comunicação e o tratamento destes dados para efeitos da sua posterior avaliação devem basear‑se em circunstâncias novas que justifiquem essa utilização [v., neste sentido, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 200 e jurisprudência referida].

220    No que respeita à natureza das circunstâncias suscetíveis de justificar a comunicação e o tratamento dos dados PNR para efeitos da sua avaliação posterior, é jurisprudência constante que, uma vez que um acesso geral a todos os dados conservados, independentemente de qualquer ligação, no mínimo indireta, com o objetivo prosseguido, não pode ser considerado limitado ao estritamente necessário, a regulamentação em causa, seja ela a regulamentação da União ou uma regra nacional destinada a transpor aquela, deve basear‑se em critérios objetivos para definir as circunstâncias e as condições em que o acesso aos dados em causa deve ser concedido às autoridades competentes. A este respeito, só poderá, em princípio, ser concedido acesso, em relação com o objetivo de luta contra a criminalidade, aos dados de pessoas suspeitas de planearem, de cometerem ou de terem cometido uma infração grave ou ainda de estarem envolvidas de uma maneira ou de outra numa infração deste tipo. Todavia, em situações especiais, como aquelas em que os interesses vitais da segurança nacional, da defesa ou da segurança pública sejam ameaçados por atividades terroristas, o acesso aos dados de outras pessoas poderá igualmente ser concedido quando existam elementos objetivos que permitam considerar que esses dados poderiam, num caso concreto, contribuir efetivamente para a luta contra essas atividades [Acórdãos de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.° 50 e jurisprudência referida, bem como de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 105].

221    Assim, os termos «motivos suficientes» e «motivos razoáveis», que figuram, respetivamente, no artigo 6.°, n.° 2, alínea b), e no artigo 12.°, n.° 3, alínea a), da Diretiva PNR, devem ser interpretados, à luz dos artigos 7.° e 8.° da Carta, no sentido de que se referem a elementos objetivos suscetíveis de fundar uma suspeita razoável de envolvimento da pessoa em causa, de uma maneira ou de outra, em formas de criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros, ao passo que, no que respeita às infrações terroristas que apresentem tal nexo, este requisito está preenchido quando existam elementos objetivos que permitam considerar que os dados PNR poderiam, num caso concreto, contribuir efetivamente para a luta contra tais infrações.

222    Por último, no que respeita aos requisitos processuais a que estão sujeitos a comunicação e o tratamento dos dados PNR para efeitos da sua avaliação posterior, o artigo 12.°, n.° 3, alínea b), da Diretiva PNR exige, no caso de o pedido ser apresentado mais de seis meses após a sua transferência para a UIP, ou seja, quando, em conformidade com o n.° 2 deste artigo, os referidos dados tenham sido anonimizados mediante mascaramento dos elementos referidos nesse n.° 2, que a divulgação dos dados PNR integrais e, portanto, de uma versão não anonimizada dos mesmos, seja autorizada por uma autoridade judiciária ou por outra autoridade nacional competente, nos termos do direito nacional. Neste contexto, cabe a essas autoridades examinar integralmente o mérito do pedido e, nomeadamente, verificar se os elementos apresentados em apoio do referido pedido são suscetíveis de suportar a condição material relativa à existência de «motivos razoáveis» referida no número anterior do presente acórdão.

223    É verdade que, no caso de o pedido de comunicação e de avaliação posteriores dos dados PNR ser apresentado antes de decorrido o prazo de seis meses subsequente à transferência desses dados, o artigo 6.°, n.° 2, alínea b), da Diretiva PNR não prevê expressamente esse requisito condição processual. Todavia, a interpretação desta última disposição deve ter em conta o considerando 25 desta diretiva, do qual resulta que, ao prever o referido requisito processual, o legislador da União pretendeu «assegurar o nível mais elevado de proteção de dados» no que respeita ao acesso aos dados PNR sob uma forma que permita a identificação direta da pessoa em causa. Ora, qualquer pedido de comunicação e de avaliação posteriores implica tal acesso a esses dados, independentemente da questão de saber se esse pedido é apresentado antes de decorrido o prazo de seis meses subsequente à transferência dos dados PNR para a UIP ou se é apresentado depois de decorrido esse prazo.

224    Em especial, para garantir, na prática, o pleno respeito pelos direitos fundamentais no sistema estabelecido pela Diretiva PNR e, nomeadamente, os requisitos enunciados nos n.os 218 e 219 do presente acórdão, é essencial que a comunicação dos dados PNR para efeitos de uma avaliação posterior seja, em princípio, salvo em casos de urgência devidamente justificados, sujeita a uma fiscalização prévia efetuada por um órgão jurisdicional ou por uma autoridade administrativa independente e que a decisão desse órgão jurisdicional ou dessa autoridade ocorra na sequência de um pedido fundamentado das autoridades competentes, apresentado, nomeadamente, no âmbito de processos de prevenção, de deteção ou de ação penal. Em caso de urgência devidamente justificada, a referida fiscalização deve ser efetuada em prazos curtos [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 202 e jurisprudência referida, bem como Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 110].

225    Nestas circunstâncias, a exigência de uma fiscalização prévia prevista no artigo 12.°, n.° 3, alínea b), da Diretiva PNR, para os pedidos de comunicação dos dados PNR apresentados depois de decorrido o prazo de seis meses subsequente à transferência desses dados para a UIP, deve igualmente aplicar‑se, mutatis mutandis, no caso de o pedido de comunicação ser apresentado antes do decurso desse prazo.

226    Por outro lado, embora o artigo 12.°, n.° 3, alínea b), da Diretiva PNR não especifique expressamente os requisitos a cumprir pela autoridade encarregada da fiscalização prévia, é jurisprudência constante que, para assegurar que a ingerência nos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta que resulta de um acesso aos dados pessoais seja limitada ao estritamente necessário, essa autoridade deve dispor de todas as atribuições e apresentar todas as garantias necessárias com vista a assegurar uma conciliação dos diferentes interesses e direitos em causa. No que respeita, mais especificamente, a um inquérito penal, tal fiscalização exige que essa autoridade possa assegurar um justo equilíbrio entre, por um lado, os interesses ligados às necessidades do inquérito no âmbito da luta contra a criminalidade e, por outro, os direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais das pessoas às quais o acesso diz respeito (Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 107 bem como jurisprudência referida).

227    Para este efeito, essa autoridade deve gozar de um estatuto que lhe permita agir, quando desempenha as suas missões, de maneira objetiva e imparcial, devendo, por isso, estar ao abrigo de qualquer influência externa. Esta exigência de independência impõe que esta tenha a qualidade de terceiro em relação à autoridade que pede o acesso aos dados, de modo a que a primeira possa exercer a sua fiscalização ao abrigo de qualquer influência externa. Em especial, no domínio penal, a exigência de independência implica que a referida autoridade, por um lado, não esteja implicada na condução do inquérito penal em causa e, por outro, tenha uma posição de neutralidade relativamente às partes no processo penal (v., neste sentido, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 108 bem como jurisprudência referida).

228    Por conseguinte, as disposições da Diretiva PNR que regem a comunicação e a avaliação posteriores dos dados PNR ao abrigo do artigo 6.°, n.° 2, alínea b), desta diretiva prestam‑se a uma interpretação conforme com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta, respeitando os limites do estritamente necessário.

229     Atendendo a todas as considerações precedentes, uma vez que uma interpretação da Diretiva PNR à luz dos artigos 7.°, 8.°, 21.° e 52.°, n.° 1, da Carta garante a conformidade desta diretiva com estes artigos da Carta, o exame das segunda a quarta e sexta questões prejudiciais não revelou nenhum elemento suscetível de afetar a validade da referida diretiva.

C.      Quanto à quinta questão

230    Com a sua quinta questão, o órgão jurisdicional de reenvio pretende saber se o artigo 6.° da Diretiva PNR, lido à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta, deve ser interpretado no sentido de que se opõe a uma legislação nacional que autoriza o tratamento dos dados PNR recolhidos em conformidade com esta diretiva para fins de acompanhamento das atividades pelos serviços de informações e de segurança.

231    Resulta do pedido de decisão prejudicial que, com esta questão, o órgão jurisdicional de reenvio se refere, mais especificamente, às atividades visadas pela Sûreté de l’État (Segurança do Estado, Bélgica) e pelo Service général du renseignement et de la sécurité (Serviço Geral das Informações e da Segurança, Bélgica), no âmbito das suas respetivas missões relativas à proteção da segurança nacional.

232    Quanto a este aspeto, a fim de respeitar os princípios da legalidade e da proporcionalidade referidos, nomeadamente, no artigo 52.°, n.° 1, da Carta, o legislador da União previu regras claras e precisas que regulam as finalidades das medidas previstas pela Diretiva PNR que comportam ingerências nos direitos fundamentais garantidos nos artigos 7.° e 8.° da Carta.

233    Com efeito, o artigo 1.°, n.° 2, da Diretiva PNR enuncia expressamente que os dados PNR recolhidos nos termos desta diretiva só podem ser tratados «para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, conforme previsto no artigo 6.°, n.° 2, alíneas a), b) e c) [da referida diretiva]». Esta última disposição confirma o princípio enunciado nesse artigo 1.°, n.° 2, referindo‑se de forma sistemática aos conceitos de «infração terrorista» e de «forma de criminalidade grave».

234    Resulta assim claramente da redação destas disposições que a enumeração que nelas figura dos objetivos prosseguidos pelo tratamento dos dados PNR ao abrigo da Diretiva PNR tem caráter exaustivo.

235    Esta interpretação é corroborada, nomeadamente, pelo considerando 11 da Diretiva PNR, segundo o qual o tratamento dos dados PNR deve ser proporcionado em relação aos «objetivos específicos de segurança» prosseguidos por esta diretiva, e pelo seu artigo 7.°, n.° 4, segundo o qual os dados PNR e o resultado do tratamento de tais dados recebidos pela UIP podem ser objeto de tratamento ulterior «exclusivamente para efeitos específicos de prevenção, deteção, investigação ou repressão das infrações terroristas ou da criminalidade grave».

236    Por outro lado, o caráter exaustivo das finalidades previstas no artigo 1.°, n.° 2, da Diretiva PNR implica igualmente que os dados PNR não podem ser conservados numa base de dados única que possa ser consultada para efeitos da prossecução tanto dessas finalidades como de outras finalidades. Com efeito, a conservação desses dados numa tal base de dados comportaria o risco de os referidos dados serem utilizados para fins diferentes dos previstos nesse artigo 1.°, n.° 2.

237    No caso em apreço, na medida em que, segundo o órgão jurisdicional de reenvio, a legislação nacional em causa no processo principal admite, como finalidade do tratamento dos dados PNR, o acompanhamento das atividades visadas pelos serviços de informações e de segurança, integrando assim esta finalidade na prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, esta legislação é suscetível de violar o caráter exaustivo da enumeração dos objetivos prosseguidos pelo tratamento dos dados PNR ao abrigo da Diretiva PNR, o que incumbe ao órgão jurisdicional de reenvio verificar.

238    Por conseguinte, há que responder à quinta questão que o artigo 6.° da Diretiva PNR, lido à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta, deve ser interpretado no sentido de que se opõe a uma legislação nacional que autoriza o tratamento de dados PNR recolhidos em conformidade com esta diretiva para fins diferentes dos expressamente indicados no artigo 1.°, n.° 2, da mencionada diretiva.

D.      Quanto à sétima questão

239    Com a sétima questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 12.°, n.° 3, alínea b), da Diretiva PNR deve ser interpretado no sentido de que se opõe a uma legislação nacional segundo a qual a autoridade criada como UIP tem igualmente a qualidade de autoridade nacional competente habilitada a autorizar a divulgação dos dados PNR decorrido o prazo de seis meses subsequente à transferência desses dados para a UIP.

240    A título preliminar, há que observar que o Governo belga tem dúvidas quanto à competência do Tribunal de Justiça para responder a esta questão, conforme formulada pelo órgão jurisdicional de reenvio, pelo facto de este último ter competência exclusiva para interpretar as disposições nacionais e, em especial, apreciar os requisitos que resultam da Lei de 25 de dezembro de 2016 à luz do artigo 12.°, n.° 3, alínea b), da Diretiva PNR.

241    A este respeito, basta salientar que, com a referida questão, o órgão jurisdicional de reenvio solicita a interpretação de uma disposição do direito da União. Além disso, embora, no âmbito de um processo instaurado ao abrigo do artigo 267.° TFUE, a interpretação das disposições nacionais caiba aos órgãos jurisdicionais dos Estados‑Membros e não ao Tribunal de Justiça, e não incumba a este último pronunciar‑se sobre a compatibilidade de normas de direito interno com as disposições do direito da União, o Tribunal de Justiça é competente para fornecer ao órgão jurisdicional nacional todos os elementos de interpretação do direito da União que lhe permitam apreciar a compatibilidade de tais normas com a regulamentação da União (Acórdão de 30 de abril de 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, n.° 28 e jurisprudência referida). Daqui resulta que o Tribunal de Justiça é competente para responder à sétima questão.

242    Quanto ao mérito, importa salientar que a redação do artigo 12.°, n.° 3, alínea b), da Diretiva PNR, que menciona, respetivamente, nas suas subalíneas i) e ii), «uma autoridade judiciária» e «outra autoridade nacional competente, nos termos do direito nacional, para verificar se estão reunidas as condições de divulgação», coloca no mesmo plano estas duas autoridades, como resulta do emprego da conjunção «ou» entre essas subalíneas i) e ii). Resulta, assim, desta redação que a «outra» autoridade nacional competente assim prevista constitui uma alternativa à autoridade judiciária e deve, portanto, apresentar um nível de independência e de imparcialidade comparável a esta última.

243    Esta análise é suportada pelo objetivo da Diretiva PNR, referido no seu considerando 25, de assegurar o nível mais elevado de proteção de dados no que respeita ao acesso aos dados PNR integrais, que permitem a identificação direta do seu titular. Este mesmo considerando precisa, aliás, que tal acesso só deverá ser concedido em condições muito estritas após o prazo inicial de seis meses subsequente à transferência dos dados PNR para a UIP.

244    A referida análise é igualmente corroborada pela génese da Diretiva PNR. Com efeito, enquanto a proposta de diretiva mencionada no n.° 155 do presente acórdão, na origem da Diretiva PNR, se limitava a prever que «[o] acesso à integralidade dos dados PNR apenas será autorizado pelo responsável da unidade de informações de passageiros», a versão do artigo 12.°, n.° 3, alínea b), desta diretiva que acabou por ser adotada pelo legislador da União designa, colocando‑as no mesmo plano, a autoridade judiciária e uma «outra autoridade nacional» competente para verificar se estão reunidas as condições de divulgação dos dados PNR integrais e autorizar tal divulgação.

245    Além disso, e sobretudo, em conformidade com a jurisprudência constante recordada nos n.os 223, 225 e 226 do presente acórdão, é essencial que o acesso das autoridades competentes aos dados conservados esteja sujeito a uma fiscalização prévia efetuada por um órgão jurisdicional ou por uma entidade administrativa independente e que a decisão desse órgão jurisdicional ou dessa entidade seja tomada na sequência de um pedido fundamentado dessas autoridades apresentado, nomeadamente, no âmbito de processos de prevenção, de deteção ou de ações penais. A exigência de independência que deve satisfazer a entidade encarregada de exercer a fiscalização prévia impõe igualmente que esta tenha a qualidade de terceiro em relação à autoridade que pede o acesso aos dados, de modo a que a referida entidade possa exercer essa fiscalização de maneira objetiva e imparcial, ao abrigo de qualquer influência externa. Em especial, no domínio penal, a exigência de independência implica que a autoridade encarregada dessa fiscalização prévia, por um lado, não esteja implicada na condução do inquérito penal em causa e, por outro, tenha uma posição de neutralidade relativamente às partes no processo penal.

246    Ora, como o advogado‑geral salientou no n.° 271 das suas conclusões, o artigo 4.° da Diretiva PNR prevê, nos seus n.os 1 e 3, que a UIP criada ou designada em cada Estado‑Membro é uma autoridade competente para efeitos de prevenção, deteção, investigação ou repressão das infrações terroristas e da criminalidade grave, e que os membros do seu pessoal podem ser agentes destacados pelas autoridades competentes referidas no artigo 7.° desta diretiva, pelo que a UIP se afigura necessariamente ligada a essas autoridades. A UIP pode igualmente proceder, nos termos do artigo 6.°, n.° 2, alínea b), da referida diretiva, a tratamentos de dados PNR cujo resultado disponibiliza às referidas autoridades. Tendo em conta estes elementos, não se pode considerar que a UIP tenha a qualidade de terceiro em relação a essas mesmas autoridades e, como tal, disponha de todas as qualidades de independência e de imparcialidade exigidas para exercer a fiscalização prévia mencionada no número anterior do presente acórdão e verificar se estão reunidas as condições de divulgação dos dados PNR integrais, conforme previsto no artigo 12.°, n.° 3, alínea b), da mesma diretiva.

247    Por outro lado, o facto de esta última disposição exigir, na sua subalínea ii), em caso de autorização da divulgação dos dados PNR integrais por uma «outra autoridade nacional competente», que o responsável pela proteção de dados da UIP deve «ser informado e proceder a uma verificação expost», quando tal não se aplica caso essa autorização seja dada pela autoridade judiciária, não é suscetível de pôr em causa esta apreciação. Com efeito, segundo jurisprudência assente, uma fiscalização posterior, como a efetuada pelo responsável pela proteção de dados, não permitiria responder ao objetivo de uma fiscalização prévia, que consiste em impedir que seja autorizado um acesso aos dados em causa que ultrapasse os limites do estritamente necessário (v., neste sentido, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 110 bem como jurisprudência referida).

248    Tendo em conta todas estas considerações, há que responder à sétima questão que o artigo 12.°, n.° 3, alínea b), da Diretiva PNR deve ser interpretado no sentido de que se opõe a uma legislação nacional, segundo a qual a autoridade instituída como UIP tem igualmente a qualidade de autoridade nacional competente habilitada a autorizar a divulgação dos dados PNR decorrido o prazo de seis meses subsequente à transferência desses dados para a UIP.

E.      Quanto à oitava questão

249    Com a sua oitava questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 12.° da Diretiva PNR, em conjugação com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta, deve ser interpretado no sentido de que se opõe a uma legislação nacional que prevê um prazo geral de conservação dos dados PNR de cinco anos, sem distinguir consoante os passageiros em causa apresentem ou não um risco em matéria de infrações terroristas ou de criminalidade grave.

250    Há que recordar que, segundo o artigo 12.°, n.os 1 e 4, desta diretiva, a UIP do Estado‑Membro em cujo território o voo aterre ou de cujo território descole conserva os dados PNR fornecidos pelas transportadoras aéreas numa base de dados por um prazo de cinco anos contados a partir da sua transferência para essa unidade e apaga esses dados de forma definitiva no termo desse prazo de cinco anos.

251    Como recorda o considerando 25 da Diretiva PNR, o «prazo durante [o] qual deverão ser conservados os dados PNR deverá ser tão longo quanto necessário e proporcionado à consecução dos objetivos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave».

252    Por conseguinte, a conservação dos dados PNR em aplicação do artigo 12.°, n.° 1, da Diretiva PNR não pode ser justificada na falta de relação objetiva entre essa conservação e os objetivos prosseguidos por esta diretiva, a saber, a luta contra as infrações terroristas e a criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

253    A este respeito, como resulta deste considerando 25 da Diretiva PNR, há que fazer uma distinção entre, por um lado, o prazo de conservação inicial de seis meses, previsto no artigo 12.°, n.° 2, desta diretiva, e, por outro, o prazo subsequente, previsto no artigo 12.°, n.° 3, da referida diretiva.

254    A interpretação do artigo 12.°, n.° 1, da Diretiva PNR deve ter em conta as disposições que figuram nos n.os 2 e 3 deste artigo, que estabelecem o regime de conservação e de acesso aos dados PNR conservados após o termo do prazo de conservação inicial de seis meses. Como decorre do considerando 25 desta diretiva, estas disposições traduzem, por um lado, o objetivo de assegurar «que os dados PNR sejam conservados durante um prazo suficientemente longo para permitir a realização de análises e a sua utilização no âmbito de investigações», podendo estas já ser efetuadas durante o prazo de conservação inicial de seis meses. Por outro lado, procuram, segundo o mesmo considerando 25, «evitar uma utilização desproporcionada» mediante o mascaramento desses dados e «assegurar o nível mais elevado de proteção de dados» autorizando o acesso a esses dados sob uma forma que permita a identificação direta do seu titular apenas «em condições muito estritas e limitadas após aquele prazo inicial», tomando assim em conta o facto de que quanto mais longa for a conservação dos dados PNR, mais grave é a ingerência que daí resulta.

255    Ora, a distinção entre o prazo de conservação inicial de seis meses, previsto no artigo 12.°, n.° 2, da Diretiva PNR, e o prazo subsequente, previsto no artigo 12.°, n.° 3, desta diretiva, aplica‑se igualmente ao necessário cumprimento do requisito referido no n.° 251 do presente acórdão.

256    Assim, atendendo às finalidades da Diretiva PNR e às necessidades de investigação e de repressão das infrações terroristas e da criminalidade grave, há que considerar que a conservação, durante o prazo inicial de seis meses, dos dados PNR de todos os passageiros aéreos sujeitos ao sistema instituído por esta diretiva, sem que exista a menor indicação do seu envolvimento em infrações terroristas ou criminalidade grave, não parece, em princípio, exceder os limites do estritamente necessário, na medida em que permite a realização das pesquisas necessárias para identificar pessoas que não eram suspeitas de participação em infrações terroristas ou criminalidade grave.

257    Em contrapartida, no que toca ao prazo subsequente, previsto no artigo 12.°, n.° 3, da Diretiva PNR, a conservação dos dados PNR de todos os passageiros aéreos sujeitos ao sistema instituído por esta diretiva, além de comportar, devido à quantidade significativa de dados suscetíveis de serem conservados de forma contínua, riscos inerentes de utilização desproporcionada e de abuso (v., por analogia, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 119), colide com o requisito previsto no considerando 25 da referida diretiva, segundo o qual os dados só devem ser conservados pelo prazo necessário e proporcionado aos objetivos prosseguidos, tendo o legislador da União pretendido fixar o mais elevado nível de proteção dos dados PNR que permitem uma identificação direta dos seus titulares.

258    Com efeito, no que respeita aos passageiros aéreos relativamente aos quais nem a avaliação prévia prevista no artigo 6.°, n.° 2, alínea a), da Diretiva PNR, nem as eventuais verificações efetuadas durante o prazo de seis meses previsto no artigo 12.°, n.° 2, desta diretiva, nem qualquer outra circunstância, revelaram a existência de elementos objetivos suscetíveis de estabelecer um risco em matéria de infrações terroristas ou de criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com a viagem aérea efetuada por esses passageiros, não se afigura existir, em tais circunstâncias, qualquer relação, ainda que indireta, entre os dados PNR desses passageiros e o objetivo prosseguido pela referida diretiva, que justifique a conservação desses mesmos dados [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.os 204 e 205].

259    Por conseguinte, não se afigura que o armazenamento contínuo dos dados PNR de todos os passageiros após o prazo inicial de seis meses se limite ao estritamente necessário [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 206].

260    Todavia, na medida em que, em casos particulares, são identificados elementos objetivos, como os dados PNR dos passageiros que deram origem a um resultado positivo verificado, que permitem considerar que certos passageiros poderiam representar um risco em termos de infrações terroristas ou de criminalidade grave, parece admissível um armazenamento dos seus dados PNR após esse prazo inicial [v., por analogia, Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.° 207 e jurisprudência referida].

261    Com efeito, a identificação destes elementos objetivos seria suscetível de estabelecer uma relação com os objetivos prosseguidos pelos tratamentos ao abrigo da Diretiva PNR, pelo que a conservação dos dados PNR relativos a esses passageiros se justificaria durante o prazo máximo admitido pela referida diretiva, a saber, durante cinco anos.

262    No caso em apreço, na medida em que a legislação em causa no processo principal parece prever uma duração geral da conservação dos dados PNR de cinco anos, aplicável indiferentemente a todos os passageiros, incluindo àqueles relativamente aos quais nem a avaliação prévia prevista no artigo 6.°, n.° 2, alínea a), da Diretiva PNR, nem as eventuais verificações efetuadas durante o prazo inicial de seis meses, nem qualquer outra circunstância, revelaram a existência de elementos objetivos suscetíveis de estabelecer um risco em matéria de infrações terroristas ou de criminalidade grave, essa legislação é suscetível de violar o artigo 12.°, n.° 1, desta diretiva, lido à luz dos artigos 7.°, 8.°, e 52.°, n.° 1, da Carta, salvo se puder ser objeto de uma interpretação conforme com estas disposições, o que incumbe ao órgão jurisdicional de reenvio verificar.

263    Tendo em conta as considerações precedentes, há que responder à oitava questão que o artigo 12.°, n.° 1, da Diretiva PNR, lido em conjugação com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta, deve ser interpretado no sentido de que se opõe a uma legislação nacional que prevê um prazo geral de conservação dos dados PNR de cinco anos, aplicável indiferentemente a todos os passageiros aéreos, incluindo àqueles relativamente aos quais nem a avaliação prévia prevista no artigo 6.°, n.° 2, alínea a), desta diretiva, nem as eventuais verificações efetuadas durante o prazo de seis meses previsto no artigo 12.°, n.° 2, da referida diretiva, nem qualquer outra circunstância, revelaram a existência de elementos objetivos suscetíveis de estabelecer um risco em matéria de infrações terroristas ou de criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

F.      Quanto à nona questão, alínea a)

264    Com a sua nona questão, alínea a), o órgão jurisdicional de reenvio interroga‑se, em substância, sobre a validade da Diretiva API à luz do artigo 3.°, n.° 2, TUE e do artigo 45.° da Carta, partindo da premissa de que as obrigações que esta diretiva institui se aplicam aos voos intra‑UE.

265    Ora, como o advogado‑geral salientou no n.° 277 das suas conclusões e como observaram o Conselho, a Comissão e vários governos, esta premissa é errada.

266    Com efeito, o artigo 3.°, n.° 1, da Diretiva API prevê que os Estados‑Membros devem tomar as disposições necessárias para obrigar as transportadoras a transmitirem, até ao final do registo de embarque e a pedido das autoridades responsáveis pelos controlos de passageiros nas fronteiras externas, as informações relativas aos passageiros que transportarem até um ponto autorizado de passagem de fronteira através do qual entrem no território de um Estado‑Membro. Estes dados são transmitidos, segundo o artigo 6.°, n.° 1, da referida diretiva, às autoridades responsáveis pela realização de controlos nas fronteiras externas através das quais o passageiro entra nesse território e são objeto de tratamento nas condições previstas nesta última disposição.

267    Ora, resulta claramente destas disposições, lidas à luz do artigo 2.°, alíneas a), b) e d), da Diretiva API, onde são definidos os conceitos, respetivamente, de «transportadora», «fronteiras externas» e «ponto de passagem da fronteira», que esta diretiva apenas impõe às transportadoras aéreas a obrigação de transmitirem os dados referidos no seu artigo 3.°, n.° 2, às autoridades responsáveis pelos controlos nas fronteiras externas no caso dos voos que transportem passageiros para um ponto de passagem autorizado para a passagem das fronteiras externas dos Estados‑Membros com países terceiros e prevê apenas o tratamento dos dados relativos a esses voos.

268    Em contrapartida, a referida diretiva não impõe nenhuma obrigação relativa aos dados dos passageiros que viajem em voos que apenas atravessam fronteiras internas entre os Estados‑Membros.

269    Importa acrescentar que a Diretiva PNR, ao incluir entre os dados PNR, como resulta do seu considerando 9 e do seu artigo 8.°, n.° 2, os dados referidos no artigo 3.°, n.° 2, da Diretiva API recolhidos em conformidade com esta diretiva e conservados por certas transportadoras aéreas, e ao conferir aos Estados‑Membros a faculdade de aplicarem a Diretiva PNR, ao abrigo do seu artigo 2.°, aos voos intra‑UE que definam, não alterou o alcance das disposições da Diretiva API nem as limitações que resultam desta diretiva.

270    Tendo em conta o que precede, há que responder à nona questão, alínea a), que a Diretiva API deve ser interpretada no sentido de que não se aplica aos voos intra‑UE.

G.      Quanto à nona questão, alínea b)

271    Embora, na sua nona questão, alínea b), o órgão jurisdicional de reenvio se refira à Diretiva API, em conjugação com o artigo 3.°, n.° 2, TUE e com o artigo 45.° da Carta, resulta do pedido de decisão prejudicial que este órgão jurisdicional se interroga sobre a compatibilidade do sistema de transferência e de tratamento dos dados dos passageiros instituído pela Lei de 25 de dezembro de 2016 com a livre circulação de pessoas e com a supressão dos controlos nas fronteiras internas previstas pelo direito da União, na medida em que este sistema se aplica não só aos transportes aéreos, mas também aos transportes ferroviários, terrestres e até marítimos, a partir da Bélgica ou com destino à Bélgica, efetuados dentro da União, sem passagem das fronteiras externas com países terceiros.

272    Ora, como resulta dos n.os 265 a 269 do presente acórdão, a Diretiva API, que não se aplica aos voos intra‑UE e não impõe a obrigação de transferência e de tratamento dos dados dos passageiros que viajem por via aérea ou por outro meio de transporte dentro da União, sem passagem das fronteiras externas com países terceiros, não é pertinente para responder a esta questão.

273    Em contrapartida, e embora, segundo o artigo 67.°, n.° 2, TFUE, a União assegure a ausência de controlos de pessoas nas fronteiras internas, o artigo 2.° da Diretiva PNR, em que o legislador belga se baseou para adotar a Lei de 25 de dezembro de 2016 em questão no processo principal, como resulta do pedido de decisão prejudicial, autoriza os Estados‑Membros a aplicar esta diretiva aos voos intra‑UE.

274    Nestas condições, para dar ao órgão jurisdicional de reenvio uma resposta útil, há que reformular a nona questão, alínea b), no sentido de que visa, em substância, saber se o direito da União, em particular o artigo 2.° da Diretiva PNR, lido à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE e do artigo 45.° da Carta, deve ser interpretado no sentido de que se opõe a uma legislação nacional que prevê um sistema de transferência, pelas transportadoras e pelos operadores de viagens, e de tratamento, pelas autoridades competentes, dos dados PNR dos voos e dos transportes efetuados por outros meios dentro da União, com proveniência ou destino no Estado‑Membro que adotou tal legislação, ou ainda transitando por esse Estado‑Membro.

275    Antes de mais, o artigo 45.° da Carta consagra a livre circulação de pessoas, que constitui, aliás, uma das liberdades fundamentais do mercado interno [v., neste sentido, Acórdão de 22 de junho de 2021, Ordre des barreaux francophones et germanophone e o. (Medidas preventivas tendo em vista o afastamento), C‑718/19, EU:C:2021:505, n.° 54].

276    Este artigo garante, no seu n.° 1, o direito de qualquer cidadão da União circular e permanecer livremente no território dos Estados‑Membros, direito que, segundo as Anotações relativas à Carta dos Direitos Fundamentais (JO 2007, C 303, p. 17), corresponde ao garantido pelo artigo 20.°, n.° 2, primeiro parágrafo, alínea a), TFUE e é exercido, em conformidade com o artigo 20.°, n.° 2, segundo parágrafo, TFUE e com o artigo 52.°, n.° 2, da Carta, nas condições e limites previstos pelos Tratados e pelas medidas adotadas em aplicação destes.

277    Seguidamente, segundo o artigo 3.°, n.° 2, TUE, a União proporciona aos seus cidadãos um espaço de liberdade, segurança e justiça sem fronteiras internas, em que seja assegurada a livre circulação de pessoas, em conjugação com medidas adequadas em matéria, nomeadamente, de controlos na fronteira externa bem como de prevenção da criminalidade e combate a este fenómeno. Do mesmo modo, em conformidade com o artigo 67.°, n.° 2, TFUE, a União assegura a ausência de controlos de pessoas nas fronteiras internas e desenvolve uma política comum em matéria, nomeadamente, de controlo das fronteiras externas.

278    Em conformidade com jurisprudência constante do Tribunal de Justiça, uma legislação nacional desfavorável a certos cidadãos nacionais, pelo simples facto de estes terem exercido o seu direito de livre circulação e permanência noutro Estado‑Membro, constitui uma restrição às liberdades reconhecidas pelo artigo 45.°, n.° 1, da Carta a qualquer cidadão da União (v., neste sentido, no que respeita ao artigo 21.°, n.° 1, TFUE, Acórdãos de 8 de junho de 2017, Freitag, C‑541/15, EU:C:2017:432, n.° 35 e jurisprudência referida, bem como de 19 de novembro de 2020, ZW, C‑454/19, EU:C:2020:947, n.° 30).

279    Ora, uma legislação nacional como a que está em causa no processo principal, que aplica o sistema previsto pela Diretiva PNR não só aos voos extra‑UE mas também, em conformidade com o artigo 2.°, n.° 1, desta diretiva, aos voos intra‑UE bem como, para além do que está previsto nesta disposição, a transportes efetuados por outros meios dentro da União, tem como consequência a transferência e o tratamento sistemático e contínuo dos dados PNR de qualquer passageiro que se desloque por esses meios dentro da União exercendo a sua liberdade de circulação.

280    Como se concluiu nos n.os 98 a 111 do presente acórdão, a transferência e o tratamento dos dados dos passageiros dos voos extra‑UE e intra‑UE resultantes do sistema estabelecido pela Diretiva PNR implicam ingerências de efetiva gravidade nos direitos fundamentais das pessoas em causa consagrados nos artigos 7.° e 8.° da Carta. A gravidade desta ingerência é ainda maior no caso de a aplicação deste sistema ser alargada a outros meios de transporte dentro da União. Pelas mesmas razões que as expostas nesses números, tais ingerências são igualmente suscetíveis de prejudicar e, portanto, de dissuadir de exercer a liberdade de circulação, na aceção do artigo 45.° da Carta, os nacionais dos Estados‑Membros que tenham adotado essa legislação e, de um modo geral, os cidadãos da União que se deslocam por esses meios de transporte dentro da União, com proveniência ou destino nesses Estados‑Membros, pelo que a referida legislação comporta uma restrição a essa liberdade fundamental.

281    Segundo jurisprudência constante, uma restrição à livre circulação de pessoas só pode ser justificada se se basear em considerações objetivas e for proporcionada ao objetivo legitimamente prosseguido pelo direito nacional. Uma medida é proporcionada quando, ao mesmo tempo que é adequada à realização do objetivo prosseguido, não vai além do necessário para o alcançar (v., neste sentido, Acórdão de 5 de junho de 2018, Coman e o., C‑673/16, EU:C:2018:385, n.° 41 e jurisprudência referida).

282    Importa acrescentar que uma medida nacional que é suscetível de colocar entraves ao exercício da livre circulação das pessoas só pode ser justificada quando essa medida for conforme com os direitos fundamentais garantidos pela Carta, cujo respeito o Tribunal de Justiça assegura (Acórdão de 14 de dezembro de 2021, Stolichna obshtina, rayon «Pancharevo», C‑490/20, EU:C:2021:1008, n.° 58 e jurisprudência referida).

283    Em especial, em conformidade com a jurisprudência recordada nos n.os 115 e 116 do presente acórdão, um objetivo de interesse geral não pode ser prosseguido sem se ter em conta o facto de que deve ser conciliado com os direitos fundamentais afetados pela medida, mediante uma ponderação equilibrada entre o objetivo e os direitos em causa. A este respeito, a possibilidade de os Estados‑Membros justificarem uma restrição ao direito fundamental garantido no artigo 45.°, n.° 1, da Carta deve ser apreciada através da medição da gravidade da ingerência que tal restrição implica e da verificação de que a importância do objetivo de interesse geral prosseguido por esta restrição é proporcional a essa gravidade.

284    Como foi recordado no n.° 122 do presente acórdão, o objetivo de luta contra as infrações terroristas e a criminalidade grave que a Diretiva PNR prossegue é indubitavelmente um objetivo de interesse geral da União.

285    No que respeita à questão de saber se uma legislação nacional adotada para transpor a Diretiva PNR e que alarga o sistema previsto por esta diretiva aos voos intra‑UE e a outros meios de transporte dentro da União é adequada à realização do objetivo prosseguido, resulta das indicações que figuram nos autos de que o Tribunal de Justiça dispõe que a utilização dos dados PNR permite identificar pessoas que não eram suspeitas de participação em infrações terroristas ou criminalidade grave e que devem ser sujeitas a um controlo mais minucioso, pelo que tal legislação parece ser adequada para alcançar o objetivo de luta contra as infrações terroristas e a criminalidade grave.

286    No que respeita ao caráter necessário dessa legislação, o exercício pelos Estados‑Membros da faculdade prevista no artigo 2.°, n.° 1, da Diretiva PNR, lido à luz dos artigos 7.° e 8.° da Carta, deve limitar‑se ao estritamente necessário para a realização desse objetivo à luz dos requisitos referidos nos n.os 163 a 174 do presente acórdão.

287    Estes requisitos são aplicáveis, por maioria de razão, no caso de o sistema previsto pela Diretiva PNR ser aplicado a outros meios de transporte dentro da União.

288    Por outro lado, como resulta das indicações que figuram no pedido de decisão prejudicial, a legislação nacional em causa no processo principal transpõe, com um único ato, a Diretiva PNR, a Diretiva API e, parcialmente, a Diretiva 2010/65. Para este efeito, prevê a aplicação do sistema previsto pela Diretiva PNR a todos os voos intra‑UE e todos os transportes ferroviários, terrestres, ou mesmo marítimos, efetuados dentro da União, com proveniência, destino ou trânsito na Bélgica e aplica‑se igualmente aos operadores de viagens, prosseguindo também, simultaneamente, outros objetivos além da luta contra as infrações terroristas e a criminalidade grave. Segundo essas mesmas indicações, parece que todos os dados recolhidos no âmbito do sistema estabelecido por esta legislação nacional são conservados pela UIP numa base de dados única que engloba os dados PNR, incluindo os dados referidos no artigo 3.°, n.° 2, da Diretiva API, para todos os passageiros dos transportes abrangidos pela referida legislação.

289    A este respeito, na medida em que o órgão jurisdicional de reenvio se referiu ao objetivo de melhorar os controlos nas fronteiras e de combater a imigração ilegal na sua nona questão, alínea b), objetivo que é o da Diretiva API, importa recordar que, como resulta dos n.os 233, 234 e 237 do presente acórdão, a enumeração dos objetivos prosseguidos pelo tratamento dos dados PNR ao abrigo da Diretiva PNR reveste caráter exaustivo, pelo que uma legislação nacional que autoriza o tratamento de dados PNR recolhidos em conformidade com esta diretiva para fins diferentes dos nela previstos, a saber, nomeadamente, para melhorar os controlos nas fronteiras e combater a imigração ilegal, é contrária ao artigo 6.° da referida diretiva, lido à luz da Carta.

290    Além disso, como resulta do n.° 235 do presente acórdão, os Estados‑Membros não podem criar uma base de dados única que contenha tanto os dados PNR recolhidos ao abrigo da Diretiva PNR e relativos aos voos extra‑UE e intra‑UE como os dados dos passageiros de outros meios de transporte, bem como os dados referidos no artigo 3.°, n.° 2, da Diretiva API, nomeadamente quando esta base de dados possa ser consultada para efeitos da prossecução não só das finalidades referidas no artigo 1.°, n.° 2, da Diretiva PNR como também de outras finalidades.

291    Por último, e em qualquer caso, como o advogado‑geral salientou no n.° 281 das suas conclusões, os artigos 28.° a 31.° da Lei de 25 de dezembro de 2016 só são compatíveis com o direito da União, nomeadamente com o artigo 67.°, n.° 2, TFUE, se forem interpretados e aplicados no sentido de que visam unicamente a transferência e o tratamento dos dados API dos passageiros que atravessem as fronteiras externas da Bélgica com países terceiros. Com efeito, uma medida através da qual um Estado‑Membro alargasse as disposições da Diretiva API, para efeitos de melhoria dos controlos nas fronteiras e de combate à imigração ilegal, aos voos intra‑UE e, por maioria de razão, a outros meios de transporte que transportam passageiros dentro da União provenientes e com partida desse Estado‑Membro ou, ainda, em trânsito no referido Estado‑Membro, nomeadamente a obrigação de transmissão dos dados dos passageiros prevista no artigo 3.°, n.° 1, desta diretiva, equivaleria a permitir que as autoridades competentes, no momento da passagem das fronteiras internas do referido Estado‑Membro, se assegurassem sistematicamente que esses passageiros podem ser autorizados a entrar no seu território ou a dele sair e teria, assim, um efeito equivalente aos controlos efetuados nas fronteiras externas com países terceiros.

292    Atendendo a todas estas considerações, há que responder à nona questão, alínea b), que o direito da União, em especial o artigo 2.° da Diretiva PNR, lido à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE e do artigo 45.° da Carta, deve ser interpretado no sentido de que se opõe:

–        a uma legislação nacional que prevê, não havendo uma ameaça terrorista real e atual ou previsível a que o Estado‑Membro em causa deva fazer face, um sistema de transferência, pelas transportadoras aéreas e pelos operadores de viagens, e de tratamento, pelas autoridades competentes, dos dados PNR de todos os voos intra‑UE e dos transportes efetuados por outros meios dentro da União, com proveniência de ou com destino a esse Estado‑Membro ou ainda transitando através dele, a fim de lutar contra as infrações terroristas e a criminalidade grave. Numa situação dessas, a aplicação do sistema estabelecido pela Diretiva PNR deve limitar‑se à transferência e ao tratamento dos dados PNR dos voos e/ou dos transportes relativos, nomeadamente, a certas ligações ou planos de viagem ou ainda a certos aeroportos, estações de caminho‑de‑ferro ou portos marítimos para os quais existam indicações suscetíveis de justificar essa aplicação. Incumbe ao Estado‑Membro em causa selecionar os voos intra‑UE e/ou os transportes efetuados por outros meios dentro da União, para os quais existem essas indicações, e reexaminar regularmente a referida aplicação em função da evolução das condições que justificaram a sua seleção, para efeitos de garantir que a aplicação desse sistema a esses voos e/ou a esses transportes continua limitada ao estritamente necessário, e

–        a uma legislação nacional que prevê esse sistema de transferência e de tratamento dos referidos dados para efeitos da melhoria dos controlos nas fronteiras e da luta contra a imigração ilegal.

H.      Quanto à décima questão

293    Com a sua décima questão, o órgão jurisdicional de reenvio pretende saber, em substância, se o direito da União deve ser interpretado no sentido de que um órgão jurisdicional nacional pode limitar no tempo os efeitos de uma declaração de ilegalidade que lhe incumbe, por força do direito nacional, relativamente a uma legislação nacional que impõe às transportadoras aéreas, ferroviárias e terrestres, bem como aos operadores de viagens, a transferência dos dados PNR e que prevê um tratamento e uma conservação desses dados incompatíveis com as disposições da Diretiva PNR, interpretadas à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE, e dos artigos 7.°, 8.°, 45.° e 52.°, n.° 1, da Carta.

294    O princípio do primado do direito da União consagra a prevalência do direito da União sobre o direito dos Estados‑Membros. Este princípio impõe, assim, a todas as instâncias dos Estados‑Membros que confiram pleno efeito às diferentes disposições do direito da União, não podendo o direito dos Estados‑Membros afetar o efeito reconhecido a essas disposições no território dos referidos Estados. Por força deste princípio, na impossibilidade de proceder a uma interpretação da legislação nacional conforme com as exigências do direito da União, o juiz nacional encarregado de aplicar, no âmbito da sua competência, as disposições do direito da União tem a obrigação de garantir o pleno efeito das mesmas, não aplicando, se necessário e por sua própria iniciativa, qualquer disposição contrária da legislação nacional, mesmo que posterior, sem ter de pedir ou de esperar pela sua revogação prévia por via legislativa ou por qualquer outro procedimento constitucional (Acórdãos de 15 de julho de 1964, Costa, 6/64, EU:C:1964:66, pp. 1159 e 1160; de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 214 e 215, bem como de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 118).

295    Só o Tribunal de Justiça pode, a título excecional e com base em considerações imperiosas de segurança jurídica, conceder uma suspensão provisória do efeito de exclusão exercido por uma regra do direito da União relativamente ao direito nacional a ela contrário. Essa limitação no tempo dos efeitos da interpretação deste direito dada pelo Tribunal de Justiça apenas pode ser concedida no próprio acórdão que decide sobre a interpretação pedida. O primado e a aplicação uniforme do direito da União ficariam comprometidos se os órgãos jurisdicionais nacionais pudessem, ainda que a título provisório, dar primazia às disposições nacionais sobre o direito da União (Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 119 e jurisprudência referida).

296    Contrariamente à omissão de uma obrigação processual como a avaliação prévia dos efeitos de um projeto no ambiente, em causa no processo que deu origem ao Acórdão de 29 de julho de 2019, Inter‑Environnement Wallonie e Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, n.os 175, 176, 179 e 181), no qual o Tribunal de Justiça aceitou uma suspensão provisória desse efeito de exclusão, uma violação das disposições da Diretiva PNR, interpretada à luz dos artigos 7.°, 8.°, 45.° e 52.°, n.° 1, da Carta, não pode ser objeto de uma regularização através de um procedimento comparável ao admitido nesse processo. Com efeito, a manutenção dos efeitos de uma legislação nacional, como a Lei de 25 de dezembro de 2016, significaria que esta legislação continua a impor às transportadoras aéreas e a outras transportadoras, bem como aos operadores de viagens, obrigações contrárias ao direito da União e que comportam ingerências graves nos direitos fundamentais das pessoas cujos dados foram transferidos, conservados e tratados, bem como restrições à liberdade de circulação dessas pessoas que vão além do que é necessário (v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 122 e jurisprudência referida).

297    Por conseguinte, o órgão jurisdicional de reenvio não pode limitar no tempo os efeitos de uma declaração de ilegalidade que lhe compete, por força do direito nacional, da legislação nacional em causa no processo principal (v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 123 e jurisprudência referida).

298    Por último, na medida em que o órgão jurisdicional de reenvio se interroga sobre a incidência da constatação da eventual incompatibilidade da Lei de 25 de dezembro de 2016 com as disposições da Diretiva PNR, lida à luz da Carta, na admissibilidade e na exploração dos elementos de prova e das informações obtidas através dos dados transferidos pelas transportadoras e pelos operadores de viagens em causa no âmbito de processos penais, basta remeter para a jurisprudência do Tribunal de Justiça a ela relativa, em particular para os princípios recordados nos n.os 41 a 44 do Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas) (C‑746/18, EU:C:2021:152), do qual decorre que esta admissibilidade cabe, em conformidade com o princípio da autonomia processual dos Estados‑Membros, ao direito nacional, sob reserva do respeito, nomeadamente, dos princípios da equivalência e da efetividade (v., por analogia, Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.° 127).

299    Atendendo às considerações precedentes, há que responder à décima questão que o direito da União deve ser interpretado no sentido de que se opõe a que um órgão jurisdicional nacional limite no tempo os efeitos de uma declaração de ilegalidade que lhe incumbe, por força do direito nacional, relativamente a uma legislação nacional que impõe às transportadoras aéreas, ferroviárias e terrestres, bem como aos operadores de viagens, a transferência dos dados PNR e que prevê um tratamento e uma conservação desses dados incompatíveis com as disposições da Diretiva PNR, lidas à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE, e dos artigos 7.°, 8.°, 45.° e 52.°, n.° 1, da Carta. A admissibilidade dos elementos de prova obtidos por esse meio está abrangida, em conformidade com o princípio da autonomia processual dos Estados‑Membros, pelo direito nacional, sem prejuízo da observância, nomeadamente, dos princípios da equivalência e da efetividade.

IV.    Quanto às despesas

300    Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1)      O artigo 2.°, n.° 2, alínea d), e artigo 23.° do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), devem ser interpretados no sentido de que este regulamento é aplicável ao tratamento de dados pessoais previsto por uma legislação nacional que transpõe, para o direito interno, simultaneamente as disposições da Diretiva 2004/82/CE do Conselho, de 29 de abril de 2004, relativa à obrigação de comunicação de dados dos passageiros pelas transportadoras, da Diretiva 2010/65/UE do Parlamento Europeu e do Conselho, de 20 de outubro de 2010, relativa às formalidades de declaração exigidas aos navios à chegada e/ou à partida dos portos dos EstadosMembros e que revoga a Diretiva 2002/6/CE, e da Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave, no que se refere, por um lado, a tratamentos de dados efetuados por operadores privados e, por outro, a tratamentos de dados efetuados pelas autoridades públicas abrangidos, única ou igualmente, pela Diretiva 2004/82 ou pela Diretiva 2010/65. Em contrapartida, o referido regulamento não é aplicável ao tratamento de dados previsto nessa legislação que é abrangido apenas pela Diretiva 2016/681, o qual é efetuado pela Unidade de Informação de Passageiros (UIP) ou pelas autoridades competentes para os fins previstos no artigo 1.°, n.° 2, desta Diretiva.

2)      Uma vez que uma interpretação da Diretiva 2016/681 à luz dos artigos 7.°, 8.°, 21.° e 52.°, n.° 1, da Carta dos Direitos Fundamentais da União Europeia garante a conformidade desta diretiva com estes artigos da Carta dos Direitos Fundamentais, o exame das segunda a quarta e sexta questões prejudiciais não revelou nenhum elemento suscetível de afetar a validade da referida diretiva.

3)      O artigo 6.° da Diretiva 2016/681, lido à luz dos artigos 7.°, 8.° e 52.°, n.° 1, da Carta dos Direitos Fundamentais, deve ser interpretado no sentido de que se opõe a uma legislação nacional que autoriza o tratamento dos dados dos registos de identificação dos passageiros (dados PNR) recolhidos em conformidade com esta diretiva para fins diferentes dos expressamente indicados no artigo 1.°, n.° 2, da mencionada diretiva.

4)      O artigo 12.°, n.° 3, alínea b), da Diretiva 2016/681 deve ser interpretado no sentido de que se opõe a uma legislação nacional, segundo a qual a autoridade instituída como Unidade de Informação de Passageiros (UIP) tem igualmente a qualidade de autoridade nacional competente habilitada a autorizar a divulgação dos dados PNR, decorrido o prazo de seis meses subsequente à transferência desses dados para a UIP.

5)      O artigo 12.°, n.° 1, da Diretiva 2016/681, lido em conjugação com os artigos 7.°, 8.° e 52.°, n.° 1, da Carta dos Direitos Fundamentais, deve ser interpretado no sentido de que se opõe a uma legislação nacional que prevê um prazo geral de conservação dos dados PNR de cinco anos, aplicável indiferentemente a todos os passageiros aéreos, incluindo àqueles relativamente aos quais nem a avaliação prévia prevista no artigo 6.°, n.° 2, alínea a), desta diretiva, nem as eventuais verificações efetuadas durante o prazo de seis meses previsto no artigo 12.°, n.° 2, da referida diretiva, nem qualquer outra circunstância, revelaram a existência de elementos objetivos suscetíveis de estabelecer um risco em matéria de infrações terroristas ou de criminalidade grave que apresentem um nexo objetivo, pelo menos indireto, com o transporte aéreo de passageiros.

6)      A Diretiva 2004/82 deve ser interpretada no sentido de que não é aplicável aos voos, regulares ou não, efetuados por uma transportadora aérea, com proveniência do território de um EstadoMembro e que devam aterrar no território de um ou de vários EstadosMembros, sem fazer escala no território de um país terceiro (voos intraUE).

7)      O direito da União, em especial o artigo 2.° da Diretiva 2016/681, lido à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE e do artigo 45.° da Carta dos Direitos Fundamentais, deve ser interpretado no sentido de que se opõe:

–        a uma legislação nacional que prevê, não havendo uma ameaça terrorista real e atual ou previsível a que o EstadoMembro em causa deva fazer face, um sistema de transferência, pelas transportadoras aéreas e pelos operadores de viagens, e de tratamento, pelas autoridades competentes, dos dados PNR de todos os voos intraUE e dos transportes efetuados por outros meios dentro da União, com proveniência de ou com destino a esse EstadoMembro ou ainda transitando através dele, a fim de lutar contra as infrações terroristas e a criminalidade grave. Numa situação dessas, a aplicação do sistema estabelecido pela Diretiva 2016/681 deve limitarse à transferência e ao tratamento dos dados PNR dos voos e/ou dos transportes relativos, nomeadamente, a certas ligações ou planos de viagem ou ainda a certos aeroportos, estações de caminhodeferro ou portos marítimos para os quais existam indicações suscetíveis de justificar essa aplicação. Incumbe ao EstadoMembro em causa selecionar os voos intraUE e/ou os transportes efetuados por outros meios dentro da União, para os quais existem essas indicações, e reexaminar regularmente a referida aplicação em função da evolução das condições que justificaram a sua seleção, para efeitos de garantir que a aplicação desse sistema a esses voos e/ou a esses transportes continua limitada ao estritamente necessário, e

–        a uma legislação nacional que prevê esse sistema de transferência e de tratamento dos referidos dados para efeitos da melhoria dos controlos nas fronteiras e da luta contra a imigração ilegal.

8)      O direito da União deve ser interpretado no sentido de que se opõe a que um órgão jurisdicional nacional limite no tempo os efeitos de uma declaração de ilegalidade que lhe incumbe, por força do direito nacional, relativamente a uma legislação nacional que impõe às transportadoras aéreas, ferroviárias e terrestres, bem como aos operadores de viagens, a transferência dos dados PNR e que prevê um tratamento e uma conservação desses dados incompatíveis com as disposições da Diretiva 2016/681, lidas à luz do artigo 3.°, n.° 2, TUE, do artigo 67.°, n.° 2, TFUE, e dos artigos 7.°, 8.°, 45.° e 52.°, n.° 1, da Carta dos Direitos Fundamentais. A admissibilidade dos elementos de prova obtidos por esse meio está abrangida, em conformidade com o princípio da autonomia processual dos EstadosMembros, pelo direito nacional, sem prejuízo da observância, nomeadamente, dos princípios da equivalência e da efetividade.

Assinaturas


*      Língua do processo: francês.