Corte di giustizia dell'Unione Europea
Quinta Sezione
Sentenza 20 novembre 2025
Presidente: Arastey Sahún - Relatore: Regan
«Rinvio pregiudiziale - Protezione delle persone fisiche con riguardo al trattamento dei loro dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e libera circolazione di tali dati - Direttiva (UE) 2016/680 - Articolo 4, paragrafo 1, lettere c) ed e) - Minimizzazione del trattamento dei dati - Limitazione della conservazione dei dati personali - Articolo 10 - Raccolta e conservazione di dati biometrici e genetici - Stretta necessità - Articolo 6, lettera a) - Obbligo di distinguere tra i dati personali di diverse categorie di interessati - Normativa nazionale che prevede la raccolta di dati biometrici e genetici di qualsiasi persona sospettata o accusata di aver commesso un reato doloso - Articolo 5 - Termini adeguati per la cancellazione o per la verifica periodica della necessità della conservazione di tali dati - Assenza di un termine massimo di conservazione - Valutazione della necessità della conservazione di dati biometrici e genetici da parte della polizia sulla base di norme interne - Articolo 8, paragrafo 2 - Liceità del trattamento di tali dati - Nozione di "diritto dello Stato membro" - Possibilità di qualificare la giurisprudenza nazionale come "diritto dello Stato membro"».
Nella causa C‑57/23, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dal Nejvyšší správní soud (Corte amministrativa suprema, Repubblica ceca), con decisione del 26 gennaio 2023, pervenuta in cancelleria il 2 febbraio 2023, nel procedimento JH contro Policejní prezidium.
[...]
1. La presente domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 4, paragrafo 1, lettere c) ed e), dell'articolo 6, dell'articolo 8, paragrafo 2, e dell'articolo 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
2. Tale domanda è stata presentata nell'ambito di una controversia tra JH e il Policejní prezidium (Direzione della polizia, Repubblica ceca) (in prosieguo: la «direzione della polizia ceca») in merito, in particolare, alla raccolta di dati biometrici e genetici relativi a JH nell'ambito di un procedimento penale e alla loro conservazione da parte della polizia ceca.
Contesto normativo
Diritto dell'Unione
3. I considerando 1, 2, 26, 33, 37 e 96 della direttiva 2016/680 così recitano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea [in prosieguo: la "Carta"] e l'articolo 16, paragrafo 1, del [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(2) I principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei loro dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza. (...)
(...)
(26) Qualsiasi trattamento di dati personali dovrebbe essere lecito, corretto e trasparente nei confronti della persona fisica interessata e perseguire unicamente fini specifici previsti dalla legge. Ciò non impedisce di per sé alle autorità incaricate dell'applicazione della legge di svolgere attività quali operazioni di infiltrazione o videosorveglianza. Tali attività possono essere svolte a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, purché siano previste dalla legge e costituiscano una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei legittimi interessi della persona fisica interessata. (...) È opportuno che le persone fisiche siano sensibilizzate rispetto ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei loro dati personali, nonché alle modalità di esercizio dei loro diritti in relazione al trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta. I dati personali dovrebbero essere adeguati e pertinenti alle finalità del trattamento. (...) I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde garantire che i dati non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. Gli Stati membri dovrebbero stabilire garanzie adeguate per i dati personali conservati per periodi più lunghi per finalità di archiviazione nel pubblico interesse o per finalità scientifiche, storiche o statistiche.
(...)
(33) Qualora la presente direttiva faccia riferimento al diritto dello Stato membro, a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale diritto dello Stato membro, base giuridica o misura legislativa dovrebbero essere chiari e precisi, e la loro applicazione prevedibile, per coloro che vi sono sottoposti, come richiesto dalla giurisprudenza della Corte di giustizia e della Corte europea dei diritti dell'uomo. Il diritto dello Stato membro che disciplina il trattamento dei dati personali nell'ambito di applicazione della presente direttiva dovrebbe specificare quanto meno gli obiettivi, i dati personali da trattare, le finalità del trattamento e le procedure per preservare l'integrità e la riservatezza dei dati personali come pure le procedure per la loro distruzione, fornendo in tal modo sufficienti garanzie contro il rischio di abuso e arbitrarietà.
(...)
(37) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, essendo inteso che l'utilizzo dei termini "origine razziale" nella presente direttiva non implica l'accettazione da parte dell'Unione di teorie che tentano di dimostrare l'esistenza di razze umane distinte. Detti dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia soggetto a garanzie adeguate per i diritti e le libertà dell'interessato stabilite per legge e non sia autorizzato in casi consentiti dalla legge; se non già autorizzato per legge, salvo che non sia necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona; o riguardi dati resi manifestamente pubblici dall'interessato. Garanzie adeguate per i diritti e le libertà dell'interessato potrebbero comprendere la possibilità di raccogliere tali dati unicamente in connessione con altri dati relativi alla persona fisica interessata, la possibilità di provvedere adeguatamente alla sicurezza dei dati raccolti, norme più severe riguardo all'accesso ai dati da parte del personale dell'autorità competente e il divieto di trasmissione di tali dati. (...)
(...)
(96) Agli Stati membri dovrebbe essere concesso un periodo di non più di due anni dalla data di entrata in vigore della presente direttiva per recepirla. Il trattamento già in corso a tale data dovrebbe essere reso conforme alla presente direttiva entro un periodo di due anni dall'entrata in vigore della presente direttiva. Tuttavia, qualora tale trattamento sia conforme al diritto dell'Unione applicabile anteriormente alla data di entrata in vigore della presente direttiva, i requisiti della presente direttiva relativi alla consultazione preventiva dell'autorità di controllo non dovrebbero applicarsi ai trattamenti già in corso alla data suddetta, dato che tali requisiti, per loro stessa natura, devono essere soddisfatti prima del trattamento. (...)
(...)».
4. L'articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», al paragrafo 1 così dispone:
«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».
5. L'articolo 2 di detta direttiva, intitolato «Ambito di applicazione», al paragrafo 1 prevede quanto segue:
«La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1».
6. Ai sensi dell'articolo 3 della medesima direttiva, intitolato «Definizioni»:
«Ai fini della presente direttiva si intende per:
1) "dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l'"interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;
2) "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
12) "dati genetici": i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
13) "dati biometrici": i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
(...)».
7. L'articolo 4 della direttiva 2016/680, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1 precisa quanto segue:
«Gli Stati membri dispongono che i dati personali siano:
a) trattati in modo lecito e corretto;
b) raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità;
c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
(...)».
8. L'articolo 5 di tale direttiva, intitolato «Termini per conservazione ed esame», è così formulato:
«Gli Stati membri dispongono che siano fissati adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della conservazione dei dati personali. Misure procedurali garantiscono che tali termini siano rispettati».
9. L'articolo 6 di tale direttiva, intitolato «Distinzione tra diverse categorie di interessati», prevede quanto segue:
«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:
a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;
b) le persone condannate per un reato;
c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato, e
d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b)».
10. L'articolo 8 di detta direttiva, intitolato «Liceità del trattamento», così dispone:
«1. Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di un'autorità competente, per le finalità di cui all'articolo 1, paragrafo 1, e si basa sul diritto dell'Unione o dello Stato membro.
2. Il diritto dello Stato membro che disciplina il trattamento nell'ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento».
11. Ai sensi dell'articolo 10 della direttiva 2016/680, intitolato «Trattamento di categorie particolari di dati personali»:
«Il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all'orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato e soltanto:
a) se autorizzato dal diritto dell'Unione o dello Stato membro;
b) per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica; o
c) se il suddetto trattamento riguarda dati resi manifestamente pubblici dall'interessato».
12. A norma dell'articolo 63, paragrafo 1, di detta direttiva, gli Stati membri dovevano adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi a tale direttiva entro il 6 maggio 2018. Inoltre, gli Stati membri sono tenuti ad applicare tali disposizioni a partire dalla stessa data.
13. Conformemente al suo articolo 64, tale direttiva è entrata in vigore il 5 maggio 2016.
Diritto ceco
14. L'articolo 11 dello zákon č. 273/2008 Sb., o Policii České republiky (legge n. 273/2008 relativa alla polizia della Repubblica ceca), nella versione applicabile al procedimento principale (in prosieguo: la «legge relativa alla polizia ceca»), intitolato «Proporzionalità degli atti», così dispone:
«L'agente e il dipendente di polizia sono tenuti a
(...)
c) agire in modo che un'eventuale ingerenza nei diritti e nelle libertà delle persone oggetto dell'atto, o delle persone non interessate, non ecceda quanto necessario per raggiungere lo scopo perseguito dall'atto».
15. L'articolo 65 della legge relativa alla polizia ceca così prevede:
«(1) Nell'esercizio delle sue funzioni, la polizia può, ai fini di una futura identificazione, nei confronti di
a) una persona sottoposta a un procedimento penale per un reato doloso o una persona informata di essere sospettata di aver commesso un siffatto reato,
b) una persona che sconta una pena privativa della libertà per aver commesso un reato doloso,
c) una persona sottoposta a misure mediche coercitive o a un trattenimento di sicurezza, o
d) una persona ricercata che è stata ritrovata e la cui capacità giuridica è limitata,
rilevare le impronte digitali, individuare le caratteristiche fisiche, effettuare misurazioni sul corpo, realizzare registrazioni video, audio e simili nonché prelevare campioni biologici che consentano di ottenere informazioni sul patrimonio genetico.
(2) Qualora non sia possibile compiere un atto di cui al paragrafo 1 a causa dell'opposizione della persona interessata, l'agente di polizia ha diritto di superare tale opposizione dopo aver vanamente chiesto a detta persona di sottoporvisi. Il modo in cui egli supera detta opposizione deve essere proporzionato all'intensità della stessa. L'agente di polizia non può superare l'opposizione di una persona per effettuare un prelievo di sangue o un altro atto simile che leda l'integrità fisica.
(3) Se un atto di cui al paragrafo 1 non può essere effettuato sul posto, l'agente di polizia ha diritto di presentare la persona al compimento dell'atto. L'agente di polizia rilascia la persona una volta compiuto l'atto.
(4) L'agente di polizia redige una relazione sugli atti compiuti.
(5) La polizia cancella i dati personali ottenuti in applicazione del paragrafo 1 non appena il loro trattamento non è più necessario al fine di prevenire, ricercare, accertare o perseguire reati oppure di garantire la sicurezza della Repubblica ceca, l'ordine pubblico o la sicurezza interna».
16. L'articolo 79 di detta legge, intitolato «Disposizioni fondamentali relative al trattamento dei dati personali nell'ambito dell'esecuzione di taluni compiti di polizia», così dispone:
«(1) I paragrafi da 2 a 6 e gli articoli da 79a a 88 si applicano al trattamento dei dati personali a fini di prevenzione, ricerca, accertamento e perseguimento dei reati, allo scopo di garantire la sicurezza della Repubblica ceca o l'ordine pubblico e la sicurezza interna, anche a fini di ricerca di persone e cose.
(2) La polizia può trattare i dati personali se ciò è necessario per conseguire le finalità di cui al paragrafo 1. La polizia può anche trattare i dati personali al fine di proteggere interessi rilevanti di una persona interessata che siano collegati alle finalità di cui al paragrafo 1.
(...)».
17. L'articolo 82 di detta legge, intitolato «Verifica della necessità di proseguire il trattamento dei dati personali», è così formulato:
«(1) La polizia verifica almeno una volta ogni tre anni che i dati personali trattati per le finalità di cui all'articolo 79, paragrafo 1, siano ancora necessari per l'esercizio delle sue funzioni in tale ambito.
(2) Ai fini della verifica di cui al paragrafo 1, la polizia è autorizzata a richiedere un estratto del casellario giudiziale.
(3) Le autorità di polizia e giudiziarie, il Ministerstvo spravedlnosti (Ministero della Giustizia, Repubblica ceca), l'Ústavní soud (Corte costituzionale, Repubblica ceca) e il Kancelář prezidenta republiky (gabinetto del Presidente della Repubblica, Repubblica ceca) informano costantemente la polizia, nei limiti delle loro competenze, ai fini della verifica di cui al paragrafo 1, delle loro decisioni definitive, della prescrizione di azioni penali, dell'esecuzione di una pena o delle decisioni del Presidente della Repubblica relative a un procedimento penale, a una pena o a un'amnistia o una grazia concessa».
Procedimento principale e questioni pregiudiziali
18. Con decisione dell'11 dicembre 2015, il servizio di accertamento della corruzione e della criminalità finanziaria del gruppo di polizia criminale e investigativa della sezione di Plzeň (Repubblica ceca), che è un servizio della polizia ceca con competenza nazionale, ha avviato un procedimento penale nei confronti di JH per il reato di violazione di un obbligo nella gestione di patrimonio altrui.
19. Il 13 gennaio 2016, la polizia ceca ha anzitutto sentito JH nell'ambito di tale procedimento penale, per poi ordinare e procedere alla realizzazione dei seguenti atti di identificazione, nonostante l'opposizione di JH: rilevamento delle impronte digitali di JH, prelievo orale per tipizzazione di un profilo genetico, realizzazione di fotografie di JH e redazione di una descrizione della sua persona. Dopodiché essa ha registrato tali informazioni nelle corrispondenti banche dati.
20. Con sentenza del 15 marzo 2017, il Městský soud v Praze (Corte regionale di Praga capitale, Repubblica ceca) ha dichiarato JH colpevole del reato di violazione di un obbligo nella gestione di patrimonio altrui, per complicità, e del reato di abuso di potere da parte di un funzionario. Tale giudice ha condannato JH a una pena detentiva di tre anni con sospensione condizionale, a un divieto quadriennale di esercitare nella pubblica amministrazione funzioni di direzione, compresa la gestione di un patrimonio immobiliare e mobiliare, e, nei limiti delle sue possibilità, al risarcimento del danno causato.
21. L'8 marzo 2016, JH ha proposto un ricorso dinanzi al Městský soud v Praze (Corte regionale di Praga capitale) volto a far dichiarare che il compimento degli atti di identificazione conformemente all'articolo 65 della legge relativa alla polizia ceca, la conservazione delle informazioni e dei campioni prelevati nonché la creazione di una registrazione nella banca dati della polizia ceca costituivano un'ingerenza illegittima nel suo diritto fondamentale al rispetto della vita privata.
22. Il Městský soud v Praze (Corte regionale di Praga capitale), poiché, nell'ambito di un'altra causa allora pendente, aveva già adito l'Ústavní soud České republiky (Corte costituzionale della Repubblica ceca) con una domanda di accertamento della costituzionalità dell'articolo 65 della legge relativa alla polizia ceca, ha sospeso l'esame del ricorso proposto da JH.
23. Con decisione del 22 marzo 2022, l'Ústavní soud (Corte costituzionale) ha respinto la domanda presentata dal Městský soud v Praze (Corte regionale di Praga capitale) diretta a far dichiarare l'incostituzionalità dell'articolo 65 della legge relativa alla polizia ceca. A seguito di tale decisione, quest'ultimo giudice ha ripreso l'esame del ricorso proposto da JH.
24. Con sentenza del 23 giugno 2022, il Městský soud v Praze (Corte regionale di Praga capitale) ha accolto il ricorso di JH, dichiarando che gli atti compiuti dalla polizia ceca il 13 gennaio 2016 erano illegittimi. Di conseguenza, tale giudice ha ordinato alla polizia ceca di cancellare dalle sue banche dati tutti i dati personali risultanti da tali atti.
25. In tale sentenza, detto giudice ha sottolineato che il prelievo di materiale genetico costituiva una notevole ingerenza nel diritto fondamentale al rispetto della vita privata dell'interessato, protetto segnatamente all'articolo 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (in prosieguo: la «CEDU»), e all'articolo 10, paragrafo 3, della Listina základních práv a svobod (Carta dei diritti e delle libertà fondamentali della Repubblica ceca). Orbene, l'articolo 65 della legge relativa alla polizia ceca non fornirebbe indicazioni sufficienti per valutare la proporzionalità di tale ingerenza. Infatti, l'unica verifica richiesta da quest'ultimo articolo sarebbe che la polizia ceca controlli, prima di effettuare un siffatto prelievo, se il reato commesso è «doloso».
26. Tale giudice ha peraltro rilevato che JH era perseguito solo per la commissione di un reato minore, che la sua pena privativa della libertà era assistita da una sospensione condizionale, il che confermerebbe la minore gravità dei fatti contestati, che egli non era mai stato condannato in precedenza in un procedimento penale, che una recidiva da parte sua era poco probabile e che non era certo che i reati commessi fossero dell'ordine di reati di cui i dati personali conservati nelle banche dati potrebbero contribuire a identificare gli autori nel caso commettano reati in futuro. Esso ne ha dedotto che gli atti di identificazione compiuti dalla polizia ceca e oggetto del procedimento principale non soddisfacevano il requisito di proporzionalità.
27. La direzione della polizia ceca ha proposto ricorso per cassazione avverso detta sentenza dinanzi al Nejvyšší správní soud (Corte suprema amministrativa, Repubblica ceca), che è il giudice del rinvio.
28. A sostegno della sua impugnazione, la direzione della polizia ceca sottolinea che la finalità del trattamento dei dati personali è chiaramente espressa all'articolo 65 della legge relativa alla polizia ceca. Essa sostiene inoltre che, nella specie, i servizi competenti della polizia ceca hanno valutato la proporzionalità del prelievo e della conservazione dei dati personali di JH, prendendo in considerazione il fattore della recidiva, il possibile aggravamento degli atti e il fatto che JH avesse commesso in passato diverse contravvenzioni.
29. In risposta, JH sostiene, in particolare, che i servizi di polizia ceca hanno compiuto gli atti di identificazione senza aver previamente esaminato la proporzionalità di tale ingerenza. JH lamenta inoltre che le istruzioni della polizia ceca relative al compimento degli atti di identificazione non siano pubbliche.
30. Il giudice del rinvio sottolinea che, in forza della sua giurisprudenza più recente, il mero rispetto dei requisiti formali di cui all'articolo 65, paragrafo 1, della legge relativa alla polizia ceca, in particolare quello relativo alla qualificazione del reato come «doloso», non è sufficiente affinché la raccolta e la conservazione dei dati personali previste da tale articolo possano essere considerate legittime. I servizi di polizia avrebbero l'obbligo di valutare la proporzionalità del prelievo in ciascun caso concreto, tenendo conto in particolare della fedina penale, della personalità e della condotta dell'interessato, della gravità del reato per il quale tale persona è convocata a sottoporsi agli atti di identificazione nonché, nell'ambito di una domanda di cancellazione ex post, del periodo di tempo trascorso da quando il reato di cui trattasi è stato commesso.
31. In applicazione di tale giurisprudenza, i giudici nazionali avrebbero concluso per l'illegittimità di atti di identificazione quali la raccolta di dati biometrici e genetici nel caso, in particolare, di reati non violenti e commessi da persone senza precedenti condanne.
32. È in tale contesto che il giudice del rinvio si interroga sulla compatibilità con la direttiva 2016/680 del regime giuridico stabilito all'articolo 65 della legge relativa alla polizia ceca.
33. In primo luogo, tale giudice si domanda se i requisiti stabiliti da tale direttiva ostino alla raccolta indifferenziata di dati biometrici e genetici per qualsiasi persona sospettata di aver commesso un reato doloso.
34. Da un lato, dalla giurisprudenza della Corte europea dei diritti dell'uomo relativa al diritto fondamentale al rispetto della vita privata, quale garantito dall'articolo 8 della CEDU, risulterebbe che le parti contraenti sono tenute a distinguere tra i reati per i quali sono raccolti campioni di acido desossiribonucleico (DNA) in funzione della loro gravità per la società. Le parti contraenti non potrebbero trattare allo stesso modo tanto gli autori di reati gravi, come quelli commessi con violenza, per i quali il prelievo e la conservazione di campioni di DNA sarebbero legittimi, quanto gli autori di reati meno gravi.
35. Dall'altro lato, i requisiti derivanti dal principio di proporzionalità, come, in particolare, quelli concretizzati, nell'ambito di applicazione della direttiva 2016/680, nel principio di minimizzazione del trattamento dei dati e nell'obbligo di operare distinzioni tra diverse categorie di interessati, previsti, rispettivamente, all'articolo 4, paragrafo 1, lettera c), e all'articolo 6 di tale direttiva, solleverebbero dubbi sul se sia sufficiente stabilire distinzioni in astratto a livello legislativo, in funzione in particolare della gravità dei reati considerati, o sia invece necessario valutare in concreto la proporzionalità di un prelievo in ciascun caso specifico.
36. In secondo luogo, il giudice del rinvio si domanda se i requisiti stabiliti dalla direttiva 2016/680 ostino alla conservazione di dati biometrici e genetici qualora non sia espressamente prevista una limitazione temporale al riguardo. Peraltro, la normativa nazionale applicabile non fisserebbe un limite massimo alla durata di conservazione dei dati identificativi. Orbene, secondo la lettura che il giudice del rinvio fa della giurisprudenza della Corte europea dei diritti dell'uomo, quest'ultima richiederebbe di stabilire un tale limite massimo.
37. In terzo luogo, il giudice del rinvio si domanda se la giurisprudenza dei giudici amministrativi cechi possa essere qualificata come «diritto dello Stato membro», ai sensi dell'articolo 8 della direttiva 2016/680, il quale stabilisce le condizioni di liceità dei trattamenti di dati personali.
38. Infatti, l'articolo 65 della legge relativa alla polizia ceca non preciserebbe né le condizioni concrete di conservazione e i tipi di informazioni che possono essere estratti dal campione prelevato né le condizioni di conservazione e di cancellazione dei dati biometrici e genetici, cosicché tale articolo non potrebbe soddisfare, di per sé, i requisiti di cui all'articolo 8, paragrafo 2, della direttiva 2016/680, in combinato disposto con l'articolo 10 di quest'ultima.
39. È vero che tale articolo 65 sarebbe completato dalle istruzioni del presidente della polizia che lo attuano, ma queste, siccome non sono testi regolamentari né sono pubblicate, non potrebbero mai avere la qualità di «diritto dello Stato membro», ai sensi dell'articolo 8, paragrafo 2, della direttiva 2016/680.
40. Pertanto, si porrebbe la questione se si possa ritenere che il diritto dello Stato membro preveda garanzie sostanziali e procedurali sufficienti per il trattamento di dati sensibili, ai sensi dell'articolo 10 di tale direttiva, quali dati biometrici e genetici, qualora tali garanzie siano fornite dalla giurisprudenza.
41. In tali circostanze, il Nejvyšší správní soud (Corte suprema amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Quale sia il livello di differenziazione tra i diversi interessati richiesto dall'articolo 4, paragrafo 1, lettera c), o dall'articolo 6 della direttiva 2016/680 in combinato disposto con l'articolo 10 di tale direttiva. Se sia compatibile con l'imperativo di minimizzare il trattamento dei dati personali nonché con l'obbligo di distinguere tra le diverse categorie di interessati il fatto che la normativa nazionale consenta la raccolta di dati genetici relativi a tutte le persone sospettate o imputate di un reato doloso.
2) Se sia conforme all'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 il fatto che, con riferimento alla finalità generale di prevenzione, ricerca o accertamento delle attività criminali, la necessità di continuare a conservare un profilo del DNA sia valutata dalle autorità di polizia sulla base dei loro regolamenti interni, il che, in pratica, spesso equivale a conservare dati personali sensibili per una durata indeterminata in assenza di qualsiasi limite temporale massimo per la conservazione di tali dati. Nel caso in cui ciò non sia conforme, in base a quali criteri debba essere valutata la proporzionalità in termini di durata della conservazione dei dati personali raccolti e conservati per questo scopo.
3) Nel caso di dati personali particolarmente sensibili di cui all'articolo 10 della direttiva 2016/680, quali siano le condizioni sostanziali o procedurali minime per l'acquisizione, la conservazione e la cancellazione di tali dati che devono essere previste da una "disposizione di portata generale" nel diritto dello Stato membro. Se anche la giurisprudenza dei giudici nazionali possieda la qualità di "diritto dello Stato membro" ai sensi dell'articolo 8, paragrafo 2, in combinato disposto con l'articolo 10 [di tale direttiva]».
Sulle questioni pregiudiziali
Sulla terza questione
42. Con la sua terza questione, che occorre esaminare per prima, il giudice del rinvio domanda, in sostanza, se gli articoli 8 e 10 della direttiva 2016/680 debbano essere interpretati nel senso che, per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali disposizioni, debba essere intesa come riferita soltanto a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati o se anche la giurisprudenza che precisi tali condizioni possa rientrare in tale nozione.
43. A tal riguardo, occorre ricordare che, conformemente all'articolo 3, punto 2, letto alla luce dell'articolo 3, punti 12 e 13, della direttiva 2016/680, la raccolta, la conservazione e la cancellazione di dati biometrici e genetici costituiscono trattamenti di dati personali, ai sensi di tale direttiva.
44. L'articolo 4 della direttiva 2016/680 enuncia diversi principi ai quali tali trattamenti sono soggetti, i quali riflettono, come risulta dai considerando 1 e 2 di tale direttiva, il modo in cui, nei limiti previsti all'articolo 52 della Carta, il legislatore dell'Unione ha inteso concretizzare, rispetto a detti trattamenti, il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali, riconosciuto all'articolo 8 della Carta, a sua volta strettamente connesso al diritto al rispetto della vita privata, sancito all'articolo 7 di quest'ultima, tenendo conto della natura specifica delle attività di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di una sanzione penale.
45. Tra tali principi, l'articolo 4, paragrafo 1, lettera a), della direttiva 2016/680 prevede quello secondo cui i dati personali devono essere trattati in modo lecito e corretto.
46. L'articolo 8, paragrafo 1, di tale direttiva precisa, al riguardo, che gli Stati membri devono disporre che il trattamento sia lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di un'autorità competente, per le finalità di cui all'articolo 1, paragrafo 1, della medesima direttiva, e si basa sul diritto dell'Unione o dello Stato membro.
47. Inoltre, in forza dell'articolo 8, paragrafo 2, della medesima direttiva, il trattamento di tali dati è possibile solo se il diritto dello Stato membro che disciplina tale trattamento precisa almeno gli obiettivi di tale trattamento, i dati personali da trattare e le finalità del trattamento.
48. Per quanto riguarda talune categorie di dati personali, quali i dati biometrici o genetici, l'articolo 10 della direttiva 2016/680 mira a garantire loro una maggiore protezione definendo condizioni rafforzate di liceità del trattamento di tali dati [v., in tal senso, sentenze del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR - Sofia, C-118/22, EU:C:2024:97, punto 48, e del 4 ottobre 2024, Bezirkshauptmannschaft Landeck (Tentativo di accesso ai dati personali memorizzati su un telefono cellulare), C‑548/21, EU:C:2024:830, punto 107]. Infatti, tali categorie di dati sono, come sottolinea il considerando 37 di detta direttiva, per loro natura, particolarmente sensibili sotto il profilo delle libertà e dei diritti fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali degli interessati.
49. Pertanto, conformemente all'articolo 10 della direttiva 2016/680, qualsiasi trattamento riguardante dati personali rientranti in una delle categorie tassativamente elencate in tale articolo (in prosieguo: i «dati personali sensibili») deve essere autorizzato dal diritto dell'Unione o di uno Stato membro.
50. Ne consegue che gli articoli 8 e 10 della direttiva 2016/680 mirano a precisare la portata di alcuni dei principi enunciati all'articolo 4 di tale direttiva, i quali concretizzano, nel settore disciplinato da detta direttiva, in particolare il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali riconosciuto all'articolo 8 della Carta.
51. Pertanto, la nozione di «diritto dello Stato membro» utilizzata in tali articoli 8 e 10 deve essere intesa nel senso che, nel settore disciplinato dalla direttiva 2016/680, essa mira a concretizzare la condizione enunciata all'articolo 8, paragrafo 2, della Carta, secondo la quale qualsiasi trattamento di dati personali non effettuato in base al consenso dell'interessato deve essere effettuato in forza di un altro fondamento legittimo previsto dalla legge, condizione che si limita a riflettere il requisito posto all'articolo 52 della Carta secondo cui qualsiasi limitazione all'esercizio di diritti fondamentali riconosciuti da quest'ultima deve essere prevista dalla legge. Tale nozione riguarda quindi la validità del ricorso al diritto nazionale come base giuridica di un trattamento di dati personali.
52. Orbene, da un lato, come sottolineato dall'avvocato generale al paragrafo 82 delle sue conclusioni, la Corte, tenendo conto di una giurisprudenza costante della Corte europea dei diritti dell'uomo, ha dichiarato che il termine «legge», utilizzato all'articolo 8, paragrafo 2, della Carta, nell'espressione «fondamento previsto dalla legge», deve essere inteso nella sua accezione sostanziale e non formale (sentenza del 16 novembre 2023, Roos e a./Parlamento, C‑458/22 P, non pubblicata, EU:C:2023:871, punto 61). Dall'altro lato, secondo la medesima giurisprudenza della Corte europea dei diritti dell'uomo, detta accezione del termine «legge», nell'espressione «prevista dalla legge», di cui all'articolo 8, paragrafo 2, della CEDU, implica che tale termine si riferisca al testo in vigore quale interpretato dai giudici competenti (v., in tal senso, Corte EDU, 23 gennaio 2025, H. W. c. Francia, CE:ECHR:2025:0123JUD 001380521, punto 65).
53. Peraltro, come discende dalla giurisprudenza della Corte, se è vero che il requisito secondo cui qualsiasi limitazione nell'esercizio dei diritti fondamentali riconosciuti dalla Carta deve essere prevista dalla legge implica che l'atto che consente l'ingerenza in tali diritti debba definire, esso stesso, la portata della limitazione dell'esercizio del diritto considerato, tale requisito non esclude tuttavia, da un lato, che la limitazione in questione sia formulata in termini sufficientemente ampi, in modo da potersi adattare a fattispecie diverse nonché ai cambiamenti di situazione, e, dall'altro, che il giudice competente possa, se del caso, precisare, in via interpretativa, la portata concreta della limitazione sia rispetto ai termini stessi di tale atto sia rispetto all'impianto sistematico e agli obiettivi che quest'ultimo persegue (v., per analogia, sentenza del 21 giugno 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punto 114).
54. Pertanto, la nozione di «diritto dello Stato membro», ai sensi degli articoli 8 e 10 della direttiva 2016/680, letti alla luce dell'articolo 8, paragrafo 2, della Carta, deve essere intesa nel senso che essa può riferirsi a una disposizione che prevede espressamente un trattamento dei dati personali rientrante nell'ambito di applicazione di tale direttiva, come interpretata dalla giurisprudenza dei giudici nazionali.
55. In ogni caso, come rilevato al punto 47 della presente sentenza, l'articolo 8, paragrafo 2, della direttiva 2016/680 prevede che un trattamento di dati personali rientrante nell'ambito di applicazione di tale direttiva sia possibile solo se il diritto dello Stato membro che disciplina tale trattamento ne precisa almeno gli obiettivi, i dati personali che devono esserne oggetto e le finalità.
56. A tal riguardo, occorre rilevare, da un lato, che il riferimento al «diritto» di uno Stato membro che «disciplina» il trattamento di cui trattasi implica che gli obiettivi, i dati personali da trattare e le finalità siano, almeno in linea di principio, previsti da una disposizione di portata generale. Dall'altro lato, tale articolo 8, paragrafo 2, mira, come risulta espressamente dal considerando 33 di detta direttiva, a che il diritto dello Stato membro titolare del trattamento sia chiaro e preciso e che la sua applicazione sia prevedibile per coloro che vi sono sottoposti, conformemente alla giurisprudenza della Corte e della Corte europea dei diritti dell'uomo.
57. Secondo la giurisprudenza della Corte europea dei diritti dell'uomo, ogni misura che costituisce la base giuridica di un trattamento di dati personali deve avere determinate qualità, vale a dire, in sostanza, deve essere conforme alle norme di rango superiore, accessibile e, infine, sufficientemente prevedibile, ossia ragionevolmente prevedibile nelle circostanze di specie, per consentire agli interessati di regolare la loro condotta, il che presuppone che tale misura definisca con sufficiente chiarezza la portata e le modalità di esercizio del potere conferito alle autorità competenti (v., in tal senso, inter alia, Corte EDU, 26 aprile 1979, Sunday Times c. Regno Unito, CE:ECHR:1979:0426JUD00065387, §§ 25 e 52; Corte EDU, 1º luglio 2008, Liberty e a. c. Regno Unito, CE:ECHR:2008:0701JUD005824300, §§ 62 e 63; Corte EDU, 4 dicembre 2008, S. e Marper c. Regno Unito, CE:ECHR:2008:1204JUD003056204, § 95).
58. Allo stesso modo, risulta dalla giurisprudenza della Corte che, per soddisfare il requisito di essere prevista dalla legge, quale imposto dall'articolo 52 della Carta, una normativa che comporti un'ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta deve prevedere regole chiare e precise che disciplinino la portata e l'applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati personali sono trattati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati contro il rischio di abusi, nonché contro eventuali accessi e usi illeciti di tali dati (v. sentenze dell'8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punto 54, e del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 91).
59. Poiché l'articolo 8, paragrafo 2, della direttiva 2016/680 mira a garantire il rispetto dei requisiti ricordati ai punti 56 e 57 della presente sentenza, gli obiettivi perseguiti, i dati personali da trattare e le finalità di un trattamento devono allora risultare con sufficiente chiarezza e precisione dalla disposizione che disciplina il trattamento stesso, affinché quest'ultimo possa dirsi soddisfare la condizione di essere previsto dalla legge, ai sensi della giurisprudenza della Corte europea dei diritti dell'uomo e dell'articolo 52 della Carta.
60. Sulla base di tutto quanto precede, occorre rispondere alla terza questione dichiarando che gli articoli 8 e 10 della direttiva 2016/680 devono essere interpretati nel senso che, per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali articoli, deve essere intesa nel senso che essa si riferisce a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati, come interpretata dalla giurisprudenza dei giudici nazionali, purché tale giurisprudenza sia accessibile e sufficientemente prevedibile.
Sulla prima questione
Sulla ricevibilità
61. Nelle sue osservazioni scritte, la Commissione europea conclude per l'irricevibilità della prima questione per il motivo che il prelievo dei dati genetici e biometrici di JH da parte della polizia ceca ha avuto luogo il 13 gennaio 2016, ossia prima dell'entrata in vigore della direttiva 2016/680, avvenuta il 5 maggio 2016, e prima della scadenza del termine di recepimento, fissato al 6 maggio 2018 dall'articolo 63, paragrafo 1, di tale direttiva.
62. A tal riguardo, occorre ricordare che il rifiuto della Corte di statuire su una questione pregiudiziale proposta da un giudice nazionale è possibile solo quando appaia in modo manifesto che l'interpretazione del diritto dell'Unione richiesta non ha alcun rapporto con la realtà effettiva o con l'oggetto del procedimento principale, quando il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in maniera utile alle questioni che le vengono sottoposte (sentenza del 20 marzo 2025, Anib e a., da C-728/22 a C-730/2, EU:C:2025:200, punto 48).
63. Nel caso di specie, l'articolo 64 della direttiva 2016/680 prevede che quest'ultima entri in vigore il 5 maggio 2016, mentre l'articolo 63 di tale direttiva precisa che gli Stati membri devono adottare e pubblicare le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi ad essa entro il 6 maggio 2018.
64. Tuttavia, dal fascicolo di cui dispone la Corte risulta che i dati personali raccolti in merito a JH a partire dai prelievi genetici e dai rilevamenti biometrici di quest'ultimo, il 13 gennaio 2016, hanno continuato ad essere conservati nelle banche dati della polizia ceca e quindi ad essere trattati dopo il 6 maggio 2018.
65. Orbene, fatte salve le situazioni di cui all'articolo 4, paragrafo 2, della direttiva 2016/680, dall'articolo 4, paragrafo 1, lettera b), di tale direttiva risulta che i dati personali non possono essere oggetto di trattamento se la loro raccolta non è stata giustificata da finalità legittime.
66. Di conseguenza, come sottolineato dall'avvocato generale al paragrafo 34 delle sue conclusioni, i dati personali di cui alla direttiva 2016/680 raccolti lecitamente prima dell'entrata in vigore di tale direttiva, ma che sarebbero stati raccolti in violazione dei principi stabiliti da tale direttiva se fossero stati raccolti dopo la data in cui detta direttiva è stata recepita o, in mancanza, dopo la data limite in cui essa avrebbe dovuto esserlo, ossia il 6 maggio 2018, non possono essere conservati dopo la data in cui detta direttiva è stata recepita o, in mancanza, dopo la data limite in cui essa avrebbe dovuto esserlo.
67. Pertanto, nel caso di specie, non risulta in modo manifesto che la prima questione sia necessariamente priva di qualsiasi rapporto con la realtà effettiva o con l'oggetto del procedimento principale o, ancora, che il problema sollevato sia di natura ipotetica, per il motivo, invocato dalla Commissione, che essa verterebbe su dati biometrici e genetici raccolti prima dell'entrata in vigore della direttiva 2016/680.
68. Poiché, peraltro, la Corte dispone di tutti gli elementi di fatto e di diritto necessari per consentirle di rispondere in modo utile alla prima questione, quest'ultima deve essere considerata ricevibile.
Nel merito
69. Con la sua prima questione il giudice del rinvio domanda, in sostanza, se l'articolo 6 o l'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto in combinato disposto con l'articolo 10 di quest'ultima, debbano essere interpretati nel senso che essi ostano a una normativa nazionale che consenta indistintamente la raccolta di dati biometrici e genetici di tutte le persone sottoposte a procedimento penale per un reato doloso o sospettate di aver commesso un tale reato.
70. A tal riguardo, quanto, in primo luogo, all'articolo 6 della direttiva 2016/680, occorre ricordare che esso impone agli Stati membri di prevedere che il titolare del trattamento stabilisca, «se del caso e nella misura del possibile», una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali quelli elencati alle lettere da a) a d) di tale articolo, vale a dire, rispettivamente, le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato, le persone condannate per un reato, le vittime di un reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato e, infine, le altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b) del suddetto articolo.
71. Conformemente a tale disposizione, gli Stati membri devono dunque provvedere affinché il titolare del trattamento, «se del caso e nella misura del possibile», operi una chiara distinzione tra i dati delle diverse categorie di interessati in modo che l'ingerenza nel loro diritto fondamentale alla protezione dei loro dati personali non sia loro imposta indifferentemente con la stessa intensità, a prescindere dalla categoria alla quale essi appartengono. Tali categorie devono essere stabilite essenzialmente in funzione dello status penale dell'interessato.
72. Come sottolinea l'espressione «se del caso e nella misura del possibile» di cui all'articolo 6 della direttiva 2016/680, l'obbligo di distinguere talune categorie di persone che tale articolo impone agli Stati membri non è assoluto, ma dipende, in particolare, dalla questione se, in ciascun caso di specie, possa essere operata una distinzione chiara tra tali categorie di persone [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 84] e dalle finalità del trattamento.
73. Nel caso di specie, il governo ceco sostiene che il riferimento, da parte del giudice del rinvio, alla categoria delle persone sospettate deve essere inteso nel senso che esso riguarda le persone alle quali, nell'ambito di un procedimento preliminare accelerato, sono stati comunicati sospetti, il che, nella normativa nazionale di cui trattasi nel procedimento principale, richiederebbe, come per gli imputati, che siano stati raccolti sufficienti elementi che dimostrino che esse hanno commesso un reato.
74. Orbene, se così fosse, circostanza che spetterà al giudice del rinvio verificare, queste due categorie di persone potrebbero essere considerate, ai fini di un determinato trattamento, come rientranti entrambe nella categoria elencata all'articolo 6, lettera a), della direttiva 2016/680, purché le finalità perseguite dal trattamento di cui trattasi non impongano di operare una distinzione tra dette due categorie.
75. Di conseguenza, l'articolo 6 della direttiva 2016/680 deve essere interpretato nel senso che esso non osta a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici delle persone rientranti nella categoria delle persone «sottoposte a un procedimento penale per un reato doloso» nonché delle persone rientranti nella categoria delle persone «sospettate di aver commesso un siffatto reato», ai sensi del diritto nazionale, qualora le finalità di tale raccolta non impongano di operare una distinzione tra queste due categorie di persone i cui dati personali possono essere raccolti sul fondamento di tale normativa.
76. Per quanto riguarda, in secondo luogo, l'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in combinato disposto con l'articolo 10 di tale direttiva, il primo di tali articoli prevede che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Quest'ultimo requisito richiede quindi l'osservanza, da parte degli Stati membri, di un principio di minimizzazione del trattamento dei dati rispetto all'obiettivo e alla finalità perseguiti dal trattamento di cui trattasi.
77. L'articolo 10 di detta direttiva prevede, dal canto suo, che, per quanto riguarda i dati personali sensibili, tra cui i dati biometrici e genetici, il trattamento debba soddisfare, oltre alla condizione di rientrare in una delle tre fattispecie tassativamente elencate alle sue lettere da a) a c), altre due condizioni, vale a dire, da un lato, quella secondo cui devono esistere garanzie adeguate per i diritti e le libertà dell'interessato e, dall'altro, quella secondo cui il trattamento previsto deve essere strettamente necessario.
78. Ora, per quanto riguarda quest'ultima condizione, anzitutto, essa implica che tale necessità sia valutata in modo particolarmente rigoroso alla luce delle finalità perseguite dal trattamento di cui trattasi e che, di conseguenza, un siffatto trattamento possa essere considerato necessario solo in un numero limitato di casi [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 118].
79. Pertanto, le finalità del trattamento di dati personali biometrici e genetici non possono essere designate in termini troppo generici, ma richiedono di essere definite in modo sufficientemente preciso e concreto da consentire di valutare il carattere «strettamente necessario» di detto trattamento [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 124].
80. A tal riguardo, se è vero che la direttiva 2016/680 non definisce la nozione di «finalità del trattamento», si può rilevare che l'articolo 8, paragrafo 2, di tale direttiva distingue espressamente tale nozione da quella di «obiettivi del trattamento». Orbene, l'articolo 4, paragrafo 1, lettera b), di detta direttiva prevede che le finalità perseguite da un trattamento di dati personali debbano essere, in particolare, determinate ed esplicite e che tali dati non possano essere trattati in modo incompatibile con tali finalità, mentre l'articolo 4, paragrafo 1, lettera c), della medesima direttiva stabilisce che è alla luce di dette finalità che si valuta, in particolare, l'adeguatezza, la pertinenza e la non eccessività dei dati personali oggetto di tale trattamento.
81. Pertanto, se ne può inferire che la nozione di «obiettivi del trattamento», ai sensi di tale articolo 8, paragrafo 2, rinvia alle finalità più generali menzionate all'articolo 1, paragrafo 1, della direttiva 2016/680 che un trattamento deve perseguire per rientrare nell'ambito di applicazione di tale direttiva, mentre quella di «finalità del trattamento», ai sensi, in particolare, dell'articolo 8, paragrafo 2, di detta direttiva, deve essere intesa come riferirsi ai fini specifici e concreti perseguiti da un trattamento di dati personali alla luce del compito di cui è investito il titolare del trattamento, come un compito specifico di prevenzione, indagine, accertamento o perseguimento di reati o di esecuzione di sanzioni penali.
82. Inoltre, dato che, come risulta dal considerando 26 della direttiva 2016/680, letto alla luce del principio di proporzionalità, per i dati personali non sensibili la condizione della necessità, ai sensi di tale direttiva, è soddisfatta qualora la finalità del trattamento in questione non possa ragionevolmente essere conseguita in modo altrettanto efficace con altri mezzi meno lesivi dei diritti fondamentali degli interessati, occorre dedurne che la condizione, per il trattamento dei dati personali sensibili, di essere strettamente necessario richiede, dal canto suo, che il titolare del trattamento si assicuri che una siffatta finalità non possa essere conseguita in modo altrettanto efficace facendo ricorso a categorie di dati diverse da quelle elencate all'articolo 10 della direttiva 2016/680 [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 126].
83. Peraltro, alla luce dei rischi significativi rappresentati dal trattamento dei dati personali sensibili per i diritti e le libertà degli interessati, in particolare nel contesto dei compiti delle autorità competenti ai fini enunciati all'articolo 1, paragrafo 1, della direttiva 2016/680, la condizione del carattere «strettamente necessario» implica che si tenga conto della particolare rilevanza della finalità che un tale trattamento mira a conseguire. Una simile rilevanza può essere valutata, tra l'altro, in funzione della natura di tale finalità, del fatto che il trattamento persegue un obiettivo concreto connesso alla prevenzione di reati o di minacce alla pubblica sicurezza che presentino un certo livello di gravità, alla repressione di simili reati o alla protezione contro simili minacce, nonché alla luce delle circostanze specifiche in cui tale trattamento è effettuato [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 127].
84. In ogni caso, per quanto riguarda la raccolta di dati biometrici e genetici di persone perseguite per aver commesso un reato doloso o sospettate di aver commesso un siffatto reato a fini di identificazione e di confronto futuro, il carattere strettamente necessario di tale raccolta deve tener conto di tutti gli elementi pertinenti, quali, in particolare, la natura e la gravità del presunto reato per il quale esse sono formalmente accusate, le circostanze particolari di tale reato, l'eventuale collegamento di detto reato con altri procedimenti in corso, i precedenti giudiziari o il profilo individuale delle persone di cui trattasi [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 132].
85. Infine, la condizione del carattere «strettamente necessario» implica un controllo particolarmente rigoroso del rispetto del principio di minimizzazione del trattamento dei dati di cui trattasi, enunciato all'articolo 4, paragrafo 1, lettera c), di tale direttiva [v. sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 125].
86. In particolare, per quanto riguarda la conservazione o l'utilizzo di dati estratti a partire dal DNA di una persona a fini di identificazione o di comparazione, un tale principio implica che, al fine di valutare la stretta necessità di siffatti trattamenti, si tenga debitamente conto della possibilità di ricorrere esclusivamente ai polimorfismi presenti nel DNA non codificante, vale a dire in sequenze per le quali è riconosciuto che non forniscono alcuna informazione sull'etnia o sulle malattie genetiche di tali persone.
87. Di conseguenza, se è vero che uno Stato membro può conformarsi alla direttiva 2016/680 delegando alle autorità competenti il compito di provvedere, in ciascun caso di specie, al rispetto della condizione, per qualsiasi trattamento di dati personali sensibili, di rispondere a una stretta necessità, oppure fissando, a livello legislativo, criteri di valutazione che le autorità devono successivamente applicare in modo non discrezionale, ciò non toglie che, in questa seconda ipotesi, tali criteri debbano essere idonei a soddisfare tutti i requisiti derivanti da questa stessa condizione, quali enunciati ai punti da 77 a 83 della presente sentenza.
88. Invero, nella sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) (C‑205/21, EU:C:2023:49, punto 135), la Corte ha statuito che una normativa nazionale che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio, ai fini della loro registrazione, senza prevedere l'obbligo, per l'autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall'altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un'ingerenza meno grave nei diritti e nelle libertà della persona interessata, è contraria a tale condizione della stretta necessità.
89. Ciò detto, mentre la raccolta prevista dalla normativa controversa nella causa che ha dato luogo a detta sentenza si applicava tassativamente nei confronti di tutte le persone formalmente accusate di reati dolosi perseguiti d'ufficio, la prima questione verte su una normativa che concede ai servizi di polizia solo una facoltà di procedere a un rilevamento di dati biometrici e genetici nei confronti delle persone imputate o sospettate di aver commesso un reato doloso.
90. Orbene, il fatto che una normativa conferisca una tale facoltà ai servizi di polizia non significa che il diritto dello Stato membro interessato consente che tale raccolta sia sistematica o che essa possa essere effettuata in violazione, in particolare, del principio di minimizzazione del trattamento dei dati, enunciato all'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, o della condizione, per i singoli trattamenti, di rispondere a una stretta necessità, quale prevista all'articolo 10 di tale direttiva, purché tale diritto, compresa la giurisprudenza dei giudici nazionali, definisca in modo adeguato e sufficientemente preciso le finalità perseguite da un tale trattamento di dati biometrici e genetici, vale a dire i fini specifici e concreti perseguiti da un trattamento di dati personali alla luce del compito di cui è investito il titolare del trattamento, e siffatta facoltà sia esercitata conformemente ai requisiti esposti ai punti da 77 a 83 della presente sentenza.
91. Dagli elementi a disposizione della Corte risulta che, nella specie, la giurisprudenza nazionale stabilisce taluni requisiti volti a garantire il rispetto di tale principio, quale l'obbligo per la polizia, prima di procedere al prelievo di un campione di DNA, di tener conto, in particolare, dei precedenti giudiziari dell'autore del reato commesso, della gravità di quest'ultimo in funzione del tipo di reato di cui trattasi e delle circostanze specifiche del reato stesso che implicano un prelievo di campioni, nonché della personalità dell'autore dei fatti.
92. In tale situazione, spetta ai giudici nazionali verificare, in ciascun caso, se la raccolta realizzata sia stata effettuata dai servizi di polizia in violazione dei principi che disciplinano il trattamento dei dati personali, enunciati all'articolo 4 della direttiva 2016/680, e dei requisiti specifici applicabili ai trattamenti di dati personali sensibili, enunciati all'articolo 10 di tale direttiva, come interpretato alla luce degli articoli 7 e 8 della Carta.
93. A tal riguardo, occorre ancora sottolineare che la mera circostanza che il reato contestato all'interessato sia di natura economica e che la raccolta dei dati biometrici e genetici di quest'ultimo avvenga prima che tale persona sia condannata in via definitiva non è sufficiente ad escludere che una tale raccolta possa essere considerata rispondente a una stretta necessità, dal momento che, tenuto conto delle finalità perseguite, detta raccolta, anche in considerazione del tipo di dati interessati, può rivelarsi strettamente necessaria, in particolare per consentire di determinare se, in ragione della sua eventuale appartenenza a un'organizzazione criminale, detta persona possa aver partecipato ad altri reati per i quali dati di tale tipo potrebbero essere rilevanti, o, se esiste un rischio di fuga, per permettere la sua identificazione.
94. Sulla base di tutto quanto precede, occorre rispondere alla prima questione dichiarando che l'articolo 6 e l'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, letto in combinato disposto con l'articolo 10 di tale direttiva, devono essere interpretati nel senso che essi non ostano a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici di qualsiasi persona sia perseguita per aver commesso un reato doloso o sia sospettata di aver commesso un siffatto reato, purché, da un lato, le finalità di tale raccolta non impongano di stabilire una distinzione tra queste due categorie di persone e, dall'altro, i titolari del trattamento siano tenuti, conformemente al diritto nazionale, compresa la giurisprudenza dei giudici nazionali, a rispettare l'insieme dei principi e dei requisiti specifici enunciati agli articoli 4 e 10 di detta direttiva.
Sulla seconda questione
95. In via preliminare, occorre rilevare che, sebbene, nella formulazione della seconda questione, il giudice del rinvio menzioni una normativa nazionale che ha come conseguenza che i dati personali di cui trattasi siano, nella maggior parte dei casi, conservati per una «durata indeterminata», dagli elementi del fascicolo di cui dispone la Corte risulta che, per «durata indeterminata», tale giudice intende, in definitiva, riferirsi alla circostanza che non è specificata alcuna durata massima di conservazione, e non a quella che una siffatta conservazione sia illimitata nel tempo.
96. Di conseguenza, occorre comprendere che, con la sua seconda questione, il giudice del rinvio domanda, in sostanza, se l'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 debba essere interpretato nel senso che esso osta a una normativa nazionale in forza della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione.
97. A tal riguardo, l'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 fa obbligo agli Stati membri di prevedere che i dati personali siano conservati in una forma che consenta l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario per le finalità per le quali tali dati sono trattati.
98. Per quanto riguarda, in primo luogo, la circostanza che la normativa nazionale di cui trattasi non prevede un periodo massimo di conservazione, occorre ricordare che, conformemente ai requisiti di cui all'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680, l'articolo 5 di tale direttiva impone agli Stati membri di prevedere la fissazione di termini adeguati per la cancellazione dei dati personali o per un esame periodico della necessità di conservare tali dati, nonché norme procedurali che consentano di garantire il rispetto di tali termini.
99. Per contro, l'articolo 5 di detta direttiva lascia agli Stati membri la cura di stabilire detti termini, purché siano «adeguati», e di decidere se essi riguardino la cancellazione dei dati o l'esame periodico della necessità di conservarli.
100. Certamente, l'articolo 4, paragrafo 1, lettera e), e l'articolo 5 della direttiva 2016/680 devono essere letti in combinato disposto, in particolare, con l'articolo 10 di quest'ultima, cosicché la conservazione di dati biometrici o genetici deve rispondere a una stretta necessità e presentare garanzie adeguate per i diritti e le libertà dell'interessato.
101. Tuttavia, qualora uno Stato membro fissi termini adeguati di verifica periodica della necessità di conservare dati personali e, in occasione di tale verifica, debba essere valutata la stretta necessità di proseguire tale conservazione, si deve ritenere che il diritto dello Stato membro interessato soddisfi tali requisiti. Pertanto, anche quando i dati conservati sono dati personali sensibili, uno Stato membro non è tenuto a definire limiti temporali assoluti per la conservazione di tali dati, al di là dei quali questi ultimi dovrebbero essere automaticamente cancellati (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR - S ofia, C‑118/22, EU:C:2024:97, punto 52).
102. Per contro, l'adeguatezza di siffatti termini di verifica periodica richiede che, da un lato, conformemente all'articolo 4, paragrafo 1, lettere c) ed e), della direttiva 2016/680, letto alla luce dell'articolo 52, paragrafo 1, della Carta, i dati personali ancora conservati siano cancellati, e ciò alle condizioni previste all'articolo 16, paragrafi 2 e 3, di tale direttiva, qualora, in occasione di una delle verifiche effettuate, la conservazione degli stessi dati non appaia più strettamente necessaria e, di conseguenza, risulti eccessiva rispetto alle finalità perseguite (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR - S ofia, C‑118/22, EU:C:2024:97, punti 45, 48 e 50, nonché giurisprudenza citata).
103. Dall'altro lato, tenuto conto dei requisiti, previsti all'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, per tutti i dati personali, di essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati, della circostanza che tale disposizione e l'articolo 8 di tale direttiva devono essere letti alla luce dei requisiti derivanti dall'articolo 52 della Carta, nonché dell'obbligo, previsto all'articolo 6 di detta direttiva, per il titolare del trattamento, di operare, se del caso, una chiara distinzione tra i dati personali delle diverse categorie di interessati, tali termini di verifica non possono essere considerati adeguati se i cambiamenti di status penale dell'interessato, considerati pertinenti alla luce della finalità perseguita da tale conservazione, non comportano un obbligo, per il titolare del trattamento, di riesaminare entro un termine ragionevole la necessità di conservare i dati relativi a tale persona.
104. Per quanto riguarda, in secondo luogo, la circostanza che la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, siffatta circostanza non è, di per sé, contraria all'articolo 8, paragrafo 2, della direttiva 2016/680, purché tali norme interne impongano a dette autorità di garantire il rispetto della condizione relativa all'esistenza di una stretta necessità di conservare tali dati e il margine di discrezionalità di tali autorità sia sufficientemente inquadrato dal diritto nazionale, compresa la giurisprudenza dei giudici nazionali.
105. Infatti, sebbene la circostanza di essere interne, e quindi non accessibili a tutte le persone che possano essere oggetto di un trattamento di dati personali, comporti che siffatte norme non possono essere invocate dalle autorità competenti per dimostrare di rispettare gli obblighi loro imposti, tale circostanza non ha tuttavia la conseguenza di rendere automaticamente illeciti i trattamenti di dati personali decisi in loro applicazione, ma implica che, eventualmente, in caso di ricorso avverso la decisione di procedere a uno di tali trattamenti, i servizi di polizia dimostrino dinanzi al giudice competente, indipendentemente da tali norme interne, che il requisito della «stretta necessità » è stato debitamente rispettato.
106. Nel caso di specie, da un lato, secondo il governo ceco, risulta in particolare dall'articolo 65, paragrafo 5, della legge relativa alla polizia ceca, circostanza che spetta al giudice del rinvio verificare, che i profili DNA delle persone perseguite per aver commesso un reato doloso o sospettate di averlo commesso devono essere cancellati qualora la loro conservazione non sia più necessaria in considerazione degli obiettivi perseguiti, vale a dire qualora tali persone non siano più perseguite o sospettate né lo siano nell'ambito di un altro procedimento penale, o non abbiano precedentemente commesso altri reati.
107. A tal riguardo, occorre ricordare, tuttavia, che la conservazione di dati biometrici e genetici può essere considerata rispondente al requisito di poter essere autorizzata unicamente «se strettamente necessaria», ai sensi dell'articolo 10 della direttiva 2016/680, soltanto se prende in considerazione non solo l'eventuale collegamento della persona interessata con altri procedimenti in corso, o i suoi precedenti o il suo profilo, ma anche la natura e la gravità del reato sfociato nella condanna penale definitiva, o circostanze ulteriori quali il contesto particolare in cui tale reato è stato commesso (v., in tal senso, sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR - Sofia , C‑118/22, EU:C:2024:97, punto 67).
108. Dall'altro lato, sebbene il diritto ceco non preveda un periodo massimo di conservazione dei dati personali raccolti sulla base dell'articolo 65, paragrafo 1, della legge relativa alla polizia ceca, l'articolo 82, paragrafo 1, di tale legge impone comunque ai servizi di polizia di verificare almeno una volta ogni tre anni che la conservazione di tali dati sia ancora necessaria per l'esecuzione dei loro compiti.
109. Pertanto, spetterà al giudice del rinvio stabilire se, in considerazione delle finalità perseguite dalla conservazione dei dati biometrici e genetici di cui trattasi, siffatto termine di verifica di tre anni possa essere considerato adeguato, fermo restando, che, in caso contrario, la cancellazione di tali dati non sarebbe tuttavia richiesta se dovesse risultare che conservarli rimane, ad ogni modo, ancora strettamente necessario.
110. Sulla base di tutto quanto precede, occorre rispondere alla seconda questione dichiarando che l'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 deve essere interpretato nel senso che esso non osta a una normativa nazionale in virtù della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione, purché detta normativa fissi termini adeguati di verifica periodica della necessità di conservare tali dati e, in occasione di tale verifica, sia valutata la stretta necessità di proseguire la loro conservazione.
Sulle spese
111. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Quinta Sezione) dichiara:
1) Gli articoli 8 e 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, devono essere interpretati nel senso che, per quanto riguarda la raccolta, la conservazione e la cancellazione di dati biometrici e genetici, la nozione di «diritto dello Stato membro», ai sensi di tali articoli, deve essere intesa nel senso che essa si riferisce a una disposizione di portata generale che enunci le condizioni minime per la raccolta, la conservazione e la cancellazione di tali dati, come interpretata dalla giurisprudenza dei giudici nazionali, purché tale giurisprudenza sia accessibile e sufficientemente prevedibile.
2) L'articolo 6 e l'articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, in combinato disposto con l'articolo 10 di tale direttiva, devono essere interpretati nel senso che essi non ostano a una normativa nazionale che consente, indistintamente, la raccolta di dati biometrici e genetici di qualsiasi persona sia perseguita per aver commesso un reato doloso o sia sospettata di aver commesso un siffatto reato, purché, da un lato, le finalità di tale raccolta non impongano di stabilire una distinzione tra queste due categorie di persone e, dall'altro, i titolari del trattamento siano tenuti, conformemente al diritto nazionale, compresa la giurisprudenza dei giudici nazionali, a rispettare l'insieme dei principi e dei requisiti specifici enunciati agli articoli 4 e 10 di detta direttiva.
3) L'articolo 4, paragrafo 1, lettera e), della direttiva 2016/680 deve essere interpretato nel senso che esso non osta a una normativa nazionale in virtù della quale la necessità di mantenere la conservazione di dati biometrici e genetici è valutata dai servizi di polizia sulla base di norme interne, senza che tale normativa preveda un periodo massimo di conservazione, purché detta normativa fissi termini adeguati di verifica periodica della necessità di conservare tali dati e, in occasione di tale verifica, sia valutata la stretta necessità di proseguire la loro conservazione.
