SENTENCIA DEL TRIBUNAL DE JUSTICIA DE LA COMUNIDAD EUROPEA DE 20 DE MAYO DE 2006.
SENTENZA DELLA CORTE (Grande Sezione)
Nelle cause riunite C-317/04 e C-318/04,
aventi ad oggetto i ricorsi di annullamento, ai sensi dell'art. 230 CE, proposti il 27 luglio 2004,
Parlamento europeo, rappresentato dai sigg. R. Passos, N. Lorenz, H. Duintjer Tebbens e A. Caiola, in qualità di agenti, con domicilio eletto in Lussemburgo,
ricorrente,
sostenuto da:
Garante europeo della protezione dei dati (GEPD), rappresentato dal sig. H. Hijmans e dalla sig.ra V. Perez Asinari, in qualità di agenti,
interveniente,
contro
Consiglio dell'Unione europea, rappresentato dalla sig.ra M. C. Giorgi Fort e dal sig. M. Bishop, in qualità di agenti,
convenuto nella causa C-317/04,
sostenuto da:
Commissione delle Comunità europee, rappresentata dai sigg. P. J. Kuijper, A. van Solinge e C. Docksey, in qualità di agenti, con domicilio eletto in Lussemburgo,
Regno Unito di Gran Bretagna e Irlanda del Nord, rappresentato dal sig. M. Bethell e dalle sig.re C. White e T. Harris, in qualità di agenti, assistiti dal sig. T. Ward, barrister, con domicilio eletto in Lussemburgo,
intervenienti,
e contro
Commissione delle Comunità europee, rappresentata dai sigg. P. J. Kuijper, A. van Solinge, C. Docksey e F. Benyon, in qualità di agenti, con domicilio eletto in Lussemburgo,
convenuta nella causa C-318/04,
sostenuta da:
Regno Unito di Gran Bretagna e Irlanda del Nord, rappresentato dal sig. M. Bethell e dalle sig.re C. White e T. Harris, in qualità di agenti, assistiti dal sig. T. Ward, barrister, con domicilio eletto in Lussemburgo,
interveniente,
LA CORTE (Grande Sezione),
composta dal sig. V. Skouris, presidente, dai sigg. P. Jann, C. W. A. Timmermans, A. Rosas e J. Malenovský, presidenti di Sezione, dalla sig.ra N. Colneric (relatore), dai sigg. S. von Bahr e J. N. Cunha Rodrigues, dalla sig.ra R. Silva de Lapuerta, dai sigg. G. Arestis, A. Borg Barthet, M. Ilešic e J. Klucka, giudici,
avvocato generale: sig. P. Léger,
cancelliere: sig.ra M. Ferreira, amministratore principale,
vista la fase scritta del procedimento e in seguito alla trattazione orale del 18 ottobre 2005,
sentite le conclusioni dell'avvocato generale, presentate all'udienza del 22 novembre 2005,
ha pronunciato la seguente
Sentenza
1 Con il suo ricorso nella causa C-317/04, il Parlamento europeo chiede l'annullamento della decisione del Consiglio 17 maggio 2004, 2004/496/CE, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d'America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all'ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti (GU L 183, pag. 83 e rettifica GU 2005, L 255, pag. 168).
2 Con il suo ricorso nella causa C-318/04, il Parlamento chiede l'annullamento della decisione della Commissione 14 maggio 2004, 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti United States' Bureau of Customs and Border Protection (GU L 235, pag. 11; in prosieguo: la “decisione sull’adeguatezza”).
Contesto normativo
3 L'art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, sottoscritta a Roma il 4 novembre 1950 (in prosieguo: la “CEDU”), così dispone:
“1 Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.
2 Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”.
4 L'art. 95, n. 1, seconda frase, CE è del seguente tenore:
“Il Consiglio, deliberando in conformità della procedura di cui all'articolo 251 e previa consultazione del Comitato economico e sociale, adotta le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l'instaurazione ed il funzionamento del mercato interno”.
5 La direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31), come modificata dal regolamento (CE) del Parlamento europeo e del Consiglio 29 settembre 2003, n. 1882, recante adeguamento alla decisione 1999/468/CE del Consiglio delle disposizioni relative ai comitati che assistono la Commissione nell’esercizio delle sue competenze di esecuzione previste negli atti soggetti alla procedura prevista all’articolo 251 del trattato CE (GU L 284, pag. 1; in prosieguo: la “direttiva”), è stata adottata sul fondamento dell'art. 100 A del Trattato CE (divenuto, in seguito a modifica, art. 95 CE).
6 Al suo undicesimo ‘considerando’ si afferma che “i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti dalla presente direttiva precisano ed ampliano quelli enunciati dalla convenzione del 28 gennaio 1981 del Consiglio d'Europa sulla protezione delle persone con riferimento al trattamento automatizzato dei dati di carattere personale”.
7 Ai sensi del tredicesimo ‘considerando’ della direttiva:
“[L]e attività previste dai titoli V e VI del trattato sull'Unione europea attinenti alla pubblica sicurezza, alla difesa, alla sicurezza dello Stato o alle attività dello Stato in materia di diritto penale non rientrano nel campo d'applicazione del diritto comunitario, fatti salvi gli obblighi che incombono agli Stati membri a norma dell'articolo 56, paragrafo 2, dell'articolo 57 e 100 A del trattato (…)”.
8 Il cinquantasettesimo 'considerando' della direttiva enuncia che:
“(…) deve essere vietato il trasferimento di dati personali verso un paese terzo che non offre un livello di protezione adeguato”.
9 L'art. 2 della direttiva prevede quanto segue:
“Ai fini della presente direttiva si intende per:
a) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;
b) “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione;
(…)”.
10 Ai sensi dell'art. 3 della direttiva:
“Campo d'applicazione
1. Le disposizioni della presente direttiva si applicano al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.
2. Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali[:]
– effettuati per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull'Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
(…)”.
11 L'art. 6, n. 1, della direttiva enuncia:
“Gli Stati membri dispongono che i dati personali devono essere:
(…)
b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;
(…)
e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati (…)”.
12 L'art. 7 della direttiva così dispone:
“Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:
(…)
c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure
(…)
e) è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati, oppure
f) è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1″.
13 Ai sensi dell'art. 8, n. 5, primo comma, della direttiva:
“I trattamenti riguardanti i dati relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere effettuati solo sotto controllo dell'autorità pubblica, o se vengono fornite opportune garanzie specifiche, sulla base del diritto nazionale, fatte salve le deroghe che possono essere fissate dallo Stato membro in base ad una disposizione nazionale che preveda garanzie appropriate e specifiche. Tuttavia un registro completo delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica”.
14 L'art. 12 della direttiva così dispone:
“Gli Stati membri garantiscono a qualsiasi persona interessata il diritto di ottenere dal responsabile del trattamento:
a) liberamente e senza costrizione, ad intervalli ragionevoli e senza ritardi o spese eccessivi:
– la conferma dell'esistenza o meno di trattamenti di dati che la riguardano, e l'informazione almeno sulle finalità dei trattamenti, sulle categorie di dati trattati, sui destinatari o sulle categorie di destinatari cui sono comunicati i dati;
– la comunicazione in forma intelligibile dei dati che sono oggetto dei trattamenti, nonché di tutte le informazioni disponibili sull'origine dei dati;
– la conoscenza della logica applicata nei trattamenti automatizzati dei dati che lo interessano, per lo meno nel caso delle decisioni automatizzate di cui all'articolo 15, paragrafo 1;
b) a seconda dei casi, la rettifica, la cancellazione o il congelamento dei dati il cui trattamento non è conforme alle disposizioni della presente direttiva, in particolare a causa del carattere incompleto o inesatto dei dati;
c) la notificazione ai terzi, ai quali sono stati comunicati i dati, di qualsiasi rettifica, cancellazione o congelamento, effettuati conformemente alla lettera b), se non si dimostra che è impossibile o implica uno sforzo sproporzionato”.
15 L'art. 13, n. 1, della direttiva è del seguente tenore:
“Gli Stati membri possono adottare disposizioni legislative intese a limitare la portata degli obblighi e dei diritti previsti dalle disposizioni dell'articolo 6, paragrafo 1, dell'articolo 10, dell'articolo 11, paragrafo 1 e degli articoli 12 e 21, qualora tale restrizione costituisca una misura necessaria alla salvaguardia:
a) della sicurezza dello Stato;
b) della difesa;
c) della pubblica sicurezza;
d) della prevenzione, della ricerca, dell'accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate;
e) di un rilevante interesse economico o finanziario di uno Stato membro o dell'Unione europea, anche in materia monetaria, di bilancio e tributaria;
f) di un compito di controllo, ispezione o disciplina connesso, anche occasionalmente, con l'esercizio dei pubblici poteri nei casi di cui alle lettere c), d) ed e);
g) della protezione della persona interessata o dei diritti e delle libertà altrui”.
16 L'art. 22 della direttiva prevede quanto segue:
“Ricorsi
Fatti salvi ricorsi amministrativi che possono essere promossi, segnatamente dinanzi all'autorità di controllo di cui all'articolo 28, prima che sia adita l'autorità giudiziaria, gli Stati membri stabiliscono che chiunque possa disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantitigli dalle disposizioni nazionali appicabili al trattamento in questione”.
17 Gli artt. 25 e 26 della direttiva formano il Capo IV, relativo al trasferimento di dati personali verso paesi terzi.
18 L'art. 25 della direttiva, intitolato “Principi”, prevede quanto segue:
“1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell'articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all'articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.
19 Ai sensi dell'art. 26, n. 1, della direttiva, intitolato “Deroghe”:
“In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi dell'articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure
f) il trasferimento avvenga a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, sia predisposto per l'informazione del pubblico e sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione”.
20 Sulla base della direttiva, in particolare dell'art. 25, n. 6, la Commissione delle Comunità europee ha adottato la decisione sull'adeguatezza.
21 L'undicesimo 'considerando' di tale decisione così recita:
“Il trattamento da parte del CBP [United States Bureau of Customs and Border Protection (Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti)] dei dati personali contenuti nei PNR [“Passenger Name Records” (schede nominative dei passeggeri)] dei passeggeri aerei che gli sono inviati è disciplinato dalle disposizioni che figurano nella “Dichiarazione d'impegno del ministero della Sicurezza interna (Department for Homeland Security) – Ufficio delle dogane e della protezione delle frontiere (CBP) dell'11 maggio 2004” (nel prosieguo “la dichiarazione d'impegno”) e dalla legislazione americana, alle condizioni previste dalla dichiarazione d'impegno”.
22 Ai sensi del quindicesimo 'considerando' della stessa decisione, i dati PNR devono essere utilizzati al solo scopo di prevenire e di combattere il terrorismo e i reati collegati al terrorismo, altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale, e la fuga in caso di mandato d'arresto emesso o di pena detentiva comminata per quei reati.
23 Ai sensi degli artt. 1-4 della decisione sull'adeguatezza:
“Articolo 1
Ai fini dell'articolo 25, paragrafo 2, della direttiva 95/46/CE, l'Ufficio statunitense delle dogane e della protezione delle frontiere (CBP) è considerato in grado di garantire un livello di protezione adeguato dei dati delle schede nominative dei passeggeri (PNR) trasmessi dalla Comunità per quanto riguarda i voli con destinazione o partenza dagli Stati Uniti, conformemente alla dichiarazione d'impegno che figura nell'allegato.
Articolo 2
La presente decisione riguarda il livello di protezione adeguato garantito dal CBP al fine di rispondere ai requisiti posti dall'articolo 25, paragrafo 1, della direttiva 95/46/CE e non incide sulle condizioni o restrizioni imposte in attuazione di altre disposizioni della direttiva e che si applicano al trattamento di dati personali negli Stati membri.
Articolo 3
1. Fatti salvi i poteri che consentono loro di adottare misure volte a garantire il rispetto delle disposizioni nazionali adottate conformemente alle disposizioni diverse dall'articolo 25 della direttiva 95/46/CE, le autorità competenti degli Stati membri possono esercitare i poteri di cui dispongono attualmente per sospendere la trasmissione di dati al CBP al fine di proteggere le persone fisiche per quanto riguarda il trattamento dei loro dati personali in uno dei casi seguenti:
a) quando un'autorità degli Stati Uniti competente ha accertato che il CBP non rispetta le norme in materia di protezione;
b) quando è probabile che le norme di protezione stabilite nell'allegato I non siano rispettate; quando vi sono motivi ragionevoli di credere che il CBP non adotta o non adotterà, in tempi opportuni, le misure che s'impongono per regolare il caso in questione; quando il proseguimento della trasmissione di dati comporterebbe un rischio imminente di grave pregiudizio per le persone interessate e le autorità competenti dello Stato membro si sono ragionevolmente sforzate, in tali circostanze, di avvertire il CBP e di dargli la possibilità di rispondere.
2. La sospensione della trasmissione cessa dal momento in cui è garantita l'applicazione delle norme di protezione e l'autorità competente interessata negli Stati membri ne è avvertita.
Articolo 4
1. Gli Stati membri informano immediatamente la Commissione in merito alle misure adottate in forza dell'articolo 3.
2. Gli Stati membri e la Commissione si informano reciprocamente in merito a qualsiasi modificazione delle norme di protezione e ai casi nei quali le misure adottate dalle autorità incaricate di assicurare il rispetto da parte del CBP delle norme di protezione stabilite nell'allegato I non siano sufficienti a garantire tale rispetto.
3. Se le informazioni raccolte in virtù dell'articolo 3 e dei paragrafi 1 e 2 del presente articolo dimostrano che principi fondamentali necessari per assicurare un livello di protezione adeguato delle persone fisiche non sono più rispettati, o che un qualunque organismo incaricato di assicurare il rispetto da parte del CBP delle norme di protezione stabilite nell'allegato non svolge efficacemente la sua missione, il CBP ne sarà informato e, se necessario, si applica la procedura di cui all'articolo 31, paragrafo 2, della direttiva 95/46/CE, al fine di revocare o sospendere la presente decisione”.
24 La “[d]ichiarazione d'impegno dell'Ufficio delle dogane e della protezione delle frontiere del ministero della Sicurezza interna”, allegata alla decisione sull'adeguatezza, enuncia quanto segue:
“A sostegno del progetto della Commissione europea per l'esercizio dei poteri che le sono conferiti dall'articolo 25, paragrafo 6, della direttiva 95/46/CE (…) e l'adozione di una decisione che riconosca che [il CBP] del ministero della Sicurezza interna (Department of Homeland Security) fornisce una protezione adeguata ai fini delle trasmissioni da parte dei vettori aerei dei dati [PNR], che possono rientrare nell'ambito d'applicazione della direttiva, il CBP assume i seguenti impegni (…)”.
25 Tali impegni comprendono 48 punti, raggruppati sotto i titoli seguenti: “Fondamento giuridico del diritto di ottenere il PNR”; “Uso dei dati del PNR da parte del CBP”; “Requisiti relativi ai dati”; “Trattamento dei dati “sensibili””; “Metodo di accesso ai dati del PNR”; “Conservazione dei dati del PNR”; “Sicurezza del sistema informatico del CBP”; “Trattamento e tutela dei dati del PNR da parte del CBP”; “Trasmissione dei dati del PNR ad altre amministrazioni pubbliche”; “Informazione, accesso ai dati e mezzi di ricorso per le persone interessate dal PNR”; “Rispetto delle regole”; “Reciprocità”; “Revisione e durata di validità della dichiarazione d' impegno”, e “Non sono creati diritti privati o precedenti”.
26 Tra i detti impegni figurano in particolare i seguenti:
“1) In virtù della legge [titolo 49, sezione 44909(c)(3), dell'USC – United States Code – Codice degli Stati Uniti] e dei regolamenti di attuazione (provvisori) (titolo 19, sezione 122.49b, del codice dei regolamenti federali), ciascun vettore aereo che assicura il trasporto aereo internazionale di passeggeri da e per gli Stati Uniti deve fornire al CBP un accesso elettronico ai dati del PNR nella misura in cui essi sono raccolti e conservati nei sistemi automatici di prenotazione/controllo delle partenze (nel prosieguo i “sistemi di prenotazione”) dei vettori aerei.
(…)
3) I dati del PNR sono utilizzati dal CBP al solo fine di prevenire e combattere: 1) il terrorismo e i crimini connessi; 2) altri reati gravi, compresa la criminalità organizzata transnazionale; e 3) la fuga dall'arresto o da pena detentiva per i suddetti crimini. L'uso dei dati del PNR a tali scopi consente al CBP di concentrare le proprie risorse su casi di elevato rischio, facilitando e salvaguardando i viaggi bona fide.
4) I dati richiesti dal CBP sono elencati nell'allegato A (…).
(…)
27) Nell'ambito di ogni ricorso amministrativo o giudiziario cui dia adito una richiesta, presentata in forza della legge sulla libertà di informazione, di dati del PNR raccolti dai vettori aerei, il CBP sosterrà che tali archivi non sono soggetti alla divulgazione prevista dalla legge sulla libertà di informazione.
(…)
29) Il CBP, nell'esercizio del suo potere discrezionale, trasmetterà i dati del PNR ad altre autorità governative, comprese le autorità degli altri paesi incaricate di far rispettare la legge o della lotta contro il terrorismo, previo esame del caso singolo, a fini di prevenzione e lotta contro i reati di cui al punto 3. Le autorità cui il CBP può trasmettere tali informazioni saranno in prosieguo denominate “autorità designate”.
30) Il CBP esercita con prudenza il proprio potere discrezionale di trasmettere dati del PNR ai fini di cui al punto 3. Innanzitutto, esso determinerà se il motivo per la divulgazione dei dati a un'altra autorità designata sia conforme alle finalità indicate (cfr. punto 29). In caso affermativo, il CBP determinerà se tale autorità designata abbia il compito di prevenire la violazione di leggi o regolamenti connessi con tali finalità, di condurre indagini o esperire azioni giudiziarie a tal riguardo, o di attuare o far rispettare dette leggi o regolamenti, laddove il CBP venga a conoscenza di una violazione, concreta o potenziale, della legge. La fondatezza della divulgazione dovrà essere esaminata alla luce di tutte le circostanze presentate.
(…)
35) Nessuna disposizione della presente dichiarazione d'impegno può impedire l'uso o la divulgazione di dati del PNR nell'ambito di un procedimento penale o negli altri casi previsti dalla legge. Il CBP informerà la Commissione in ordine all'adozione, da parte delle autorità americane, delle leggi che incidono sulle dichiarazioni contenute nella presente dichiarazione d'impegno.
(…)
46) La presente dichiarazione d'impegno si applica per un periodo di tre anni e sei mesi a decorrere dalla data di entrata in vigore di un accordo tra gli Stati Uniti e la Comunità europea che autorizzi il trattamento dei dati del PNR da parte dei vettori aerei ai fini del trasferimento di tali dati al CBP, in conformità con la direttiva (…).
47) La presente dichiarazione d'impegno non crea o conferisce alcun diritto o beneficio a persone fisiche o giuridiche, private o pubbliche.
(…)”.
27 L’allegato “A” della dichiarazione d'impegno contiene i “[d]ati del PNR” richiesti dal CBP ai vettori aerei. Fanno parte di tali dati, in particolare, il “[c]odice del documento PNR”, la data di prenotazione, il nome, l’indirizzo, le modalità di pagamento, i recapiti telefonici, l’agenzia viaggi, la “fase di viaggio” del passeggero (“travel status of passenger”), l’indirizzo di posta elettronica, le osservazioni generali, il numero del posto, l’informazione sulle precedenti assenze all'imbarco e le “informazioni APIS” eventualmente assunte.
28 Il Consiglio ha adottato la decisione 2004/496 in particolare sul fondamento dell’art. 95 CE, in combinato disposto con l'art. 300, n. 2, primo comma, prima frase, CE.
29 Ai sensi dei tre 'considerando' di tale decisione:
“(1) Il 23 febbraio 2004 il Consiglio ha autorizzato la Commissione a negoziare, in nome della Comunità, un accordo con gli Stati Uniti d'America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all'ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti.
(2) Il Parlamento europeo non ha espresso il suo parere nel termine fissato dal Consiglio, ai sensi dell'articolo 300, paragrafo 3, primo comma del trattato, dato l'urgente bisogno di porre rimedio alla situazione di incertezza in cui si trovano le compagnie aeree ed i passeggeri, nonché di proteggere gli interessi finanziari degli interessati.
(3) È opportuno approvare il presente accordo”.
30 L'art. 1 della decisione 2004/496 prevede quanto segue:
“L'accordo tra la Comunità europea e gli Stati Uniti d'America sul trattamento e trasferimento dei dati di identificazione delle pratiche da parte dei vettori aerei all'ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti è approvato in nome della Comunità.
Il testo dell'accordo è accluso alla presente decisione”.
31 Il detto accordo (in prosieguo: l’”accordo”) recita come segue:
“La Comunità europea e gli Stati Uniti d'America,
Riconoscendo l'importanza di rispettare i diritti e le libertà fondamentali, in particolare il diritto alla vita privata, e l'importanza di rispettare tali valori nella prevenzione e nella lotta contro il terrorismo e i reati ad esso connessi, nonché altri reati gravi di natura transnazionale, tra cui la criminalità organizzata;
Visti le leggi e i regolamenti statunitensi che impongono a ciascun vettore aereo che assicura il trasporto di passeggeri da e per gli Stati Uniti nello spazio aereo estero di fornire [al CBP] del dipartimento per la sicurezza interna (Department of Homeland Security, in seguito denominato “DHS”), un accesso elettronico ai dati di identificazione [PNR] nella misura in cui questi sono raccolti e conservati nei sistemi automatici di prenotazione/controllo dei vettori aerei;
Vista la direttiva 95/46/CE (…), in particolare l'articolo 7, lettera c);
Viste le dichiarazioni di impegno del CBP dell'11 maggio 2004, che saranno pubblicate nel registro federale (in seguito denominate “le dichiarazioni di impegno”);
Vista la decisione 2004/535/CE della Commissione adottata il 14 maggio 2004, ai sensi dell'articolo 25, paragrafo 6 della direttiva 95/46/CE, con cui si ritiene che il CBP, conformemente alle dichiarazioni di impegno allegate, assicuri un livello di protezione adeguato dei dati PNR trasferiti dalla Comunità europea (in seguito denominata “Comunità”) in relazione ai voli da o per gli Stati Uniti (in seguito denominata la decisione);
Constatando che i vettori aerei dotati di sistemi di prenotazione/controllo situati nel territorio degli Stati membri della Comunità europea dovrebbero provvedere a trasmettere i dati PNR al CBP non appena ciò sia tecnicamente possibile, ma che, fino a quel momento, dovrebbe essere consentito alle autorità statunitensi di accedere direttamente a tali dati, ai sensi delle disposizioni del presente accordo;
(…)
Hanno convenuto quanto segue:
1) Il CBP può accedere elettronicamente ai dati PNR provenienti dai sistemi di prenotazione/controllo (“sistemi di prenotazione”) dei vettori aerei situati nel territorio degli Stati membri della Comunità europea, in assoluta conformità della decisione, per tutto il periodo in cui la decisione è applicabile e solo finché non sia in vigore un sistema soddisfacente che permetta la trasmissione di tali dati da parte dei vettori aerei.
[La versione inglese recita come segue: “CBP may electronically access the PNR data from air carriers reservation/departure control systems (‘reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers”.]2) Ciascun vettore aereo che assicura il trasporto di passeggeri da o per gli Stati Uniti nello spazio aereo estero tratta i dati PNR contenuti nei suoi sistemi automatizzati di prenotazione come richiesto dal CBP ai sensi della normativa statunitense, in assoluta conformità della decisione e per tutto il periodo in cui la decisione è applicabile.
3) Il CBP prende nota della decisione e attesta che sta attuando le dichiarazioni di impegno allegate a detta decisione.
4) Il CBP tratta i dati PNR ricevuti e i titolari dei dati interessati da tale trattamento in conformità delle leggi e degli obblighi costituzionali statunitensi applicabili, senza discriminazioni illegittime, in particolare in base alla nazionalità e al paese di residenza.
(…)
7) Il presente accordo entra in vigore all'atto della sua firma. Ciascuna parte può denunciare il presente accordo in qualsiasi momento, mediante notifica per via diplomatica. In tal caso, l'accordo cessa di essere in vigore novanta (90) giorni dopo la data di tale notifica. Il presente accordo può essere modificato in ogni momento mediante consenso scritto di entrambe le parti.
8) Il presente accordo non intende derogare o apportare modifiche alla normativa delle parti; esso non crea né conferisce alcun diritto o beneficio ad altre persone o enti, pubblici o privati”.
32 Secondo l'informazione del Consiglio relativa alla sua data di entrata in vigore (GU 2004, C 158, pag. 1), l’accordo, firmato a Washington il 28 maggio 2004 da un rappresentante della presidenza in esercizio del Consiglio e dal Segretario del Dipartimento per la sicurezza interna degli Stati Uniti, è entrato in vigore, in conformità del suo punto 7, il giorno della sua firma.
Fatti all'origine della controversia
33 A seguito degli attacchi terroristici dell'11 settembre 2001, nel novembre dello stesso anno gli Stati Uniti hanno adottato una normativa che disponeva che i vettori aerei che assicuravano collegamenti con destinazione o partenza nel territorio degli Stati Uniti ovvero traversanti tale territorio fossero tenuti a fornire alle autorità doganali degli Stati Uniti un accesso elettronico ai dati contenuti nel loro sistema automatico di prenotazione e di controllo delle partenze, denominati “Passenger Name Records” (in prosieguo: i “dati PNR”). Pur riconoscendo la legittimità degli interessi di sicurezza in gioco, la Commissione, sin dal giugno 2002, ha informato le autorità statunitensi che tali disposizioni rischiavano di entrare in contrasto con la legislazione comunitaria e con quella degli Stati membri in materia di tutela dei dati e con talune disposizioni del regolamento (CEE) del Consiglio 24 luglio 1989, n. 2299, relativo ad un codice di comportamento in materia di sistemi telematici di prenotazione (GU L 220, pag. 1), come modificato dal regolamento (CE) del Consiglio 8 febbraio 1999, n. 323 (GU L 40, pag. 1). Le autorità statunitensi hanno rinviato l’entrata in vigore delle nuove disposizioni, rifiutandosi però, in definitiva, di rinunciare ad infliggere sanzioni alle compagnie aeree che non si fossero conformate alla normativa sull'accesso elettronico ai dati PNR dopo il 5 marzo 2003. Da allora, numerose grandi compagnie aeree dell'Unione europea hanno fornito alle dette autorità un accesso ai propri dati PNr.
34 La Commissione ha avviato con le autorità statunitensi negoziati sfociati in un documento contenente determinati impegni (“undertakings”) assunti dal CBP, in vista dell’adozione da parte della Commissione, sulla base dell’art. 25, n. 6, della direttiva, di una decisione sull’adeguatezza.
35 Il 13 giugno 2003 il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall'art. 29 della direttiva, ha pronunciato un parere in cui esprimeva dubbi circa il livello di tutela dei dati garantito dai detti impegni riguardo alle forme di trattamento dei dati previste. Tali dubbi sono stati da esso reiterati in un parere del 29 gennaio 2004.
36 Il 1° marzo 2004 la Commissione ha sottoposto al Parlamento il progetto di decisione sull’adeguatezza, in virtù dell'art. 25, n. 6, della direttiva, accompagnato dal progetto di impegno del CBP.
37 Il 17 marzo 2004 la Commissione ha trasmesso al Parlamento, nell’ottica della consultazione di tale organo ai sensi dell’art. 300, n. 3, primo comma, CE, una proposta di decisione del Consiglio avente ad oggetto la conclusione di un accordo con gli Stati Uniti. Con lettera datata 25 marzo 2004 il Consiglio, riferendosi alla procedura d’urgenza, ha chiesto al Parlamento di esprimere un parere su tale proposta entro il 22 aprile 2004. In tale lettera il Consiglio ha sottolineato quanto segue: “[l]a lotta contro il terrorismo, che giustifica le misure proposte, costituisce una priorità fondamentale dell’Unione europea, [attualmente] i vettori aerei e i passeggeri si trovano in una situazione di incertezza cui è urgente porre rimedio [e,] inoltre, [è] essenziale tutelare gli interessi economici delle parti interessate”.
38 Il 31 marzo 2004, in attuazione dell’art. 8 della decisione del Consiglio 28 giugno 1999, 1999/468/CE, recante modalità per l’esercizio delle competenze di esecuzione conferite alla Commissione (GU L 184, pag. 23), il Parlamento ha adottato una risoluzione in cui esprimeva un certo numero di riserve di carattere giuridico sulla proposta presentatagli. In tale risoluzione ha considerato, in particolare, che il progetto di decisione sull’adeguatezza eccedeva le competenze conferite alla Commissione dall’art. 25 della direttiva 95/46, ha invocato la conclusione di un accordo internazionale appropriato che rispettasse i diritti fondamentali su un certo numero di punti specificati nella risoluzione stessa e ha chiesto alla Commissione di sottoporgli un nuovo progetto di decisione. Il Parlamento si è inoltre riservato di adire la Corte al fine di verificare la legittimità dell’accordo internazionale previsto e, in particolare, la sua compatibilità con la tutela del diritto al rispetto della vita privata.
39 Su richiesta del suo presidente, il 21 aprile 2004 il Parlamento ha approvato una raccomandazione della commissione giuridica e del mercato interno volta ad ottenere, ai sensi dell’art. 300, n. 6, CE, un parere della Corte sulla compatibilità dell'accordo previsto con le disposizioni del Trattato. Tale procedura è stata avviata lo stesso giorno.
40 Il Parlamento ha inoltre deciso in pari data di rinviare a tale commissione il rapporto sulla proposta di decisione del Consiglio, respingendo così implicitamente, in questa fase, la domanda di esame urgente della detta proposta presentata dal Consiglio il 25 marzo.
41 Il seguente 28 aprile il Consiglio, sulla base dell’art. 300, n. 3, primo comma, CE, ha inviato al Parlamento una lettera chiedendogli di emettere entro il 5 maggio 2004 il suo parere sulla proposta di decisione relativa alla conclusione dell'accordo. A giustificazione dell’urgenza di tale richiesta, il Consiglio ha ribadito i motivi indicati nella sua lettera del 25 marzo 2004.
42 Avendo avuto notizia della persistente mancanza di tutte le versioni linguistiche della proposta di decisione del Consiglio, il 4 maggio 2004 il Parlamento ha respinto la domanda di esame urgente della detta proposta che il Consiglio gli aveva presentato il 28 aprile.
43 Il 14 maggio seguente la Commissione ha adottato la decisione sull'adeguatezza, che forma oggetto della causa C-318/04. Il 17 maggio 2004 il Consiglio ha adottato la decisione 2004/496, che forma oggetto della causa C-317/04.
44 Con lettera del 4 giugno 2004, la presidenza in esercizio del Consiglio ha informato il Parlamento che la decisione 2004/496 prendeva in considerazione la lotta contro il terrorismo – prioritaria per l’Unione –, ma anche la necessità di affrontare una situazione di incertezza giuridica per le compagnie aeree, oltre che gli interessi finanziari di queste.
45 Con lettera del 9 luglio 2004 il Parlamento ha informato la Corte del ritiro della sua richiesta di parere registrata con il numero 1/04.
46 Nella causa C-317/04, con ordinanze del presidente della Corte 18 novembre 2004 e 18 gennaio 2005, sono stati ammessi gli interventi della Commissione e del Regno Unito di Gran Bretagna e Irlanda del Nord a sostegno delle conclusioni del Consiglio
47 Nella causa C-318/04, con ordinanza del presidente della Corte 17 dicembre 2004, è stato ammesso l'intervento del Regno Unito a sostegno delle conclusioni della Commissione.
48 Con ordinanze della Corte 17 marzo 2005 è stato ammesso l'intervento del Garante europeo della protezione dei dati a sostegno delle conclusioni del Parlamento nelle dette due cause.
49 In considerazione della connessione tra tali cause, confermata nella fase orale, i procedimenti in esame vanno riuniti ai fini della sentenza a norma dell'art. 43 del regolamento di procedura della Corte.
Sul ricorso nella causa C-318/04
50 Il Parlamento deduce quattro motivi di annullamento, relativi, rispettivamente, ad un eccesso di potere, ad una violazione dei principi essenziali della direttiva, ad una violazione dei diritti fondamentali e ad una violazione del principio di proporzionalità.
Sulla prima parte del primo motivo, relativa ad una violazione dell'art. 3, n. 2, primo trattino, della direttiva
Argomenti delle parti
51 Il Parlamento sostiene che la decisione della Commissione è stata adottata ultra vires, in quanto non sarebbero state rispettare le disposizioni emanate con la direttiva e in violazione, in particolare, dell'art. 3, n. 2, primo trattino, della stessa, relativo all'esclusione delle attività che non rientrano nell'ambito di applicazione del diritto comunitario.
52 Non vi sarebbe dubbio che il trattamento dei dati PNR dopo il trasferimento all'autorità americana di cui alla decisione sull'adeguatezza è, e sarà, effettuato per l'esercizio di attività proprie degli Stati ai sensi del punto 43 della sentenza 6 novembre 2003, causa C-101/01, Lindqvist (Rec. pag. I-12971).
53 La Commissione, sostenuta dal Regno Unito, ritiene che le attività dei vettori aerei rientrino chiaramente nell'ambito di applicazione del diritto comunitario. Afferma che tali operatori privati trattano i dati PNR all'interno della Comunità e ne organizzano il trasferimento verso uno Stato terzo. Si tratterebbe dunque di attività dei privati e non dello Stato membro in cui operano i vettori interessati, o dei suoi pubblici poteri, come definito dalla Corte al punto 43 della citata sentenza Lindqvist. Nel trattamento dei dati PNR i vettori aerei perseguirebbero semplicemente lo scopo di rispettare le prescrizioni del diritto comunitario, compreso l'obbligo iscritto al punto 2 dell’accordo. L'art. 3, n. 2, della direttiva farebbe riferimento alle attività di autorità pubbliche che non rientrano nell'ambito di applicazione del diritto comunitario.
Giudizio della Corte
54 L'art. 3, n. 2, primo trattino, della direttiva esclude dal suo ambito di applicazione i trattamenti di dati personali effettuati per l'esercizio di attività che non rientrano nell'ambito di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del Trattato sull'Unione europea e comunque i trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività dello Stato in materia di diritto penale.
55 La decisione sull'adeguatezza riguarda solamente i dati PNR trasmessi al CBP. Dal sesto 'considerando' di questa decisione emerge che l'obbligo di tale trasmissione si basa su una legge adottata dagli Stati Uniti nel novembre 2001 e su regolamenti di attuazione adottati dal CBP in base a tale legge. Ai sensi del settimo 'considerando' della stessa decisione, la legislazione statunitense in questione riguarda il rafforzamento della sicurezza, nonché le condizioni di ingresso negli Stati Uniti e di uscita dal paese. Ai sensi dell'ottavo 'considerando', la Comunità sostiene pienamente gli Stati Uniti nella loro lotta contro il terrorismo nei limiti imposti dal diritto comunitario. Il quindicesimo 'considerando' della stessa decisione enuncia che i dati PNR devono essere utilizzati al solo scopo di prevenire e di combattere il terrorismo e i reati collegati al terrorismo, altri reati gravi, compresa la criminalità organizzata, che, per natura, rivestono un carattere transnazionale, e la fuga in caso di mandato d'arresto emesso o di pena detentiva comminata per quei reati.
56 Ne risulta che il trasferimento dei dati PNR al CBP costituisce un trattamento avente come oggetto la pubblica sicurezza e le attività dello Stato in materia di diritto penale.
57 Se è giusto considerare che i dati PNR sono inizialmente raccolti dalle compagnie aeree nell'ambito di un’attività che rientra nel diritto comunitario, ossia la vendita di un biglietto aereo che dà diritto ad una prestazione di servizi, il trattamento dei dati che viene preso in considerazione nella decisione sull’adeguatezza, tuttavia, possiede una natura del tutto diversa. Infatti, tale decisione, come già ricordato al punto 55 della presente sentenza, non riguarda un trattamento di dati necessario alla realizzazione di una prestazione di servizi, ma ritenuto necessario per salvaguardare la pubblica sicurezza e a fini repressivi.
58 Al punto 43 della citata sentenza Lindqvist, invocato dalla Commissione nella sua difesa, la Corte ha dichiarato che le attività indicate, a mo' di esempio, nell'art. 3, n. 2, primo trattino, della direttiva sono, in tutti i casi, attività proprie degli Stati o delle autorità statali ed estranee ai settori di attività dei singoli. Tuttavia, non ne discende che, per il fatto che i dati PNR sono stati raccolti da operatori privati a fini commerciali e che sono questi ultimi ad organizzarne il trasferimento ad uno Stato terzo, tale trasferimento non rientri nell'ambito di applicazione della detta norma. Infatti, il trasferimento rientra in un ambito istituito dai poteri pubblici e attinente alla pubblica sicurezza.
59 Dalle precedenti considerazioni risulta che la decisione sull'adeguatezza riguarda un trattamento di dati personali ai sensi dell'art. 3, n. 2, primo trattino, della direttiva. Tale decisione non rientra pertanto nell'ambito di applicazione di quest'ultima.
60 La prima parte del primo motivo, relativa ad una violazione dell'art. 3, n. 2, primo trattino, della direttiva, è quindi fondata.
61 Conseguentemente, senza che sia necessario esaminare le altre parti del primo motivo o gli altri motivi invocati dal Parlamento, si deve annullare la decisione sull'adeguatezza.
Sul ricorso nella causa C-317/04
62 Il Parlamento deduce sei motivi di annullamento, relativi alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione 2004/496 e alla violazione, rispettivamente, dell'art. 300, n. 3, secondo comma, CE, dell'art. 8 della CEDU, del principio di proporzionalità, dell'obbligo di motivazione e del principio di leale cooperazione.
Sul primo motivo, relativo alla scelta erronea dell’art. 95 CE come fondamento giuridico della decisione 2004/496
Argomenti delle parti
63 Il Parlamento sostiene che l’art. 95 CE non costituisce, per la decisione 2004/496, un fondamento giuridico corretto. La decisione, infatti, non avrebbe per oggetto né per contenuto l’instaurazione e il funzionamento del mercato interno contribuendo all'eliminazione di ostacoli alla libera prestazione dei servizi e non conterrebbe disposizioni volte alla realizzazione di tale scopo. Infatti, la sua finalità sarebbe piuttosto quella di legittimare il trattamento di dati personali imposto dalla legislazione statunitense. Del resto, l’art. 95 CE non potrebbe costituire il fondamento della competenza della Comunità a concludere l'accordo, giacché questo riguarda trattamenti di dati esclusi dall'ambito di applicazione della direttiva.
64 Il Consiglio sostiene che la direttiva, validamente adottata sul fondamento dell'art. 100 A del Trattato, all'art. 25 contiene disposizioni che prevedono la possibilità di un trasferimento di dati personali verso uno Stato terzo che garantisca un livello adeguato di protezione, compresa la possibilità di avviare, in caso di necessità, negoziati che conducano alla conclusione di un accordo tra la Comunità e tale paese. L'accordo riguarderebbe la libera circolazione dei dati PNR tra la Comunità e gli Stati Uniti in condizioni che rispettino le libertà e i diritti fondamentali delle persone, in particolare la vita privata. Sarebbe volto a sopprimere qualsiasi distorsione della concorrenza tra le compagnie aeree degli Stati membri e fra queste ultime e le compagnie degli Stati terzi, che possa risultare dalle condizioni imposte dagli Stati Uniti, per ragioni attinenti alla tutela dei diritti e delle libertà degli individui. Le condizioni della concorrenza fra le compagnie degli Stati membri che offrono un servizio di trasporto internazionale di passeggeri verso o dagli Stati Uniti avrebbero potuto essere falsate per il fatto che solo alcune di esse avrebbero accordato alle autorità statunitensi un accesso alle loro banche dati. L'accordo intenderebbe imporre obblighi uniformi a tutte le compagnie interessate.
65 La Commissione sottolinea l'esistenza di un “conflitto di leggi”, nel senso del diritto internazionale pubblico, tra le leggi degli Stati Uniti e la normativa comunitaria oltre che la necessità di conciliarle. Rimprovera al Parlamento, che nega che l’art. 95 CE possa costituire il fondamento normativo della decisione 2004/496, di non aver proposto un fondamento normativo idoneo. Secondo la Commissione, tale articolo costituirebbe il “fondamento normativo naturale” della decisione, in quanto l'accordo riguarderebbe la dimensione esterna della protezione dei dati personali nel momento del loro trasferimento all'interno della Comunità. Gli artt. 25 e 26 della direttiva fonderebbero una competenza esclusiva esterna a favore della Comunità.
66 Inoltre, la Commissione sostiene che il trattamento iniziale di quei dati da parte delle compagnie aeree viene effettuato a fini commerciali. L’uso che ne fanno le autorità statunitensi non li sottrarrebbe all’incidenza della direttiva.
Giudizio della Corte
67 L'art. 95 CE, in combinato disposto con l'art. 25 della direttiva, non è idoneo a fondare la competenza della Comunità a concludere l'accordo.
68 Infatti, l’accordo riguarda lo stesso trasferimento di dati della decisione sull'adeguatezza e quindi trattamenti di dati che, come precedentemente esposto, sono esclusi dall'ambito di applicazione della direttiva.
69 Conseguentemente, la decisione 2004/496 non è stata validamente adottata sul fondamento dell'art. 95 CE.
70 Senza che sia necessario esaminare gli altri motivi invocati dal Parlamento, si deve pertanto annullare la detta decisione.
Sulla limitazione degli effetti della sentenza
71 Dal punto 7 dell’accordo risulta che ciascuna parte può denunciarlo in qualsiasi momento e che esso cessa di essere in vigore 90 giorni dopo la data della notifica della denuncia all’altra parte.
72 Tuttavia, ai sensi dei punti 1 e 2 dell’accordo, il diritto di accesso del CBP ai dati PNR e l’obbligo imposto ai vettori aerei di trattarli come richiesto dal CBP esistono solo finché la decisione sull'adeguatezza è applicabile. Al punto 3 del detto accordo, il CBP ha dichiarato di stare attuando le dichiarazioni di impegno allegate alla detta decisione.
73 Dato che la Comunità non può invocare il proprio diritto per giustificare la mancata esecuzione dell'accordo che resta applicabile per 90 giorni dalla sua denuncia e dato che l'accordo e la decisione sull'adeguatezza sono strettamente collegati, appare giustificato, per ragioni di certezza del diritto e al fine di proteggere le persone interessate, mantenere gli effetti della decisione sull'adeguatezza durante tale periodo. Inoltre, occorre tener conto del tempo necessario per adottare le misure che l'esecuzione della presente sentenza comporta.
74 Gli effetti della decisione sull'adeguatezza devono pertanto essere mantenuti fino al 30 settembre 2006, senza che, tuttavia, tali effetti siano mantenuti oltre la data di estinzione dell’accordo.
Sulle spese
75 Ai sensi dell'art. 69, n. 2, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda. Poiché il Parlamento ha chiesto la condanna del Consiglio e della Commissione, questi ultimi, rimasti soccombenti, devono essere condannati alle spese. Ai sensi del n. 4, primo comma, dello stesso articolo, gli intervenienti nelle presenti cause sopportano le proprie spese.
Per questi motivi, la Corte (Grande Sezione) dichiara e statuisce:
1) Sono annullate la decisione del Consiglio 17 maggio 2004, 2004/496/CE, relativa alla conclusione di un accordo tra la Comunità europea e gli Stati Uniti d'America sul trattamento e trasferimento dei dati di identificazione delle pratiche (Passenger Name Record, PNR) da parte dei vettori aerei all'ufficio doganale e di protezione dei confini del dipartimento per la sicurezza interna degli Stati Uniti, e la decisione della Commissione 14 maggio 2004, 2004/535/CE, relativa al livello di protezione adeguato dei dati personali contenuti nelle schede nominative dei passeggeri aerei trasferiti all'Ufficio delle dogane e della protezione delle frontiere degli Stati Uniti United States' Bureau of Customs and Border Protection.
2) Gli effetti della decisione 2004/535 sono mantenuti fino al 30 settembre 2006, senza che, tuttavia, tali effetti siano mantenuti oltre la data di estinzione dell’accordo.
3) Il Consiglio dell’Unione europea è condannato alle spese nella causa C-317/04.
4) La Commissione delle Comunità europee è condannata alle spese nella causa C-318/04.
5) La Commissione delle Comunità europee sopporterà le proprie spese nella causa C-317/04.
6) Il Regno Unito di Gran Bretagna e Irlanda del Nord e il Garante europeo della protezione dei dati sopporteranno le proprie spese.
Firme