Le conclusioni dell'avvocato generale in esame si inseriscono nell'ambito di una vicenda ambientata in Germania, ove un cittadino tedesco aveva espressamente richiesto al comune il rilascio di un nuovo documento di identità senza l'inserimento di un'immagine delle impronte digitali nel chip.
Il regolamento 2019/1157 ha introdotto a partire dal 2 agosto 2021 l'obbligo di inserire in un supporto di memorizzazione altamente protetto un'immagine delle impronte digitali del titolare di ogni nuova carta d'identità rilasciata negli Stati membri.
In tale contesto, un cittadino tedesco chiedeva al comune il rilascio di un nuovo documento di identità senza l'inserimento di detta immagine delle impronte digitali nel chip.
Il comune respingeva la domanda, al che il cittadino si rivolgeva al competente Tribunale, il quale chiede l'intervento della CGUE sul punto, nutrendo dei dubbi sulla validità del regolamento 2019/1157 in relazione all'obbligatorietà dell'acquisizione e memorizzazione delle impronte digitali nelle carte di identità tedesche.
Nelle conclusioni del 29 giugno 2023 nella causa C-61/22, l'avvocato generale Laila Medina sostiene che il regolamento citato sia stato adottato correttamente sulla base dell'art. 21, paragrafo 2, TFUE, con lo scopo di rendere più agevole il diritto dei cittadini UE di circolare e soggiornare liberamente nei territori degli Stati membri.
In tal senso, il regolamento potrebbe costituire una limitazione dei diritti garantiti dagli artt. 7 e 8 della Carta, dunque sarà necessario verificare se il trattamento dei dati possa essere giustificato in base all'art. 52, paragrafo 1, della stessa.
In relazione alle limitazioni derivanti dal regolamento 2019/1157, secondo l'avvocato generale esse mirano a prevenire il rischio di falsificazione e quello di frode documentale, considerando la mancata omogeneità concernente i formati e gli elementi di sicurezza delle carte di identità nazionali, dunque può dirsi che esse rispondono a una finalità di interesse generale.
Le limitazioni inoltre sono idonee, necessarie e non superano quanto indispensabile per raggiungere l'obiettivo principale del regolamento citato, non sussistendo un metodo alternativo che ad oggi consenta con metodi meno invasivi l'acquisizione e la memorizzazione delle impronte digitali. In aggiunta, le misure garantiscono che, una volta rilasciato il documento, gli identificatori biometrici memorizzati siano a disposizione solo del titolare e che non siano pubblicamente accessibili.
Quanto alla compatibilità con il RGPD, l'avvocato generale sostiene che non sussiste alcun punto del regolamento che preveda l'obbligo di effettuare una valutazione d'impatto nel corso del processo legislativo che ha condotto all'adozione del regolamento 2019/1157, concludendo per la legittimità delle misure.
Conclusioni dell’Avvocato Generale del 29 giugno 2023, causa C -61/22
«Rinvio pregiudiziale – Regolamento (UE) 2019/1157 – Rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione europea – Articolo 3, paragrafo 5 – Obbligo di acquisire le impronte digitali e di conservarle in un supporto di memorizzazione altamente protetto – Validità – Base giuridica – Articolo 21, paragrafo 2, TFUE – Articolo 77, paragrafo 3, TFUE – Carta dei diritti fondamentali dell’Unione europea – Articoli 7 e 8 – Rispetto della vita privata e della vita familiare – Protezione dei dati di carattere personale – Articolo 52, paragrafo 1 – Principio di proporzionalità – Regolamento generale sulla protezione dei dati – Articolo 35, paragrafo 10 – Valutazione d’impatto sulla protezione dei dati».
I. Introduzione
1. La domanda di pronuncia pregiudiziale in esame verte sulla validità dell’articolo 3, paragrafo 5, del regolamento 2019/1157 (2), che stabilisce l’obbligo di inserire, in un supporto di memorizzazione altamente protetto, un’immagine delle impronte digitali del titolare di ogni nuova carta d’identità rilasciata dagli Stati membri (3) La domanda è stata presentata nell’ambito di una controversia tra RL e la Landeshauptstadt Wiesbaden (città di Wiesbaden, capitale dello Stato federale, Germania) vertente su una decisione amministrativa mediante la quale quest’ultima ha rifiutato di rilasciare una carta d’identità senza l’inserimento delle impronte digitali nel suo chip.
2. Con la sua domanda, il giudice del rinvio chiede, in primo luogo, se l’articolo 21, paragrafo 2, TFUE costituisse la base adeguata per l’adozione del regolamento 2019/1157, in secondo luogo, se l’articolo 3, paragrafo 5, di detto regolamento sia compatibile con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), interpretati in combinato disposto con l’articolo 52, paragrafo 1, di quest’ultima, e, in terzo luogo, se il suddetto regolamento sia conforme all’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35, paragrafo 10, del RGPD (4).
3. Nonostante le differenze tra le carte d’identità e i passaporti, la presente causa rappresenta un’estensione tematica della sentenza nella causa Schwarz (5). In tale sentenza, la Corte ha esaminato la validità dell’articolo 1, paragrafo 2, del regolamento n. 2252/2004 (6), che prevede l’obbligo di acquisire le impronte digitali e di memorizzarle nei passaporti e negli altri documenti di viaggio rilasciati dagli Stati membri (7).
II. Contesto normativo
A. Diritto dell’Unione
1. Regolamento 2019/1157
4. I considerando 1, 2, 3, 4, 5, 15, 17, 18, 21 e 28 del regolamento 2019/1157 così recitano:
«(1) Il trattato sull’Unione europea (TUE) è inteso ad agevolare la libera circolazione delle persone garantendo al contempo la sicurezza dei popoli d’Europa, con l’istituzione di uno spazio di libertà, sicurezza e giustizia, in conformità alle disposizioni del TUE e del trattato sul funzionamento dell’Unione europea (TFUE).
(2) La cittadinanza dell’Unione conferisce a ogni cittadino dell’Unione il diritto di circolare liberamente, entro certi limiti e secondo determinate condizioni. La [direttiva 2004/38] [(8)] dà attuazione a tale diritto. Il diritto di circolare e soggiornare liberamente è sancito anche all’articolo 45 della [Carta]. La libertà di circolazione comporta il diritto di uscire dagli Stati membri ed entrarvi con una carta d’identità o un passaporto in corso di validità.
(3) A norma della [direttiva 2004/38], gli Stati membri rilasciano o rinnovano ai loro cittadini una carta d’identità o un passaporto ai sensi della legislazione nazionale (...).
(4) La [direttiva 2004/38] dispone che gli Stati membri possano adottare le misure necessarie per rifiutare, estinguere o revocare un diritto conferito da detta direttiva in caso di abuso di diritto o frode. La falsificazione di documenti o la falsa descrizione di un fatto sostanziale attinente alle condizioni per la concessione del diritto di soggiorno sono stati individuati come tipici casi di frode nel contesto di tale direttiva.
(5) I livelli di sicurezza delle carte d’identità nazionali rilasciate dagli Stati membri e dei permessi di soggiorno per i cittadini dell’Unione che soggiornano in un altro Stato membro e per i loro familiari variano notevolmente. Tali divergenze aumentano il rischio di falsificazione e frode documentale e comportano altresì difficoltà pratiche per i cittadini che intendono esercitare il diritto di libera circolazione (…).
(…)
(15) (…) Il miglioramento delle carte d’identità dovrebbe facilitare l’identificazione e contribuire ad agevolare l’accesso ai servizi.
(…)
(17) Gli elementi di sicurezza sono necessari per verificare l’autenticità di un documento e determinare l’identità di una persona. L’istituzione di norme minime di sicurezza e l’inserimento di dati biometrici nelle carte d’identità (...) sono fattori importanti per rendere più sicuro l’uso di tali documenti nell’Unione. L’inserimento di tali identificatori biometrici dovrebbe permettere ai cittadini dell’Unione di beneficiare pienamente dei loro diritti di libera circolazione.
(18) La memorizzazione di un’immagine del volto e di due impronte digitali (“dati biometrici”) sulle carte d’identità e di soggiorno, come già previsto per i passaporti e i permessi di soggiorno biometrici rilasciati a cittadini di paesi terzi, è un metodo adeguato per unire un’identificazione e un’autenticazione affidabili a un minor rischio di frode, ai fini del rafforzamento della sicurezza delle carte d’identità e di soggiorno.
(…)
(21) Il presente regolamento non fornisce una base giuridica per la costituzione o il mantenimento di banche dati a livello nazionale per la conservazione di dati biometrici negli Stati membri, che è una questione di diritto nazionale da trattare nel rispetto del diritto dell’Unione in materia di protezione dei dati. Il presente regolamento, inoltre, non fornisce una base giuridica per la costituzione o il mantenimento di una banca dati centralizzata a livello dell’Unione.
(…)
(28) L’introduzione di norme minime relative alla sicurezza e al formato delle carte d’identità dovrebbe consentire agli Stati membri di fare affidamento sull’autenticità di tali documenti quando i cittadini dell’Unione esercitano il loro diritto di libera circolazione. L’introduzione di norme di sicurezza rafforzate dovrebbe fornire garanzie sufficienti alle autorità pubbliche e agli enti privati per consentire loro di fare affidamento sull’autenticità delle carte d’identità quando sono utilizzate dai cittadini dell’Unione a fini dell’identificazione».
5. L’articolo 1 del regolamento 2019/1157, intitolato «Oggetto», stabilisce quanto segue:
«Il presente regolamento rafforza le norme di sicurezza applicabili alle carte d’identità rilasciate dagli Stati membri ai loro cittadini (...) che esercitano il diritto di libera circolazione».
6. L’articolo 3 del regolamento 2019/1157, intitolato «Norme di sicurezza/formato/prescrizioni tecniche», così dispone:
«1. Le carte d’identità rilasciate dagli Stati membri sono prodotte nel formato ID-1 e contengono una zona a lettura ottica (machine-readable zone – MRZ). Tali carte d’identità si basano sulle prescrizioni e sulle norme minime di sicurezza stabilite nel documento ICAO 9303 e sono conformi alle prescrizioni di cui alle lettere c), d), f) e g) dell’allegato del regolamento (CE) n. 1030/2002, come modificato dal regolamento (UE) 2017/1954.
(…).
5. Le carte d’identità hanno un supporto di memorizzazione altamente protetto che contiene un’immagine del volto del titolare e due impronte digitali in formato interoperativo digitale. Per il rilevamento degli identificatori biometrici, gli Stati membri applicano le prescrizioni tecniche stabilite dalla decisione di esecuzione C(2018) 7767 della Commissione [(9)].
6. Il supporto di memorizzazione è dotato di capacità sufficiente e della capacità di garantire l’integrità, l’autenticità e la riservatezza dei dati. I dati conservati sono accessibili senza contatto e sono protetti secondo quanto previsto dalla decisione di esecuzione C(2018)7767. Gli Stati membri si scambiano le informazioni necessarie per autenticare il supporto di memorizzazione e per accedere ai dati biometrici di cui al paragrafo 5 e verificarli.
7. I minori di età inferiore a dodici anni possono essere esentati dall’obbligo di rilevamento delle impronte digitali.
I minori di età inferiore a sei anni sono esentati dall’obbligo di rilevamento delle impronte digitali.
Le persone per cui il rilevamento delle impronte digitali è fisicamente impossibile sono esentate dall’obbligo di tale rilevamento.
(...)».
7. L’articolo 10 del regolamento 2019/1157, intitolato «Acquisizione degli identificatori biometrici», così dispone:
«1. Gli identificatori biometrici sono acquisiti unicamente da personale qualificato e debitamente designato dalle autorità competenti per il rilascio delle carte d’identità o delle carte di soggiorno, al fine di essere inseriti nel supporto di memorizzazione altamente protetto di cui all’articolo 3, paragrafo 5, per le carte d’identità (...).
Al fine di garantire la coerenza degli identificatori biometrici con l’identità del richiedente, il richiedente si presenta di persona almeno una volta durante la procedura di rilascio per ciascuna domanda.
2. Gli Stati membri garantiscono che siano predisposte procedure adeguate ed efficaci per l’acquisizione degli identificatori biometrici e che tali procedure siano conformi ai diritti e ai principi sanciti nella Carta, nella Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e nella Convenzione delle Nazioni Unite sui diritti del fanciullo.
(…)
3. Fatta salva la necessità di trattamento ai sensi del diritto dell’Unione e nazionale, gli identificatori biometrici memorizzati ai fini della personalizzazione delle carte d’identità o dei titoli di soggiorno sono conservati in modo altamente sicuro e solo fino alla data di ritiro del documento e, in ogni caso, non oltre 90 giorni dalla data di rilascio. Trascorso tale periodo, tali identificatori biometrici sono immediatamente cancellati o distrutti».
8. L’articolo 11 del regolamento 2019/1157, intitolato «Protezione dei dati personali e responsabilità», è così formulato:
«1. Fatto salvo il [RGPD], gli Stati membri garantiscono la sicurezza, l’integrità, l’autenticità e la riservatezza dei dati raccolti e conservati ai fini del presente regolamento.
2. Ai fini del presente regolamento, le autorità responsabili del rilascio delle carte d’identità e dei titoli di soggiorno sono considerate responsabili del trattamento di cui all’articolo 4, paragrafo 7, del [RGPD] e sono responsabili del trattamento dei dati personali.
3. Gli Stati membri provvedono affinché le autorità di controllo possano esercitare pienamente i propri compiti di cui al [RGPD], compreso l’accesso a tutti i dati personali e a tutte le informazioni necessarie, nonché ai locali e alle attrezzature di trattamento dei dati delle autorità competenti.
(…)
5. Le informazioni predisposte per la lettura ottica sono inserite in una carta d’identità (...) esclusivamente in conformità del presente regolamento e del diritto nazionale dello Stato membro di rilascio.
6. I dati biometrici conservati nel supporto di memorizzazione delle carte d’identità e dei titoli di soggiorno possono essere usati esclusivamente in conformità del diritto dell’Unione e nazionale, dal personale debitamente autorizzato delle autorità nazionali e delle agenzie dell’Unione competenti, allo scopo di verificare:
a) l’autenticità della carta d’identità o del titolo di soggiorno;
b) l’identità del titolare attraverso elementi comparativi direttamente disponibili laddove la legge esiga la presentazione della carta d’identità o del titolo di soggiorno.
(...)».
2. RGPD
9. L’articolo 6 del RGPD, intitolato «Liceità del trattamento», è così formulato:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(…)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
(...)».
10. L’articolo 35 del RGPD, intitolato «Valutazione d’impatto sulla protezione dei dati», così dispone:
«1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
(…)
10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento».
3. Direttiva 2004/38
11. L’articolo 4, della direttiva 2004/38, intitolato «Diritto di uscita», stabilisce quanto segue:
«1. Senza pregiudizio delle disposizioni applicabili ai controlli dei documenti di viaggio alle frontiere nazionali, ogni cittadino dell’Unione munito di una carta d’identità o di un passaporto in corso di validità e i suoi familiari non aventi la cittadinanza di uno Stato membro e muniti di passaporto in corso di validità hanno il diritto di lasciare il territorio di uno Stato membro per recarsi in un altro Stato membro.
(...)».
12. L’articolo 5, della direttiva 2004/38, intitolato «Diritto d’ingresso», così dispone:
«1. Senza pregiudizio delle disposizioni applicabili ai controlli dei documenti di viaggio alle frontiere nazionali, gli Stati membri ammettono nel loro territorio il cittadino dell’Unione munito di una carta d’identità o di un passaporto in corso di validità, nonché i suoi familiari non aventi la cittadinanza di uno Stato membro, muniti di valido passaporto.
(...)».
B. Diritto nazionale
13. Il Gesetz über Personalausweise und den elektronischen Identitätsnachweis (legge relativa alle carte d’identità e all’identificazione elettronica) (10) recepisce nel diritto tedesco l’obbligo previsto all’articolo 3, paragrafo 5, del regolamento 2019/1157.
14. L’articolo 1, paragrafo 1, del PAuswG, intitolato «Dovere di identificazione; diritto di identificazione», stabilisce quanto segue:
«I cittadini tedeschi, quali definiti all’articolo 116, paragrafo 1, della Costituzione, sono tenuti a possedere una carta d’identità non appena abbiano compiuto i 16 anni di età e qualora siano soggetti all’obbligo generale di registrazione, oppure, ove non siano soggetti a tale obbligo, nel caso in cui risiedano prevalentemente in Germania. Essi devono presentare la loro carta d’identità su richiesta dell’autorità legittimata alla verifica dell’identità. I titolari di carta d’identità non possono essere obbligati a depositarla o a cederne altrimenti il possesso. Tale disposizione non si applica alle autorità legittimate a verificare l’identità, né in caso di ritiro o di confisca».
15. L’articolo 5, paragrafo 9, del PAuswG, intitolato «Rilascio della carta d’identità», stabilisce quanto segue:
«Le due impronte digitali del richiedente da memorizzare sul supporto di memorizzazione elettronica ai sensi del [regolamento 2019/1157] sono memorizzate sul supporto elettronico di memorizzazione e trattamento della carta d’identità sotto forma di impronta piatta del dito dell’indice sinistro e destro. Qualora la persona sia priva del dito indice, l’impronta digitale sia di qualità insufficiente o il polpastrello sia lesionato, è memorizzata, in sostituzione, l’impronta piatta del pollice, del dito medio o dell’anulare. Le impronte digitali non sono memorizzate qualora l’acquisizione sia impossibile per ragioni mediche di natura non temporanea».
III. Fatti del procedimento principale e questione pregiudiziale
16. Nel novembre 2021 RL ha chiesto alla Landeshauptstadt Wiesbaden il rilascio di una nuova carta d’identità, sostenendo che il chip della sua vecchia carta era difettoso. Nella sua richiesta, RL chiedeva specificamente che tale carta fosse rilasciata senza l’inserimento dell’immagine delle impronte digitali nel chip.
17. La Landeshauptstadt Wiesbaden ha respinto la domanda di RL a motivo del fatto che, in primo luogo, secondo il diritto tedesco la carta d’identità resta valida anche se il suo chip è difettoso. Poiché RL era già in possesso di un documento d’identità valido, egli non aveva diritto al rilascio di una nuova carta d’identità. In secondo luogo, la Landeshauptstadt Wiesbaden ha ritenuto che, in ogni caso, non fosse possibile rilasciare una carta d’identità senza l’immagine delle impronte digitali del titolare, dato che, dal 2 agosto 2021, era divenuto obbligatorio, in forza dell’articolo 5, paragrafo 9, del PAuswG, memorizzare un’immagine delle impronte digitali nel chip delle nuove carte d’identità.
18. RL ha adito il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), giudice del rinvio nella presente causa, chiedendo che fosse ingiunto all’autorità competente di rilasciargli una nuova carta d’identità senza l’inserimento di un’immagine delle impronte digitali.
19. Il giudice del rinvio nutre dubbi quanto alla validità dell’articolo 3, paragrafo 5, del regolamento 2019/1157, che costituisce il fondamento dell’articolo 5, paragrafo 9, del PAuswG e, pertanto, del carattere obbligatorio dell’acquisizione e della memorizzazione delle impronte digitali nelle carte d’identità tedesche. A tal riguardo, detto giudice ricorda che, ai sensi dell’articolo 3, paragrafo 5, del regolamento 2019/1157, le carte d’identità rilasciate dagli Stati membri devono avere un supporto di memorizzazione altamente protetto contenente un’immagine del volto del titolare della carta e due impronte digitali in formato interoperativo digitale.
20. In particolare, il giudice del rinvio deduce tre motivi di invalidità dell’articolo 3, paragrafo 5, del regolamento 2019/1157.
21. In primo luogo, il giudice del rinvio chiede se il regolamento 2019/1157 non dovesse essere adottato sulla base dell’articolo 77, paragrafo 3, TFUE, che prevede l’applicazione di una procedura legislativa speciale nell’ambito della quale il Consiglio delibera all’unanimità, anziché sulla base dell’articolo 21, paragrafo 2, TFUE, che prevede la procedura legislativa ordinaria, consistente nella procedura di codecisione del Parlamento europeo e del Consiglio dell’Unione europea. Il giudice del rinvio sottolinea che, nella sentenza Schwarz, la Corte ha statuito che l’articolo 62, paragrafo 2, lettera a), TCE, ossia la disposizione che è in seguito divenuta l’articolo 77, paragrafo 3, TFUE, costituiva un fondamento giuridico adeguato ai fini dell’adozione del regolamento n. 2252/2004, il quale impone l’acquisizione e la memorizzazione obbligatorie delle impronte digitali dei cittadini dell’Unione nei passaporti. Tale giudice chiede quindi se lo stesso fondamento giuridico dovesse essere utilizzato ai fini dell’adozione del regolamento 2019/1157.
22. In secondo luogo, il giudice del rinvio nutre dubbi quanto alla compatibilità dell’articolo 3, paragrafo 5, del regolamento 2019/1157 con gli articoli 7 e 8 della Carta. Tale giudice rileva che l’acquisizione e la memorizzazione obbligatorie delle impronte digitali nelle carte d’identità costituiscono, alla luce della sentenza Schwarz, una limitazione dei diritti riconosciuti dalle due disposizioni in parola. Inoltre, a suo avviso, detta limitazione non soddisfa le condizioni di cui all’articolo 8, paragrafo 2, e all’articolo 52, paragrafo 1, della Carta e, quindi, non è giustificata. Più precisamente, il giudice del rinvio chiede se l’articolo 3, paragrafo 5, del regolamento 2019/1157 persegua un interesse legittimo e se l’obbligo derivante da tale disposizione possa essere considerato adeguato, necessario e proporzionato.
23. In terzo luogo, il giudice del rinvio esprime dubbi per quanto concerne l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati, previsto all’articolo 35, paragrafo 10, del RGPD. In particolare, tale giudice rileva, richiamando il parere adottato dal Garante europeo della protezione dei dati sulla proposta di regolamento (11), che tale disposizione si applica al trattamento delle impronte digitali previsto dal regolamento 2019/1157. Tuttavia, siffatta valutazione non è stata effettuata dal legislatore dell’Unione all’atto di adozione di detto regolamento.
24. È in tale contesto che il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’obbligo di inserire e memorizzare le impronte digitali nelle carte d’identità in forza dell’articolo 3, paragrafo 5, del [regolamento 2019/1157] costituisca una violazione del diritto dell’Unione di rango superiore, in particolare
a) dell’articolo 77, paragrafo 3, TFUE
b) degli articoli 7 e 8 della Carta dei diritti fondamentali
c) dell’articolo 35, paragrafo 10, del [RGPD]
e sia quindi invalido per uno di tali motivi».
25. La domanda di pronuncia pregiudiziale è stata depositata presso la cancelleria della Corte di giustizia il 1º febbraio 2022. I governi tedesco, spagnolo e polacco, il Parlamento, il Consiglio, la Commissione europea e il ricorrente nel procedimento principale hanno presentato osservazioni scritte. Il 14 marzo 2023 si è tenuta un’udienza.
IV. Valutazione
26. Con la sua questione, il giudice del rinvio chiede se il regolamento 2019/1157 sia valido alla luce del diritto dell’Unione. Esso chiede, in particolare:
– in primo luogo, se l’articolo 21, paragrafo 2, TFUE costituisse una base giuridica adeguata per l’adozione del regolamento 2019/1157 e, in particolare, del suo articolo 3, paragrafo 5, conformemente alla procedura legislativa ordinaria ivi richiamata;
– in secondo luogo, se l’articolo 3, paragrafo 5, del regolamento 2019/1157 sia compatibile con gli articoli 7 e 8 della Carta, interpretati in combinato disposto con l’articolo 52, paragrafo 1, della stessa; e,
– in terzo luogo, se l’articolo 3, paragrafo 5, del regolamento 2019/1157 sia conforme all’obbligo di effettuare una valutazione dell’impatto sulla protezione dei dati ai sensi dell’articolo 35, paragrafo 10, del RGPD.
27. Esaminerò ciascuno di questi diversi motivi di invalidità in sequenza.
A. Base giuridica per l’adozione del regolamento 2019/1157
28. Il primo motivo di invalidità riguarda la base giuridica per l’adozione del regolamento 2019/1157. In sostanza, il giudice del rinvio nutre dubbi quanto alla questione se tale regolamento dovesse essere adottato sul fondamento dell’articolo 77, paragrafo 3, TFUE anziché dell’articolo 21, paragrafo 2, TFUE. Al di là della scelta, da un punto di vista formale, della base giuridica appropriata del regolamento 2019/1157, si pone la questione della procedura legislativa alternativa applicabile ai sensi dell’una e dell’altra di tali disposizioni.
29. L’articolo 21 TFUE figura nella parte seconda di tale trattato, dedicata alla «Non discriminazione e cittadinanza dell’Unione». Il paragrafo 1 di tale articolo stabilisce che ogni cittadino dell’Unione ha il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri, fatte salve le limitazioni e le condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi. Da parte sua, l’articolo 21, paragrafo 2, TFUE prevede la possibilità, per l’Unione, di adottare disposizioni intese a facilitare l’esercizio del suddetto diritto quando un’azione risulti necessaria per raggiungere questo obiettivo e salvo che i trattati non abbiano previsto poteri di azione a tal fine. In tal caso si applica la procedura legislativa ordinaria, che implica la codecisione del Parlamento e del Consiglio.
30. Di converso, l’articolo 77, paragrafo 3, TFUE, in materia di «Politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione», figura nel titolo V della parte terza del medesimo Trattato, dedicato allo «Spazio di libertà, sicurezza e giustizia». Esso stabilisce che, se un’azione dell’Unione risulta necessaria per facilitare l’esercizio del diritto, di cui all’articolo 20, paragrafo 2, lettera a), di circolare e di soggiornare liberamente nel territorio degli Stati membri, il Consiglio può adottare disposizioni relative, in particolare, ai passaporti e alle carte d’identità. L’applicazione dell’articolo 77, paragrafo 3, TFUE dipende inoltre, sulla base della sua formulazione, dalla mancata previsione, ad opera dei Trattati, di poteri di azione a tale scopo. In questo caso, si applica una procedura legislativa speciale, in cui il Consiglio delibera all’unanimità previa consultazione del Parlamento.
31. Secondo costante giurisprudenza della Corte, la scelta della base giuridica di un atto dell’Unione deve fondarsi su elementi oggettivi che possano essere oggetto di sindacato giurisdizionale, tra i quali figurano lo scopo e il contenuto di tale atto (12). Inoltre, la Corte ha stabilito che può essere preso in considerazione, per determinare la base giuridica appropriata di un atto dell’Unione, il contesto giuridico nel quale si inserisce una nuova normativa, segnatamente per il fatto che siffatto contesto può fornire chiarimenti quanto allo scopo di detta normativa (13).
32. Per quanto concerne la presente causa, tengo a sottolineare, anzitutto, che la circostanza che, nella sentenza Schwarz, l’articolo 77, paragrafo 3, TFUE sia stato considerato un fondamento giuridico adeguato del regolamento n. 2252/2004, il quale prevede l’acquisizione e la memorizzazione obbligatorie delle impronte digitali nei passaporti dei cittadini dell’Unione (14), non è di per sé decisiva, a differenza di quanto ritenuto dal giudice del rinvio, al fine di valutare se l’adozione del regolamento 2019/1157 sia stata correttamente fondata sull’articolo 21, paragrafo 2, TFUE. Infatti, secondo una giurisprudenza costante della Corte, conforme alla giurisprudenza citata supra, sono lo scopo e il contenuto dell’atto esaminato a dover essere presi in considerazione al fine di stabilire il suo corretto fondamento normativo, e non il fondamento normativo di altri atti dell’Unione che presentino eventualmente caratteristiche simili (15).
33. Per quanto concerne, da un lato, lo scopo del regolamento 2019/1157, osservo che l’articolo 1 dello stesso, intitolato «Oggetto», stabilisce che tale regolamento rafforza le norme di sicurezza applicabili, in particolare, alle carte d’identità rilasciate dagli Stati membri ai loro cittadini che esercitano il diritto di libera circolazione. Tale disposizione dà espressione normativa ai considerando da 1 a 5 di tale regolamento, i quali, richiamando il Trattato UE, il Trattato FUE, l’articolo 45 della Carta e la direttiva 2004/38, rievocano l’obiettivo di agevolare l’esercizio del diritto dei cittadini dell’Unione alla libera circolazione in un contesto sicuro (16).
34. In particolare, nel considerando 4 del regolamento 2019/1157 si osserva che la falsificazione di documenti o la falsa descrizione di un fatto sostanziale attinente alle condizioni per la concessione del diritto di soggiorno sono stati individuati come tipici casi di frode connessi alla libera circolazione. Inoltre, nel considerando 5 del regolamento 2019/1157 si dichiara che la falsificazione di documenti e la frode sono il risultato dei livelli di sicurezza delle carte d’identità nazionali rilasciate dagli Stati membri, che variano notevolmente. Tali divergenze, secondo questo stesso considerando, aumentano il rischio di falsificazione e frode documentale e comportano difficoltà pratiche per i cittadini che intendono esercitare il diritto di libera circolazione. Infine, nel considerando 28 del regolamento 2019/1157 si dichiara che l’introduzione di norme di sicurezza rafforzate dovrebbe fornire garanzie sufficienti alle autorità pubbliche e agli enti privati per consentire loro di fare affidamento sull’autenticità delle carte d’identità quando sono utilizzate dai cittadini dell’Unione a fini dell’identificazione.
35. Per quanto riguarda, invece, il contenuto del regolamento 2019/1157, l’acquisizione e la memorizzazione obbligatorie di un’immagine delle impronte digitali previste da tale regolamento, di cui trattasi nella presente causa, fanno parte di un insieme più ampio di misure applicabili alle carte d’identità nazionali di nuova emissione, che sono per la maggior parte elencate all’articolo 3, intitolato «Norme di sicurezza/formato/prescrizioni tecniche».
36. Quando interpretate alla luce del considerando 17 del regolamento 2019/1157, risulta evidente che tali misure sono destinate a perseguire finalità di sicurezza necessarie al fine di verificare l’autenticità di un documento e determinare l’identità di una persona (17). Nel considerando 18 del regolamento 2019/1157 si precisa altresì, a tal riguardo, che la memorizzazione di dati biometrici nelle carte d’identità, vale a dire un’immagine del volto e un’immagine di due impronte digitali, costituisce un metodo adeguato per unire un’identificazione e un’autenticazione affidabili a un minor rischio di frode, ai fini del rafforzamento della sicurezza delle carte d’identità.
37. Da quanto precede risulta che l’obiettivo del regolamento 2019/1157, quale previsto dal Parlamento e dal Consiglio consisteva, in sostanza, nel facilitare il diritto dei cittadini dell’Unione a viaggiare e soggiornare in qualsiasi Stato membro con le rispettive carte d’identità e a servirsi di tali carte come attestazione autentica e attendibile della loro identità. Si tratta degli stessi termini utilizzati dalla Commissione nella sua proposta di regolamento (18), in cui si sottolinea, come nel regolamento 2019/1157, la necessità di ridurre il rischio di falsificazione e di frode documentale al fine di rendere tali carte più facilmente accettabili in Stati membri diversi da quello che le rilascia (19). Tale obiettivo doveva essere raggiunto, alla luce delle disposizioni contenute nel regolamento 2019/1157, incorporando nelle carte d’identità nazionali elementi comuni di sicurezza, classificati dallo stesso regolamento come i) norme minime relative alla sicurezza e al formato e ii) norme di sicurezza rafforzate (20). Quest’ultima categoria includeva l’acquisizione obbligatoria delle impronte digitali e la memorizzazione di una loro immagine su un supporto altamente protetto.
38. Resta la questione se, alla luce dello scopo e del contenuto del regolamento 2019/1157, come già descritto, il legislatore dell’Unione abbia correttamente considerato l’articolo 21, paragrafo 2, TFUE come la base giuridica adeguata per l’adozione di detto regolamento. Tenuto conto del tenore letterale di tale disposizione, richiamata al precedente paragrafo 29, la questione in parola richiederebbe alla Corte di esaminare, in primo luogo, se si possa ritenere che il regolamento 2019/1157 sia stato correttamente adottato al fine di facilitare l’esercizio del diritto di circolare e soggiornare liberamente nel territorio degli Stati membri; in secondo luogo, se l’azione dell’Unione fosse necessaria per conseguire tale obiettivo; e, in terzo luogo, se i trattati non prevedessero i poteri di azione a tale scopo.
1. Facilitare l’esercizio del diritto di libera circolazione
39. Per quanto riguarda, in primo luogo, la questione se il regolamento 2019/1157 sia stato correttamente adottato al fine di facilitare l’esercizio del diritto di libera circolazione, è importante ricordare che, conformemente all’articolo 4 della direttiva 2004/38, ogni cittadino dell’Unione ha il diritto di lasciare il territorio di uno Stato membro per recarsi in un altro Stato membro (in prosieguo: il «diritto di uscita»). Analogamente, ai sensi dell’articolo 5 di tale direttiva, gli Stati membri devono ammettere nel loro territorio i cittadini dell’Unione (in prosieguo: il «diritto d’ingresso»). Come evidenziato dalla direttiva 2004/38, e ribadito al considerando 2 del regolamento 2019/1157, entrambi i diritti costituiscono il contenuto essenziale del diritto di libera circolazione e, in quanto tali, uno dei pilastri della cittadinanza dell’Unione.
40. Ai sensi di tali disposizioni, tuttavia, l’esercizio del diritto di uscita e d’ingresso è subordinato all’obbligo di esibire una carta d’identità o un passaporto validi. Come indicato dalla Corte nella sua giurisprudenza, detto obbligo è diretto a semplificare la soluzione dei problemi connessi con la prova del diritto di soggiorno, non solo per i cittadini dell’Unione, ma anche per le autorità nazionali (21). Di conseguenza, la fiducia degli Stati membri nell’accogliere un cittadino dell’Unione nei loro rispettivi territori e, in ultima analisi, l’esercizio del diritto di libera circolazione da parte di tale cittadino dipendono dall’affidabilità della sua carta d’identità o del suo passaporto in termini di autenticità e identificazione (22). Ciò è tanto più vero, come risulta dal considerando 4 del regolamento 2019/1157, se si considera che la direttiva 2004/38 consente agli Stati membri di rifiutare, estinguere o revocare un diritto conferito da detta direttiva in caso di frode (23).
41. Inoltre, è importante tenere a mente che l’esercizio del diritto di libera circolazione non è limitato ai controlli di frontiera (24) o all’iscrizione presso le autorità amministrative, come sostiene in via principale il ricorrente. Il diritto di libera circolazione e di soggiorno consente ai cittadini dell’Unione di immergersi nella vita quotidiana degli altri residenti dello Stato membro ospitante. Le carte d’identità nazionali svolgono quindi la stessa funzione delle carte di detti residenti, il che significa che soltanto una prova d’identità affidabile e autentica, rilasciata secondo norme comuni relative alla sicurezza e al formato, facilita il pieno godimento della libera circolazione. In mancanza di tali norme e formati comuni, e tenuto conto della mancanza di omogeneità delle carte d’identità nazionali attuali all’interno dell’Unione, aspetto del quale mi occuperò nel prosieguo (25), è più facile che sorgano ostacoli e difficoltà, il che costituisce la preoccupazione principale esposta al considerando 5 del regolamento 2019/1157.
42. Significativo, a tal riguardo, è l’uso delle carte d’identità nazionali ai fini dell’accesso a servizi prestati da enti pubblici o privati nello Stato membro ospitante, in particolare quando un documento d’identificazione è richiesto dal diritto nazionale ai fini di detta identificazione. Tale è il caso, ad esempio, dell’accesso a servizi pubblici quali l’assistenza sanitaria, o dell’interazione con banche, compagnie aeree, locali di intrattenimento, alberghi e altre strutture ricettive, e così via. Inoltre, l’uso della carta d’identità nazionale è essenziale ai fini del godimento di diritti strettamente connessi al diritto di libera circolazione e soggiorno, quale il diritto di voto e di eleggibilità alle elezioni europee e comunali (26).
43. In tale contesto, mi risulta difficile sostenere, alla luce dello scopo e del contenuto del regolamento 2019/1157, che detto regolamento non abbia alcun rapporto con l’obiettivo di facilitare l’esercizio del diritto di libera circolazione. È vero il contrario: l’omogeneizzazione del formato delle carte d’identità nazionali e il miglioramento della loro affidabilità mediante norme di sicurezza, ivi comprese quelle introdotte dall’articolo 3, paragrafo 5, del regolamento 2019/1157, incidono direttamente sull’esercizio di tale diritto, rendendo dette carte più affidabili, sia da un punto di vista tecnico, sia in termini di percezione del pubblico, come correttamente osservato dalla Commissione, e, per questo motivo, più facilmente accettate dalle autorità degli Stati membri e dagli enti prestatori di servizi (27). In ultima analisi, ciò equivale a ridurre i disagi, i costi e le barriere amministrative per i cittadini mobili dell’Unione.
44. Desidero aggiungere, brevemente, che sebbene i passaporti, per i quali sono già previste l’acquisizione e la memorizzazione obbligatorie delle impronte digitali ai sensi del regolamento n. 2252/2004, siano documenti che possono essere utilizzati dai cittadini dell’Unione, in alternativa, ai fini dell’esercizio del diritto di libera circolazione, ciò non esclude che le carte d’identità nazionali possano svolgere la stessa funzione in virtù della direttiva 2004/38 (28) e che, dal punto di vista del legislatore dell’Unione, tali carte potrebbero richiedere formati più armonizzati e norme di sicurezza più rigorose al fine di renderle più affidabili e, pertanto, più facilmente accettate.
45. La prima condizione di cui all’articolo 21, paragrafo 2, TFUE, vale a dire la condizione che il regolamento 2019/1157 sia stato correttamente adottato al fine di facilitare l’esercizio del diritto di circolare e soggiornare liberamente nel territorio degli Stati membri, è dunque, a mio avviso, soddisfatta.
2. Se un’azione risulti necessaria
46. Per quanto riguarda, in secondo luogo, la questione se un’azione dell’Unione fosse necessaria per conseguire l’obiettivo di facilitare l’esercizio del diritto di libera circolazione, devo sottolineare che non si tratta di un elemento specificamente dedotto dal giudice del rinvio o messo in discussione dal ricorrente nel procedimento principale. In ogni caso, desidero attirare l’attenzione della Corte sulla valutazione d’impatto effettuata dalla Commissione, che accompagna la proposta di regolamento elaborata da tale istituzione (29).
47. Nella suddetta valutazione, la Commissione spiega che i cittadini europei sono sempre più mobili, all’interno e all’esterno dell’Unione europea, il che costituisce, indubbiamente, un’importante conquista dell’integrazione europea (30). A tal riguardo, la Commissione sottolinea che, mentre la direttiva 2004/38 ha fissato le condizioni per l’esercizio del diritto di circolare e soggiornare liberamente, detta direttiva non ha disciplinato le norme relative al formato e alla sicurezza delle carte d’identità nazionali, ragion per cui più di 250 versioni di tali carte sono validamente in circolazione nell’Unione europea (31). In tali circostanze, la valutazione d’impatto della Commissione individua, come problemi per l’esercizio del diritto di libera circolazione, un’accettazione insufficiente delle carte d’identità nazionali da parte degli Stati membri, un aumento dei livelli di frode documentale e di assenza di autenticazione in relazione a tali carte, nonché la complessità che accompagna il loro rilascio e la loro amministrazione (32). La valutazione della Commissione conclude che se, da un lato, vi è un’esigenza crescente di utilizzare carte d’identità nazionali, dall’altro, in assenza di un’azione adeguata, le notevoli difficoltà all’esercizio dei diritti di libera circolazione si manterrebbero o aumenterebbero (33).
48. A mio avviso, gli elementi che precedono, approfonditi nella valutazione d’impatto della Commissione, illustrano il crescente ricorso ai diritti di libera circolazione da parte dei cittadini dell’Unione, che è un fatto notorio. Al tempo stesso, tali elementi evidenziano le difficoltà e i rischi attuali che si manifestano nell’esercizio dei diritti in questione a causa della mancanza di omogeneità per quanto attiene al formato e agli elementi di sicurezza delle carte d’identità nazionali. Tenuto conto dell’ampio potere discrezionale riconosciuto al legislatore dell’Unione quando è chiamato a effettuare valutazioni complesse (34), non possono esservi dubbi sul fatto che il Parlamento e il Consiglio non abbiano commesso alcun errore allorché hanno stabilito che una siffatta azione dell’Unione fosse necessaria per raggiungere l’obiettivo di facilitare l’esercizio della libera circolazione.
49. Pertanto, a mio avviso, anche la seconda condizione di cui all’articolo 21, paragrafo 2, TFUE è soddisfatta.
3. Poteri di azione a tal fine
50. In terzo luogo, l’adozione di un atto dell’Unione sulla base dell’articolo 21, paragrafo 2, TFUE è subordinata alla condizione che «i trattati non abbiano previsto poteri di azione a tal fine». Nella decisione di rinvio, il giudice del rinvio ritiene che l’articolo 77, paragrafo 3, TFUE costituisca una base giuridica più specifica ai fini dell’introduzione di nuovi elementi di sicurezza nelle carte d’identità nazionali degli Stati membri. Per tale ragione, detto giudice ritiene che l’articolo 77, paragrafo 3, TFUE avrebbe dovuto essere utilizzato come base giuridica in luogo dell’articolo 21, paragrafo 2, TFUE nell’adozione del regolamento 2019/1157.
51. In via preliminare, desidero ricordare che, secondo una giurisprudenza costante, il cumulo di due basi giuridiche è escluso quando le procedure previste dalle rispettive norme siano incompatibili (35). Nel caso di specie, le procedure legislative applicabili in forza dell’articolo 21, paragrafo 2, TFUE, da un lato, e dell’articolo 77, paragrafo 3, TFUE, dall’altro, si escludono a vicenda, il che implica che l’impiego della prima di tali disposizioni ai fini dell’adozione del regolamento 2019/1157 non potrebbe essere accettata qualora la Corte concluda che l’articolo 77, paragrafo 3, TFUE era la base giuridica corretta da utilizzare ai fini di detta adozione.
52. In ogni caso, tenuto conto del tenore letterale e della sistematizzazione dell’articolo 77, paragrafo 3, TFUE, unitamente all’impianto del Trattato stesso, non ritengo che si debba accogliere la posizione sostenuta dal giudice del rinvio.
53. In primo luogo, come indicato al paragrafo 30 delle presenti conclusioni, l’articolo 77, paragrafo 3, TFUE figura nel titolo V della parte terza del TFUE, dedicato allo «Spazio di libertà, sicurezza e giustizia», e in particolare nel capo 2 di quest’ultimo, relativo alle «Politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione». Tale disposizione segue l’articolo 77, paragrafo 1, TFUE, il quale stabilisce che l’Unione sviluppa una politica volta a conseguire taluni obiettivi concernenti, in sostanza, i controlli di frontiera. Esso segue inoltre l’articolo 77, paragrafo 2, TFUE, che consente al Parlamento e al Consiglio di adottare, mediante la procedura legislativa ordinaria, misure riguardanti questa stessa politica.
54. Il contenuto complessivo e la sistematizzazione dell’articolo 77 TFUE inducono quindi a ritenere che, sebbene il paragrafo 3 di tale norma attribuisca al Consiglio la competenza ad adottare disposizioni relative ai passaporti e alle carte d’identità al fine di facilitare l’esercizio del diritto di circolare e di soggiornare liberamente, detta competenza debba essere intesa nel senso che si riferisce al contesto della politica dei controlli di frontiera. Una misura dell’Unione che vada al di là di tale contenuto specifico, indipendentemente dai requisiti concernenti la procedura legislativa applicabile, non rientrerebbe nell’ambito di applicazione dell’articolo 77, paragrafo 3, TFUE.
55. Nel caso di specie, l’introduzione di norme, formati e prescrizioni tecniche uniformi concernenti la sicurezza delle carte d’identità nazionali, comprese quelle definite all’articolo 3, paragrafo 5, del regolamento 2019/1157, è certamente idonea a incidere sui controlli di frontiera (36). Tuttavia, come ho sostenuto nelle presenti conclusioni, tale regolamento copre una porzione più ampia della vita dei cittadini dell’Unione, il che impedisce di circoscriverlo al solo settore dei controlli di frontiera. A tal riguardo, può essere utile ricordare che, se l’esame di un atto dell’Unione dimostra che esso persegue molteplici finalità, e se una di tali finalità è identificabile come principale o preponderante mentre le altre sono solo accessorie, l’atto in questione deve fondarsi su un solo fondamento giuridico, ossia quello corrispondente a tale finalità (37). Per quanto concerne il regolamento 2019/1157, mi sembra evidente che esso incida sul diritto di circolare e di soggiornare liberamente sotto vari profili, e che abbia un impatto solo parziale sui controlli di frontiera.
56. In secondo luogo, è importante notare che, ai sensi dell’articolo 77, paragrafo 3, TFUE, tale disposizione si applica soltanto qualora i poteri di azione per conseguire il suo scopo non siano previsti da altre disposizioni dei Trattati, il che la rende una clausola sussidiaria redatta in termini analoghi a quelli dell’articolo 21, paragrafo 2, TFUE. La questione che si pone è se l’articolo 21, paragrafo 2, TFUE o l’articolo 77, paragrafo 3, TFUE costituiscano disposizioni più specifiche l’una rispetto all’altra, per quanto riguarda, in particolare, il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri.
57. A tal riguardo, tengo a sottolineare, da un lato, che l’articolo 77, paragrafo 3, TFUE fa espresso riferimento all’articolo 20 del medesimo Trattato, che istituisce la cittadinanza dell’Unione e, più in particolare, al suo paragrafo 2, lettera a), il quale stabilisce che detta cittadinanza comprende il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri. L’articolo 77, paragrafo 3, TFUE stabilisce, quindi, che il Consiglio è competente ad adottare disposizioni relative, in particolare, alle carte d’identità, per facilitare l’esercizio del diritto di cui all’articolo 20, paragrafo 2, lettera a), qualora i trattati non abbiano previsto poteri di azione a tale scopo. Di converso, come ho già osservato, l’articolo 21 TFUE sviluppa il contenuto dell’articolo 20, paragrafo 2, lettera a), TFUE stabilendo, in particolare, che il diritto previsto in tale disposizione è sottoposto alle limitazioni e alle condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi, specificamente ai sensi del paragrafo 2 dello stesso. In tale contesto, sarei quindi incline a ritenere che, per quanto riguarda l’articolo 20, paragrafo 2, TFUE, l’articolo 21 del medesimo Trattato costituisca una disposizione più specifica, il che ha l’effetto di rendere inapplicabile la clausola sussidiaria di cui all’articolo 77, paragrafo 3, TFUE e, pertanto, la procedura legislativa speciale prevista da tale disposizione.
58. Dall’altro lato, come sostenuto dalla Commissione, l’ambito di applicazione della clausola sussidiaria risultante dall’articolo 21, paragrafo 2, TFUE, che consente l’adozione di disposizioni intese a facilitare la libera circolazione delle persone, salvo che i Trattati non abbiano previsto poteri di azione a tal fine, sembra circoscritto agli articoli del Trattato FUE contenuti nella parte terza, titolo IV, di quest’ultimo, segnatamente l’articolo 45, sulla libera circolazione dei lavoratori, e gli articoli 49 e 56, sul diritto di stabilimento e di libera prestazione di servizi nel territorio di un altro Stato membro. Ciò è evidente, da un punto di vista sistematico, se si considera il rischio di sovrapposizione che discende dalle disposizioni del Trattato concernenti, da un lato, il diritto dei cittadini di circolare e soggiornare liberamente all’interno dell’Unione europea e, dall’altro, i diritti di circolazione quali elementi essenziali del mercato interno. La giurisprudenza della Corte supporta, in effetti, tale interpretazione (38), nella misura in cui indica che l’articolo 21 TFUE trova specifica espressione nelle disposizioni che garantiscono la libera circolazione, suggerendo, inoltre, che se un caso rientra nell’ambito di applicazione di una di tali disposizioni, l’articolo 21 TFUE perde la sua posizione quale base giuridica adeguata per l’adozione di disposizioni destinate a facilitare il diritto di circolare e di soggiornare liberamente (39).
59. Infine, vorrei brevemente osservare che la circostanza che l’articolo 77, paragrafo 3, TFUE si riferisca specificamente, nella sua formulazione, alle carte d’identità, come sottolineato dal giudice del rinvio, non è determinante ai fini di considerare tale norma come una disposizione più specifica rispetto all’articolo 21, paragrafo 2, TFUE. Dopotutto, l’articolo 77, paragrafo 3, TFUE fa riferimento anche ai titoli di soggiorno, il cui modello uniforme, in particolare per i cittadini di paesi terzi, è stato stabilito dal regolamento n. 1030/2002 (40), unitamente agli elementi minimi di sicurezza e all’obbligo di memorizzazione dei dati biometrici. Il suddetto regolamento e le sue modifiche, infatti, sono stati adottati mediante la procedura legislativa ordinaria, sulla base dell’articolo 63, punto 3, TCE, divenuto in seguito l’articolo 79 TFUE, e non sulla base del predecessore dell’articolo 77, paragrafo 3, TFUE. Il motivo di ciò è che i titoli di soggiorno sono documenti destinati a essere utilizzati all’interno dello Stato membro di rilascio, e non ai fini dei controlli di frontiera, così come avviene, nella maggioranza dei casi, per le carte d’identità nazionali.
60. Ne consegue che l’articolo 77, paragrafo 3, TFUE non costituisce una disposizione più specifica al fine di facilitare l’esercizio del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri rispetto all’articolo 21, paragrafo 2, TFUE e, di conseguenza, la terza condizione enunciata in quest’ultima disposizione è soddisfatta.
61. Alla luce di quanto precede, e poiché l’analisi da me proposta ha rivelato che le tre condizioni risultanti dalla formulazione dell’articolo 21, paragrafo 2, TFUE sono soddisfatte, concludo che, utilizzando tale disposizione come base giuridica del regolamento 2019/1157, il Parlamento e il Consiglio hanno correttamente adottato tale regolamento.
62. Il primo motivo dedotto dal giudice del rinvio non dovrebbe indurre la Corte a dichiarare l’invalidità del regolamento 2019/1157 e, in particolare, del suo articolo 3, paragrafo 5.
B. Articoli 7 e 8 della Carta
63. Il secondo motivo di invalidità dedotto nella domanda di pronuncia pregiudiziale verte sulla questione se l’obbligo di acquisire e memorizzare un’immagine di due impronte digitali nelle nuove carte d’identità rilasciate dagli Stati membri, in applicazione dell’articolo 3, paragrafo 5, del regolamento 2019/1157, costituisca una limitazione ingiustificata degli articoli 7 e 8 della Carta, interpretati in combinato disposto con l’articolo 52, paragrafo 1, di quest’ultima.
1. Limitazione
64. L’articolo 7 della Carta stabilisce che ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni. Ai sensi dell’articolo 8, paragrafo 1, della stessa, ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Sebbene le due disposizioni siano dedicate a due diritti fondamentali diversi, la Corte le ha tradizionalmente applicate simultaneamente al momento di esaminare, come nel caso di specie, la conformità con la Carta delle disposizioni europee o nazionali relative al trattamento di dati personali (41).
65. La Corte ha altresì dichiarato che il rispetto del diritto alla vita privata per quanto attiene al trattamento dei dati personali, riconosciuto dagli articoli 7 e 8 della Carta, è riferito a ogni informazione relativa a una persona fisica identificata o identificabile (42). Tale è evidentemente il caso degli identificatori biometrici e, in particolare, delle impronte digitali di cui al regolamento 2019/1157, che contengono informazioni uniche su persone fisiche e consentono la loro identificazione precisa (43).
66. Inoltre, nella sentenza Schwarz, la Corte ha statuito che l’inserimento obbligatorio delle impronte digitali nei nuovi passaporti rilasciati dagli Stati membri, come prescritto dal regolamento n. 2252/2004, doveva essere considerato un trattamento di dati personali e che detto inserimento costituiva una limitazione dei diritti garantiti dagli articoli 7 e 8 della Carta (44). Conformemente alla posizione assunta da tutte le parti nel presente procedimento, la suddetta pronuncia induce a ritenere che il regolamento 2019/1157, il quale introduce misure analoghe relative alle carte d’identità nazionali, costituisca una limitazione di entrambi i diritti fondamentali tutelati da tali articoli.
67. Più precisamente, tale limitazione dovrebbe essere definita con riferimento alle due misure previste all’articolo 3, paragrafo 5, del regolamento 2019/1157, segnatamente, da un lato, l’acquisizione delle impronte digitali in quanto tale, la cui procedura è definita all’articolo 10, paragrafo 1, di tale regolamento, e, dall’altro, l’inserimento definitivo di tali impronte digitali su un supporto di memorizzazione altamente protetto in ogni nuova carta d’identità rilasciata dagli Stati membri (45).
68. Inoltre, come indicato dal Parlamento, occorre tener conto della misura di cui all’articolo 10, paragrafo 3, del regolamento 2019/1157. In sostanza, tale disposizione stabilisce che gli identificatori biometrici memorizzati ai fini della personalizzazione delle carte d’identità devono essere conservati dalle autorità pubbliche fino alla data di ritiro della carta da parte del suo titolare e, in ogni caso, non oltre 90 giorni dalla data di rilascio. Memorizzare in tal modo gli identificatori aumenta il rischio di un accesso indebito, da parte delle autorità pubbliche, agli identificatori biometrici rilevati in applicazione dell’articolo 3, paragrafo 5, del regolamento 2019/1157, e tale circostanza non dovrebbe quindi essere trascurata in sede di esame della limitazione introdotta da tale disposizione ai diritti garantiti dagli articoli 7 e 8 della Carta.
69. Infine, l’articolo 11 del regolamento 2019/1157, intitolato «Protezione dei dati personali e responsabilità», prevede, in particolare al paragrafo 6, la possibilità per le autorità nazionali competenti e per le agenzie dell’Unione di usare le carte d’identità nazionali contenenti impronte digitali memorizzate allo scopo di verificare l’autenticità della carta e l’identità del titolare. Ribadisco che è nel contesto di detto uso che potrebbe verificarsi un pregiudizio per quanto concerne gli identificatori biometrici acquisiti in applicazione dell’articolo 3, paragrafo 5, del regolamento 2019/1157.
70. Da quanto precede risulta che, al fine di definire la limitazione dei diritti garantiti dagli articoli 7 e 8 della Carta descritta nella presente causa e di accertare se detta limitazione possa essere giustificata, l’esame della Corte dovrebbe essere effettuato non soltanto alla luce dell’acquisizione delle impronte digitali e del loro inserimento nelle nuove carte d’identità nazionali rilasciate dagli Stati membri, ma anche con riferimento alle due misure aggiuntive che, in ragione del loro stretto collegamento con gli identificatori biometrici di cui all’articolo 3, paragrafo 5, del regolamento 2019/1157, in termini di memorizzazione e uso successivo, non dovrebbero essere trascurate nel corso di tale esame.
2. Giustificazione della limitazione
71. Per quanto riguarda la questione se la limitazione risultante dal regolamento 2019/1157, come descritta in precedenza, possa essere giustificata, occorre rilevare anzitutto che l’articolo 8, paragrafo 2, della Carta consente il trattamento di dati personali qualora l’interessato vi acconsenta o qualora trovi applicazione un altro fondamento legittimo previsto dalla legge. Nel caso di specie, è evidente che i cittadini degli Stati membri che chiedono il rilascio di una carta d’identità nazionale non possono opporsi, a causa dell’obbligatorietà delle misure previste dall’articolo 3, paragrafo 5, del regolamento 2019/1157, al trattamento delle loro impronte digitali (46). Di conseguenza, occorre verificare se il trattamento in questione possa essere giustificato sulla base di un altro fondamento legittimo.
72. Secondo una giurisprudenza costante della Corte, i diritti riconosciuti dagli articoli 7 e 8 della Carta non appaiono come prerogative assolute, ma devono essere presi in considerazione in rapporto alla loro funzione nella società (47). A tal riguardo, l’articolo 52, paragrafo 1, della Carta prevede, alla sua prima frase, che eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla stessa devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. La seconda frase dell’articolo 52, paragrafo 1, aggiunge che, nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (48).
73. Nella presente causa, come riconosciuto dal giudice del rinvio, non si pone alcuna questione in relazione ai requisiti previsti dall’articolo 52, paragrafo 1, prima frase, della Carta. Infatti, le limitazioni agli articoli 7 e 8 di quest’ultimo derivanti dal regolamento 2019/1157 sono previste dalla legge sotto forma di regolamento, che, nel caso della Repubblica federale di Germania, è anche stato trasposto nel diritto nazionale (49). Inoltre, tenuto conto delle varie garanzie previste all’articolo 3, paragrafo 5, all’articolo 10, paragrafi 1 e 3, e all’articolo 11, paragrafo 6, del regolamento 2019/1157, in particolare per quanto riguarda l’acquisizione, la memorizzazione e l’uso delle impronte digitali nelle carte d’identità nazionali di nuova emissione, che descriverò nel prosieguo (50), il contenuto essenziale dei diritti incorporati in entrambe le disposizioni è rispettato.
74. Resta da stabilire se tali limitazioni siano conformi al principio di proporzionalità e, in particolare, se siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione, in conformità all’articolo 52, paragrafo 1, seconda frase.
75. Per quanto riguarda la questione se le limitazioni risultanti dal regolamento 2019/1157 rispondano a una finalità di interesse generale, ho già spiegato, nell’ambito della mia analisi del primo motivo di invalidità (51), che tale regolamento mira a facilitare il diritto di libera circolazione dei cittadini dell’Unione, rendendo le carte d’identità nazionali più affidabili in termini di autenticità e di identificazione. In sostanza, dall’articolo 1 del regolamento 2019/1157, interpretato alla luce, in particolare, dei considerando 4, 5, 18 e 28 di quest’ultimo, risulta che mancanza di omogeneità per quanto riguarda i formati e gli elementi di sicurezza delle carte d’identità nazionali aumenta il rischio di falsificazione e di frode documentale, la cui prevenzione costituisce quindi un obiettivo di tale regolamento, quale mezzo per favorire l’accettazione di tali carte negli Stati membri diversi da quello che le ha rilasciate.
76. Ritengo quindi che, nella misura in cui l’acquisizione e la memorizzazione di impronte digitali nelle carte d’identità nazionali di nuova emissione, quali previste dall’articolo 3, paragrafo 5, del regolamento 2019/1157, mirano a evitare che dette carte formino oggetto di falsificazione o di uso fraudolento da parte di persone diverse dal loro titolare effettivo, facilitando così l’esercizio del diritto di libera circolazione quale sancito, in particolare, all’articolo 45 della Carta, le limitazioni introdotte dal regolamento 2019/1157 perseguano una finalità di interesse generale ai sensi dell’articolo 52, paragrafo 1, della Carta (52). Un’interpretazione simile è stata accolta dalla Corte nella sentenza Schwarz (53), che, a mio avviso, è analoga alla presente causa.
77. Per quanto riguarda la proporzionalità delle limitazioni introdotte dal regolamento 2019/1157, da una giurisprudenza costante della Corte risulta che il principio di proporzionalità esige che gli atti delle istituzioni dell’Unione siano idonei a realizzare gli obiettivi legittimi perseguiti dalla normativa di cui trattasi e non superino i limiti di ciò che è idoneo e necessario al conseguimento degli obiettivi stessi (54).
78. Inoltre, allorché si tratta di ingerenze in diritti fondamentali, la portata del potere discrezionale del legislatore dell’Unione può risultare limitata in funzione di un certo numero di elementi, tra i quali figurano, in particolare, il settore interessato, la natura del diritto di cui trattasi garantito dalla Carta, la natura e la gravità dell’ingerenza nonché la finalità di quest’ultima (55).
79. Nella presente causa, è vero che il rilevamento delle impronte digitali e la loro memorizzazione nelle carte d’identità nazionali di nuova emissione non costituiscono, di per sé, misure di particolare intensità in termini di limitazione dei diritti garantiti dagli articoli 7 e 8 della Carta. Infatti, da un lato, il rilevamento delle impronte digitali non è un’operazione di carattere intimo (56) e, dall’altro, gli identificatori biometrici memorizzati in una carta di nuova emissione restano a disposizione del solo titolare della carta, ai sensi del regolamento 2019/1157.
80. Tuttavia, la limitazione introdotta dal regolamento 2019/1157 riguarda la protezione dei dati personali, che, secondo la giurisprudenza della Corte, svolge un ruolo importante sotto il profilo del diritto fondamentale al rispetto della vita privata (57). Inoltre, le misure che accompagnano il rilevamento e la memorizzazione delle impronte digitali, descritte ai paragrafi 68 e 69 delle presenti conclusioni, sono suscettibili di aumentare il rischio di un accesso indebito, da parte delle autorità pubbliche, agli identificatori biometrici, nonché ad abusi a tal riguardo. Infine, come sottolineato dal giudice del rinvio, occorre tenere conto dell’impatto complessivo del regolamento 2019/1157 sulla popolazione dell’Unione, poiché l’obbligo di inserire un’immagine delle impronte digitali del titolare nelle carta d’identità di nuova emissione potrebbe interessare fino all’85% dei cittadini dell’Unione, tenuto conto della natura obbligatoria di tali carte nella maggior parte degli Stati membri (58).
81. Per tutte queste ragioni, a mio avviso, la discrezionalità del legislatore dell’Unione dovrebbe considerarsi ridotta, sicché il controllo di tale discrezionalità dovrebbe essere rigoroso. Ciò premesso, ritengo che le limitazioni derivanti dal regolamento 2019/1157 e, in particolare, dall’articolo 3, paragrafo 5, di quest’ultimo siano idonee, necessarie e non eccedano quanto indispensabile per conseguire l’obiettivo principale di tale regolamento.
82. In primo luogo, per quanto riguarda la questione se il rilevamento e la memorizzazione delle impronte digitali nelle carte d’identità nazionali di nuova emissione sia idonea a realizzare l’obiettivo perseguito dal regolamento 2019/1157, è pacifico – e la Corte lo ha del resto dichiarato nella sentenza Schwarz (59) – che la memorizzazione delle impronte digitali su un supporto altamente protetto può ridurre il rischio di falsificazione dei documenti, alla luce della natura unica delle impronte digitali a fini di identificazione e della tecnica sofisticata applicata a detta memorizzazione (60). Riducendo il rischio di falsificazione delle carte d’identità nazionali, l’accettazione di tali carte in Stati membri diversi da quello che le ha rilasciate aumenterà, facilitando, in ultima analisi, l’esercizio del diritto alla libera circolazione dei cittadini dell’Unione (61). In tale prospettiva, non credo che debba permanere alcun dubbio quanto all’idoneità dell’uso delle impronte digitali ai fini del conseguimento dell’obiettivo del regolamento 2019/1157 (62).
83. Il giudice del rinvio sottolinea, tuttavia, che l’acquisizione e la memorizzazione di impronte digitali consentono di verificare soltanto se i dati biometrici inseriti in una determinata carta d’identità nazionale corrispondano ai dati biometrici del suo titolare, ma non consentono, di per sé, l’identificazione di tale persona. A suo avviso, l’identificazione può avvenire unicamente confrontando, da un lato, i dati biometrici memorizzati nella carta d’identità e, dall’altro, i dati biometrici conservati in una banca dati di assoluta resistenza alla contraffazione. In tale prospettiva, il giudice del rinvio chiede se l’inserimento obbligatorio delle impronte digitali nelle carte d’identità nazionali possa realizzare l’obiettivo del regolamento 2019/1157.
84. A tal riguardo, desidero sottolineare che l’argomento del giudice del rinvio non è idoneo a rimettere in discussione il fatto che l’inserimento delle impronte digitali nelle carte d’identità nazionali sia un mezzo efficace, di per sé, per migliorare il livello di autenticità e di affidabilità di tali carte e, quindi, la loro accettazione nell’esercizio del diritto di libera circolazione. Detto argomento si basa unicamente sulla premessa secondo cui l’inserimento delle impronte digitali nelle carte d’identità nazionali potrebbe non essere del tutto affidabile, poiché esse potrebbero comunque essere contraffatte e falsificate, il che significa che l’obiettivo perseguito dal regolamento 2019/1157 non potrebbe essere pienamente raggiunto.
85. La resistenza assoluta alla contraffazione delle carte d’identità nazionali a seguito dell’adozione del regolamento 2019/1157, ivi comprese le misure imposte dall’articolo 3, paragrafo 5, di quest’ultimo, è una questione che non può essere valutata alla luce degli elementi di cui dispone la Corte. Ciò premesso, dalla sentenza Schwarz risulta che il fatto che un metodo di lotta alla contraffazione e all’uso fraudolento non sia totalmente affidabile non è determinante per considerarlo inidoneo, ai fini dell’interpretazione dell’articolo 52, paragrafo 1, della Carta. È sufficiente, infatti, che detto metodo riduca considerevolmente il rischio di falsificazione che esisterebbe se esso non fosse utilizzato (63).
86. Di conseguenza, anche se l’acquisizione e la memorizzazione delle impronte digitali nelle carte d’identità di nuova emissione non possono essere considerate una misura di assoluta resistenza alla contraffazione, ciò non rimette in discussione la loro idoneità a prevenire la falsificazione e la frode documentale e, pertanto, a facilitare il diritto di libera circolazione dei cittadini dell’Unione. Neppure il fatto, anch’esso sottolineato dal giudice del rinvio, che l’acquisizione e l’inserimento di impronte digitali si applichino soltanto alle carte d’identità di nuova emissione e che le carte già rilasciate conservino temporaneamente la loro validità rimette in discussione tale circostanza (64). Anche in tal caso, l’applicazione graduale di detta misura alle carte d’identità nazionali riduce il rischio di falsificazione dei documenti nazionali e contribuisce progressivamente alla realizzazione dell’obiettivo del regolamento 2019/1157.
87. In secondo luogo, per quanto riguarda la questione se il rilevamento e la memorizzazione delle impronte digitali sulle carte d’identità siano anch’essi necessari, ossia non vi sia un metodo altrettanto adeguato ma meno invasivo per conseguire lo stesso obiettivo legittimo, il giudice del rinvio menziona due alternative principali a tale misura, la prima delle quali è stata esaminata in modo dettagliato dalla Commissione nella valutazione d’impatto che accompagna la proposta di regolamento (65).
88. Orbene, la prima alternativa consisterebbe nel limitare le esigenze di protezione dalla contraffazione a un’immagine del volto del titolare della carta, un metodo che risponderebbe anche allo scopo di armonizzare le varie norme in materia di sicurezza per le carte d’identità nazionali a livello nazionale.
89. A tal riguardo, ho rilevato che la Corte ha già statuito che la misura del rilevamento delle impronte digitali, così come l’acquisizione dell’immagine del volto, non è un’operazione di carattere intimo. Essa non è idonea a comportare un imbarazzo fisico o psichico particolare per l’interessato, come la fotografia del suo volto (66). La Corte ha inoltre dichiarato che, anche quando il rilevamento delle impronte digitali si aggiunge all’immagine del volto, non si dovrebbe ritenere a priori che la somma di due operazioni d’identificazione delle persone comporti, di per sé, un pregiudizio più grave ai diritti riconosciuti dagli articoli 7 e 8 della Carta che se tali operazioni fossero considerate isolatamente (67).
90. Peraltro, dal momento che le caratteristiche anatomiche del volto di una persona possono mutare in modo significativo, a causa di varie vicissitudini nella vita di quest’ultima, quali l’invecchiamento o il sorgere di una malattia, è più probabile che il solo confronto tra l’immagine del volto sulla carta d’identità nazionale e il volto del titolare della carta possa determinare errori di identificazione rispetto alla verifica dell’immagine del volto sulla carta d’identità e delle impronte digitali del titolare. A tal riguardo, come sottolineato dal governo tedesco, anche il confronto di una foto biometrica può essere fuorviato da tecniche moderne di morphing che fondono diversi volti in un’unica immagine.
91. Di conseguenza, né un manuale, né un confronto automatizzato dell’immagine del volto contenuto in una carta d’identità nazionale con il volto del titolare (68), ossia i metodi utilizzati in molti Stati membri prima dell’adozione del regolamento 2019/1157, può offrire un risultato più efficace della combinazione degli identificatori biometrici di cui all’articolo 3, paragrafo 5, dello stesso regolamento, vale a dire un’immagine del volto del titolare della carta e due impronte digitali (69). A mio avviso, una conclusione analoga può essere raggiunta nel caso in cui l’immagine del volto del titolare della carta sia combinata soltanto con ologrammi o filigrane, come parimenti suggerito dal giudice del rinvio.
92. La seconda alternativa consisterebbe nel memorizzare una porzione più ridotta di dati dattiloscopici, sotto forma delle cosiddette minutiae, oppure nell’esigere il rilevamento di una sola impronta digitale. A tal riguardo, occorre precisare che l’inclusione di minutiae nelle carte d’identità nazionali richiederebbe, come primo passo, il rilevamento di un’impronta intera e, in seguito, l’estrazione di tali minutiae, il che significa che, oltre al rilevamento e alla memorizzazione delle singole impronte digitali, dovrebbe essere effettuato un trattamento di dati più ampio. Per questo motivo, non ritengo che detto metodo possa essere considerato meno invasivo.
93. Inoltre, secondo la letteratura scientifica, la memorizzazione di minutiae non sembra offrire lo stesso livello di sicurezza nella verifica dell’identità rispetto all’uso di impronte digitali complete (70), il che costituisce una considerazione che si aggiunge alle preoccupazioni suscitate dall’uso di minutiae in termini di interoperabilità. A tal riguardo, come sottolineato dalla maggior parte delle parti in udienza, non esiste una procedura uniforme definita, e neppure un software disponibile, a livello europeo o nazionale, per la lettura di minutiae contenute in carte d’identità nazionali, il che costituirebbe un onere insormontabile ai fini dello scambio di dati fra autorità nazionali (71)
94. Lo stesso vale, ad esempio, in ambito internazionale, dove, ai fini dell’utilizzo delle carte d’identità nel trasporto aereo internazionale, devono essere rispettate le specifiche di cui al documento 9303 dell’Organizzazione per l’aviazione civile internazionale (72). Tali specifiche stabiliscono che, qualora uno Stato preveda l’inserimento di impronte digitali in documenti di viaggio a lettura ottica, la memorizzazione dell’immagine delle impronte digitali è obbligatoria, per consentire l’interoperabilità globale (73). La memorizzazione di minutiae non soddisfa tali requisiti.
95. Per quanto riguarda l’acquisizione e la memorizzazione di una sola impronta digitale, sono incline a ritenere che, sebbene la quantità di dati memorizzati sia inferiore rispetto alla memorizzazione di due impronte, tale metodo non sia altrettanto idoneo, poiché determina un’affidabilità minore. Illustrativo, a tal riguardo, potrebbe essere il caso del rilevamento difettoso di un’impronta digitale o della presenza di una lesione al dito di cui è stata acquisita l’immagine. In ogni caso, dalla giurisprudenza della Corte risulta che anche il rilevamento di un numero più elevato di impronte digitali può essere considerato proporzionato (74).
96. Dalle considerazioni che precedono risulta che non sembra esistere un metodo altrettanto idoneo ma meno invasivo rispetto all’acquisizione a alla memorizzazione di impronte digitali, al fine di conseguire, modo analogamente efficace, l’obiettivo del regolamento 2019/1157.
97. In terzo luogo, affinché l’articolo 3, paragrafo 5, del regolamento 2019/1157 sia giustificato alla luce del suo obiettivo, il trattamento delle impronte digitali acquisite in applicazione di detta disposizione non dovrebbe eccedere quanto necessario per conseguire tale obiettivo. A tal riguardo, il legislatore deve assicurarsi che esistano garanzie specifiche dirette a tutelare efficacemente tali dati contro trattamenti impropri e abusivi (75). Detta giustificazione può essere accettata soltanto qualora siano previste limitazioni specifiche alla minaccia esistente, al fine di evitare eventuali abusi (76).
98. Nella presente causa, occorre sottolineare che l’articolo 3, paragrafi 5 e 6, l’articolo 10 e l’articolo 11 del regolamento 2019/1157 prevedono un quadro giuridico chiaro per l’acquisizione, la memorizzazione e l’uso di identificatori biometrici, segnatamente di impronte digitali (77).
99. In particolare, in primo luogo, le condizioni che disciplinano l’acquisizione delle impronte digitali sono previste all’articolo 10 del regolamento 2019/1157. In tale disposizione si stabilisce espressamente che gli identificatori biometrici possono essere acquisiti unicamente da personale qualificato e debitamente designato in anticipo dalle autorità competenti per il rilascio delle carte d’identità, ed esclusivamente al fine di essere inseriti nel supporto di memorizzazione altamente protetto di cui all’articolo 3, paragrafo 5, del regolamento 2019/1157. Inoltre, gli Stati membri devono garantire che siano predisposte procedure adeguate ed efficaci per l’acquisizione degli identificatori biometrici e che tali procedure siano conformi ai diritti e ai principi sanciti non soltanto nella Carta, ma anche nella Convenzione europea dei diritti dell’uomo e nella Convenzione sui diritti del fanciullo (78). Inoltre, in caso di difficoltà, dette procedure devono rispettare la dignità della persona interessata.
100. In secondo luogo, per quanto riguarda la memorizzazione degli identificatori biometrici a seguito della loro acquisizione, nell’articolo 3, paragrafo 6, del regolamento 2019/1157 si stabilisce espressamente che il supporto di memorizzazione delle carte d’identità nazionali deve garantire l’integrità, l’autenticità e la riservatezza dei dati, che devono essere protetti conformemente alle indicazioni previste nella decisione di esecuzione C(2018)7767 della Commissione (79) . Inoltre, ai sensi dell’articolo 10, paragrafo 3, di tale regolamento, la memorizzazione degli identificatori biometrici da parte delle autorità pubbliche, a seguito della loro acquisizione, deve essere limitata al periodo compreso tra l’acquisizione dei dati e la data di ritiro della carta d’identità e, in ogni caso, non deve superare i 90 giorni dalla data di rilascio. Durante tale periodo, i dati devono essere conservati in modo altamente sicuro Trascorso tale periodo, le impronte digitali acquisite devono essere cancellate o distrutte.
101. In terzo luogo, anche l’accesso alle impronte digitali contenute nel supporto di memorizzazione è assai limitato, ai sensi dell’articolo 11 del regolamento 2019/1157. Soltanto il personale debitamente autorizzato delle autorità competenti vi ha accesso (80) e l’accesso è possibile soltanto quando l’esibizione della carta d’identità è richiesta dal diritto dell’Unione o dal diritto nazionale. Inoltre, l’unico scopo di detto accesso è la verifica dell’autenticità della carta d’identità e/o dell’identità del titolare. In aggiunta a ciò, il controllo dell’immagine del volto costituisce l’obiettivo principale ai fini della verifica dell’autenticità del documento e dell’identità del titolare, il che implica che, secondo una prassi generale, gli Stati membri dovrebbero verificare le impronte digitali soltanto ove sia necessario confermare oltre ogni dubbio l’autenticità della carta e l’identità del titolare (81).
102. Alla luce di quanto precede, ritengo che il regolamento 2019/1157 contenga misure sufficienti e idonee a garantire che l’acquisizione, la memorizzazione e l’uso degli identificatori biometrici, in particolare delle impronte digitali, siano efficacemente tutelati contro trattamenti impropri e abusivi.
103. Più concretamente, tali misure garantiscono che le procedure di acquisizione siano condotte da un numero ridotto di membri del personale qualificati e che siano previamente definite dagli Stati membri al fine di rispettare i diritti fondamentali e la dignità degli interessati. Esse garantiscono inoltre che, dopo il rilascio della carta, gli identificatori biometrici memorizzati in carte di nuova emissione siano a disposizione del solo titolare e che non siano pubblicamente accessibili (82). Gli identificatori biometrici sono conservati dalle autorità pubbliche in modo altamente sicuro, al solo fine del rilascio della carta d’identità, e né queste ultime né qualsiasi altra persona sono autorizzate ad accedervi in seguito. Gli identificatori biometrici devono, in ogni caso, essere cancellati e distrutti alla scadenza di un periodo di conservazione da parte delle autorità pubbliche chiaramente definito e ragionevole, qualora la carta non sia rilasciata. Infine, le misure introdotte dal regolamento 2019/1157 confermano che l’accesso agli identificatori biometrici e il loro uso sono permessi in circostanze rigorosamente limitate, individuate dalla legge e al solo fine di verificare l’autenticità della carta e l’identità del titolare, conformemente all’obiettivo principale di tale regolamento.
104. Per completezza, desidero fare riferimento alla riserva introduttiva di cui all’articolo 10, paragrafo 3, del regolamento 2019/1157, che è stata oggetto di diverse quesiti posti dalla Corte nel corso dell’udienza. Prima di fare riferimento alla memorizzazione temporanea delle impronte digitali da parte delle autorità pubbliche e all’obbligo di conservare tali identificatori biometrici in modo altamente sicuro, come ho già menzionato, l’articolo 10, paragrafo 3, prima frase, del regolamento 2019/1157 contiene la riserva «[f]atta salva la necessità di trattamento ai sensi del diritto dell’Unione e nazionale». La riserva sembra scaturire dal negoziato interistituzionale, o trilogo, svoltosi tra il Parlamento, il Consiglio e la Commissione nel corso della procedura legislativa ordinaria che ha condotto all’adozione del regolamento 2019/1157 (83).
105. A tal riguardo, è vero che tale riserva potrebbe suggerire che le autorità pubbliche potrebbero conservare identificatori biometrici quali le impronte digitali, dopo il loro rilevamento, per un periodo più lungo rispetto a quello definito all’articolo 10, paragrafo 3, del regolamento 2019/1157 e che tali autorità potrebbero utilizzarli a fini ulteriori, non precisamente definiti in tale regolamento, quale, ad esempio, la creazione di banche dati nazionali.
106. Tuttavia, una lettura attenta dell’articolo 10, paragrafo 3, del regolamento 2019/1157 rivela che tale riserva non stabilisce alcuna base giuridica per finalità diverse da quelle specificamente previste dal regolamento. Infatti, tale riserva rinvia espressamente a una normativa aggiuntiva, promanante dall’Unione europea o dagli Stati membri, sicché ogni limitazione dei diritti garantiti dagli articoli 7 e 8 della Carta dovrebbe essere esaminata soltanto alla luce di tale altra normativa e non come se fosse inclusa nel regolamento 2019/1157. Tale interpretazione assume particolare forza se si considera il considerando 21 del regolamento 2019/1157 (84), il quale dichiara inequivocabilmente che tale regolamento non fornisce una base giuridica per la costituzione o il mantenimento di banche dati a livello nazionale per la conservazione di dati biometrici negli Stati membri, trattandosi di una questione di diritto nazionale da trattare nel rispetto del diritto dell’Unione in materia di protezione dei dati. Lo stesso considerando aggiunge che tale regolamento non fornisce una base giuridica per la costituzione o il mantenimento di una banca dati centralizzata a livello dell’Unione.
107. È questo il motivo per cui non ritengo che la riserva introduttiva di cui all’articolo 10, paragrafo 3, del regolamento 2019/1157 sia idonea a rimettere in discussione la conclusione raggiunta al paragrafo 102 delle presenti conclusioni, ai sensi della quale il regolamento 2019/1157 offre garanzie sufficienti per evitare il trattamento di identificatori biometrici, in particolare delle impronte digitali, in modo improprio o abusivo.
108. Alla luce di quanto precede, concludo che il regolamento 2019/1157 e, in particolare, il suo articolo 3, paragrafo 5, non costituisce una limitazione ingiustificata degli articoli 7 e 8 della Carta, interpretati in combinato disposto con l’articolo 52, paragrafo 1, di quest’ultima.
109. Il secondo motivo dedotto dal giudice del rinvio non dovrebbe indurre la Corte a dichiarare l’invalidità del regolamento 2019/1157.
C. Articolo 35, paragrafo 10, del RGPD
110. Con il terzo motivo di invalidità, il giudice del rinvio chiede se l’articolo 3, paragrafo 5, del regolamento 2019/1157 violi l’articolo 35, paragrafo 10, del RGPD. Richiamando la posizione assunta dal GEPD nel suo parere del 10 agosto 2018 (85), tale giudice nutre dubbi sulla questione se, al momento dell’adozione del regolamento 2019/1157, il legislatore dell’Unione dovesse effettuare una valutazione d’impatto sulla protezione dei dati.
111. L’articolo 35 del RGPD figura nel capo IV di quest’ultimo, intitolato «Titolare del trattamento e responsabile del trattamento», in particolare nella sezione 3, relativa alla valutazione d’impatto sulla protezione dei dati e alla consultazione preventiva.
112. Ai sensi del paragrafo 1 di tale disposizione, quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. I paragrafi da 2 a 7 della medesima disposizione approfondiscono il contenuto dell’obbligo dei responsabili del trattamento di effettuare una valutazione d’impatto, in particolare indicando i casi in cui tale valutazione è richiesta e descrivendo gli elementi minimi che tale valutazione deve contenere.
113. Di converso, l’articolo 35, paragrafo 10, del RGPD stabilisce un’eccezione all’obbligo di effettuare una valutazione d’impatto, purché siano soddisfatte le condizioni previste da tale disposizione. Trattasi, in particolare, dei casi in cui i) il trattamento dei dati è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, ii) tale diritto disciplina il trattamento specifico o l’insieme di trattamenti in questione, e iii) è già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale normativa.
114. Nel caso di specie, devo rilevare, anzitutto, che, sebbene il giudice del rinvio citi l’articolo 35, paragrafo 10, del RGPD come fondamento della violazione di cui al motivo di invalidità in esame, le indicazioni fornite nella decisione di rinvio suggeriscono che tale motivo sia, di fatto, fondato sulla violazione dell’articolo 35, paragrafo 1, del RGPD. Infatti, è quest’ultima disposizione che assoggetta i titolari del trattamento, quali definiti all’articolo 4, punto 7, del RGPD, all’obbligo di effettuare una valutazione d’impatto quando esiste un rischio elevato per i diritti e le libertà delle persone fisiche. Secondo il giudice del rinvio, questo è l’obbligo che incombeva al legislatore dell’Unione all’atto di adozione del regolamento 2019/1157 e che, secondo questo stesso giudice, non sembrerebbe essere stato adempiuto.
115. Inoltre, occorre rilevare che il RGPD e il regolamento 2019/1157 sono atti di diritto derivato che, nella gerarchia delle fonti del diritto dell’Unione, occupano una posizione equivalente. Ciò implica che, a differenza di quanto indicato dal giudice del rinvio nella sua questione, il RGPD non può essere considerato un «diritto di rango superiore» rispetto al regolamento 2019/1157. A tal riguardo, dalla giurisprudenza della Corte risulta, in sostanza, che, salvo che un atto di dritto derivato contenga una disposizione che ne preveda espressamente la prevalenza su un altro, la validità di quest’ultimo non può essere valutata alla luce del primo. In tal caso, è necessario soltanto garantire un’applicazione di ciascuno di tali atti che sia compatibile con quella dell’altro e ne consenta quindi un’attuazione coerente (86).
116. Per quanto riguarda il regolamento 2019/1157, osservo che detto regolamento stabilisce collegamenti espliciti con il RGPD, in particolare al suo articolo 11, in materia di protezione dei dati personali. Da tale disposizione, che dovrebbe essere letta alla luce dei considerando 40, 41 e 43 del medesimo regolamento, emerge che il RGPD si applica ai dati personali da trattare nell’ambito dell’applicazione del regolamento 2019/1157. Più precisamente, dall’articolo 11, paragrafo 2, di tale regolamento risulta che le autorità responsabili del rilascio delle carte d’identità devono essere considerate responsabili del trattamento di cui all’articolo 4, paragrafo 7, del RGPD e sono responsabili del trattamento dei dati personali. Inoltre, l’articolo 11, paragrafo 3, del regolamento 2019/1157 impone agli Stati membri di provvedere affinché le autorità di controllo possano esercitare pienamente i propri compiti di cui al RGPD, compreso, ad esempio, l’accesso a tutti i dati personali, nonché ai locali e alle attrezzature di trattamento dei dati delle autorità competenti.
117. Dal regolamento 2019/1157 risulta che il RGPD può imporre obblighi in capo agli organi nazionali e alle autorità competenti in sede di applicazione del regolamento 2019/1157. Le istituzioni dell’Unione e i governi intervenuti dinanzi alla Corte lo riconoscono. Ciò premesso, non risulta in alcun punto del RGPD che l’obbligo di effettuare una valutazione d’impatto, quale previsto all’articolo 35, paragrafo 1, di quest’ultimo, vincoli il legislatore dell’Unione, né che tale disposizione stabilisca un criterio alla luce del quale, ad esempio, debba essere valutata la validità di un’altra norma di diritto derivato dell’Unione.
118. Alla luce di quanto precede, concludo quindi che l’articolo 35, paragrafo 1, del RGPD non si applica al legislatore dell’Unione nel corso dell’adozione di una norma di diritto derivato e che, per tale motivo, non si può ritenere che l’iter legislativo che ha condotto all’adozione del regolamento 2019/1157 e, in particolare, del suo articolo 3, paragrafo 5, violi l’obbligo di effettuare una valutazione d’impatto.
119. Dalle considerazioni che precedono risulta che il terzo motivo dedotto dal giudice del rinvio non dovrebbe indurre la Corte a dichiarare l’invalidità del regolamento 2019/1157.
120. L’esame della questione proposta dal giudice del rinvio non ha rivelato alcun elemento idoneo a inficiare la validità del regolamento 2019/1157 e, in particolare, del suo articolo 3, paragrafo 5.
V. Conclusione
121. Alla luce di tutte le considerazioni che precedono, suggerisco alla Corte di rispondere alla questione pregiudiziale proposta dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) nei seguenti termini:
«L’esame della questione proposta non ha rivelato alcun elemento idoneo a inficiare la validità del regolamento 2019/1157 e, in particolare, del suo articolo 3, paragrafo 5».
1 Lingua originale: l’inglese.
2 Regolamento (UE) 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e dei titoli di soggiorno rilasciati ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU 2019, L 188, pag. 67; in prosieguo: il «regolamento 2019/1157»).
3 Tale obbligo si applica a decorrere dal 2 agosto 2021. V. articolo 16 del regolamento 2019/1157.
4 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1) (in prosieguo: il «RGPD»).
5 Sentenza del 17 ottobre 2013, Schwarz (C-291/12, EU:C:2013:670) (in prosieguo: la «sentenza Schwarz»).
6 Regolamento (CE) n. 2252/2004 del Consiglio, del 13 dicembre 2004, relativo alle norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (GU 2004, L 385, pag. 1) (in prosieguo: il «regolamento n. 2252/2004»).
7 La presente causa è strettamente connessa anche alla causa C-280/22, Kinderrechtencoalitie Vlaanderen e Liga voor Mensenrechten, pendente dinanzi alla Corte.
8 Direttiva 2004/38/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, relativa al diritto dei cittadini dell’Unione e dei loro familiari di circolare e di soggiornare liberamente nel territorio degli Stati membri, che modifica il regolamento (CEE) n. 1612/68 ed abroga le direttive 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e 93/96/CEE (GU 2004, L 158, pag. 77), come modificata (in prosieguo: la «direttiva 2004/38»).
9 Decisione di esecuzione della Commissione, del 30 novembre 2018, che stabilisce le prescrizioni tecniche del modello uniforme di permesso di soggiorno rilasciato a cittadini di paesi terzi e che modifica la decisione C(2002) 3069 (C(2018) 7767 final) [in prosieguo: la «decisione della Commissione C(2018) 7767»].
10 Legge del 18 giugno 2009 (BGBl. I pag. 1346), modificata, da ultimo, dall’articolo 2 della legge del 5 luglio 2021 (BGBl. I, pag. 2281; in prosieguo: il «PAuswG»).
11 Parere 7/2018 del Garante europeo della protezione dei dati, del 10 agosto 2018, sulla proposta di regolamento sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e di altri documenti (GU 2018, C 338, pag. 22) (in prosieguo: il «parere 7/2018 del GEPD»).
12 Sentenza del 3 dicembre 2019, Repubblica ceca/Parlamento e Consiglio (C-482/17, EU:C:2019:1035, punto 31 e giurisprudenza ivi citata).
13 Ibidem (punto 32 e giurisprudenza ivi citata).
14 Sentenza Schwarz, punto 20.
15 V., a tal riguardo, sentenza del 18 dicembre 2014, Regno Unito/Consiglio (C-81/13, EU:C:2014:2449, punti 35 e 36 e giurisprudenza ivi citata).
16 V. anche considerando 46 del regolamento 2019/1157.
17 In tale considerando si dichiara espressamente che l’istituzione di norme minime di sicurezza e l’inserimento di dati biometrici nelle carte d’identità sono fattori importanti per rendere più sicuro l’uso di tali documenti nell’Unione e permettere ai cittadini dell’Unione di beneficiare pienamente dei loro diritti di libera circolazione.
18 V., in tal senso, proposta di regolamento del Parlamento europeo e del Consiglio sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione e dei titoli di soggiorno rilasciati ai cittadini dell’Unione e ai loro familiari che esercitano il diritto di libera circolazione (COM(2018) 212 final), pag. 4 (in prosieguo: la «proposta di regolamento della Commissione»).
19 Per il contesto concettuale degli obiettivi generali e specifici della proposta della Commissione di regolamento, v. documento di lavoro dei servizi della Commissione – Valutazione d’impatto, del 17 aprile 2018 (SWD(2018) 110 final), pag. 24 (in prosieguo: la «valutazione d’impatto della Commissione).
20 V. considerando 28 del regolamento 2019/1157.
21 Sentenza del 17 febbraio 2005, Oulane (C-215/03, EU:C:2005:95, punto 22).
22 V. anche l’articolo 8, paragrafo 3, della direttiva 2004/38, intitolato «Formalità amministrative per i cittadini dell’Unione».
23 V. articolo 35 della direttiva 2004/38.
24 Come nel caso, ad esempio, di Stati membri quali l’Irlanda, in cui restano in vigore i controlli di frontiera, o del ripristino temporaneo del controllo di frontiera alle frontiere interne ai sensi degli articoli 23 e ss. del regolamento (UE) 2016/399 del Parlamento europeo e del Consiglio, del 9 marzo 2016, che istituisce un codice unionale relativo al regime di attraversamento delle frontiere da parte delle persone (codice frontiere Schengen) (GU 2016, L 77, pag. 1), come modificato.
25 V. paragrafo 47 delle presenti conclusioni.
26 Benefici per i diritti democratici dell’Unione e per il diritto di iniziativa dei cittadini sono menzionati anche nella valutazione di impatto della Commissione (punto 6.1).
27 V., in tal senso, il considerando 15, ultima frase, del regolamento 2019/1157, e il considerando 28 dello stesso regolamento, il quale, come già indicato, dichiara che entrambi questi tipi di misure consentono agli Stati membri, da un lato, di fare affidamento sull'autenticità di tali documenti e, dall’altro, di fornire garanzie sufficienti alle autorità pubbliche e agli enti privati per consentire loro di fare affidamento su detti documenti quando sono utilizzati dai cittadini dell’Unione a fini dell’identificazione.
28 V., in tal senso, sentenza del 16 aprile 2015, Willems e a. (da C-446/12 a C-449/12, EU:C:2015:238, punto 39).
29 Documento di lavoro dei servizi della Commissione – Valutazione d’impatto, del 17 aprile 2018, citata supra alla nota 19.
30 V. la valutazione d’impatto della Commissione (punto 1.1), secondo cui più 15 milioni di cittadini dell’Unione risiedono in un altro Stato membro e oltre 11 milioni lavorano in un altro Stato membro, cui si aggiungono i numerosi studenti che si spostano nell’Unione europea per motivi di istruzione e formazione.
31 Valutazione d’impatto della Commissione, punto 1.2 e allegato 5.
32 Valutazione d’impatto della Commissione, punto 2.1 e figura 2.1.
33 Valutazione d’impatto della Commissione, punto 2.2.
34 V., in particolare e in tal senso, sentenza del 22 giugno 2017, E.ON Biofor Sverige (C-549/15, EU:C:2017:490, punto 50 e giurisprudenza ivi citata).
35 V., in particolare, sentenza dell’11 giugno 2014, Commissione/Consiglio (C-377/12, EU:C:2014:1903, punto 34).
36 Come osservato dal governo spagnolo, l’adozione del regolamento 2019/1157 si inseriva nell’obiettivo di migliorare la sicurezza dei documenti di viaggio, in particolare a seguito della modifica del codice frontiere Schengen, che aveva introdotto l’obbligo di verificare sistematicamente tutte le persone e i loro documenti di viaggio, indipendentemente dalla nazionalità del titolare, nel sistema d’informazione Schengen (SIS) e nella banca dati sui documenti di viaggio rubati o smarriti (SLTD). V., in tal senso, regolamento (UE) 2017/458 del Parlamento europeo e del Consiglio, del 15 marzo 2017, che modifica il regolamento (UE) 2016/399 per quanto riguarda il rafforzamento delle verifiche nelle banche dati pertinenti alle frontiere esterne (GU 2017, L 74, pag. 1). V. anche la valutazione d’impatto della Commissione, punto 1.2 (pag. 5).
37 V., in particolare, sentenza del 20 novembre 2018, Commissione/Consiglio (ZPM Antartico) (C-626/15 e C-659/16, EU:C:2018:925, punto 77 e giurisprudenza ivi citata).
38 V., in tal senso, sentenza del 20 maggio 2010, Zanotti (C-56/09, EU:C:2010:288).
39 Ibidem (punto 24 e giurisprudenza ivi citata).
40 V. articolo 4 bis del regolamento (CE) n. 1030/2002 del Consiglio, del 13 giugno 2002, che istituisce un modello uniforme per i permessi di soggiorno rilasciati a cittadini di paesi terzi (GU 2002, L 157, pag. 1).
41 V. sentenza Schwarz (punto 25), e sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2014:238, punto 29). Cfr. conclusioni dell’avvocato generale Cruz Villalón nelle cause riunite Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2013:845, paragrafo 64), in cui egli sostiene che, nel caso di dati personali non connessi alla vita privata, dovrebbe trovare applicazione soltanto l’articolo 8 della Carta.
42 Sentenza del 3 ottobre 2019, A e a. (C-70/18, EU:C:2019:823, punto 54 e giurisprudenza ivi citata).
43 Ibidem (punto 55 e giurisprudenza ivi citata). V. anche la valutazione d’impatto della Commissione, punto 6.1 (pagg. 34 e 35), in cui si sottolinea che i dati biometrici devono essere criptati e che, a tal fine, le chiavi crittografiche devono essere condivise con i servizi specifici, vale a dire le guardie di frontiera e la polizia.
44 Sentenza Schwarz (punti da 24 a 30).
45 L’acquisizione deve essere effettuata conformemente alle prescrizioni tecniche stabilite dalla decisione C(2018) 7767 della Commissione, citata supra alla nota 9.
46 V., sul carattere obbligatorio delle carte d’identità nazionali nella Repubblica federale di Germania, articolo 1, paragrafo 1, del PAuswG, citato al paragrafo 14 delle presenti conclusioni.
47 Sentenza Schwarz (punto 33 e giurisprudenza ivi citata).
48 Ibidem (punto 34). V. anche sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2014:238, punto 38).
49 V. articolo 5, paragrafo 9, del PAuswG, riprodotto al paragrafo 15 delle presenti conclusioni.
50 V. paragrafi da 97 a 107 delle presenti conclusioni.
51 V. paragrafi da 33 a 37 delle presenti conclusioni.
52 V. anche valutazione d’impatto della Commissione, punto 6.1 (pag. 34), nella quale si afferma che l’esercizio dei diritti politici fondamentali (articoli 39 e 40 della Carta), nonché l’esercizio del diritto di petizione (articolo 44 della Carta) trarranno beneficio dal rafforzamento degli elementi di sicurezza delle carte d’identità nazionali.
53 Sentenza Schwarz (punto 36).
54 V. sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2014:238, punto 46 e giurisprudenza ivi citata).
55 Ibidem (punto 47). V. anche, per quanto riguarda l’articolo 8 della CEDU, Corte EDU, S e Marper c. Regno Unito (GC) nn. 30562/04 e 30566/04, § 102, ECHR 2008-V.
56 Sentenza Schwarz (punto 48).
57 Ibidem
58 V. parere 7/2018 del GEPD (pag. 3).
59 V., in tal senso, sentenza Schwarz (punto 41).
60 Non esistono due persone con le stesse impronte digitali, neppure i gemelli omozigoti. Le impronte digitali non cambiano, nemmeno con l’età, salvo che lo strato profondo o «basale» sia distrutto o intenzionalmente modificato mediante chirurgia plastica. Esistono tre modelli principali di impronte digitali, denominati arco, cappio e spirale. La forma, le dimensioni, il numero e la disposizione di piccoli dettagli in questi modelli rendono ciascuna impronta unica. V., a tal riguardo, https://www.interpol.int/How-we-work/Forensics/Fingerprints.
61 V., a tal riguardo, considerando 28 del regolamento 2019/1157, richiamato alla nota 27 delle presenti conclusioni.
62 Come ho già indicato nelle presenti conclusioni, il diritto dell’Unione stabilisce già, a fini analoghi, norme sulle caratteristiche di sicurezza e sugli elementi biometrici dei passaporti e dei documenti di viaggio rilasciati dagli Stati membri (regolamento n. 2252/2004) e su un modello uniforme per i visti [regolamento n. 1683/95 (GU 1995, L 164, pag. 1)] e per i permessi di soggiorno rilasciati a cittadini di paesi terzi (regolamento n. 1030/2002), che si fondano su un approccio coerente del legislatore dell’Unione.
63 Sentenza Schwarz (punti 43 e 44), in cui la Corte ha altresì dichiarato, in sostanza, che, se è pur vero che l’applicazione del metodo di verifica dell’identità mediante le impronte digitali rischia di non condurre, eccezionalmente, a risultati ottimali, una discordanza rispetto ai dati biometrici del titolare, di regola, attirerà l’attenzione delle autorità competenti sulla persona interessata e comporterà nei suoi confronti, un controllo approfondito per dimostrare la sua identità in modo definitivo.
64 V. articolo 5 del regolamento 2019/1157, il quale stabilisce che le carte d’identità non conformi ai requisiti di cui all’articolo 3 di tale regolamento cessano di essere valide alla loro scadenza o entro il 3 agosto 2031, se quest’ultima data è anteriore.
65 V. valutazione d’impatto della Commissione, punti 5.2 e 6.1 e tabella 6.1, che fanno riferimento all’«opzione ID 1». Questa opzione prevede un formato che presenta alcune caratteristiche comuni, quali le informazioni sulla carta e gli elementi di sicurezza minimi, tenendo conto dell’ICAO Doc 9303, nonché un chip contenente obbligatoriamente un’immagine del volto.
66 Sentenza Schwarz (punto 48).
67 Ibidem (punto 49).
68 Ad esempio utilizzando i sistemi EasyPass. V., a tal riguardo, regolamento (UE) 2017/2225 del Parlamento europeo e del Consiglio, del 30 novembre 2017, che modifica il regolamento (UE) 2016/399 per quanto riguarda l’uso del sistema di ingressi/uscite (GU 2017, L 327, pag. 1).
69 V. valutazione d’impatto della Commissione, punto 7.1 (pag. 49), in cui, dopo aver confrontato le diverse alternative in termini di efficacia, essa conclude che la combinazione di un’immagine del volto e di due impronte digitali è più efficace per conseguire gli obiettivi specifici di riduzione della frode documentale e di miglioramento dell’autenticazione dei documenti. V. anche punto 7.4 (pag. 56) del medesimo documento, in cui si afferma che, al fine di migliorare l’accettazione delle carte d’identità nazionali e, pertanto, di facilitare l’obiettivo della libera circolazione, la combinazione di un’immagine del volto e di due impronte digitali è preferita al requisito della sola immagine del volto.
70 Maltoni, D., e a., Handbook of fingerprint recognition, Springer, 2a edizione, Springer, 2009, pag. 53.
71 Di converso, gli Stati membri possiedono strumenti standardizzati per l’interoperabilità degli identificatori biometrici di cui al regolamento 2019/1157. V., a tal riguardo, articolo 3, paragrafo 6, di tale regolamento e decisione della Commissione C(2018) 7767.
72 V. considerando 23 del regolamento 2019/1157.
73 «Machine readable travel documents», DOC 9303, 8a edizione, ICAO, 2021 (parte 9, capo 4).
74 Persino il rilevamento di 10 impronte digitali può essere considerato proporzionato. V., in tal senso, sentenza del 3 ottobre 2019, A e a. (C-70/18, EU:C:2019:823, punto 58).
75 V. sentenza Schwarz (punto 55). V. anche Corte EDU, S e Marper c. Regno Unito (GC) nn. 30562/04 e 30566/04, § 103, ECHR 2008-V.
76 Sentenza dell’8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2014:238, punti 57 e ss.).
77 V. anche considerando 22 del regolamento 2019/1157.
78 Adottata dall’Assemblea generale delle Nazioni Unite nella sua risoluzione 44/25 del 20 novembre 1989; essa è entrata in vigore il 2 settembre 1990
79 V., in particolare, l’allegato III della decisione C(2018) 7767 della Commissione, punto 5, sotto il titolo «Sicurezza dei dati e questioni di integrità».
80 V. articolo 11, paragrafo 7, del regolamento 2019/1157, il quale impone altresì agli Stati membri comunicare annualmente alla Commissione un elenco delle autorità competenti che hanno accesso ai dati biometrici. La Commissione è tenuta a pubblicare on line una raccolta di siffatti elenchi nazionali.
81 V. considerando 19 del regolamento 2019/1157. V. anche articolo 4, paragrafo 3, del regolamento n. 2252/2004, che prevede lo stesso uso limitato per i passaporti e per i documenti di viaggio.
82 Come spiegato dalla Commissione durante l’udienza, dalla decisione C(2018) 7767 della Commissione risulta che, ai fini dell’autenticazione del terminale, lo strumento di lettura invia la sua autorizzazione di lettura sotto forma di vari certificati digitali al chip della carta d’identità. Il chip contenuto nella carta d’identità può quindi verificare l’autenticità del certificato del terminale. Ciò significa, in pratica, che soltanto le autorità competenti elencate all’articolo 11, paragrafo 7, del regolamento 2019/1157, e nessun’altra autorità o persona, possono accedere ai dati biometrici.
83 V. il fascicolo interistituzionale del 22 febbraio 2019, in cui si afferma che «il testo di compromesso mantiene tutti gli elementi essenziali del mandato negoziale del Consiglio, segnatamente: (…) la capacità degli Stati membri di istituire e mantenere banche dati biometriche in conformità con la normativa nazionale», disponibile all’indirizzo https://data.consilium.europa.eu/doc/document/ST-6412-2019-INIT/en/pdf.
84 V. anche, a tal riguardo, la valutazione d’impatto della Commissione, punto 6 (pagg. 33 e 35), secondo cui «nulla in queste iniziative fornirà una base giuridica per la memorizzazione a livello centralizzato dei dati acquisiti (…) o per l’utilizzo di tali dati a fini diversi dalla verifica dell’autenticità del documento e dell’identità del titolare (…)» e «ogni atto di attuazione dovrà essere compatibile con il diritto dell’Unione e con i diritti fondamentali da esso tutelati».
85 V. supra, nota 11.
86 V., in tal senso, sentenze del 28 giugno 2012, Commissione/Éditions Odile Jacob (C-404/10 P, EU:C:2012:393, punto 110), e del 29 giugno 2010, Commissione/Bavarian Lager (C-28/08 P, EU:C:2010:378, punto 56). V. anche conclusioni dell’avvocato generale Pitruzzella nelle cause riunite Luxembourg Business Registers (C-37/20 e C-601/20, EU:C:2022:43, paragrafo 66).