La sentenza della Corte di Giustizia dell’UE si inserisce nel quadro della normativa europea sul trattamento dei dati personali, in particolare riguardo alla direttiva 2016/680 (nota anche come “Direttiva sulla protezione dei dati nelle materie penali”) e al Regolamento Generale sulla Protezione dei Dati (GDPR - Regolamento (UE) 2016/679). Queste normative stabiliscono i principi fondamentali per la tutela dei dati personali, includendo i dati biometrici e genetici, considerati categorie di dati sensibili.
2. Principio di Conservazione dei Dati e Autonomia del Diritto Nazionale
La Corte chiarisce che gli Stati membri hanno una certa autonomia nel definire le modalità di conservazione dei dati biometrici e genetici, purché questa autonomia sia esercitata nel rispetto dei principi fondamentali dell’UE. In particolare:
- **Nessun limite temporale imposto dal diritto UE**: La Corte afferma che il diritto nazionale può decidere di non prevedere un periodo massimo di conservazione, a condizione che siano fissati termini adeguati per verificare la necessità della conservazione stessa. Ciò implica un’interpretazione flessibile, lasciando alle autorità nazionali la possibilità di determinare tempi di conservazione più lunghi, purché siano motivati e soggetti a verifica periodica.
- **Verifica della necessità**: È fondamentale che le norme nazionali prevedano procedure per valutare periodicamente se la conservazione dei dati sia ancora necessaria, evitando mantenimenti indefiniti o arbitrari.
3. Compatibilità tra Normativa Europea e Normativa Nazionale
La sentenza afferma che la normativa europea, in particolare la direttiva sul trattamento dei dati, non è in contrasto con normative nazionali che consentano la raccolta e conservazione di dati biometrici e genetici di soggetti condannati o sospettati. La chiave risiede nel rispetto dei principi di liceità, proporzionalità e necessità, e nella garanzia di tutela dei diritti degli interessati.
4. Valutazione della Necessità da Parte delle Autorità Nazionali
Le forze dell’ordine, nell’ambito delle loro competenze, possono decidere di conservare tali dati per finalità di sicurezza pubblica e prevenzione del crimine. La Corte sottolinea che:
- La decisione di conservare i dati deve essere basata su norme interne e procedure che garantiscano la proporzionalità e la tutela dei diritti fondamentali.
- La conservazione deve essere giustificata dalla finalità perseguita, e la sua durata deve essere soggetta a controlli periodici.
5. Garanzia dei Diritti dei Soggetti Interessati
Un elemento centrale della sentenza riguarda la tutela dei diritti di condannati e sospettati:
- **Principio di rispetto dei diritti fondamentali**: La raccolta e conservazione dei dati biometrici e genetici devono avvenire nel rispetto dei principi di liceità, proporzionalità, trasparenza e minimizzazione dei dati.
- **Garanzie procedurali**: I soggetti interessati devono poter esercitare i propri diritti di accesso, rettifica, cancellazione e opposizione, e devono essere informati circa le finalità e le modalità di trattamento dei dati.
- **Non distinzione tra categorie di soggetti**: La normativa non deve operare una separazione tra dati di condannati e sospettati, garantendo uguali tutele e principi di trattamento.
6. Prevenzione degli Abusi e Modalità di Attuazione
La Corte sottolinea che, affinché la conservazione dei dati sia conforme, occorre che le autorità adottino misure per prevenire abusi, come:
- Limiti temporali e verifiche periodiche.
- Procedure di accesso e controllo rigorose.
- Misure di sicurezza adeguate per proteggere i dati.
7. Conclusioni e Implicazioni
In sintesi, la sentenza chiarisce che:
- La normativa nazionale può prevedere la conservazione dei dati biometrici e genetici di condannati e sospettati senza un limite temporale massimo, purché siano stabiliti termini di verifica della necessità.
- La compatibilità tra normativa europea e nazionale è garantita, purché siano rispettati i principi di tutela dei dati sensibili e dei diritti fondamentali.
- Le autorità di polizia devono agire nel rispetto delle procedure e delle garanzie previste dalla legge, garantendo la proporzionalità e la tutela dei soggetti coinvolti.
Questa decisione rafforza l’autonomia degli Stati membri nel definire le proprie politiche di gestione dei dati biometrici, pur mantenendo un quadro di tutela dei diritti individuali conforme ai principi europei.
dizione provvisoria
SENTENZA DELLA CORTE (Quinta Sezione)
20 novembre 2025 (*)
« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei loro dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e libera circolazione di tali dati – Direttiva (UE) 2016/680 – Articolo 4, paragrafo 1, lettere c) ed e) – Minimizzazione del trattamento dei dati – Limitazione della conservazione dei dati personali – Articolo 10 – Raccolta e conservazione di dati biometrici e genetici – Stretta necessità – Articolo 6, lettera a) – Obbligo di distinguere tra i dati personali di diverse categorie di interessati – Normativa nazionale che prevede la raccolta di dati biometrici e genetici di qualsiasi persona sospettata o accusata di aver commesso un reato doloso – Articolo 5 – Termini adeguati per la cancellazione o per la verifica periodica della necessità della conservazione di tali dati – Assenza di un termine massimo di conservazione – Valutazione della necessità della conservazione di dati biometrici e genetici da parte della polizia sulla base di norme interne – Articolo 8, paragrafo 2 – Liceità del trattamento di tali dati – Nozione di “diritto dello Stato membro” – Possibilità di qualificare la giurisprudenza nazionale come “diritto dello Stato membro” »
Nella causa C‑57/23,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Nejvyšší správní soud (Corte amministrativa suprema, Repubblica ceca), con decisione del 26 gennaio 2023, pervenuta in cancelleria il 2 febbraio 2023, nel procedimento
JH
contro
Policejní prezidium,
LA CORTE (Quinta Sezione),
composta da M.L. Arastey Sahún, presidente di sezione, J. Passer, E. Regan (relatore), D. Gratsias e B. Smulders, giudici,
avvocato generale: J. Richard de la Tour
cancelliere: I. Illéssy, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 28 novembre 2024,
considerate le osservazioni presentate:
– per JH, da M. Mandzák, L. Nezpěvák e L. Trojan, advokáti;
– per il governo ceco, da M. Smolek, O. Serdula, J. Vláčil, T. Suchá e L. Březinová, in qualità di agenti;
– per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e D. O’Reilly, in qualità di agenti, assistiti da A. Mulligan, BL;
– per il governo dei Paesi Bassi, da J. Langer, in qualità di agente;
– per il governo polacco, da B. Majczyna, in qualità di agente;
– per la Commissione europea, da A. Bouchagiar, H. Kranenborg, P. Němečková e F. Wilman, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 27 febbraio 2025,
ha pronunciato la seguente
Sentenza
1 La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, paragrafo 1, lettere c) ed e), dell’articolo 6, dell’articolo 8, paragrafo 2, e dell’articolo 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
2 Tale domanda è stata presentata nell’ambito di una controversia tra JH e il Policejní prezidium (Direzione della polizia, Repubblica ceca) (in prosieguo: la «direzione della polizia ceca») in merito, in particolare, alla raccolta di dati biometrici e genetici relativi a JH nell’ambito di un procedimento penale e alla loro conservazione da parte della polizia ceca.
Contesto normativo
Diritto dell’Unione
3 I considerando 1, 2, 26, 33, 37 e 96 della direttiva 2016/680 così recitano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea [in prosieguo: la “Carta”] e l’articolo 16, paragrafo 1, del [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei loro dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. (…)
(…)
(26) Qualsiasi trattamento di dati personali dovrebbe essere lecito, corretto e trasparente nei confronti della persona fisica interessata e perseguire unicamente fini specifici previsti dalla legge. Ciò non impedisce di per sé alle autorità incaricate dell’applicazione della legge di svolgere attività quali operazioni di infiltrazione o videosorveglianza. Tali attività possono essere svolte a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, purché siano previste dalla legge e costituiscano una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei legittimi interessi della persona fisica interessata. (…) È opportuno che le persone fisiche siano sensibilizzate rispetto ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei loro dati personali, nonché alle modalità di esercizio dei loro diritti in relazione al trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta. I dati personali dovrebbero essere adeguati e pertinenti alle finalità del trattamento. (…) I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde garantire che i dati non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. Gli Stati membri dovrebbero stabilire garanzie adeguate per i dati personali conservati per periodi più lunghi per finalità di archiviazione nel pubblico interesse o per finalità scientifiche, storiche o statistiche.
(…)
(33) Qualora la presente direttiva faccia riferimento al diritto dello Stato membro, a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale diritto dello Stato membro, base giuridica o misura legislativa dovrebbero essere chiari e precisi, e la loro applicazione prevedibile, per coloro che vi sono sottoposti, come richiesto dalla giurisprudenza della Corte di giustizia e della Corte europea dei diritti dell’uomo. Il diritto dello Stato membro che disciplina il trattamento dei dati personali nell’ambito di applicazione della presente direttiva dovrebbe specificare quanto meno gli obiettivi, i dati personali da trattare, le finalità del trattamento e le procedure per preservare l’integrità e la riservatezza dei dati personali come pure le procedure per la loro distruzione, fornendo in tal modo sufficienti garanzie contro il rischio di abuso e arbitrarietà.
(…)
(37) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, essendo inteso che l’utilizzo dei termini “origine razziale” nella presente direttiva non implica l’accettazione da parte dell’Unione di teorie che tentano di dimostrare l’esistenza di razze umane distinte. Detti dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia soggetto a garanzie adeguate per i diritti e le libertà dell’interessato stabilite per legge e non sia autorizzato in casi consentiti dalla legge; se non già autorizzato per legge, salvo che non sia necessario per salvaguardare un interesse vitale dell’interessato o di un’altra persona; o riguardi dati resi manifestamente pubblici dall’interessato. Garanzie adeguate per i diritti e le libertà dell’interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all’accesso ai dati da parte del personale dell’autorità competente e il divieto di trasmissione di tali dati. (…)
(…)
(96) Agli Stati membri dovrebbe essere concesso un periodo di non più di due anni dalla data di entrata in vigore della presente direttiva per recepirla. Il trattamento già in corso a tale data dovrebbe essere reso conforme alla presente direttiva entro un periodo di due anni dall’entrata in vigore della presente direttiva. Tuttavia, qualora tale trattamento sia conforme al diritto dell’Unione applicabile anteriormente alla data di entrata in vigore della presente direttiva, i requisiti della presente direttiva relativi alla consultazione preventiva dell’autorità di controllo non dovrebbero applicarsi ai trattamenti già in corso alla data suddetta, dato che tali requisiti, per loro stessa natura, devono essere soddisfatti prima del trattamento. (…)
(…)».
4 L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», al paragrafo 1 così dispone:
«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».
5 L’articolo 2 di detta direttiva, intitolato «Ambito di applicazione», al paragrafo 1 prevede quanto segue:
«La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1».
6 Ai sensi dell’articolo 3 della medesima direttiva, intitolato «Definizioni»:
«Ai fini della presente direttiva si intende per:
1) “dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l’“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(…)
12) “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
13) “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
(…)».
7 L’articolo 4 della direttiva 2016/680, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1 precisa quanto segue:
«Gli Stati membri dispongono che i dati personali siano:
a) trattati in modo lecito e corretto;
b) raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
(…)».
8 L’articolo 5 di tale direttiva, intitolato «Termini per conservazione ed esame», è così formulato:
«Gli Stati membri dispongono che siano fissati adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della conservazione dei dati personali. Misure procedurali garantiscono che tali termini siano rispettati».
9 L’articolo 6 di tale direttiva, intitolato «Distinzione tra diverse categorie di interessati», prevede quanto segue:
«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:
a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
b) le persone condannate per un reato;
c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato, e
d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b)».
10 L’articolo 8 di detta direttiva, intitolato «Liceità del trattamento», così dispone:
«1. Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l’esecuzione di un compito di un’autorità competente, per le finalità di cui all’articolo 1, paragrafo 1, e si basa sul diritto dell’Unione o dello Stato membro.
2. Il diritto dello Stato membro che disciplina il trattamento nell’ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento».
11 Ai sensi dell’articolo 10 della direttiva 2016/680, intitolato «Trattamento di categorie particolari di dati personali»:
«Il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all’orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell’interessato e soltanto:
a) se autorizzato dal diritto dell’Unione o dello Stato membro;
b) per salvaguardare un interesse vitale dell’interessato o di un’altra persona fisica; o
c) se il suddetto trattamento riguarda dati resi manifestamente pubblici dall’interessato».
12 A norma dell’articolo 63, paragrafo 1, di detta direttiva, gli Stati membri dovevano adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi a tale direttiva entro il 6 maggio 2018. Inoltre, gli Stati membri sono tenuti ad applicare tali disposizioni a partire dalla stessa data.
13 Conformemente al suo articolo 64, tale direttiva è entrata in vigore il 5 maggio 2016.
Diritto ceco
14 L’articolo 11 dello zákon č. 273/2008 Sb., o Policii České republiky (legge n. 273/2008 relativa alla polizia della Repubblica ceca), nella versione applicabile al procedimento principale (in prosieguo: la «legge relativa alla polizia ceca»), intitolato «Proporzionalità degli atti», così dispone:
«L’agente e il dipendente di polizia sono tenuti a
(…)
c) agire in modo che un’eventuale ingerenza nei diritti e nelle libertà delle persone oggetto dell’atto, o delle persone non interessate, non ecceda quanto necessario per raggiungere lo scopo perseguito dall’atto».
15 L’articolo 65 della legge relativa alla polizia ceca così prevede:
«(1) Nell’esercizio delle sue funzioni, la polizia può, ai fini di una futura identificazione, nei confronti di
a) una persona sottoposta a un procedimento penale per un reato doloso o una persona informata di essere sospettata di aver commesso un siffatto reato,
b) una persona che sconta una pena privativa della libertà per aver commesso un reato doloso,
c) una persona sottoposta a misure mediche coercitive o a un trattenimento di sicurezza, o
d) una persona ricercata che è stata ritrovata e la cui capacità giuridica è limitata,
rilevare le impronte digitali, individuare le caratteristiche fisiche, effettuare misurazioni sul corpo, realizzare registrazioni video, audio e simili nonché prelevare campioni biologici che consentano di ottenere informazioni sul patrimonio genetico.
(2) Qualora non sia possibile compiere un atto di cui al paragrafo 1 a causa dell’opposizione della persona interessata, l’agente di polizia ha diritto di superare tale opposizione dopo aver vanamente chiesto a detta persona di sottoporvisi. Il modo in cui egli supera detta opposizione deve essere proporzionato all’intensità della stessa. L’agente di polizia non può superare l’opposizione di una persona per effettuare un prelievo di sangue o un altro atto simile che leda l’integrità fisica.
(3) Se un atto di cui al paragrafo 1 non può essere effettuato sul posto, l’agente di polizia ha diritto di presentare la persona al compimento dell’atto. L’agente di polizia rilascia la persona una volta compiuto l’atto.
(4) L’agente di polizia redige una relazione sugli atti compiuti.
(5) La polizia cancella i dati personali ottenuti in applicazione del paragrafo 1 non appena il loro trattamento non è più necessario al fine di prevenire, ricercare, accertare o perseguire reati oppure di garantire la sicurezza della Repubblica ceca, l’ordine pubblico o la sicurezza interna».
16 L’articolo 79 di detta legge, intitolato «Disposizioni fondamentali relative al trattamento dei dati personali nell’ambito dell’esecuzione di taluni compiti di polizia», così dispone:
«(1) I paragrafi da 2 a 6 e gli articoli da 79a a 88 si applicano al trattamento dei dati personali a fini di prevenzione, ricerca, accertamento e perseguimento dei reati, allo scopo di garantire la sicurezza della Repubblica ceca o l’ordine pubblico e la sicurezza interna, anche a fini di ricerca di persone e cose.
(2) La polizia può trattare i dati personali se ciò è necessario per conseguire le finalità di cui al paragrafo 1. La polizia può anche trattare i dati personali al fine di proteggere interessi rilevanti di una persona interessata che siano collegati alle finalità di cui al paragrafo 1.
(…)».
17 L’articolo 82 di detta legge, intitolato «Verifica della necessità di proseguire il trattamento dei dati personali», è così formulato:
«(1) La polizia verifica almeno una volta ogni tre anni che i dati personali trattati per le finalità di cui all’articolo 79, paragrafo 1, siano ancora necessari per l’esercizio delle sue funzioni in tale ambito.
(2) Ai fini della verifica di cui al paragrafo 1, la polizia è autorizzata a richiedere un estratto del casellario giudiziale.
(3) Le autorità di polizia e giudiziarie, il Ministerstvo spravedlnosti (Ministero della Giustizia, Repubblica ceca), l’Ústavní soud (Corte costituzionale, Repubblica ceca) e il Kancelář prezidenta republiky (gabinetto del Presidente della Repubblica, Repubblica ceca) informano costantemente la polizia, nei limiti delle loro competenze, ai fini della verifica di cui al paragrafo 1, delle loro decisioni definitive, della prescrizione di azioni penali, dell’esecuzione di una pena o delle decisioni del Presidente della Repubblica relative a un procedimento penale, a una pena o a un’amnistia o una grazia concessa».
Procedimento principale e questioni pregiudiziali
18 Con decisione dell’11 dicembre 2015, il servizio di accertamento della corruzione e della criminalità finanziaria del gruppo di polizia criminale e investigativa della sezione di Plzeň (Repubblica ceca), che è un servizio della polizia ceca con competenza nazionale, ha avviato un procedimento penale nei confronti di JH per il reato di violazione di un obbligo nella gestione di patrimonio altrui.
19 Il 13 gennaio 2016, la polizia ceca ha anzitutto sentito JH nell’ambito di tale procedimento penale, per poi ordinare e procedere alla realizzazione dei seguenti atti di identificazione, nonostante l’opposizione di JH: rilevamento delle impronte digitali di JH, prelievo orale per tipizzazione di un profilo genetico, realizzazione di fotografie di JH e redazione di una descrizione della sua persona. Dopodiché essa ha registrato tali informazioni nelle corrispondenti banche dati.
20 Con sentenza del 15 marzo 2017, il Městský soud v Praze (Corte regionale di Praga capitale, Repubblica ceca) ha dichiarato JH colpevole del reato di violazione di un obbligo nella gestione di patrimonio altrui, per complicità, e del reato di abuso di potere da parte di un funzionario. Tale giudice ha condannato JH a una pena detentiva di tre anni con sospensione condizionale, a un divieto quadriennale di esercitare nella pubblica amministrazione funzioni di direzione, compresa la gestione di un patrimonio immobiliare e mobiliare, e, nei limiti delle sue possibilità, al risarcimento del danno causato.
21 L’8 marzo 2016, JH ha proposto un ricorso dinanzi al Městský soud v Praze (Corte regionale di Praga capitale) volto a far dichiarare che il compimento degli atti di identificazione conformemente all’articolo 65 della legge relativa alla polizia ceca, la conservazione delle informazioni e dei campioni prelevati nonché la creazione di una registrazione nella banca dati della polizia ceca costituivano un’ingerenza illegittima nel suo diritto fondamentale al rispetto della vita privata.
22 Il Městský soud v Praze (Corte regionale di Praga capitale), poiché, nell’ambito di un’altra causa allora pendente, aveva già adito l’Ústavní soud České republiky (Corte costituzionale della Repubblica ceca) con una domanda di accertamento della costituzionalità dell’articolo 65 della legge relativa alla polizia ceca, ha sospeso l’esame del ricorso proposto da JH.
23 Con decisione del 22 marzo 2022, l’Ústavní soud (Corte costituzionale) ha respinto la domanda presentata dal Městský soud v Praze (Corte regionale di Praga capitale) diretta a far dichiarare l’incostituzionalità dell’articolo 65 della legge relativa alla polizia ceca. A seguito di tale decisione, quest’ultimo giudice ha ripreso l’esame del ricorso proposto da JH.
24 Con sentenza del 23 giugno 2022, il Městský soud v Praze (Corte regionale di Praga capitale) ha accolto il ricorso di JH, dichiarando che gli atti compiuti dalla polizia ceca il 13 gennaio 2016 erano illegittimi. Di conseguenza, tale giudice ha ordinato alla polizia ceca di cancellare dalle sue banche dati tutti i dati personali risultanti da tali atti.
25 In tale sentenza, detto giudice ha sottolineato che il prelievo di materiale genetico costituiva una notevole ingerenza nel diritto fondamentale al rispetto della vita privata dell’interessato, protetto segnatamente all’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), e all’articolo 10, paragrafo 3, della Listina základních práv a svobod (Carta dei diritti e delle libertà fondamentali della Repubblica ceca). Orbene, l’articolo 65 della legge relativa alla polizia ceca non fornirebbe indicazioni sufficienti per valutare la proporzionalità di tale ingerenza. Infatti, l’unica verifica richiesta da quest’ultimo articolo sarebbe che la polizia ceca controlli, prima di effettuare un siffatto prelievo, se il reato commesso è «doloso».
26 Tale giudice ha peraltro rilevato che JH era perseguito solo per la commissione di un reato minore, che la sua pena privativa della libertà era assistita da una sospensione condizionale, il che confermerebbe la minore gravità dei fatti contestati, che egli non era mai stato condannato in precedenza in un procedimento penale, che una recidiva da parte sua era poco probabile e che non era certo che i reati commessi fossero dell’ordine di reati di cui i dati personali conservati nelle banche dati potrebbero contribuire a identificare gli autori nel caso commettano reati in futuro. Esso ne ha dedotto che gli atti di identificazione compiuti dalla polizia ceca e oggetto del procedimento principale non soddisfacevano il requisito di proporzionalità.
27 La direzione della polizia ceca ha proposto ricorso per cassazione avverso detta sentenza dinanzi al Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca), che è il giudice del rinvio.
28 A sostegno della sua impugnazione, la direzione della polizia ceca sottolinea che la finalità del trattamento dei dati personali è chiaramente espressa all’articolo 65 della legge relativa alla polizia ceca. Essa sostiene inoltre che, nella specie, i servizi competenti della polizia ceca hanno valutato la proporzionalità del prelievo e della conservazione dei dati personali di JH, prendendo in considerazione il fattore della recidiva, il possibile aggravamento degli atti e il fatto che JH avesse commesso in passato diverse contravvenzioni.
29 In risposta, JH sostiene, in particolare, che i servizi di polizia ceca hanno compiuto gli atti di identificazione senza aver previamente esaminato la proporzionalità di tale ingerenza. JH lamenta inoltre che le istruzioni della polizia ceca relative al compimento degli atti di identificazione non siano pubbliche.
30 Il giudice del rinvio sottolinea che, in forza della sua giurisprudenza più recente, il mero rispetto dei requisiti formali di cui all’articolo 65, paragrafo 1, della legge relativa alla polizia ceca, in particolare quello relativo alla qualificazione del reato come «doloso», non è sufficiente affinché la raccolta e la conservazione dei dati personali previste da tale articolo possano essere considerate legittime. I servizi di polizia avrebbero l’obbligo di valutare la proporzionalità del prelievo in ciascun caso concreto, tenendo conto in particolare della fedina penale, della personalità e della condotta dell’interessato, della gravità del reato per il quale tale persona è convocata a sottoporsi agli atti di identificazione nonché, nell’ambito di una domanda di cancellazione ex post, del periodo di tempo trascorso da quando il reato di cui trattasi è stato commesso.
31 In applicazione di tale giurisprudenza, i giudici nazionali avrebbero concluso per l’illegittimità di atti di identificazione quali la raccolta di dati biometrici e genetici nel caso, in particolare, di reati non violenti e commessi da persone senza precedenti condanne.
32 È in tale contesto che il giudice del rinvio si interroga sulla compatibilità con la direttiva 2016/680 del regime giuridico stabilito all’articolo 65 della legge relativa alla polizia ceca.
33 In primo luogo, tale giudice si domanda se i requisiti stabiliti da tale direttiva ostino alla raccolta indifferenziata di dati biometrici e genetici per qualsiasi persona sospettata di aver commesso un reato doloso.
34 Da un lato, dalla giurisprudenza della Corte europea dei diritti dell’uomo relativa al diritto fondamentale al rispetto della vita privata, quale garantito dall’articolo 8 della CEDU, risulterebbe che le parti contraenti sono tenute a distinguere tra i reati per i quali sono raccolti campioni di acido desossiribonucleico (DNA) in funzione della loro gravità per la società. Le parti contraenti non potrebbero trattare allo stesso modo tanto gli autori di reati gravi, come quelli commessi con violenza, per i quali il prelievo e la conservazione di campioni di DNA sarebbero legittimi, quanto gli autori di reati meno gravi.
35 Dall’altro lato, i requisiti derivanti dal principio di proporzionalità, come, in particolare, quelli concretizzati, nell’ambito di applicazione della direttiva 2016/680, nel principio di minimizzazione del trattamento dei dati e nell’obbligo di operare distinzioni tra diverse categorie di interessati, previsti, rispettivamente, all’articolo 4, paragrafo 1, lettera c), e all’articolo 6 di tale direttiva, solleverebbero dubbi sul se sia sufficiente stabilire distinzioni in astratto a livello legislativo, in funzione in particolare della gravità dei reati considerati, o sia invece necessario valutare in concreto la proporzionalità di un prelievo in ciascun caso specifico.
36 In secondo luogo, il giudice del rinvio si domanda se i requisiti stabiliti dalla direttiva 2016/680 ostino alla conservazione di dati biometrici e genetici qualora non sia espressamente prevista una limitazione temporale al riguardo. Peraltro, la normativa nazionale applicabile non fisserebbe un limite massimo alla durata di conservazione dei dati identificativi. Orbene, secondo la lettura che il giudice del rinvio fa della giurisprudenza della Corte europea dei diritti dell’uomo, quest’ultima richiederebbe di stabilire un tale limite massimo.
37 In terzo luogo, il giudice del rinvio si domanda se la giurisprudenza dei giudici amministrativi cechi possa essere qualificata come «diritto dello Stato membro», ai sensi dell’articolo 8 della direttiva 2016/680, il quale stabilisce le condizioni di liceità dei trattamenti di dati personali.
38 Infatti, l’articolo 65 della legge relativa alla polizia ceca non preciserebbe né le condizioni concrete di conservazione e i tipi di informazioni che possono essere estratti dal campione prelevato né le condizioni di conservazione e di cancellazione dei dati biometrici e genetici, cosicché tale articolo non potrebbe soddisfare, di per sé, i requisiti di cui all’articolo 8, paragrafo 2, della direttiva 2016/680, in combinato disposto con l’articolo 10 di quest’ultima.
39 È vero che tale articolo 65 sarebbe completato dalle istruzioni del presidente della polizia che lo attuano, ma queste, siccome non sono testi regolamentari né sono pubblicate, non potrebbero mai avere la qualità di «diritto dello Stato membro», ai sensi dell’articolo 8, paragrafo 2, della direttiva 2016/680.
40 Pertanto, si porrebbe la questione se si possa ritenere che il diritto dello Stato membro preveda garanzie sostanziali e procedurali sufficienti per il trattamento di dati sensibili, ai sensi dell’articolo 10 di tale direttiva, quali dati biometrici e genetici, qualora tali garanzie siano fornite dalla giurisprudenza.
41 In tali circostanze, il Nejvyšší správní soud (Corte suprema amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Quale sia il livello di differenziazione tra i diversi interessati richiesto dall’articolo 4, paragrafo 1, lettera c), o dall’articolo 6 della direttiva 2016/680 in combinato disposto con l’articolo 10 di tale direttiva. Se sia compatibile con l’imperativo di minimizzare il trattamento dei dati personali nonché con l’obbligo di distinguere tra le diverse categorie di interessati il fatto che la normativa nazionale consenta la raccolta di dati genetici relativi a tutte le persone sospettate o imputate di un reato doloso.
2) Se sia conforme all’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 il fatto che, con riferimento alla finalità generale di prevenzione, ricerca o accertamento delle attività criminali, la necessità di continuare a conservare un profilo del DNA sia valutata dalle autorità di polizia sulla base dei loro regolamenti interni, il che, in pratica, spesso equivale a conservare dati personali sensibili per una durata indeterminata in assenza di qualsiasi limite temporale massimo per la conservazione di tali dati. Nel caso in cui ciò non sia conforme, in base a quali criteri debba essere valutata la proporzionalità in termini di durata della conservazione dei dati personali raccolti e conservati per questo scopo.
3) Nel caso di dati personali particolarmente sensibili di cui all’articolo 10 della direttiva 2016/680, quali siano le condizioni sostanziali o procedurali minime per l’acquisizione, la conservazione e la cancellazione di tali dati che devono essere previste da una “disposizione di portata generale” nel diritto dello Stato membro. Se anche la giurisprudenza dei giudici nazionali possieda la qualità di “diritto dello Stato membro” ai sensi dell’articolo 8, paragrafo 2, in combinato disposto con l’articolo 10 [di tale direttiva]».
Sulle questioni pregiudiziali
Sulla terza questione
42 Con la sua terza questione, che occorre esaminare per prima, il giudice del rinvio domanda, in sostanza, se gli articoli 8 e 10 della direttiva 2016/680 debbano essere interpretati nel senso che, per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali disposizioni, debba essere intesa come riferita soltanto a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati o se anche la giurisprudenza che precisi tali condizioni possa rientrare in tale nozione.
43 A tal riguardo, occorre ricordare che, conformemente all’articolo 3, punto 2, letto alla luce dell’articolo 3, punti 12 e 13, della direttiva 2016/680, la raccolta, la conservazione e la cancellazione di dati biometrici e genetici costituiscono trattamenti di dati personali, ai sensi di tale direttiva.
44 L’articolo 4 della direttiva 2016/680 enuncia diversi principi ai quali tali trattamenti sono soggetti, i quali riflettono, come risulta dai considerando 1 e 2 di tale direttiva, il modo in cui, nei limiti previsti all’articolo 52 della Carta, il legislatore dell’Unione ha inteso concretizzare, rispetto a detti trattamenti, il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali, riconosciuto all’articolo 8 della Carta, a sua volta strettamente connesso al diritto al rispetto della vita privata, sancito all’articolo 7 di quest’ultima, tenendo conto della natura specifica delle attività di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di una sanzione penale.
45 Tra tali principi, l’articolo 4, paragrafo 1, lettera a), della direttiva 2016/680 prevede quello secondo cui i dati personali devono essere trattati in modo lecito e corretto.
46 L’articolo 8, paragrafo 1, di tale direttiva precisa, al riguardo, che gli Stati membri devono disporre che il trattamento sia lecito solo se e nella misura in cui è necessario per l’esecuzione di un compito di un’autorità competente, per le finalità di cui all’articolo 1, paragrafo 1, della medesima direttiva, e si basa sul diritto dell’Unione o dello Stato membro.
47 Inoltre, in forza dell’articolo 8, paragrafo 2, della medesima direttiva, il trattamento di tali dati è possibile solo se il diritto dello Stato membro che disciplina tale trattamento precisa almeno gli obiettivi di tale trattamento, i dati personali da trattare e le finalità del trattamento.
48 Per quanto riguarda talune categorie di dati personali, quali i dati biometrici o genetici, l’articolo 10 della direttiva 2016/680 mira a garantire loro una maggiore protezione definendo condizioni rafforzate di liceità del trattamento di tali dati [v., in tal senso, sentenze del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia, C‑118/22, EU:C:2024:97, punto 48, e del 4 ottobre 2024, Bezirkshauptmannschaft Landeck (Tentativo di accesso ai dati personali memorizzati su un telefono cellulare), C‑548/21, EU:C:2024:830, punto 107]. Infatti, tali categorie di dati sono, come sottolinea il considerando 37 di detta direttiva, per loro natura, particolarmente sensibili sotto il profilo delle libertà e dei diritti fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali degli interessati.
49 Pertanto, conformemente all’articolo 10 della direttiva 2016/680, qualsiasi trattamento riguardante dati personali rientranti in una delle categorie tassativamente elencate in tale articolo (in prosieguo: i «dati personali sensibili») deve essere autorizzato dal diritto dell’Unione o di uno Stato membro.
50 Ne consegue che gli articoli 8 e 10 della direttiva 2016/680 mirano a precisare la portata di alcuni dei principi enunciati all’articolo 4 di tale direttiva, i quali concretizzano, nel settore disciplinato da detta direttiva, in particolare il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali riconosciuto all’articolo 8 della Carta.
51 Pertanto, la nozione di «diritto dello Stato membro» utilizzata in tali articoli 8 e 10 deve essere intesa nel senso che, nel settore disciplinato dalla direttiva 2016/680, essa mira a concretizzare la condizione enunciata all’articolo 8, paragrafo 2, della Carta, secondo la quale qualsiasi trattamento di dati personali non effettuato in base al consenso dell’interessato deve essere effettuato in forza di un altro fondamento legittimo previsto dalla legge, condizione che si limita a riflettere il requisito posto all’articolo 52 della Carta secondo cui qualsiasi limitazione all’esercizio di diritti fondamentali riconosciuti da quest’ultima deve essere prevista dalla legge. Tale nozione riguarda quindi la validità del ricorso al diritto nazionale come base giuridica di un trattamento di dati personali.
52 Orbene, da un lato, come sottolineato dall’avvocato generale al paragrafo 82 delle sue conclusioni, la Corte, tenendo conto di una giurisprudenza costante della Corte europea dei diritti dell’uomo, ha dichiarato che il termine «legge», utilizzato all’articolo 8, paragrafo 2, della Carta, nell’espressione «fondamento previsto dalla legge», deve essere inteso nella sua accezione sostanziale e non formale (sentenza del 16 novembre 2023, Roos e a./Parlamento, C‑458/22 P, non pubblicata, EU:C:2023:871, punto 61). Dall’altro lato, secondo la medesima giurisprudenza della Corte europea dei diritti dell’uomo, detta accezione del termine «legge», nell’espressione «prevista dalla legge», di cui all’articolo 8, paragrafo 2, della CEDU, implica che tale termine si riferisca al testo in vigore quale interpretato dai giudici competenti (v., in tal senso, Corte EDU, 23 gennaio 2025, H. W. c. Francia, CE:ECHR:2025:0123JUD 001380521, punto 65).
53 Peraltro, come discende dalla giurisprudenza della Corte, se è vero che il requisito secondo cui qualsiasi limitazione nell’esercizio dei diritti fondamentali riconosciuti dalla Carta deve essere prevista dalla legge implica che l’atto che consente l’ingerenza in tali diritti debba definire, esso stesso, la portata della limitazione dell’esercizio del diritto considerato, tale requisito non esclude tuttavia, da un lato, che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione, e, dall’altro, che il giudice competente possa, se del caso, precisare, in via interpretativa, la portata concreta della limitazione sia rispetto ai termini stessi di tale atto sia rispetto all’impianto sistematico e agli obiettivi che quest’ultimo persegue (v., per analogia, sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 114).
54 Pertanto, la nozione di «diritto dello Stato membro», ai sensi degli articoli 8 e 10 della direttiva 2016/680, letti alla luce dell’articolo 8, paragrafo 2, della Carta, deve essere intesa nel senso che essa può riferirsi a una disposizione che prevede espressamente un trattamento dei dati personali rientrante nell’ambito di applicazione di tale direttiva, come interpretata dalla giurisprudenza dei giudici nazionali.
55 In ogni caso, come rilevato al punto 47 della presente sentenza, l’articolo 8, paragrafo 2, della direttiva 2016/680 prevede che un trattamento di dati personali rientrante nell’ambito di applicazione di tale direttiva sia possibile solo se il diritto dello Stato membro che disciplina tale trattamento ne precisa almeno gli obiettivi, i dati personali che devono esserne oggetto e le finalità.
56 A tal riguardo, occorre rilevare, da un lato, che il riferimento al «diritto» di uno Stato membro che «disciplina» il trattamento di cui trattasi implica che gli obiettivi, i dati personali da trattare e le finalità siano, almeno in linea di principio, previsti da una disposizione di portata generale. Dall’altro lato, tale articolo 8, paragrafo 2, mira, come risulta espressamente dal considerando 33 di detta direttiva, a che il diritto dello Stato membro titolare del trattamento sia chiaro e preciso e che la sua applicazione sia prevedibile per coloro che vi sono sottoposti, conformemente alla giurisprudenza della Corte e della Corte europea dei diritti dell’uomo.
57 Secondo la giurisprudenza della Corte europea dei diritti dell’uomo, ogni misura che costituisce la base giuridica di un trattamento di dati personali deve avere determinate qualità, vale a dire, in sostanza, deve essere conforme alle norme di rango superiore, accessibile e, infine, sufficientemente prevedibile, ossia ragionevolmente prevedibile nelle circostanze di specie, per consentire agli interessati di regolare la loro condotta, il che presuppone che tale misura definisca con sufficiente chiarezza la portata e le modalità di esercizio del potere conferito alle autorità competenti (v., in tal senso, inter alia, Corte EDU, 26 aprile 1979, Sunday Times c. Regno Unito, CE:ECHR:1979:0426JUD00065387, §§ 25 e 52; Corte EDU, 1º luglio 2008, Liberty e a. c. Regno Unito, CE:ECHR:2008:0701JUD005824300, §§ 62 e 63; Corte EDU, 4 dicembre 2008, S. e Marper c. Regno Unito, CE:ECHR:2008:1204JUD003056204, § 95).
58 Allo stesso modo, risulta dalla giurisprudenza della Corte che, per soddisfare il requisito di essere prevista dalla legge, quale imposto dall’articolo 52 della Carta, una normativa che comporti un’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati personali sono trattati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati contro il rischio di abusi, nonché contro eventuali accessi e usi illeciti di tali dati (v. sentenze dell’8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punto 54, e del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 91).
59 Poiché l’articolo 8, paragrafo 2, della direttiva 2016/680 mira a garantire il rispetto dei requisiti ricordati ai punti 56 e 57 della presente sentenza, gli obiettivi perseguiti, i dati personali da trattare e le finalità di un trattamento devono allora risultare con sufficiente chiarezza e precisione dalla disposizione che disciplina il trattamento stesso, affinché quest’ultimo possa dirsi soddisfare la condizione di essere previsto dalla legge, ai sensi della giurisprudenza della Corte europea dei diritti dell’uomo e dell’articolo 52 della Carta.
60 Sulla base di tutto quanto precede, occorre rispondere alla terza questione dichiarando che gli articoli 8 e 10 della direttiva 2016/680 devono essere interpretati nel senso che, per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali articoli, deve essere intesa nel senso che essa si riferisce a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati, come interpretata dalla giurisprudenza dei giudici nazionali, purché tale giurisprudenza sia accessibile e sufficientemente prevedibile.
Sulla prima questione
Sulla ricevibilità
61 Nelle sue osservazioni scritte, la Commissione europea conclude per l’irricevibilità della prima questione per il motivo che il prelievo dei dati genetici e biometrici di JH da parte della polizia ceca ha avuto luogo il 13 gennaio 2016, ossia prima dell’entrata in vigore della direttiva 2016/680, avvenuta il 5 maggio 2016, e prima della scadenza del termine di recepimento, fissato al 6 maggio 2018 dall’articolo 63, paragrafo 1, di tale direttiva.
62 A tal riguardo, occorre ricordare che il rifiuto della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, quando il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in maniera utile alle questioni che le vengono sottoposte (sentenza del 20 marzo 2025, Anib e a., da C-728/22 a C-730/2, EU:C:2025:200, punto 48).
63 Nel caso di specie, l’articolo 64 della direttiva 2016/680 prevede che quest’ultima entri in vigore il 5 maggio 2016, mentre l’articolo 63 di tale direttiva precisa che gli Stati membri devono adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi ad essa entro il 6 maggio 2018.
64 Tuttavia, dal fascicolo di cui dispone la Corte risulta che i dati personali raccolti in merito a JH a partire dai prelievi genetici e dai rilevamenti biometrici di quest’ultimo, il 13 gennaio 2016, hanno continuato ad essere conservati nelle banche dati della polizia ceca e quindi ad essere trattati dopo il 6 maggio 2018.
65 Orbene, fatte salve le situazioni di cui all’articolo 4, paragrafo 2, della direttiva 2016/680, dall’articolo 4, paragrafo 1, lettera b), di tale direttiva risulta che i dati personali non possono essere oggetto di trattamento se la loro raccolta non è stata giustificata da finalità legittime.
66 Di conseguenza, come sottolineato dall’avvocato generale al paragrafo 34 delle sue conclusioni, i dati personali di cui alla direttiva 2016/680 raccolti lecitamente prima dell’entrata in vigore di tale direttiva, ma che sarebbero stati raccolti in violazione dei principi stabiliti da tale direttiva se fossero stati raccolti dopo la data in cui detta direttiva è stata recepita o, in mancanza, dopo la data limite in cui essa avrebbe dovuto esserlo, ossia il 6 maggio 2018, non possono essere conservati dopo la data in cui detta direttiva è stata recepita o, in mancanza, dopo la data limite in cui essa avrebbe dovuto esserlo.
67 Pertanto, nel caso di specie, non risulta in modo manifesto che la prima questione sia necessariamente priva di qualsiasi rapporto con la realtà effettiva o con l’oggetto del procedimento principale o, ancora, che il problema sollevato sia di natura ipotetica, per il motivo, invocato dalla Commissione, che essa verterebbe su dati biometrici e genetici raccolti prima dell’entrata in vigore della direttiva 2016/680.
68 Poiché, peraltro, la Corte dispone di tutti gli elementi di fatto e di diritto necessari per consentirle di rispondere in modo utile alla prima questione, quest’ultima deve essere considerata ricevibile.
Nel merito
69 Con la sua prima questione il giudice del rinvio domanda, in sostanza, se l’articolo 6 o l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto in combinato disposto con l’articolo 10 di quest’ultima, debbano essere interpretati nel senso che essi ostano a una normativa nazionale che consenta indistintamente la raccolta di dati biometrici e genetici di tutte le persone sottoposte a procedimento penale per un reato doloso o sospettate di aver commesso un tale reato.
70 A tal riguardo, quanto, in primo luogo, all’articolo 6 della direttiva 2016/680, occorre ricordare che esso impone agli Stati membri di prevedere che il titolare del trattamento stabilisca, «se del caso e nella misura del possibile», una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali quelli elencati alle lettere da a) a d) di tale articolo, vale a dire, rispettivamente, le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato, le persone condannate per un reato, le vittime di un reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato e, infine, le altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b) del suddetto articolo.
71 Conformemente a tale disposizione, gli Stati membri devono dunque provvedere affinché il titolare del trattamento, «se del caso e nella misura del possibile», operi una chiara distinzione tra i dati delle diverse categorie di interessati in modo che l’ingerenza nel loro diritto fondamentale alla protezione dei loro dati personali non sia loro imposta indifferentemente con la stessa intensità, a prescindere dalla categoria alla quale essi appartengono. Tali categorie devono essere stabilite essenzialmente in funzione dello status penale dell’interessato.
72 Come sottolinea l’espressione «se del caso e nella misura del possibile» di cui all’articolo 6 della direttiva 2016/680, l’obbligo di distinguere talune categorie di persone che tale articolo impone agli Stati membri non è assoluto, ma dipende, in particolare, dalla questione se, in ciascun caso di specie, possa essere operata una distinzione chiara tra tali categorie di persone [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 84] e dalle finalità del trattamento.
73 Nel caso di specie, il governo ceco sostiene che il riferimento, da parte del giudice del rinvio, alla categoria delle persone sospettate deve essere inteso nel senso che esso riguarda le persone alle quali, nell’ambito di un procedimento preliminare accelerato, sono stati comunicati sospetti, il che, nella normativa nazionale di cui trattasi nel procedimento principale, richiederebbe, come per gli imputati, che siano stati raccolti sufficienti elementi che dimostrino che esse hanno commesso un reato.
74 Orbene, se così fosse, circostanza che spetterà al giudice del rinvio verificare, queste due categorie di persone potrebbero essere considerate, ai fini di un determinato trattamento, come rientranti entrambe nella categoria elencata all’articolo 6, lettera a), della direttiva 2016/680, purché le finalità perseguite dal trattamento di cui trattasi non impongano di operare una distinzione tra dette due categorie.
75 Di conseguenza, l’articolo 6 della direttiva 2016/680 deve essere interpretato nel senso che esso non osta a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici delle persone rientranti nella categoria delle persone «sottoposte a un procedimento penale per un reato doloso» nonché delle persone rientranti nella categoria delle persone «sospettate di aver commesso un siffatto reato», ai sensi del diritto nazionale, qualora le finalità di tale raccolta non impongano di operare una distinzione tra queste due categorie di persone i cui dati personali possono essere raccolti sul fondamento di tale normativa.
76 Per quanto riguarda, in secondo luogo, l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in combinato disposto con l’articolo 10 di tale direttiva, il primo di tali articoli prevede che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Quest’ultimo requisito richiede quindi l’osservanza, da parte degli Stati membri, di un principio di minimizzazione del trattamento dei dati rispetto all’obiettivo e alla finalità perseguiti dal trattamento di cui trattasi.
77 L’articolo 10 di detta direttiva prevede, dal canto suo, che, per quanto riguarda i dati personali sensibili, tra cui i dati biometrici e genetici, il trattamento debba soddisfare, oltre alla condizione di rientrare in una delle tre fattispecie tassativamente elencate alle sue lettere da a) a c), altre due condizioni, vale a dire, da un lato, quella secondo cui devono esistere garanzie adeguate per i diritti e le libertà dell’interessato e, dall’altro, quella secondo cui il trattamento previsto deve essere strettamente necessario.
78 Ora, per quanto riguarda quest’ultima condizione, anzitutto, essa implica che tale necessità sia valutata in modo particolarmente rigoroso alla luce delle finalità perseguite dal trattamento di cui trattasi e che, di conseguenza, un siffatto trattamento possa essere considerato necessario solo in un numero limitato di casi [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 118].
79 Pertanto, le finalità del trattamento di dati personali biometrici e genetici non possono essere designate in termini troppo generici, ma richiedono di essere definite in modo sufficientemente preciso e concreto da consentire di valutare il carattere «strettamente necessario» di detto trattamento [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 124].
80 A tal riguardo, se è vero che la direttiva 2016/680 non definisce la nozione di «finalità del trattamento», si può rilevare che l’articolo 8, paragrafo 2, di tale direttiva distingue espressamente tale nozione da quella di «obiettivi del trattamento». Orbene, l’articolo 4, paragrafo 1, lettera b), di detta direttiva prevede che le finalità perseguite da un trattamento di dati personali debbano essere, in particolare, determinate ed esplicite e che tali dati non possano essere trattati in modo incompatibile con tali finalità, mentre l’articolo 4, paragrafo 1, lettera c), della medesima direttiva stabilisce che è alla luce di dette finalità che si valuta, in particolare, l’adeguatezza, la pertinenza e la non eccessività dei dati personali oggetto di tale trattamento.
81 Pertanto, se ne può inferire che la nozione di «obiettivi del trattamento», ai sensi di tale articolo 8, paragrafo 2, rinvia alle finalità più generali menzionate all’articolo 1, paragrafo 1, della direttiva 2016/680 che un trattamento deve perseguire per rientrare nell’ambito di applicazione di tale direttiva, mentre quella di «finalità del trattamento», ai sensi, in particolare, dell’articolo 8, paragrafo 2, di detta direttiva, deve essere intesa come riferirsi ai fini specifici e concreti perseguiti da un trattamento di dati personali alla luce del compito di cui è investito il titolare del trattamento, come un compito specifico di prevenzione, indagine, accertamento o perseguimento di reati o di esecuzione di sanzioni penali.
82 Inoltre, dato che, come risulta dal considerando 26 della direttiva 2016/680, letto alla luce del principio di proporzionalità, per i dati personali non sensibili la condizione della necessità, ai sensi di tale direttiva, è soddisfatta qualora la finalità del trattamento in questione non possa ragionevolmente essere conseguita in modo altrettanto efficace con altri mezzi meno lesivi dei diritti fondamentali degli interessati, occorre dedurne che la condizione, per il trattamento dei dati personali sensibili, di essere strettamente necessario richiede, dal canto suo, che il titolare del trattamento si assicuri che una siffatta finalità non possa essere conseguita in modo altrettanto efficace facendo ricorso a categorie di dati diverse da quelle elencate all’articolo 10 della direttiva 2016/680 [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 126].
83 Peraltro, alla luce dei rischi significativi rappresentati dal trattamento dei dati personali sensibili per i diritti e le libertà degli interessati, in particolare nel contesto dei compiti delle autorità competenti ai fini enunciati all’articolo 1, paragrafo 1, della direttiva 2016/680, la condizione del carattere «strettamente necessario» implica che si tenga conto della particolare rilevanza della finalità che un tale trattamento mira a conseguire. Una simile rilevanza può essere valutata, tra l’altro, in funzione della natura di tale finalità, del fatto che il trattamento persegue un obiettivo concreto connesso alla prevenzione di reati o di minacce alla pubblica sicurezza che presentino un certo livello di gravità, alla repressione di simili reati o alla protezione contro simili minacce, nonché alla luce delle circostanze specifiche in cui tale trattamento è effettuato [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 127].
84 In ogni caso, per quanto riguarda la raccolta di dati biometrici e genetici di persone perseguite per aver commesso un reato doloso o sospettate di aver commesso un siffatto reato a fini di identificazione e di confronto futuro, il carattere strettamente necessario di tale raccolta deve tener conto di tutti gli elementi pertinenti, quali, in particolare, la natura e la gravità del presunto reato per il quale esse sono formalmente accusate, le circostanze particolari di tale reato, l’eventuale collegamento di detto reato con altri procedimenti in corso, i precedenti giudiziari o il profilo individuale delle persone di cui trattasi [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 132].
85 Infine, la condizione del carattere «strettamente necessario» implica un controllo particolarmente rigoroso del rispetto del principio di minimizzazione del trattamento dei dati di cui trattasi, enunciato all’articolo 4, paragrafo 1, lettera c), di tale direttiva [v. sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 125].
86 In particolare, per quanto riguarda la conservazione o l’utilizzo di dati estratti a partire dal DNA di una persona a fini di identificazione o di comparazione, un tale principio implica che, al fine di valutare la stretta necessità di siffatti trattamenti, si tenga debitamente conto della possibilità di ricorrere esclusivamente ai polimorfismi presenti nel DNA non codificante, vale a dire in sequenze per le quali è riconosciuto che non forniscono alcuna informazione sull’etnia o sulle malattie genetiche di tali persone.
87 Di conseguenza, se è vero che uno Stato membro può conformarsi alla direttiva 2016/680 delegando alle autorità competenti il compito di provvedere, in ciascun caso di specie, al rispetto della condizione, per qualsiasi trattamento di dati personali sensibili, di rispondere a una stretta necessità, oppure fissando, a livello legislativo, criteri di valutazione che le autorità devono successivamente applicare in modo non discrezionale, ciò non toglie che, in questa seconda ipotesi, tali criteri debbano essere idonei a soddisfare tutti i requisiti derivanti da questa stessa condizione, quali enunciati ai punti da 77 a 83 della presente sentenza.
88 Invero, nella sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) (C‑205/21, EU:C:2023:49, punto 135), la Corte ha statuito che una normativa nazionale che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d’ufficio, ai fini della loro registrazione, senza prevedere l’obbligo, per l’autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall’altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un’ingerenza meno grave nei diritti e nelle libertà della persona interessata, è contraria a tale condizione della stretta necessità.
89 Ciò detto, mentre la raccolta prevista dalla normativa controversa nella causa che ha dato luogo a detta sentenza si applicava tassativamente nei confronti di tutte le persone formalmente accusate di reati dolosi perseguiti d’ufficio, la prima questione verte su una normativa che concede ai servizi di polizia solo una facoltà di procedere a un rilevamento di dati biometrici e genetici nei confronti delle persone imputate o sospettate di aver commesso un reato doloso.
90 Orbene, il fatto che una normativa conferisca una tale facoltà ai servizi di polizia non significa che il diritto dello Stato membro interessato consente che tale raccolta sia sistematica o che essa possa essere effettuata in violazione, in particolare, del principio di minimizzazione del trattamento dei dati, enunciato all’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, o della condizione, per i singoli trattamenti, di rispondere a una stretta necessità, quale prevista all’articolo 10 di tale direttiva, purché tale diritto, compresa la giurisprudenza dei giudici nazionali, definisca in modo adeguato e sufficientemente preciso le finalità perseguite da un tale trattamento di dati biometrici e genetici, vale a dire i fini specifici e concreti perseguiti da un trattamento di dati personali alla luce del compito di cui è investito il titolare del trattamento, e siffatta facoltà sia esercitata conformemente ai requisiti esposti ai punti da 77 a 83 della presente sentenza.
91 Dagli elementi a disposizione della Corte risulta che, nella specie, la giurisprudenza nazionale stabilisce taluni requisiti volti a garantire il rispetto di tale principio, quale l’obbligo per la polizia, prima di procedere al prelievo di un campione di DNA, di tener conto, in particolare, dei precedenti giudiziari dell’autore del reato commesso, della gravità di quest’ultimo in funzione del tipo di reato di cui trattasi e delle circostanze specifiche del reato stesso che implicano un prelievo di campioni, nonché della personalità dell’autore dei fatti.
92 In tale situazione, spetta ai giudici nazionali verificare, in ciascun caso, se la raccolta realizzata sia stata effettuata dai servizi di polizia in violazione dei principi che disciplinano il trattamento dei dati personali, enunciati all’articolo 4 della direttiva 2016/680, e dei requisiti specifici applicabili ai trattamenti di dati personali sensibili, enunciati all’articolo 10 di tale direttiva, come interpretato alla luce degli articoli 7 e 8 della Carta.
93 A tal riguardo, occorre ancora sottolineare che la mera circostanza che il reato contestato all’interessato sia di natura economica e che la raccolta dei dati biometrici e genetici di quest’ultimo avvenga prima che tale persona sia condannata in via definitiva non è sufficiente ad escludere che una tale raccolta possa essere considerata rispondente a una stretta necessità, dal momento che, tenuto conto delle finalità perseguite, detta raccolta, anche in considerazione del tipo di dati interessati, può rivelarsi strettamente necessaria, in particolare per consentire di determinare se, in ragione della sua eventuale appartenenza a un’organizzazione criminale, detta persona possa aver partecipato ad altri reati per i quali dati di tale tipo potrebbero essere rilevanti, o, se esiste un rischio di fuga, per permettere la sua identificazione.
94 Sulla base di tutto quanto precede, occorre rispondere alla prima questione dichiarando che l’articolo 6 e l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto in combinato disposto con l’articolo 10 di tale direttiva, devono essere interpretati nel senso che essi non ostano a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici di qualsiasi persona sia perseguita per aver commesso un reato doloso o sia sospettata di aver commesso un siffatto reato, purché, da un lato, le finalità di tale raccolta non impongano di stabilire una distinzione tra queste due categorie di persone e, dall’altro, i titolari del trattamento siano tenuti, conformemente al diritto nazionale, compresa la giurisprudenza dei giudici nazionali, a rispettare l’insieme dei principi e dei requisiti specifici enunciati agli articoli 4 e 10 di detta direttiva.
Sulla seconda questione
95 In via preliminare, occorre rilevare che, sebbene, nella formulazione della seconda questione, il giudice del rinvio menzioni una normativa nazionale che ha come conseguenza che i dati personali di cui trattasi siano, nella maggior parte dei casi, conservati per una «durata indeterminata», dagli elementi del fascicolo di cui dispone la Corte risulta che, per «durata indeterminata», tale giudice intende, in definitiva, riferirsi alla circostanza che non è specificata alcuna durata massima di conservazione, e non a quella che una siffatta conservazione sia illimitata nel tempo.
96 Di conseguenza, occorre comprendere che, con la sua seconda questione, il giudice del rinvio domanda, in sostanza, se l’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 debba essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione.
97 A tal riguardo, l’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 fa obbligo agli Stati membri di prevedere che i dati personali siano conservati in una forma che consenta l’identificazione delle persone interessate per un arco di tempo non superiore a quello necessario per le finalità per le quali tali dati sono trattati.
98 Per quanto riguarda, in primo luogo, la circostanza che la normativa nazionale di cui trattasi non prevede un periodo massimo di conservazione, occorre ricordare che, conformemente ai requisiti di cui all’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680, l’articolo 5 di tale direttiva impone agli Stati membri di prevedere la fissazione di termini adeguati per la cancellazione dei dati personali o per un esame periodico della necessità di conservare tali dati, nonché norme procedurali che consentano di garantire il rispetto di tali termini.
99 Per contro, l’articolo 5 di detta direttiva lascia agli Stati membri la cura di stabilire detti termini, purché siano «adeguati», e di decidere se essi riguardino la cancellazione dei dati o l’esame periodico della necessità di conservarli.
100 Certamente, l’articolo 4, paragrafo 1, lettera e), e l’articolo 5 della direttiva 2016/680 devono essere letti in combinato disposto, in particolare, con l’articolo 10 di quest’ultima, cosicché la conservazione di dati biometrici o genetici deve rispondere a una stretta necessità e presentare garanzie adeguate per i diritti e le libertà dell’interessato.
101 Tuttavia, qualora uno Stato membro fissi termini adeguati di verifica periodica della necessità di conservare dati personali e, in occasione di tale verifica, debba essere valutata la stretta necessità di proseguire tale conservazione, si deve ritenere che il diritto dello Stato membro interessato soddisfi tali requisiti. Pertanto, anche quando i dati conservati sono dati personali sensibili, uno Stato membro non è tenuto a definire limiti temporali assoluti per la conservazione di tali dati, al di là dei quali questi ultimi dovrebbero essere automaticamente cancellati (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – S ofia, C‑118/22, EU:C:2024:97, punto 52).
102 Per contro, l’adeguatezza di siffatti termini di verifica periodica richiede che, da un lato, conformemente all’articolo 4, paragrafo 1, lettere c) ed e), della direttiva 2016/680, letto alla luce dell’articolo 52, paragrafo 1, della Carta, i dati personali ancora conservati siano cancellati, e ciò alle condizioni previste all’articolo 16, paragrafi 2 e 3, di tale direttiva, qualora, in occasione di una delle verifiche effettuate, la conservazione degli stessi dati non appaia più strettamente necessaria e, di conseguenza, risulti eccessiva rispetto alle finalità perseguite (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – S ofia, C‑118/22, EU:C:2024:97, punti 45, 48 e 50, nonché giurisprudenza citata).
103 Dall’altro lato, tenuto conto dei requisiti, previsti all’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, per tutti i dati personali, di essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati, della circostanza che tale disposizione e l’articolo 8 di tale direttiva devono essere letti alla luce dei requisiti derivanti dall’articolo 52 della Carta, nonché dell’obbligo, previsto all’articolo 6 di detta direttiva, per il titolare del trattamento, di operare, se del caso, una chiara distinzione tra i dati personali delle diverse categorie di interessati, tali termini di verifica non possono essere considerati adeguati se i cambiamenti di status penale dell’interessato, considerati pertinenti alla luce della finalità perseguita da tale conservazione, non comportano un obbligo, per il titolare del trattamento, di riesaminare entro un termine ragionevole la necessità di conservare i dati relativi a tale persona.
104 Per quanto riguarda, in secondo luogo, la circostanza che la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, siffatta circostanza non è, di per sé, contraria all’articolo 8, paragrafo 2, della direttiva 2016/680, purché tali norme interne impongano a dette autorità di garantire il rispetto della condizione relativa all’esistenza di una stretta necessità di conservare tali dati e il margine di discrezionalità di tali autorità sia sufficientemente inquadrato dal diritto nazionale, compresa la giurisprudenza dei giudici nazionali.
105 Infatti, sebbene la circostanza di essere interne, e quindi non accessibili a tutte le persone che possano essere oggetto di un trattamento di dati personali, comporti che siffatte norme non possono essere invocate dalle autorità competenti per dimostrare di rispettare gli obblighi loro imposti, tale circostanza non ha tuttavia la conseguenza di rendere automaticamente illeciti i trattamenti di dati personali decisi in loro applicazione, ma implica che, eventualmente, in caso di ricorso avverso la decisione di procedere a uno di tali trattamenti, i servizi di polizia dimostrino dinanzi al giudice competente, indipendentemente da tali norme interne, che il requisito della «stretta necessità » è stato debitamente rispettato.
106 Nel caso di specie, da un lato, secondo il governo ceco, risulta in particolare dall’articolo 65, paragrafo 5, della legge relativa alla polizia ceca, circostanza che spetta al giudice del rinvio verificare, che i profili DNA delle persone perseguite per aver commesso un reato doloso o sospettate di averlo commesso devono essere cancellati qualora la loro conservazione non sia più necessaria in considerazione degli obiettivi perseguiti, vale a dire qualora tali persone non siano più perseguite o sospettate né lo siano nell’ambito di un altro procedimento penale, o non abbiano precedentemente commesso altri reati.
107 A tal riguardo, occorre ricordare, tuttavia, che la conservazione di dati biometrici e genetici può essere considerata rispondente al requisito di poter essere autorizzata unicamente «se strettamente necessaria», ai sensi dell’articolo 10 della direttiva 2016/680, soltanto se prende in considerazione non solo l’eventuale collegamento della persona interessata con altri procedimenti in corso, o i suoi precedenti o il suo profilo, ma anche la natura e la gravità del reato sfociato nella condanna penale definitiva, o circostanze ulteriori quali il contesto particolare in cui tale reato è stato commesso (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia , C‑118/22, EU:C:2024:97, punto 67).
108 Dall’altro lato, sebbene il diritto ceco non preveda un periodo massimo di conservazione dei dati personali raccolti sulla base dell’articolo 65, paragrafo 1, della legge relativa alla polizia ceca, l’articolo 82, paragrafo 1, di tale legge impone comunque ai servizi di polizia di verificare almeno una volta ogni tre anni che la conservazione di tali dati sia ancora necessaria per l’esecuzione dei loro compiti.
109 Pertanto, spetterà al giudice del rinvio stabilire se, in considerazione delle finalità perseguite dalla conservazione dei dati biometrici e genetici di cui trattasi, siffatto termine di verifica di tre anni possa essere considerato adeguato, fermo restando, che, in caso contrario, la cancellazione di tali dati non sarebbe tuttavia richiesta se dovesse risultare che conservarli rimane, ad ogni modo, ancora strettamente necessario.
110 Sulla base di tutto quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 deve essere interpretato nel senso che esso non osta a una normativa nazionale in virtù della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione, purché detta normativa fissi termini adeguati di verifica periodica della necessità di conservare tali dati e, in occasione di tale verifica, sia valutata la stretta necessità di proseguire la loro conservazione.
Sulle spese
111 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Quinta Sezione) dichiara:
1) Gli articoli 8 e 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio,
devono essere interpretati nel senso che:
per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali articoli, deve essere intesa nel senso che essa si riferisce a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati, come interpretata dalla giurisprudenza dei giudici nazionali, purché tale giurisprudenza sia accessibile e sufficientemente prevedibile.
2) L’articolo 6 e l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in combinato disposto con l’articolo 10 di tale direttiva,
devono essere interpretati nel senso che:
essi non ostano a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici di qualsiasi persona sia perseguita per aver commesso un reato doloso o sia sospettata di aver commesso un siffatto reato, purché, da un lato, le finalità di tale raccolta non impongano di stabilire una distinzione tra queste due categorie di persone e, dall’altro, i titolari del trattamento siano tenuti, conformemente al diritto nazionale, compresa la giurisprudenza dei giudici nazionali, a rispettare l’insieme dei principi e dei requisiti specifici enunciati agli articoli 4 e 10 di detta direttiva.
3) L’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680
deve essere interpretato nel senso che:
esso non osta a una normativa nazionale in virtù della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione, purché detta normativa fissi termini adeguati di verifica periodica della necessità di conservare tali dati e, in occasione di tale verifica, sia valutata la stretta necessità di proseguire la loro conservazione.
Firme
* Lingua processuale: il ceco.
Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
JEAN RICHARD DE LA TOUR
presentate il 27 febbraio 2025 (1)
Causa C‑57/23
JH
contro
Policejní prezidium
[domanda di pronuncia pregiudiziale proposta dal Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca)]
« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Direttiva (UE) 2016/680 – Normativa nazionale che consente la raccolta dei dati genetici di qualsiasi persona imputata per un reato doloso o sospettata di un reato siffatto – Valutazione della necessità della conservazione continua di un profilo del DNA da parte della polizia sulla base delle norme interne – Possibilità di qualificare la giurisprudenza nazionale come “diritto dello Stato membro” »
I. Introduzione
1. La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, paragrafo 1, lettere c) ed e), dell’articolo 6, dell’articolo 8, paragrafo 2, e dell’articolo 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (2).
2. Tale domanda è stata presentata nell’ambito di una controversia tra JH, persona fisica, e il policejní prezidium (direzione della polizia, Repubblica ceca) vertente, in particolare, sulla raccolta di dati biometrici e genetici relativi a JH nell’ambito di un procedimento penale e sulla conservazione di tali dati da parte della Policie České republiky (polizia della Repubblica ceca) (in prosieguo: la «polizia ceca»).
3. La presente causa si colloca, per quanto riguarda la prima questione pregiudiziale formulata dal Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca), sulla scia delle sentenze del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) (3), e del 28 novembre 2024, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici II) (4), nelle quali la Corte ha dichiarato che una normativa nazionale che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d’ufficio ai fini della loro registrazione da parte della polizia era contraria all’esigenza di garantire una tutela rafforzata delle persone riguardo al trattamento di dati personali sensibili. Il giudice del rinvio invita la Corte a precisare la sua giurisprudenza interrogandola sulla questione se l’articolo 65, paragrafo 1, dello zákon č. 273/2008 Sb., o Policii České republiky (legge n. 273/2008 relativa alla polizia della Repubblica ceca) (5), in quanto limita la propria applicazione ai soli reati intenzionali, rifletta in modo sufficiente, a livello strutturale, la necessità di valutare la proporzionalità del rilevamento dei dati biometrici e genetici delle persone interessate oppure se, al contrario, occorra operare una distinzione supplementare fra tali persone a seconda della gravità del reato.
4. Per quanto riguarda la seconda questione pregiudiziale formulata dal giudice del rinvio, la presente causa si colloca sulla scia della sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia (6), nella quale la Corte si è pronunciata per la prima volta sui limiti temporali della conservazione, ai fini della lotta contro i reati, dei dati personali di individui che sono stati oggetto di una condanna penale definitiva, alla luce della direttiva 2016/680. In tale sentenza, la Corte ha dichiarato che detta direttiva definisce un quadro generale che consente di garantire che la conservazione dei dati personali e, più in particolare, la durata della stessa siano limitate a quanto necessario alla luce delle finalità per le quali tali dati sono conservati (7). Il giudice del rinvio invita la Corte a precisare se detta giurisprudenza sia pertinente quando i dati personali sono conservati per finalità di prevenzione, di ricerca e di accertamento dei reati, che, per loro natura, sono prospettiche e di durata illimitata. Tali finalità richiederebbero infatti che detti dati siano conservati il più a lungo possibile.
5. Pertanto, nella presente causa, la Corte sarà chiamata a precisare, da un lato, le nozioni di «minimizzazione sostanziale» e di «minimizzazione temporale» dei dati biometrici e genetici rientranti nel campo di applicazione della direttiva 2016/680 quando questi ultimi siano raccolti e conservati in detto ambito.
6. D’altro lato, per quanto riguarda la terza questione pregiudiziale, la Corte è invitata, per la prima volta, ad interpretare la nozione di «diritto dello Stato membro», ai sensi dell’articolo 8, paragrafo 2, di tale direttiva, in combinato disposto con l’articolo 10 della stessa. Più in particolare, il giudice del rinvio si chiede se la giurisprudenza nazionale che precisa i criteri di rilevamento e di conservazione dei dati biometrici e genetici possa rientrare in tale nozione e in quale misura le condizioni sostanziali e procedurali minime di acquisizione, di conservazione e di cancellazione di tali dati debbano essere previste nel diritto di uno Stato membro mediante una disposizione di portata generale.
II. Diritto ceco
7. L’articolo 11 della legge ceca sulla polizia così dispone:
«L’agente e il dipendente di polizia sono tenuti a
(...)
c) agire in modo che un’eventuale ingerenza nei diritti e nelle libertà delle persone oggetto dell’atto, o delle persone non interessate, non ecceda quanto necessario per raggiungere lo scopo perseguito dall’atto».
8. Ai sensi dell’articolo 65 di tale legge:
«1) Nell’esercizio delle sue funzioni, la polizia può, ai fini di una futura identificazione, nei confronti di
a) una persona sottoposta a un procedimento penale per un reato doloso o una persona informata di essere sospettata di aver commesso un siffatto reato,
b) una persona che sconta una pena privativa della libertà per aver commesso un reato doloso,
c) una persona sottoposta a misure mediche coercitive o a un trattenimento di sicurezza, o
d) una persona ricercata che è stata ritrovata e la cui capacità giuridica è limitata,
rilevare le impronte digitali, individuare le caratteristiche fisiche, effettuare misurazioni sul corpo, realizzare registrazioni video, audio e simili nonché prelevare campioni biologici che consentano di ottenere informazioni sul patrimonio genetico.
2) Qualora non sia possibile compiere un atto di cui al paragrafo 1 a causa dell’opposizione della persona interessata, l’agente di polizia ha diritto di superare tale opposizione dopo aver vanamente chiesto a detta persona di sottoporvisi. Il modo in cui egli supera detta opposizione deve essere proporzionato all’intensità della stessa. L’agente di polizia non può superare l’opposizione di una persona per effettuare un prelievo di sangue o un altro atto simile che leda l’integrità fisica.
3) Se un atto di cui al paragrafo 1 non può essere effettuato sul posto, l’agente di polizia ha diritto di presentare la persona ai fini del compimento dell’atto. L’agente di polizia rilascia la persona una volta compiuto l’atto.
4) L’agente di polizia redige una relazione sugli atti compiuti.
5) La polizia cancella i dati personali ottenuti in applicazione del paragrafo 1 non appena il loro trattamento non è più necessario al fine di prevenire, ricercare, accertare o perseguire reati oppure di garantire la sicurezza della Repubblica ceca, l’ordine pubblico o la sicurezza interna».
9. L’articolo 79 di detta legge, intitolato «Disposizioni fondamentali relative al trattamento dei dati personali nell’ambito dell’esecuzione di talune funzioni di polizia», ai paragrafi 1 e 2 prevede quanto segue:
«1) I paragrafi da 2 a 6 e gli articoli da 79a a 88 si applicano al trattamento dei dati personali a fini di prevenzione, ricerca, accertamento e perseguimento dei reati, allo scopo di garantire la sicurezza della Repubblica ceca o l’ordine pubblico e la sicurezza interna, anche a fini di ricerca di persone e cose.
2) La polizia può trattare i dati personali se ciò è necessario per conseguire le finalità di cui al paragrafo 1. La polizia può anche trattare i dati personali al fine di proteggere interessi rilevanti di una persona interessata che siano collegati alle finalità di cui al paragrafo 1».
10. L’articolo 82 della medesima legge è così formulato:
«1) La polizia verifica almeno una volta ogni tre anni che i dati personali trattati per le finalità di cui all’articolo 79, paragrafo 1, siano ancora necessari per l’esercizio delle sue funzioni in tale ambito.
2) Ai fini della verifica di cui al paragrafo 1, la polizia è autorizzata a richiedere un estratto del casellario giudiziale.
3) Le autorità di polizia e giudiziarie, il Ministerstvo spravedlnosti [Ministero della Giustizia, Repubblica ceca], l’Ustavní soud [Corte costituzionale, Repubblica ceca] e il Kancelář prezidenta republiky [gabinetto del Presidente della Repubblica, Repubblica ceca] informano costantemente la polizia, nei limiti delle loro competenze, ai fini della verifica di cui al paragrafo 1, delle loro decisioni definitive, della prescrizione di azioni penali, dell’esecuzione di una pena o delle decisioni del Presidente della Repubblica relative a un procedimento penale, a una pena o a un’amnistia o una grazia concessa».
III. Fatti del procedimento principale e questioni pregiudiziali
11. Con decisione dell’11 dicembre 2015, la polizia ceca ha avviato un procedimento penale nei confronti di JH per il reato di violazione di un obbligo nella gestione del patrimonio altrui.
12. Il 13 gennaio 2016 essa ha ascoltato JH nell’ambito del procedimento penale e ha ordinato l’esecuzione di vari atti di identificazione. Nonostante il disaccordo di JH, la polizia ceca ha effettuato su di lui un prelievo delle impronte digitali e un prelievo orale sulla base del quale ha creato un profilo genetico, gli ha scattato alcune foto e ha redatto una descrizione dello stesso. Essa ha poi registrato tali informazioni nelle corrispondenti banche dati della polizia ceca.
13. Con sentenza del Městský soud v Praze (Corte regionale di Praga capitale, Repubblica ceca) del 15 marzo 2017, JH è stato giudicato in via definitiva colpevole del reato di violazione di un obbligo nella gestione del patrimonio altrui e del reato di abuso di potere da parte di un funzionario. Egli è stato condannato a una pena detentiva di tre anni con sospensione condizionale, a un divieto, per un periodo di quattro anni, di esercitare nella pubblica amministrazione funzioni di direzione comprendenti la gestione di un patrimonio immobiliare e mobiliare nonché a risarcire il danno causato nei limiti delle sue possibilità.
14. L’8 marzo 2016 JH ha proposto un ricorso dinanzi al Městský soud v Praze (Corte regionale di Praga capitale) volto a far dichiarare che il compimento degli atti di identificazione conformemente all’articolo 65 della legge ceca sulla polizia, la conservazione delle informazioni e dei campioni così ottenuti nonché la creazione di una registrazione nel sistema informatico della polizia ceca costituivano un’ingerenza illegittima.
15. Con sentenza del 23 giugno 2022, tale organo giurisdizionale ha accolto il ricorso di JH, dichiarando che gli atti di identificazione compiuti dalla polizia ceca e la conservazione di detti dati personali nelle banche dati della polizia ceca costituivano un’ingerenza illegittima nel diritto fondamentale al rispetto della vita privata. Di conseguenza, detto organo giurisdizionale ha ordinato alla polizia ceca di cancellare dalle sue banche dati tutti i dati personali risultanti da tali atti, ad eccezione del prelievo orale, nel frattempo distrutto.
16. Il Městský soud v Praze (Corte regionale di Praga capitale) ha sottolineato che il prelievo di materiale genetico costituisce una notevole ingerenza nel diritto fondamentale al rispetto della vita privata, protetto segnatamente dall’articolo 8 della Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (8). Orbene, l’articolo 65 della legge ceca sulla polizia non fornirebbe indicazioni sufficienti per valutare la proporzionalità di tale ingerenza. Infatti, l’unica verifica compiuta dalla polizia ceca, prima di effettuare un siffatto prelievo, verterebbe sul carattere intenzionale del reato commesso ai sensi di detta disposizione, condizione che può essere considerata soddisfatta nell’ambito del procedimento principale.
17. Di conseguenza, il Městský soud v Praze (Corte regionale di Praga capitale) ha ritenuto che gli atti di identificazione compiuti dalla polizia ceca non soddisfacessero il requisito di proporzionalità e, pertanto, costituissero un’ingerenza illegittima. A questo proposito, tale organo giurisdizionale ha rilevato che JH era accusato di aver commesso soltanto un reato di minore gravità, che lo stesso non era mai stato condannato in precedenza e che una recidiva da parte sua era poco probabile. Detto organo giurisdizionale ha inoltre sottolineato il fatto che la polizia ceca deve, di propria iniziativa, ai sensi dell’articolo 65, paragrafo 5, della legge ceca sulla polizia, esaminare internamente a partire da quale momento il mantenimento della conservazione di dati personali «non è più necessario al fine di prevenire, ricercare [o] accertare (...) reati». Lo stesso organo giurisdizionale ritiene che tale normativa lasci alla polizia un margine di valutazione illimitato e tenda ad un ricorso eccessivo alla conservazione illimitata nel tempo dei dati personali.
18. La direzione della polizia ha proposto un ricorso per cassazione avverso tale sentenza dinanzi al Nejvyšší správní soud (Corte suprema amministrativa).
19. A sostegno della sua impugnazione, la direzione della polizia ha sottolineato che la finalità del trattamento dei dati personali era chiaramente espressa all’articolo 65 della legge ceca sulla polizia. Essa ha altresì affermato di aver valutato la proporzionalità del prelievo e della conservazione dei dati personali di JH, prendendo in considerazione il fattore della recidiva, il possibile aggravamento degli atti e il fatto che JH avesse commesso in passato diversi reati. Per quanto riguarda la pubblicità asseritamente insufficiente dei criteri applicati internamente dalla polizia ceca per decidere di continuare a conservare dati personali, la direzione della polizia ha affermato di aver comunicato tali criteri al pubblico nell’ambito del diritto all’informazione.
20. In risposta, JH ha sottolineato, in particolare, che le autorità di polizia ceche avevano compiuto gli atti di identificazione senza aver previamente esaminato la proporzionalità dell’ingerenza. JH ha inoltre criticato l’assenza di pubblicità delle istruzioni della polizia ceca relative al compimento di atti di identificazione.
21. In tale contesto, il giudice del rinvio si chiede, in primo luogo, se i requisiti stabiliti dalla direttiva 2016/680 ostino alla raccolta indifferenziata di dati biometrici e genetici per qualsiasi persona sospettata di aver commesso un reato doloso; in secondo luogo, se i requisiti stabiliti da tale direttiva ostino alla conservazione di tali dati senza che sia espressamente previsto un limite di tempo, e, in terzo luogo, se la giurisprudenza dei giudici amministrativi nazionali possa essere qualificata come «diritto dello Stato membro» ai sensi dell’articolo 8 di detta direttiva, il quale stabilisce le condizioni di liceità dei trattamenti di dati personali.
22. In tali circostanze, il Nejvyšší správní soud (Corte suprema amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Quale sia il livello di differenziazione tra i diversi interessati richiesto dall’articolo 4, paragrafo 1, lettera c), o dall’articolo 6 [della direttiva 2016/680] in combinato disposto con l’articolo 10 [di tale direttiva]. Se sia compatibile con l’imperativo di minimizzare il trattamento dei dati personali nonché con l’obbligo di distinguere tra le diverse categorie di interessati il fatto che la normativa nazionale consenta la raccolta di dati genetici relativi a tutte le persone sospettate o imputate di un reato doloso.
2) Se sia conforme all’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 il fatto che, con riferimento alla finalità generale di prevenzione, ricerca o accertamento delle attività criminali, la necessità della continua conservazione di un profilo del DNA sia valutata dalle autorità di polizia sulla base dei loro regolamenti interni, il che, in pratica, spesso equivale alla conservazione di dati personali sensibili per un periodo di tempo illimitato senza che sia previsto alcun limite temporale massimo per la conservazione di tali dati personali. Nel caso in cui ciò non sia conforme, in base a quali criteri debba essere valutata la proporzionalità in termini di durata della conservazione dei dati personali raccolti e conservati per questo scopo.
3) Nel caso di dati personali particolarmente sensibili di cui all’articolo 10 della direttiva 2016/680, quale sia la portata minima delle condizioni sostanziali o procedurali per l’acquisizione, la conservazione e la cancellazione di tali dati, portata che deve essere disciplinata da una “norma di portata generale” nel diritto degli Stati membri. Se anche la giurisprudenza dei giudici possieda la qualità di “diritto dello Stato membro” ai sensi dell’articolo 8, paragrafo 2, in combinato disposto con l’articolo 10 [di tale direttiva]».
23. JH, il governo ceco, l’Irlanda, il governo polacco nonché la Commissione europea hanno presentato osservazioni scritte.
24. All’udienza tenutasi il 28 novembre 2024, JH, il governo ceco, l’Irlanda, il governo dei Paesi Bassi nonché la Commissione hanno svolto osservazioni orali e sono stati segnatamente invitati a rispondere oralmente ai quesiti formulati dalla Corte.
IV. Analisi
25. In via preliminare, occorre ricordare che le questioni pregiudiziali sollevate dal giudice del rinvio vertono sulla raccolta e sulla conservazione di dati biometrici e genetici, che sono categorie particolari di dati personali, il cui trattamento è disciplinato dall’articolo 10 della direttiva 2016/680.
26. Orbene, tale disposizione mira a garantire una maggiore protezione dell’interessato, in quanto i dati di cui trattasi, a causa della loro particolare sensibilità e del contesto nel quale sono trattati, possono comportare, come risulta dal considerando 37 di detta direttiva, rischi significativi per le libertà e i diritti fondamentali, quali il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (9).
27. Più in particolare, l’articolo 10 della direttiva 2016/680 enuncia il requisito secondo cui il trattamento dei dati sensibili è autorizzato «solo se strettamente necessario», che definisce una condizione rafforzata di liceità del trattamento di tali dati e implica, segnatamente, un controllo particolarmente rigoroso del rispetto del principio della «minimizzazione dei dati», quale derivante dall’articolo 4, paragrafo 1, lettera c), della citata direttiva, del quale tale requisito costituisce un’applicazione specifica a detti dati sensibili (10).
28. È alla luce di tali considerazioni che proporrò, nelle presenti conclusioni, di rispondere al giudice del rinvio cercando di determinare se la normativa nazionale di cui trattasi nel procedimento principale soddisfi il requisito secondo cui la raccolta nonché la conservazione dei dati biometrici e genetici delle persone interessate siano autorizzate «solo se strettamente necessario», ai sensi dell’articolo 10 della direttiva 2016/680.
A. Sulla prima questione pregiudiziale
29. Con la sua prima questione il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera c), o l’articolo 6 della direttiva 2016/680, in combinato disposto con l’articolo 10 di quest’ultima, debba essere interpretato nel senso che esso osta a una normativa nazionale che consenta la raccolta di dati biometrici e genetici di tutte le persone sottoposte a procedimento penale per un reato doloso o sospettate di aver commesso un siffatto reato.
1. Sulla ricevibilità
30. Nelle sue osservazioni scritte, la Commissione ha concluso per l’irricevibilità della prima questione per il motivo che, nel caso oggetto del procedimento principale, il prelievo dei dati genetici e biometrici di JH da parte della polizia ceca ha avuto luogo il 13 gennaio 2016, ossia prima dell’entrata in vigore della direttiva 2016/680, avvenuta il 5 maggio 2016, e prima della scadenza del termine di recepimento, fissato al 6 maggio 2018 dall’articolo 63, paragrafo 1, di tale direttiva.
31. Sebbene la direttiva 2016/680 non preveda alcuna disposizione transitoria per quanto riguarda i dati raccolti prima del 5 maggio 2016, mi sembra opportuno fare riferimento al considerando 96 di tale direttiva, ai sensi del quale «[i]l trattamento già in corso a tale data dovrebbe essere reso conforme [a detta] direttiva entro un periodo di due anni dall’entrata in vigore della [stessa]» (11).
32. Ai sensi dell’articolo 3, punto 2, della direttiva 2016/680, un «trattamento» consiste in una «qualsiasi operazione o insieme di operazioni, (...) applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione» (12).
33. Orbene, ad eccezione del prelievo orale nel frattempo distrutto, i dati personali di JH prelevati prima del 5 maggio 2016 continuano ad essere conservati nelle banche dati della polizia ceca. Tali dati continuano quindi ad essere trattati dopo tale data, vale a dire dopo l’entrata in vigore della direttiva 2016/680.
34. Per tale ragione, a mio avviso, i dati personali che sono stati raccolti lecitamente nella vigenza della decisione quadro 2008/977/GAI (13), ma la cui raccolta sarebbe avvenuta in violazione dei principi stabiliti dalla direttiva 2016/680 ove essa fosse intervenuta dopo l’entrata in vigore di tale direttiva, non dovrebbero continuare ad essere trattati e, quindi, conservati nella vigenza di detta direttiva.
35. Alla luce di tali circostanze, ritengo che la prima questione sollevata dal giudice del rinvio sia ricevibile.
2. Nel merito
36. Il giudice del rinvio si chiede se l’articolo 65, paragrafo 1, della legge ceca sulla polizia sia compatibile con l’obbligo imposto agli Stati membri dall’articolo 6 della direttiva 2016/680 di operare una distinzione tra diverse categorie di interessati e con il principio di minimizzazione del trattamento dei dati personali enunciato all’articolo 4, paragrafo 1, lettera c), di tale direttiva.
37. Più precisamente, tale giudice si chiede se l’unica condizione posta dalla normativa nazionale per autorizzare il prelievo dei dati biometrici e genetici di una persona fisica, vale a dire la sussistenza di un reato doloso, operi una distinzione sufficiente tra le diverse persone interessate o se sia richiesto un grado di individualizzazione ulteriore, nel senso che occorrerebbe operare una distinzione in funzione della gravità dei reati dolosi per i quali potrebbero essere automaticamente raccolti siffatti dati.
38. Al fine di rispondere a tale questione, occorre, da un lato, ricordare che, sebbene l’articolo 6 della direttiva 2016/680 imponga agli Stati membri di operare una chiara distinzione tra i dati delle diverse categorie di interessati, in modo che non sia loro imposta indistintamente un’ingerenza della medesima intensità nel loro diritto fondamentale alla protezione dei propri dati personali (14), l’espressione «se del caso e nella misura del possibile», utilizzata in tale articolo, indica chiaramente che non è necessariamente possibile operare detta distinzione tra siffatti dati (15).
39. L’obbligo che detto articolo 6 impone agli Stati membri non è quindi assoluto e l’espressione «quali», che vi figura, indica che le categorie di persone ivi elencate non hanno carattere tassativo (16).
40. D’altro lato, è essenziale ritornare sugli insegnamenti che devono essere tratti dalla sentenza Registrazione di dati biometrici e genetici I, in quanto la Corte vi interpreta l’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in forza del quale i dati personali trattati devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite mediante il loro trattamento.
41. In tale sentenza, la Corte ha concluso che una normativa nazionale, che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d’ufficio (17), è contraria, in linea di principio, al requisito enunciato all’articolo 10 della direttiva 2016/680, secondo cui il trattamento delle categorie particolari di dati di cui a tale articolo deve essere autorizzato «solo se strettamente necessario» (18). Infatti, una simile normativa può condurre, in modo indifferenziato e generalizzato, alla raccolta dei dati biometrici e genetici della maggior parte delle persone formalmente accusate, dal momento che la nozione di «reato doloso perseguibile d’ufficio» riveste un carattere particolarmente generale e può applicarsi a un gran numero di reati, indipendentemente dalla loro natura e dalla loro gravità (19).
42. Orbene, nel caso di specie, l’articolo 65, paragrafo 1, della legge ceca sulla polizia prevede che i dati biometrici e genetici di una persona possano essere raccolti non solo quando quest’ultima è imputata per aver commesso un reato doloso, ma anche quando essa è sospettata di aver commesso un siffatto reato. Tale disposizione non riguarda quindi soltanto un numero limitato di situazioni, ma comprende, in modo ancora troppo ampio, un gran numero di reati per i quali detti dati possono essere raccolti.
43. Per vero, rilevo che detta disposizione si limita a concedere una facoltà alle autorità di polizia di compiere un simile prelievo, mentre la registrazione di polizia prevista dalla normativa bulgara in questione nella causa che ha dato luogo alla sentenza Registrazione di dati biometrici e genetici I si applicava in modo imperativo a tutte le persone formalmente accusate di reati dolosi perseguibili d’ufficio (20). Ciò potrebbe indurre a ritenere che la normativa ceca, in quanto concede un più ampio margine di manovra alle autorità di polizia, consenta di circoscrivere meglio i casi in cui i dati biometrici e genetici delle persone interessate possono essere raccolti.
44. Tuttavia, rilevo che né l’articolo 65, paragrafo 1, della legge ceca sulla polizia, né l’articolo 11 di tale legge – in forza del quale le autorità di polizia devono effettuare un semplice controllo di proporzionalità – prevedono un obbligo, per tali autorità, di valutare la stretta necessità di raccogliere dati biometrici e genetici delle persone interessate. Ciò pone problemi sotto due aspetti.
45. In primo luogo, il solo fatto che una persona abbia commesso o sia sospettata di aver commesso un reato doloso non può essere considerato, in ogni caso, un elemento che consente, di per sé, di presumere che la raccolta dei suoi dati biometrici e genetici sia strettamente necessaria alla luce delle finalità che essa persegue (21).
46. Infatti, la Corte ha già dichiarato che una simile «stretta necessità» può essere determinata solo alla luce dell’insieme degli elementi pertinenti, quali, in particolare, la natura e la gravità del presunto reato del quale essa è formalmente accusata, le circostanze particolari di tale reato, l’eventuale collegamento di detto reato con altri procedimenti in corso, i precedenti giudiziari o il profilo individuale della persona interessata (22).
47. Limitare la raccolta dei dati biometrici e genetici ai soli casi di reati che presentano un elemento intenzionale non è quindi sufficiente a soddisfare il requisito previsto all’articolo 10 della direttiva 2016/680, secondo il quale il trattamento delle categorie particolari di dati di cui a tale articolo deve essere autorizzato «solo se strettamente necessario».
48. In secondo luogo, rilevo che la Corte ha dichiarato che, in assenza di un obbligo per l’autorità competente, in forza del diritto nazionale, di procedere alla valutazione del carattere «strettamente necessario» del trattamento di dati personali che essa ha effettuato o intende effettuare, un organo giurisdizionale adito al fine di conoscere di un tale trattamento operato da tale autorità competente non può garantire, al posto di quest’ultima, il rispetto dell’obbligo incombente a detta autorità ai sensi dell’articolo 10 della direttiva 2016/680 (23).
49. Orbene, il quadro normativo attualmente vigente nella Repubblica ceca dà luogo a situazioni in cui, da un lato, le autorità di polizia non procedono a un controllo rigoroso di proporzionalità prima di effettuare il prelievo dei dati biometrici e genetici delle persone interessate e, dall’altro, i giudici amministrativi devono sostituirsi alle autorità di polizia nell’attuazione di un siffatto controllo.
50. Pertanto, in assenza di un obbligo previsto dalla normativa ceca, per le autorità nazionali di polizia, di valutare la stretta necessità, ai sensi dell’articolo 10 della direttiva 2016/680, di raccogliere i dati biometrici e genetici delle persone interessate in ciascun caso concreto, tale normativa non rispetta il principio di minimizzazione del trattamento dei dati personali imposto da detta disposizione.
51. Dalle considerazioni che precedono risulta che l’articolo 4, paragrafo 1, lettera c), e l’articolo 6 della direttiva 2016/680, in combinato disposto con l’articolo 10 di tale direttiva, devono essere interpretati nel senso che essi ostano a una normativa nazionale che consente la raccolta di dati biometrici e genetici di tutte le persone imputate per un reato doloso o sospettate di un reato siffatto, qualora una tale normativa non preveda l’obbligo, per l’autorità competente, di valutare, in ciascun caso concreto, il carattere «strettamente necessario» del trattamento che essa ha effettuato o intende effettuare.
B. Sulla seconda questione pregiudiziale
52. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 debba essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale la necessità di mantenere la conservazione di dati biometrici e genetici, alla luce della finalità di prevenzione e di accertamento dei reati, è valutata dalle autorità di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione, con la conseguenza che tali dati, nella maggior parte dei casi, sono conservati per un periodo di tempo indeterminato. Tale giudice chiede inoltre in base a quali criteri debba essere valutata la proporzionalità, sotto il profilo temporale, della conservazione dei dati personali raccolti e conservati per detta finalità.
53. La Corte ha chiesto al giudice del rinvio se ritenesse necessario mantenere tale questione tenuto conto della sentenza DGPN, emessa dopo la presentazione della sua domanda di pronuncia pregiudiziale. Detto giudice, dopo aver invitato le parti nel procedimento principale ad esprimersi, ha voluto mantenere le sue questioni e ha espresso dubbi quanto alla possibilità di trasporre pienamente le conclusioni tratte dalla Corte in tale sentenza alla seconda questione pregiudiziale.
54. In detta sentenza la Corte si è pronunciata, per la prima volta, sui limiti temporali imposti alla conservazione, a fini di lotta contro i reati, dei dati personali di individui che sono stati oggetto di una condanna penale definitiva, alla luce della direttiva 2016/680, con riguardo ad una normativa nazionale che prevede la conservazione, fino al decesso di tali individui, di detti dati, compresi quelli sensibili, senza possibilità di nuova valutazione di tale durata in funzione delle circostanze.
55. Per quanto riguarda la proporzionalità del periodo di conservazione dei dati personali, la Corte ha precisato che il considerando 26 della direttiva 2016/680 nonché l’articolo 4, paragrafo 1, lettera e), e l’articolo 5 di tale direttiva stabiliscono un quadro generale che impone agli Stati membri, da un lato, di prevedere che tali dati siano conservati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati (24) e, dall’altro, di prevedere la fissazione di adeguati termini per la cancellazione di detti dati o per l’esame periodico della necessità di conservarli, nonché misure procedurali che garantiscano il rispetto di tali termini (25), lasciando agli Stati membri il compito di determinare, nel rispetto di tale quadro generale, le situazioni specifiche in cui la tutela dei diritti fondamentali dell’interessato richiede la cancellazione dei dati personali e il momento in cui tale cancellazione deve avvenire (26).
56. Per quanto attiene, più in particolare, ai dati genetici e biometrici, come ho ricordato segnatamente al paragrafo 27 delle presenti conclusioni, l’articolo 10 della direttiva 2016/680 enuncia il requisito secondo cui il trattamento dei dati sensibili è autorizzato «solo se strettamente necessario» (27).
57. Inoltre, la Corte ha precisato che tali disposizioni non esigono che gli Stati membri definiscano limiti temporali assoluti per la conservazione dei dati personali, al di là dei quali questi ultimi dovrebbero essere automaticamente cancellati (28).
58. Nonostante tali insegnamenti, il giudice del rinvio sottolinea che, a differenza della questione sollevata nella causa che ha dato luogo alla sentenza DGPN, la sua seconda questione pregiudiziale è stata formulata con riguardo ad un obiettivo e ad una finalità del trattamento consistenti nella prevenzione generale dei reati.
59. Tale giudice si chiede quindi come conciliare, da un lato, il principio di minimizzazione temporale del trattamento dei dati personali e, dall’altro, un siffatto obiettivo, che è, per sua natura, prospettico e illimitato nel tempo, e che presuppone di conservare il più a lungo possibile i dati personali del maggior numero possibile di persone.
60. È ben vero che, nella causa che ha dato luogo alla sentenza DGPN, la Corte era stata interpellata in merito a una situazione in cui i dati personali, in particolare i dati biometrici e genetici, di una persona condannata in via definitiva per un reato doloso perseguibile d’ufficio erano conservati in un registro di polizia, senza alcuna limitazione di durata diversa dal verificarsi del decesso di tale persona, e ciò persino dopo la sua riabilitazione (29).
61. Tuttavia, tali circostanze non impediscono, a mio avviso, che le medesime conclusioni possano essere applicate a una situazione come quella di cui al procedimento principale, nella quale i dati personali sono conservati per fini di prevenzione generale dei reati.
62. Infatti, la Corte riconosce che la conservazione dei dati personali può contribuire all’obiettivo di interesse generale enunciato al considerando 27 della direttiva 2016/680, secondo cui, nell’interesse della prevenzione, dell’indagine e del perseguimento di reati, è necessario che le autorità competenti trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto per sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati (30).
63. Ciò presuppone che le autorità nazionali abbiano la possibilità di conservare dati personali a fini prospettici, senza prevedere un periodo massimo preciso per la conservazione di tali dati. Tuttavia, la sussistenza e il funzionamento di talune garanzie procedurali risultano ancora più necessari in una situazione del genere.
64. Invero, sebbene la direttiva 2016/680 non imponga agli Stati membri di definire limiti temporali assoluti per la conservazione dei dati personali, al di là dei quali questi ultimi debbano essere automaticamente cancellati, ritengo che la verifica periodica della necessità di conservare tali dati rivesta un’importanza cruciale.
65. A questo proposito, rilevo che, da un lato, l’articolo 65, paragrafo 5, della legge ceca sulla polizia prevede la cancellazione dei dati personali raccolti qualora il loro trattamento non sia indispensabile per perseguire la finalità di prevenzione, ricerca, accertamento o perseguimento dei reati e, dall’altro, l’articolo 82 di tale legge impone alle autorità di polizia di verificare ogni tre anni la necessità di proseguire il trattamento dei dati personali degli interessati.
66. Tale normativa, che prevede quindi effettivamente la cancellazione dei dati stessi e il riesame, a intervalli regolari, della necessità della loro conservazione, dovrebbe tuttavia comprendere garanzie rigorose che consentano di proteggere efficacemente gli interessati dal rischio di abusi.
67. In primo luogo, come ricorda il considerando 33 della direttiva 2016/680, il diritto dello Stato membro che disciplina la raccolta e la conservazione dei dati personali dovrebbe specificare quanto meno le procedure per la distruzione di tali dati.
68. In secondo luogo, ai sensi dell’articolo 13, paragrafo 2, lettera b), e dell’articolo 14, lettera d), di tale direttiva, ogni interessato dovrebbe avere il diritto di conoscere il periodo durante il quale i suoi dati personali sono conservati oppure, qualora ciò non sia possibile, i criteri utilizzati per determinare detto periodo. Tali informazioni sono necessarie per consentire agli interessati di esercitare i loro diritti derivanti dagli articoli 7 e 8 della Carta, di chiedere l’accesso ai loro dati personali oggetto di trattamento e, se del caso, la rettifica o la soppressione degli stessi, nonché di proporre, conformemente all’articolo 47, primo comma, della Carta, un ricorso effettivo dinanzi a un giudice.
69. In terzo luogo, per quanto riguarda in particolare la necessità di conservare dati biometrici e genetici, la normativa nazionale dovrebbe prevedere disposizioni dalle quali risulti, in modo chiaro e preciso, che tale conservazione deve essere limitata a quanto strettamente necessario per conseguire l’obiettivo da essa perseguito, al fine di rispettare i requisiti di cui all’articolo 10 della direttiva 2016/680.
70. La valutazione del periodo di conservazione di tali dati dovrebbe tenere conto di vari criteri, quali la natura e la gravità dei fatti accertati, il tempo trascorso dai fatti stessi, il periodo legale di conservazione rimanente e il grado di rischio che l’interessato sia coinvolto in altri reati (31), o di altre circostanze, quali il particolare contesto in cui il reato in questione è stato commesso, il suo eventuale collegamento con altri procedimenti in corso o ancora i precedenti o il profilo di tale persona.
71. Orbene, non risulta né dalla decisione di rinvio né dalle osservazioni presentate dinanzi alla Corte dai partecipanti al presente procedimento che la normativa ceca in materia di conservazione dei dati biometrici e genetici preveda garanzie sufficienti relative alle procedure di distruzione di tali dati, di informazione delle persone interessate e di valutazione del carattere «strettamente necessario», ai sensi dell’articolo 10 della direttiva 2016/680, della conservazione di detti dati.
72. Dalle considerazioni che precedono risulta che l’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680, letto alla luce dell’articolo 10 di tale direttiva, deve essere interpretato nel senso che esso non osta a una normativa nazionale che non prevede un periodo massimo di conservazione dei dati biometrici e genetici, purché una siffatta normativa preveda il riesame, a intervalli regolari, della necessità di conservare tali dati. Tali disposizioni richiedono, tuttavia, che un simile riesame sia soggetto a rigorose garanzie procedurali e consenta di assicurare che la conservazione stessa non si protragga oltre un periodo strettamente necessario in considerazione delle finalità per le quali detti dati sono trattati.
C. Sulla terza questione pregiudiziale
73. Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se, da un lato, l’articolo 8, paragrafo 2, e l’articolo 10 della direttiva 2016/680 debbano essere interpretati nel senso che una disposizione di portata generale deve prevedere talune condizioni sostanziali o procedurali minime per l’acquisizione, la conservazione e la cancellazione dei dati biometrici e genetici, e se, dall’altro, alla giurisprudenza nazionale che precisa le condizioni per l’acquisizione, la conservazione e la cancellazione di tali dati possa essere riconosciuta la qualità di «diritto dello Stato membro», ai sensi di dette disposizioni.
74. La Corte è invitata a rispondere a tale questione nel contesto del regime giuridico di cui trattasi nel procedimento principale, istituito dall’articolo 65 della legge ceca sulla polizia, che presenta le seguenti caratteristiche.
75. Anzitutto, tale articolo è attuato mediante atti interni di gestione della polizia ceca sotto forma di istruzioni del capo della polizia. Orbene, è pacifico che tali atti non possono avere la qualità di «diritto dello Stato membro», ai sensi dell’articolo 8, paragrafo 2, della direttiva 2016/680.
76. Inoltre, sebbene sia indubbio che l’articolo 65 della legge ceca sulla polizia ha la qualità di «diritto dello Stato membro», esso non precisa le condizioni concrete per l’acquisizione, la conservazione e la cancellazione dei dati biometrici e genetici relativi alle persone interessate.
77. Infine, tale normativa è completata dalla giurisprudenza dei giudici amministrativi, secondo la quale le autorità di polizia devono applicare il criterio di proporzionalità in ciascun caso concreto, tenendo conto principalmente dei precedenti penali della persona interessata, della gravità specifica del tipo di reato per il quale tale persona è stata convocata ai fini del compimento degli atti di identificazione, della personalità dell’autore dei fatti e, nell’ambito di una domanda di cancellazione ex post, del tempo trascorso dal momento della commissione del reato nonché di qualsiasi altro comportamento dell’autore dei fatti (32). I criteri su cui si basa tale giurisprudenza sono pubblicati e accessibili al pubblico.
78. Alla luce di tali elementi, proporrò alla Corte di rispondere che, quand’anche alla giurisprudenza possa essere riconosciuta la qualità di «diritto dello Stato membro» ai sensi della direttiva 2016/680, una siffatta giurisprudenza non può tuttavia sostituirsi alle garanzie che una disposizione di portata generale deve prevedere in materia di acquisizione, conservazione e cancellazione dei dati biometrici e genetici.
79. Infatti, è ben vero che diversi elementi depongono a favore dell’idea che una giurisprudenza soddisfi la condizione di «diritto dello Stato membro», ai sensi dell’articolo 8, paragrafo 2, di detta direttiva.
80. In primo luogo, il considerando 33 della direttiva 2016/680 prevede che, «[q]ualora [tale] direttiva faccia riferimento al diritto dello Stato membro, a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento», purché «tale diritto dello Stato membro, base giuridica o misura legislativa [siano] chiari e precisi, e la loro applicazione prevedibile, per coloro che vi sono sottoposti, come richiesto dalla giurisprudenza della Corte di giustizia e della Corte europea dei diritti dell’uomo».
81. In secondo luogo, la Corte europea dei diritti dell’uomo ha riconosciuto, nella sua sentenza del 16 aprile 2002, Société Colas Est e altri c. Francia (33), che il termine «legge» ai sensi dell’articolo 8, paragrafo 2, della CEDU deve essere inteso nella sua accezione «sostanziale» e non «formale». Pertanto, in un settore disciplinato dal diritto scritto, la «legge» è il testo in vigore quale interpretato dai competenti organi giurisdizionali.
82. D’altronde, la Corte ha a sua volta confermato che il termine «legge», utilizzato nell’espressione «prevista dalla legge» che figura all’articolo 8, paragrafo 2, della CEDU e nell’espressione «fondamento legittimo previsto dalla legge» che figura all’articolo 8, paragrafo 2, della Carta, deve essere inteso nella sua accezione sostanziale, e non formale (34).
83. In terzo luogo, la Corte, nella sua sentenza del 21 giugno 2022, Ligue des droits humains (35), ha precisato che il requisito secondo cui qualsiasi limitazione nell’esercizio dei diritti fondamentali deve essere prevista dalla legge implica che l’atto che consente l’ingerenza in tali diritti deve definire, esso stesso, la portata della limitazione dell’esercizio del diritto considerato, fermo restando, da un lato, che tale requisito non esclude che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione, e, dall’altro, che la Corte può, se del caso, precisare, in via interpretativa, la portata concreta della limitazione sia rispetto ai termini stessi della normativa dell’Unione di cui trattasi sia rispetto all’impianto sistematico e agli obiettivi che essa persegue, come interpretati alla luce dei diritti fondamentali garantiti dalla Carta (36).
84. Pertanto, a condizione che sussista una base giuridica nel diritto interno, la giurisprudenza che, da un lato, sia accessibile e prevedibile e, dall’altro, sia costante e non sia stata sistematicamente messa in discussione presenta caratteristiche sostanziali sufficienti per rientrare nella nozione di «diritto dello Stato membro», ai sensi dell’articolo 8, paragrafo 2, della direttiva 2016/680 (37).
85. Tuttavia, sottolineo che, in alcuni casi, segnatamente quando è in discussione il diritto alla libertà sancito dall’articolo 6 della Carta, una giurisprudenza consolidata, che sancisca una prassi costante della polizia, non può essere sufficiente (38) e soltanto l’adozione di disposizioni di portata generale (e quindi di disposizioni che presentino le caratteristiche formali di una legge) offre le garanzie necessarie, poiché un siffatto testo normativo delimita in modo cogente e noto in anticipo la discrezionalità lasciata alle autorità nella valutazione delle circostanze di ciascun caso concreto (39).
86. La Corte europea dei diritti dell’uomo afferma parimenti che qualsiasi ingerenza da parte di un’autorità pubblica nel diritto di una persona al rispetto della sua vita privata deve essere «prevista dalla legge» (40). Tale espressione concerne la «qualità della legge» che, nell’ambito della protezione dei dati personali sensibili, deve soddisfare un requisito di maggiore prevedibilità. Ciò presuppone che la legge definisca chiaramente la portata del potere discrezionale delle autorità pubbliche (41) e utilizzi termini sufficientemente chiari in modo da fornire a tutti indicazioni adeguate in ordine alle condizioni e alle circostanze in cui essa autorizza il potere pubblico a ricorrere a misure che incidono sui loro diritti tutelati dalla CEDU (42).
87. In tal senso, detta Corte ha riconosciuto che talune disposizioni di legge che autorizzavano il trattamento di dati biometrici personali, in quanto erano formulate in termini molto ampi e sembravano consentire il trattamento di tali dati nell’ambito di qualsiasi tipo di procedimento giudiziario, non rispettavano il requisito di «qualità della legge». Infatti, è essenziale disporre di norme dettagliate che disciplinino la portata e l’applicazione delle misure, nonché di garanzie solide contro il rischio di abusi e di arbitrarietà (43).
88. Per quanto riguarda la presente causa, dopo aver ricordato, da un lato, che i dati biometrici e genetici, a causa della loro particolare sensibilità, possono comportare rischi significativi per le libertà e i diritti fondamentali degli interessati (44), e, dall’altro, che il trattamento di tali dati deve essere autorizzato «solo se strettamente necessario», ritengo che sia particolarmente discutibile il fatto di tutelare i diritti degli interessati soltanto per mezzo di una giurisprudenza nazionale quando la legge, nella sua accezione formale, prevede un controllo di proporzionalità lacunoso, che non corrisponde al grado di tutela richiesto dall’articolo 10 della direttiva 2016/680.
89. Infatti, le disposizioni della legge ceca sulla polizia, in particolare l’articolo 65 di quest’ultima, sono formulate in modo troppo ampio e non impongono limiti prestabiliti sufficienti al potere discrezionale di cui dispongono le autorità di polizia in materia di acquisizione, conservazione e cancellazione dei dati biometrici e genetici. In assenza di siffatti limiti, le condizioni che disciplinano il trattamento di tali dati, che risultano unicamente dalla giurisprudenza dei giudici amministrativi cechi, non possono soddisfare il requisito di garanzie sufficientemente rigorose, in un atto vincolante e prevedibile nella sua applicazione, che deve sussistere in materia di trattamento di detti dati.
90. Inoltre, sebbene il recepimento di una direttiva non imponga necessariamente un’azione legislativa da parte di ciascuno Stato membro, una giurisprudenza – ammesso che sia consolidata – che interpreti disposizioni di diritto interno in un senso ritenuto conforme ai precetti di una direttiva non può presentare la chiarezza e la precisione richieste per soddisfare il requisito della certezza del diritto (45). Ne consegue che una giurisprudenza nazionale, quand’anche stabilisca un elenco di criteri che consentano di valutare la proporzionalità del trattamento dei dati biometrici e genetici delle persone interessate in ciascun caso concreto, non può ovviare all’assenza di un rigoroso controllo di proporzionalità stabilito da una legge nel senso formale del termine.
91. Dalle considerazioni che precedono risulta che l’articolo 8, paragrafo 2, e l’articolo 10 della direttiva 2016/680 devono essere interpretati nel senso che ostano a che una giurisprudenza nazionale, quand’anche le si possa riconoscere la qualità di «diritto dello Stato membro» ai sensi di tale direttiva, si sostituisca a una disposizione di portata generale che non preveda un controllo rigoroso, in ciascun caso concreto e da parte delle autorità di polizia, della necessità di raccogliere e di conservare i dati biometrici e genetici delle persone interessate.
V. Conclusione
92. Alla luce di tutte le considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dal Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca) nel modo seguente:
L’articolo 4, paragrafo 1, lettere c) ed e), l’articolo 6, l’articolo 8, paragrafo 2, e l’articolo 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio,
devono essere interpretati nel senso che:
– essi ostano a una normativa nazionale che consente la raccolta di dati biometrici e genetici di tutte le persone imputate per un reato doloso o sospettate di un reato siffatto, qualora una tale normativa non preveda l’obbligo, per l’autorità competente, di valutare, in ciascun caso concreto, il carattere «strettamente necessario» del trattamento che essa ha effettuato o intende effettuare;
– essi non ostano a una normativa nazionale che non prevede un periodo massimo di conservazione dei dati biometrici e genetici, purché una siffatta normativa preveda il riesame, a intervalli regolari, della necessità di conservare tali dati. Tali disposizioni richiedono, tuttavia, che un simile riesame sia soggetto a rigorose garanzie procedurali e consenta di assicurare che la conservazione stessa non si protragga oltre un periodo strettamente necessario in considerazione delle finalità per le quali detti dati sono trattati.
– essi ostano a che una giurisprudenza nazionale, quand’anche le si possa riconoscere la qualità di «diritto dello Stato membro» ai sensi di tale direttiva, si sostituisca a una disposizione di portata generale che non preveda un controllo rigoroso, in ciascun caso concreto e da parte delle autorità di polizia, della necessità di raccogliere e di conservare i dati biometrici e genetici delle persone interessate.
1 Lingua originale: il francese.
2 GU 2016, L 119, pag. 89.
3 C‑205/21; in prosieguo: la «sentenza Registrazione di dati biometrici e genetici I», EU:C:2023:49.
4 C‑80/23, EU:C:2024:991.
5 Nella versione applicabile alla controversia principale (in prosieguo: la «legge ceca sulla polizia»).
6 C‑118/22; in prosieguo: la «sentenza DGPN», EU:C:2024:97.
7 V. sentenza DGPN (punto 52).
8 Firmata a Roma il 4 novembre 1950; in prosieguo: la «CEDU».
9 In prosieguo: la «Carta». V. sentenza del 28 novembre 2024, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici II) (C‑80/23, EU:C:2024:991, punto 53 e giurisprudenza ivi citata).
10 V. sentenza DGPN (punto 48).
11 Il considerando 96 della direttiva 2016/680 precisa inoltre che «i requisiti [di tale] direttiva relativi alla consultazione preventiva dell’autorità di controllo non dovrebbero applicarsi ai trattamenti già in corso alla data suddetta».
12 Il corsivo è mio.
13 Decisione quadro del Consiglio, del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale (GU 2008, L 350, pag. 60).
14 V. sentenza Registrazione di dati biometrici e genetici I (punto 83).
15 V. sentenza dell’8 dicembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale) (C‑180/21, EU:C:2022:967, punto 48).
16 V. sentenza Registrazione di dati biometrici e genetici I (punto 84).
17 La normativa bulgara in questione prevedeva la raccolta coercitiva dei dati biometrici e genetici, ai fini della loro registrazione, di una persona fisica nei cui confronti sussistevano sufficienti elementi di prova del fatto che essa era colpevole di aver commesso un reato doloso perseguibile d’ufficio, consentendo, in forza del diritto nazionale, la sua messa in stato di accusa formale.
18 V. sentenza Registrazione di dati biometrici e genetici I (punto 128).
19 V. sentenza Registrazione di dati biometrici e genetici I (punto 129).
20 V. sentenza Registrazione di dati biometrici e genetici I (punto 113).
21 V. sentenza Registrazione di dati biometrici e genetici I (punto 130).
22 V. sentenza Registrazione di dati biometrici e genetici I (punto 132).
23 V. sentenza del 28 novembre 2024, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici II) (C‑80/23, EU:C:2024:991, punto 57).
24 V. sentenza DGPN (punti 43 e 45).
25 V. sentenza DGPN (punto 44).
26 V. sentenza DGPN (punto 52).
27 V. sentenza DGPN (punto 48).
28 V. sentenza DGPN (punto 52).
29 V. sentenza DGPN (punto 32).
30 V. sentenza DGPN (punto 55).
31 V. conclusioni dell’avvocato generale Pikamäe nella causa Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia (C‑118/22, EU:C:2023:483, paragrafo 75).
32 Il giudice del rinvio fa riferimento alle decisioni più recenti, quali le sentenze del Nejvyšší správní soud (Corte suprema amministrativa) 5 As 254/2019-49, del 18 maggio 2022 (punti 17 e 18), e 5 As 241/2019-46, del 18 maggio 2022 (punti 18 e 19).
33 CE:ECHR:2002:0416JUD003797197, § 43.
34 V. sentenza del 16 novembre 2023, Roos e a./Parlamento (C‑458/22 P, EU:C:2023:871, punti 60 e 61).
35 C‑817/19, EU:C:2022:491.
36 V. sentenza del 21 giugno 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punto 114).
37 V., in tal senso, conclusioni dell’avvocato generale Szpunar nella causa TC (C‑492/18 PPU, EU:C:2018:875, paragrafo 46).
38 V. sentenza del 15 marzo 2017, Al Chodor (C‑528/15, EU:C:2017:213, punto 45). La Corte è giunta a tale conclusione nell’ambito dell’interpretazione del regolamento (UE) n. 604/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, che stabilisce i criteri e i meccanismi di determinazione dello Stato membro competente per l’esame di una domanda di protezione internazionale presentata in uno degli Stati membri da un cittadino di un paese terzo o da un apolide (GU 2013, L 180, pag. 31). Alla Corte era stato chiesto se i criteri che definiscono la sussistenza di un rischio di fuga di un cittadino straniero dovessero essere definiti dalla legge e se il termine «legge» ricomprendesse una giurisprudenza consolidata confermativa di una prassi amministrativa costante.
39 V. sentenza del 15 marzo 2017, Al Chodor (C‑528/15, EU:C:2017:213, punto 44). Per giungere a tale soluzione, la Corte dichiara che è essenziale che i criteri che definiscono la sussistenza di un rischio di fuga, che costituisce il motivo per un trattenimento, siano chiaramente definiti da un atto cogente e prevedibile nella sua applicazione (punto 42). Tenuto conto della finalità delle norme di cui trattasi, nonché alla luce dell’elevato livello di protezione che risulta dal loro contesto, solo una norma di portata generale può soddisfare i requisiti di chiarezza, di prevedibilità, di accessibilità e, in particolare, di protezione contro l’arbitrarietà (punto 43).
40 V. guida all’articolo 8 della Convenzione europea sui diritti dell’uomo, aggiornata il 31 agosto 2024, disponibile al seguente indirizzo Internet: https://ks.echr.coe.int/documents/d/echr-ks/guide_art_8_ita (punto 17).
41 V. guida citata alla nota 40 delle presenti conclusioni (punto 19).
42 V. sentenza della Corte EDU del 12 giugno 2014, Fernández Martínez c. Spagna (CE:ECHR:2014:0612JUD005603007, § 117).
43 V. sentenza della Corte EDU del 4 luglio 2023, Glukhin c. Russia (CE:ECHR:2023:0704JUD001151920, §§ 82 e 83).
44 V. paragrafo 26 delle presenti conclusioni.
45 V., in particolare, sentenza del 23 aprile 2009, Commissione/Belgio (C‑292/07, EU:C:2009:246, punti 120 e 122).
Domanda di pronuncia pregiudiziale proposta dal Nejvyšším správním soudem (Repubblica Ceca) il 2 febbraio 2023 – JH / Policejní prezidium
(Causa C-57/23, Policejní prezidium)
Lingua processuale: il ceco
Giudice del rinvio
Nejvyšší správní soud
Parti
Ricorrente: JH
Convenuto: Policejní prezidium
Questioni pregiudiziali
Quale sia il livello di differenziazione tra i diversi interessati richiesto dall’articolo 4, paragrafo 1, lettera c), o dall’articolo 6 in combinato disposto con l’articolo 10 della direttiva 2016/680 1 . Se sia compatibile con l’imperativo di minimizzare il trattamento dei dati personali nonché con l’obbligo di distinguere tra le diverse categorie di interessati il fatto che la normativa nazionale consenta la raccolta di dati genetici relativi a tutte le persone sospettate o imputate di aver commesso un reato doloso.
Se sia conforme all’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 il fatto che, con riferimento alla finalità generale di prevenzione, ricerca o accertamento delle attività criminali, la necessità della continua conservazione di un profilo del DNA sia valutata dalle autorità di polizia sulla base dei loro regolamenti interni, il che, in pratica, spesso equivale alla conservazione di dati personali sensibili per un periodo di tempo illimitato senza che sia previsto alcun limite temporale massimo per la conservazione di tali dati personali. Nel caso in cui ciò non sia conforme, in base a quali criteri debba essere valutata la proporzionalità in termini di durata della conservazione dei dati personali raccolti e conservati per questo scopo.
3) Nel caso di dati personali particolarmente sensibili di cui all’articolo 10 della direttiva 2016/680, quale sia la portata minima delle condizioni sostanziali o procedurali per l’acquisizione, la conservazione e la cancellazione di tali dati, portata che deve essere disciplinata da una «norma di portata generale» nel diritto degli Stati membri. Se anche la giurisprudenza dei giudici possieda la qualità di «diritto dello Stato membro» ai sensi dell’articolo 8, paragrafo 2, in combinato disposto con l’articolo 10 della direttiva 2016/680.
____________
1 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
Nessun commento:
Posta un commento