HOTĂRÂREA CURȚII (Marea Cameră)

21 iunie 2022(*)

Cuprins



„Trimitere preliminară – Prelucrarea datelor cu caracter personal – Datele din registrul cu numele pasagerilor (PNR) – Regulamentul (UE) 2016/679 – Articolul 2 alineatul (2) litera (d) – Domeniul de aplicare – Directiva (UE) 2016/681 – Utilizarea datelor din PNR ale pasagerilor zborurilor aeriene operate între Uniunea Europeană și țări terțe – Posibilitatea de a include datele pasagerilor zborurilor aeriene operate în cadrul Uniunii – Prelucrarea automatizată a acestor date – Termen de păstrare – Combaterea infracțiunilor de terorism și a infracțiunilor grave – Validitate – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 21, precum și articolul 52 alineatul (1) – Legislație națională care extinde aplicarea sistemului PNR la alte transporturi efectuate în cadrul Uniunii – Libertatea de circulație în cadrul Uniunii – Carta drepturilor fundamentale – Articolul 45”

În cauza C‑817/19,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Cour constitutionnelle (Curtea Constituțională, Belgia), prin decizia din 17 octombrie 2019, primită de Curte la 31 octombrie 2019, în procedura

Ligue des droits humains

împotriva

Conseil des ministres,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnii A. Arabadjiev, S. Rodin, I. Jarukaitis și N. Jääskinen, președinți de cameră, domnii T. von Danwitz (raportor), M. Safjan, F. Biltgen, P. G. Xuereb și N. Piçarra, doamna L. S. Rossi și domnii A. Kumin și N. Wahl, judecători,

avocat general: domnul G. Pitruzzella,

grefier: doamna M. Krausenböck, administratoare,

având în vedere procedura scrisă și în urma ședinței din 13 iulie 2021,

luând în considerare observațiile prezentate:

–        pentru Ligue des droits humains, de C. Forget, avocate;

–        pentru guvernul belgian, de P. Cottin, J.‑C. Halleux, C. Pochet și M. Van Regemorter, în calitate de agenți, asistați de C. Caillet, advocaat, E. Jacubowitz, avocat, precum și de G. Ceuppens, V. Dethy și M. D. Vertongen;

–        pentru guvernul ceh, de T. Machovičová, O. Serdula, M. Smolek și J. Vláčil, în calitate de agenți;

–        pentru guvernul danez, de M. Jespersen, J. Nymann‑Lindegren, V. Pasternak Jørgensen și M. Søndahl Wolff, în calitate de agenți;

–        pentru guvernul german, de D. Klebs și J. Möller, în calitate de agenți;

–        pentru guvernul estonian, de N. Grünberg, în calitate de agent;

–        pentru Irlanda, de M. Browne, A. Joyce și J. Quaney, în calitate de agenți, asistați de D. Fennelly, BL;

–        pentru guvernul spaniol, de L. Aguilera Ruiz, în calitate de agent;

–        pentru guvernul francez, de D. Dubois, E. de Moustier și T. Stehelin, în calitate de agenți;

–        pentru guvernul cipriot, de E. Neofytou, în calitate de agent;

–        pentru guvernul leton, de E. Bārdiņš, K. Pommere și V. Soņeca, în calitate de agenți;

–        pentru guvernul neerlandez, de M. K. Bulterman, A. Hanje, J. Langer și C. S. Schillemans, în calitate de agenți;

–        pentru guvernul austriac, de G. Kunnert, A. Posch și J. Schmoll, în calitate de agenți;

–        pentru guvernul polonez, de B. Majczyna, în calitate de agent;

–        pentru guvernul slovac, de B. Ricziová, în calitate de agent;

–        pentru guvernul finlandez, de A. Laine și H. Leppo, în calitate de agenți;

–        pentru Parlamentul European, de O. Hrstková Šolcová și P. López‑Carceller, în calitate de agenți;

–        pentru Consiliul Uniunii Europene, de J. Lotarski, N. Rouam, E. Sitbon și C. Zadra, în calitate de agenți;

–        pentru Comisia Europeană, de D. Nardi și M. Wasmeier, în calitate de agenți,

–        pentru Autoritatea Europeană pentru Protecția Datelor, de P. Angelov, A. Buchta, F. Coudert și C.‑A. Marnier, în calitate de agenți;

–        pentru Agenția pentru Drepturi Fundamentale a Uniunii Europene, de L. López, T. Molnar, M. Nespor și M. O’Flaherty, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 27 ianuarie 2022,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește în esență:

–        interpretarea articolului 2 alineatul (2) litera (d) și a articolului 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”), a Directivei 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO 2004, L 261, p. 24, Ediție specială, 19/vol. 7, p. 40, denumită în continuare „Directiva API”), precum și a Directivei 2010/65/UE a Parlamentului European și a Consiliului din 20 octombrie 2010 privind formalitățile de raportare aplicabile navelor la sosirea în și/sau la plecarea din porturile statelor membre și de abrogare a Directivei 2002/6/CE (JO 2010, L 283, p. 1);

–        interpretarea și validitatea, în lumina articolelor 7 și 8 și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), a articolului 3 punctul 4, a articolelor 6 și 12, precum și a anexei I la Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO 2016, L 119, p. 132, denumită în continuare „Directiva PNR”), precum și

–        interpretarea și validitatea Directivei API, în lumina articolului 3 alineatul (2) TUE și a articolului 45 din cartă.

2        Această cerere a fost formulată în cadrul unui litigiu între Ligue des droits humains, pe de o parte, și Conseil des ministres (Consiliul de Miniștri, Belgia), pe de altă parte, în legătură cu legalitatea Legii din 25 decembrie 2016 privind prelucrarea datelor pasagerilor.

I.      Cadrul juridic

A.      Dreptul Uniunii

1.      Directiva 95/46/CE

3        Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) a fost abrogată și înlocuită, cu efect de la 25 mai 2018, prin RGPD. Articolul 3 alineatul (2) din această directivă prevedea:

„Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

–      puse în practică pentru exercitarea activităților din afara domeniului de aplicare al dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;

–      efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.”

2.      Directiva API

4        Considerentele (1), (7), (9) și (12) ale Directivei API prevăd:

„(1)      Pentru a combate în mod eficient imigrația ilegală și pentru a îmbunătăți controalele la frontieră, este esențial ca toate statele membre să adopte dispoziții care să stabilească obligațiile operatorilor de transport aerieni care transportă pasageri pe teritoriul statelor membre. De asemenea, pentru atingerea acestui obiectiv cu o cât mai mare eficiență, trebuie armonizate cât de mult posibil sancțiunile pecuniare prevăzute de statele membre în cazul nerespectării obligațiilor care revin operatorilor de transport, ținând seama de diferențele între sistemele și practicile legale ale statelor membre.

[…]

(7)      Obligațiile care trebuie impuse operatorilor de transport în temeiul prezentei directive sunt complementare celor stabilite în temeiul dispozițiilor articolului 26 din Convenția de punere în aplicare a Acordului Schengen din 14 iunie 1985, semnată în 1990, completate de Directiva 2001/51/CE a Consiliului [din 28 iunie 2001 de completare a dispozițiilor prevăzute la articolul 26 din Convenția de punere în aplicare a Acordului Schengen din 14 iunie 1985 (JO 2001, L 187, p. 45, Ediție specială, 19/vol. 3 p. 177)], dat fiind că cele două tipuri de obligații concură la realizarea aceluiași obiectiv, și anume controlul fluxurilor migratoare și combaterea imigrației ilegale.

[…]

(9)      Pentru a combate într‑un mod cât mai eficient imigrația ilegală și pentru atingerea acestui obiectiv cu o cât mai mare eficiență, este indispensabil să se țină seama, fără a aduce atingere dispozițiilor Directivei [95/46], imediat ce se ivește ocazia, de orice inovații tehnologice, în special în ceea ce privește integrarea și utilizarea trăsăturilor biometrice în informațiile care trebuie furnizate de către operatorii de transport.

[…]

(12)      Directiva [95/46] se aplică în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile statelor membre. Aceasta înseamnă că, dacă este adevărat că prelucrarea datelor furnizate privind pasagerii, efectuată în scopul controalelor la frontiere, s‑ar justifica și pentru a permite utilizarea respectivelor date ca element de probă în proceduri privind aplicarea actelor cu putere de lege și a reglementărilor privind intrarea și imigrația, în special a dispozițiilor privind protecția ordinii publice și a siguranței naționale, orice altă prelucrare a respectivelor date care ar fi incompatibilă cu aceste obiective ar fi, în schimb, contrară principiului menționat la articolul 6 alineatul (1) litera (b) din Directiva [95/46]. Statele membre ar trebui să prevadă un regim de sancțiuni care s‑ar aplica în cazul unei utilizări incompatibile cu obiectivele prevăzute de prezenta directivă.”

5        Articolul 1 din Directiva API, intitulat „Obiectiv”, prevede:

„Prezenta directivă urmărește să amelioreze controalele la frontiere și să combată imigrația ilegală, prin transmiterea în prealabil, autorităților naționale competente, de către operatorii de transport, a datelor privind pasagerii.”

6        Articolul 2 din această directivă, intitulat „Definiții”, prevede:

„În sensul prezentei directive:

(a)      «operator de transport» înseamnă orice persoană fizică sau juridică care asigură, cu titlu profesional, transportul persoanelor pe calea aerului;

(b)      «frontiere externe» înseamnă frontierele externe ale statelor membre cu țări terțe;

(c)      «control la frontieră» înseamnă un control efectuat la frontieră numai în cazul în care există o intenție de trecere a respectivei frontiere, independent de orice alte considerente;

(d)      «punct de trecere a frontierei» înseamnă orice punct de trecere autorizat de către autoritățile competente pentru trecerea frontierelor externe;

(e)      «date cu caracter personal», «prelucrarea datelor cu caracter personal» și «sistem de evidență a datelor cu caracter personal» au sensul prevăzut la articolul 2 din Directiva [95/46].”

7        Articolul 3 din directiva menționată, intitulat „Transmiterea datelor”, prevede la alineatele (1) și (2):

„(1)      Statele membre iau toate măsurile necesare pentru a stabili obligația pentru operatorii de transport de a transmite, la cererea autorităților responsabile cu controlul persoanelor la frontierele externe, înainte de sfârșitul înregistrării (checkin), informațiile privind pasagerii pe care îi vor transporta către un punct autorizat de trecere a frontierei prin care respectivele persoane vor intra pe teritoriul unui stat membru.

(2)      Aceste informații includ următoarele:

–        numărul și tipul documentului de călătorie utilizat;

–        cetățenia;

–        numele complet;

–        data nașterii;

–        punctul de trecere a frontierei utilizat pentru a intra pe teritoriul statelor membre;

–        codul transportului;

–        ora de plecare și ora de sosire a transportului;

–        numărul total de persoane transportate;

–        punctul inițial de îmbarcare.”

8        Articolul 6 din Directiva API, intitulat „Prelucrarea datelor”, prevede:

„(1)      Datele privind persoanele menționate la articolul 3 alineatul (1) se transmit autorităților responsabile cu efectuarea controlului persoanelor la frontierele externe prin care pasagerul va intra pe teritoriul unui stat membru, pentru a facilita realizarea acestui control în scopul combaterii mai eficiente a imigrației ilegale.

Statele membre se asigură că datele sunt colectate de operatorii de transport și transmise, pe cale electronică sau, în caz de eșec, prin orice alte mijloace adecvate, autorităților responsabile cu efectuarea controalelor la punctul autorizat de trecere a frontierei prin care pasagerul va intra pe teritoriul unui stat membru. Autoritățile responsabile cu efectuarea controlului persoanelor la frontierele externe păstrează datele într‑un fișier temporar.

După intrarea pasagerilor, autoritățile menționate în paragraful anterior șterg datele în următoarele douăzeci și patru de ore de la transmiterea lor, cu excepția cazului în care aceste date sunt necesare ulterior pentru a permite autorităților responsabile cu efectuarea controlului persoanelor la frontierele externe să își exercite competențelor legale în conformitate cu dreptul intern și sub rezerva dispozițiilor privind protecția datelor prevăzute de Directiva [95/46].

Statele membre iau măsurile necesare pentru a stabili obligația operatorilor de transport de a șterge, în următoarele douăzeci și patru de ore de la sosirea mijlocului de transport prevăzut la articolul 3 alineatul (1), datele cu caracter personal pe care le‑au colectat și le‑au transmis autorităților responsabile cu controlul la frontiere în temeiul prezentei directive.

În conformitate cu dreptul lor intern și sub rezerva dispozițiilor privind protecția datelor prevăzute de Directiva [95/46], statele membre pot de asemenea utiliza datele cu caracter personal menționate la articolul 3 alineatul (1) în scopul aplicării legii.

(2)      Statele membre iau măsurile necesare pentru a stabili obligația operatorilor de transport de a informa pasagerii, în conformitate cu dispozițiile Directivei [95/46]. Această obligație are ca obiect și informațiile prevăzute la articolul 10 litera (c) și la articolul 11 alineatul (1) litera (c) din directiva menționată anterior.”

3.      Directiva 2010/65

9        Începând cu 15 august 2025, Directiva 2010/65 se abrogă în temeiul articolului 25 din Regulamentul (UE) 2019/1239 al Parlamentului European și al Consiliului din 20 iunie 2019 de stabilire a unui mediu aferent ghișeului unic european în domeniul maritim și de abrogare a Directivei 2010/65 (JO 2019, L 198, p. 64).

10      Considerentul (2) al acestei directive enunță:

„În vederea facilitării transportului maritim și a reducerii sarcinilor administrative pentru companiile maritime, este necesară simplificarea și armonizarea în cel mai mare grad posibil ale formalităților de raportare impuse de actele juridice ale Uniunii și de statele membre. […]”

11      Articolul 1 din directiva menționată, intitulat „Obiectul și domeniul de aplicare”, prevede la alineatele (1) și (2):

„(1)      Prezenta directivă are drept obiect simplificarea și armonizarea procedurilor administrative aplicate în sectorul transportului maritim prin transformarea transmiterii electronice a informațiilor în procedură standard și raționalizarea formalităților de raportare.

(2)      Prezenta directivă se aplică formalităților de raportare aplicabile în domeniul transportului maritim navelor la sosirea în și la plecarea din porturile situate pe teritoriul statelor membre.”

12      Potrivit articolului 8 din aceeași directivă, intitulat „Confidențialitate”:

„(1)      Statele membre, în conformitate cu actele juridice aplicabile ale Uniunii sau cu legislația națională, adoptă măsurile necesare pentru a asigura confidențialitatea informațiilor comerciale și a altor informații confidențiale care fac obiectul schimburilor în conformitate cu prezenta directivă.

(2)      Statele membre garantează în special protecția datelor cu caracter comercial colectate în temeiul prezentei directive. În ceea ce privește datele personale, statele membre garantează respectarea Directivei [95/46]. Instituțiile și organismele Uniunii [Europene] garantează respectarea Regulamentului (CE) nr. 45/2001 [al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142)].”

4.      RGPD

13      Considerentul (19) al RGPD enunță:

„Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, precum și libera circulație a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printr‑un act juridic mai specific al Uniunii, și anume Directiva (UE) 2016/680 a Parlamentului European și a Consiliului [din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89)]. Statele membre pot încredința autorităților competente în sensul [Directivei 2016/680] sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al dreptului Uniunii, să intre în domeniul de aplicare al prezentului regulament.

[…]”

14      Articolul 2 din directiva menționată, intitulat „Domeniul de aplicare material”, prevede la alineatele (1) și (2):

„(1)      Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2)      Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)      în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

(b)      de către statele membre atunci când desfășoară activități care intră sub incidența capitolului 2 al titlului V din Tratatul UE;

[…]

(d)      de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.”

15      Articolul 4 din regulamentul menționat, intitulat „Definiții”, prevede:

„În sensul prezentului regulament:

1.      «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă […];

2.      «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]”

16      Articolul 23 din RGPD, intitulat „Restricții”, prevede:

„(1)      Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

(a)      securitatea națională;

(b)      apărarea;

(c)      securitatea publică;

(d)      prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora;

[…]

(h)      funcția de monitorizare, inspectare sau reglementare legată, chiar și ocazional, de exercitarea autorității oficiale în cazurile menționate la literele (a)-(e) și (g);

[…]

(2)      În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

(a)      scopurile prelucrării sau ale categoriilor de prelucrare;

(b)      categoriile de date cu caracter personal;

(c)      domeniul de aplicare al restricțiilor introduse;

(d)      garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e)      menționarea operatorului sau a categoriilor de operatori;

(f)      perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;

(g)      riscurile pentru drepturile și libertăților persoanelor vizate și

(h)      dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.”

17      Articolul 94 din acest regulament, intitulat „Abrogarea Directivei [95/46]”, prevede:

„(1)      Directiva [95/46] se abrogă cu efect de la 25 mai 2018.

(2)      Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva [95/46] se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.”

5.      Directiva 2016/680

18      În conformitate cu articolul 59 din Directiva 2016/680, aceasta a abrogat și a înlocuit, începând cu 6 mai 2018, Decizia‑cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecția datelor cu caracter personal prelucrate în cadrul cooperării polițienești și judiciare în materie penală (JO 2008, L 350, p. 60).

19      Potrivit considerentelor (9)-(11) ale Directivei 2016/680:

„(9)      Pe această bază, [RGPD] stabilește normele generale pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și garantarea liberei circulații a acestor date în cadrul Uniunii.

(10)      În Declarația nr. 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată la actul final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, conferința a recunoscut că s‑ar putea dovedi necesare norme specifice privind protecția datelor cu caracter personal și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 [TFUE], având în vedere natura specifică a acestor domenii.

(11)      Prin urmare, domeniile menționate ar trebui să fie reglementate printr‑o directivă care să stabilească norme specifice privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora, cu respectarea naturii speciale a activităților în cauză. Pot reprezenta astfel de autorități competente nu numai autoritățile publice, precum autoritățile judiciare, poliția sau alte autorități de aplicare a legii, ci și orice alt organism sau altă entitate însărcinată prin dreptul intern să exercite autoritatea publică și competențe publice în sensul prezentei directive. În cazul în care un astfel de organism sau de entitate prelucrează date cu caracter personal în alte scopuri decât cele urmărite de prezenta directivă, se aplică [RGPD]. [RGPD] se aplică, prin urmare, în cazurile în care un organism sau o entitate colectează date cu caracter personal în alte scopuri și ulterior prelucrează datele cu caracter personal respective în vederea respectării unei obligații legale care îi revine. De exemplu, în scopul depistării, investigării sau urmăririi infracțiunilor, instituțiile financiare păstrează anumite date cu caracter personal care sunt prelucrate de către acestea și furnizează datele cu caracter personal respective numai autorităților naționale competente în cazuri specifice și în conformitate cu dreptul intern. Unui organism sau entități care prelucrează date cu caracter personal în numele acestor autorități, în cadrul domeniului de aplicare al prezentei directive, ar trebui să îi revină obligații în temeiul unui contract sau al altui act juridic și al dispozițiilor aplicabile persoanelor împuternicite de către operatori în conformitate cu prezenta directivă, fără ca prin aceasta să se aducă atingere aplicării [RGPD] în ceea ce privește prelucrarea datelor cu caracter personal de către persoana împuternicită de către operator, atunci când această prelucrare nu intră sub incidența prezentei directive.”

20      Articolul 1 din această directivă, intitulat „Obiect și obiective”, care corespunde în esență articolului 1 din Decizia‑cadru 2008/977, prevede la alineatul (1):

„Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.”

21      Articolul 3 din directiva menționată, intitulat „Definiții”, prevede:

„În înțelesul prezentei directive:

[…]

7.      «autoritate competentă» înseamnă:

(a)      orice autoritate publică competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora sau

(b)      orice alt organism sau entitate împuternicit(ă) de dreptul intern să exercite autoritate publică și competențe publice în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora;

[…]”

6.      Directiva PNR

22      Considerentele (4)-(12), (15), (19), (20), (22), (25), (27), (28), (33), (36) și (37) ale Directivei PNR enunță:

„(4)      Directiva [API] reglementează transferul datelor privind informațiile prealabile referitoare la pasageri (API) de către operatorii de transport aerian către autoritățile naționale competente, în scopul îmbunătățirii controalelor la frontieră și al combaterii imigrației ilegale.

(5)      Obiectivele prezentei directive sunt, printre altele, asigurarea securității, protejarea vieții și siguranței persoanelor și crearea unui cadru juridic pentru protecția datelor din PNR în ceea ce privește prelucrarea acestora de către autoritățile competente.

(6)      Utilizarea eficace a datelor din PNR, cum ar fi compararea datelor din PNR cu diferite baze de date privind persoane și obiecte căutate, este necesară pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, consolidând astfel securitatea internă, pentru strângerea probelor și, acolo unde este cazul, pentru identificarea complicilor infractorilor și destructurarea rețelelor infracționale.

(7)      Evaluarea datelor din PNR permite identificarea persoanelor care nu erau suspectate de implicare în infracțiuni de terorism sau în infracțiuni grave înainte de o astfel de evaluare și care ar trebui să facă obiectul unor cercetări suplimentare desfășurate de către autoritățile competente. Prin utilizarea datelor din PNR se poate contracara amenințarea reprezentată de infracțiunile de terorism și de infracțiunile grave dintr‑o altă perspectivă decât prin prelucrarea altor categorii de date cu caracter personal. Cu toate acestea, pentru a asigura faptul că prelucrarea datelor din PNR rămâne limitată la ceea ce este necesar, definirea și aplicarea de criterii de evaluare ar trebui să fie limitate la infracțiuni de terorism și infracțiuni grave pentru care este relevantă utilizarea unor astfel de criterii. Mai mult decât atât, criteriile de evaluare ar trebui definite într‑un mod care să reducă la minimum numărul persoanelor nevinovate identificate greșit prin intermediul acestui sistem.

(8)      Transportatorii aerieni colectează și prelucrează deja datele din PNR ale pasagerilor lor în scopuri comerciale proprii. Prezenta directivă nu ar trebui să impună transportatorilor aerieni nicio obligație de a colecta sau păstra date suplimentare de la pasageri sau să impună vreo obligație pasagerilor de a furniza date în plus față de cele furnizate deja transportatorilor aerieni.

(9)      Unii transportatori aerieni păstrează, ca parte a datelor din PNR, datele API pe care le colectează, iar alții nu. Utilizarea datelor din PNR împreună cu datele API conferă valoare adăugată asistenței oferite statelor membre pentru verificarea identității unei persoane, consolidând, prin aceasta, valoarea rezultatului respectiv în ceea ce privește aplicarea legii și reducând la minimum riscul de a efectua verificări și cercetări cu privire la persoane nevinovate. Este așadar importantă asigurarea faptului că, atunci când transportatorii aerieni colectează date API, aceștia le transferă indiferent dacă păstrează datele API prin alte mijloace tehnice decât pentru alte date din PNR.

(10)      Pentru a preveni, depista, investiga și urmări penal infracțiunile de terorism și infracțiunile grave, este esențial ca toate statele membre să introducă dispoziții care să stabilească obligații pentru transportatorii aerieni care operează zboruri extra‑UE de a transfera datele din PNR colectate, inclusiv datele API. De asemenea, statele membre ar trebui să aibă posibilitatea să extindă această obligație la transportatorii aerieni care operează zboruri intra‑UE. Aceste dispoziții nu ar trebui să aducă atingere Directivei [API].

(11)      Prelucrarea datelor cu caracter personal ar trebui să fie proporțională cu obiectivele specifice de securitate urmărite prin prezenta directivă.

(12)      Definiția infracțiunilor de terorism aplicată în prezenta directivă ar trebui să fie aceeași ca cea din Decizia‑cadru 2002/475/JAI a Consiliului [din 13 iunie 2002 privind combaterea terorismului (JO 2002, L 164, p. 3, Ediție specială, 19/vol. 3, p. 252)]. Definiția infracțiunilor grave ar trebui să cuprindă categoriile de infracțiuni enumerate în anexa II la prezenta directivă.

[…]

(15)      O listă a datelor din PNR solicitate care urmează să fie obținute de o [unitate de informații despre pasageri (UIP)] ar trebui să fie elaborată cu scopul de a reflecta cerințele legitime ale autorităților publice de prevenire, depistare, investigare și urmărire penală a infracțiunilor de terorism și a infracțiunilor grave, îmbunătățind prin aceasta securitatea internă în cadrul Uniunii și protejând totodată drepturile fundamentale, în special dreptul la viață privată și dreptul la protecția datelor cu caracter personal. În acest scop, ar trebui să se aplice standarde ridicate în conformitate cu [carta], cu Convenția pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (denumită în continuare «Convenția 108») și cu Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale[, semnată la Roma la 4 noiembrie 1950 (denumită în continuare «CEDO»)]. O astfel de listă nu ar trebui să se bazeze pe rasa sau originea etnică, religia sau convingerile, opiniile politice sau de orice altă natură, apartenența la un sindicat, starea de sănătate, viața sexuală sau orientarea sexuală a unei persoane. Datele din PNR ar trebui să conțină exclusiv detalii privind rezervările pasagerilor și itinerariile călătoriilor, care permit autorităților competente să‑i identifice pe acei pasageri ai curselor aeriene care reprezintă o amenințare pentru securitatea internă.

[…]

(19)      Fiecare stat membru ar trebui să fie responsabil de evaluarea amenințărilor potențiale legate de infracțiuni de terorism și de infracțiuni grave.

(20)      Ținându‑se cont pe deplin de dreptul la protecția datelor cu caracter personal și de dreptul la nediscriminare, nu ar trebui să fie luată nicio decizie care produce efecte juridice adverse asupra unei persoane sau care o afectează în mod semnificativ exclusiv ca urmare a prelucrării automatizate a datelor din PNR. Mai mult, conform articolelor 8 și 21 din cartă, nicio astfel de decizie nu ar trebui să discrimineze o persoană pe motive precum sexul, rasa, culoarea, originea etnică sau socială, caracteristicile genetice, limba, religia sau convingerile, opiniile politice sau de orice altă natură, apartenența la o minoritate națională, averea, nașterea, un handicap, vârsta sau orientarea sexuală. Cu ocazia revizuirii aplicării prezentei directive, Comisia [Europeană] ar trebui de asemenea să ia în considerare respectivele principii.

[…]

(22)      Ținând pe deplin seama de principiile evidențiate în jurisprudența relevantă recentă a Curții de Justiție a Uniunii Europene, aplicarea prezentei directive ar trebui să asigure respectarea deplină a drepturilor fundamentale, a dreptului la viață privată și a principiului proporționalității. De asemenea, ar trebui să respecte cu adevărat obiectivele vizând necesitatea și proporționalitatea pentru a îndeplini interesele generale recunoscute de Uniune și nevoia de a proteja drepturile și libertățile celorlalți în combaterea infracțiunilor de terorism și a infracțiunilor grave. Aplicarea prezentei directive ar trebui justificată în mod corespunzător și ar trebui să existe garanțiile necesare pentru a se asigura legalitatea oricărei acțiuni de stocare, analiză, transfer sau utilizare a datelor din PNR.

[…]

(25)      Datele din PNR ar trebui să fie păstrate atât timp cât este necesar în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și proporțional cu acest scop. Din cauza naturii datelor și scopurilor pentru care acestea sunt utilizate, este necesar ca datele din PNR să fie păstrate o perioadă suficient de îndelungată pentru efectuarea de analize și pentru utilizarea în investigații. În vederea evitării utilizării disproporționate, după perioada inițială de păstrare, datele ar trebui să fie depersonalizate prin mascarea elementelor de date. Pentru a asigura cel mai înalt nivel de protecție a datelor, accesul la datele complete din PNR care permit identificarea directă a persoanei vizate ar trebui acordat numai în condiții foarte stricte și limitate după perioada inițială respectivă.

[…]

(27)      Prelucrarea datelor din PNR în fiecare stat membru, de către UIP și autoritățile competente, ar trebui să facă obiectul unui standard de protecție a datelor cu caracter personal în temeiul dreptului intern în concordanță cu Decizia‑cadru [2008/977] și cu cerințele specifice în materie de protecție a datelor prevăzute în prezenta directivă. Trimiterile la Decizia-cadru [2008/977] ar trebui înțelese ca trimiteri la legislația aflată în vigoare, precum și la legislația care o va înlocui.

(28)      Ținând seama de dreptul la protecția datelor cu caracter personal, drepturile persoanelor vizate cu privire la prelucrarea datelor acestora din PNR, cum ar fi drepturile de acces, rectificare, ștergere și restricționare și drepturile de a fi despăgubit și de a exercita o cale de atac, ar trebui să fie în concordanță atât cu Decizia‑cadru [2008/977], cât și cu nivelul ridicat de protecție prevăzut de cartă și de CEDO.

[…]

(33)      Prezenta directivă nu aduce atingere posibilității statelor membre de a prevedea, în dreptul intern, un sistem pentru colectarea și prelucrarea datelor din PNR de la operatorii economici care nu sunt transportatori aerieni, cum ar fi agențiile de voiaj și operatorii de turism care oferă servicii legate de călătorii – inclusiv rezervarea de zboruri – pentru care colectează și prelucrează date din PNR, sau de la alți transportatori decât cei menționați în prezenta directivă, cu condiția ca aceste dispoziții ale dreptului intern să respecte dreptul Uniunii.

[…]

(36)      Prezenta directivă respectă drepturile fundamentale și principiile cartei, în special dreptul la protecția datelor cu caracter personal, dreptul la viață privată și dreptul la nediscriminare, astfel cum sunt protejate prin articolele 8, 7 și 21 din cartă, și, prin urmare, ar trebui să fie pusă în aplicare în consecință. Prezenta directivă este compatibilă cu principiile protecției datelor, iar dispozițiile sale sunt conforme cu Deciz‑cadru [2008/977]. În plus, în vederea respectării principiului proporționalității, în domenii specifice prezenta directivă prevede norme mai stricte privind protecția datelor decât Decizia‑cadru [2008/977].

(37)      Domeniul de aplicare al prezentei directive este cât se poate de limitat, întrucât: prevede păstrarea datelor din PNR în UIP pentru o perioadă care nu depășește cinci ani, după care datele ar trebui șterse; permite ca datele să fie depersonalizate prin mascarea elementelor de date după o perioadă inițială de șase luni și interzice colectarea și utilizarea datelor sensibile. Pentru a asigura eficiența și un nivel ridicat de protecție a datelor, statele membre sunt obligate să asigure că o autoritate de supraveghere națională independentă și, în special, un responsabil cu protecția datelor sunt responsabili de consilierea și de monitorizarea privind modul de prelucrare a datelor din PNR. Fiecare prelucrare de date din PNR ar trebui să fie luată într‑o evidență sau documentată în scopul verificării legalității sale, al automonitorizării și în scopul garantării integrității și securității adecvate a prelucrării datelor. De asemenea, statele membre ar trebui să se asigure că pasagerilor le sunt oferite informații clare și precise cu privire la colectarea datelor în PNR și cu privire la drepturile lor.”

23      Articolul 1 din Directiva PNR, intitulat „Obiectul și domeniul de aplicare”, prevede:

„(1)      Prezenta directivă reglementează:

(a)      transferul de către transportatorii aerieni al datelor din registrul cu numele pasagerilor (PNR) ale pasagerilor zborurilor extra‑UE;

(b)      prelucrarea datelor menționate la litera (a), inclusiv colectarea, utilizarea și păstrarea acestora de către statele membre și schimbul de astfel de date între statele membre.

(2)      Datele din PNR colectate în conformitate cu prezenta directivă pot fi prelucrate doar în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, astfel cum este prevăzut la articolul 6 alineatul (2) literele (a), (b) și (c).”

24      Articolul 2 din această directivă, intitulat „Aplicarea prezentei directive în cazul zborurilor intra‑UE”, are următorul cuprins:

„(1)      Dacă un stat membru decide să aplice prezenta directivă în cazul zborurilor intra‑UE, acesta notifică în scris Comisia. Un stat membru poate transmite sau revoca o astfel de notificare în orice moment. Comisia publică respectiva notificare și orice revocare a acesteia în Jurnalul Oficial al Uniunii Europene.

(2)      Atunci când se transmite o notificare menționată la alineatul (1), toate dispozițiile prezentei directive se aplică zborurilor intra‑UE ca și cum ar fi zboruri extra‑UE și datelor din PNR de la zborurile intra‑UE ca și cum ar fi date din PNR de la zboruri extra‑UE.

(3)      Un stat membru poate decide să aplice prezenta directivă numai anumitor zboruri intra‑UE. În luarea unei astfel de decizii, statul membru alege zborurile pe care le consideră necesare pentru urmărirea obiectivelor prezentei directive. Statul membru poate decide în orice moment modificarea selecției zborurilor intra‑UE.”

25      Articolul 3 din directiva menționată, intitulat „Definiții”, prevede:

„În înțelesul prezentei directive, se aplică următoarele definiții:

1.      «transportator aerian» înseamnă o întreprindere de transport aerian care deține o licență de operare valabilă sau un document echivalent care îi permite să efectueze activități de transport aerian de pasageri;

2.      «zbor extra‑UE» înseamnă orice zbor regulat sau neregulat al unui transportator aerian cu proveniența dintr‑o țară terță și planificat să aterizeze pe teritoriul unui stat membru sau să decoleze de pe teritoriul unui stat membru și planificat să aterizeze într‑o țară terță, inclusiv, în ambele cazuri, zboruri cu orice escală pe teritoriul statelor membre sau al țărilor terțe;

3.      «zbor intra‑UE» înseamnă orice zbor regulat sau neregulat al unui transportator aerian cu proveniența de pe teritoriul unui stat membru și planificat să aterizeze pe teritoriul unuia sau mai multor state membre, fără escală pe teritoriul unei țări terțe;

4.      «pasager» înseamnă orice persoană, inclusiv persoanele aflate în transfer sau în tranzit și excluzând membrii echipajului, transportată sau care urmează să fie transportată într‑o aeronavă cu consimțământul transportatorului aerian, acest consimțământ fiind exprimat prin înregistrarea persoanei respective pe lista pasagerilor;

5.      «registrul cu numele pasagerilor» sau «PNR» înseamnă un registru al cerințelor de călătorie ale fiecărui pasager, care conține informațiile necesare pentru a permite prelucrarea și controlul rezervărilor de către transportatorii aerieni care efectuează rezervările și de către cei participanți, pentru fiecare călătorie rezervată de către sau în numele oricărei persoane, indiferent că este conținut în sistemele de rezervare, în sistemele de control al plecărilor utilizate pentru verificarea pasagerilor la îmbarcarea în avion sau în sisteme echivalente care oferă aceleași funcționalități;

6.      «sistem de rezervare» înseamnă sistemul intern al transportatorului aerian, în care datele din PNR sunt colectate pentru gestionarea rezervărilor;

7.      «metoda de tip push» înseamnă metoda prin care transportatorii aerieni transferă datele din PNR, enumerate în anexa I, în baza de date a autorității solicitante;

8.      «infracțiuni de terorism» înseamnă infracțiunile prevăzute de dreptul intern menționate la articolele 1-4 din Decizia‑cadru [2002/475];

9.      «infracțiuni grave» înseamnă infracțiunile enumerate în anexa II, care sunt pasibile de pedepse cu închisoarea sau cu o măsură privativă de libertate pe o perioadă maximă de cel puțin trei ani în temeiul dreptului intern al unui stat membru;

10.      «a depersonaliza prin mascarea elementelor de date» înseamnă a face ca acele elemente ale datelor care ar putea servi la identificarea directă a persoanei vizate să nu fie vizibile pentru un utilizator.”

26      Articolul 4 din Directiva PNR, intitulat „Unitatea de informații despre pasageri”, prevede la alineatele (1)-(3):

„(1)      Fiecare stat membru instituie sau desemnează o autoritate competentă pentru prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave sau o filială a unei astfel de autorități, care să acționeze ca unitate de informații despre pasageri (UIP).

(2)      UIP este responsabilă de:

(a)      colectarea datelor din PNR de la transportatorii aerieni, stocarea și prelucrarea acestor date și transferul datelor respective sau al rezultatului prelucrării acestora autorităților competente menționate la articolul 7;

(b)      schimbul de date din PNR, precum și de schimbul de rezultate ale prelucrării acestora cu UIP din alte state membre și cu Europol, în conformitate cu articolele 9 și 10.

(3)      Membrii personalului UIP pot fi detașați de la autoritățile competente. Statele membre furnizează UIP resurse adecvate pentru ca acestea să‑și îndeplinească sarcinile.”

27      Articolul 5 din această directivă, intitulat „Responsabilul cu protecția datelor în cadrul UIP”, are următorul cuprins:

„(1)      UIP numește un responsabil cu protecția datelor pentru monitorizarea prelucrării datelor din PNR și punerea în aplicare a garanțiilor relevante.

(2)      Statele membre pun la dispoziția responsabililor cu protecția datelor mijloacele necesare pentru ca aceștia să își exercite în mod eficient și independent îndatoririle și atribuțiile în conformitate cu prezentul articol.

(3)      Statele membre se asigură că persoana vizată are dreptul de a contacta responsabilul cu protecția datelor, ca punct unic de contact, cu privire la toate aspectele legate de prelucrarea datelor din PNR ale persoanei vizate.”

28      Articolul 6 din directiva menționată, intitulat „Prelucrarea datelor din PNR”, prevede:

„(1)      Datele din PNR transferate de către transportatorii aerieni sunt colectate de către UIP a statului membru relevant, astfel cum este prevăzut la articolul 8. În cazul în care datele din PNR transferate de transportatorii aerieni includ date diferite față de cele enumerate în anexa I, UIP șterge aceste date imediat și definitiv la primirea lor.

(2)      UIP prelucrează datele din PNR doar în următoarele scopuri:

(a)      efectuarea unei evaluări a pasagerilor înainte de sosirea sau de plecarea programată a acestora din statul membru, în vederea identificării persoanelor care necesită o examinare suplimentară de către autoritățile competente menționate la articolul 7 și, după caz, de către Europol, în conformitate cu articolul 10, având în vedere faptul că respectivele persoane pot fi implicate într‑o infracțiune de terorism sau într‑o infracțiune gravă;

(b)      oferirea de răspunsuri, de la caz la caz, unei cereri temeinic justificate bazate pe motive suficiente din partea autorităților competente vizând furnizarea și prelucrarea datelor din PNR în cazuri specifice în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism sau a infracțiunilor grave și comunicarea rezultatelor acestei prelucrări autorităților competente sau, după caz, Europol și

(c)      analizarea datelor din PNR în vederea actualizării sau a definirii de noi criterii ce urmează a fi utilizate pentru evaluările efectuate în temeiul alineatului (3) litera (b) în scopul identificării oricăror persoane care pot fi implicate într‑o infracțiune de terorism sau într‑o infracțiune gravă.

(3)      În momentul efectuării evaluării menționate la alineatul (2) litera (a), UIP poate:

(a)      să compare datele din PNR cu bazele de date relevante în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, inclusiv cu bazele de date privind persoane sau obiecte căutate sau care fac obiectul unei alerte, în conformitate cu normele Uniunii și cu normele internaționale și naționale aplicabile unor astfel de baze de date sau

(b)      să prelucreze date din PNR în conformitate cu anumite criterii prestabilite.

(4)      Orice evaluare a pasagerilor înainte de sosirea programată în statul membru sau de plecarea programată a acestora din statul membru, efectuată în temeiul alineatului (3) litera (b) pe baza unor criterii prestabilite, se realizează în mod nediscriminatoriu. Respectivele criterii prestabilite trebuie să fie personalizate, proporționale și specifice. Statele membre se asigură că UIP stabilesc aceste criterii și le revizuiesc periodic în cooperare cu autoritățile competente menționate la articolul 7. Aceste criterii nu se întemeiază în niciun caz pe rasa sau originea etnică a unei persoane, opiniile sale politice, religia sau convingerile sale filozofice, apartenența la un sindicat, starea sa de sănătate, viața sexuală sau orientarea sexuală.

(5)      Statele membre se asigură că toate rezultatele pozitive obținute printr‑o prelucrare automatizată a datelor din PNR realizată în temeiul alineatului (2) litera (a) sunt reexaminate individual prin mijloace neautomatizate pentru a verifica dacă autoritatea competentă menționată la articolul 7 trebuie să aplice măsuri în temeiul dreptului intern.

(6)      UIP a unui stat membru transmite datele din PNR ale persoanelor identificate conform alineatului (2) litera (a) sau rezultatul prelucrării datelor respective autorităților competente menționate la articolul 7 ale aceluiași stat membru, pentru examinare suplimentară. Aceste transferuri se fac doar de la caz la caz și, în cazul prelucrării automatizate a datelor din PNR, după reexaminarea individuală prin mijloace neautomatizate.

(7)      Statele membre se asigură că responsabilul cu protecția datelor are acces la toate datele prelucrate de către UIP. În cazul în care responsabilul cu protecția datelor consideră că prelucrarea oricăror date nu a fost legală, acesta poate sesiza în acest sens autoritatea națională de supraveghere.

[…]

(9)      Consecințele evaluărilor pasagerilor menționate la alineatul (2) litera (a) din prezentul articol nu periclitează dreptul persoanelor care se bucură de dreptul la liberă circulație pe teritoriul Uniunii de a intra pe teritoriul statului membru respectiv, conform Directivei 2004/38/CE a Parlamentului European și a Consiliului [din 29 aprilie 2004 privind dreptul la liberă circulație și ședere pe teritoriul statelor membre pentru cetățenii Uniunii și membrii familiilor acestora, de modificare a Regulamentului (CEE) nr. 1612/68 și de abrogare a Directivelor 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE și 93/96/CEE (JO 2004, L 158, p. 77, Ediție specială, 05/vol. 7, p. 56)]. În plus, atunci când evaluările se efectuează în cazul unor zboruri intra‑UE între state membre cărora li se aplică Regulamentul (CE) nr. 562/2006 al Parlamentului European și al Consiliului [din 15 martie 2006 de instituire a unui Cod comunitar privind regimul de trecere a frontierelor de către persoane (Codul frontierelor Schengen) (JO 2006, L 105, p. 1, Ediție specială, 19/vol. 10, p. 61)], consecințele acestor evaluări respectă regulamentul menționat.”

29      Potrivit articolului 7 din Directiva PNR, intitulat „Autorități competente”:

„(1)      Fiecare stat membru adoptă o listă a autorităților competente îndreptățite să solicite sau să primească date din PNR sau rezultatul prelucrării acestor datelor de la UIP în vederea examinării suplimentare a acestor informații sau a adoptării măsurilor necesare în vederea prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism sau a infracțiunilor grave.

(2)      Autoritățile menționate la alineatul (1) sunt autoritățile competente în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor de terorism sau a infracțiunilor grave.

[…]

(4)      Datele din PNR și rezultatul prelucrării acestor date primite de la UIP pot face obiectul unei prelucrări ulterioare de către autoritățile competente ale statelor membre doar în scopul specific al prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave.

(5)      Alineatul (4) nu aduce atingere competențelor naționale de aplicare a legii sau judiciare în cazul în care alte infracțiuni sau indicii privind astfel de infracțiuni sunt depistate în cursul acțiunilor de aplicare a legii, ca urmare a unei astfel de prelucrări.

(6)      Autoritățile competente nu iau doar pe baza prelucrării automatizate a datelor din PNR nicio decizie care produce efecte juridice adverse asupra unei persoane sau care afectează în mod semnificativ o persoană. Astfel de decizii nu se iau pe baza rasei sau a originii etnice a unei persoane, a opiniilor sale politice, a religiei sau a convingerilor sale filozofice, a apartenenței la un sindicat, a stării sale de sănătate, a vieții sexuale sau orientării sexuale.”

30      Articolul 8 din această directivă, intitulat „Obligațiile transportatorilor aerieni privind transferurile de date”, prevede la alineatele (1)-(3):

„(1)      Statele membre adoptă măsurile necesare pentru a se asigura că transportatorii aerieni transferă, prin «metoda push», datele din PNR enumerate în anexa I, în măsura în care aceștia colectează deja astfel de date în cadrul activităților lor obișnuite, către baza de date a UIP a statului membru pe teritoriul căruia va sosi sau de pe teritoriul căruia va pleca zborul. Dacă este vorba de un zbor al cărui cod este partajat de unul sau mai mulți transportatori aerieni, obligația de a transfera datele din PNR ale tuturor pasagerilor aparține transportatorului aerian care operează zborul. În cazul în care un zbor extra‑UE are una sau mai multe escale pe aeroporturi din state membre diferite, transportatorii aerieni transferă datele din PNR referitoare la toți pasagerii către UIP din toate statele membre în cauză. Acest lucru este valabil și în cazul în care un zbor intra‑UE are una sau mai multe escale pe aeroporturi din state membre diferite, dar numai în ceea ce privește statele membre care colectează date din PNR de la zborurile intra‑UE.

(2)      În cazul în care transportatorii aerieni au colectat [date privind API] enumerate la punctul 18 din anexa I, dar nu păstrează datele respective prin aceleași mijloace tehnice ca alte date din PNR, statele membre adoptă măsurile necesare pentru a se asigura că transportatorii aerieni transferă, prin «metoda push», datele respective către UIP a statelor membre menționate la alineatul (1). În cazul unui astfel de transfer, toate dispozițiile prezentei directive se aplică în privința respectivelor date API.

(3)      Transportatorii aerieni transferă datele din PNR prin mijloace electronice utilizând protocoale comune și formate de date compatibile, care urmează a fi adoptate în conformitate cu procedura de examinare menționată la articolul 17 alineatul (2) sau, în caz de defecțiune tehnică, prin orice alte mijloace adecvate care asigură un nivel adecvat de securitate a datelor:

(a)      cu 24 până la 48 de ore înainte de ora programată pentru plecarea zborului și

(b)      imediat după închiderea zborului, adică imediat după îmbarcarea pasagerilor în aeronava care se pregătește de decolare și când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca.”

31      Articolul 12 din directiva menționată, intitulat „Perioada de păstrare a datelor și depersonalizarea”, prevede:

„(1)      Statele membre se asigură că datele din PNR furnizate de transportatorii aerieni UIP sunt păstrate într‑o bază de date la UIP pentru o perioadă de cinci ani după transferul lor către UIP a statului membru pe teritoriul căruia sosește sau de pe teritoriul căruia pleacă zborul.

(2)      La expirarea unei perioade de șase luni de la transferul datelor din PNR, menționat la alineatul (1), toate datele din PNR se depersonalizează prin mascarea următoarelor elemente de date care ar putea servi la identificarea directă a pasagerului la care se referă datele din PNR:

(a)      numele, inclusiv numele altor pasageri din PNR, precum și numărul călătorilor din PNR care călătoresc împreună;

(b)      adresa și informațiile de contact;

(c)      toate informațiile privind plata, inclusiv adresa de facturare, în măsura în care acestea conțin informații care ar putea servi la identificarea directă a pasagerului la care se referă PNR sau a oricăror altor persoane;

(d)      informațiile din profilul «client fidel» («frequent flyer»);

(e)      mențiuni cu caracter general, în măsura în care acestea conțin informații care ar putea servi la identificarea directă a pasagerului la care se referă PNR și

(f)      orice date API care au fost colectate.

(3)      După expirarea perioadei de șase luni menționate la alineatul (2), dezvăluirea datelor complete din PNR este permisă numai dacă:

(a)      se consideră în mod rezonabil că este necesară în scopul menționat la articolul 6 alineatul (2) litera (b) și

(b)      este aprobată de către:

(i)      o autoritate judiciară sau

(ii)      o altă autoritate națională competentă, în temeiul dreptului intern, să verifice dacă sunt îndeplinite condițiile pentru dezvăluire, sub rezerva informării responsabilului cu protecția datelor din cadrul UIP și a revizuirii ulterioare de către acesta.

(4)      Statele membre asigură ștergerea definitivă a datelor din PNR după expirarea perioadei menționate la alineatul (1). Această obligație nu aduce atingere cazurilor în care date specifice din PNR au fost transferate unei autorități competente și sunt utilizate în contextul unor cazuri specifice în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor de terorism sau a infracțiunilor grave, când păstrarea acestor date de către autoritatea competentă este reglementată de dreptul intern.

(5)      Rezultatul prelucrării menționate la articolul 6 alineatul (2) litera (a) este păstrat de UIP numai pentru perioada necesară pentru informarea autorităților competente și, în conformitate cu articolul 9 alineatul (1), informarea UIP ale altor state membre cu privire la un rezultat pozitiv. În cazul în care rezultatul unei prelucrări automatizate s‑a dovedit negativ, după o reexaminare individuală prin mijloace neautomatizate astfel cum se menționează la articolul 6 alineatul (5), acesta poate fi, totuși, stocat pentru a se evita viitoare răspunsuri pozitive «false» pe durata în care datele de bază nu sunt șterse în temeiul alineatului (4) din prezentul articol.”

32      Articolul 13 din Directiva PNR, intitulat „Protecția datelor cu caracter personal”, prevede la alineatele (1)-(5):

„(1)      Fiecare stat membru se asigură că, în ceea ce privește toate prelucrările de date cu caracter personal în temeiul prezentei directive, fiecare pasager are același drept la protecția datelor sale cu caracter personal, drepturi la acces, rectificare, ștergere sau restricționare și drepturile de a fi despăgubit și de a exercita o cale de atac, în conformitate cu dreptul Uniunii și cu dreptul intern și în aplicarea articolelor 17, 18, 19 și 20 din Decizia‑cadru [2008/977]. Articolele respective sunt, prin urmare, aplicabile.

(2)      Fiecare stat membru se asigură că dispozițiile adoptate în temeiul dreptului intern în aplicarea articolelor 21 și 22 din Decizia‑cadru [2008/977] privind confidențialitatea prelucrării și securitatea datelor se aplică de asemenea tuturor prelucrărilor de date cu caracter personal în temeiul prezentei directive.

(3)      Prezenta directivă nu aduce atingere aplicabilității Directivei [95/46] în ceea ce privește prelucrarea datelor cu caracter personal de către transportatorii aerieni, în special obligația acestora de a lua măsuri tehnice și organizatorice adecvate pentru a proteja securitatea și confidențialitatea datelor cu caracter personal.

(4)      Statele membre interzic prelucrarea datelor din PNR care dezvăluie rasa sau originea etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală a unei persoane. În situația în care UIP primește date din PNR care dezvăluie astfel de informații, acestea sunt șterse imediat.

(5)      Statele membre se asigură că UIP păstrează documentația referitoare la toate sistemele și procedurile de prelucrare aflate în responsabilitatea sa. Această documentație conține cel puțin:

(a)      numele și datele de contact ale organizației și ale personalului UIP care are sarcina de a prelucra datele din PNR și diferitele niveluri de autorizare a accesului;

(b)      cererile depuse de autoritățile competente și UIP ale altor state membre;

(c)      toate cererile de date din PNR și transferurile de aceste date către o țară terță.

La cerere, UIP pune toată documentația la dispoziția autorității naționale de supraveghere.”

33      Potrivit articolului 15 din această directivă, intitulat „Autoritatea națională de supraveghere”:

„(1)      Fiecare stat membru prevede că autoritatea națională de supraveghere menționată la articolul 25 din Decizia‑cadru [2008/977] este responsabilă de consilierea privind aplicarea pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive, precum și de monitorizarea respectivei aplicări. Se aplică articolul 25 din Decizia‑cadru [2008/977].

(2)      Respectivele autorități naționale de supraveghere își desfășoară activitățile de la alineatul (1) urmărind protejarea drepturilor fundamentale legate de prelucrarea datelor cu caracter personal.

(3)      Fiecare autoritate națională de supraveghere are următoarele îndatoriri:

(a)      tratează plângerile depuse de orice persoană vizată, investighează chestiunea și informează persoanele vizate cu privire la evoluția și la soluționarea plângerilor lor într‑o perioadă de timp rezonabilă;

(b)      verifică legalitatea prelucrării datelor, desfășoară investigații, inspecții și audituri în conformitate cu dreptul intern, fie din proprie inițiativă, fie pe baza unei plângeri menționate la litera (a).

(4)      La cerere, fiecare autoritate națională de supraveghere oferă consiliere oricărei persoane vizate cu privire la exercitarea drepturilor prevăzute în dispozițiile adoptate în temeiul prezentei directive.”

34      Articolul 19 din directiva menționată, intitulat „Revizuirea”, prevede:

„(1)      Pe baza informațiilor furnizate de statele membre, inclusiv informațiile statistice menționate la articolul 20 alineatul (2), Comisia revizuiește toate elementele prezentei directive și transmite și prezintă un raport Parlamentului European și Consiliului [Uniunii Europene] până la 25 mai 2020.

(2)      În realizarea acestei revizuiri, Comisia acordă o atenție deosebită următoarelor:

(a)      respectării standardelor aplicabile de protecție a datelor cu caracter personal;

(b)      necesității și proporționalității colectării și prelucrării datelor din PNR pentru fiecare dintre scopurile prevăzute în prezenta directivă;

(c)      duratei perioadei de păstrare a datelor;

(d)      eficacității schimbului de date între statele membre și

(e)      calității evaluărilor, inclusiv în ceea ce privește informațiile statistice colectate în conformitate cu articolul 20.

(3)      Raportul menționat la alineatul (1) include de asemenea o evaluare cu privire la necesitatea, proporționalitatea și eficiența includerii în domeniul de aplicare a prezentei directive a colectării și a transferului datelor din PNR cu caracter obligatoriu, referitoare la toate sau la anumite zboruri intra‑UE. Comisia ține seama de experiența acumulată de statele membre, îndeosebi acele state membre care aplică prezenta directivă în ceea ce privește zborurile intra‑UE în conformitate cu articolul 2. Raportul analizează de asemenea necesitatea includerii operatorilor economici care nu sunt transportatori, cum ar fi agențiile de voiaj și operatorii de turism care oferă servicii legate de călătorii, inclusiv rezervarea de zboruri, în cadrul domeniului de aplicare al prezentei directive.

(4)      Dacă este cazul, ținând seama de revizuirea efectuată în temeiul prezentului articol, Comisia face o propunere legislativă Parlamentului European și Consiliului în vederea modificării prezentei directive.”

35      Articolul 21 din aceeași directivă, intitulat „Relația cu alte instrumente”, prevede la alineatul (2):

„Prezenta directivă nu aduce atingere aplicabilității Directivei [95/46] în ceea ce privește prelucrarea datelor cu caracter personal de către transportatorii aerieni.”

36      Anexa I la Directiva PNR, intitulată „Datele din registrul cu numele pasagerilor în măsura în care au fost colectate de transportatorii aerieni”, prevede:

„1.      Cod de reper al dosarului pasagerului

2.      Data rezervării/emiterii biletului

3.      Data (datele) prevăzută (prevăzute) a(le) călătoriei

4.      Nume

5.      Adresă și informații de contact (număr de telefon, adresă de e‑mail)

6.      Toate informațiile privind forma de plată, inclusiv adresa de facturare

7.      Itinerarul complet de călătorie pentru anumite PNR

8.      Informațiile din profilul «client fidel» («frequent flyer»)

9.      Agenția/agentul de turism

10.      Situația de călătorie a pasagerului, inclusiv confirmările, situația înregistrării pentru zbor, informații privind neprezentarea pasagerului la îmbarcare sau privind prezentarea acestuia în ultimul moment la îmbarcare fără rezervare prealabilă

11.      Informații scindate/divizate din registrul cu numele pasagerilor

12.      Mențiuni cu caracter general [inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba (limbile) vorbită (vorbite), numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire]

13.      Informații despre bilet, inclusiv numărul biletului, data emiterii biletului și bilete dus simplu, câmpurile aferente furnizării automate a prețului unui bilet de călătorie

14.      Numărul locului și alte informații privind locul

15.      Informații cu privire la codurile partajate

16.      Toate informațiile cu privire la bagaje

17.      Numărul pasagerilor înregistrați în PNR și alte nume ale acestora

18.      Orice date API colectate (inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii)

19.      Un istoric al tuturor modificărilor datelor din PNR enumerate la punctele 1-18.”

37      Anexa II la această directivă, intitulată „Lista de infracțiuni menționată la articolul 3 punctul 9”, are următorul cuprins:

„1.      participarea la un grup infracțional organizat,

2.      traficul de ființe umane,

3.      exploatarea sexuală a copiilor și pornografia infantilă,

4.      traficul ilicit de stupefiante și substanțe psihotrope,

5.      traficul ilegal de arme, muniții și materiale explozibile,

6.      corupția,

7.      frauda, inclusiv frauda care aduce atingere intereselor financiare ale Uniunii,

8.      spălarea produselor infracțiunii și falsificarea de monedă, inclusiv falsificarea monedei euro,

9.      infracțiuni informatice și criminalitatea cibernetică,

10.      infracțiuni împotriva mediului, inclusiv traficul ilicit de specii de animale pe cale de dispariție și traficul ilicit de specii și soiuri de plante pe cale de dispariție,

11.      facilitarea intrării și șederii neautorizate,

12.      omorul și vătămarea corporală gravă,

13.      traficul ilicit de organe și țesuturi umane,

14.      răpirea, lipsirea de libertate în mod ilegal și luarea de ostateci,

15.      furtul organizat și tâlhăria prin folosirea unei arme,

16.      traficul ilicit de bunuri culturale, inclusiv antichități și opere de artă,

17.      contrafacerea și pirateria produselor,

18.      falsificarea de documente administrative și uzul de fals,

19.      traficul ilicit de substanțe hormonale și alți factori de creștere,

20.      traficul ilicit de materiale nucleare sau radioactive,

21.      violul,

22.      infracțiunile de competența Curții Penale Internaționale,

23.      sechestrarea ilicită a aeronavelor/navelor,

24.      sabotajul,

25.      traficul de autovehicule furate,

26.      spionajul industrial.”

7.      Deciziacadru 2002/475

38      Articolul 1 din Decizia‑cadru 2002/475 definea noțiunea de „infracțiune [de terorism]” enumerând o serie de acte intenționate, menționate la literele (a)-(i) ale aceluiași articol, comise în scopul de „a intimida grav o populație”, „de a constrânge nelegitim puterile publice sau o organizație internațională să îndeplinească sau să se abțină de la a îndeplini un act oarecare” sau „de a destabiliza grav sau de a distruge structurile politice fundamentale, constituționale, economice sau sociale ale unei țări sau organizații internaționale”. Articolele 2 și 3 din această decizie‑cadru defineau noțiunile de „infracțiuni referitoare la un grup terorist” și, respectiv, de „infracțiuni legate de activitățile teroriste”. Articolul 4 din decizia‑cadru menționată reglementa incriminarea instigării și a complicității la săvârșirea acestor infracțiuni, precum și a tentativei la săvârșirea acestora.

39      Decizia‑cadru 2002/475 a fost abrogată prin Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei‑cadru 2002/475/JAI a Consiliului și de modificare a Deciziei 2005/671/JAI a Consiliului (JO 2017, L 88, p. 6), ale cărei articole 3-14 cuprind definiții analoge.

B.      Dreptul belgian

1.      Constituția

40      Articolul 22 din Constituție prevede:

„Fiecare persoană are dreptul la respectarea vieții sale private și de familie, cu excepția cazurilor și a condițiilor stabilite de lege.

Legea, decretul sau norma prevăzută la articolul 134 garantează protecția acestui drept.”

2.      Legea din 25 decembrie 2016

41      Articolul 2 din Legea din 25 decembrie 2016 privind prelucrarea datelor pasagerilor (Moniteur belge din 25 ianuarie 2017, p. 12905, denumită în continuare „Legea din 25 decembrie 2016”) are următorul cuprins:

„Prezenta lege și decretele regale care vor fi adoptate în aplicarea prezentei legi transpun [Directiva API] și [Directiva PNR]. Prezenta lege și Decretul regal privind sectorul maritim transpun parțial Directiva [2010/65].”

42      Articolul 3 din această lege prevede:

„§1      Prezenta lege stabilește obligațiile transportatorilor și ale operatorilor de turism referitoare la transmiterea datelor pasagerilor care călătoresc spre, pleacă de pe sau tranzitează teritoriul național.

§2      Regele stabilește prin decret aprobat în Consiliul de Miniștri, pentru fiecare sector de transport și pentru operatorii de turism, datele pasagerilor care trebuie transmise și modalitățile de transmitere a acestora, după avizul Comisiei privind Protecția Vieții Private.”

43      Articolul 4 din legea menționată prevede:

„În scopul punerii în aplicare a prezentei legi și a decretelor de punere în aplicare a acesteia, se aplică următoarele definiții:

[…]

8      «serviciile competente»: serviciile prevăzute la articolul 14 alineatul 1 punctul 2;

9      «PNR»: registrul cerințelor de călătorie ale fiecărui pasager, care conține informațiile prevăzute la articolul 9, necesare pentru a permite prelucrarea și controlul rezervărilor de către transportatorii și operatorii de turism care efectuează rezervările, pentru fiecare călătorie rezervată de către sau în numele oricărei persoane, indiferent că este conținut în sistemele de rezervare, în sistemele de control al plecărilor, utilizate pentru verificarea pasagerilor la îmbarcarea în avion sau în sisteme echivalente care oferă aceleași funcționalități;

10      «pasager»: orice persoană, inclusiv persoanele aflate în transfer sau în tranzit și excluzând membrii echipajului, transportată sau care urmează să fie transportată de către transportator cu consimțământul acestuia, acest consimțământ fiind exprimat prin înregistrarea persoanei respective pe lista pasagerilor;

[…]”

44      Articolul 8 din Legea din 25 decembrie 2016 prevede:

„§1      Datele pasagerilor sunt prelucrate în scopul:

1      cercetării și urmăririi penale, inclusiv executarea pedepselor sau a măsurilor privative de libertate, referitoare la infracțiunile prevăzute la articolul 90 ter alineatul 2 […] punctele 7, […] 8, […] 11, […] 14, […] 17, 18 și 19 și alineatul 3 din Codul de procedură penală;

2      cercetării și urmăririi penale, inclusiv executarea pedepselor sau a măsurilor privative de libertate, referitoare la infracțiunile prevăzute la articolul 196, în ceea ce privește infracțiunile de fals în înscrisuri autentice și oficiale, la articolele 198, 199, 199 bis, 207, 213, 375 și 505 din Codul penal;

[…]

4      monitorizării activităților prevăzute la articolul 7 punctele 1 și 3/1 și la articolul 11 alineatul 1 punctele 1-3 și 5 din Legea organică din 30 noiembrie 1998 privind serviciile de informații și de securitate;

5      cercetării și urmăririi penale a infracțiunilor prevăzute la articolul 220 alineatul 2 din Legea generală privind taxele vamale și accizele din 18 iulie 1977 și la articolul 45 alineatul 3 din Legea din 22 decembrie 2009 privind regimul general al accizelor […]

§2      În condițiile prevăzute în capitolul 11, datele pasagerilor sunt prelucrate de asemenea în scopul îmbunătățirii controlului persoanelor la frontierele externe și al combaterii imigrației ilegale.”

45      Potrivit articolului 14 alineatul 1 din această lege:

„UIP este formată din:

[…]

2      membri detașați de la următoarele servicii competente:

a)      serviciile de poliție prevăzute de Legea din 7 decembrie 1998 de organizare a unui serviciu de poliție integrat, structurat pe două niveluri;

b)      serviciul de siguranță a statului reglementat de Legea din 30 noiembrie 1998 privind serviciile de informații și de securitate;

c)      serviciul general de informații și de securitate reglementat de Legea organică din 30 noiembrie 1998 privind serviciile de informații și de securitate;

[…]”

46      Articolul 24 din Legea din 25 decembrie 2016, care figurează în secțiunea 1, intitulată „Prelucrarea datelor pasagerilor în cadrul evaluării prealabile a pasagerilor”, din capitolul 10 din aceeași lege, referitor la prelucrarea datelor, are următorul cuprins:

„§1      Datele pasagerilor sunt prelucrate în vederea efectuării unei evaluări prealabile a pasagerilor înainte de sosirea, plecarea sau tranzitul lor prevăzut pe teritoriul național, pentru a stabili care sunt persoanele care trebuie supuse unei examinări mai aprofundate.

§2      În contextul obiectivelor menționate la articolul 8 alineatul 1 punctele 1, 4 și 5 sau în legătură cu amenințările menționate la articolul 8 punctul 1 literele a), b), c), d), f) și g) și la articolul 11 alineatul 2 din Legea organică din 30 noiembrie 1998 privind serviciile de informații și de securitate, evaluarea prealabilă a pasagerilor se bazează pe o corespondență pozitivă, care rezultă dintr‑o corelare a datelor pasagerilor:

1°      cu bazele de date gestionate de serviciile competente sau care se află direct la dispoziția acestora ori care le sunt accesibile în mod direct în contextul sarcinilor lor sau cu liste de persoane întocmite de serviciile competente în contextul sarcinilor ce le revin,

2°      cu criteriile de evaluare prestabilite de UIP, menționate la articolul 25.

§3      În contextul scopurilor menționate la articolul 8 alineatul 1 punctul 3, evaluarea prealabilă a pasagerilor se bazează pe o corespondență pozitivă, rezultată în urma corelării datelor pasagerilor cu bazele de date menționate la alineatul 2 punctul 1.

§4      Corespondența pozitivă este validată de UIP în termen de 24 de ore de la primirea notificării automatizate a corespondenței pozitive.

§5      De la momentul acestei validări, serviciul competent, care a constatat această corespondență pozitivă, îi dă curs cât mai rapid posibil.”

47      Capitolul 11 din Legea din 25 decembrie 2016, intitulat „Prelucrarea datelor pasagerilor în vederea îmbunătățirii controlului la frontieră și a combaterii imigrației ilegale”, cuprinde articolele 28-31 din aceasta.

48      Articolul 28 din legea menționată prevede:

„§1      Prezentul capitol se aplică prelucrării datelor pasagerilor de către serviciile de poliție responsabile de controlul la frontiere și de Oficiul pentru Străini în vederea îmbunătățirii controlului persoanelor la frontierele externe și a combaterii imigrației ilegale.

§2      Prezentul capitol se aplică fără a aduce atingere obligațiilor ce revin serviciilor de poliție responsabile de controlul la frontiere și Oficiului pentru Străini de a transmite date cu caracter personal sau informații, în temeiul dispozițiilor legale sau administrative.”

49      Potrivit articolului 29 din legea menționată:

„§1      În scopurile menționate la articolul 28 alineatul 1, datele pasagerilor sunt transmise serviciilor de poliție responsabile de controlul la frontiere și Oficiului pentru Străini, pentru a le permite să își exercite atribuțiile legale, în limitele prevăzute de prezentul articol.

§2      Numai datele menționate la articolul 9 alineatul 1 punctul 18 sunt transmise cu privire la următoarele categorii de pasageri:

1°      pasagerii care intenționează să intre sau au intrat pe teritoriu pe la frontierele externe ale Belgiei;

2°      pasagerii care intenționează să părăsească sau au părăsit teritoriul pe la frontierele externe ale Belgiei;

3°      pasagerii care intenționează să treacă prin, se află în sau au trecut printr‑o zonă internațională de tranzit situată în Belgia.

§3      Datele pasagerilor menționate la alineatul 2 sunt transmise serviciilor de poliție responsabile de controlul la frontierele externe ale Belgiei imediat după înregistrarea lor în banca de date privind pasagerii. Acestea păstrează datele respective într‑un fișier temporar și le distrug în 24 de ore de la transmitere.

§4      Atunci când are nevoie pentru exercitarea atribuțiilor sale legale, datele pasagerilor menționate la alineatul 2 sunt transmise Oficiului pentru Străini imediat după înregistrarea lor în banca de date privind pasagerii. Acesta păstrează datele respective într‑un fișier temporar și le distrug în termen de 24 de ore de la transmitere.

În cazul în care, la expirarea acestui termen, Oficiul pentru Străini are nevoie de acces la datele pasagerilor menționate la alineatul 2 pentru exercitarea atribuțiilor sale legale, acesta adresează UIP o cerere motivată în mod corespunzător.

[…]”

50      Legea din 25 decembrie 2016 a devenit aplicabilă companiilor aeriene, transportatorilor care prestează un serviciu de transport internațional de pasageri (transportatori HST) și intermediarilor de călătorii care au un contract cu acești transportatori (distribuitori de bilete HST), precum și transportatorilor cu autobuzul prin Decretul regal din 18 iulie 2017 de punere în aplicare a Legii din 25 decembrie 2016, cu privire la obligații companiilor aeriene (Moniteur belge din 28 iulie 2017, p. 75934), prin Decretul regal din 3 februarie 2019 de punere în aplicare a Legii din 25 decembrie 2016, cu privire la obligațiile transportatorilor HST și a distribuitorilor de bilete HST (Moniteur belge din 12 februarie 2019, p. 13018), și, respectiv, prin Decretul regal din 3 februarie 2019 de punere în aplicare a Legii din 25 decembrie 2016, cu privire la obligațiile transportatorilor cu autobuzul (Moniteur belge din 12 februarie 2019, p. 13023).

II.    Litigiul principal și întrebările preliminare

51      Prin cererea introductivă din 24 iulie 2017, Ligue des droits humains a sesizat Cour constitutionnelle (Curtea Constituțională, Belgia) cu o acțiune având ca obiect anularea în tot sau în parte a Legii din 25 decembrie 2016.

52      Instanța de trimitere arată că această lege transpune în dreptul intern Directiva PNR și Directiva API, precum și, parțial, Directiva 2010/65. Din lucrările pregătitoare ale legii menționate reiese că aceasta vizează „crearea unui cadru juridic care să impună diferitelor sectoare de transport internațional de pasageri (aerian, feroviar, rutier internațional și maritim) și operatorilor de turism obligația de a transmite datele pasagerilor lor către o bază de date gestionată de [Serviciul Public Federal de Interne (Belgia)]”. Legiuitorul național ar fi precizat de asemenea că finalitățile Legii din 25 decembrie 2016 se încadrează în trei categorii, și anume, în primul rând, prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, în al doilea rând, misiunile serviciilor de informații și de securitate și, în al treilea rând, îmbunătățirea controalelor la frontierele externe și combaterea imigrației ilegale.

53      În susținerea acțiunii formulate, Ligue des droits humains invocă două motive întemeiate, primul, pe încălcarea articolului 22 din Constituție coroborat cu articolul 23 din RGPD, a articolelor 7 și 8 și a articolului 52 alineatul (1) din cartă, precum și a articolului 8 din CEDO și, al doilea, invocat cu titlu subsidiar, pe încălcarea aceluiași articol 22 coroborat cu articolul 3 alineatul (2) TUE și cu articolul 45 din cartă.

54      Prin intermediul primului motiv, Ligue des droits humains susține în esență că această lege implică o ingerință în drepturile la respectarea vieții private și la protecția datelor cu caracter personal, care nu este conformă cu articolul 52 alineatul (1) din cartă și în special cu principiul proporționalității. Astfel, domeniul de aplicare al legii menționate și definiția datelor colectate, susceptibile să dezvăluie informații sensibile, ar fi prea largi. De asemenea, noțiunea de „pasager”, în sensul aceleiași legi, ar permite o prelucrare automatizată sistematică și neselectivă a datelor tuturor pasagerilor. În plus, natura și modalitățile metodei de prescreening, precum și bazele de date cu care se compară aceste date, odată transmise, nu ar fi suficient de clar stabilite. Pe de altă parte, Legea din 25 decembrie 2016 ar urmări alte obiective decât cele ale Directivei PNR. În sfârșit, termenul de cinci ani prevăzut de această lege pentru păstrarea datelor respective ar fi disproporționat.

55      Prin intermediul celui de al doilea motiv, care vizează articolul 3 alineatul 1, articolul 8 alineatul 2 și articolele 28-31 din Legea din 25 decembrie 2016, Ligue des droits humains arată că, prin extinderea sistemului prevăzut de Directiva PNR la transporturile intra‑UE, aceste dispoziții au ca efect restabilirea în mod indirect a controalelor la frontierele interne, care contravin liberei circulații a persoanelor. Astfel, din momentul în care o persoană se află pe teritoriul belgian, datele sale ar fi colectate automat fie la sosire, fie la plecare, fie la escală.

56      Consiliul de Miniștri contestă această argumentație. Acesta consideră în special că primul motiv este inadmisibil pentru faptul că vizează RGPD, care nu ar fi aplicabil Legii din 25 decembrie 2016. Pe de altă parte, prelucrarea datelor prevăzută de această lege, în conformitate cu Directiva PNR, ar constitui un instrument esențial mai ales în cadrul combaterii terorismului și a marii infracționalități, iar măsurile ce rezultă din legea menționată ar fi necesare pentru atingerea scopurilor urmărite și proporționale.

57      În ceea ce privește primul motiv, instanța de trimitere ridică mai întâi problema aplicabilității protecției prevăzute de RGPD în cazul prelucrării datelor, instituită prin Legea din 25 decembrie 2016, care urmărește să pună în aplicare, în principal, Directiva PNR. Această instanță arată în continuare, referindu‑se la jurisprudența rezultată din Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592), că definiția datelor din PNR, care figurează la articolul 3 punctul 5, precum și în anexa I la această directivă, ar putea, pe de o parte, să nu fie suficient de clară și de precisă din cauza caracterului neexhaustiv al descrierii unora dintre aceste date, cuprinsă în aceste dispoziții, și, pe de altă parte, să conducă indirect la divulgarea unor date sensibile. În plus, definiția noțiunii de „pasager” de la articolul 3 punctul 4 din directiva menționată ar putea avea drept consecință obligativitatea generală și nediferențiată de a colecta, transfera, prelucra și stoca datele din PNR, întrucât definiția se aplică oricărei persoane transportate sau care urmează a fi transportată și înscrise pe lista pasagerilor, independent de existența unor motive serioase de a crede că această persoană a săvârșit sau este pe punctul de a săvârși o infracțiune sau a fost considerată vinovată de săvârșirea unei infracțiuni.

58      Instanța menționată mai arată că datele din PNR, în conformitate cu dispozițiile Directivei PNR, fac în mod sistematic obiectul unei evaluări prealabile care implică o confruntare cu baze de date sau cu criterii prestabilite, în vederea stabilirii unor corespondențe. Or, Comitetul consultativ al Convenției 108 a Consiliului Europei ar fi indicat, în Avizul din 19 august 2016 privind implicațiile în ceea ce privește protecția datelor din registrul cu numele pasagerilor [T‑PD(2016)18rev], că prelucrarea datelor cu caracter personal se referă la toți pasagerii, și nu doar la persoanele vizate, suspectate de a fi implicate în săvârșirea unei infracțiuni sau de a reprezenta o amenințare imediată la adresa securității naționale sau a ordinii publice, și că datele din PNR pot fi atât comparate (data matching) cu baze de date, cât și prelucrate prin explorare (data mining) cu ajutorul unor elemente de selecție sau a unor algoritmi predictivi, cu scopul de a identifica orice persoană care ar putea fi implicată sau angajată în activități infracționale, o astfel de evaluare a pasagerilor prin comparare de date putând ridica probleme de previzibilitate în special atunci când este efectuată pe baza unor algoritmi predictivi ce utilizează criterii dinamice care pot evolua continuu în funcție de capacitățile lor de autoinstruire. În acest context, instanța de trimitere consideră că, deși criteriile prestabilite care servesc la întocmirea unor profiluri de risc trebuie să fie specifice, fiabile și nediscriminatorii, în conformitate cu Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592), pare imposibil din punct de vedere tehnic să se definească în mod suplimentar aceste criterii.

59      În ceea ce privește termenul de păstrare de cinci ani și accesul la datele prevăzute la articolul 12 din Directiva PNR, această instanță arată că Comisia pentru Protecția Vieții Private (Belgia), în Avizul de inițiativă nr. 01/2010 din 13 ianuarie 2010 referitor la proiectul de lege privind aprobarea Acordului PNR UE‑Statele Unite ale Americii, a apreciat că, atunci când termenul de păstrare este lung și datele sunt stocate în mod masiv, crește riscul de profilare a persoanelor vizate, dar și riscul de deturnare a utilizării acestor date în alte scopuri decât cele prevăzute inițial. În plus, din Avizul din 19 august 2016 al Comitetului consultativ al Convenției 108 a Consiliului Europei ar reieși că datele mascate permit încă identificarea persoanelor și rămân astfel date cu caracter personal și că păstrarea lor trebuie limitată în timp pentru a preveni o supraveghere permanentă generalizată.

60      În aceste condiții, având în vedere jurisprudența rezultată în special din Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592), instanța de trimitere ridică problema dacă se poate considera că sistemul de colectare, de transfer, de prelucrare și de păstrare a datelor din PNR instituit prin Directiva PNR respectă limitele strictului necesar. Această instanță consideră că trebuie să se stabilească de asemenea dacă această directivă se opune unei legislații naționale care autorizează prelucrarea datelor din PNR în alt scop decât cele prevăzute de directiva menționată și dacă o dezvăluire a tuturor acestor date după depersonalizarea lor, în temeiul articolului 12 din aceeași directivă, ar putea fi aprobată de o autoritate națională precum UIP creată prin Legea din 25 decembrie 2016.

61      În ceea ce privește al doilea motiv, instanța de trimitere arată că articolul 3 alineatul 1 din această lege stabilește obligațiile operatorilor de transport și ale operatorilor de turism referitoare la transmiterea datelor pasagerilor „care călătoresc spre, pleacă de pe sau tranzitează teritoriul național”. Această instanță adaugă, în ceea ce privește domeniul de aplicare al legii menționate, că legiuitorul național a decis „includerea zborurilor intra‑UE în colectarea datelor” pentru a obține „o imagine mai completă privind deplasările pasagerilor care reprezintă o amenințare potențială la adresa securității intracomunitare și naționale”, ceea ce prevede articolul 2 din Directiva PNR coroborat cu considerentul (10) al acesteia pentru zborurile în interiorul Uniunii. Instanța menționată mai precizează că, în Avizul nr. 55/2015 din 16 decembrie 2015 privind proiectul preliminar de lege care stă la baza Legii din 25 decembrie 2016, Comisia pentru Protecția Vieții Private a ridicat problema unui eventual conflict între sistemul PNR belgian și principiul liberei circulații a persoanelor, în măsura în care acest sistem include transporturile efectuate în cadrul Uniunii.

62      În aceste condiții, Cour constitutionnelle (Curtea Constituțională) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Articolul 23 din [RGPD] coroborat cu articolul 2 alineatul (2) litera (d) din același regulament trebuie interpretat în sensul că se aplică unei legislații naționale precum [Legea din 25 decembrie 2016], care transpune [Directiva PNR], precum și [Directiva API] și Directiva [2010/65]?

2)      Anexa I la [Directiva PNR] este compatibilă cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] în măsura în care datele pe care aceasta le enumeră sunt foarte largi – în special datele prevăzute la punctul 18 din anexa I la [această directivă], care depășesc datele prevăzute la articolul 3 alineatul (2) din [Directiva API] – și în sensul că, coroborate, acestea ar putea să intre sub incidența datelor sensibile și, astfel, să încalce limitele «strictului necesar»?

3)      Punctele 12 și 18 din anexa I la [Directiva PNR] sunt compatibile cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] în măsura în care, având în vedere termenul «inclusiv», datele pe care le vizează sunt menționate cu titlu exemplificativ, iar nu exhaustiv, astfel încât cerința preciziei și a clarității normelor care implică o ingerință în dreptul la respectarea vieții private și în dreptul la protecția datelor cu caracter personal nu ar fi respectată?

4)      Articolul 3 punctul 4 din [Directiva PNR] și anexa I la aceeași directivă sunt compatibile cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] în măsura în care sistemul de colectare, de transfer și de prelucrare generalizate ale datelor pasagerilor pe care aceste dispoziții îl instituie privește orice persoană care utilizează mijlocul de transport respectiv, independent de orice element obiectiv care să permită să se considere că această persoană poate prezenta un risc pentru securitatea publică?

5)      Articolul 6 din [Directiva PNR] coroborat cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] trebuie interpretat în sensul că se opune unei legislații naționale precum legea atacată, care admite, ca scop al prelucrării datelor din PNR, monitorizarea activităților vizate de serviciile de informații și de securitate, integrând astfel acest scop în prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave?

6)      Articolul 6 din [Directiva PNR] este compatibil cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] în măsura în care evaluarea prealabilă organizată de acesta, printr‑o corelare cu bănci de date și criterii prestabilite, se aplică în mod sistematic și generalizat datelor privind pasagerii, independent de orice element obiectiv care să permită să se considere că acești pasageri pot prezenta un risc pentru securitatea publică?

7)      Noțiunea de «altă autoritate națională competentă», prevăzută la articolul 12 alineatul (3) din [Directiva PNR], poate fi interpretată în sensul că vizează UIP creată prin Legea din 25 decembrie 2016, care ar putea, prin urmare, să autorizeze accesul la datele din PNR după o perioadă de șase luni, în cadrul unor cercetări care vizează informații specifice?

8)      Articolul 12 din [Directiva PNR] coroborat cu articolul 7, cu articolul 8 și cu articolul 52 alineatul (1) din [cartă] trebuie interpretat în sensul că se opune unei legislații naționale precum legea atacată, care prevede un termen general de păstrare a datelor de cinci ani, fără a distinge dacă reiese, în cadrul evaluării prealabile, că pasagerii vizați pot sau nu să prezinte un risc pentru securitatea publică?

9)      a)      [Directiva API] este compatibilă cu articolul 3 alineatul (2) [TUE] și cu articolul 45 din [cartă] în măsura în care obligațiile pe care aceasta le instituie se aplică zborurilor din interiorul Uniunii Europene?

b)      [Directiva API] coroborată cu articolul 3 alineatul (2) [TUE] și cu articolul 45 din [cartă] trebuie interpretată în sensul că se opune unei legislații naționale precum legea atacată, care, în scopul combaterii imigrației ilegale și al îmbunătățirii controlului la frontiere, autorizează un sistem de colectare și de prelucrare a datelor pasagerilor «care călătoresc spre, pleacă de pe sau tranzitează teritoriul național», ceea ce ar putea implica în mod indirect o restabilire a controalelor la frontierele interne?

10)      În cazul în care, pe baza răspunsurilor date la întrebările preliminare care precedă, Cour constitutionnelle (Curtea Constituțională) ajunge la concluzia că legea atacată, care transpune printre altele [Directiva PNR], încalcă una sau mai multe dintre obligațiile care decurg din dispozițiile menționate în aceste întrebări, ar putea să mențină provizoriu efectele [Legii din 25 decembrie 2016] pentru a evita o insecuritate juridică și pentru a permite ca datele colectate și păstrate anterior să mai poată fi utilizate în scopurile prevăzute de [această] lege?”

III. Cu privire la întrebările preliminare

A.      Cu privire la prima întrebare

63      Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 2 alineatul (2) litera (d) și articolul 23 din RGPD trebuie interpretate în sensul că acest regulament este aplicabil prelucrărilor datelor cu caracter personal prevăzute de o legislație națională care urmărește să transpună în dreptul intern atât dispozițiile Directivei PNR, cât și ale Directivei API și ale Directivei 2010/65, în special transferului, păstrării și prelucrării datelor din PNR.

64      Astfel cum rezultă din articolul 2 alineatul (1) din RGPD, acest regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor. Noțiunea de „prelucrare” este definită în sens larg la articolul 4 punctul 2 din regulamentul menționat ca incluzând printre altele colectarea, înregistrarea, stocarea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție, alinierea sau ștergerea unor astfel de date sau seturi de date.

65      Cu toate acestea, guvernul belgian susține că transferul de date din PNR de către operatorii economici către UIP, în scopul prevenirii și depistării infracțiunilor, astfel cum se prevede la articolul 1 alineatul (1) litera (a) și alineatul (2) și la articolul 8 din Directiva PNR, care constituie o „prelucrare” a datelor cu caracter personal în sensul articolului 4 punctul 2 din RGPD, precum și colectarea prealabilă a acestora, nu intră în domeniul de aplicare al acestui regulament în temeiul articolului 2 alineatul (2) litera (d) din regulamentul menționat, pentru motivul că jurisprudența care rezultă din Hotărârea din 30 mai 2006, Parlamentul European/Consiliul și Comisia, C‑317/04 și C‑318/04, EU:C:2006:346, punctele 57-59), referitoare la articolul 3 alineatul (2) prima liniuță din Directiva 95/46, ar fi putea fi transpusă acestei dispoziții din regulamentul menționat.

66      În această privință, este adevărat că, astfel cum Curtea a constatat deja, articolul 3 alineatul (2) prima liniuță din Directiva 95/46, care a fost abrogată și înlocuită prin RGPD de la 25 mai 2018, excludea din domeniul său de aplicare, în general, „prelucrările care au ca obiect siguranța publică, apărarea [și] securitatea statului”, fără a efectua o distincție în funcție de autorul prelucrării de date în cauză. Astfel, prelucrările efectuate de operatori privați care decurg din obligații impuse de autoritățile publice puteau eventual să intre sub incidența excepției prevăzute la această dispoziție, ținând seama de faptul că formularea acesteia viza toate prelucrările, indiferent de autorul lor, care au ca obiect siguranța publică, apărarea sau securitatea statului (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 101).

67      Cu toate acestea, articolul 2 alineatul (2) litera (d) din RGPD face o asemenea distincție, întrucât, astfel cum a arătat domnul avocat general la punctele 41 și 46 din concluzii, modul de redactare a acestei dispoziții evidențiază în mod clar că este necesară îndeplinirea a două condiții pentru ca o prelucrare a datelor să intre sub incidența excepției pe care o prevede. În timp ce prima condiție se referă la scopurile prelucrării, și anume prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor sau executarea sancțiunilor penale, inclusiv protejarea împotriva amenințărilor la adresa siguranței publice și prevenirea acestora, a doua condiție se referă la autorul acestei prelucrări, și anume la o „autoritate competentă”, în sensul dispoziției amintite.

68      După cum a constatat de asemenea Curtea, reiese din articolul 23 alineatul (1) literele (d) și (h) din RGPD că prelucrarea datelor cu caracter personal efectuate de particulari în scopurile vizate la articolul 2 alineatul (2) litera (d) din acest regulament intră în domeniul de aplicare al acestuia (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 102).

69      În consecință, jurisprudența rezultată din Hotărârea din 30 mai 2006, Parlamentul/Consiliul și Comisia (C‑317/04 și C‑318/04, EU:C:2006:346), invocată de guvernul belgian, nu poate fi transpusă excepției de la domeniul de aplicare al RGPD, care figurează la articolul 2 alineatul (2) litera (d) din aceasta.

70      În plus, excepția menționată este de strictă interpretare, la fel ca celelalte excepții de la domeniul de aplicare al RGPD prevăzute la articolul 2 alineatul (2) din acest regulament.

71      Astfel cum reiese din considerentul (19) al regulamentului menționat, excepția respectivă este motivată de împrejurarea că prelucrările de date cu caracter personal efectuate de autoritățile competente în special în scopul prevenirii și al depistării infracțiunilor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, sunt reglementate de un act mai specific al Uniunii, și anume Directiva 2016/680, care a fost adoptată la aceeași dată ca RGPD [Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 69].

72      Astfel cum se precizează, pe de altă parte, în considerentele (9)-(11) ale Directivei 2016/680, aceasta stabilește norme specifice referitoare la protecția persoanelor fizice în ceea ce privește aceste prelucrări, cu respectarea naturii speciale a activităților în cauză care intră în domeniul cooperării judiciare în materie penală și al cooperării polițienești, în timp ce RGPD definește norme generale privind protecția acestor persoane care sunt menite să se aplice prelucrărilor menționate atunci când actul mai specific reprezentat de Directiva 2016/680 nu este aplicabil. În special, potrivit considerentului (11) al acestei directive, RGPD se aplică prelucrării datelor cu caracter personal care ar fi efectuată de o „autoritate competentă”, în sensul articolului 3 alineatul (7) din directiva menționată, dar în alte scopuri decât cele prevăzute în aceasta [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 70].

73      În ceea ce privește prima condiție menționată la punctul 67 din prezenta hotărâre și, mai precis, scopurile urmărite de prelucrările de date cu caracter personal prevăzute de Directiva PNR, trebuie amintit că, potrivit articolului 1 alineatul (2) din această directivă, datele din PNR pot fi prelucrate doar în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave. Aceste scopuri se încadrează la excepțiile prevăzute la articolul 2 alineatul (2) litera (d) din RGPD și la articolul 1 alineatul (1) din Directiva 2016/680, astfel încât asemenea prelucrări pot intra sub incidența excepției prevăzute la articolul 2 alineatul (2) litera (d) din acest regulament și, prin urmare, pot intra în domeniul de aplicare al acestei directive.

74      În schimb, situația este diferită în ceea ce privește prelucrările prevăzute de Directiva API și de Directiva 2010/65, ale căror scopuri sunt diferite de cele prevăzute la articolul 2 alineatul (2) litera (d) din RGPD și la articolul 1 alineatul (1) din Directiva 2016/680.

75      Astfel, în ceea ce privește Directiva API, aceasta urmărește îmbunătățirea controalelor la frontiere și combaterea imigrației ilegale, după cum reiese din considerentele (1), (7) și (9), precum și din articolul 1 din aceasta, prin transmiterea în prealabil către autoritățile naționale competente a datelor referitoare la pasageri. De altfel, mai multe considerente și dispoziții ale acestei directive evidențiază faptul că prelucrările de date prevăzute în vederea punerii sale în aplicare intră în domeniul de aplicare al RGPD. Astfel, considerentul (12) al directivei menționate prevede că „Directiva [95/46] se aplică în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile statelor membre”. În plus, articolul 6 alineatul (1) al cincilea paragraf din Directiva API precizează că statele membre pot de asemenea utiliza datele API în scopul aplicării legii, „sub rezerva dispozițiilor privind protecția datelor prevăzute de Directiva [95/46]”, această expresie fiind utilizată și la al treilea paragraf al acestei dispoziții. De asemenea, este utilizată, în special în considerentul (9) al Directivei API, expresia „fără a aduce atingere dispozițiilor Directivei [95/46]”. În sfârșit, articolul 6 alineatul (2) din Directiva API prevede că pasagerii trebuie informați de operatorii de transport „în conformitate cu dispozițiile Directivei [95/46]”.

76      În ceea ce privește Directiva 2010/65, din considerentul (2) și din articolul 1 alineatul (1) din aceasta rezultă că ea are drept obiect simplificarea și armonizarea procedurilor administrative aplicate în sectorul transportului maritim prin transformarea transmiterii electronice a informațiilor în procedură standard și raționalizarea formalităților de raportare, în vederea facilitării transportului maritim și a reducerii sarcinilor administrative pentru companiile maritime. Or, articolul 8 alineatul (2) din directiva menționată confirmă că prelucrările datelor prevăzute în vederea implementării sale intră în domeniul de aplicare al RGPD, această dispoziție impunând astfel statelor membre, în ceea ce privește datele cu caracter personal, obligația de a asigura respectarea Directivei 95/46.

77      În consecință, prelucrările datelor prevăzute de o legislație națională care transpune, în dreptul intern, dispozițiile Directivei API și ale Directivei 2010/65 intră în domeniul de aplicare al RGPD. În schimb, prelucrările de date prevăzute de o legislație națională care transpune în dreptul intern Directiva PNR pot fi excluse, în conformitate cu excepția de la articolul 2 alineatul (2) litera (d) din acest regulament, de la aplicarea acestuia, sub rezerva respectării celei de a doua condiții amintite la punctul 67 din prezenta hotărâre, și anume ca autorul prelucrărilor să fie o autoritate competentă, în sensul acestei ultime dispoziții.

78      În ceea ce privește această a doua condiție, Curtea a statuat că, întrucât Directiva 2016/680 definește, la articolul 3 alineatul (7), noțiunea de „autoritate competentă”, o astfel de definiție trebuie aplicată prin analogie articolului 2 alineatul (2) litera (d) din RGPD [a se vedea în acest sens Hotărârea din 22 iunie 2021, Latvijas Republikas Saeima (Puncte de penalizare), C‑439/19, EU:C:2021:504, punctul 69].

79      Or, potrivit articolelor 4 și 7 din Directiva PNR, fiecare stat membru trebuie să desemneze, în calitate de UIP, o autoritate competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor de terorism sau a infracțiunilor grave și, respectiv, să adopte o listă a autorităților competente îndreptățite să solicite sau să primească date din PNR sau rezultatul prelucrării acestor date de la UIP, autoritățile respective fiind de asemenea autorități competente în materie, astfel cum se precizează la articolul 7 alineatul (2) din directiva menționată.

80      Din aceste elemente reiese că prelucrările de date din PNR efectuate de UIP și de autoritățile competente în asemenea scopuri îndeplinesc cele două condiții menționate la punctul 67 din prezenta hotărâre, astfel încât aceste prelucrări intră, pe lângă dispozițiile Directivei PNR înseși, sub incidența dispozițiilor Directivei 2016/680, iar nu a RGPD, aspect confirmat de altfel în considerentul (27) al Directivei PNR.

81      În schimb, întrucât unii operatori economici precum transportatorii aerieni, chiar dacă sunt ținuți de o obligație legală de transfer al datelor din PNR, nu sunt nici însărcinați cu exercitarea autorității publice, nici învestiți cu prerogative de putere publică de această directivă, operatorii menționați nu pot fi considerați autorități competente, în sensul articolului 3 alineatul (7) din Directiva 2016/680 și al articolului 2 alineatul (2) litera (d) din RGPD, astfel încât colectarea și transferul către UIP ale acestor date de către transportatorii aerieni intră sub incidența regulamentului amintit. Aceeași concluzie se impune într‑o situație precum cea prevăzută de Legea din 25 decembrie 2016, în care colectarea și transferul datelor menționate sunt efectuate de alți transportatori sau de operatorii de turism.

82      În sfârșit, instanța de trimitere ridică problema eventualei incidențe a adoptării unei legislații naționale de transpunere atât a dispozițiilor Directivei PNR, ale Directivei API și ale Directivei 2010/65, cum este Legea din 25 decembrie 2016. În această privință, trebuie amintit, astfel cum reiese din cuprinsul punctelor 72 și 75-77 din prezenta hotărâre, că prelucrările de date prevăzute în temeiul acestor ultime două directive intră în domeniul de aplicare al RGPD, care conține norme generale privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

83      Astfel, atunci când o prelucrare de date efectuată în temeiul acestei legislații intră sub incidența Directivei API și/sau a Directivei 2010/65, RGPD este aplicabil prelucrării respective. Același lucru este valabil și în cazul unei prelucrări de date care este efectuată în același temei și care intră, raportat la scopul său, sub incidența Directivei API și/sau a Directivei 2010/65 nu doar a Directivei PNR. Finalmente, în cazul în care o prelucrare de date efectuată în temeiul aceleiași legislații intră, raportat la scopul său, doar în domeniul de aplicare al Directivei PNR, RGPD este aplicabil dacă este vorba despre colectarea și transferul de date din PNR către UIP de către transportatorii aerieni. În schimb, atunci când o astfel de prelucrare este efectuată de UIP sau de autoritățile competente în scopurile menționate la articolul 1 alineatul (2) din Directiva PNR, această prelucrare intră, pe lângă dreptul național, sub incidența Directivei 2016/680.

84      Având în vedere considerațiile anterioare, trebuie să se răspundă la prima întrebare că articolul 2 alineatul (2) litera (d) și articolul 23 din RGPD trebuie interpretate în sensul că acest regulament este aplicabil prelucrărilor de date cu caracter personal prevăzute de o legislație națională care urmărește să transpună în dreptul intern atât dispozițiile Directivei API, cât și ale Directivei 2010/65 și ale Directivei PNR în ceea ce privește, pe de o parte, prelucrările de date efectuate de operatori privați și, pe de altă parte, prelucrările de date efectuate de autoritățile publice care intră, exclusiv sau inclusiv, în domeniul de aplicare al Directivei API sau al Directivei 2010/65. În schimb, acest regulament nu este aplicabil prelucrărilor de date prevăzute de o astfel de legislație care intră numai în domeniul de aplicare al Directivei PNR, care sunt efectuate de către UIP sau de către autoritățile competente în scopurile menționate la articolul 1 alineatul (2) din această directivă.

B.      Cu privire la întrebările a doua-a patra și la a șasea întrebare

85      Prin intermediul întrebărilor a doua-a patra și al celei de a șasea întrebări, care trebuie analizate împreună, instanța de trimitere solicită Curții în esență să se pronunțe cu privire la validitatea Directivei PNR în raport cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă. Aceste întrebări privesc în special:

–        anexa I la această directivă și datele pe care le enumeră anexa respectivă, în special cele menționate la punctele 12 și 18, având în vedere cerințele de claritate și de precizie (a doua și a treia întrebare);

–        articolul 3 punctul 4 din directiva menționată și anexa I la aceasta, întrucât sistemul de colectare, de transfer și de prelucrare generalizate ale datelor din PNR pe care aceste dispoziții îl instituie se poate aplica oricărei persoane care efectuează un zbor ce intră sub incidența dispozițiilor aceleiași directive (a patra întrebare) și

–        articolul 6 din Directiva PNR, în măsura în care prevede o evaluare prealabilă, prin compararea datelor din PNR cu baze de date și/sau prin prelucrarea lor pe baza unor criterii prestabilite, care se aplică în mod sistematic și generalizat acestor date, independent de orice element obiectiv care permite să se considere că pasagerii în cauză pot prezenta un risc pentru securitatea publică (a șasea întrebare).

86      Cu titlu introductiv, trebuie amintit că, potrivit unui principiu general de interpretare, un act al Uniunii trebuie interpretat, în măsura posibilului, astfel încât să nu repună în discuție validitatea acestuia și în conformitate cu dreptul primar în ansamblul său și în special cu prevederile cartei. Astfel, atunci când un text de drept derivat al Uniunii poate primi mai multe interpretări, trebuie să prevaleze acea interpretare care determină conformitatea dispoziției cu dreptul primar, mai degrabă decât cea care conduce la constatarea incompatibilității sale cu acesta (Hotărârea din 2 februarie 2021, Consob, C‑481/19, EU:C:2021:84, punctul 50 și jurisprudența citată).

87      În plus, potrivit unei jurisprudențe constante, atunci când dispozițiile unei directive lasă statelor membre o marjă de apreciere pentru a defini măsuri de transpunere care să fie adaptate diferitelor situații ce pot fi avute în vedere, ele au obligația, la punerea în aplicare a acestor măsuri, nu numai de a interpreta dreptul lor național într‑un mod conform cu directiva respectivă, ci și de a se asigura că nu se întemeiază pe o interpretare a acesteia care ar intra în conflict cu drepturile fundamentale protejate de ordinea juridică a Uniunii sau cu alte principii generale recunoscute în această ordine juridică [a se vedea în acest sens Hotărârile din 15 februarie 2016, N., C‑601/15 PPU, EU:C:2016:84, punctul 60 și jurisprudența citată, precum și Hotărârea din 16 iulie 2020, État belge (Reîntregirea familiei – Copil minor), C‑133/19, C‑136/19 și C‑137/19, EU:C:2020:577, punctul 33 și jurisprudența citată].

88      În ceea ce privește Directiva PNR, trebuie arătat că, printre altele, considerentele (15), (20), (22), (25), (36) și (37) pun accentul pe importanța pe care legiuitorul Uniunii o acordă, referindu‑se la un nivel ridicat de protecție a datelor, la respectarea deplină a drepturilor fundamentale consacrate la articolele 7, 8 și 21 din cartă, precum și a principiului proporționalității, astfel încât, așa cum enunță considerentul (36), această directivă „ar trebui să fie pusă în aplicare în consecință”.

89      În special, considerentul (22) al Directivei PNR subliniază că, „[ț]inând pe deplin seama de principiile evidențiate în jurisprudența relevantă recentă a [Curții], aplicarea [acestei] directive ar trebui să asigure respectarea deplină a drepturilor fundamentale, a dreptului la viață privată și a principiului proporționalității” și „să respecte cu adevărat obiectivele vizând necesitatea și proporționalitatea pentru a îndeplini interesele generale recunoscute de Uniune și nevoia de a proteja drepturile și libertățile celorlalți în combaterea infracțiunilor de terorism și a infracțiunilor grave”. Acest considerent adaugă că aplicarea respectivă „ar trebui justificată în mod corespunzător și ar trebui să existe garanțiile necesare pentru a se asigura legalitatea oricărei acțiuni de stocare, analiză, transfer sau utilizare a datelor din PNR”.

90      Pe de altă parte, articolul 19 alineatul (2) din Directiva PNR impune Comisiei, în cadrul revizuirii acestei directive, acordarea unei atenții deosebite „respectării standardelor aplicabile de protecție a datelor cu caracter personal”, „necesității și proporționalității colectării și prelucrării datelor din PNR pentru fiecare dintre scopurile prevăzute în prezenta directivă”, precum și „duratei perioadei de păstrare a datelor”.

91      Prin urmare, trebuie să se verifice dacă Directiva PNR, în conformitate cu ceea ce impun în special considerentele și dispozițiile sale menționate la punctele 88-90 din prezenta hotărâre, poate fi interpretată într‑un mod care să asigure respectarea deplină a drepturilor fundamentale garantate de articolele 7 și 8 din cartă, precum și a principiului proporționalității consacrat la articolul 52 alineatul (1) din aceasta.

1.      Cu privire la ingerințele ce rezultă din Directiva PNR în drepturile fundamentale garantate de articolele 7 și 8 din cartă

92      Articolul 7 din cartă garantează oricărei persoane dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor, în timp ce articolul 8 alineatul (1) din cartă conferă în mod explicit oricărei persoane dreptul la protecția datelor cu caracter personal care o privesc.

93      Astfel cum reiese din articolul 3 punctul 5 din Directiva PNR și din enumerarea care figurează în anexa I la aceasta, datele din PNR vizate de această directivă includ printre altele, pe lângă numele pasagerului sau al pasagerilor aerieni, informațiile necesare rezervării, cum ar fi datele călătoriei și itinerarul călătoriei, informații privind biletele, grupurile de persoane înregistrate cu același număr de rezervare, datele de contact ale pasagerului sau ale pasagerilor, informații privind modurile de plată sau facturarea, informații privind bagajele, precum și observații generale cu privire la pasageri.

94      Întrucât datele din PNR includ, așadar, informații privind persoane fizice identificate, mai precis pasagerii aerieni vizați, diferitele modalități de prelucrare a acestor date afectează dreptul fundamental la respectarea vieții private, garantat de articolul 7 din cartă [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctele 121 și 122, precum și jurisprudența citată].

95      În plus, prelucrarea datelor din PNR precum cele vizate de Directiva PNR se încadrează și la articolul 8 din cartă ca urmare a faptului că reprezintă o prelucrare de date cu caracter personal în sensul acestui articol și trebuie, în consecință, să îndeplinească în mod necesar cerințele de protecție a datelor prevăzute la respectivul articol [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 123 și jurisprudența citată].

96      Or, potrivit unei jurisprudențe constante, comunicarea de date cu caracter personal unui terț, precum o autoritate publică, constituie o ingerință în dreptul fundamental consacrat la articolele 7 și 8 din cartă, indiferent de utilizarea ulterioară a informațiilor comunicate. Aceeași situație se regăsește în privința păstrării datelor cu caracter personal, precum și a accesului la respectivele date în vederea utilizării lor de către autoritățile publice. În această privință, este irelevant dacă informațiile vizate referitoare la viața privată prezintă sau nu un caracter sensibil sau dacă persoanele interesate au suferit sau nu eventuale inconveniente ca urmare a acestei ingerințe [Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctele 124 și 126, precum și jurisprudența citată].

97      Astfel, atât transferul de date din PNR de către transportatorii aerieni către UIP a statului membru în cauză, prevăzut la articolul 1 alineatul (1) litera (a) din Directiva PNR coroborat cu articolul 8 din aceasta, cât și încadrarea condițiilor privind păstrarea acestor date, utilizarea lor, precum și eventualele transferuri ulterioare către autoritățile competente ale acestui stat membru, către UIP și către autoritățile competente ale celorlalte state membre, către Europol sau chiar către autoritățile unor țări terțe, așa cum permit printre altele articolele 6, 7, 9 și 10-12 din directiva menționată, constituie o ingerință în drepturile garantate de articolele 7 și 8 din cartă.

98      În ceea ce privește gravitatea acestor ingerințe, trebuie arătat, în primul rând, că, la articolul 1 alineatul (1) litera (a) coroborat cu articolul 8 din Directiva PNR, se prevede transferul sistematic și continuu către UIP al datelor din PNR ale oricărui pasager care efectuează un zbor „extra‑UE”, în sensul articolului 3 punctul 2 din această directivă, efectuat între țări terțe și Uniune. Astfel cum a arătat domnul avocat general la punctul 73 din concluzii, un asemenea transfer implică un acces general din partea UIP la toate datele din PNR comunicate ale tuturor persoanelor care utilizează servicii de transport aerian, independent de utilizarea ulterioară a acestor date.

99      În al doilea rând, articolul 2 din Directiva PNR prevede la alineatul (1) că statele membre pot decide să o aplice în cadrul zborurilor intra‑UE, în sensul articolului 3 punctul 3 din aceasta, și precizează la alineatul (2) că, în acest caz, toate dispozițiile directivei menționate „se aplică zborurilor intra‑UE ca și cum ar fi zboruri extra‑UE și datelor din PNR de la zborurile intra‑UE ca și cum ar fi date din PNR de la zboruri extra‑UE”.

100    În al treilea rând, chiar dacă unele dintre datele din PNR enumerate în anexa I la Directiva PNR, astfel cum sunt rezumate la punctul 93 din prezenta hotărâre, privite izolat, nu par să poată revela informații precise privind viața privată a persoanelor vizate, totuși, considerate în ansamblu, respectivele date pot revela printre altele un itinerar de călătorie complet, obiceiuri de călătorie, relațiile existente între două sau mai multe persoane, precum și informații privind situația financiară a pasagerilor aerieni, obiceiurile lor alimentare sau starea lor de sănătate și ar putea furniza chiar informații sensibile despre acești pasageri [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 128].

101    În al patrulea rând, potrivit articolului 6 alineatul (2) literele (a) și (b) din Directiva PNR, datele transferate de către transportatorii aerieni sunt destinate nu doar unei evaluări prealabile, intervenite înainte de sosirea prevăzută sau plecarea prevăzută a pasagerilor, ci și unei evaluări ulterioare.

102    În ceea ce privește evaluarea prealabilă, reiese din articolul 6 alineatul (2) litera (a) și alineatul (3) din Directiva PNR că această evaluare este efectuată de UIP a statelor membre în mod sistematic și prin mijloace automatizate, cu alte cuvinte în mod continuu și independent de aspectul dacă există cea mai mică indicație cu privire la riscul de implicare a persoanelor vizate în infracțiuni de terorism sau în infracțiuni grave. În acest scop, dispozițiile menționate prevăd că datele din PNR pot fi comparate cu „bazele de date utile” și pot face obiectul unor prelucrări pe baza unor „criterii prestabilite”.

103    În acest context, trebuie amintit că Curtea a statuat deja că întinderea ingerinței pe care o implică analiza automatizată a datelor din PNR în drepturile consacrate la articolele 7 și 8 din cartă depinde în principal de modelele și de criteriile prestabilite, precum și de bazele de date pe care se întemeiază acest tip de prelucrare a datelor [Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 172].

104    Or, astfel cum a arătat domnul avocat general la punctul 78 din concluzii, prelucrarea prevăzută la articolul 6 alineatul (3) litera (a) din Directiva PNR, și anume compararea datelor din PNR cu „bazele de date utile”, poate furniza informații suplimentare cu privire la viața privată a pasagerilor aerieni și poate permite să se tragă concluzii foarte precise în această privință.

105    În ceea ce privește prelucrarea datelor din PNR pe baza unor „criterii prestabilite”, prevăzute la articolul 6 alineatul (3) litera (b) din Directiva PNR, este adevărat că articolul 6 alineatul (4) din această directivă impune ca evaluarea pasagerilor prin intermediul acestor criterii să se realizeze în mod nediscriminatoriu și în special fără a se întemeia pe o întreagă serie de caracteristici vizate în ultima teză a acestui alineat (4). În plus, criteriile reținute trebuie să fie personalizate, proporționale și specifice.

106    În aceste condiții, Curtea a statuat deja că, în măsura în care se efectuează analize automatizate ale datelor din PNR pornind de la date cu caracter personal neverificate și în măsura în care se bazează pe modele și pe criterii prestabilite, ele prezintă în mod necesar o anumită marjă de eroare [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 169]. În special, astfel cum a arătat domnul avocat general în esență la punctul 78 din concluzii, din documentul de lucru al Comisiei [SWD(2020) 128 final] anexat la raportul acesteia din 24 iulie 2020 privind reexaminarea Directivei PNR reiese că numărul rezultatelor pozitive provenind din prelucrările automatizate prevăzute la articolul 6 alineatul (3) literele (a) și (b) din această directivă care s‑au dovedit eronate în urma reexaminării individuale prin mijloace neautomatizate este destul de substanțial și se ridica, în cursul anilor 2018 și 2019, la cel puțin cinci dintre cele șase persoane identificate. Aceste prelucrări conduc astfel la o analiză exigentă a datelor din PNR referitoare la persoanele menționate.

107    În ceea ce privește evaluarea ulterioară a datelor din PNR prevăzută la articolul 6 alineatul (2) litera (b) din Directiva PNR, din această dispoziție reiese că, în perioada de șase luni de la transferul datelor din PNR, menționată la articolul 12 alineatul (2) din această directivă, UIP este obligată, la cererea autorităților competente, să le comunice acestora datele din PNR și să efectueze o prelucrare în cazuri specifice, în scopul combaterii infracțiunilor teroriste sau a infracțiunilor grave.

108    În plus, chiar dacă, după expirarea acestei perioade de șase luni, datele din PNR sunt depersonalizate printr‑o mascare a anumitor elemente ale acestor date, UIP poate fi obligată, în conformitate cu articolul 12 alineatul (3) din Directiva PNR, să dezvăluie, în urma unei astfel de cereri, datele complete din PNR într‑o formă care permite identificarea persoanei vizate autorităților competente dacă se consideră în mod rezonabil că este necesar în scopul menționat la articolul 6 alineatul (2) litera (b) din această directivă, o astfel de dezvăluire fiind însă condiționată de o autorizare acordată de o autoritate judiciară sau de o „altă autoritate națională competentă”.

109    În al cincilea rând, prin faptul că articolul 12 alineatul (1) prevede, fără a oferi alte detalii în acest sens, că datele din PNR trebuie păstrate într‑o bază de date pentru o perioadă de cinci ani după transferul lor către UIP a statului membru pe teritoriul căruia sosește sau de pe teritoriul căruia pleacă zborul, Directiva PNR permite să se dispună de informații privind viața privată a pasagerilor aerieni pentru o perioadă pe care Curtea a descris‑o deja în Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 132) ca fiind deosebit de lungă, având în vedere că, în pofida depersonalizării lor după expirarea perioadei inițiale de șase luni prin mascarea anumitor elemente de date, ansamblul datelor din PNR este încă susceptibil de a fi comunicat în ipoteza vizată la punctul anterior din prezenta hotărâre.

110    Având în vedere ce se recurge în mod curent la transportul aerian, o astfel de perioadă de păstrare înseamnă că datele din PNR ale unei largi părți din populația Uniunii sunt susceptibile de a fi păstrate în mod repetat în cadrul sistemului instituit prin Directiva PNR și, pentru acest motiv, sunt accesibile pentru a fi analizate în cadrul evaluărilor prealabile și ulterioare ale UIP și ale autorităților competente pentru o perioadă considerabilă, chiar nelimitată în cazul persoanelor care călătoresc cu avionul mai mult de o dată la fiecare cinci ani.

111    Având în vedere ansamblul considerațiilor care precedă, trebuie să se considere că Directiva PNR conține ingerințe de o gravitate certă în drepturile garantate de articolele 7 și 8 din cartă, în special în măsura în care urmărește să instituie un regim de supraveghere continuu, nedirecționat și sistematic, care include evaluarea automatizată a datelor cu caracter personal ale tuturor persoanelor care recurg la servicii de transport aerian.

2.      Cu privire la justificarea ingerințelor ce rezultă din Directiva PNR

112    Trebuie amintit că drepturile fundamentale consacrate la articolele 7 și 8 din cartă nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate [Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 136 și jurisprudența citată, precum și Hotărârea din 6 octombrie 2020, Privacy International, C‑623/17, EU:C:2020:790, punctul 63 și jurisprudența citată].

113    Potrivit articolului 52 alineatul (1) prima teză din cartă, orice restrângere a exercițiului drepturilor și libertăților recunoscute de aceasta trebuie să fie prevăzută de lege și să respecte substanța lor. Potrivit articolului 52 alineatul (1) a doua teză din cartă, prin respectarea principiului proporționalității, pot fi impuse restrângeri privind aceste drepturi și libertăți numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. În această privință, articolul 8 alineatul (2) din cartă precizează că datele cu caracter personal trebuie să fie printre altele prelucrate „în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege”.

114    Trebuie adăugat că cerința potrivit căreia orice restrângere a exercițiului drepturilor fundamentale trebuie să fie prevăzută de lege presupune ca actul care permite ingerința în aceste drepturi să definească el însuși întinderea restrângerii exercițiului dreptului în cauză, precizându‑se, pe de o parte, că această cerință nu exclude ca restrângerea în cauză să fie formulată în termeni suficient de deschiși pentru a se putea adapta la situații diferite, precum și la schimbările situațiilor (a se vedea în acest sens Hotărârea din 26 aprilie 2022, Polonia/Parlamentul și Consiliul, C‑401/19, EU:C:2022:297, punctele 64 și 74, precum și jurisprudența citată) și, pe de altă parte, că Curtea poate, dacă este cazul, să precizeze, pe calea interpretării, întinderea concretă a restrângerii atât în raport cu înșiși termenii reglementării Uniunii în cauză, cât și cu economia sa generală și cu obiectivele pe care le urmărește, astfel cum sunt interpretate în lumina drepturilor fundamentale garantate de cartă.

115    În ceea ce privește respectarea principiului proporționalității, protecția dreptului fundamental la respectarea vieții private la nivelul Uniunii impune, potrivit jurisprudenței constante a Curții, ca derogările de la protecția datelor cu caracter personal și restrângerile acesteia să fie efectuate în limitele strictului necesar. În plus, un obiectiv de interes general nu poate fi urmărit fără a ține seama de faptul că trebuie conciliat cu drepturile fundamentale avute în vedere de măsura respectivă, prin realizarea unei ponderări echilibrate între, pe de o parte, obiectivul de interes general și, pe de altă parte, drepturile în cauză [Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 140, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 52 și jurisprudența citată].

116    Mai precis, posibilitatea statelor membre de a justifica o restrângere a drepturilor garantate de articolele 7 și 8 din cartă trebuie să fie apreciată măsurând gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângerea respectivă se raportează la această gravitate (a se vedea în acest sens Hotărârea din 2 octombrie 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punctul 55 și jurisprudența citată, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 53 și jurisprudența citată).

117    Pentru a îndeplini cerința privind proporționalitatea, reglementarea în cauză care conține o ingerință trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurilor pe care le prevede și să impună o serie de cerințe minime astfel încât persoanele ale căror date au fost transferate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz. Această reglementare trebuie în special să indice în ce împrejurări și în ce condiții o măsură care prevede prelucrarea unor asemenea date poate fi luată, garantând în acest mod că o ingerință este limitată la strictul necesar. Necesitatea de a dispune de astfel de garanții este cu atât mai importantă atunci când datele cu caracter personal sunt supuse unei prelucrări automatizate. Aceste considerații sunt aplicabile în special atunci când datele din PNR sunt de natură să poată revela informații sensibile cu privire la pasageri [Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 141, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 132 și jurisprudența citată].

118    Astfel, o reglementare care prevede o păstrare a datelor cu caracter personal trebuie să răspundă întotdeauna unor criterii obiective, care să stabilească un raport între datele care trebuie păstrate și obiectivul urmărit [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 191 și jurisprudența citată, precum și Hotărârea din 3 octombrie 2019, A și alții, C‑70/18, EU:C:2019:823, punctul 63, și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 133].

a)      Cu privire la respectarea principiului legalității și a substanței drepturilor fundamentale în cauză

119    Restrângerea exercitării drepturilor fundamentale garantate de articolele 7 și 8 din cartă, ce rezultă din sistemul instituit prin Directiva PNR, este prevăzută printr‑un act legislativ al Uniunii. În ceea ce privește aspectul dacă, în conformitate cu jurisprudența amintită la punctul 114 din prezenta hotărâre, această directivă, ca act de drept al Uniunii care permite ingerința în aceste drepturi, definește ea însăși întinderea restrângerii exercitării drepturilor menționate, trebuie arătat că dispozițiile directivei menționate, precum și anexele I și II la aceasta conțin, pe de o parte, o enumerare a datelor din PNR și, pe de altă parte, reglementează prelucrarea acestor date, în special prin definirea scopurilor și a modalităților prelucrărilor respective. În plus, această problemă se confundă în mare măsură cu cea a respectării cerinței proporționalității amintite la punctul 117 din prezenta hotărâre (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 180) și va fi examinată la punctul 125 și următoarele din prezenta hotărâre.

120    În ceea ce privește respectarea substanței drepturilor fundamentale consacrate la articolele 7 și 8 din cartă, este adevărat că datele din PNR pot, dacă este cazul, să dezvăluie informații foarte precise cu privire la viața privată a unei persoane. Cu toate acestea, în măsura în care, pe de o parte, natura acestor informații se limitează la anumite aspecte ale vieții private, care privesc în special călătoriile aeriene ale acestei persoane, și, pe de altă parte, Directiva PNR interzice în mod expres la articolul 13 alineatul (4) prelucrarea datelor sensibile în sensul articolului 9 alineatul (1) din RGPD, datele vizate de această directivă nu oferă, prin ele însele, o perspectivă completă asupra vieții private a unei persoane. În plus, la articolul 1 alineatul (2) coroborat cu articolul 3 punctele 8 și 9, precum și cu anexa II la aceasta, directiva menționată limitează scopurile prelucrării acestor date. În sfârșit, aceeași directivă stabilește, la articolele 4-15, norme care reglementează transferul, prelucrările și păstrarea datelor respective, precum și norme destinate să asigure în special securitatea, confidențialitatea și integritatea acestor date, precum și să le protejeze împotriva accesului și prelucrărilor nelegale. În aceste condiții, ingerințele pe care le implică Directiva PNR nu aduc atingere substanței drepturilor fundamentale consacrate la articolele 7 și 8 din cartă.

b)      Cu privire la obiectivul de interes general și la caracterul adecvat al prelucrării datelor din PNR în raport cu acest obiectiv

121    În ceea ce privește aspectul dacă sistemul instituit prin Directiva PNR urmărește un obiectiv de interes general, din considerentele (5), (6) și (15) ale directivei menționate reiese că aceasta are ca obiectiv să asigure securitatea internă în cadrul Uniunii și să protejeze astfel viața și securitatea persoanelor, creând în același timp un cadru juridic care asigură un nivel ridicat de protecție a drepturilor fundamentale ale pasagerilor, în special a drepturilor la respectarea vieții private și la protecția datelor cu caracter personal, atunci când datele din PNR sunt prelucrate de autoritățile competente.

122    În acest scop, articolul 1 alineatul (2) din Directiva PNR prevede că datele din PNR colectate în conformitate cu această directivă nu pot face obiectul prelucrărilor prevăzute la articolul 6 alineatul (2) literele (a)-(c) din aceasta decât în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave. Or, aceste finalități constituie fără îndoială obiective de interes general ale Uniunii care pot justifica ingerințe, chiar grave, în drepturile fundamentale consacrate la articolele 7 și 8 din cartă [a se vedea în acest sens Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctul 42, precum și Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctele 148 și 149].

123    În ceea ce privește caracterul adecvat al sistemului instituit prin Directiva PNR de a realiza obiectivele urmărite, trebuie să se constate că, deși posibilitatea existenței unor rezultate „fals negative” și numărul destul de substanțial de rezultate „fals pozitive” care, astfel cum s‑a arătat la punctul 106 din prezenta hotărâre, au fost obținute în urma prelucrărilor automatizate prevăzute de această directivă în cursul anilor 2018 și 2019 sunt de natură să limiteze caracterul adecvat al acestui sistem, totuși ele nu sunt de natură să facă acest sistem inapt să contribuie la realizarea obiectivului de combatere a infracțiunilor de terorism și a infracțiunilor grave. Astfel, după cum reiese din documentul de lucru al Comisiei menționat la punctul 106 din prezenta hotărâre, prelucrările automatizate efectuate în temeiul directivei menționate efectiv au permis deja identificarea pasagerilor aerieni care prezintă un risc în cadrul combaterii infracțiunilor de terorism și a infracțiunilor grave.

124    În plus, având în vedere rata de eroare inerentă prelucrărilor automatizate a datelor din PNR și în special numărul destul de substanțial al rezultatelor „fals pozitive”, caracterul adecvat al sistemului instituit prin Directiva PNR depinde în esență de buna funcționare a verificării subsecvente a rezultatelor obținute în temeiul acestor prelucrări, prin mijloace neautomatizate, sarcină ce revine, potrivit Directivei PNR, UIP. Dispozițiile prevăzute în acest scop de directiva menționată contribuie, așadar, la realizarea acestor obiective.

c)      Cu privire la caracterul necesar al ingerințelor ce rezultă din Directiva PNR

125    Conform jurisprudenței amintite la punctele 115-118 din prezenta hotărâre, trebuie să se verifice dacă ingerințele ce rezultă din Directiva PNR sunt limitate la strictul necesar și în special dacă această directivă enunță norme clare și precise ce reglementează conținutul și aplicarea măsurilor pe care le prevede și dacă sistemul pe care aceasta îl instituie îndeplinește întotdeauna criterii obiective, care stabilesc un raport între datele din PNR, care sunt strâns legate de rezervarea și de realizarea călătoriilor aeriene, și scopurile urmărite de aceeași directivă, și anume combaterea infracțiunilor de terorism și a infracțiunilor grave.

1)      Cu privire la datele pasagerilor aerieni vizate de Directiva PNR

126    Trebuie să se aprecieze dacă rubricile de date care figurează în anexa I la Directiva PNR definesc în mod clar și precis datele din PNR pe care transportatorul aerian este obligat să le comunice UIP.

127    Cu titlu introductiv, trebuie amintit că, astfel cum reiese din considerentul (15) al Directivei PNR, legiuitorul Uniunii a intenționat ca lista datelor din PNR solicitate care urmează să fie obținute de o UIP să fie elaborată „cu scopul de a reflecta cerințele legitime ale autorităților publice de prevenire, depistare, investigare și urmărire penală a infracțiunilor de terorism și a infracțiunilor grave, îmbunătățind prin aceasta securitatea internă în cadrul Uniunii și protejând totodată drepturile fundamentale, în special dreptul la viață privată și dreptul la protecția datelor cu caracter personal”. În special, potrivit aceluiași considerent, datele respective „ar trebui să conțină exclusiv detalii privind rezervările pasagerilor și itinerariile călătoriilor, care permit autorităților competente să‑i identifice pe acei pasageri ai curselor aeriene care reprezintă o amenințare pentru securitatea internă”. În plus, Directiva PNR interzice, la articolul 13 alineatul (4) prima teză, „prelucrarea datelor din PNR care dezvăluie rasa sau originea etnică, opiniile politice, religia sau convingerile filozofice, apartenența la un sindicat, sănătatea, viața sexuală sau orientarea sexuală a unei persoane”.

128    În consecință, datele din PNR colectate și comunicate în conformitate cu anexa I la Directiva PNR trebuie să prezinte un raport direct cu zborul efectuat și cu pasagerul în cauză și trebuie să fie limitate astfel încât, pe de o parte, să răspundă numai cerințelor legitime ale autorităților publice de prevenire, depistare, investigare și urmărire penală a infracțiunilor de terorism și a infracțiunilor grave și, pe de altă parte, să excludă date sensibile.

129    Or, rubricile 1-4, 7, 9, 11, 15, 17 și 19 din anexa I la Directiva PNR răspund acestor cerințe, precum și cerințelor de claritate și de precizie, întrucât vizează informații clar identificabile și delimitate, în legătură directă cu zborul efectuat și cu pasagerul în cauză. Astfel cum a arătat domnul avocat general la punctul 165 din concluzii, aceasta este și situația rubricilor 10, 13, 14 și 16, în pofida modului lor de redactare deschis.

130    În schimb, este necesar să se aducă precizări în vederea interpretării rubricilor 5, 6, 8, 12 și 18.

131    În ceea ce privește rubrica 5, care privește „[a]dres[a] și informații[le] de contact (număr de telefon, adresă de e‑mail)”, această rubrică nu precizează în mod expres dacă adresa și informațiile menționate se referă numai la pasagerul aerian sau și la terții care au făcut rezervarea zborului pentru pasagerul aerian, la terții prin intermediul cărora un pasager aerian poate fi contactat sau chiar la terții care trebuie informați în caz de urgență. Cu toate acestea, astfel cum a arătat domnul avocat general în esență la punctul 162 din concluzii, ținând seama de cerințele de claritate și de precizie, această rubrică nu poate fi interpretată în sensul că permite, în mod implicit, și colectarea și transmiterea datelor cu caracter personal ale unor astfel de terți. În consecință, rubrica menționată trebuie interpretată în sensul că vizează numai adresa poștală și coordonatele, și anume numărul de telefon și adresa electronică ale pasagerului aerian în numele căruia este făcută rezervarea.

132    În ceea ce privește rubrica 6, care vizează „[t]oate informațiile privind forma de plată, inclusiv adresa de facturare”, această rubrică trebuie interpretată, pentru a îndeplini cerințele de claritate și de precizie, în sensul că nu vizează decât informațiile privind modalitățile de plată și facturarea biletului de avion, cu excluderea oricărei alte informații care nu are o legătură directă cu zborul [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 159].

133    În ceea ce privește rubrica 8, care vizează „informațiile din profilul «client fidel» («frequent flyer»)”, aceasta trebuie interpretată, astfel cum a arătat domnul avocat general la punctul 164 din concluzii, în sensul că vizează exclusiv datele referitoare la statutul pasagerului în cauză în contextul unui program de fidelizare a unei anumite companii aeriene sau a unui grup de companii aeriene determinat, precum și numărul de identificare a acestui pasager drept „client fidel”. Rubrica 8 nu permite, așadar, colectarea informațiilor referitoare la tranzacțiile prin care a fost dobândit acest statut.

134    În ceea ce privește rubrica 12, aceasta vizează „[m]ențiuni cu caracter general [inclusiv toate informațiile disponibile despre minorii neînsoțiți cu vârsta sub 18 ani, precum numele și sexul minorului, vârsta, limba (limbile) vorbită (vorbite), numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire]”.

135    În această privință, este necesar să se arate de la bun început că, deși termenii „mențiuni cu caracter general” nu îndeplinesc cerințele de claritate și de precizie, întrucât nu stabilesc, ca atare, nicio limită în privința naturii și a întinderii informațiilor care pot să fie colectate și comunicate unei UIP în temeiul rubricii 12 [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 160], enumerarea care figurează între paranteze îndeplinește, la rândul său, aceste cerințe.

136    În consecință, pentru a da rubricii 12 o interpretare care, potrivit jurisprudenței amintite la punctul 86 din prezenta hotărâre, să o facă să fie conformă cu cerințele de claritate și de precizie și, în sens mai larg, cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă, trebuie să se considere că numai colectarea și comunicarea informațiilor expres enumerate în această rubrică sunt permise, și anume numele și sexul pasagerului minor, vârsta, limba (limbile) vorbită (vorbite), numele și datele de contact ale persoanei care îl însoțește la plecare și relația sa cu minorul, numele și datele de contact ale persoanei care îl așteaptă la sosire și relația sa cu minorul, agentul prezent la plecare și la sosire.

137    În sfârșit, în ceea ce privește rubrica 18, aceasta vizează „[o]rice date API colectate (inclusiv tipul, numărul, țara de emitere și data expirării oricărui document de identitate, cetățenia, numele de familie, prenumele, sexul, data nașterii, compania aeriană, numărul zborului, data plecării, data sosirii, aeroportul de plecare, aeroportul de sosire, ora plecării și ora sosirii)”.

138    După cum a arătat domnul avocat general în esență la punctele 156-160 din concluzii, din cuprinsul rubricii 18, interpretată în lumina considerentelor (4) și (9) ale Directivei PNR, reiese că informațiile la care se referă sunt în mod exhaustiv datele API enumerate în rubrica respectivă, precum și la articolul 3 alineatul (2) din Directiva API.

139    Astfel, se poate considera că rubrica 18, dacă este interpretată în sensul că acoperă numai informațiile menționate expres la această rubrică și la articolul 3 alineatul (2) din Directiva API, îndeplinește cerințele de claritate și de precizie [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 161].

140    În consecință, trebuie să se constate că, interpretată în conformitate cu considerațiile prezentate în special la punctele 130-139 din prezenta hotărâre, anexa I la Directiva PNR are în ansamblu un caracter suficient de clar și de precis, ce delimitează astfel întinderea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă.

2)      Cu privire la finalitățile prelucrării datelor din PNR

141    Astfel cum reiese din articolul 1 alineatul (2) din Directiva PNR, prelucrarea datelor din PNR colectate în conformitate cu această directivă are ca scop combaterea „infracțiunilor de terorism” și a „infracțiunilor grave”.

142    În ceea ce privește aspectul dacă Directiva PNR prevede, în materie, norme clare și precise ce limitează aplicarea sistemului instituit prin această directivă la ceea ce este strict necesar în acest sens, trebuie arătat, pe de o parte, că sintagma „infracțiuni de terorism” este definită la articolul 3 punctul 8 din directiva menționată prin referire la „infracțiunile prevăzute de dreptul intern menționate la articolele 1-4 din Decizia‑cadru [2002/475]”.

143    Or, pe lângă faptul că această decizie‑cadru definea în mod clar și precis, la articolele 1-3, „infracțiunile teroriste”, „infracțiunile referitoare la un grup terorist” și „infracțiunile legate de activitățile teroriste” care trebuiau sancționate ca infracțiuni de statele membre în temeiul deciziei‑cadru menționate, Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei‑cadru 2002/475 și de modificare a Deciziei 2005/671/JAI a Consiliului (JO 2017, L 88, p. 6) definește de asemenea în mod clar și precis, la articolele 3-14, aceste infracțiuni.

144    Pe de altă parte, articolul 3 punctul 9 din Directiva PNR definește noțiunea de „infracțiuni grave” prin referire la „infracțiunile enumerate în anexa II [la această directivă], care sunt pasibile de pedepse cu închisoarea sau cu o măsură privativă de libertate pe o perioadă maximă de cel puțin trei ani în temeiul dreptului intern al unui stat membru”.

145    Or, mai întâi, această anexă enumeră în mod exhaustiv diferitele categorii de infracțiuni care se pot încadra la „infracțiunile grave” prevăzute la articolul 3 punctul 9 din Directiva PNR.

146    În continuare, ținând seama de specificitățile pe care le prezentau, la adoptarea directivei menționate, sistemele penale ale statelor membre în lipsa unei armonizări a infracțiunilor astfel vizate, legiuitorul Uniunii se putea limita să vizeze categorii de infracțiuni fără a defini elementele lor constitutive, cu atât mai mult cu cât aceste elemente sunt, prin ipoteză, definite în mod necesar de dreptul național la care face trimitere articolul 3 punctul 9 din Directiva PNR, în sensul că statele membre sunt obligate să respecte principiul legalității infracțiunilor și pedepselor ca element al valorii comune, împărtășită cu Uniunea, a statului de drept, menționată la articolul 2 din TUE (a se vedea prin analogie Hotărârea din 16 februarie 2022, Ungaria/Parlamentul și Consiliul, C‑156/21, EU:C:2022:97, punctele 136, 160 și 234), principiu care, pe de altă parte, este consacrat la articolul 49 alineatul (1) din cartă pe care statele membre sunt obligate să îl respecte atunci când pun în aplicare un act al Uniunii precum Directiva PNR (a se vedea în acest sens Hotărârea din 10 noiembrie 2011, QB, C‑405/10, EU:C:2011:722, punctul 48 și jurisprudența citată). Astfel, având în vedere și sensul obișnuit al termenilor utilizați în aceeași anexă, este necesar să se considere că aceasta stabilește, suficient de clar și de precis, infracțiunile care pot constitui infracțiuni grave.

147    Este adevărat că punctele 7, 8, 10 și 16 din anexa II vizează categorii de infracțiuni foarte generale (fraudă, spălarea produsului infracțiunii și falsificarea de monedă, infracțiuni împotriva mediului, trafic de bunuri culturale), făcându‑se însă referire la infracțiuni specifice care fac parte din aceste categorii generale. Pentru a asigura o precizie suficientă impusă de asemenea de articolul 49 din cartă, aceste puncte trebuie interpretate în sensul că se referă la infracțiunile menționate, astfel cum sunt specificate în dreptul național și/sau al Uniunii în materie. Interpretate în acest sens, punctele menționate îndeplinesc cerințele de claritate și de precizie.

148    În sfârșit, trebuie amintit în plus că, deși, în conformitate cu principiul proporționalității, obiectivul combaterii infracțiunilor grave este de natură să justifice ingerința gravă pe care o implică Directiva PNR în drepturile fundamentale garantate de articolele 7 și 8 din cartă, situația este diferită în cazul combaterii infracțiunilor în general, acest din urmă obiectiv putând justifica numai ingerințe care nu prezintă un caracter grav (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 59 și jurisprudența citată). Astfel, această directivă trebuie să asigure, prin norme clare și precise, că aplicarea sistemului instituit prin directiva menționată se limitează numai la infracțiunile grave și exclude, din acest motiv, infracțiunile de drept comun.

149    În această privință, astfel cum a arătat domnul avocat general la punctul 121 din concluzii, multe dintre infracțiunile menționate în anexa II la Directiva PNR, cum sunt traficul de ființe umane, exploatarea sexuală a copiilor și pornografia infantilă, traficul ilegal de arme, muniții și materiale explozibile, spălarea, infracțiunile informatice și criminalitatea cibernetică, traficul ilicit de organe și țesuturi umane, traficul ilicit de stupefiante și substanțe psihotrope, traficul ilicit de materiale nucleare sau radioactive, sechestrarea ilicită a aeronavelor sau a navelor, infracțiunile de competența Curții Penale Internaționale, omorul, violul, răpirea, lipsirea de libertate în mod ilegal și luarea de ostateci, au, prin natura lor, un nivel de gravitate care, în mod incontestabil, este unul ridicat.

150    În plus, deși alte infracțiuni, menționate de asemenea în această anexă II, pot fi a priori mai greu asociate cu infracțiuni grave, reiese totuși din chiar termenii articolului 3 punctul 9 din Directiva PNR că aceste infracțiuni nu pot fi considerate infracțiuni grave decât dacă sunt sancționate cu închisoarea sau cu o măsură de siguranță cu o durată maximă de cel puțin trei ani în temeiul dreptului intern al statului membru în cauză. Cerințele care rezultă din această dispoziție, referitoare la natura și severitatea sancțiunii aplicabile, sunt, în principiu, în măsură să limiteze aplicarea sistemului instituit prin directiva menționată la infracțiuni care prezintă un nivel suficient de gravitate care să poată justifica ingerința, ce rezultă din sistemul instituit prin directiva menționată, în drepturile fundamentale consacrate la articolele 7 și 8 din cartă.

151    Cu toate acestea, în măsura în care articolul 3 punctul 9 din Directiva PNR nu se referă la pedeapsa minimă aplicabilă, ci la pedeapsa maximă aplicabilă, nu este exclus ca datele din PNR să poată face obiectul unei prelucrări în scopul combaterii infracțiunilor care, deși îndeplinesc criteriul prevăzut de această dispoziție referitor la pragul de gravitate, nu sunt, date fiind specificitățile sistemului penal național, infracțiuni grave, ci de drept comun.

152    Revine, așadar, statelor membre sarcina de a se asigura că aplicarea sistemului instituit prin Directiva PNR este efectiv limitată la combaterea infracțiunilor grave și că acest sistem nu este extins la infracțiuni de drept comun.

3)      Cu privire la legătura dintre datele din PNR și scopurile prelucrării acestor date

153    Este adevărat că, astfel cum a arătat în esență domnul avocat general la punctul 119 din concluzii, articolul 3 punctul 8 și articolul 3 punctul 9 din Directiva PNR coroborate cu anexa II la aceasta nu fac referire în mod expres la un criteriu de natură să limiteze domeniul de aplicare al acestei directive doar la infracțiunile care, prin natura lor, sunt susceptibile să mențină, cel puțin indirect, o legătură obiectivă cu călătoriile aeriene și, prin urmare, cu categoriile de date transferate, prelucrate și păstrate în temeiul directivei menționate.

154    Cu toate acestea, astfel cum a arătat domnul avocat general la punctul 121 din concluzii, anumite infracțiuni prevăzute în anexa II la Directiva PNR, cum sunt traficul de ființe umane, traficul ilicit de stupefiante sau de arme, facilitarea intrării și șederii neautorizate sau chiar sechestrarea ilicită a aeronavelor, pot, prin însăși natura lor, să aibă o legătură directă cu transportul aerian de pasageri. Același lucru este valabil pentru anumite infracțiuni de terorism, cum ar fi provocarea de distrugeri masive unui sistem de transport sau unei infrastructuri sau capturarea de aeronave, care erau prevăzute la articolul 1 alineatul (1) literele (d) și (e) din Decizia‑cadru 2002/475, la care face trimitere articolul 3 punctul 8 din Directiva PNR, sau chiar deplasarea în scopuri teroriste și organizarea sau facilitarea în alt mod a unei astfel de deplasări, infracțiuni prevăzute la articolele 9 și 10 din Directiva 2017/541.

155    În acest context, ar trebui de asemenea reamintit că în motivarea Propunerii de directivă a Parlamentului European și a Consiliului din 2 februarie 2011 privind utilizarea datelor din registrul cu numele pasagerilor pentru prevenirea, depistarea, cercetarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave [COM(2011) 32 final], care a stat la baza Directivei PNR, Comisia a subliniat că „atacurile din Statele Unite din 2001, planul dejucat din august 2006 de a arunca în aer mai multe avioane în zbor între Regatul Unit și Statele Unite și tentativa de atac asupra zborului Amsterdam‑Detroit din decembrie 2009 au demonstrat că teroriștii sunt capabili să organizeze atacuri care vizează zboruri internaționale în orice țară” și că „majoritatea activităților teroriste sunt de natură transnațională și implică deplasări internaționale, printre altele către tabere de antrenament din afara Uniunii”. În plus, pentru a justifica necesitatea unei analize a datelor din PNR în vederea combaterii unor forme grave de criminalitate, Comisia s‑a referit, cu titlu de exemplu, la cazul unui grup de călăuze care, în vederea traficării de ființe umane, depuseseră documente falsificate pentru a efectua formalitățile de înregistrare pentru un zbor, precum și la cazul unei rețele de trafic de ființe umane și de trafic de droguri care, în scopul importării de droguri în mai multe regiuni ale Europei, recurgea la persoane care erau chiar ele victime ale traficului de persoane, achiziționând totodată biletele de avion ale acestor persoane cu ajutorul unor carduri de credit furate. Or, toate aceste cazuri priveau infracțiuni care aveau o legătură directă cu transportul aerian de pasageri, întrucât era vorba despre infracțiuni care aveau ca țintă transportul aerian de pasageri, precum și infracțiuni săvârșite cu ocazia sau cu ajutorul unei călătorii aeriene.

156    În plus, trebuie să se constate că inclusiv infracțiuni care nu au o astfel de legătură directă cu transportul aerian de pasageri pot avea, în funcție de împrejurările speței, o legătură indirectă cu transportul aerian de pasageri. Aceasta este situația în special atunci când transportul aerian servește drept mijloc de pregătire a unor asemenea infracțiuni sau de sustragere de la urmărirea penală după săvârșirea lor. În schimb, infracțiunile lipsite de orice legătură obiectivă, fie chiar indirectă, cu transportul aerian de pasageri nu pot justifica aplicarea sistemului instituit prin Directiva PNR.

157    În aceste condiții, articolul 3 punctele 8 și 9 din această directivă, interpretat în coroborare cu anexa II la aceasta și în lumina cerințelor ce rezultă din articolele 7 și 8, precum și din articolul 52 alineatul (1) din cartă, impune statelor membre să se asigure, în special cu ocazia reexaminării individuale prin mijloace neautomatizate, prevăzută la articolul 6 alineatul (5) din directiva menționată, că aplicarea sistemului instituit prin aceasta este limitată la infracțiunile de terorism și la infracțiunile grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

4)      Cu privire la pasagerii aerieni și la zborurile în cauză

158    Sistemul instituit prin Directiva PNR acoperă datele din PNR ale tuturor persoanelor care se încadrează în noțiunea de „pasager”, în sensul articolului 3 punctul 4 din această directivă, și efectuează zboruri care intră în domeniul de aplicare al acesteia.

159    Potrivit articolului 8 alineatul (1) din directiva menționată, aceste date sunt transferate către UIP a statului membru pe teritoriul căruia va sosi sau de pe teritoriul căruia va pleca zborul, independent de orice element obiectiv care permite să se considere că pasagerii în cauză pot prezenta un risc de a fi implicați în infracțiuni de terorism sau infracțiuni grave. Cu toate acestea, datele astfel transferate sunt supuse printre altele unor prelucrări automatizate în cadrul evaluării prealabile în temeiul articolului 6 alineatul (2) litera (a) și alineatul (3) din Directiva PNR, această evaluare având ca scop, astfel cum reiese din considerentul (7) al acestei directive, identificarea persoanelor care nu erau suspectate de implicare în infracțiuni de terorism sau în infracțiuni grave înainte de o astfel de evaluare și care ar trebui să facă obiectul unei examinări suplimentare desfășurate de autoritățile competente.

160    Mai precis, reiese din articolul 1 alineatul (1) litera (a) și din articolul 2 din Directiva PNR că aceasta face o distincție între pasagerii care efectuează zboruri extra‑UE, operate între Uniune și țări terțe, și pasagerii care efectuează zboruri intra‑UE, operate între diferite state membre.

161    În ceea ce privește pasagerii zborurilor extra‑UE, trebuie amintit că, referindu‑se la pasagerii care efectuează zboruri între Uniune și Canada, Curtea a statuat deja că prelucrarea automatizată a datelor lor din PNR, anterior sosirii lor în Canada, facilitează și accelerează controalele de securitate, în special la frontieră. În plus, excluderea anumitor categorii de persoane sau a anumitor zone de origine ar fi de natură să împiedice realizarea obiectivului prelucrării automatizate a datelor din PNR, și anume identificarea, prin intermediul verificării acestor date, a persoanelor care pot prezenta un risc pentru securitatea publică din rândul tuturor pasagerilor aerieni, și să permită ca această verificare să fie evitată [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 187].

162    Or, aceste considerații pot fi transpuse mutatis mutandis în cazul pasagerilor care efectuează zboruri operate între Uniune și ansamblul țărilor terțe cărora statele membre au obligația să le aplice sistemul instituit prin Directiva PNR în conformitate cu articolul 1 alineatul (1) litera (a) din această directivă coroborat cu articolul 3 punctele 2 și 4 din directiva menționată. Astfel, transferul și evaluarea prealabilă a datelor din PNR ale pasagerilor aerieni care intră sau ies din Uniune nu pot fi limitate la un anumit cerc de pasageri aerieni, ținând seama de însăși natura amenințărilor la adresa siguranței publice care pot rezulta din infracțiuni de terorism și din infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri între Uniune și țări terțe. Astfel, este necesar să se considere că există raportul necesar între aceste date și obiectivul legat de combaterea unor asemenea infracțiuni, așa încât Directiva PNR nu depășește limitele strictului necesar doar pentru că impune statelor membre efectuarea sistematică a transferului și a evaluării prealabile a datelor din PNR ale tuturor acestor pasageri.

163    În ceea ce privește pasagerii care efectuează zboruri între diferite state membre ale Uniunii, articolul 2 alineatul (1) din Directiva PNR coroborat cu considerentul (10) al acesteia prevede numai posibilitatea statelor membre de a extinde aplicarea sistemului instituit prin această directivă la zborurile intra‑UE.

164    Astfel, legiuitorul Uniunii nu a intenționat să impună statelor membre obligația de a extinde aplicarea sistemului instituit prin Directiva PNR la zborurile intra‑UE, ci, astfel cum reiese din articolul 19 alineatul (3) din această directivă, și‑a rezervat decizia cu privire la o asemenea extindere, apreciind totodată că aceasta trebuia precedată de o evaluare detaliată a efectelor sale juridice, în special asupra drepturilor fundamentale ale persoanelor în cauză.

165    În această privință, trebuie remarcat că, prin enunțarea faptului că raportul de reexaminare al Comisiei menționat la articolul 19 alineatul (1) din Directiva PNR „include de asemenea o evaluare cu privire la necesitatea, proporționalitatea și eficiența includerii în domeniul de aplicare a prezentei directive a colectării și a transferului datelor din PNR cu caracter obligatoriu, referitoare la toate sau la anumite zboruri intra‑UE”, și că trebuie să țină seama în acest sens de „experiența acumulată de statele membre, îndeosebi acele state membre care aplică prezenta directivă în ceea ce privește zborurile intra‑UE în conformitate cu articolul 2”, articolul 19 alineatul (3) din directiva menționată evidențiază în mod clar că, în opinia legiuitorului Uniunii, sistemul instituit prin directiva amintită nu trebuie să fie în mod necesar extins la toate zborurile intra‑UE.

166    În aceeași ordine de idei, articolul 2 alineatul (3) din Directiva PNR prevede că statele membre pot decide să aplice această directivă numai anumitor zboruri intra‑UE atunci când consideră necesar pentru urmărirea obiectivelor directivei menționate, putând în orice moment să modifice selectarea acestor zboruri.

167    În orice caz, posibilitatea statelor membre de a extinde aplicarea sistemului instituit prin Directiva PNR la zborurile intra‑UE trebuie exercitată, astfel cum reiese din considerentul (22) al acesteia, cu respectarea deplină a drepturilor fundamentale garantate de articolele 7 și 8 din cartă. În această privință, deși, conform considerentului (19) al directivei menționate, revine statelor membre sarcina de a evalua amenințările legate de infracțiuni de terorism și de infracțiuni grave, totuși exercitarea acestei posibilități presupune ca, în cadrul evaluării respective, statele membre să constate existența unei amenințări legate de astfel de infracțiuni de natură să justifice aplicarea aceleiași directive și în cazul zborurilor intra‑UE.

168    În aceste condiții, atunci când un stat membru dorește să recurgă la posibilitatea prevăzută la articolul 2 din Directiva PNR, fie pentru toate zborurile intra‑UE, în temeiul alineatului (2) al acestui articol, fie numai pentru unele dintre aceste zboruri, în temeiul alineatului (3) al articolului menționat, acesta nu este scutit de obligația de a verifica dacă extinderea aplicării acestei directive la toate sau la o parte a zborurilor intra‑UE este efectiv necesară și proporțională în vederea realizării obiectivului vizat la articolul 1 alineatul (2) din directiva menționată.

169    Astfel, ținând seama de considerentele (5)-(7), (10) și (22) ale Directivei PNR, un asemenea stat membru trebuie să verifice că prelucrările datelor din PNR, prevăzute de această directivă, ale pasagerilor care efectuează zboruri intra‑UE sau unele dintre aceste zboruri sunt strict necesare în raport cu gravitatea ingerinței în drepturile fundamentale garantate de articolele 7 și 8 din cartă, pentru a asigura securitatea internă a Uniunii sau, cel puțin, pe cea a statului membru respectiv și, astfel, pentru a proteja viața și securitatea persoanelor.

170    În ceea ce privește în special amenințările legate de infracțiunile de terorism, reiese din jurisprudența Curții că activitățile de terorism se numără printre cele care sunt de natură să destabilizeze grav structurile constituționale, politice, economice sau sociale fundamentale ale unei țări și în special să amenințe direct societatea, populația sau statul ca atare și că este în interesul primordial al fiecărui stat membru să prevină și să sancționeze aceste activități pentru a proteja funcțiile esențiale ale statului și interesele fundamentale ale societății, în vederea apărării securității naționale. Astfel de amenințări se disting prin natura lor, prin gravitatea lor deosebită și prin caracterul specific al împrejurărilor care le constituie de riscul general și permanent de săvârșire a unor infracțiuni grave (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 135 și 136, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctele 61 și 62).

171    Astfel, în situația în care se constată, pe baza evaluării realizate de un stat membru, că există împrejurări suficient de concrete pentru a considera că acesta din urmă se confruntă cu o amenințare teroristă care se dovedește reală și actuală sau previzibilă, faptul că statul membru respectiv prevede aplicarea Directivei PNR, în temeiul articolului 2 alineatul (1) din această directivă, în privința tuturor zborurilor intra‑UE care provin din sau au ca destinație statul membru respectiv, pentru o durată limitată, nu pare să depășească limitele strictului necesar. Astfel, existența unei asemenea amenințări este, prin ea însăși, de natură să stabilească o relație între, pe de o parte, transferul și prelucrarea datelor vizate și, pe de altă parte, combaterea terorismului (a se vedea prin analogie Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 137).

172    Decizia care prevede această aplicare trebuie să poată face obiectul unui control efectiv de către o instanță sau de către o entitate administrativă independentă, a cărei decizie are efect obligatoriu, prin care se urmărește să se verifice existența acestei situații, precum și respectarea condițiilor și a garanțiilor care trebuie stabilite. Perioada de aplicare trebuie să fie de asemenea limitată în timp la strictul necesar, dar să poată fi reînnoită în cazul menținerii acestei amenințări (a se vedea prin analogie Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 168, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 58).

173    În schimb, în lipsa unei amenințări teroriste reale și actuale sau previzibile cu care să se confrunte statul membru în cauză, aplicarea nediferențiată de către acesta a sistemului instituit prin Directiva PNR nu numai zborurilor extra‑UE, ci și tuturor zborurilor intra‑UE nu poate fi considerată ca fiind limitată la strictul necesar.

174    Într‑o astfel de situație, aplicarea sistemului instituit prin Directiva PNR anumitor zboruri intra-UE trebuie limitată la transferul și la prelucrarea datelor din PNR ale zborurilor referitoare în special la anumite legături aeriene sau scheme de călătorie ori chiar la anumite aeroporturi pentru care există indicii de natură să justifice această aplicare. Într‑o astfel de situație, revine statului membru în cauză sarcina de a selecta zborurile intra‑UE, potrivit rezultatelor aprecierii pe care trebuie să o efectueze în temeiul cerințelor expuse la punctele 163-169 din prezenta hotărâre, și de a reexamina în mod regulat această selecție în funcție de evoluția condițiilor care au justificat-o, pentru a se asigura că aplicarea sistemului instituit prin directiva menționată în cazul zborurilor intra‑UE este întotdeauna limitată la strictul necesar.

175    Din considerațiile care precedă rezultă că interpretarea astfel reținută a articolului 2 și a articolului 3 punctul 4 din Directiva PNR în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din cartă este de natură să garanteze că aceste dispoziții respectă limitele strictului necesar.

5)      Cu privire la evaluarea prealabilă a datelor din PNR prin intermediul prelucrărilor automatizate

176    Potrivit articolului 6 alineatul (2) litera (a) din Directiva PNR, evaluarea prealabilă pe care o prevede are ca obiectiv identificarea persoanelor pentru care este necesară o examinare suplimentară de către autoritățile competente menționate la articolul 7 din această directivă, având în vedere că respectivele persoane pot fi implicate într‑o infracțiune de terorism sau într‑o infracțiune gravă.

177    Această evaluare prealabilă se derulează în două etape. Într‑o primă etapă, UIP a statului membru în cauză efectuează, în conformitate cu articolul 6 alineatul (3) din Directiva PNR, prelucrări automatizate ale datelor din PNR, comparându‑le cu baze de date sau cu criterii prestabilite. Într‑o a doua etapă, în ipoteza în care aceste prelucrări automatizate conduc la un rezultat pozitiv (hit), unitatea menționată efectuează, în temeiul articolului 6 alineatul (5) din această directivă, o reexaminare individuală prin mijloace neautomatizate, pentru a verifica dacă autoritățile competente prevăzute la articolul 7 din directiva menționată trebuie să ia măsuri în temeiul dreptului național (match).

178    Or, astfel cum s‑a amintit la punctul 106 din prezenta hotărâre, unele prelucrări automatizate au în mod necesar o rată de eroare destul de substanțială, întrucât sunt efectuate pe baza unor date cu caracter personal neverificate și se întemeiază pe criterii prestabilite.

179    În aceste condiții și ținând seama de necesitatea, subliniată de al patrulea paragraf al preambulului cartei, de a consolida protecția drepturilor fundamentale în special în lumina progreselor științifice și tehnologice, trebuie să se asigure, astfel cum se arată în considerentul (20) și la articolul 7 alineatul (6) din Directiva PNR, că nicio decizie care produce efecte juridice prejudiciabile unei persoane sau care o afectează în mod semnificativ nu poate fi luată de autoritățile competente exclusiv pe baza prelucrării automatizate a datelor din PNR. În plus, conform articolului 6 alineatul (6) din această directivă, UIP însăși poate transfera datele din PNR acestor autorități numai după ce a efectuat o reexaminare individuală prin mijloace neautomatizate. În sfârșit, pe lângă aceste verificări care sunt în sarcina UIP și a autorităților competente înseși, legalitatea tuturor prelucrărilor automatizate trebuie să poată face obiectul unui control al responsabilului cu protecția datelor și al autorității naționale de supraveghere, în temeiul articolului 6 alineatul (7) și, respectiv, al articolului 15 alineatul (3) litera (b) din directiva menționată, precum și al unui control al instanțelor naționale în cadrul căii de atac jurisdicționale prevăzute la articolul 13 alineatul (1) din aceeași directivă.

180    Or, astfel cum a arătat în esență domnul avocat general la punctul 207 din concluzii, autoritatea națională de supraveghere, responsabilul cu protecția datelor și UIP trebuie să dispună de mijloacele materiale și personale necesare pentru a‑și exercita controlul care le incumbă în temeiul Directivei PNR. În plus, este important ca reglementarea națională care transpune această directivă în dreptul intern și care autorizează prelucrarea automatizată pe care aceasta o prevede să stabilească norme clare și precise care încadrează determinarea bazelor de date, precum și criteriile de analiză utilizate, fără a putea recurge, în scopul evaluării prealabile, la alte metode neprevăzute în mod expres la articolul 6 alineatul (2) din această directivă.

181    Pe de altă parte, din articolul 6 alineatul (9) din Directiva PNR rezultă că consecințele evaluării prealabile întemeiate pe articolul 6 alineatul (2) litera (a) din aceasta nu periclitează dreptul de intrare pe teritoriul statului membru respectiv prevăzut de Directiva 2004/38 al persoanelor care se bucură de dreptul la liberă circulație și, în plus, ele trebuie să respecte Regulamentul nr. 562/2006. Astfel, sistemul instituit prin Directiva PNR nu permite autorităților competente să limiteze acest drept dincolo de ceea ce este prevăzut în Directiva 2004/38 și în Regulamentul nr. 562/2006.

i)      Cu privire la compararea datelor din PNR cu bazele de date

182    Potrivit articolului 6 alineatul (3) litera (a) din Directiva PNR, UIP „poate”, în momentul efectuării evaluării menționate la articolul 6 alineatul (2) litera (a) din această directivă, să compare datele din PNR cu „bazele de date relevante” în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, „inclusiv cu bazele de date privind persoane sau obiecte căutate sau care fac obiectul unei alerte, în conformitate cu normele Uniunii și cu normele internaționale și naționale aplicabile unor astfel de baze de date”.

183    Deși rezultă din însuși modul de redactare a acestui articol 6 alineatul (3) litera (a) din Directiva PNR, în special din termenul „inclusiv”, că bazele de date privind persoane sau obiecte căutate sau care fac obiectul unei alerte figurează printre „bazele de date relevante” vizate de această dispoziție, ea nu precizează în schimb care alte baze de date ar putea fi considerate de asemenea „relevante” în raport cu obiectivele urmărite de această directivă. Astfel, după cum a arătat domnul avocat general la punctul 217 din concluzii, dispoziția menționată nu precizează în mod expres natura datelor care pot fi conținute în astfel de baze și raportul lor cu aceste obiective și nici nu indică dacă datele din PNR trebuie să fie comparate exclusiv cu bazele de date gestionate de autorități publice sau dacă acestea pot fi aplicate și unor baze de date gestionate de persoane private.

184    În aceste condiții, articolul 6 alineatul (3) litera (a) din Directiva PNR ar putea, la prima vedere, să fie interpretat în sensul că datele din PNR pot fi utilizate ca simple criterii de căutare în vederea realizării unor analize pornind de la diverse baze de date, inclusiv baze de date pe care agențiile de securitate și de informații din statele membre le gestionează și le exploatează în alte scopuri decât cele vizate de această directivă, iar asemenea analize pot lua forma unei explorări de date (data mining). Or, posibilitatea de a efectua asemenea analize și de a compara datele din PNR cu astfel de baze de date ar fi de natură să genereze în percepția pasagerilor transportului aerian sentimentul că viața lor privată face obiectul unei forme de supraveghere. Astfel, deși evaluarea prealabilă prevăzută de această dispoziție pleacă de la un ansamblu de date relativ limitat care sunt datele din PNR, o asemenea interpretare a acestui articol 6 alineatul (3) litera (a) nu poate fi reținută, din moment ce ar putea conduce la o utilizare disproporționată a acestor date care furnizează mijloacele de a stabili profilul precis al persoanelor în cauză pentru simplul motiv că acestea au intenția de a călători cu avionul.

185    Prin urmare, conform jurisprudenței amintite la punctele 86 și 87 din prezenta hotărâre, articolul 6 alineatul (3) litera (a) din Directiva PNR trebuie interpretat în așa fel încât să se garanteze respectarea deplină a drepturilor fundamentale consacrate la articolele 7 și 8 din cartă.

186    În această privință, din considerentele (7) și (15) ale Directivei PNR reiese că prelucrarea automatizată prevăzută la articolul 6 alineatul (3) litera (a) din această directivă trebuie limitată la ceea ce este strict necesar în scopul combaterii infracțiunilor de terorism și a infracțiunilor grave, asigurând în același timp un nivel ridicat de protecție a acestor drepturi fundamentale.

187    În plus, astfel cum a arătat în esență Comisia ca răspuns la o întrebare a Curții, termenii acestei dispoziții, potrivit căreia UIP „poate” să compare datele din PNR cu bazele de date pe care le vizează, permit UIP să aleagă o modalitate de prelucrare care să fie limitată la strictul necesar, în funcție de situația concretă. Or, având în vedere respectarea necesară a cerințelor de claritate și de precizie cerute pentru a asigura protecția drepturilor fundamentale consacrate la articolele 7 și 8 din cartă, UIP este obligată să limiteze prelucrarea automatizată, prevăzută la articolul 6 alineatul (3) litera (a) din Directiva PNR, numai la bazele de date a căror identificare este permisă de această dispoziție. În această privință, deși referirea din textul acestei din urmă dispoziții la „bazele de date relevante” nu se pretează la o interpretare care să precizeze în mod suficient de clar și de precis bazele de date astfel vizate, situația este diferită în ceea ce privește referirea la „bazele de date privind persoane sau obiecte căutate sau care fac obiectul unei alerte, în conformitate cu normele Uniunii și cu normele internaționale și naționale aplicabile unor astfel de baze de date”.

188    În consecință, după cum a arătat în esență domnul avocat general la punctul 219 din concluzii, articolul 6 alineatul (3) litera (a) din Directiva PNR trebuie interpretat, din perspectiva acestor drepturi fundamentale, în sensul că aceste din urmă baze de date sunt singurele baze de date cu care UIP poate compara datele din PNR.

189    În ceea ce privește cerințele pe care trebuie să le îndeplinească aceste baze de date, trebuie arătat că, potrivit articolului 6 alineatul (4) din Directiva PNR, evaluarea prealabilă efectuată pe baza unor criterii prestabilite trebuie, conform articolului 6 alineatul (3) litera (b) din această directivă, să se realizeze în mod nediscriminatoriu, că aceste criterii trebuie să fie personalizate, proporționale și specifice și trebuie stabilite și revizuite periodic de UIP în cooperare cu autoritățile competente menționate la articolul 7 din directiva menționată. În cazul în care, prin trimiterea la articolul 6 alineatul (3) litera (b) din această directivă, termenii articolului 6 alineatul (4) se referă numai la prelucrarea datelor din PNR pe baza unor criterii prestabilite, această ultimă dispoziție trebuie interpretată în lumina articolelor 7, 8 și 21 din cartă, în sensul că cerințele pe care le stabilește trebuie să se aplice mutatis mutandis comparării acestor date cu bazele de date menționate la alineatul anterior din prezenta hotărâre, mai ales că aceste cerințe corespund în esență celor reținute de jurisprudența rezultată din Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 172) pentru corelarea datelor din PNR cu bazele de date.

190    În această privință, trebuie precizat că cerința privind caracterul nediscriminatoriu al bazelor de date menționate implică printre altele ca înregistrarea în bazele de date referitoare la persoanele căutate sau care fac obiectul unei alerte să se întemeieze pe elemente obiective și nediscriminatorii, definite de normele naționale, internaționale și ale Uniunii aplicabile unor astfel de baze de date (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 78).

191    În plus, pentru a îndeplini cerința privind caracterul personalizat, proporțional și specific al criteriilor prestabilite, bazele de date menționate la punctul 188 din prezenta hotărâre trebuie să fie exploatate în raport cu combaterea infracțiunilor de terorism și a infracțiunilor grave care are o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

192    Pe de altă parte, bazele de date utilizate în temeiul articolului 6 alineatul (3) litera (a) din Directiva PNR trebuie, având în vedere considerațiile de la punctele 183 și 184 din prezenta hotărâre, să fie gestionate de autoritățile competente vizate la articolul 7 din această directivă sau, în ceea ce privește bazele de date ale Uniunii, precum și bazele de date internaționale, să fie exploatate de aceste autorități în cadrul misiunii lor de combatere a infracțiunilor de terorism și a infracțiunilor grave. Or, aceasta este situația bazelor de date referitoare la persoane sau obiecte căutate sau care fac obiectul unei alerte, în conformitate cu normele Uniunii și cu normele internaționale aplicabile unor astfel de baze de date.

ii)    Cu privire la prelucrarea datelor din PNR pe baza unor criterii prestabilite

193    Articolul 6 alineatul (3) litera (b) din Directiva PNR prevede că UIP poate de asemenea să prelucreze datele din PNR pe baza unor criterii prestabilite. Din articolul 6 alineatul (2) litera (a) din această directivă reiese că evaluarea prealabilă și, prin urmare, prelucrarea datelor din PNR pe baza unor criterii prestabilite urmărește în esență identificarea persoanelor care pot fi implicate într‑o infracțiune de terorism sau într‑o infracțiune gravă.

194    În ceea ce privește criteriile pe care UIP le poate utiliza în acest scop, trebuie arătat mai întâi că, potrivit chiar termenilor articolului 6 alineatul (3) litera (b) din Directiva PNR, aceste criterii trebuie să fie „prestabilite”. Astfel cum a arătat domnul avocat general la punctul 228 din concluzii, această cerință se opune utilizării tehnologiilor de inteligență artificială în cadrul sistemelor de autoinstruire (machine learning), care pot modifica, fără intervenție și fără control uman, procesul de evaluare și în special criteriile de evaluare pe care se întemeiază rezultatul aplicării acestui proces, precum și ponderea acestor criterii.

195    Trebuie adăugat că recurgerea la astfel de tehnologii ar risca să priveze de efect util reexaminarea individuală a rezultatelor pozitive, precum și controlul de legalitate impus de dispozițiile Directivei PNR. Astfel, după cum a arătat domnul avocat general în esență la punctul 228 din concluzii, ținând seama de opacitatea care caracterizează funcționarea tehnologiilor de inteligență artificială, se poate dovedi imposibil de înțeles motivul pentru care un anumit program a ajuns la un rezultat pozitiv. În aceste condiții, utilizarea unor astfel de tehnologii ar putea priva persoanele în cauză și de dreptul lor la o cale de atac jurisdicțională efectivă consacrat la articolul 47 din cartă, pe care Directiva PNR urmărește să îl garanteze, potrivit considerentului (28), la un nivel ridicat, în special pentru a contesta caracterul nediscriminatoriu al rezultatelor obținute.

196    În ceea ce privește apoi cerințele ce rezultă din articolul 6 alineatul (4) din Directiva PNR, această dispoziție prevede în prima teză că evaluarea prealabilă pe baza unor criterii prestabilite se realizează în mod nediscriminatoriu și precizează în a patra teză că aceste criterii nu se întemeiază în niciun caz pe rasa sau originea etnică a unei persoane, opiniile sale politice, religia sau convingerile sale filozofice, apartenența la un sindicat, starea sa de sănătate, viața sexuală sau orientarea sexuală.

197    Astfel, statele membre nu pot reține, drept criterii prestabilite, criterii care se întemeiază pe caracteristici menționate la punctul anterior din prezenta hotărâre și a căror utilizare poate fi de natură să dea naștere unor discriminări. În această privință, din termenii articolului 6 alineatul (4) a patra teză din Directiva PNR, potrivit cărora criteriile prestabilite nu sunt „în niciun caz” întemeiate pe aceste caracteristici, rezultă că această dispoziție vizează atât discriminări directe, cât și discriminări indirecte. Interpretarea menționată este de altfel confirmată de articolul 21 alineatul (1) din cartă, în lumina căruia dispoziția menționată trebuie interpretată, care interzice „orice” discriminare întemeiată pe caracteristicile menționate. În aceste condiții, criteriile prestabilite trebuie determinate astfel încât, deși formulate în mod neutru, aplicarea lor să nu poată fi de natură să dezavantajeze în special persoanele care au caracteristicile protejate.

198    În ceea ce privește cerințele referitoare la caracterul personalizat, proporțional și specific al criteriilor prestabilite prevăzute la articolul 6 alineatul (4) a doua teză din Directiva PNR, din aceste cerințe rezultă că criteriile utilizate în scopul evaluării prealabile trebuie determinate astfel încât să vizeze în mod specific persoanele în privința cărora ar putea exista o bănuială rezonabilă de participare la infracțiuni de terorism sau la infracțiuni grave vizate de această directivă. Această interpretare este confirmată chiar de termenii articolului 6 alineatul (2) litera (a) din aceasta, care pun accentul pe „faptul” că persoanele în cauză „pot” fi implicate „într‑o” infracțiune de terorism sau „într‑o” infracțiune gravă. În aceeași ordine de idei, considerentul (7) al directivei menționate precizează că definirea și aplicarea unor criterii de evaluare ar trebui să fie limitate la infracțiuni de terorism și la infracțiuni grave „pentru care este relevantă utilizarea unor astfel de criterii”.

199    Pentru a distinge în acest mod persoanele astfel vizate și ținând seama de riscul de discriminare pe care îl implică criteriile care se întemeiază pe caracteristicile menționate la articolul 6 alineatul (4) a patra teză din Directiva PNR, UIP și autoritățile competente nu se pot întemeia în principiu pe aceste caracteristici. În schimb, după cum a arătat guvernul german în ședință, acestea pot lua în considerare în special particularități ale comportamentului factual al persoanelor în legătură cu pregătirea și realizarea călătoriilor aeriene, care ar putea indica, potrivit constatărilor efectuate și experienței dobândite de autoritățile competente, că persoanele care se comportă în acest fel pot fi implicate în infracțiuni de terorism sau în infracțiuni grave.

200    În acest context, astfel cum a remarcat Comisia ca răspuns la o întrebare a Curții, criteriile prestabilite trebuie determinate astfel încât să se țină seama atât de elementele „incriminatoare”, cât și de elementele „dezincriminatoare”, această cerință putând să contribuie la fiabilitatea criteriilor respective și în special să garanteze că ele sunt proporționale, după cum impune articolul 6 alineatul (4) a doua teză din Directiva PNR.

201    În sfârșit, potrivit articolului 6 alineatul (4) a treia teză din această directivă, criteriile prestabilite trebuie revizuite periodic. În cadrul acestei revizuiri, criteriile menționate trebuie actualizate în funcție de evoluția condițiilor care au justificat luarea lor în considerare la evaluarea prealabilă, permițând astfel mai ales să se reacționeze la modul în care evoluează combaterea infracțiunilor de terorism și a infracțiunilor grave menționate la punctul 157 din prezenta hotărâre (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 82). În special, reexaminarea menționată trebuie să ia în considerare experiența dobândită în cadrul aplicării criteriilor prestabilite pentru a reduce, în măsura posibilului, numărul rezultatelor „fals pozitive” și pentru a contribui astfel la caracterul strict necesar al aplicării acestor criterii.

iii) Cu privire la garanțiile legate de prelucrarea automatizată a datelor din PNR

202    Respectarea cerințelor aplicabile, conform articolului 6 alineatul (4) din Directiva PNR, prelucrării automatizate a datelor din PNR este necesară nu numai în cadrul stabilirii și al reexaminării bazelor de date și a criteriilor prestabilite prevăzute de această dispoziție, ci și, astfel cum a arătat domnul avocat general la punctul 230 din concluzii, pe tot parcursul procesului de prelucrare a acestor date.

203    În ceea ce privește în special criteriile prestabilite, se impune, mai întâi, să se precizeze că, deși UIP trebuie, astfel cum enunță considerentul (7) al Directivei PNR, să definească criteriile de evaluare într‑un mod care să reducă la minimum numărul persoanelor nevinovate identificate greșit prin intermediul sistemului instituit prin această directivă, aceeași unitate trebuie totuși să recurgă, în conformitate cu articolul 6 alineatele (5) și (6) din directiva menționată, la o eventuală examinare a oricărui rezultat pozitiv prin mijloace neautomatizate, în vederea identificării, pe cât posibil, a unor rezultate „fals pozitive”. În plus, în pofida faptului că trebuie să stabilească criteriile de evaluare în mod nediscriminatoriu, UIP este obligată să efectueze o astfel de reexaminare în vederea excluderii unor eventuale rezultate discriminatorii. UIP trebuie să respecte aceeași obligație de reexaminare în privința comparării datelor din PNR cu bazele de date.

204    Astfel, UIP trebuie să se abțină să transfere rezultatele acestor prelucrări automatizate autorităților competente vizate la articolul 7 din Directiva PNR atunci când, având în vedere considerațiile care figurează la punctul 198 din prezenta hotărâre, nu dispune, în urma acestei reexaminări, de elemente de natură să justifice, corespunzător cerințelor legale, o bănuială rezonabilă privind participarea la infracțiuni de terorism sau la infracțiuni grave în ceea ce privește persoanele identificate prin intermediul acestor prelucrări automatizate sau atunci când dispune de elemente ce indică faptul că respectivele prelucrări conduc la rezultate discriminatorii.

205    În ceea ce privește verificările pe care UIP trebuie să le efectueze în acest scop, din articolul 6 alineatele (5) și (6) din Directiva PNR coroborat cu considerentele (20) și (22) ale acesteia rezultă că statele membre trebuie să prevadă norme clare și precise de natură să orienteze și să circumscrie analiza efectuată de agenții însărcinați cu reexaminarea individuală pentru a asigura deplina respectare a drepturilor fundamentale consacrate la articolele 7, 8 și 21 din cartă și în special pentru a garanta o practică administrativă coerentă în cadrul UIP ce respectă principiul nediscriminării.

206    În special, având în vedere numărul destul de mare de rezultate „fals pozitive” menționat la punctul 106 din prezenta hotărâre, statele membre trebuie să se asigure că UIP stabilește, în mod clar și precis, criterii obiective de examinare care să le permită agenților săi, pe de o parte, să verifice dacă și în ce măsură un rezultat pozitiv (hit) se referă într‑adevăr la o persoană susceptibilă de a fi implicată în infracțiunile de terorism sau în infracțiunile grave menționate la punctul 157 din prezenta hotărâre și el trebuie, din acest motiv, să facă obiectul unei examinări suplimentare de către autoritățile competente menționate la articolul 7 din directiva menționată, precum și, pe de altă parte, să verifice caracterul nediscriminatoriu al prelucrărilor automatizate prevăzute de directiva respectivă și în special al criteriilor prestabilite și a bazelor de date utilizate.

207    În acest context, statele membre sunt obligate să se asigure că, în conformitate cu articolul 13 alineatul (5) din Directiva PNR coroborat cu considerentul (37) al acesteia, UIP păstrează documentația privind orice prelucrare a datelor din PNR efectuată în cadrul evaluării prealabile, inclusiv în cadrul reexaminării individuale prin mijloace neautomatizate, în scopul verificării legalității sale și al unei automonitorizări.

208    În continuare, potrivit articolului 7 alineatul (6) prima teză din Directiva PNR, autoritățile competente nu pot lua nicio decizie care produce efecte juridice adverse asupra unei persoane sau care afectează în mod semnificativ o persoană doar pe baza prelucrării automatizate a datelor din PNR, ceea ce presupune ca, în cadrul evaluării prealabile, acestea să țină seama și, dacă este cazul, să dea prevalență rezultatului reexaminării individuale operate prin mijloace neautomatizate de către UIP asupra celui obținut prin prelucrări automatizate. A doua teză a acestui articol 7 alineatul (6) precizează că astfel de decizii nu trebuie să fie discriminatorii.

209    În acest cadru, autoritățile competente trebuie să se asigure cu privire la caracterul legal atât al acestor prelucrări automatizate, în special cu privire la caracterul nediscriminatoriu al acestora, cât și al reexaminării individuale.

210    În special, autoritățile competente trebuie să se asigure că persoana interesată, fără a‑i permite neapărat, în cursul procedurii administrative, să ia cunoștință de criteriile de evaluare prestabilite și de programele ce aplică aceste criterii, poate înțelege funcționarea criteriilor și a programelor respective, astfel încât să poată decide, în deplină cunoștință de cauză, dacă își exercită sau nu dreptul la o cale de atac jurisdicțională garantat de articolul 13 alineatul (1) din Directiva PNR, pentru a pune în discuție, dacă este cazul, caracterul ilegal și în special discriminatoriu al criteriilor menționate (a se vedea prin analogie Hotărârea din 24 noiembrie 2020, Minister van Buitenlandse Zaken, C‑225/19 și C‑226/19, EU:C:2020:951, punctul 43 și jurisprudența citată). Situația trebuie să fie aceeași în ceea ce privește criteriile de reexaminare amintite la punctul 206 din prezenta hotărâre.

211    În sfârșit, în cadrul unei căi de atac introduse în temeiul articolului 13 alineatul (1) din Directiva PNR, judecătorul însărcinat cu controlul legalității deciziei adoptate de autoritățile competente, precum și, în afara cazurilor de amenințări pentru siguranța statului, persoana interesată însăși trebuie să poată lua cunoștință atât de ansamblul motivelor, cât și de elementele de probă pe baza cărora a fost adoptată această decizie (a se vedea prin analogie Hotărârea din 4 iunie 2013, ZZ, C‑300/11, EU:C:2013:363, punctele 54-59), inclusiv de criteriile de evaluare prestabilite și de funcționarea programelor care aplică aceste criterii.

212    Pe de altă parte, potrivit articolului 6 alineatul (7) și articolului 15 alineatul (3) litera (b) din Directiva PNR, revine responsabilului cu protecția datelor și autorității naționale de supraveghere sarcina de a asigura controlul legalității prelucrărilor automatizate efectuate de UIP în cadrul evaluării prealabile, control care se extinde în special la caracterul nediscriminatoriu al acestor prelucrări. Deși prima dintre aceste dispoziții precizează, în acest scop, că responsabilul cu protecția datelor are acces la toate datele prelucrate de UIP, acest acces trebuie obligatoriu să se extindă la criteriile prestabilite și la bazele de date utilizate de UIP pentru a asigura eficacitatea și nivelul ridicat de protecție a datelor pe care trebuie să le asigure acest responsabil în conformitate cu considerentul (37) al directivei menționate. Totodată, investigațiile, inspecțiile și auditurile pe care autoritatea națională de supraveghere le efectuează în temeiul celei de a doua dispoziții pot privi de asemenea aceste criterii prestabilite și aceste baze de date.

213    Din ansamblul considerațiilor care precedă rezultă că dispozițiile Directivei PNR care reglementează evaluarea prealabilă a datelor din PNR în temeiul articolului 6 alineatul (2) litera (a) din această directivă se pretează unei interpretări conforme cu articolele 7, 8 și 21 din cartă, ce respectă limitele strictului necesar.

6)      Cu privire la dezvăluirea și la evaluarea ulterioară a datelor din PNR

214    Potrivit articolului 6 alineatul (2) litera (b) din Directiva PNR, datele din PNR pot fi de asemenea dezvăluite autorităților competente, la cererea acestora, și să facă obiectul unei evaluări ulterior sosirii în sau plecării programate din statul membru.

215    În ceea ce privește condițiile în care o astfel de dezvăluire și de evaluare pot fi efectuate, reiese din termenii dispoziției amintite că UIP poate să prelucreze datele din PNR pentru a oferi răspunsuri, „de la caz la caz”, „unei cereri temeinic justificate bazate pe motive suficiente” din partea autorităților competente vizând furnizarea și prelucrarea datelor din PNR „în cazuri specifice în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism sau a infracțiunilor grave”. În plus, atunci când o cerere este introdusă după o perioadă mai mare de șase luni de la transferul datelor din PNR către UIP, la expirarea căreia toate datele din PNR sunt depersonalizate printr‑o mascare a anumitor elemente, în conformitate cu articolul 12 alineatul (2) din această directivă, articolul 12 alineatul (3) din directiva menționată prevede că dezvăluirea datelor complete din PNR și, prin urmare, a unei versiuni nepersonalizate a acestora este permisă numai cu dubla condiție ca, pe de o parte, să se considere în mod rezonabil că este necesară în scopul menționat la articolul 6 alineatul (2) litera (b) din directiva menționată, și, pe de altă parte, să fie aprobată de o autoritate judiciară sau de o altă autoritate națională competentă, în temeiul dreptului intern.

216    În această privință, reiese, mai întâi, din însuși modul de redactare a articolului 6 alineatul (2) litera (b) din Directiva PNR că UIP nu poate efectua în mod sistematic o dezvăluire și o evaluare ulterioare a datelor din PNR ale tuturor pasagerilor aerieni și că aceasta poate numai să răspundă „de la caz la caz” unor cereri care vizează astfel de prelucrări „în cazuri specifice”. Totuși, în măsura în care dispoziția menționată se referă la „cazuri specifice”, prelucrările respective nu trebuie neapărat să se limiteze la datele din PNR ale unui singur pasager aerian, ci pot, astfel cum a arătat Comisia ca răspuns la o întrebare a Curții, să privească și o pluralitate de persoane, cu condiția ca persoanele vizate să aibă toate un anumit număr de caracteristici care permit să fie considerate împreună ca fiind un „caz specific” în scopul dezvăluirii și al evaluării vizate.

217    În ceea ce privește apoi condițiile de fond impuse pentru ca datele din PNR ale pasagerilor aerieni să facă obiectul unei dezvăluiri și al unei evaluări ulterioare, deși articolul 6 alineatul (2) litera (b) și articolul 12 alineatul (3) litera (a) din Directiva PNR se referă la „motive suficiente” și, respectiv, la motive rezonabile, fără a preciza în mod expres natura acestor motive, rezultă însă din termenii primei dintre aceste dispoziții, care se referă la scopurile menționate la articolul 1 alineatul (2) din directiva amintită, că furnizarea datelor din PNR și evaluarea ulterioară nu pot fi efectuate decât în scopul de a verifica existența unor indici privind o eventuală implicare a persoanelor în cauză în infracțiuni de terorism sau în infracțiuni grave care, astfel cum rezultă din cuprinsul punctului 157 din prezenta hotărâre, au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

218    Or, în cadrul sistemului instituit prin Directiva PNR, furnizarea și prelucrarea datelor din PNR în temeiul articolului 6 alineatul (2) litera (b) din această directivă privesc date ale unor persoane care au făcut deja obiectul unei evaluări prealabile înainte de sosirea în sau de plecarea programată a acestora din statul membru. În plus, o cerere ulterioară de evaluare poate viza printre altele persoanele ale căror date din PNR nu au fost transferate autorităților competente în urma evaluării prealabile, în măsura în care aceasta nu a revelat elemente care să indice că aceste persoane puteau fi implicate în infracțiuni teroriste sau în infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri. În aceste condiții, furnizarea și prelucrarea datelor din PNR în scopul evaluării lor ulterioare trebuie să se întemeieze pe împrejurări noi care justifică această utilizare [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 200 și jurisprudența citată].

219    În ceea ce privește natura împrejurărilor susceptibile să justifice furnizarea și prelucrarea datelor din PNR în vederea evaluării lor ulterioare, rezultă dintr‑o jurisprudență constantă că, întrucât un acces general la toate datele păstrate, independent de orice legătură, chiar indirectă, cu scopul urmărit, nu poate fi considerat limitat la strictul necesar, reglementarea vizată, fie că este reglementarea Uniunii sau o normă națională de transpunere a acesteia din urmă, trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care trebuie să se acorde autorităților naționale competente accesul la datele în cauză. În această privință, accesul nu poate fi în principiu acordat, în legătură cu obiectivul combaterii infracționalității, decât la datele persoanelor suspectate că ar plănui, că ar săvârși sau că ar fi săvârșit o infracțiune gravă ori că ar fi implicate într‑un mod sau altul într‑o astfel de infracțiune. Cu toate acestea, în situații speciale, precum cele în care interese vitale privind securitatea națională, apărarea sau siguranța publică sunt amenințate prin activități de terorism, se poate acorda accesul și la datele altor persoane în cazul în care există elemente obiective care permit să se considere că aceste date ar putea aduce, într‑un caz concret, o contribuție efectivă la combaterea unor asemenea activități [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 50 și jurisprudența citată, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 105].

220    Astfel, termenii „motive suficiente” și „în mod rezonabil” de la articolul 6 alineatul (2) litera (b) și, respectiv, de la articolul 12 alineatul (3) litera (a) din Directiva PNR trebuie interpretați, în lumina articolelor 7 și 8 din cartă, ca referindu‑se la elemente obiective capabile să dea naștere unei suspiciuni rezonabile privind implicarea persoanei în cauză, într‑un mod sau altul, în infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri, în timp ce, în ceea ce privește infracțiunile de terorism care au o astfel de legătură, această cerință este îndeplinită atunci când există elemente obiective care permit să se considere că datele din PNR ar putea, într‑un caz concret, să contribuie în mod eficient la lupta împotriva acestor infracțiuni.

221    În sfârșit, în ceea ce privește condițiile procedurale aplicabile furnizării și prelucrării datelor din PNR în scopul evaluării ulterioare, articolul 12 alineatul (3) litera (b) din Directiva PNR impune, în cazul în care cererea este depusă la mai mult de șase luni de la transferul lor către UIP, cu alte cuvinte, în condițiile în care, în conformitate cu alineatul (2) al acestui articol, datele menționate au fost depersonalizate prin mascarea elementelor prevăzute la acest alineat (2), ca dezvăluirea datelor complete din PNR și, prin urmare, a unei versiuni depersonalizate a acestora să fie aprobată de o autoritate judiciară sau de o altă autoritate națională competentă în temeiul dreptului intern. În acest context, revine autorităților amintite sarcina de a examina integral temeinicia cererii și în special de a verifica dacă elementele prezentate în susținerea cererii menționate sunt de natură să dovedească condiția de fond privind existența unor „motive rezonabile” menționată la punctul anterior din prezenta hotărâre.

222    Este adevărat că, în cazul în care cererea de comunicare și de evaluare ulterioară a datelor din PNR este formulată înainte de expirarea termenului de șase luni de la transferul acestor date, articolul 6 alineatul (2) litera (b) din Directiva PNR nu prevede în mod expres o astfel de condiție procedurală. Totuși, interpretarea acestei ultime dispoziții trebuie să țină seama de considerentul (25) al Directivei PNR, din care reiese că, prin inserarea condiției procedurale menționate, legiuitorul Uniunii a intenționat să „asigur[e] cel mai înalt nivel de protecție a datelor” în ceea ce privește accesul la datele din PNR sub o formă care să permită o identificare directă a persoanei vizate. Or, orice cerere de comunicare și de evaluare ulterioare presupune un astfel de acces la aceste date, indiferent dacă cererea este formulată înainte de expirarea perioadei de șase luni de la transferul datelor din PNR către UIP sau după expirarea perioadei respective.

223    În special, pentru a garanta în practică deplina respectare a drepturilor fundamentale în sistemul instituit prin Directiva PNR și mai ales a condițiilor enunțate la punctele 218 și 219 din prezenta hotărâre, este esențial ca dezvăluirea datelor din PNR în scopul unei evaluări ulterioare să fie în principiu condiționată, mai puțin în situații de urgență justificate corespunzător, de un control prealabil efectuat de o instanță sau de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate a autorităților competente, în special în proceduri de prevenire, de detectare sau de urmărire penală. În caz de urgență justificată corespunzător, controlul menționat trebuie să aibă loc în termen scurt [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 202 și jurisprudența citată, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 110].

224    În aceste condiții, cerința unui control prealabil prevăzut la articolul 12 alineatul (3) litera (b) din Directiva PNR pentru cererile de dezvăluire a datelor din PNR formulate după expirarea termenului de șase luni de la transferul acestor date către UIP trebuie să se aplice mutatis mutandis și în cazul în care cererea de dezvăluire este formulată înainte de expirarea acestui termen.

225    Pe de altă parte, deși articolul 12 alineatul (3) litera (b) din Directiva PNR nu precizează în mod expres cerințele pe care trebuie să le îndeplinească autoritatea însărcinată cu controlul prealabil, rezultă dintr‑o jurisprudență constantă că, pentru a se asigura că ingerința în drepturile fundamentale garantate de articolele 7 și 8 din cartă ce rezultă dintr‑un acces la datele cu caracter personal este limitată la strictul necesar, această autoritate trebuie să dispună de toate atribuțiile și să prezinte toate garanțiile necesare pentru concilierea diferitelor interese și a drepturilor în cauză. În ceea ce privește, mai concret, o investigație penală, un asemenea control impune ca această autoritate să fie în măsură să asigure un just echilibru între, pe de o parte, interesele legate de nevoile investigației în cadrul combaterii criminalității și, pe de altă parte, drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor ale căror date sunt vizate de acces (Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 107, precum și jurisprudența citată).

226    În acest sens, o asemenea autoritate trebuie să aibă un statut care să îi permită să acționeze obiectiv și imparțial în exercitarea misiunilor sale și, din acest motiv, trebuie să fie protejată de orice influență exterioară. Cerința de independență impune ca aceasta să aibă calitatea de terț în raport cu autoritatea care solicită accesul, astfel încât prima să fie în măsură să își exercite controlul la adăpost de orice influență exterioară. În special în domeniul penal, cerința privind independența presupune ca autoritatea menționată, pe de o parte, să nu fie implicată în desfășurarea investigației penale în cauză și, pe de altă parte, să aibă o poziție de neutralitate față de părțile din procedura penală (a se vedea în acest sens Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 108, precum și jurisprudența citată).

227    Prin urmare, dispozițiile Directivei PNR care reglementează furnizarea și evaluarea ulterioară a datelor din PNR în temeiul articolului 6 alineatul (2) litera (b) din această directivă se pretează unei interpretări conforme cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă, ce respectă limitele strictului necesar.

228    Având în vedere ansamblul considerațiilor care precedă, întrucât o interpretare a Directivei PNR în lumina articolelor 7, 8 și 21, precum și a articolului 52 alineatul (1) din cartă asigură conformitatea directivei menționate cu aceste articole din cartă, examinarea întrebărilor a doua-a patra și a șasea nu a evidențiat niciun element de natură să afecteze validitatea directivei menționate.

C.      Cu privire la a cincea întrebare

229    Prin intermediul celei de a cincea întrebări, instanța de trimitere urmărește să afle dacă articolul 6 din Directiva PNR trebuie interpretat, în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din cartă, în sensul că se opune unei legislații naționale care autorizează prelucrarea datelor din PNR colectate în conformitate cu această directivă în scopul monitorizării unor activități de către serviciile de informații și de securitate.

230    Din cererea de decizie preliminară reiese că, prin intermediul acestei întrebări, instanța de trimitere vizează mai precis activitățile desfășurate de Sûreté de l’État (Serviciul de Siguranță a Statului, Belgia) și de Service général du renseignement et de la sécurité (Serviciul General de Informații și Securitate, Belgia), în cadrul misiunilor lor legate de protecția securității naționale.

231    În această privință, pentru a respecta principiile legalității și proporționalității prevăzute îndeosebi la articolul 52 alineatul (1) din cartă, legiuitorul Uniunii a prevăzut norme clare și precise care reglementează scopurile măsurilor prevăzute de Directiva PNR care implică ingerințe în drepturile fundamentale garantate de articolele 7 și 8 din cartă.

232    Astfel, articolul 1 alineatul (2) din Directiva PNR prevede în mod expres că datele din PNR colectate în conformitate cu această directivă pot fi prelucrate „doar în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, astfel cum este prevăzut la articolul 6 alineatul (2) literele (a), (b) și (c) [din directiva menționată]”. Această ultimă dispoziție confirmă principiul enunțat la articolul 1 alineatul (2), referindu‑se în mod sistematic la noțiunile de „infracțiune de terorism” și „infracțiune gravă”.

233    Reiese astfel în mod clar din modul de redactare a acestor dispoziții că enumerarea obiectivelor urmărite de prelucrarea datelor din PNR în temeiul Directivei PNR care figurează în cuprinsul dispozițiilor are un caracter exhaustiv.

234    Această interpretare este confirmată în special de considerentul (11) al Directivei PNR, potrivit căruia prelucrarea datelor din PNR trebuie să fie proporțională cu „obiectivele specifice de securitate” urmărite de directivă, dar și de articolul 7 alineatul (4) din aceasta, potrivit căruia datele din PNR și rezultatul prelucrării acestor date primite de UIP pot face obiectul unei prelucrări ulterioare „doar în scopul specific al prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave”.

235    Pe de altă parte, caracterul exhaustiv al finalităților vizate la articolul 1 alineatul (2) din Directiva PNR presupune de asemenea ca datele din PNR să nu poată fi păstrate într‑o bază de date unică consultabilă în vederea urmăririi atât a acestor scopuri, cât și a altor scopuri. Astfel, păstrarea acestor date într‑o asemenea bază de date ar prezenta riscul ca datele menționate să fie utilizate în alte scopuri decât cele vizate la acest articol 1 alineatul (2).

236    În speță, în măsura în care, potrivit instanței de trimitere, legislația națională în discuție în litigiul principal admite drept scop al prelucrării datelor din PNR monitorizarea activităților vizate de serviciile de informații și de securitate, integrându‑l astfel în prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, această legislație poate încălca caracterul exhaustiv al enumerării obiectivelor urmărite de prelucrarea datelor din PNR în temeiul Directivei PNR, aspect a cărui verificare revine instanței de trimitere.

237    Prin urmare, trebuie să se răspundă la a cincea întrebare că articolul 6 din Directiva PNR trebuie interpretat, în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din cartă, în sensul că se opune unei legislații naționale care autorizează prelucrarea datelor din PNR colectate în conformitate cu această directivă în alte scopuri decât cele vizate în mod expres la articolul 1 alineatul (2) din această directivă.

D.      Cu privire la a șaptea întrebare

238    Prin intermediul celei de a șaptea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 12 alineatul (3) litera (b) din Directiva PNR trebuie interpretat în sensul că se opune unei legislații naționale potrivit căreia autoritatea înființată ca UIP are și calitatea de autoritate națională competentă abilitată să aprobe dezvăluirea datelor din PNR după expirarea perioadei de șase luni de la transferul acestor date către UIP.

239    Cu titlu introductiv, este necesar să se arate că guvernul belgian are îndoieli privind competența Curții de a răspunde la întrebarea menționată, astfel cum a fost formulată de instanța de trimitere, pentru motivul că această din urmă instanță este singura competentă să interpreteze dispozițiile naționale și în special să aprecieze cerințele ce rezultă din Legea din 25 decembrie 2016 în raport cu articolul 12 alineatul (3) litera (b) din Directiva PNR.

240    În această privință, este suficient să se arate că, prin intermediul întrebării menționate, instanța de trimitere solicită interpretarea unei dispoziții de drept al Uniunii. În plus, deși interpretarea dispozițiilor naționale, în cadrul unei proceduri inițiate în temeiul articolului 267 TFUE, este de competența instanțelor statelor membre, iar nu a Curții, și deși nu este de competența acesteia din urmă să se pronunțe asupra compatibilității normelor de drept intern cu prevederile dreptului Uniunii, totuși Curtea este competentă să furnizeze instanței naționale toate elementele de interpretare proprii dreptului Uniunii care să îi permită acesteia să aprecieze compatibilitatea normelor de drept intern cu reglementarea Uniunii (Hotărârea din 30 aprilie 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, punctul 28 și jurisprudența citată). În consecință, Curtea este competentă să răspundă la a șaptea întrebare.

241    Pe fond, trebuie arătat că modul de redactare a articolului 12 alineatul (3) litera (b) din Directiva PNR, care menționează, la punctele (i) și (ii), „o autoritate judiciară” și, respectiv, „o altă autoritate națională competentă, în temeiul dreptului intern, să verifice dacă sunt îndeplinite condițiile pentru dezvăluire”, pune pe același plan aceste două autorități, astfel cum reiese din folosirea conjuncției „sau” între aceste puncte (i) și (ii). Reiese astfel din acest mod de redactare că „cealaltă” autoritate națională competentă vizată constituie o alternativă la autoritatea judiciară și trebuie, prin urmare, să aibă un nivel de independență și de imparțialitate comparabil cu al acesteia din urmă.

242    Această analiză este confirmată de obiectivul Directivei PNR, menționat în considerentul (25) al acesteia, de a asigura cel mai înalt nivel de protecție a datelor în ceea ce privește accesul la datele complete din PNR care permit identificarea directă a persoanei vizate. Același considerent precizează de altfel că un astfel de acces ar trebui acordat numai în condiții foarte stricte după expirarea termenului de șase luni de la data transferului datelor din PNR către UIP.

243    Analiza menționată este de asemenea confirmată de geneza Directivei PNR. Astfel, în timp ce propunerea de directivă menționată la punctul 155 din prezenta hotărâre, aflată la originea Directivei PNR, se limita să prevadă că „[a]ccesul la datele complete din PNR nu este autorizat decât de responsabilul unității de informații despre pasageri”, versiunea articolului 12 alineatul (3) litera (b) din această directivă reținută în final de legiuitorul Uniunii desemnează, plasându‑le pe același plan, autoritatea judiciară și o „altă autoritate națională” competentă să verifice dacă sunt îndeplinite toate condițiile pentru dezvăluirea datelor complete din PNR și să aprobe o astfel de dezvăluire.

244    În plus și mai ales, conform unei jurisprudențe constante amintite la punctele 223, 225 și 226 din prezenta hotărâre, este esențial ca accesul autorităților competente la datele stocate să fie condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile respective în special în proceduri de prevenire, de depistare sau de urmărire penală. Așadar, cerința privind independența pe care trebuie să o îndeplinească autoritatea însărcinată cu exercitarea controlului prealabil impune totodată ca aceasta să aibă calitatea de terț în raport cu autoritatea care solicită accesul la date, astfel încât entitatea menționată să fie în măsură să exercite controlul în mod obiectiv și imparțial, protejată de orice influență exterioară. În special în domeniul penal, cerința privind independența presupune ca autoritatea însărcinată cu acest control prealabil, pe de o parte, să nu fie implicată în desfășurarea investigației penale în cauză și, pe de altă parte, să aibă o poziție de neutralitate față de părțile din procedura penală.

245    Or, astfel cum a arătat domnul avocat general la punctul 271 din concluzii, articolul 4 din Directiva PNR prevede la alineatele (1) și (3) că UIP înființată sau desemnată în fiecare stat membru este o autoritate competentă în prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave și că membrii personalului său pot fi agenți detașați de autoritățile competente prevăzute la articolul 7 din această directivă, astfel încât UIP pare în mod necesar legată de aceste autorități. UIP poate efectua de asemenea, în temeiul articolului 6 alineatul (2) litera (b) din directiva menționată, prelucrări ale datelor din PNR al căror rezultat îl comunică autorităților menționate. Având în vedere aceste elemente, nu se poate considera că UIP este un terț în raport cu aceste autorități și, prin urmare, că dispune de toate calitățile de independență și de imparțialitate necesare pentru a exercita controlul prealabil menționat la punctul anterior din prezenta hotărâre și pentru a verifica dacă sunt îndeplinite condițiile pentru dezvăluirea datelor complete din PNR, cum prevede articolul 12 alineatul (3) litera (b) din aceeași directivă.

246    Pe de altă parte, faptul că această din urmă dispoziție, la punctul (ii), în cazul aprobării dezvăluirii acestor date complete de către o „altă autoritate națională competentă”, impune condiția „informării [responsabilului cu protecția datelor din cadrul UIP] și a revizuirii ulterioare de către acesta”, deși situația este diferită atunci când aprobarea este dată de autoritatea judiciară, nu este de natură să repună în discuție această apreciere. Astfel, potrivit unei jurisprudențe consacrate, un control ulterior, precum cel realizat de responsabilul cu protecția datelor, nu permite îndeplinirea obiectivului unui control prealabil, care constă în împiedicarea autorizării unui acces la datele în cauză care să depășească limitele strictului necesar (a se vedea în acest sens Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 110, precum și jurisprudența citată).

247    Având în vedere ansamblul acestor considerații, este necesar să se răspundă la a șaptea întrebare că articolul 12 alineatul (3) litera (b) din Directiva PNR trebuie interpretat în sensul că se opune unei legislații naționale potrivit căreia autoritatea înființată ca UIP are și calitatea de autoritate națională competentă abilitată să aprobe dezvăluirea datelor din PNR după expirarea perioadei de șase luni de la transferul acestor date către UIP.

E.      Cu privire la a opta întrebare

248    Prin intermediul celei de a opta întrebări, instanța de trimitere urmărește să afle dacă articolul 12 din Directiva PNR trebuie interpretat, în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din cartă, în sensul că se opune unei legislații naționale care prevede o durată generală de păstrare a datelor din PNR de cinci ani, fără a distinge după cum pasagerii în cauză prezintă sau nu un risc în materie de infracțiuni de terorism sau de infracțiuni grave.

249    Trebuie amintit că, potrivit articolului 12 alineatele (1) și (4) din această directivă, UIP a statului membru pe teritoriul căruia sosește sau de pe teritoriul căruia pleacă zborul în cauză păstrează datele din PNR furnizate de transportatorii aerieni într‑o bază de date pentru o perioadă de cinci ani după transferul lor către unitatea respectivă și șterge aceste date în mod definitiv după expirarea perioadei de cinci ani.

250    Astfel cum se amintește în considerentul (25) al Directivei PNR, datele din PNR „ar trebui să fie păstrate atât timp cât este necesar în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și proporțional cu acest scop”.

251    În consecință, păstrarea datelor din PNR în temeiul articolului 12 alineatul (1) din Directiva PNR nu poate fi justificată în lipsa unui raport obiectiv între această păstrare și obiectivele urmărite de directiva menționată, și anume combaterea infracțiunilor de terorism și a infracțiunilor grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

252    În această privință, astfel cum reiese din considerentul (25) al Directivei PNR, este necesar să se facă distincție între, pe de o parte, perioada de păstrare inițială de șase luni prevăzută la articolul 12 alineatul (2) din această directivă și, pe de altă parte, perioada ulterioară prevăzută la articolul 12 alineatul (3) din directiva menționată.

253    Interpretarea articolului 12 alineatul (1) din Directiva PNR trebuie să țină seama de dispozițiile de la alineatele (2) și (3) ale acestui articol, care stabilesc regimul de conservare și de acces la datele din PNR păstrate după expirarea perioadei inițiale de șase luni. Astfel cum rezultă din considerentul (25) al acestei directive, dispozițiile menționate reflectă, pe de o parte, obiectivul de a asigura că „datele din PNR [sunt] păstrate o perioadă suficient de îndelungată pentru efectuarea de analize și pentru utilizarea în investigații”, acestea putând fi deja efectuate în cursul perioadei inițiale de păstrare de șase luni. Pe de altă parte, acestea urmăresc, potrivit aceluiași considerent (25), să evite „utilizarea disproporționată” prin mascarea acestor date și să asigure „cel mai înalt nivel de protecție a datelor” prin oferirea accesului la aceste date într‑o formă care să permită identificarea directă a persoanei vizate „numai în condiții foarte stricte și limitate după perioada inițială respectivă”, ținând astfel seama de faptul că, cu cât păstrarea datelor din PNR este mai lungă, cu atât ingerința care rezultă de aici este mai gravă.

254    Or, distincția dintre perioada de păstrare inițială de șase luni vizată la articolul 12 alineatul (2) din Directiva PNR și perioada ulterioară prevăzută la articolul 12 alineatul (3) din această directivă se aplică de asemenea respectării necesare a cerinței menționate la punctul 251 din prezenta hotărâre.

255    Astfel, având în vedere finalitățile Directivei PNR și nevoile investigării și urmăririi penale în materie de infracțiuni teroriste și de infracțiuni grave, este necesar să se considere că păstrarea, în perioada inițială de șase luni, a datelor din PNR ale tuturor pasagerilor aerieni care fac obiectul sistemului instituit prin această directivă, fără a exista nici cel mai mic indiciu privind implicarea lor în infracțiuni teroriste sau în infracțiuni grave, nu pare, în principiu, să depășească limitele strictului necesar, în măsura în care permite efectuarea cercetărilor necesare în scopul identificării unor persoane care nu erau suspectate de implicare în infracțiuni de terorism sau infracțiuni grave.

256    În schimb, în ceea ce privește perioada ulterioară prevăzută la articolul 12 alineatul (3) din Directiva PNR, păstrarea datelor din PNR ale tuturor pasagerilor aerieni care fac obiectul sistemului instituit prin această directivă, pe lângă faptul că implică, din cauza cantității semnificative de date care pot fi păstrate în mod continuu, riscuri inerente de utilizare disproporționată și de abuz (a se vedea prin analogie Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 119), aceasta se lovește de cerința prevăzută în considerentul (25) al acestei directive, potrivit căruia datele respective ar trebui să fie păstrate numai pe durata necesară și proporțională cu obiectivele urmărite, întrucât legiuitorul Uniunii a intenționat să instituie cel mai înalt nivel de protecție a datelor din PNR care să permită identificarea directă a persoanelor vizate.

257    Într‑adevăr, în ceea ce privește pasagerii aerieni pentru care nici evaluarea prealabilă menționată la articolul 6 alineatul (2) litera (a) din Directiva PNR, nici eventualele verificări efectuate în perioada de șase luni menționată la articolul 12 alineatul (2) din aceeași directivă și nici o altă circumstanță nu au evidențiat elemente obiective de natură să demonstreze existența unui risc în materie de infracțiuni teroriste sau de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu călătoria aeriană efectuată de acești pasageri, nu pare să existe, în astfel de împrejurări, vreun raport, fie și indirect, între datele din PNR ale acestor pasageri și obiectivul urmărit de directiva menționată, care să justifice păstrarea acestor date [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctele 204 și 205].

258    Stocarea continuă a datelor din PNR ale tuturor pasagerilor după perioada inițială de șase luni nu pare, așadar, limitată la strictul necesar [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 206].

259    În măsura în care, în cazuri particulare, sunt totuși identificate elemente obiective, precum datele din PNR ale pasagerilor care au dat naștere unui rezultat pozitiv verificat, care permit să se considere că anumiți pasageri ar putea prezenta un risc în materie de infracțiuni teroriste sau de infracțiuni grave, o stocare a datelor lor din PNR pare admisibilă dincolo de această perioadă inițială [a se vedea prin analogie Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 207 și jurisprudența citată].

260    Astfel, identificarea acestor elemente obiective ar fi de natură să stabilească un raport cu obiectivele urmărite de prelucrările efectuate în temeiul Directivei PNR, așa încât păstrarea datelor din PNR referitoare la acești pasageri ar fi justificată în termenul maxim admis de directiva menționată, și anume timp de cinci ani.

261    În speță, în măsura în care reglementarea în discuție în litigiul principal pare să prevadă o perioadă generală de păstrare a datelor din PNR de cinci ani, aplicabilă fără distincție tuturor pasagerilor, inclusiv celor pentru care nici evaluarea prealabilă menționată la articolul 6 alineatul (2) litera (a) din Directiva PNR și nici eventualele verificări efectuate în cursul perioadei inițiale de șase luni și nici o altă împrejurare nu au evidențiat existența unor elemente obiective de natură să demonstreze un risc în legătură cu infracțiunile de terorism sau cu infracțiunile grave, această reglementare este susceptibilă să încalce articolul 12 alineatul (1) din directiva menționată, din perspectiva articolelor 7 și 8 și a articolului 52 alineatul (1) din cartă, cu excepția cazului în care poate fi interpretată în conformitate cu aceste dispoziții, ceea ce revine instanței de trimitere să verifice.

262    Având în vedere considerațiile care precedă, este necesar să se răspundă la a opta întrebare că articolul 12 alineatul (1) din Directiva PNR coroborat cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă trebuie interpretat în sensul că se opune unei legislații naționale care prevede o perioadă generală de păstrare a datelor din PNR de cinci ani, aplicabilă fără distincție tuturor pasagerilor aerieni, inclusiv celor pentru care nici evaluarea prealabilă prevăzută la articolul 6 alineatul (2) litera (a) din această directivă, nici eventualele verificări efectuate în perioada de șase luni menționată la articolul 12 alineatul (2) din directiva menționată și nici o altă circumstanță nu au evidențiat elemente obiective de natură să demonstreze existența unui risc în materie de infracțiuni teroriste sau de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

F.      Cu privire la a noua întrebare litera a)

263    Prin intermediul celei de a noua întrebări litera a), instanța de trimitere ridică în esență problema validității Directivei API în raport cu articolul 3 alineatul (2) TUE și cu articolul 45 din cartă pornind de la premisa că obligațiile pe care această directivă le instituie se aplică zborurilor intra‑UE.

264    Or, astfel cum a arătat domnul avocat general la punctul 277 din concluzii și astfel cum au remarcat Consiliul, Comisia și mai multe guverne, această premisă este una eronată.

265    Astfel, articolul 3 alineatul (1) din Directiva API prevede că statele membre iau toate măsurile necesare pentru a stabili obligația pentru operatorii de transport de a transmite, la cererea autorităților responsabile cu controlul persoanelor la frontierele externe, înainte de sfârșitul înregistrării (checkin), informațiile privind pasagerii pe care îi vor transporta către un punct autorizat de trecere a frontierei prin care respectivele persoane vor intra pe teritoriul unui stat membru. Aceste date sunt transmise, potrivit articolului 6 alineatul (1) din directiva menționată, autorităților responsabile cu efectuarea controlului persoanelor la frontierele externe prin care pasagerul va intra pe acest teritoriu și fac obiectul unei prelucrări în condițiile prevăzute de această ultimă dispoziție.

266    Or, reiese cu claritate din aceste dispoziții, interpretate în lumina articolului 2 literele (a), (b) și (d) din Directiva API, în care sunt definite noțiunile de „operator de transport”, de „frontiere externe” și, respectiv, de „punct de trecere a frontierei”, că directiva nu impune operatorilor de transport aerian obligația de a transmite datele menționate la articolul 3 alineatul (2) din aceasta autorităților responsabile cu controlul la frontierele externe decât în cazul zborurilor care transportă pasageri către un punct de trecere autorizat de trecere a frontierelor externe ale statelor membre cu state terțe și prevede numai prelucrarea datelor referitoare la aceste zboruri.

267    În schimb, directiva menționată nu impune nicio obligație privind datele pasagerilor care recurg la zboruri care trec doar frontierele interne dintre statele membre.

268    Trebuie adăugat că Directiva PNR, prin faptul că include în ansamblul datelor din PNR, astfel cum reiese din considerentul (9) și din articolul 8 alineatul (2) din aceasta, și datele menționate la articolul 3 alineatul (2) din Directiva API colectate în conformitate cu această directivă și păstrate de anumiți transportatori aerieni și prin faptul că oferă statelor membre posibilitatea de a aplica Directiva PNR, în temeiul articolului 2 din aceasta, zborurilor intra‑UE pe care le definesc, nu a modificat nici domeniul de aplicare al dispozițiilor Directivei API, nici limitările ce decurg din această directivă.

269    Având în vedere cele de mai sus, trebuie să se răspundă la a noua întrebare litera a) că Directiva API trebuie interpretată în sensul că nu este aplicabilă zborurilor intra‑UE.

G.      Cu privire la a noua întrebare litera b)

270    Deși, în a noua întrebare litera b), instanța de trimitere se referă la Directiva API coroborată cu articolul 3 alineatul (2) TUE și cu articolul 45 din cartă, din cererea de decizie preliminară reiese că această instanță ridică problema compatibilității sistemului de transfer și de prelucrare a datelor pasagerilor instituit prin Legea din 25 decembrie 2016 cu libera circulație a persoanelor și cu eliminarea controalelor la frontierele interne prevăzute de dreptul Uniunii, în măsura în care acest sistem se aplică nu numai transporturilor aeriene, ci și transporturilor feroviare, terestre și chiar maritime, dinspre sau către Belgia, efectuate în interiorul Uniunii, fără trecerea frontierelor externe cu țări terțe.

271    Or, astfel cum reiese din cuprinsul punctelor 265-269 din prezenta hotărâre, Directiva API, care nu este aplicabilă zborurilor intra‑UE și nu impune obligația de transfer și de prelucrare a datelor pasagerilor care călătoresc pe cale aeriană sau cu un alt mod de transport în interiorul Uniunii, fără trecerea frontierelor externe cu țări terțe, nu este relevantă pentru a răspunde la această întrebare.

272    În schimb și în condițiile în care, potrivit articolului 67 alineatul (2) TFUE, Uniunea asigură absența controalelor asupra persoanelor la frontierele interne, articolul 2 din Directiva PNR, pe care legiuitorul belgian s‑a întemeiat pentru a adopta Legea din 25 decembrie 2016 în discuție în litigiul principal, astfel cum reiese din cererea de decizie preliminară, autorizează statele membre să aplice această directivă zborurilor intra‑UE.

273    În aceste condiții, pentru a oferi un răspuns util instanței de trimitere, a noua întrebare litera b) trebuie reformulată în sensul că urmărește în esență să se stabilească dacă dreptul Uniunii, în special articolul 2 din Directiva PNR, trebuie interpretat, în lumina articolului 3 alineatul (2) TUE, a articolului 67 alineatul (2) TFUE și a articolului 45 din cartă, în sensul că se opune unei legislații naționale care prevede un sistem de transfer de către transportatori și operatorii de turism, precum și de prelucrare de către autoritățile competente a datelor din PNR ale zborurilor și ale transporturilor efectuate cu alte mijloace în interiorul Uniunii, dinspre sau către statul membru care a adoptat legislația menționată sau pentru a tranzita teritoriul acestui stat membru.

274    Mai întâi, articolul 45 din cartă consacră libera circulație a persoanelor, care constituie, pe de altă parte, una dintre libertățile fundamentale ale pieței interne [a se vedea în acest sens Hotărârea din 22 iunie 2021, Ordre des barreaux francophones et germanophone și alții (Măsuri preventive în vederea îndepărtării) C‑718/19, EU:C:2021:505, punctul 54].

275    Acest articol garantează la alineatul (1) dreptul oricărui cetățean al Uniunii la liberă circulație și ședere pe teritoriul statelor membre, drept care, potrivit Explicațiilor cu privire la Carta drepturilor fundamentale (JO 2007, C 303, p. 17), corespunde celui garantat de articolul 20 alineatul (2) primul paragraf litera (a) TFUE și se exercită, în conformitate cu articolul 20 alineatul (2) al doilea paragraf TFUE și cu articolul 52 alineatul (2) din cartă, în condițiile și limitele stabilite prin tratate și prin măsurile adoptate pentru punerea în aplicare a acestora.

276    În continuare, potrivit articolului 3 alineatul (2) TUE, Uniunea oferă cetățenilor săi un spațiu de libertate, securitate și justiție fără frontiere interne, în interiorul căruia este asigurată libera circulație a persoanelor, în corelare cu măsuri adecvate privind controlul la frontierele externe, dreptul de azil, imigrarea, precum și prevenirea criminalității și combaterea acestui fenomen. De asemenea, conform articolului 67 alineatul (2) TFUE, Uniunea asigură absența controalelor asupra persoanelor la frontierele interne și dezvoltă o politică comună în domeniul, printre altele, al controlului la frontierele externe.

277    Conform jurisprudenței constante a Curții, o legislație națională care dezavantajează anumiți resortisanți naționali pentru simplul fapt că și‑au exercitat libertatea de circulație și de ședere într‑un alt stat membru constituie o restricție privind libertățile recunoscute oricărui cetățean al Uniunii prin articolul 45 alineatul (1) din cartă [a se vedea în acest sens, în ceea ce privește articolul 21 alineatul (1) TFUE, Hotărârea din 8 iunie 2017, Freitag, C‑541/15, EU:C:2017:432, punctul 35 și jurisprudența citată, precum și Hotărârea din 19 noiembrie 2020, ZW, C‑454/19, EU:C:2020:947, punctul 30].

278    Or, o legislație națională precum cea în discuție în litigiul principal, care aplică sistemul prevăzut de Directiva PNR nu numai zborurilor extra‑UE, ci și, conform articolului 2 alineatul (1) din această directivă, zborurilor intra‑UE, precum și, dincolo de ceea ce prevede această dispoziție, transporturilor efectuate cu alte mijloace în interiorul Uniunii, are drept consecință transferul, precum și prelucrarea sistematice și continue ale datelor din PNR ale oricărui pasager care se deplasează cu aceste mijloace în interiorul Uniunii prin exercitarea libertății sale de circulație.

279    Astfel cum s‑a constatat la punctele 98-111 din prezenta hotărâre, transferul, precum și prelucrarea datelor pasagerilor zborurilor extra‑UE și intra‑UE ce rezultă din sistemul instituit prin Directiva PNR implică ingerințe de o anumită gravitate în drepturile fundamentale consacrate la articolele 7 și 8 din cartă ale persoanelor vizate. Gravitatea acestei ingerințe este chiar mai mare în cazul în care aplicarea sistemului menționat este extinsă la alte mijloace de transport interne pe teritoriul Uniunii. Astfel de ingerințe sunt, pentru aceleași motive cu cele expuse la aceste puncte, și de natură să îi dezavantajeze și, prin urmare, să îi descurajeze să își exercite libertatea de circulație, în sensul articolului 45 din cartă, pe resortisanții statelor membre care au adoptat o astfel de legislație, precum și, în general, pe cetățenii Uniunii care se deplasează cu aceste mijloace de transport în Uniune dinspre sau către aceste state membre, astfel încât legislația menționată conține o restricție privind această libertate fundamentală.

280    Potrivit unei jurisprudențe constante, o restricție privind libera circulație a persoanelor poate fi justificată numai dacă se întemeiază pe considerații obiective și este proporțională cu obiectivul legitim urmărit de dreptul național. O măsură este proporțională atunci când, fiind aptă pentru realizarea obiectivului urmărit, nu depășește ceea ce este necesar pentru atingerea acestuia (a se vedea în acest sens Hotărârea din 5 iunie 2018, Coman și alții, C‑673/16, EU:C:2018:385, punctul 41, precum și jurisprudența citată).

281    Trebuie adăugat că o măsură națională care este de natură să împiedice exercitarea liberei circulații a persoanelor nu poate fi justificată decât dacă această măsură este conformă cu drepturile fundamentale care sunt garantate de cartă și a căror respectare este asigurată de Curte (Hotărârea din 14 decembrie 2021, Stolichna obshtina, rayon „Pancharevo”, C‑490/20, EU:C:2021:1008, punctul 58 și jurisprudența citată).

282    În special, conform jurisprudenței amintite la punctele 115 și 116 din prezenta hotărâre, un obiectiv de interes general nu poate fi urmărit fără a ține seama de faptul că el trebuie conciliat cu drepturile fundamentale vizate de măsură prin punerea în echilibru, pe de o parte, a obiectivului de interes general și, pe de altă parte, a drepturilor în cauză. În această privință, posibilitatea statelor membre de a justifica o restrângere a dreptului fundamental garantat de articolul 45 alineatul (1) din cartă trebuie să fie apreciată măsurând gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângere se raportează la această gravitate.

283    Astfel cum s‑a amintit la punctul 122 din prezenta hotărâre, obiectivul combaterii infracțiunilor de terorism și a infracțiunilor grave urmărit de Directiva PNR este fără îndoială un obiectiv de interes general al Uniunii.

284    În ceea ce privește aspectul dacă o legislație națională adoptată în vederea transpunerii Directivei PNR care extinde sistemul prevăzut de această directivă pentru zborurile intra‑UE și la alte moduri de transport interne pe teritoriul Uniune este aptă să realizeze obiectivul urmărit, din indicațiile care figurează în dosarul de care dispune Curtea reiese că utilizarea datelor din PNR permite identificarea persoanelor care nu erau suspectate de implicare în infracțiuni teroriste sau în infracțiuni grave și care ar trebui să facă obiectul unei examinări suplimentare, astfel încât o asemenea legislație pare să fie adecvată pentru atingerea obiectivului de combatere a infracțiunilor de terorism și a infracțiunilor grave.

285    În ceea ce privește caracterul necesar al unei astfel de legislații, exercitarea de către statele membre a posibilității prevăzute la articolul 2 alineatul (1) din Directiva PNR, interpretat în lumina articolelor 7 și 8 din cartă, trebuie să se limiteze la ceea ce este strict necesar pentru realizarea acestui obiectiv în raport cu cerințele menționate la punctele 163-174 din prezenta hotărâre.

286    Aceste cerințe se aplică, cu atât mai mult, în cazul în care sistemul prevăzut de Directiva PNR se aplică altor mijloace de transport interne ale Uniunii.

287    Pe de altă parte, astfel cum reiese din indicațiile care figurează în cererea de decizie preliminară, legislația națională în discuție în litigiul principal transpune printr‑un singur act Directiva PNR, Directiva API și, în parte, Directiva 2010/65. În acest scop, ea prevede aplicarea sistemului prevăzut de Directiva PNR tuturor zborurilor intra‑UE și transporturilor feroviare, terestre, chiar maritime, efectuate în interiorul Uniunii, dinspre, spre sau care tranzitează Belgia și se aplică și operatorilor de turism, urmărind în același timp și alte obiective decât combaterea infracțiunilor teroriste și a infracțiunilor grave. Potrivit acelorași indicații, se pare că toate datele colectate în cadrul sistemului instituit prin această legislație națională sunt păstrate de UIP într‑o bază de date unică ce înglobează datele din PNR, inclusiv datele menționate la articolul 3 alineatul (2) din Directiva API, ale tuturor pasagerilor care recurg la transporturile vizate de legislația menționată.

288    În această privință, în măsura în care instanța de trimitere s‑a referit, în cadrul celei de a noua întrebări litera b), la obiectivul de îmbunătățire a controalelor la frontieră și de combatere a imigrației ilegale, care constituie obiectivul Directivei API, trebuie amintit că, astfel cum rezultă din cuprinsul punctelor 233, 234 și 237 din prezenta hotărâre, enumerarea obiectivelor urmărite prin prelucrarea datelor din PNR în temeiul Directivei PNR este exhaustivă, astfel încât o legislație națională care autorizează prelucrarea datelor din PNR colectate în conformitate cu această directivă în alte scopuri decât cele prevăzute de aceasta, și anume printre altele în scopul îmbunătățirii controalelor la frontiere și al combaterii imigrației clandestine, este contrară articolului 6 din această directivă, interpretat în lumina cartei.

289    În plus, astfel cum reiese din cuprinsul punctului 235 din prezenta hotărâre, statele membre nu pot crea o bază de date unică ce conține atât datele din PNR colectate în temeiul Directivei PNR aferente zborurilor extra‑UE și intra‑UE, cât și datele pasagerilor ce recurg la alte mijloace de transport, precum și datele menționate la articolul 3 alineatul (2) din Directiva API, în special atunci când această bază de date poate fi consultată nu doar în scopurile prevăzute la articolul 1 alineatul (2) din Directiva PNR, ci și în alte scopuri.

290    În sfârșit și în orice caz, astfel cum a arătat domnul avocat general la punctul 281 din concluzii, articolele 28-31 din Legea din 25 decembrie 2016 nu pot fi compatibile cu dreptul Uniunii, în special cu articolul 67 alineatul (2) TFUE, decât cu condiția să fie interpretate și aplicate în sensul că vizează numai transferul și prelucrarea datelor API ale pasagerilor care trec frontierele externe ale Belgiei cu țări terțe. Astfel, o măsură prin care un stat membru ar extinde dispozițiile Directivei API, în vederea îmbunătățirii controalelor la frontiere și a combaterii imigrației ilegale, la zborurile intra‑UE și a fortiori la alte moduri de transport pentru deplasarea pasagerilor în Uniune dinspre și către acest stat membru sau pentru a tranzita statul membru menționat, dar mai ales obligația de transmitere a datelor pasagerilor prevăzută la articolul 3 alineatul (1) din această directivă ar ajunge să permită autorităților competente ca, la trecerea frontierelor interne ale statului membru respectiv, să verifice în mod sistematic dacă acești pasageri pot fi autorizați să intre pe sau să iasă de pe teritoriul său și ar avea astfel un efect echivalent cu cel al controalelor efectuate la frontierele externe cu țările terțe.

291    Având în vedere toate aceste considerații, este necesar să se răspundă la a noua întrebare litera b) că dreptul Uniunii, în special articolul 2 din Directiva PNR, interpretat în lumina articolului 3 alineatul (2) TUE, a articolului 67 alineatul (2) TFUE și a articolului 45 din cartă, trebuie interpretat în sensul că se opune:

–        unei legislații naționale care prevede, în lipsa unei amenințări teroriste reale și actuale sau previzibile cu care să se confrunte statul membru interesat, un sistem de transfer de către operatorii de transport aerian și de către operatorii de turism, dar și de prelucrare de către autoritățile competente a datelor din PNR ale tuturor zborurilor intra‑UE și/sau ale transporturilor efectuate cu alte mijloace în interiorul Uniunii, dinspre sau către acest stat membru sau pentru a tranzita teritoriul acestuia, în vederea combaterii infracțiunilor de terorism și a infracțiunilor grave. Într‑o asemenea situație, aplicarea sistemului instituit prin Directiva PNR trebuie să se limiteze la transferul și la prelucrarea datelor din PNR ale zborurilor și/sau ale transporturilor referitoare în special la anumite legături sau scheme de călătorie ori chiar la anumite aeroporturi, gări sau porturi maritime pentru care există indicii de natură să justifice această aplicare. Revine statului membru în cauză sarcina de a selecta zborurile intra‑UE și/sau transporturile efectuate cu alte mijloace în interiorul Uniunii pentru care există astfel de indicii și de a reexamina periodic aplicarea menționată în funcție de evoluția condițiilor care au justificat selectarea lor, pentru a se asigura că aplicarea acestui sistem în cazul acestor zboruri și/sau al acestor transporturi este întotdeauna limitată la strictul necesar, și

–        unei legislații naționale care prevede un astfel de sistem de transfer și de prelucrare a datelor menționate în scopul îmbunătățirii controalelor la frontiere și al combaterii imigrației clandestine.

H.      Cu privire la a zecea întrebare

292    Prin intermediul celei de a zecea întrebări, instanța de trimitere urmărește în esență să se stabilească dacă dreptul Uniunii trebuie interpretat în sensul că o instanță națională poate limita în timp efectele unei declarații de nelegalitate care îi revine în temeiul dreptului național în ceea ce privește o legislație națională care impune transportatorilor aerieni, feroviari și tereștri, precum și operatorilor de turism obligația de a transfera datele din PNR și care prevede prelucrarea și păstrarea acestor date într‑un mod incompatibil cu dispozițiile Directivei PNR, în lumina articolului 3 alineatul (2) din TUE, a articolului 67 alineatul (2) din TFUE, a articolelor 7, 8 și 45 și a articolului 52 alineatul (1) din cartă.

293    Principiul supremației dreptului Uniunii consacră prevalența dreptului Uniunii asupra dreptului statelor membre. Acest principiu impune, prin urmare, tuturor autorităților statelor membre să asigure efectul deplin al diverselor dispoziții ale dreptului Uniunii, întrucât dreptul statelor membre nu poate aduce atingere efectului recunoscut acestor dispoziții pe teritoriul statelor menționate. În temeiul acestui principiu, în cazul în care nu poate să dea legislației naționale o interpretare care să fie conformă cu cerințele dreptului Uniunii, instanța națională însărcinată cu aplicarea, în cadrul competenței proprii, a dispozițiilor dreptului Uniunii are obligația de a asigura efectul deplin al acestora, lăsând, dacă este necesar, neaplicată, din oficiu, orice dispoziție contrară a legislației naționale, chiar ulterioară, fără a trebui să solicite sau să aștepte eliminarea prealabilă a acesteia pe cale legislativă sau prin orice alt procedeu constituțional (Hotărârea din 15 iulie 1964, Costa, 6/64, EU:C:1964:66, p. 1159 și 1160, Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 214 și 215, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 118).

294    Numai Curtea poate, cu titlu excepțional și pentru considerații imperative de securitate juridică, să acorde o suspendare provizorie a efectului de înlăturare avut de o normă din dreptul Uniunii asupra dreptului național contrar acesteia. O asemenea limitare în timp a efectelor interpretării acestui drept de către Curte nu poate fi acordată decât prin însăși hotărârea în care se pronunță asupra interpretării solicitate. S‑ar aduce atingere supremației și aplicării uniforme ale dreptului Uniunii dacă instanțele naționale ar avea puterea de a conferi dispozițiilor naționale supremație în raport cu dreptul Uniunii față de care aceste dispoziții sunt contrare, chiar și numai cu titlu provizoriu (Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 119, precum și jurisprudența citată).

295    Contrar omiterii unei obligații procedurale precum evaluarea prealabilă a efectelor unui proiect asupra mediului, în discuție în cauza care a stat la baza pronunțării Hotărârii din 29 iulie 2019, Inter‑Environnement Wallonie și Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, punctele 175, 176, 179 și 181), în care Curtea a acceptat suspendarea provizorie a acestui efect de înlăturare, o încălcare a dispozițiilor directivei PNR, interpretată în lumina articolelor 7, 8 și 45, precum și a articolului 52 alineatul (1) din cartă, nu poate face obiectul unei remedieri printr‑o procedură comparabilă cu cea admisă în prezenta cauză. Astfel, menținerea efectelor unei legislații naționale precum Legea din 25 decembrie 2016 ar însemna ca această legislație să continue să impună transportatorilor aerieni, dar și altor operatori de transport și operatorilor de turism obligații care sunt contrare dreptului Uniunii și care implică ingerințe grave în drepturile fundamentale ale persoanelor ale căror date au fost transferate, păstrate și prelucrate, precum și restricții privind libertatea de circulație a acestor persoane care depășesc ceea ce este necesar (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 122).

296    Prin urmare, instanța de trimitere nu poate limita în timp efectele unei declarații de nevaliditate pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește legislația națională în discuție în litigiul principal (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 123).

297    În sfârșit, în măsura în care instanța de trimitere ridică problema incidenței constatării eventualei incompatibilități a Legii din 25 decembrie 2016 cu dispozițiile Directivei PNR, interpretată în lumina cartei, asupra admisibilității și a exploatării probelor și a informațiilor obținute prin intermediul datelor transferate de operatorii de transport și de operatorii de turism în cadrul unor proceduri penale, este suficient să se facă trimitere la jurisprudența aferentă a Curții, în special la principiile amintite la punctele 41-44 din Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) (C‑746/18, EU:C:2021:152), din care rezultă că această admisibilitate intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității (a se vedea prin analogie Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 127).

298    Având în vedere considerațiile care precedă, este necesar să se răspundă la a zecea întrebare că dreptul Uniunii trebuie interpretat în sensul că se opune ca o instanță națională să limiteze în timp efectele unei declarații de nelegalitate care îi revine în temeiul dreptului național în ceea ce privește o legislație națională care impune transportatorilor aerieni, feroviari și tereștri, precum și operatorilor de turism transferul de date din PNR și care prevede prelucrarea și păstrarea acestor date într‑un mod incompatibil cu dispozițiile Directivei PNR, interpretate în lumina articolului 3 alineatul (2) din TUE, a articolului 67 alineatul (2) din TFUE, a articolelor 7, 8 și 45, precum și a articolului 52 alineatul (1) din cartă. Admisibilitatea probelor obținute prin acest mijloc intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității.

IV.    Cu privire la cheltuielile de judecată

299    Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1)      Articolul 2 alineatul (2) litera (d) și articolul 23 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că acest regulament este aplicabil prelucrărilor de date cu caracter personal prevăzute de o legislație națională care urmărește să transpună în dreptul intern atât dispozițiile Directivei 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii, cât și ale Directivei 2010/65/UE a Parlamentului European și a Consiliului din 20 octombrie 2010 privind formalitățile de raportare aplicabile navelor la sosirea în și/sau la plecarea din porturile statelor membre și de abrogare a Directivei 2002/6/CE și ale Directivei (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, în ceea ce privește, pe de o parte, prelucrările de date efectuate de operatori privați și, pe de altă parte, prelucrările de date efectuate de autoritățile publice care intră, exclusiv sau inclusiv, în domeniul de aplicare al Directivei 2004/82 sau al Directivei 2010/65. În schimb, acest regulament nu este aplicabil prelucrărilor de date prevăzute de o astfel de legislație care intră numai în domeniul de aplicare al Directivei 2016/681, care sunt efectuate de către unitatea de informații despre pasageri (UIP) sau de către autoritățile competente în scopurile menționate la articolul 1 alineatul (2) din această directivă.

2)      Întrucât o interpretare a Directivei 2016/681 în lumina articolelor 7, 8 și 21, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene asigură conformitatea directivei menționate cu aceste articole din Carta drepturilor fundamentale a Uniunii Europene, examinarea întrebărilor preliminare a doua-a patra și a șasea nu a evidențiat niciun element de natură să afecteze validitatea directivei menționate.

3)      Articolul 6 din Directiva 2016/681 trebuie interpretat, în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, în sensul că se opune unei legislații naționale care autorizează prelucrarea datelor din registrul cu numele pasagerilor (PNR) colectate în conformitate cu această directivă în alte scopuri decât cele vizate în mod expres la articolul 1 alineatul (2) din această directivă.

4)      Articolul 12 alineatul (3) litera (b) din Directiva 2016/681 trebuie interpretat în sensul că se opune unei legislații naționale potrivit căreia autoritatea înființată ca unitate de informații despre pasageri (UIP) are și calitatea de autoritate națională competentă abilitată să aprobe dezvăluirea datelor din PNR după expirarea perioadei de șase luni de la transferul acestor date către UIP.

5)      Articolul 12 alineatul (1) din Directiva 2016/681 coroborat cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale trebuie interpretat în sensul că se opune unei legislații naționale care prevede o perioadă generală de păstrare a datelor din PNR de cinci ani, aplicabilă fără distincție tuturor pasagerilor aerieni, inclusiv celor pentru care nici evaluarea prealabilă prevăzută la articolul 6 alineatul (2) litera (a) din această directivă, nici eventualele verificări efectuate în perioada de șase luni menționată la articolul 12 alineatul (2) din directiva menționată și nici o altă circumstanță nu au evidențiat elemente obiective de natură să demonstreze existența unui risc în materie de infracțiuni teroriste sau de infracțiuni grave care au o legătură obiectivă, cel puțin indirectă, cu transportul aerian de pasageri.

6)      Directiva 2004/82 trebuie interpretată în sensul că nu este aplicabilă zborurilor regulate sau neregulate ale unui transportator aerian provenite de pe teritoriul unui stat membru și planificate să aterizeze pe teritoriul unuia sau mai multor state membre, fără escală pe teritoriul unei țări terțe (zboruri intraUE).

7)      Dreptul Uniunii, în special articolul 2 din Directiva 2016/681, interpretat în lumina articolului 3 alineatul (2) TUE, a articolului 67 alineatul (2) TFUE și a articolului 45 din Carta drepturilor fundamentale, trebuie interpretat în sensul că se opune:

–        unei legislații naționale care prevede, în lipsa unei amenințări teroriste reale și actuale sau previzibile cu care să se confrunte statul membru interesat, un sistem de transfer, de către operatorii de transport aerian și de către operatorii de turism, dar și de prelucrare, de către autoritățile competente, a datelor din PNR ale tuturor zborurilor intraUE și ale transporturilor efectuate cu alte mijloace în interiorul Uniunii, dinspre sau către acest stat membru sau pentru a tranzita teritoriul acestuia, în vederea combaterii infracțiunilor de terorism și a infracțiunilor grave. Întro asemenea situație, aplicarea sistemului instituit prin Directiva 2016/681 trebuie să se limiteze la transferul și la prelucrarea datelor din PNR ale zborurilor și/sau ale transporturilor referitoare în special la anumite legături sau scheme de călătorie ori chiar la anumite aeroporturi, gări sau porturi maritime pentru care există indicii de natură să justifice această aplicare. Revine statului membru în cauză sarcina de a selecta zborurile intraUE și/sau transporturile efectuate cu alte mijloace în interiorul Uniunii pentru care există astfel de indicii și de a reexamina periodic aplicarea menționată în funcție de evoluția condițiilor care au justificat selectarea lor, pentru a se asigura că aplicarea acestui sistem în cazul acestor zboruri și/sau al acestor transporturi este întotdeauna limitată la strictul necesar, și

–        unei legislații naționale care prevede un astfel de sistem de transfer și de prelucrare a datelor menționate în scopul îmbunătățirii controalelor la frontiere și al combaterii imigrației clandestine.

8)      Dreptul Uniunii trebuie interpretat în sensul că se opune ca o instanță națională să limiteze în timp efectele unei declarații de nelegalitate care îi revine în temeiul dreptului național în ceea ce privește o legislație națională care impune transportatorilor aerieni, feroviari și tereștri, precum și operatorilor de turism transferul de date din PNR și care prevede prelucrarea și păstrarea acestor date întrun mod incompatibil cu dispozițiile Directivei 2016/681, interpretate în lumina articolului 3 alineatul (2) din TUE, a articolului 67 alineatul (2) din TFUE, a articolelor 7, 8 și 45, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale. Admisibilitatea probelor obținute prin acest mijloc intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității.

Semnături



*      Limba de procedură: franceza.