Tutela dei dati: l'acquisizione obbligatoria delle impronte digitali nelle carte d'identità è una misura legittima per la libera circolazione dei cittadini

Il regolamento 2019/1157 [1] stabilisce l'obbligo, a decorrere dal 2 agosto 2021, di inserire in un supporto di memorizzazione altamente protetto un'immagine delle impronte digitali del titolare di ogni nuova carta di identità [2] rilasciata dagli Stati membri.

Nel novembre 2021 un cittadino tedesco ha chiesto al comune di Wiesbaden (Germania) il rilascio di una nuova carta d'identità. Nella sua domanda, egli ha chiesto specificamente che tale carta fosse rilasciata senza l'inserimento di un'immagine delle impronte digitali nel chip.

Il comune di Wiesbaden ha respinto la domanda, in particolare a motivo del fatto che non era possibile rilasciare una carta d'identità senza l'immagine delle impronte digitali del titolare, dato che, dal 2 agosto 2021, era divenuto obbligatorio memorizzare un'immagine delle impronte digitali nel chip delle nuove carte d'identità.

Il giudice investito della controversia, il Tribunale amministrativo di Wiesbaden, nutre dubbi quanto alla validità del regolamento 2019/1157, e, dunque, del carattere obbligatorio dell'acquisizione e della memorizzazione delle impronte digitali nelle carte d'identità tedesche.

In primo luogo, tale giudice chiede se il fondamento giuridico adeguato ai fini dell'adozione del regolamento 2019/1157 fosse l'articolo 21, paragrafo 2, TFUE, anziché l'articolo 77, paragrafo 3, del medesimo trattato; in secondo luogo, se il regolamento 2019/1157 sia compatibile con gli articoli 7 e 8 della Carta, interpretati in combinato disposto con l'articolo 52, paragrafo 1, della stessa; e, in terzo luogo, se il suddetto regolamento sia conforme all'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 10, del regolamento generale sulla protezione dei dati [3].

Nelle sue conclusioni odierne, l'Avvocato Generale Laila Medina conclude, anzitutto, che il regolamento 2019/1157 è stato correttamente adottato sulla base dell'articolo 21, paragrafo 2, TFUE al fine di facilitare l'esercizio del diritto dei cittadini dell'Unione di circolare e soggiornare liberamente nel territorio degli Stati membri.

A tal riguardo, ella sottolinea che tale diritto consente ai cittadini dell'Unione di immergersi nella vita quotidiana degli altri residenti dello Stato membro ospitante. Le carte d'identità nazionali svolgono quindi la stessa funzione delle carte di detti residenti, il che significa che soltanto una prova d'identità affidabile e autentica facilita il pieno godimento della libera circolazione.

L'omogeneizzazione del formato delle carte d'identità nazionali e il miglioramento della loro affidabilità mediante norme di sicurezza, ivi compreso l'inserimento di impronte digitali, incidono direttamente sull'esercizio del diritto di cui trattasi, rendendo dette carte più affidabili e, per questo motivo, più facilmente accettate dalle autorità degli Stati membri e dagli enti prestatori di servizi. In ultima analisi, ciò equivale a ridurre i disagi, i costi e le barriere amministrative per i cittadini mobili dell'Unione.

Ella considera, infine, che la competenza attribuita al Consiglio dall'articolo 77, paragrafo 3, TFUE deve essere intesa nel senso che si riferisce soltanto al contesto della politica dei controlli di frontiera. Una misura dell'Unione che vada al di là di tale contenuto specifico, come nel caso del regolamento 2019/1157, non rientrerebbe nell'ambito di applicazione della suddetta disposizione.

L'Avvocato Generale esamina poi la questione se l'obbligo di acquisire e memorizzare un'immagine di due impronte digitali nelle carte d'identità costituisca una limitazione ingiustificata del diritto fondamentale al rispetto della vita privata per quanto attiene al trattamento dei dati personali.

A suo avviso, il regolamento 2019/1157, che introduce misure analoghe a quelle esaminate dalla Corte nella sentenza Schwarz per quanto concerne i passaporti, costituisce una limitazione dei diritti garantiti dagli articoli 7 e 8 della Carta. Di conseguenza, è necessario verificare se il trattamento in questione possa essere giustificato sulla base dell'articolo 52, paragrafo 1, della Carta.

Per quanto concerne la questione se le limitazioni risultanti dal regolamento 2019/1157 rispondano a una finalità di interesse generale, l'Avvocato Generale ritiene che, poiché la mancanza di omogeneità per quanto riguarda i formati e gli elementi di sicurezza delle carte d'identità nazionali aumenta il rischio di falsificazione e di frode documentale, le limitazioni introdotte dal regolamento 2019/1157, che mirano a prevenire detto rischio e, quindi, a favorire l'accettazione di tali carte, rispondano a siffatta finalità.

Inoltre, ella ritiene che le suddette limitazioni siano idonee, necessarie e non eccedano quanto indispensabile per conseguire l'obiettivo principale del regolamento in parola. In particolare, non sembra esistere un metodo altrettanto idoneo, ma meno invasivo rispetto all'acquisizione e alla memorizzazione di impronte digitali, al fine di conseguire, in modo analogamente efficace, l'obiettivo di detto regolamento. Inoltre, il regolamento 2019/1157 contiene misure sufficienti e idonee a garantire che l'acquisizione, la memorizzazione e l'uso degli identificatori biometrici siano efficacemente tutelati contro trattamenti impropri e abusivi. Tali misure garantiscono che, dopo il rilascio della carta, gli identificatori biometrici memorizzati in carte di nuova emissione siano a disposizione del solo titolare e che non siano pubblicamente accessibili. Inoltre, il regolamento 2019/1157 non fornisce una base giuridica per la costituzione o il mantenimento di banche dati nazionali o di una banca dati centralizzata a livello dell'Unione.

Infine, per quanto concerne la questione se il regolamento 2019/1157 sia conforme all'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 10, del GDPR, l'avvocato generale sottolinea che il GDPR e il regolamento 2019/1157 sono atti di diritto derivato che, nella gerarchia delle fonti del diritto dell'Unione, occupano una posizione equivalente. Inoltre, non risulta in alcun punto del GDPR che l'obbligo di effettuare una valutazione d'impatto, quale previsto all'articolo 35, paragrafo 1, di quest'ultimo, vincoli il legislatore dell'Unione, né tale disposizione stabilisce un criterio alla luce del quale dovrebbe essere valutata la validità di un'altra norma di diritto derivato dell'Unione. Di conseguenza, ad avviso dell'Avvocato Generale, il Parlamento europeo e il Consiglio non erano obbligati a effettuare una valutazione d'impatto nel corso del processo legislativo che ha condotto all'adozione del regolamento 2019/1157.

___________________________________________________________________________________________-

[1] Articolo 3, paragrafo 5, del regolamento 2019/1157 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sul rafforzamento della sicurezza delle carte d'identità dei cittadini dell'Unione e dei titoli di soggiorno rilasciati ai cittadini dell'Unione e ai loro familiari che esercitano il diritto di libera circolazione (GU 2019, L 188, pag. 67).

[2] Relativamente allo stesso obbligo, per quanto concerne i passaporti, v. sentenza del 17 ottobre 2013, Schwarz, C-291/12.

[3] Articolo 35, paragrafo 10, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).