Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Dati personali del condannato devono essere cancellabili (CGUE, NG vs Bulgaria, 2024)

30 gennaio 2024, CGUE

Diritto UE osta ad una normativa nazionale che prevede la conservazione da parte delle autorità di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, di dati personali, in particolare di dati biometrici e genetici, riguardanti persone che hanno subito una condanna penale definitiva per un reato doloso perseguibile d’ufficio, fino al decesso della persona interessata, anche in caso di riabilitazione di quest’ultima, senza porre a carico del titolare del trattamento l’obbligo di esaminare periodicamente se tale conservazione sia ancora necessaria, né riconoscere a detta persona il diritto alla cancellazione di tali dati, dal momento che la loro conservazione non è più necessaria rispetto alle finalità per le quali sono stati trattati, o, eventualmente, il diritto alla limitazione del loro trattamento.

 

 

Corte di giustizia dell'Unione europea

Grande Sezione

30 gennaio 2024 (*)

ECLI:EU:C:2024:97

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali a fini di contrasto dei reati – Direttiva (UE) 2016/680 – Articolo 4, paragrafo 1, lettere c) ed e) – Minimizzazione dei dati – Limitazione della conservazione – Articolo 5 – Termini adeguati per la cancellazione o per l’esame periodico della necessità della conservazione – Articolo 10 – Trattamento di dati biometrici e genetici – Stretta necessità – Articolo 16, paragrafi 2 e 3 – Diritto alla cancellazione – Limitazione del trattamento – Articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea – Persona fisica condannata con sentenza definitiva e successivamente riabilitata – Termine di conservazione dei dati fino al decesso – Insussistenza di diritto alla cancellazione o alla limitazione del trattamento – Proporzionalità»

Nella causa C‑118/22,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria), con decisione del 10 gennaio 2022, pervenuta in cancelleria il 17 febbraio 2022, nel procedimento

NG

contro

Direktor na Glavna direktsia «Natsionalna politsia» pri Ministerstvo na vatreshnite raboti – Sofia,

con l’intervento di:

Varhovna administrativna prokuratura,

LA CORTE (Grande Sezione),

composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, A. Arabadjiev, A. Prechal, K. Jürimäe, N. Piçarra e O. Spineanu-Matei, presidenti di sezione, M. Ilešič, J.-C. Bonichot, L.S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl e D. Gratsias (relatore), giudici,

avvocato generale: P. Pikamäe

cancelliere: R. Stefanova-Kamisheva, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza del 7 febbraio 2023,

considerate le osservazioni presentate:

–        per NG, da P. Kuyumdzhiev, advokat;

–        per il governo bulgaro, da M. Georgieva, T. Mitova e E. Petranova, in qualità di agenti;

–        per il governo ceco, da O. Serdula, M. Smolek e J. Vláčil, in qualità di agenti;

–        per l’Irlanda, da M. Browne, A. Joyce e M. Tierney, in qualità di agenti, assistiti da D. Fennelly, BL;

–        per il governo spagnolo, da A. Ballesteros Panizo e J. Rodríguez de la Rúa Puig, in qualità di agenti;

–        per il governo dei Paesi Bassi, da A. Hanje, in qualità di agente;

–        per il governo polacco, da B. Majczyna, D. Łukowiak e J. Sawicka, in qualità di agenti;

–        per la Commissione europea, da A. Bouchagiar, C. Georgieva, H. Kranenborg e F. Wilman, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 15 giugno 2023,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 5 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), in combinato disposto con l’articolo 13, paragrafo 2, lettera b), e paragrafo 3, di tale direttiva.

2        Tale domanda è stata presentata nell’ambito di una controversia tra NG e il Direktor na Glavna direktsia «Natsionalna politsia» pri Ministerstvo na vatreshnite raboti – Sofia (direttore della direzione generale «Polizia nazionale» presso il Ministero dell’Interno, Bulgaria; in prosieguo: il «DGPN») in merito al rigetto, da parte di quest’ultimo, della domanda di NG di cancellazione del suo nominativo dal registro nazionale in cui le autorità di polizia bulgare iscrivono le persone indagate per un reato doloso perseguibile d’ufficio (in prosieguo: il «registro di polizia»), richiesta basata sulla riabilitazione di cui tale persona ha beneficiato dopo aver subito una condanna penale definitiva.

 Contesto normativo

 Diritto dell’Unione

3        I considerando 11, 14, 26, 27, 37, 47 e 104 della direttiva 2016/680 enunciano quanto segue:

«(11)      È (...) opportuno per [i settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia] che una direttiva stabilisca le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. (...)

(...)

(14)      Poiché la presente direttiva non dovrebbe applicarsi al trattamento di dati personali nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione, le attività concernenti la sicurezza nazionale (...) non dovrebbero essere considerate attività rientranti nell’ambito di applicazione della presente direttiva.

(...)

(26)      (...) Dovrebbe (...) essere garantito che la raccolta dei dati personali non sia eccessiva e che i dati siano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde garantire che i dati non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. (...)

(27)      Nell’interesse della prevenzione, dell’indagine e del perseguimento di reati, è necessario che le autorità competenti trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto per sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati.

(...)

(37)      Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...)

(...)

(47)      (...) Una persona fisica dovrebbe inoltre avere il diritto di ottenere la limitazione del trattamento (...) qualora i dati personali debbano essere conservati a fini probatori. In particolare, invece della cancellazione dei dati personali, ne dovrebbe essere limitato il trattamento se in un caso specifico vi sono motivi ragionevoli di ritenere che la cancellazione possa compromettere gli interessi legittimi dell’interessato. In tal caso, i dati limitati dovrebbero essere trattati solo per la finalità che ne ha impedito la cancellazione. (...)

(...)

(104)      La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla [Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la “Carta”)] sanciti dal TFUE, in particolare il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali e il diritto a un ricorso effettivo e a un giudice imparziale. Conformemente all’articolo 52, paragrafo 1, della Carta, eventuali limitazioni di tali diritti possono essere apportate solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».

4        L’articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», al suo paragrafo 1 così dispone:

«La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica».

5        L’articolo 2 di detta direttiva, intitolato «Ambito di applicazione», ai paragrafi 1 e 3 prevede quanto segue:

«1.      La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all’articolo 1, paragrafo 1.

(...)

3.      La presente direttiva non si applica ai trattamenti di dati personali:

a)      effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

(...)».

6        A termini dell’articolo 3, recante il titolo «Definizioni», della direttiva in parola:

«Ai fini della presente direttiva si intende per:

(...)

2.      “trattamento”: qualsiasi operazione o insieme di operazioni (...) applicate a dati personali o insiemi di dati personali, come (...) la conservazione (...);

(...)».

7        L’articolo 4 della direttiva 2016/680, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1 prevede quanto segue:

«Gli Stati membri dispongono che i dati personali siano:

(...)

c)      adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;

(...)

e)      conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

(...)».

8        L’articolo 5 di tale direttiva, intitolato «Termini per conservazione ed esame», è così formulato:

«Gli Stati membri dispongono che siano fissati adeguati termini per la cancellazione dei dati personali o per un esame periodico della necessità della conservazione dei dati personali. Misure procedurali garantiscono che tali termini siano rispettati».

9        L’articolo 10 di detta direttiva, intitolato «Trattamento di categorie particolari di dati personali», è così formulato:

«Il trattamento di dati (...) genetici [e] di dati biometrici intesi a identificare in modo univoco una persona fisica (...) è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell’interessato (...)».

10      L’articolo 13 della medesima direttiva, intitolato «Informazioni da rendere disponibili o da fornire all’interessato», dispone al suo paragrafo 2 che, in aggiunta alle informazioni di cui al paragrafo 1, gli Stati membri dispongono per legge che il titolare del trattamento fornisca all’interessato, in casi specifici, le ulteriori informazioni che tale paragrafo 2 elenca, per consentire a quest’ultimo di esercitare i propri diritti. Tra tali ulteriori informazioni figura in particolare, al punto b) di detto paragrafo 2, il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo. Inoltre, l’articolo 13, paragrafo 3, della direttiva 2016/680 indica i motivi per i quali gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione delle informazioni all’interessato ai sensi del paragrafo 2 di tale articolo.

11      L’articolo 14 della direttiva 2016/680, intitolato «Diritto di accesso dell’interessato», così recita:

«Fatto salvo l’articolo 15, gli Stati membri dispongono che l’interessato abbia il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

(...)

d)      quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

(...)».

12      L’articolo 16 di tale direttiva, intitolato «Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento», ai paragrafi 2 e 3 così dispone:

«2.      Gli Stati membri impongono al titolare del trattamento di cancellare i dati personali senza ingiustificato ritardo e stabiliscono il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione di dati personali che lo riguardano senza ingiustificato ritardo qualora il trattamento violi le disposizioni adottate a norma degli articoli 4, 8 o 10 o qualora i dati personali debbano essere cancellati per conformarsi a un obbligo legale al quale è soggetto il titolare del trattamento.

3.      Anziché cancellare, il titolare del trattamento limita il trattamento quando:

a)      l’esattezza dei dati personali è contestata dall’interessato e la loro esattezza o inesattezza non può essere accertata; o

b)      i dati personali devono essere conservati a fini probatori.

(...)».

13      Ai sensi dell’articolo 20 di detta direttiva, intitolato «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita», gli Stati membri dispongono che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti della medesima direttiva e tutelare i diritti degli interessati e, in particolare, per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

14      L’articolo 29 della direttiva 2016/680, intitolato «Sicurezza del trattamento», al suo paragrafo 1, così dispone:

«Gli Stati membri dispongono che il titolare del trattamento e il responsabile del trattamento, tenuto conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettano in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, in particolare riguardo al trattamento di categorie particolari di dati personali di cui all’articolo 10».

 Diritto bulgaro

 Codice penale

15      L’articolo 82, paragrafo 1, del Nakazatelen kodeks (codice penale, DV n. 26, del 2 aprile 1968), nella versione applicabile alla controversia di cui al procedimento principale, così dispone:

«La pena inflitta non è eseguita quando siano trascorsi:

1.      venti anni, se la pena è l’ergastolo senza possibilità di commutazione o l’ergastolo;

2.      quindici anni, se la pena prevista è la reclusione superiore a dieci anni;

3.      dieci anni, se la pena prevista è la reclusione da tre a dieci anni;

4.      cinque anni, se la pena è inferiore a tre anni di reclusione, e

5.      due anni, in tutti gli altri casi».

16      L’articolo 85, paragrafo 1, di tale codice prevede quanto segue:

«La riabilitazione cancella la condanna e annulla per il futuro gli effetti che la legge riconduce alla condanna stessa, a meno che una legge o un decreto dispongano diversamente».

17      L’articolo 88a di detto codice è così formulato:

«Quando è trascorso un periodo pari a quello di cui all’articolo 82, paragrafo 1, dal momento in cui la pena è stata scontata e la persona condannata non abbia commesso un nuovo reato doloso perseguibile d’ufficio punito con pena detentiva, la condanna e i suoi effetti sono cancellati, nonostante le disposizioni di altra legge o altro decreto».

 Legge relativa al Ministero dell’Interno

18      L’articolo 26 dello Zakon za Ministerstvoto na vatreshnite raboti (legge relativa al Ministero dell’Interno, DV n. 53, del 27 giugno 2014), nella versione applicabile al procedimento principale (in prosieguo: la «legge relativa al Ministero dell’Interno»), prevede quanto segue:

«(1)      Quando trattano dati personali in relazione alle attività di protezione della sicurezza nazionale, di lotta alla criminalità, di mantenimento dell’ordine pubblico e di svolgimento di procedimenti penali, le autorità del Ministero dell’Interno:

(...)

3.      possono trattare tutte le categorie necessarie di dati personali;

(...)

(2)      I termini di conservazione dei dati di cui al paragrafo 1 o di verifica periodica della necessità della loro archiviazione sono stabiliti dal Ministro dell’Interno. Tali dati sono cancellati anche in forza di un atto giudiziario o di una decisione della Commissione per la protezione dei dati personali».

19      Ai sensi dell’articolo 27 della legge relativa al Ministero dell’Interno:

«I dati provenienti dall’iscrizione delle persone nel registro di polizia effettuata sulla base dell’articolo 68 sono utilizzati solo ai fini della protezione della sicurezza nazionale, della lotta alla criminalità e del mantenimento dell’ordine pubblico».

20      L’articolo 68 di tale legge è così formulato:

«(1)      Le autorità di polizia iscrivono nel registro di polizia le persone accusate di un reato doloso perseguibile d’ufficio. Le autorità incaricate delle indagini preliminari sono tenute ad adottare le misure necessarie ai fini dell’iscrizione nel registro da parte delle autorità di polizia.

(2)      L’iscrizione nel registro di polizia è un tipo di trattamento dei dati personali delle persone di cui al paragrafo 1, il quale è effettuato nell’ambito della presente legge.

(3)      Ai fini dell’iscrizione nel registro di polizia, le autorità di polizia devono:

1.      raccogliere [i dati personali] di cui all’articolo 18 della legge relativa ai documenti d’identità bulgari;

2.      rilevare le impronte digitali delle persone e fotografare queste ultime;

3.      effettuare prelievi a fini di profilazione del DNA delle persone.

(...)

(6)      L’iscrizione nel registro di polizia è cancellata su ordine scritto del titolare del trattamento dei dati personali o dei funzionari da lui autorizzati, oppure d’ufficio o su domanda scritta e motivata della persona iscritta, quando:

1.      l’iscrizione è stata effettuata in violazione della legge;

2.      il procedimento penale è archiviato, salvo che nei casi di cui all’articolo 24, paragrafo 3, del [Nakazatelno-protsesualen kodeks (codice di procedura penale)];

3.      il procedimento penale si è concluso con un’assoluzione;

4.      la persona è stata esonerata dalla responsabilità penale e le è stata inflitta una sanzione amministrativa;

5.      la persona è deceduta, nel qual caso la domanda può essere presentata dai suoi eredi.

(...)».

 Procedimento principale e questione pregiudiziale

21      NG è stato iscritto nel registro di polizia, conformemente all’articolo 68 della legge relativa al Ministero dell’Interno, nell’ambito di indagini preliminari per il reato di falsa testimonianza, previsto dall’articolo 290, paragrafo 1, del codice penale. A seguito di tali indagini, nei confronti di NG è stata formulata l’imputazione e, con sentenza del 28 giugno 2016, confermata in appello il 2 dicembre 2016, egli è stato riconosciuto colpevole di tale reato e condannato a una pena detentiva di un anno con sospensione condizionale. Dopo aver scontato tale pena, NG ha beneficiato, in applicazione dell’articolo 82, paragrafo 1, in combinato disposto con l’articolo 88a del codice penale, di una riabilitazione, intervenuta il 14 marzo 2020.

22      Il 15 luglio 2020, sulla base di tale riabilitazione, NG ha presentato presso l’amministrazione territoriale competente del Ministero dell’Interno una domanda di cancellazione della sua iscrizione nel registro di polizia.

23      Con decisione del 2 settembre 2020, il DGPN ha respinto tale domanda, considerando che una condanna penale definitiva non rientra tra i motivi di cancellazione dell’iscrizione nel registro di polizia, tassativamente elencati all’articolo 68, paragrafo 6, della legge relativa al Ministero dell’Interno, nemmeno in caso di riabilitazione.

24      Con decisione del 2 febbraio 2021, l’Administrativen sad Sofia grad (Tribunale amministrativo della città di Sofia, Bulgaria) ha respinto il ricorso proposto da NG avverso tale decisione del DGPN per motivi sostanzialmente analoghi a quelli dedotti da quest’ultimo.

25      NG ha impugnato tale sentenza dinanzi al giudice del rinvio, il Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria). Il principale motivo di impugnazione verte sulla violazione del principio, desumibile dagli articoli 5, 13 e 14 della direttiva 2016/680, secondo cui il trattamento di dati personali risultante dalla loro conservazione non può avere durata illimitata. Orbene, secondo NG, in sostanza, ciò di fatto si verificherebbe se, in assenza di un motivo di cancellazione dell’iscrizione nel registro di polizia corrispondente all’ipotesi di una riabilitazione, l’interessato non possa mai ottenere la cancellazione dei dati personali raccolti in relazione al reato per il quale è stato definitivamente condannato, dopo aver scontato la sua pena e aver beneficiato di una siffatta riabilitazione.

26      A tal proposito, in primo luogo, il giudice del rinvio osserva che l’iscrizione nel registro di polizia costituisce un trattamento di dati personali effettuato per le finalità di cui all’articolo 1, paragrafo 1, della direttiva 2016/680, e rientra pertanto nell’ambito di applicazione di tale direttiva.

27      In secondo luogo, esso indica che la riabilitazione non rientra tra i motivi di cancellazione dell’iscrizione nel registro di polizia, elencati tassativamente all’articolo 68, paragrafo 6, della legge relativa al Ministero dell’Interno, e che nessun altro di tali motivi può applicarsi in un caso del genere, cosicché è impossibile, per l’interessato, ottenere la cancellazione della sua iscrizione in tale registro in tale ipotesi.

28      In terzo luogo, il giudice del rinvio rileva che il considerando 26 della direttiva 2016/680 fa riferimento a garanzie affinché la raccolta dei dati personali non sia eccessiva e i dati siano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, e stabilisce che il titolare del trattamento deve stabilire termini per la loro cancellazione o per la verifica periodica. Inoltre, esso ha dedotto dal considerando 34 di tale direttiva che il trattamento per le finalità di cui all’articolo 1, paragrafo 1, della stessa dovrebbe includere operazioni di limitazione, cancellazione o distruzione di tali dati. A suo avviso, tali principi si riflettono nell’articolo 5 e nell’articolo 13, paragrafi 2 e 3, di detta direttiva.

29      A tal proposito, il giudice del rinvio nutre dubbi quanto alla questione se gli obiettivi di cui al punto precedente ostino a una normativa nazionale che comporti, per le autorità competenti, un «diritto praticamente illimitato» di trattare i dati per le finalità di cui all’articolo 1, paragrafo 1, della direttiva 2016/680 e, per l’interessato, la perdita del diritto di limitare il trattamento o di ottenere la cancellazione dei propri dati.

30      Di conseguenza, il Varhoven administrativen sad (Corte suprema amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

«Se l’interpretazione dell’articolo 5 della [direttiva 2016/680], in combinato disposto con l’articolo 13, paragrafo 2, lettera b), e [paragrafo 3], di tale direttiva, ammetta misure legislative nazionali che comportano un diritto praticamente illimitato al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali e/o lo svuotamento del diritto dell’interessato ad ottenere la limitazione del trattamento, la cancellazione o la distruzione dei propri dati».

 Sulla questione pregiudiziale

31      Secondo una giurisprudenza costante, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita all’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia di cui è investito. In tale prospettiva, spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. Inoltre, la Corte può essere condotta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nella formulazione della sua questione (sentenza del 15 luglio 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punto 31 e giurisprudenza citata).

32      Nel caso di specie, la questione del giudice del rinvio trae origine dal fatto che, come risulta dalla domanda di pronuncia pregiudiziale e dalle indicazioni fornite dal governo bulgaro all’udienza dinanzi alla Corte, nessuno dei motivi che giustificano la cancellazione dei dati personali contenuti nel registro di polizia, tassativamente elencati dalla legge relativa al Ministero dell’Interno, è applicabile alla situazione di cui trattasi nel procedimento principale, in cui una persona è stata definitivamente condannata, e ciò persino dopo la sua riabilitazione, cosicché tali dati sono conservati in tale registro e possono essere trattati dalle autorità che vi hanno accesso senza alcuna limitazione di durata diversa dal verificarsi del decesso di detta persona.

33      A tal riguardo, anzitutto, dalla decisione di rinvio, in particolare dalle considerazioni riassunte al punto 27 della presente sentenza, e dai termini della stessa questione pregiudiziale risulta che il giudice del rinvio si interroga, in particolare, sulla compatibilità della normativa nazionale di cui trattasi nel procedimento principale con il principio di proporzionalità. Orbene, come evidenziato dal considerando 104 della direttiva 2016/680, le limitazioni apportate da tale direttiva al diritto alla protezione dei dati personali, previsto all’articolo 8 della Carta, nonché ai diritti al rispetto della vita privata e familiare e a un ricorso effettivo e a un giudice imparziale, tutelati rispettivamente dagli articoli 7 e 47 di tale Carta, devono essere interpretate conformemente ai requisiti di cui all’articolo 52, paragrafo 1, di quest’ultima, i quali includono il rispetto di tale principio.

34      Inoltre, nel formulare la sua questione, il giudice del rinvio fa giustamente riferimento all’articolo 5 di detta direttiva, relativo ai termini adeguati per la cancellazione dei dati personali o per l’esame periodico della necessità di conservare tali dati. Poiché detto articolo 5 è strettamente collegato sia all’articolo 4, paragrafo 1, lettere c) ed e), della medesima direttiva, sia all’articolo 16, paragrafi 2 e 3, di quest’ultima, occorre intendere la questione pregiudiziale come riguardante anche queste due disposizioni.

35      Analogamente, poiché la normativa nazionale di cui trattasi nel procedimento principale prevede la conservazione, segnatamente, di dati biometrici e genetici, che rientrano nelle categorie particolari di dati personali il cui trattamento è specificamente disciplinato dall’articolo 10 della direttiva 2016/680, si deve ritenere che la questione sollevata riguardi anche l’interpretazione di tale disposizione.

36      Infine, la rilevanza di un’interpretazione dell’articolo 13 della direttiva 2016/680 risulta chiaramente dalla domanda di pronuncia pregiudiziale solo per quanto riguarda il suo paragrafo 2, lettera b). È vero che, come rilevato dal giudice del rinvio, il suo paragrafo 3 riflette anche i principi enunciati, in particolare, al considerando 26 di tale direttiva. Tuttavia, dal fascicolo sottoposto alla Corte non risulta che nel procedimento principale sia anche in discussione una misura legislativa volta a ritardare o a limitare la fornitura di informazioni all’interessato, ai sensi di tale paragrafo 3.

37      Alla luce di quanto precede, si deve ritenere che, con la sua questione, il giudice del rinvio chieda, in sostanza, se l’articolo 4, paragrafo 1, lettere c) ed e), della direttiva 2016/680, in combinato disposto con gli articoli 5 e 10, l’articolo 13, paragrafo 2, lettera b), e l’articolo 16, paragrafi 2 e 3, di quest’ultima, e alla luce degli articoli 7 e 8 della Carta, debba essere interpretato nel senso che osta a una normativa nazionale che prevede la conservazione, dalle autorità di polizia, a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, di dati personali, in particolare di dati biometrici e genetici, riguardanti persone che hanno subito una condanna penale definitiva per un reato doloso perseguibile d’ufficio, fino al decesso dell’interessato, anche in caso di sua riabilitazione, senza peraltro riconoscergli il diritto alla cancellazione di tali dati o, se del caso, alla limitazione del loro trattamento.

38      In via preliminare, occorre rilevare che la questione sollevata riguarda il trattamento di dati personali per finalità che, ai sensi dell’articolo 1, paragrafo 1, della direttiva 2016/680, rientrano nell’ambito di applicazione di tale direttiva. Risulta, tuttavia, dall’articolo 27 della legge relativa al Ministero dell’Interno, citato nella decisione di rinvio, che i dati conservati nel registro di polizia possono anche essere oggetto di trattamenti nell’ambito della protezione della sicurezza nazionale, ai quali, ai sensi dell’articolo 2, paragrafo 3, lettera a), di tale direttiva, letto alla luce del suo considerando 14, quest’ultima non si applica. Spetterà dunque al giudice del rinvio assicurarsi che la conservazione dei dati del ricorrente nel procedimento principale non risponda a finalità relative alla protezione della sicurezza nazionale, considerando che tale articolo 2, paragrafo 3, lettera a), riguarda un’eccezione all’applicazione del diritto dell’Unione che dev’essere interpretata restrittivamente [v., per analogia, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 62 e giurisprudenza citata].

39      In primo luogo, occorre ricordare che i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta, non sono prerogative assolute, ma vanno considerati alla luce della loro funzione sociale e bilanciati con altri diritti fondamentali. Ogni limitazione all’esercizio di tali diritti fondamentali, conformemente all’articolo 52, paragrafo 1, della Carta, deve essere prevista dalla legge e rispettare il contenuto essenziale di detti diritti fondamentali nonché il principio di proporzionalità. In virtù di tale principio, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Esse devono operare nei limiti dello stretto necessario e la normativa che comporta le limitazioni controverse deve prevedere norme chiare e precise che ne disciplinano la portata e l’applicazione [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 105 e giurisprudenza citata].

40      Come sottolineato, in sostanza, nel considerando 26 della direttiva 2016/680, tali requisiti non sono soddisfatti quando l’obiettivo di interesse generale perseguito sia ragionevolmente conseguibile in modo altrettanto efficace con altri mezzi, meno pregiudizievoli per i diritti fondamentali degli interessati [v., per analogia, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 110 e giurisprudenza citata].

41      In secondo luogo, anzitutto, ai sensi dell’articolo 4, paragrafo 1, lettera c), di detta direttiva, gli Stati membri devono prevedere che i dati personali siano adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono trattati. Tale disposizione richiede quindi il rispetto, da parte degli Stati membri, del principio di «minimizzazione dei dati», che dà espressione al principio di proporzionalità [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 98 e giurisprudenza citata].

42      Ne consegue che, in particolare, la raccolta di dati personali nell’ambito di un procedimento penale e la loro conservazione da parte delle autorità di polizia per le finalità di cui all’articolo 1, paragrafo 1, di tale direttiva devono, come qualsiasi trattamento rientrante nel campo di applicazione di quest’ultima, rispettare tali requisiti. Una siffatta conservazione costituisce inoltre un’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, a prescindere dalla circostanza che le informazioni conservate costituiscano o meno dati sensibili, gli interessati abbiano o meno subito eventuali pregiudizi a causa di tale ingerenza o che i dati conservati siano o meno utilizzati in seguito (v., per analogia, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 44 e giurisprudenza citata).

43      Inoltre, per quanto riguarda, più precisamente, la proporzionalità del periodo di conservazione di detti dati, gli Stati membri devono, in forza dell’articolo 4, paragrafo 1, lettera e), della direttiva 2016/680, prevedere che tali dati siano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati.

44      In tale contesto, l’articolo 5 di tale direttiva impone agli Stati membri di prevedere la fissazione di adeguati termini per la cancellazione dei dati personali o per l’esame periodico della necessità di conservarli, nonché misure procedurali che garantiscano il rispetto di tali termini.

45      Come enunciato al considerando 26 della direttiva 2016/680, tale disposizione mira a garantire che, conformemente ai requisiti di cui all’articolo 4, paragrafo 1, lettera e), di tale direttiva, i dati personali non siano conservati più a lungo di quanto necessario. Certamente, essa lascia agli Stati membri il compito di fissare termini adeguati per la durata del periodo di conservazione e di decidere se tali termini riguardino la cancellazione di detti dati o l’esame periodico della necessità di conservarli, purché il rispetto di tali termini sia garantito da norme procedurali adeguate. Tuttavia, il carattere «adeguato» di tali termini richiede in ogni caso che, conformemente all’articolo 4, paragrafo 1, lettere c) ed e), di detta direttiva, letto alla luce dell’articolo 52, paragrafo 1, della Carta, detti termini consentano, se del caso, la cancellazione dei dati di cui trattasi nell’ipotesi in cui la loro conservazione non sia più necessaria rispetto alle finalità che hanno giustificato il trattamento.

46      È segnatamente al fine di consentire agli interessati di verificare tale carattere «adeguato» e, se del caso, di chiedere una siffatta cancellazione che l’articolo 13, paragrafo 2, lettera b), e l’articolo 14, lettera d), della direttiva 2016/680 prevedono che, in linea di principio, questi ultimi possano essere informati, ove possibile, del periodo di conservazione dei dati personali che li riguardano o, qualora ciò non sia possibile, dei criteri utilizzati per determinare tale periodo.

47      Inoltre, l’articolo 10 della direttiva 2016/680 costituisce una disposizione specifica che disciplina il trattamento di categorie particolari di dati personali, in particolare i dati biometrici e genetici. Tale disposizione mira a garantire una maggiore protezione dell’interessato, in quanto i dati di cui trattasi, a causa della loro particolare sensibilità e del contesto nel quale sono trattati, possono comportare, come risulta dal considerando 37 di detta direttiva, rischi significativi per le libertà e i diritti fondamentali, quali il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 116 e giurisprudenza citata].

48      Più in particolare, tale articolo 10 enuncia il requisito secondo cui il trattamento dei dati sensibili è autorizzato «solo se strettamente necessario», che definisce una condizione rafforzata di liceità del trattamento di tali dati e implica, segnatamente, un controllo particolarmente rigoroso del rispetto del principio della «minimizzazione dei dati», quale derivante dall’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680, del quale tale requisito costituisce un’applicazione specifica a detti dati sensibili [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punti 117, 122 e 125].

49      Infine, l’articolo 16, paragrafo 2, della direttiva 2016/680 stabilisce un diritto alla cancellazione dei dati personali qualora il trattamento violi le disposizioni adottate a norma degli articoli 4, 8 o 10 di tale direttiva o qualora tali dati debbano essere cancellati per conformarsi a un obbligo legale al quale è soggetto il responsabile del trattamento.

50      Da tale articolo 16, paragrafo 2, si evince che detto diritto alla cancellazione può essere esercitato, in particolare, quando la conservazione dei dati personali in questione non è o non è più necessaria rispetto alle finalità del loro trattamento, in contrasto con le disposizioni della normativa nazionale di attuazione dell’articolo 4, paragrafo 1, lettere c) ed e), di detta direttiva ed eventualmente dell’articolo 10 della stessa, o quando la cancellazione è necessaria per rispettare il termine stabilito a tal fine dalla normativa nazionale ai sensi dell’articolo 5 della medesima direttiva.

51      Tuttavia, in applicazione dell’articolo 16, paragrafo 3, della direttiva 2016/680, il diritto nazionale deve prevedere che il titolare del trattamento limiti il trattamento di tali dati invece di procedere alla loro cancellazione qualora, conformemente alla lettera a) di tale disposizione, l’interessato contesti l’esattezza dei dati personali e la loro esattezza o inesattezza non possa essere accertata, o qualora, conformemente alla sua lettera b), i dati personali debbano essere conservati a fini probatori.

52      Da quanto precede risulta che le disposizioni della direttiva 2016/680 esaminate ai punti da 41 a 51 della presente sentenza definiscono un quadro generale che consente di garantire, tra l’altro, che la conservazione dei dati personali e, più in particolare, la durata della stessa, sia limitata a quanto necessario alla luce delle finalità per le quali tali dati sono conservati, lasciando agli Stati membri il compito di determinare, nel rispetto di tale quadro generale, le situazioni specifiche in cui la tutela dei diritti fondamentali dell’interessato richiede la cancellazione di tali dati e il momento in cui tale cancellazione deve avvenire. Per contro, come rilevato, in sostanza, dall’avvocato generale al paragrafo 28 delle sue conclusioni, tali disposizioni non esigono che gli Stati membri definiscano limiti temporali assoluti per la conservazione dei dati personali, al di là dei quali questi ultimi dovrebbero essere automaticamente cancellati.

53      Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che i dati personali contenuti nel registro di polizia in forza dell’articolo 68 della legge relativa al Ministero dell’Interno sono conservati unicamente a fini di indagine operativa e, più in particolare, al fine di essere confrontati con altri dati raccolti nel corso di indagini relative ad altri reati.

54      A tal riguardo, in primo luogo, occorre sottolineare che la conservazione, in un registro di polizia, di dati relativi a persone che hanno subito una condanna penale definitiva può rivelarsi necessaria ai fini indicati al punto precedente, anche dopo che tale condanna sia stata cancellata dal casellario giudiziale e che, di conseguenza, gli effetti che la normativa nazionale riconduce a tale condanna siano estinti. Infatti, tali persone possono essere coinvolte nell’ambito di reati diversi da quelli per i quali sono state condannate o, al contrario, essere discolpate attraverso il confronto dei dati conservati da tali autorità con quelli raccolti nel corso dei procedimenti relativi a tali altri reati.

55      Una siffatta conservazione può contribuire infatti all’obiettivo d’interesse generale enunciato al considerando 27 della direttiva 2016/680, secondo cui, nell’interesse della prevenzione, dell’indagine e del perseguimento di reati, è necessario che le autorità competenti trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto per sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 98].

56      In secondo luogo, dal fascicolo di cui dispone la Corte risulta che sono conservati nel registro di polizia i dati relativi all’interessato oggetto della normativa bulgara in materia di documenti d’identità, il rilevamento delle sue impronte digitali, la sua fotografia nonché un prelievo per la profilazione del DNA, ai quali, come confermato dal governo bulgaro in udienza, si aggiungono i dati relativi ai reati commessi dall’interessato e alle relative condanne da questi subite. Orbene, tali diverse categorie di dati possono rivelarsi indispensabili per verificare se l’interessato sia coinvolto in reati diversi da quelli per i quali è stato condannato con sentenza definitiva. Di conseguenza, esse possono essere considerate, in linea di principio, adeguate e pertinenti rispetto alle finalità per le quali sono trattate, ai sensi dell’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680.

57      In terzo luogo, la proporzionalità di una tale conservazione rispetto alle sue finalità deve essere valutata anche alla luce delle misure tecniche e organizzative adeguate previste dal diritto nazionale, volte a garantire la riservatezza e la sicurezza dei dati conservati in relazione ai trattamenti contrari ai requisiti della direttiva 2016/680, conformemente agli articoli 20 e 29 di tale direttiva, e in particolare delle misure di cui all’articolo 20, paragrafo 2, di quest’ultima, assicurando che siano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento.

58      In quarto luogo, per quanto riguarda il periodo di conservazione dei dati personali di cui trattasi nel procedimento principale, risulta, nel caso di specie, dalla domanda di pronuncia pregiudiziale che solo nell’ipotesi di una condanna definitiva dell’interessato per un reato doloso perseguibile d’ufficio la conservazione di detti dati è mantenuta fino al decesso di quest’ultimo, mentre negli altri casi la normativa nazionale prevede la cancellazione delle iscrizioni delle persone formalmente accusate per un siffatto reato.

59      Al riguardo, si deve tuttavia constatare che la nozione di «reato doloso perseguibile d’ufficio» riveste un carattere particolarmente generale e può applicarsi a un gran numero di reati, indipendentemente dalla loro natura e dalla loro gravità [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 129].

60      Orbene, come parimenti rilevato, in sostanza, dall’avvocato generale ai paragrafi 73 e 74 delle sue conclusioni, le persone definitivamente condannate per un reato rientrante in tale nozione non presentano tutte lo stesso grado di rischio di essere coinvolte in altri reati, tale da giustificare un periodo uniforme di conservazione dei dati che le riguardano. Infatti, in taluni casi, alla luce di fattori quali la natura e la gravità del reato commesso o l’assenza di recidiva, il rischio rappresentato dalla persona condannata non giustificherà necessariamente la conservazione, fino al suo decesso, dei dati che la riguardano nel registro nazionale di polizia previsto a tal fine. In tali fattispecie non vi sarà più alcun rapporto necessario tra i dati conservati e l’obiettivo perseguito [v., per analogia, parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017, EU:C:2017:592, punto 205]. Pertanto, la loro conservazione non sarà conforme al principio di minimizzazione dei dati, enunciato all’articolo 4, paragrafo 1, lettera c), della direttiva 2016/680 ed eccederà il periodo di tempo necessario al conseguimento delle finalità per le quali sono trattati, in contrasto con l’articolo 4, paragrafo 1, lettera e), di tale direttiva.

61      Occorre precisare al riguardo che, certamente, come sottolineato, in sostanza, dall’avvocato generale al paragrafo 70 delle sue conclusioni, la riabilitazione di una tale persona, che comporta la cancellazione della sua condanna dal casellario giudiziale, come quella intervenuta nel procedimento principale, non può di per sé escludere la necessità della conservazione dei suoi dati nel registro di polizia, poiché quest’ultima risponde a finalità diverse a quella dell’elenco dei suoi precedenti penali in detto casellario giudiziale. Tuttavia, qualora, come nel caso di specie, in forza delle disposizioni applicabili del diritto penale nazionale, una siffatta riabilitazione sia subordinata alla mancata commissione di un nuovo reato doloso perseguibile d’ufficio durante un determinato periodo di tempo dopo che la pena è stata scontata, essa può costituire l’indizio di un rischio meno elevato rappresentato dalla persona interessata alla luce degli obiettivi di lotta contro la criminalità o di mantenimento dell’ordine pubblico e, quindi, un elemento idoneo a ridurre la durata necessaria di tale conservazione.

62      In quinto luogo, il principio di proporzionalità, enunciato all’articolo 52, paragrafo 1, della Carta, implica, in particolare, una ponderazione dell’importanza dell’obiettivo perseguito e della gravità della limitazione apportata all’esercizio dei diritti fondamentali in questione (v., in tal senso, sentenza del 22 novembre 2022, Luxembourg Business Registers, C‑37/20 e C‑601/20, EU:C:2022:912, punto 66).

63      Nel caso di specie, come ricordato al punto 35 della presente sentenza, la conservazione dei dati personali nel registro di polizia di cui trattasi include dati biometrici e genetici. Si deve quindi sottolineare che, alla luce dei rischi significativi rappresentati dal trattamento di tali dati sensibili per i diritti e le libertà degli interessati, in particolare nel contesto dei compiti delle autorità competenti ai fini enunciati all’articolo 1, paragrafo 1, della direttiva 2016/680, la particolare rilevanza dell’obiettivo perseguito deve essere valutata alla luce di una serie di elementi pertinenti. Tali elementi di valutazione comprendono, in particolare, il fatto che il trattamento persegua un obiettivo concreto connesso alla prevenzione di reati o di minacce alla pubblica sicurezza che presentino un certo livello di gravità, alla repressione di simili reati o alla protezione contro simili minacce, nonché le circostanze specifiche in cui tale trattamento è effettuato [sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punto 127].

64      In tale contesto, la Corte ha affermato che una normativa nazionale che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d’ufficio è contraria, in linea di principio, al requisito della stretta necessità, sancito all’articolo 10 della direttiva 2016/680 e ricordato al punto 48 della presente sentenza. Una simile normativa può infatti condurre, in modo indifferenziato e generalizzato, alla raccolta dei dati biometrici e genetici della maggior parte delle persone formalmente accusate [v., in tal senso, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), C‑205/21, EU:C:2023:49, punti 128 e 129].

65      La Corte europea dei diritti dell’uomo, dal canto suo, ha dichiarato che il carattere generale e indifferenziato con cui opera il meccanismo di conservazione delle impronte digitali, dei campioni biologici e dei profili di DNA di individui sospettati della commissione di reati, ma non condannati, come previsto dalla normativa nazionale controversa nella causa di cui tale organo giurisdizionale era investito, non garantiva un corretto bilanciamento dei concorrenti interessi pubblici e privati in gioco e che, di conseguenza, la conservazione di tali dati costituiva un’ingerenza sproporzionata nel diritto dei ricorrenti al rispetto della loro vita privata e non poteva essere considerata necessaria in una società democratica. Una simile ingerenza costituiva pertanto una violazione dell’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 (Corte EDU, 4 dicembre 2008, S. e Marper c. Regno Unito, CE:ECHR:2008:1204JUD003056204, §§ 125 e 126).

66      È vero che la conservazione dei dati biometrici e genetici di persone che hanno già subito una condanna penale definitiva, anche fino al decesso di tali persone, può rivestire un carattere di necessità assoluta, ai sensi dell’articolo 10 della direttiva 2016/680, in particolare per consentire di verificare il loro eventuale coinvolgimento in altri reati e, quindi, di perseguire e condannare gli autori di tali reati. Occorre infatti tenere conto dell’importanza propria di questo tipo di dati per le indagini penali, incluse quelle condotte molti anni dopo i fatti, in particolare quando detti reati costituiscono crimini gravi (v., in tal senso, Corte EDU, 13 febbraio 2020, Gaughran c. Royaume-Uni, CE:ECHR:2020:0213JUD004524515, § 93).

67      Tuttavia, la conservazione di dati biometrici e genetici può essere considerata rispondente al requisito secondo cui essa deve essere autorizzata solo «se strettamente necessario», ai sensi dell’articolo 10 della direttiva 2016/680, soltanto se prende in considerazione la natura e la gravità del reato punito con condanna penale definitiva, o altre circostanze quali il contesto particolare in cui tale reato è stato commesso, il suo eventuale collegamento con altri procedimenti in corso o ancora i precedenti o il profilo della persona condannata. Pertanto, laddove la normativa nazionale preveda, come quella controversa nel procedimento principale, che i dati biometrici e genetici degli interessati inseriti nel registro di polizia siano conservati fino al decesso degli stessi in caso di loro condanna penale definitiva, l’ambito di applicazione di tale conservazione è, come rilevato ai precedenti punti 59 e 60, eccessivamente ampio rispetto alle finalità per le quali tali dati sono trattati.

68      In sesto luogo, per quanto riguarda, da un lato, l’obbligo degli Stati membri di prevedere la fissazione di termini adeguati, sancito dall’articolo 5 della direttiva 2016/680, si deve osservare che, per i motivi esposti ai punti 59, 60 e 67 della presente sentenza e tenuto conto dei requisiti di cui all’articolo 4, paragrafo 1, lettere c) ed e), e all’articolo 10 di tale direttiva, un termine può essere considerato «adeguato», ai sensi dello stesso articolo 5, in particolare per quanto riguarda la conservazione dei dati biometrici e genetici di ogni persona condannata con sentenza definitiva per un reato doloso perseguibile d’ufficio, solo se tiene conto delle circostanze pertinenti che rendono necessario un tale periodo di conservazione, come quelle menzionate al punto 67 della presente sentenza.

69      Di conseguenza, anche se il riferimento, nella normativa nazionale, al verificarsi del decesso dell’interessato può costituire un «termine» per la cancellazione dei dati conservati, ai sensi di detto articolo 5, un siffatto termine può essere considerato «adeguato» solo in circostanze particolari che lo giustifichino debitamente. Orbene, tale ipotesi manifestamente non ricorre quando esso è applicabile in modo generale e indifferenziato a qualsiasi persona condannata definitivamente.

70      Certamente, come rilevato al punto 45 della presente sentenza, l’articolo 5 della direttiva 2016/680 lascia agli Stati membri il compito di decidere se debbano essere fissati termini per la cancellazione di tali dati o per l’esame periodico della necessità di conservarli. Tuttavia, dal medesimo punto risulta altresì che l’«adeguatezza» dei termini per un siffatto esame periodico richiede che essi consentano, conformemente all’articolo 4, paragrafo 1, lettere c) ed e), di tale direttiva, letto alla luce dell’articolo 52, paragrafo 1, della Carta, di ottenere la cancellazione dei dati di cui trattasi, nel caso in cui la loro conservazione non sia più necessaria. Orbene, per i motivi ricordati al punto precedente della presente sentenza, un siffatto requisito non è soddisfatto quando, come nel caso di specie, l’unico caso in cui la normativa nazionale prevede una siffatta cancellazione, per quanto riguarda una persona condannata in via definitiva per un reato doloso perseguibile d’ufficio, è il verificarsi del suo decesso.

71      Per quanto riguarda, dall’altro lato, le garanzie previste dall’articolo 16, paragrafi 2 e 3, di tale direttiva, in merito alle condizioni relative ai diritti alla cancellazione e alla limitazione del trattamento, dai punti 50 e 51 della presente sentenza emerge che tali disposizioni ostano anche a una normativa nazionale che non consente a una persona condannata in via definitiva per un reato doloso perseguibile d’ufficio di esercitare tali diritti.

72      Alla luce di tutte le considerazioni che precedono, occorre rispondere alla questione sollevata che l’articolo 4, paragrafo 1, lettere c) ed e), della direttiva 2016/680, in combinato disposto con gli articoli 5 e 10, con l’articolo 13, paragrafo 2, lettera b), e con l’articolo 16, paragrafi 2 e 3, di quest’ultima, e alla luce degli articoli 7 e 8 della Carta, deve essere interpretato nel senso che osta a una normativa nazionale che prevede la conservazione da parte delle autorità di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, di dati personali, in particolare di dati biometrici e genetici, riguardanti persone che hanno subito una condanna penale definitiva per un reato doloso perseguibile d’ufficio, fino al decesso della persona interessata, anche in caso di riabilitazione di quest’ultima, senza porre a carico del titolare del trattamento l’obbligo di esaminare periodicamente se tale conservazione sia ancora necessaria, né riconoscere a detta persona il diritto alla cancellazione di tali dati, dal momento che la loro conservazione non è più necessaria rispetto alle finalità per le quali sono stati trattati, o, eventualmente, il diritto alla limitazione del loro trattamento.

 Sulle spese

73      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Grande Sezione) dichiara:

L’articolo 4, paragrafo 1, lettere c) ed e), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, in combinato disposto con gli articoli 5 e 10, con l’articolo 13, paragrafo 2, lettera b), e con l’articolo 16, paragrafi 2 e 3, di tale direttiva, e alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea,

deve essere interpretato nel senso che:

osta a una normativa nazionale che prevede la conservazione da parte delle autorità di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, di dati personali, in particolare di dati biometrici e genetici, riguardanti persone che hanno subito una condanna penale definitiva per un reato doloso perseguibile d’ufficio, fino al decesso della persona interessata, anche in caso di riabilitazione di quest’ultima, senza porre a carico del titolare del trattamento l’obbligo di esaminare periodicamente se tale conservazione sia ancora necessaria, né riconoscere a detta persona il diritto alla cancellazione di tali dati, dal momento che la loro conservazione non è più necessaria rispetto alle finalità per le quali sono stati trattati, o, eventualmente, il diritto alla limitazione del loro trattamento.

Firme