Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Raccolta sistematica di dati biometrici e genetici durante indagine non rispetta diritto UE (CGUE, 205/21)

26 gennaio 2023, Corte di giustizia UE

Contraria al diritto dell'Unione europea una normativa nazionale che prevede la raccolta sistematica di dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio, ai fini della loro registrazione, senza prevedere l'obbligo, per l'autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall'altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un'ingerenza meno grave nei diritti e nelle libertà della persona interessata.

  

Corte di Giustizia dell'Unione europea

Quinta Sezione, sentenza 26 gennaio 2023, causa C-205/21


«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva (UE) 2016/680 – Articolo 4, paragrafo 1, lettere da a) a c) – Principi relativi al trattamento dei dati personali – Limitazione delle finalità – Minimizzazione dei dati – Articolo 6, lettera a) – Chiara distinzione tra i dati personali delle diverse categorie di persone – Articolo 8 – Liceità del trattamento – Articolo 10 – Trasposizione – Trattamento di dati biometrici e di dati genetici – Nozione di “trattamento autorizzato dal diritto dello Stato membro” – Nozione di “strettamente necessario” – Potere discrezionale – Carta dei diritti fondamentali dell'Unione europea – Articoli 7,8,47,48 e 52 – Diritto a una tutela giurisdizionale effettiva – Presunzione d'innocenza – Limitazione – Reato doloso perseguibile d'ufficio – Persone formalmente accusate – Raccolta di dati fotografici e dattiloscopici, ai fini della loro registrazione, e prelievo di un campione biologico per l'elaborazione di un profilo del DNA – Procedimento di esecuzione coercitiva della raccolta – Sistematicità della raccolta»

Sentenza

1 La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 4, paragrafo 1, lettere a) e c), dell'articolo 6, lettera a), e degli articoli 8 e 10 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89), nonché degli articoli 3,8,48 e 52 della Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»).

2 Tale domanda è stata presentata nell'ambito di un procedimento penale a carico di V.S., la quale, in seguito alla sua messa in stato di accusa formale, ha rifiutato la raccolta, da parte della polizia, dei suoi dati biometrici e genetici ai fini della loro registrazione.

Contesto normativo

Diritto dell'Unione

RGPD

3 Il considerando 19 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), enuncia quanto segue:

«La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell'Unione [europea]. Il presente regolamento non dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità. (...)».

4 L'articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», ai paragrafi 1 e 2 così dispone:

«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

(...)

d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse».

5 L'articolo 9 del RGPD, intitolato «Trattamento di categorie particolari di dati personali», ai paragrafi 1, 2 e 4 prevede quanto segue:

«1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, (...);

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, (...);

c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica (...);

d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, (...);

e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (...);

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (...).

(...)

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».

Direttiva 2016/680

6 I considerando da 9 a 12, 14, 26, 27, 31 e 37 della direttiva 2016/680 enunciano quanto segue:

«(9) (...) il [RGPD] stabilisce norme generali per la protezione delle persone fisiche in relazione al trattamento dei dati personali e per la libera circolazione dei dati personali nell'Unione.

(10) Nella dichiarazione n. 21, relativa alla protezione dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, allegata all'atto finale della conferenza intergovernativa che ha adottato il trattato di Lisbona, la conferenza riconosce che potrebbero rivelarsi necessarie, in considerazione della specificità dei settori in questione, norme specifiche sulla protezione dei dati personali e sulla libera circolazione di dati personali nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia, in base all'articolo 16 TFUE.

(11) È pertanto opportuno per i settori in questione che una direttiva stabilisca le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. (...)

(12) Le attività svolte dalla polizia o da altre autorità preposte all'applicazione della legge vertono principalmente sulla prevenzione, l'indagine, l'accertamento o il perseguimento di reati, comprese le attività di polizia condotte senza previa conoscenza della rilevanza penale di un fatto. (...) Gli Stati membri possono conferire alle autorità competenti altri compiti che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento o perseguimento di reati, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, cosicché il trattamento di dati personali per tali altre finalità, nella misura in cui ricada nell'ambito di applicazione del diritto dell'Unione, rientra nell'ambito di applicazione del [RGPD].

(...)

(14) Poiché la presente direttiva non dovrebbe applicarsi al trattamento di dati personali nell'ambito di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione, le attività concernenti la sicurezza nazionale, le attività delle agenzie o unità che si occupano di questioni connesse alla sicurezza nazionale e il trattamento dei dati personali effettuato dagli Stati membri nell'esercizio di attività rientranti nell'ambito di applicazione del titolo V, capo 2, del trattato [UE] non dovrebbero essere considerate attività rientranti nell'ambito di applicazione della presente direttiva.

(...)

(26) (...) I dati personali dovrebbero essere adeguati e pertinenti alle finalità del trattamento. Dovrebbe, in particolare, essere garantito che la raccolta dei dati personali non sia eccessiva e che i dati siano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. (...)

(27) Nell'interesse della prevenzione, dell'indagine e del perseguimento di reati, è necessario che le autorità competenti trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto per sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati.

(...)

(31) È inerente al trattamento dei dati personali nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia che siano trattati dati personali relativi a diverse categorie di interessati. Pertanto dovrebbe essere operata, se del caso e per quanto possibile, una chiara distinzione tra i dati personali relativi a diverse categorie di interessati, quali: indiziati, condannati, persone offese e altri soggetti, quali testimoni, persone informate dei fatti, persone in contatto o collegate a indiziati o condannati. Ciò non dovrebbe impedire l'applicazione del diritto alla presunzione di innocenza garantito dalla Carta e dalla [Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950], come interpretato nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell'uomo.

(...)

(37) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...)».

7 L'articolo 1 di tale direttiva, intitolato «Oggetto e obiettivi», ai suoi paragrafi 1 e 2 così dispone:

«1. La presente direttiva stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

2. Ai sensi della presente direttiva gli Stati membri:

a) tutelano i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali; (...)

b) garantiscono che lo scambio dei dati personali da parte delle autorità competenti all'interno dell'Unione, qualora tale scambio sia richiesto dal diritto dell'Unione o da quello dello Stato membro, non sia limitato né vietato per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».

8 L'articolo 2 di detta direttiva, intitolato «Ambito di applicazione», ai paragrafi 1 e 3 prevede quanto segue:

«1. La presente direttiva si applica al trattamento dei dati personali da parte delle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1.

(...)

3. La presente direttiva non si applica ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

(...)».

9 Ai sensi dell'articolo 3 della stessa direttiva:

«Ai fini della presente direttiva si intende per:

1. “dati personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile, (l'“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici dell'identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica;

2. “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7. “autorità competente”:

a) qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; (...)

(...)

12. “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

13. “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

(...)».

10 L'articolo 4 della direttiva 2016/680, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1 prevede quanto segue:

«Gli Stati membri dispongono che i dati personali siano:

a) trattati in modo lecito e corretto;

b) raccolti per finalità determinate, esplicite e legittime e trattati in modo non incompatibile con tali finalità;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali sono trattati;

(...)».

11 L'articolo 6 di tale direttiva, intitolato «Distinzione tra diverse categorie di interessati», così dispone:

«Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella misura del possibile, operi una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali:

a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato;

b) le persone condannate per un reato;

c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato, e

d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b)».

12 L'articolo 8 di detta direttiva, intitolato «Liceità del trattamento», enuncia quanto segue:

«1. Gli Stati membri dispongono che il trattamento sia lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di un'autorità competente, per le finalità di cui all'articolo 1, paragrafo 1, e si basa sul diritto dell'Unione o dello Stato membro.

2. Il diritto dello Stato membro che disciplina il trattamento nell'ambito di applicazione della presente direttiva specifica quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento».

13 L'articolo 9 della medesima direttiva, intitolato «Condizioni di trattamento specifiche», ai paragrafi 1 e 2 così dispone:

«1. I dati personali raccolti dalle autorità competenti per le finalità di cui all'articolo 1, paragrafo 1, non possono essere trattati per finalità diverse da quelle di cui all'articolo 1, paragrafo 1, a meno che tale trattamento non sia autorizzato dal diritto dell'Unione o dello Stato membro. Qualora i dati personali siano trattati per tali finalità diverse, si applica il [RGPD], a meno che il trattamento non sia effettuato nell'ambito di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione.

2. Qualora il diritto dello Stato membro affidi alle autorità competenti l'esecuzione di compiti diversi da quelli eseguiti per le finalità di cui all'articolo 1, paragrafo 1, il [RGPD] si applica al trattamento per tali finalità (...), a meno che il trattamento non sia effettuato nel contesto di un'attività che non rientra nell'ambito di applicazione del diritto dell'Unione».

14 Ai sensi dell'articolo 10 della direttiva 2016/680:

«Il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, e il trattamento di dati genetici, di dati biometrici intesi a identificare in modo univoco una persona fisica o di dati relativi alla salute o di dati relativi alla vita sessuale della persona fisica o all'orientamento sessuale è autorizzato solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato e soltanto:

a) se autorizzato dal diritto dell'Unione o dello Stato membro;

b) per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica; o

c) se il suddetto trattamento riguarda dati resi manifestamente pubblici dall'interessato».

15 L'articolo 52 di tale direttiva, intitolato «Diritto di proporre reclamo all'autorità di controllo», al paragrafo 1 enuncia quanto segue:

«Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei dati personali che lo riguardano violi le disposizioni adottate a norma della presente direttiva abbia il diritto di proporre reclamo a un'unica autorità di controllo».

16 L'articolo 53 di detta direttiva, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo», al paragrafo 1 così dispone:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, gli Stati membri prevedono il diritto di una persona fisica o giuridica a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda».

17 Ai sensi dell'articolo 54 della medesima direttiva, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento»:

«Gli Stati membri dispongono che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 52, l'interessato abbia il diritto a un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode ai sensi delle disposizioni adottate a norma della presente direttiva siano stati violati a seguito del trattamento dei propri dati personali in violazione di tali disposizioni».

18 L'articolo 63 della direttiva 2016/680, intitolato «Recepimento», ai suoi paragrafi 1 e 4 così dispone:

«1. Gli Stati membri adottano e pubblicano, entro il 6 maggio 2018, le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. (...)

Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità di tale riferimento sono stabilite dagli Stati membri.

(...)

4. Gli Stati membri comunicano alla Commissione il testo delle disposizioni fondamentali di diritto interno che adottano nel settore disciplinato dalla presente direttiva».

Diritto bulgaro

NK

19 Ai sensi dell'articolo 11, paragrafo 2, del Nakazatelen Kodeks (codice penale), nella sua versione applicabile al procedimento principale (in prosieguo: il «NK»), i reati sono dolosi quando l'autore è consapevole della natura del suo atto, o quando il verificarsi del risultato del reato è stato voluto dall'autore, o quando esso lo ha consentito. La maggior parte dei reati previsti nel NK sono reati dolosi.

20 Conformemente all'articolo 255 del NK, «colui che commette una frode nella liquidazione e nel pagamento di debiti tributari fino a concorrenza di importi ingenti» secondo le modalità esplicitamente indicate nella legge, è punito con una pena detentiva da uno a sei anni, nonché con un'ammenda di 2 000 leva bulgari (circa EUR 1 000).

21 Conformemente al combinato disposto dell'articolo 321, paragrafi 2 e 3, e dell'articolo 94, punto 20, del NK, colui che partecipa a un'organizzazione criminale costituita a fini di lucro per commettere infrazioni passibili di una sanzione superiore a tre anni di «privazione della libertà», è punito con una pena di «privazione della libertà» di durata compresa tra i tre e i dieci anni. Si precisa altresì che tale reato è doloso e che è perseguito ai sensi del diritto ordinario.

NPK

22 L'articolo 46, paragrafo 1, e l'articolo 80 del Nakazatelno-protsesualen kodeks (codice di procedura penale), nella sua versione applicabile al procedimento principale (in prosieguo: il «NPK»), prevedono che i reati sono perseguibili o d'ufficio, vale a dire che l'accusa è avviata dalla procura, o su istanza della parte civile. Quasi tutti i reati previsti dal NK sono perseguibili d'ufficio.

23 In forza dell'articolo 219, paragrafo 1, del NPK, «qualora siano raccolte prove sufficienti per ritenere che una determinata persona sia colpevole di aver commesso un reato perseguibile d'ufficio», tale persona è formalmente accusata e ne è informata. Essa può essere oggetto di diverse misure di coercizione procedurale, ma può al contempo difendersi, fornendo spiegazioni o producendo elementi di prova.

ZZLD

24 In forza dell'articolo 51 dello zakon za zashtita na lichnite danni (legge sulla protezione dei dati personali) (DV n. 1, del 4 gennaio 2002; in prosieguo: lo «ZZLD»), il trattamento dei dati genetici e dei dati biometrici al fine di identificare una persona fisica in modo univoco è autorizzato solo se strettamente necessario, se i diritti e le libertà della persona interessata sono adeguatamente garantiti e se tale trattamento è stato previsto dal diritto dell'Unione o dal diritto bulgaro. Qualora esso non sia previsto dal diritto dell'Unione o dal diritto bulgaro, per autorizzarlo devono essere coinvolti interessi vitali, oppure i dati devono essere stati resi pubblici dall'interessato.

ZMVR

25 Ai sensi dell'articolo 6 dello zakon sa Ministerstvo na vatreshnite raboti (legge sul Ministero degli Affari interni) (DV n. 53, del 27 giugno 2014; in prosieguo: lo «ZMVR»), il Ministero degli Affari interni svolge determinate attività principali, tra cui un'attività di ricerca operativa e di monitoraggio, attività di indagine relative ai reati e un'attività di intelligence.

26 In forza dell'articolo 18, paragrafo 1, dello ZMVR, l'attività di intelligence consiste nel raccogliere, trattare, classificare, conservare e utilizzare le informazioni. In forza dell'articolo 20, paragrafo 1, di tale legge, l'attività di intelligence si basa su informazioni riprodotte o soggette alla riproduzione su supporti di registrazione, elaborati dalle autorità del Ministero degli Affari interni.

27 L'articolo 25, paragrafo 1, dello ZMVR autorizza il Ministero degli Affari interni a trattare dati personali ai fini dell'esecuzione delle sue attività. Tenuto conto dell'articolo 6 dello ZMVR, ne consegue che il Ministero degli Affari interni tratta i dati personali al fine di svolgere le sue attività principali, vale a dire la sua attività di ricerca operativa, di monitoraggio e di indagine relativa ai reati.

28 L'articolo 25, paragrafo 3, dello ZMVR prevede che il trattamento di dati personali si effettua in forza di tale legge, conformemente al RGPD e allo ZZLD.

29 In forza dell'articolo 25 bis, paragrafo 1, dello ZMVR, il trattamento di dati personali contenenti dati genetici e dati biometrici al fine di identificare una persona fisica in maniera univoca è consentito soltanto alle condizioni previste all'articolo 9 del RGPD o all'articolo 51 dello ZZLD.

30 Ai sensi dell'articolo 27 dello ZMVR, i dati registrati dalla polizia ai sensi dell'articolo 68 di tale legge sono utilizzati solo nel contesto della salvaguardia della sicurezza nazionale, della lotta contro la criminalità e della tutela dell'ordine pubblico.

31 L'articolo 68 dello ZMVR è così formulato:

«1. Le autorità di polizia registrano le persone formalmente accusate di un reato doloso perseguibile d'ufficio. (...)

2. La registrazione da parte della polizia costituisce una categoria di trattamento di dati personali delle persone di cui al paragrafo 1, che si esegue alle condizioni della presente legge.

3. Ai fini della registrazione, le autorità di polizia:

1) raccolgono i dati personali indicati all'articolo 18 dello [zakon za balgarskite lichni dokumenti (legge sui documenti d'identità bulgari)];

2) procedono al rilevamento delle impronte digitali delle persone e le fotografano;

3) prelevano campioni per l'elaborazione di un profilo del DNA delle persone.

4. Per svolgere le attività di cui al paragrafo 3, punto 1, non è richiesto il consenso della persona.

5. Le persone sono tenute ad essere collaborative, a non ostacolare o impedire l'esercizio da parte delle autorità di polizia delle attività di cui al paragrafo 3. In caso di rifiuto della persona, le attività di cui al paragrafo 3, punti 2 e 3, vengono eseguite con coercizione mediante un'autorizzazione del giudice di primo grado competente per il reato perseguibile d'ufficio per il quale la persona è stata formalmente accusata.

(...)».

NRISPR

32 Il naredba za reda za izvarshvane i snemane na politseyska registratsia (regolamento che disciplina l'esecuzione della registrazione da parte della polizia) (DV n. 90, del 31 ottobre 2014), nella versione applicabile al procedimento principale (in prosieguo: il «NRISPR»), adottato sulla base dell'articolo 68, paragrafo 7, dello ZMVR, precisa le modalità di applicazione della registrazione da parte della polizia prevista da tale articolo.

33 In forza dell'articolo 2 del NRISPR, gli obiettivi della registrazione da parte della polizia sono la salvaguardia della sicurezza nazionale, la lotta contro la criminalità e la tutela dell'ordine pubblico.

34 Ai sensi dell'articolo 11, paragrafo 2, del NRISPR, alla persona che deve essere oggetto di una registrazione da parte della polizia è presentata una dichiarazione da compilare nella quale può esprimere il suo consenso o il suo disaccordo in merito alle misure consistenti nello scatto di fotografie, nel rilevamento delle impronte digitali e nel prelievo di DNA. In forza del paragrafo 4 dell'articolo 11 del NRISPR, in caso di disaccordo da parte di tale persona, la polizia presenta istanza al tribunale competente affinché sia autorizzata l'esecuzione coercitiva di tali misure.

Procedimento principale e questioni pregiudiziali

35 Le autorità bulgare hanno avviato un procedimento penale per frode nella liquidazione e nel pagamento di debiti tributari a carico di due società commerciali, sulla base dell'articolo 255 del NK.

36 Con ordinanza adottata il 1° marzo 2021, ai sensi dell'articolo 219 del NPK, e notificata a V.S. il 15 marzo 2021, quest'ultima è stata formalmente accusata. Le veniva addebitata, sulla base del paragrafo 3, punto 2, dell'articolo 321 del NK, in combinato disposto con il paragrafo 2 di tale articolo, la partecipazione, con altre tre persone, a un'organizzazione criminale costituita a fini di lucro, al fine di commettere in maniera concordata nel territorio bulgaro delitti ai sensi dell'articolo 255 del NK.

37 In seguito alla notifica di detto provvedimento di accusa formale, V.S. è stata invitata a sottoporsi alla registrazione da parte della polizia. Essa ha compilato un formulario di dichiarazione in cui ha indicato di essere stata informata dell'esistenza di una base giuridica che consentiva di procedere a tale registrazione e che essa rifiutava di sottoporsi alla raccolta dei dati dattiloscopici e fotografici che la riguardavano, ai fini della loro registrazione, e a un prelievo di campioni per l'elaborazione del suo profilo del DNA. La polizia non ha proceduto a tale raccolta e ha adito il giudice del rinvio.

38 La domanda rivolta dalle autorità di polizia al giudice del rinvio indica che sono state raccolte prove sufficienti della colpevolezza degli indagati nell'ambito del procedimento penale di cui trattasi, ivi compresa V.S. Vi si precisa che quest'ultima è ufficialmente indagata per aver commesso un reato di cui al punto 2 del paragrafo 3 dell'articolo 321 del NK, in combinato disposto con il paragrafo 2 di tale articolo, e che si è rifiutata di sottoporsi alla raccolta dei dati dattiloscopici e fotografici che la riguardano, ai fini della loro registrazione, e a un prelievo di campioni per l'elaborazione di un profilo del DNA, e si menziona la base giuridica per la raccolta di tali dati. Infine, in tale domanda si chiede al giudice del rinvio l'autorizzazione a procedere all'esecuzione coercitiva di tale raccolta. A detta domanda sono state allegate solo le copie del provvedimento di accusa formale di V.S. e della dichiarazione in cui essa rifiuta di dare il suo consenso alla registrazione da parte della polizia.

39 Il giudice del rinvio nutre dubbi sulla compatibilità con il diritto dell'Unione delle disposizioni legislative e regolamentari del diritto bulgaro applicabili alla registrazione da parte della polizia.

40 In primo luogo, il giudice del rinvio rileva che le disposizioni dell'articolo 25, paragrafo 3, e dell'articolo 25 bis dello ZMVR fanno riferimento al RGPD e non alla direttiva 2016/680. Orbene, detto giudice rileva che, sebbene, in forza del suo articolo 2, paragrafo 2, lettera d), tale regolamento non si applichi al trattamento dei dati personali effettuato dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati, l'articolo 1, paragrafo 1, di tale direttiva disciplina un simile trattamento. Parimenti, il giudice del rinvio osserva che l'articolo 9 di detto regolamento vieta esplicitamente il trattamento dei dati genetici e biometrici e che la lotta contro la criminalità non rientra tra le eccezioni a tale divieto previste al paragrafo 2 di detto articolo. Infine, aggiunge che l'articolo 51 dello ZZLD non può, di per sé, fondare l'ammissibilità di un trattamento di dati biometrici e genetici, dovendo quest'ultima essere prevista dal diritto dell'Unione o dal diritto nazionale.

41 Alla luce di tali elementi, il giudice del rinvio si chiede se sia possibile ritenere che, nonostante il riferimento all'articolo 9 del RGPD, il trattamento dei dati genetici e biometrici a fini penali sia ammissibile nel diritto nazionale, tenuto conto del fatto che esso è chiaramente autorizzato dall'articolo 10 della direttiva 2016/680, anche se quest'ultima non è menzionata dalle disposizioni applicabili dello ZMVR.

42 In secondo luogo, nell'ipotesi in cui si dovesse ritenere che l'articolo 10 della direttiva 2016/680 sia stato correttamente trasposto nel diritto nazionale o che esista un valido fondamento in tale diritto per il trattamento di dati biometrici e genetici, il giudice del rinvio si chiede se il requisito di cui all'articolo 10, lettera a), di tale direttiva, secondo cui un simile trattamento deve essere autorizzato dal diritto dell'Unione o dello Stato membro, sia soddisfatto qualora sussista una contraddizione tra le disposizioni del diritto nazionale applicabili.

43 Infatti, il giudice del rinvio ritiene che sussista una contraddizione tra l'articolo 25 bis dello ZMVR che, riferendosi all'articolo 9 del RGPD, sembra non autorizzare il rilevamento di dati biometrici e genetici, e l'articolo 68 dello ZMVR, che indubbiamente lo autorizza.

44 In terzo luogo, da un lato, il giudice del rinvio rileva che, in forza dell'articolo 219, paragrafo 1, del NPK, è indispensabile raccogliere prove sufficienti della colpevolezza di una determinata persona affinché tale persona sia formalmente accusata. A tale riguardo, esso si chiede se il criterio previsto da tale disposizione corrisponda a quello previsto all'articolo 6, lettera a), della direttiva 2016/680, che riguarda le persone per le quali sussistono «fondati motivi di ritenere che abbiano commesso (...) un reato». È piuttosto del parere che, ai fini del trattamento di dati biometrici e genetici, siano indispensabili prove più convincenti di quelle necessarie, in forza del NPK, per accusare formalmente una persona, poiché tale accusa serve a informare il soggetto dei sospetti a suo carico, dandogli la possibilità di difendersi.

45 Dall'altro lato, il giudice del rinvio constata che l'articolo 68 dello ZMVR non prevede che, nell'ambito del procedimento di esecuzione coercitiva della registrazione da parte della polizia, il giudice adito debba in qualche modo verificare se sussistano fondati motivi, ai sensi dell'articolo 6, lettera a), della direttiva 2016/680. Al contrario, in forza di tale articolo dello ZMVR, gli basterebbe accertare che il soggetto è stato formalmente accusato di un reato doloso perseguibile d'ufficio. Esso non sarebbe dunque autorizzato a valutare se sussistano prove sufficienti o convincenti a sostegno di tale accusa né avrebbe, del resto, la possibilità materiale di effettuare una simile valutazione, in quanto non ha accesso al fascicolo, bensì solo alle copie del provvedimento di accusa formale e della dichiarazione attestante il rifiuto di sottoporsi alla raccolta di dati da parte della polizia. Pertanto, il giudice del rinvio si chiede se, in tali circostanze, la persona che ha rifiutato di mettere a disposizione della polizia i dati fotografici, dattiloscopici e genetici che la riguardano beneficerà della tutela giurisdizionale effettiva e del rispetto del diritto alla presunzione di innocenza, garantiti rispettivamente agli articoli 47 e 48 della Carta.

46 In quarto luogo, dall'articolo 4, paragrafo 1, lettere b) e c), dall'articolo 8, paragrafi 1 e 2, e dall'articolo 10 della direttiva2016/680 il giudice del rinvio deduce che il diritto nazionale deve conferire alle autorità competenti un certo margine discrezionale quando procedono alla raccolta di dati biometrici e genetici, mediante fotografie e impronte digitali nonché mediante il prelievo di un campione di DNA. A suo avviso, tale margine discrezionale dovrebbe riguardare sia l'eventualità o meno di effettuare detta raccolta, sia la decisione se quest'ultima debba includere tutte le suddette categorie di dati. Infine, esso ritiene che dal requisito del carattere «strettamente necessario», di cui all'articolo 10 di tale direttiva, si debba dedurre il fatto che l'autorizzazione alla raccolta di tali dati può avvenire solo in presenza di un'adeguata giustificazione della sua necessità.

47 Orbene, il giudice del rinvio rileva che la registrazione da parte della polizia si applica comunque obbligatoriamente a tutte le persone accusate di reati dolosi perseguibili d'ufficio e ai tre tipi di raccolta di dati personali contemplati da tale articolo, vale a dire fotografie, impronte digitali e prelievo di un campione di DNA.

48 Rileva inoltre che lo ZMVR menziona solo le finalità di un simile trattamento di dati personali, ossia l'esercizio di attività di ricerca, anche a fini di salvaguardia della sicurezza nazionale, di lotta contro la criminalità e di tutela dell'ordine pubblico. Per contro, la normativa nazionale non richiederebbe che si accerti la sussistenza di una concreta necessità di effettuare la raccolta di dati biometrici e genetici e che si valuti se sia necessario l'insieme di tali dati o se sia sufficiente solo una parte di essi.

49 Il giudice del rinvio si chiede dunque se la condizione prevista dal diritto nazionale per autorizzare la registrazione da parte della polizia, per cui l'interessato deve essere stato formalmente accusato di un reato doloso perseguibile d'ufficio, sia sufficiente per soddisfare i requisiti dell'articolo 4, paragrafo 1, lettere a) e c), dell'articolo 8, paragrafi 1 e 2, e dell'articolo 10 della direttiva2016/680.

50 In tali circostanze, lo Spetsializiran nakazatelen sad (Tribunale penale specializzato, Bulgaria) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l'articolo 10 della direttiva 2016/680 sia efficacemente recepito nella legislazione nazionale (...) con il riferimento alla disposizione analoga di cui all'articolo 9 del [RGPD].

2) Se sia soddisfatto il requisito previsto nell'articolo 10, lettera a), della direttiva 2016/680, in combinato disposto con gli articoli 52, 3 e 8 della Carta, secondo cui una limitazione dell'integrità e della protezione dei dati personali deve essere prevista dalla legge, allorché esistono disposizioni nazionali tra loro contraddittorie in merito alla legittimità di un trattamento di dati genetici e biometrici a fini di registrazione da parte della polizia.

3) Se sia compatibile con l'articolo 6, lettera a), della direttiva 2016/680, in combinato disposto con l'articolo 48 della Carta, una normativa nazionale – l'articolo 68, paragrafo 4, [dello ZMVR] – che prevede l'obbligo per il giudice di ordinare la raccolta coercitiva di dati personali (scatto di fotografie per schedatura, rilevamento dell'impronta digitale e prelievo di campioni per l'elaborazione di un profilo del DNA), se una persona accusata di un reato intenzionale perseguibile d'ufficio si rifiuta di collaborare volontariamente al rilevamento di tali dati personali, senza che il giudice possa valutare se sussiste un fondato motivo di ritenere che tale persona abbia compiuto il reato di cui viene accusata.

4) Se sia compatibile con gli articoli 10, 4, paragrafo 1, lettere a) e c), e 8, paragrafi 1 e 2, della direttiva 2016/680 una legge nazionale – l'articolo 68, paragrafi da 1 a 3, [dello ZMVR] – che prevede come regola generale lo scatto di fotografie per la schedatura, il rilevamento dell'impronta digitale e il prelievo di campioni per l'elaborazione di un profilo del DNA per tutte le persone accusate di un reato intenzionale perseguibile d'ufficio».

51 Con lettera del 5 agosto 2022, il Sofiyski gradski sad (Tribunale di Sofia, Bulgaria) ha informato la Corte del fatto che, a seguito di una modifica legislativa entrata in vigore il 27 luglio 2022, lo Spetsializiran nakazatelen sad (Tribunale penale specializzato) è stato sciolto e che talune cause penali promosse dinanzi a quest'ultimo giudice, compreso il procedimento principale, sono state trasferite a partire da tale data al Sofiyski gradski sad (Tribunale di Sofia).

Sulle questioni pregiudiziali

Sulle questioni prima e seconda

52 Con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede sostanzialmente se l'articolo 10, lettera a), della direttiva 2016/680, letto alla luce degli articoli 3, 8 e 52 della Carta, debba essere interpretato nel senso che la raccolta di dati biometrici e genetici da parte delle autorità di polizia per le loro attività di ricerca, a fini di lotta contro la criminalità e di tutela dell'ordine pubblico, è autorizzata dal diritto di uno Stato membro, ai sensi dell'articolo 10, lettera a), della direttiva 2016/680, qualora, da un lato, le disposizioni nazionali che costituiscono la base giuridica di tale autorizzazione facciano riferimento all'articolo 9 del RGDP, pur riproducendo il contenuto del citato articolo 10 della direttiva 2016/680, e, dall'altro, tali disposizioni nazionali sembrino stabilire requisiti contraddittori per quanto riguarda l'ammissibilità di una simile raccolta.

Sulla ricevibilità

53 Nell'ambito delle sue osservazioni scritte, la Commissione mette in discussione la ricevibilità delle prime due questioni, in quanto il giudice del rinvio, da un lato, chiederebbe soltanto se il diritto nazionale abbia effettivamente trasposto l'articolo 10 della direttiva 2016/680, senza sollevare dubbi né interrogativi quanto al significato esatto di tale articolo e, dall'altro, non esporrebbe i motivi che l'hanno indotto a interrogarsi sull'interpretazione o sulla validità delle disposizioni di diritto dell'Unione di cui trattasi, in violazione dell'articolo 94 del regolamento di procedura della Corte.

54 A tale proposito, occorre ricordare che secondo una costante giurisprudenza della Corte spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell'emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, tanto la necessità di una pronuncia pregiudiziale per essere in grado di pronunciare la propria sentenza, quanto la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, se le questioni sollevate vertono sull'interpretazione o sulla validità di una norma giuridica dell'Unione, la Corte, in linea di principio, è tenuta a statuire. Ne consegue che le questioni sollevate dai giudici nazionali godono di una presunzione di rilevanza. Il rifiuto della Corte di pronunciarsi su una questione pregiudiziale sollevata da un giudice nazionale è possibile solo qualora risulti che l'interpretazione richiesta non ha alcuna relazione con la realtà o con l'oggetto del procedimento principale, qualora il problema sia di natura ipotetica o, ancora, quando la Corte non disponga degli elementi di fatto o di diritto necessari per fornire una risposta utile a tali questioni (sentenza del 20 ottobre 2022, Digi, C‑77/21, EU:C:2022:805, punto 17 e giurisprudenza citata).

55 A tale scopo, per consentire alla Corte di fornire un'interpretazione del diritto dell'Unione che sia utile al giudice nazionale, la domanda di pronuncia pregiudiziale deve contenere, conformemente all'articolo 94, lettera c), del regolamento di procedura, un'illustrazione dei motivi che hanno indotto il giudice del rinvio a interrogarsi sull'interpretazione o sulla validità di determinate disposizioni del diritto dell'Unione, nonché il collegamento che esso stabilisce tra dette disposizioni e la normativa nazionale applicabile al procedimento principale (v., in tal senso, sentenza del 2 luglio 2015, Gullotta e Farmacia di Gullotta Davide & C., C‑497/12, EU:C:2015:436, punto 17 nonché giurisprudenza ivi citata).

56 Per quanto riguarda le prime due questioni, dalla decisione di rinvio risulta che, nell'ambito del procedimento principale, il giudice del rinvio si chiede se la condizione enunciata all'articolo 10, lettera a), della direttiva 2016/680, secondo cui il trattamento dei dati genetici e biometrici, contemplati da tale articolo, deve essere autorizzato dal diritto dell'Unione o dello Stato membro, sia soddisfatta per quanto riguarda la registrazione da parte della polizia di cui trattasi in tale causa.

57 Come sostanzialmente indicato dal giudice del rinvio nella domanda di pronuncia pregiudiziale, è in questo contesto che esso chiede alla Corte indicazioni relative all'interpretazione di detta condizione. Da un lato, con la sua prima questione, esso chiede se si possa ritenere che tale articolo 10 sia stato correttamente trasposto da una disposizione di diritto nazionale che fa riferimento solo all'articolo 9 del RGPD, ma il cui tenore letterale corrisponde a quello di detto articolo 10. Dall'altro, in caso affermativo, con la sua seconda questione chiede se si possa ritenere che la raccolta di dati genetici e biometrici ai fini della loro registrazione da parte della polizia sia «autorizzata dal diritto dello Stato membro», ai sensi della lettera a) di tale articolo, vale a dire «previst[a] dalla legge», ai sensi dell'articolo 52, paragrafo 1, della Carta, quando le disposizioni di diritto nazionale che costituiscono la base giuridica di tale trattamento sembrano enunciare norme contraddittorie per quanto riguarda l'ammissibilità di un simile trattamento.

58 Di conseguenza, il giudice del rinvio ha chiaramente individuato, nella domanda di pronuncia pregiudiziale, le disposizioni del diritto dell'Unione applicabili, i propri interrogativi sull'interpretazione di tale diritto e le ragioni che l'hanno indotto a sottoporre alla Corte le prime due questioni. Inoltre, risulta chiaramente da tale domanda che l'interpretazione di dette disposizioni presenta un nesso con l'oggetto del procedimento principale, dato che l'eventuale constatazione, da parte del giudice del rinvio, alla luce delle indicazioni fornite dalla Corte, che le disposizioni di diritto nazionale di cui trattasi non soddisfano il requisito enunciato all'articolo 10, lettera a), della direttiva 2016/680, può indurlo a respingere la domanda delle autorità di polizia di cui è investito, riguardante la raccolta coercitiva dei dati biometrici e genetici di V.S. ai fini della loro registrazione.

59 Ne consegue che le prime due questioni sono ricevibili.

Nel merito

60 In via preliminare, occorre osservare che, sebbene la seconda questione riguardi gli articoli 3, 8 e 52 della Carta, dalla domanda di pronuncia pregiudiziale risulta che gli interrogativi del giudice del rinvio vertono unicamente sul rispetto, da parte della normativa nazionale di cui al procedimento principale, del requisito, previsto al paragrafo 1 di quest'ultimo articolo, in forza del quale eventuali limitazioni all'esercizio dei diritti e delle libertà riconosciuti dalla Carta devono essere previste dalla legge. Di conseguenza, l'esame delle prime due questioni deve essere effettuato unicamente con riferimento a tale articolo 52 della Carta.

61 In primo luogo, occorre rilevare che, alla luce del considerando 19 del RGPD, nonché dei considerando da 9 a 12 della direttiva 2016/680, e in forza dell'articolo 2, paragrafo 1, e dell'articolo 9, paragrafi 1 e 2, di tale direttiva, a seconda che un trattamento di dati personali effettuato da un'«autorità competente», ai sensi dell'articolo 3, paragrafo 7, di tale direttiva, persegua le finalità, di cui al suo articolo 1, paragrafo 1, di prevenzione, indagine, accertamento e perseguimento di reati, incluse la salvaguardia e la prevenzione di minacce alla sicurezza pubblica, oppure scopi diversi da questi, esso può rientrare nell'ambito di applicazione delle norme specifiche di detta direttiva o delle norme generali di tale regolamento, a parte le eccezioni a tali ambiti di applicazione tassativamente elencate all'articolo 2, paragrafo 3, della stessa direttiva e all'articolo 2, paragrafo 2, del suddetto regolamento.

62 In particolare, occorre rilevare che l'articolo 9 del RGPD e l'articolo 10 della direttiva 2016/680 contengono entrambi disposizioni che disciplinano il trattamento di categorie particolari di dati personali, considerati dati sensibili, inclusi i dati genetici e biometrici.

63 A tale riguardo, l'articolo 10 della direttiva 2016/680 prevede che il trattamento di tali dati sensibili è autorizzato «solo se strettamente necessario, soggetto a garanzie adeguate per i diritti e le libertà dell'interessato» e soltanto in tre ipotesi, in particolare, ai sensi di tale articolo, lettera a), se tale trattamento è autorizzato dal diritto dell'Unione o dello Stato membro. Per contro, il paragrafo 1 dell'articolo 9 del RGPD enuncia un divieto di principio del trattamento di detti dati sensibili, corredato di un elenco di situazioni, elencate al paragrafo 2 di tale articolo, nelle quali si può derogare a tale divieto, elenco che non menziona situazioni corrispondenti a quella di un trattamento di dati per finalità come quelle di cui all'articolo 1, paragrafo 1, di detta direttiva e che soddisferebbe il requisito di cui all'articolo 10, lettera a), di quest'ultima. Ne consegue che, mentre un trattamento di dati biometrici e genetici da parte delle autorità competenti a fini rientranti nell'ambito di applicazione della direttiva 2016/680 può essere autorizzato purché, conformemente ai requisiti enunciati all'articolo 10 di quest'ultima, sia strettamente necessario, soggetto a garanzie adeguate e previsto dal diritto dell'Unione o dello Stato membro, ciò non avviene necessariamente nel caso di un trattamento di questi stessi dati rientrante nell'ambito di applicazione del RGPD.

64 In secondo luogo, la portata del requisito enunciato all'articolo 10, lettera a), della direttiva 2016/680, secondo cui il trattamento dei dati personali deve essere stato «autorizzato dal diritto dell'Unione o dello Stato membro», deve essere determinata alla luce di quella sancita all'articolo 52, paragrafo 1, della Carta, secondo la quale eventuali limitazioni all'esercizio di un diritto fondamentale devono essere «previste dalla legge».

65 Al riguardo, dalla giurisprudenza della Corte risulta che tale requisito implica che la base giuridica che autorizza una simile limitazione ne definisca la portata in modo sufficientemente chiaro e preciso [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punto 76 nonché giurisprudenza ivi citata].

66 Inoltre, dalla giurisprudenza ricordata al punto precedente della presente sentenza risulta che non può sussistere alcun equivoco quanto alle disposizioni del diritto dell'Unione in forza delle quali il diritto nazionale può autorizzare un trattamento di dati biometrici e genetici, come quello di cui al procedimento principale, e quanto alle condizioni applicabili cui tale autorizzazione è soggetta. Infatti, le persone interessate e i giudici competenti devono essere in grado di determinare con precisione, in particolare, le condizioni a cui tale trattamento può aver luogo nonché le finalità alle quali esso può giuridicamente rispondere. Orbene, le norme del RGPD e quelle della direttiva applicabili a tali condizioni possono essere diverse.

67 Pertanto, sebbene il legislatore nazionale abbia la facoltà di prevedere, nell'ambito del medesimo strumento legislativo, il trattamento di dati personali a fini rientranti nell'ambito della direttiva 2016/680 nonché ad altri fini che rientrano nel RGPD, esso ha per contro l'obbligo, conformemente ai requisiti enunciati al punto precedente della presente sentenza, di accertarsi dell'assenza di ambiguità quanto all'applicabilità dell'uno o dell'altro di tali due atti dell'Unione alla raccolta dei dati biometrici e genetici.

68 In terzo luogo, per quanto riguarda gli interrogativi del giudice del rinvio relativi a un'eventuale non corretta trasposizione della direttiva 2016/680, occorre distinguere tra le disposizioni di diritto nazionale che provvedono alla trasposizione di tale direttiva, in particolare del suo articolo 10, e quelle in forza delle quali un trattamento di dati appartenenti alle categorie particolari di cui a tale articolo, segnatamente i dati biometrici e genetici, può essere autorizzato, ai sensi di tale articolo 10, lettera a).

69 Al riguardo, sebbene, come risulta dal suo articolo 63, paragrafo 1, secondo comma, la direttiva 2016/680 preveda espressamente l'obbligo per gli Stati membri di garantire che le disposizioni necessarie per la sua attuazione contengano un riferimento a tale direttiva o siano corredate da un simile riferimento nel momento della loro pubblicazione ufficiale, il che implica, in ogni caso, l'adozione di un atto positivo di trasposizione di detta direttiva [v., in tal senso, sentenza del 25 febbraio 2021, Commissione/Spagna (Direttiva sui dati personali – Settore penale), C‑658/19, EU:C:2021:138, punto 16 e giurisprudenza ivi citata], essa non richiede che le disposizioni di diritto nazionale che autorizzano i trattamenti di dati che rientrano nell'ambito di applicazione della stessa direttiva contengano un simile riferimento. Infatti, l'articolo 63, paragrafo 4, della direttiva 2016/680 si limita a prevedere che gli Stati membri comunichino alla Commissione il testo delle disposizioni fondamentali di diritto interno che adottano nel settore disciplinato da tale direttiva.

70 Infine, occorre rilevare che, quando una direttiva è stata correttamente trasposta, i suoi effetti raggiungono i singoli per il tramite di provvedimenti di attuazione emanati dallo Stato membro interessato (v., in tal senso, sentenza del 15 maggio 1986, Johnston, 222/84, EU:C:1986:206, punto 51) a differenza di un regolamento, le cui disposizioni producono in genere un effetto immediato negli ordinamenti giuridici nazionali senza che le autorità nazionali debbano adottare misure di applicazione (v., in tal senso, sentenza del 7 aprile 2022, IFAP, C‑447/20 e C‑448/20, EU:C:2022:265, punto 88 e giurisprudenza ivi citata). Ne consegue che, quando il legislatore nazionale prevede il trattamento di dati biometrici e genetici da parte delle autorità competenti, ai sensi dell'articolo 3, punto 7, della direttiva 2016/680, che possono rientrare o nell'ambito di applicazione di tale direttiva, o in quello del RGPD, esso può, per ragioni di chiarezza e di precisione, riferirsi esplicitamente, da un lato, alle disposizioni di diritto nazionale che provvedono alla trasposizione dell'articolo 10 di tale direttiva e, dall'altro, all'articolo 9 di tale regolamento. Per contro, detto requisito di chiarezza e di precisione non può richiedere, in aggiunta, una menzione della suddetta direttiva.

71 In quarto luogo, occorre ricordare che l'obbligo per uno Stato membro di adottare tutti i provvedimenti necessari per conseguire il risultato prescritto da una direttiva, previsto dall'articolo 288, terzo comma, TFUE, vale per tutte le autorità degli Stati membri, ivi comprese, nell'ambito delle loro competenze, quelle giurisdizionali. Ne risulta che, nell'applicare il diritto interno, i giudici nazionali sono tenuti a interpretarlo per quanto possibile alla luce del testo e della finalità della direttiva di cui trattasi, così da conseguire il risultato perseguito da quest'ultima (v., in tal senso, sentenza del 7 novembre 2019, Profi Credit Polska, C‑419/18 et C‑483/18, EU:C:2019:930, punti 73 e 75 nonché giurisprudenza ivi citata).

72 Di conseguenza, in presenza di un'apparente contraddizione, come quella descritta dal giudice del rinvio nell'ambito della seconda questione, tra, da un lato, disposizioni di una normativa nazionale che sembrano escludere il trattamento di dati genetici e biometrici da parte delle autorità competenti a fini rientranti nell'ambito della direttiva 2016/680 e, dall'altro, altre disposizioni di tale normativa che autorizzano un simile trattamento, detto giudice è tenuto a dare a dette disposizioni un'interpretazione che salvaguarda l'effetto utile di tale direttiva. In particolare, quando constata l'esistenza di disposizioni idonee a soddisfare il requisito di cui all'articolo 10, lettera a), di detta direttiva, spetta ad esso verificare se queste ultime non abbiano, in realtà, un ambito di applicazione diverso da quello delle disposizioni con le quali sembrano in contrasto.

73 A tale riguardo, occorre sottolineare, in particolare, che l'articolo 9, paragrafo 2, della direttiva 2016/680 non esclude il trattamento dei dati biometrici e genetici da parte delle autorità competenti, ai sensi dell'articolo 3, punto 7, di tale direttiva, nell'ambito di compiti diversi da quelli eseguiti per le finalità di cui all'articolo 1, paragrafo 1, di detta direttiva. Analogamente, come risulta dal punto 63 della presente sentenza, l'articolo 9 del RGPD, che si applica al trattamento di tali dati, purché esso non rientri nelle eccezioni tassativamente elencate al suo articolo 2, paragrafo 2, non lo vieta in modo assoluto, a condizione che tale trattamento corrisponda a una delle situazioni enunciate all'articolo 9, paragrafo 2, di detto regolamento. In tali circostanze, spetta al giudice del rinvio verificare se il riferimento al RGPD in tali disposizioni nazionali non riguardi, in realtà, trattamenti di dati effettuati dalle autorità competenti a fini diversi da quelli rientranti nell'ambito della direttiva 2016/680, cosicché dette disposizioni non presentano contraddizioni con quelle che, conformemente all'articolo 10, lettera a), di tale direttiva, prevedono il trattamento di tali dati a fini che rientrano nell'ambito della direttiva suddetta.

74 Nel caso di specie, dalla decisione di rinvio risulta, da un lato, che le disposizioni di diritto nazionale all'origine delle questioni sollevate dal giudice del rinvio sono disposizioni di diritto sostanziale che disciplinano le attività del Ministero degli Affari interni. La prima di tali disposizioni prevede che il trattamento di dati personali da parte di detto ministero avvenga in forza di tale legge, conformemente al RGPD e all'atto di diritto nazionale che traspone la direttiva 2016/680, e la seconda di dette disposizioni enuncia che il trattamento di dati personali contenenti dati genetici e dati biometrici al fine di identificare una persona fisica in modo univoco è consentito soltanto alle condizioni previste all'articolo 9 di detto regolamento o alla disposizione di diritto nazionale che traspone l'articolo 10 di detta direttiva. Dall'altro lato, da tale decisione risulta altresì che la disposizione di diritto sostanziale che fornisce una base giuridica esplicita alla raccolta dei dati biometrici e genetici, nell'ambito della registrazione da parte della polizia, risponde unicamente a finalità di protezione della sicurezza nazionale, di lotta contro la criminalità e di tutela dell'ordine pubblico.

75 Di conseguenza, spetta al giudice del rinvio verificare se il duplice riferimento all'articolo 9 del RGPD e alla disposizione di diritto nazionale che traspone detto articolo 10 possa essere giustificato dal fatto che l'ambito di applicazione della disposizione di diritto sostanziale contenente un simile duplice riferimento riguarda l'insieme delle attività dei servizi del Ministero degli Affari interni, le quali, secondo le indicazioni del governo bulgaro, includono sia le attività enunciate all'articolo 1, paragrafo 1, di tale direttiva sia altre attività che possono rientrare in detto regolamento. Inoltre, spetta a tale giudice verificare che, in particolare per quanto riguarda la disposizione di diritto sostanziale che fornisce una base giuridica alla raccolta di dati biometrici e genetici nell'ambito della registrazione da parte della polizia, tutte le disposizioni pertinenti del diritto nazionale possano essere interpretate, in conformità al diritto dell'Unione, nel senso che da tali disposizioni risulti in modo sufficientemente chiaro, preciso e inequivocabile in quali casi si applicano le norme di diritto nazionale che traspongono la direttiva in questione e in quali casi sono le norme del RGPD a essere pertinenti.

76 Alla luce di tutte le suesposte considerazioni, occorre rispondere alle prime due questioni dichiarando che l'articolo 10, lettera a), della direttiva 2016/680, letto alla luce dell'articolo 52 della Carta, deve essere interpretato nel senso che il trattamento di dati biometrici e genetici da parte delle autorità di polizia per le loro attività di ricerca, a fini di lotta contro la criminalità e di tutela dell'ordine pubblico, è autorizzato dal diritto dello Stato membro, ai sensi dell'articolo 10, lettera a), di tale direttiva, se il diritto di tale Stato membro contiene una base giuridica sufficientemente chiara e precisa per autorizzare detto trattamento. La circostanza che l'atto legislativo nazionale contenente una simile base giuridica faccia, inoltre, riferimento al RGPD, e non alla direttiva 2016/680, non è di per sé idonea a rimettere in discussione l'esistenza di una simile autorizzazione, purché dall'interpretazione di tutte le disposizioni applicabili del diritto nazionale risulti in modo sufficientemente chiaro, preciso e inequivocabile che il trattamento di dati biometrici e genetici in questione rientra nell'ambito di applicazione di tale direttiva, e non di tale regolamento.

Sulla terza questione

77 Con la sua terza questione il giudice del rinvio chiede sostanzialmente se l'articolo 6, lettera a), della direttiva 2016/680 nonché gli articoli 47 e 48 della Carta debbano essere interpretati nel senso che essi ostano a una normativa nazionale che prevede che – in caso di rifiuto della persona formalmente accusata di un reato doloso perseguibile d'ufficio di cooperare spontaneamente alla raccolta, ai fini della loro registrazione, dei dati biometrici e genetici che la riguardano – il giudice penale competente è tenuto ad autorizzare l'esecuzione coercitiva di tale raccolta, senza avere il potere di valutare se sussistano fondati motivi per ritenere che l'interessato abbia commesso il reato di cui è formalmente accusato.

78 In via preliminare, occorre rilevare che tale questione è sollevata dal giudice del rinvio relativamente a un procedimento penale in cui è applicabile una disposizione di diritto nazionale che prevede che, in caso di rifiuto da parte dell'interessato di cooperare alla raccolta dei dati biometrici e genetici che lo riguardano, ai fini della loro registrazione, effettuata per finalità rientranti nell'articolo 1, paragrafo 1, della direttiva 2016/680, il giudice competente, per statuire sulla responsabilità penale di tale persona, è legittimato ad autorizzare detta raccolta. Inoltre, questa stessa disposizione di diritto nazionale si applica ai dati riguardanti le persone formalmente accusate di reati dolosi perseguibili d'ufficio. Secondo le indicazioni del giudice del rinvio, la maggior parte dei reati previsti dal codice penale sono dolosi e quasi tutti sono perseguibili d'ufficio. Conformemente alle norme di procedura penale bulgara, una persona è formalmente accusata qualora sussistano sufficienti elementi di prova del fatto che essa è colpevole di aver commesso un reato perseguibile d'ufficio.

79 Inoltre, secondo le precisazioni fornite dal governo bulgaro nell'ambito delle risposte scritte ai quesiti posti dalla Corte, le norme di procedura penale bulgara prevedono che la messa in stato di accusa formale possa avvenire in qualsiasi momento del procedimento preliminare, il quale costituisce la prima fase del procedimento penale nel corso di cui sono compiuti atti di indagine e di raccolta degli elementi di prova e, in ogni caso, prima della chiusura dell'indagine. Come emerge dalla decisione di rinvio, e come precisa anche il governo bulgaro, la persona interessata può, successivamente a tale messa in stato di accusa formale, presentare elementi per la propria difesa, in particolare nell'ambito della fase di comunicazione degli elementi di indagine che avviene dopo la chiusura dell'indagine.

80 Tuttavia, il giudice del rinvio rileva che la normativa nazionale di cui trattasi non conferisce al giudice che autorizza la raccolta dei dati biometrici e genetici riguardanti la persona formalmente accusata, ai fini della loro registrazione, la competenza a valutare le prove sulle quali tale accusa formale è fondata, competenza che appartiene alle autorità incaricate dell'indagine. Inoltre, esso precisa che tale giudice si pronuncia su detta domanda di autorizzazione solo sulla base di una copia del provvedimento di accusa formale e della dichiarazione con la quale l'interessato rifiuta la raccolta di tali dati.

81 In tale contesto, si deve ritenere che la terza questione del giudice del rinvio si suddivida, come suggeriscono il governo bulgaro e la Commissione, in tre parti. In primo luogo, il giudice del rinvio si chiede se l'articolo 6, lettera a), della direttiva 2016/680, che si riferisce alla categoria delle persone nei confronti delle quali sussistono fondati motivi per ritenere che esse abbiano commesso o stiano per commettere un reato, osti a una normativa nazionale che prevede la raccolta coercitiva dei dati biometrici e genetici riguardanti una persona fisica ai fini della loro registrazione, persona nei cui confronti sussistono sufficienti elementi di prova del fatto che essa è colpevole di aver commesso un reato doloso perseguibile d'ufficio, consentendo, in forza del diritto nazionale, la sua messa in stato di accusa formale. In secondo luogo, tale giudice si chiede se, alla luce dei limiti del potere discrezionale del giudice chiamato a statuire sull'esecuzione coercitiva di una simile raccolta, esso sia in grado di garantire alla persona interessata una tutela giurisdizionale effettiva, conformemente all'articolo 47 della Carta. In terzo luogo, esso si chiede se, nonostante tali limiti, possa essere garantito il rispetto del diritto alla presunzione di innocenza, previsto all'articolo 48 della Carta.

Sulla portata dell'articolo 6, lettera a), della direttiva 2016/680

82 L'articolo 6 della direttiva 2016/680 impone agli Stati membri di prevedere che il responsabile del trattamento stabilisca, «se del caso e nella misura del possibile», una chiara distinzione tra i dati personali delle diverse categorie di interessati, come quelli di cui alle lettere da a) a d) di tale articolo, vale a dire, rispettivamente, le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato, le persone condannate per un reato, le vittime di un reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato e, infine, le altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati, o le persone in contatto o collegate alle persone di cui alle lettere a) e b) del suddetto articolo.

83 Pertanto, gli Stati membri devono provvedere affinché sia operata una chiara distinzione tra i dati delle diverse categorie di interessati in modo che, come sottolineato dall'avvocato generale al paragrafo 27 delle sue conclusioni, non sia loro imposta indistintamente un'ingerenza della medesima intensità nel loro diritto fondamentale alla protezione dei propri dati personali a prescindere dalla categoria a cui appartengono. A tale riguardo, come si evince dal considerando 31 della direttiva 2016/680, la categoria di persone definita all'articolo 6, lettera a), di tale direttiva corrisponde a quella delle persone indiziate per aver commesso un reato.

84 Tuttavia, dalla formulazione dell'articolo 6 della direttiva 2016/680 risulta che l'obbligo che tale disposizione impone agli Stati membri non è assoluto. Infatti, da un lato, l'espressione «se del caso e nella misura del possibile», che vi figura, indica che spetta al responsabile del trattamento determinare, in ciascun caso di specie, se possa essere operata una distinzione chiara tra i dati personali delle diverse categorie di interessati. Dall'altro, l'espressione «quali» che figura in tale articolo indica che le categorie di persone ivi elencate non hanno carattere tassativo.

85 Del resto, occorre rilevare che l'esistenza di un numero sufficiente di elementi di prova della colpevolezza di una persona costituisce, in linea di principio, un fondato motivo di ritenere che quest'ultima abbia commesso il reato di cui trattasi. Pertanto, una normativa nazionale che prevede la raccolta coercitiva, ai fini della loro registrazione, dei dati biometrici e genetici delle persone fisiche, quando sussistono prove sufficienti del fatto che l'interessato è colpevole di aver commesso un reato, appare conforme all'obiettivo dell'articolo 6, lettera a), della direttiva 2016/680.

86 Da tutto quanto precede risulta che l'articolo 6, lettera a), della direttiva 2016/680 non osta a una normativa nazionale che prevede la raccolta coercitiva dei dati biometrici e genetici, ai fini della loro registrazione, riguardanti persone per le quali sussistono sufficienti elementi di prova del fatto che sono colpevoli di aver commesso un reato doloso perseguibile d'ufficio e che sono state formalmente accusate per tale motivo.

Sul rispetto del diritto a una tutela giurisdizionale effettiva

87 In primo luogo, occorre ricordare che il diritto a una tutela giurisdizionale effettiva, sancito dall'articolo 47 della Carta, deve essere riconosciuto a chiunque faccia valere diritti o libertà garantiti dal diritto dell'Unione contro una decisione che gli arreca pregiudizio, tale da ledere tali diritti o tali libertà [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punti 55, 57 e 58 nonché giurisprudenza ivi citata].

88 Di conseguenza, ogni persona formalmente accusata che si sia opposta alla raccolta dei dati fotografici, dattiloscopici e genetici che la riguardano, nell'ambito di un procedimento come la registrazione da parte della polizia, che deve essere conforme ai requisiti di cui all'articolo 10 della direttiva 2016/680, deve poter beneficiare, come richiesto dall'articolo 47 della Carta, del diritto a un ricorso effettivo dinanzi a un giudice avverso la decisione di autorizzare l'esecuzione coercitiva di tale raccolta al fine di far valere i diritti risultanti dalle garanzie previste da tale disposizione e, in particolare, la garanzia che, ai sensi dell'articolo 10, lettera a), di tale direttiva, la raccolta di dati biometrici e genetici sia effettuata conformemente alla normativa nazionale che la autorizza. In particolare, tale garanzia implica che il giudice competente debba poter controllare che il provvedimento di accusa formale che costituisce la base giuridica di tale registrazione da parte della polizia sia stato adottato, conformemente alle norme di procedura penale nazionale, alla luce di sufficienti elementi di prova del fatto che l'interessato è colpevole di aver commesso un reato doloso perseguibile d'ufficio.

89 A tale riguardo, si deve ricordare che il diritto a una tutela giurisdizionale effettiva non costituisce una prerogativa assoluta e che, conformemente all'articolo 52, paragrafo 1, della Carta, possono esservi apportate limitazioni, a condizione, in primo luogo, che tali limitazioni siano previste dalla legge, in secondo luogo, che rispettino il contenuto essenziale dei diritti e delle libertà di cui trattasi e, in terzo luogo, che, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punti 49 e 51 nonché giurisprudenza ivi citata].

90 Inoltre, occorre rilevare che l'articolo 54 della direttiva 2016/680 stabilisce nei confronti degli Stati membri un obbligo di prevedere che la persona che ritiene che i suoi diritti previsti dalle disposizioni adottate in forza di tale direttiva siano stati violati a causa del trattamento dei suoi dati personali effettuato in violazione di dette disposizioni ha diritto a un ricorso giurisdizionale effettivo. Ne consegue che il legislatore dell'Unione non ha limitato esso stesso l'esercizio del diritto a un ricorso effettivo, sancito dall'articolo 47 della Carta, e che agli Stati membri è data facoltà di limitare tale esercizio, purché siano rispettati gli obblighi di cui all'articolo 52, paragrafo 1, della Carta [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punti 63 e 64].

91 Di conseguenza, occorre stabilire se, fatto salvo il rimedio giurisdizionale previsto dal diritto nazionale in applicazione dell'articolo 54 della direttiva 2016/680, il fatto che il giudice competente, al fine di autorizzare un provvedimento di esecuzione coercitiva di raccolta di dati biometrici e genetici riguardanti persone formalmente accusate, non possa procedere a un controllo, nel merito, delle condizioni dell'accusa formale su cui si fonda tale misura di esecuzione coercitiva costituisca una limitazione consentita del diritto a una tutela giurisdizionale effettiva sancito dall'articolo 47 della Carta.

92 Per quanto riguarda la prima condizione di cui al punto 89 della presente sentenza, conformemente alla giurisprudenza ricordata al punto 65 della presente sentenza, spetta al giudice del rinvio verificare se i limiti fissati al suo potere discrezionale dal diritto nazionale, nell'ambito di una domanda volta a ottenere che esso autorizzi l'esecuzione coercitiva della raccolta dei dati biometrici e genetici relativi a una persona formalmente accusata, ai fini della loro registrazione, siano enunciati da tale diritto in modo sufficientemente chiaro e preciso.

93 Per quanto riguarda la seconda condizione, dalla giurisprudenza emerge che il contenuto essenziale del diritto a un ricorso effettivo include, tra gli altri, l'elemento relativo alla facoltà, per il soggetto titolare del diritto stesso, di adire un giudice competente a garantire il rispetto dei diritti che gli sono attribuiti dal diritto dell'Unione e, a tal fine, a esaminare tutte le questioni di fatto e di diritto rilevanti ai fini della decisione della controversia di cui è investito [sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punto 66 nonché giurisprudenza ivi citata].

94 Tuttavia, dalla giurisprudenza della Corte emerge anche che detta condizione non richiede, di per sé, che il titolare del diritto a una tutela giurisdizionale effettiva disponga di un rimedio giurisdizionale diretto, mirante, in via principale, a contestare una misura determinata, purché esistano altresì, dinanzi ai vari giudici nazionali competenti, uno o più rimedi giurisdizionali che gli consentano di ottenere, in via incidentale, un controllo giurisdizionale di tale misura che garantisca il rispetto dei diritti e delle libertà che il diritto dell'Unione gli garantisce [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punto 79 nonché giurisprudenza ivi citata].

95 In particolare, come sottolineato, in sostanza, dall'avvocato generale al paragrafo 36 delle sue conclusioni, la terza questione si basa sull'ipotesi che la fase preliminare del procedimento penale, nel corso della quale ha luogo l'esecuzione coercitiva della raccolta dei dati biometrici e genetici riguardanti una persona formalmente accusata, ai fini della loro registrazione, sarà seguita da una fase giudiziaria. Orbene, se essa non può essere controllata al momento della domanda di autorizzazione all'esecuzione coercitiva, la sussistenza di un numero sufficiente di elementi di prova a carico, condizione richiesta affinché la persona interessata possa essere costretta a sottoporsi alla raccolta dei suoi dati biometrici e genetici, dovrà necessariamente poter essere verificata durante tale fase giudiziaria, nel corso della quale il giudice adito deve avere la possibilità di esaminare tutte le questioni di diritto e di fatto rilevanti, in particolare per verificare che tali dati biometrici e genetici non siano stati ottenuti in violazione dei diritti garantiti all'interessato dal diritto dell'Unione [v., in tal senso, sentenza del 6 ottobre 2020, État luxembourgeois (Diritto di ricorso contro una richiesta di informazioni in materia fiscale), C‑245/19 e C‑246/19, EU:C:2020:795, punti da 81 a 83 nonché giurisprudenza ivi citata].

96 In ogni caso, conformemente all 'articolo 54 della direttiva 2016/680, il diritto nazionale deve offrire all'interessato la possibilità di contestare proficuamente la raccolta coercitiva dei suoi dati biometrici e genetici nell'ambito di un ricorso giurisdizionale, fondato sull'asserita violazione dei diritti conferitigli da tale direttiva in ragione di detta raccolta, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo. Di conseguenza, anche nell'ipotesi in cui la fase preliminare del procedimento penale non sia seguita da una fase giudiziaria, in particolare nel caso in cui non si proceda, la persona interessata deve essere in grado di ottenere un controllo giurisdizionale completo della legittimità del trattamento dei dati di cui trattasi. Pertanto, qualora, per conformarsi all'obbligo di cui a detto articolo 54, il diritto nazionale offra simili garanzie, circostanza che spetta al giudice del rinvio verificare, si deve presumere che sia rispettato il contenuto essenziale del diritto a una tutela giurisdizionale effettiva, anche se lo stesso giudice che autorizza l'esecuzione coercitiva della raccolta di cui trattasi non dispone, nel momento in cui si pronuncia su di essa, del potere discrezionale necessario per concedere una simile tutela.

97 Per quanto riguarda la terza condizione, occorre rilevare, anzitutto, che la raccolta dei dati genetici e biometrici, ai fini della loro registrazione, riguardanti persone formalmente accusate nell'ambito di un procedimento penale persegue finalità enunciate all'articolo 1, paragrafo 1, della direttiva 2016/680, in particolare quelle relative alla prevenzione, all'indagine, all'accertamento e al perseguimento di reati, che costituiscono obiettivi di interesse generale riconosciuti dall'Unione.

98 A tale riguardo, occorre sottolineare che una simile raccolta può contribuire all'obiettivo enunciato al considerando 27 della direttiva 2016/680, secondo il quale, nell'interesse della prevenzione, dell'indagine nonché del perseguimento di reati, è necessario che le autorità competenti trattino i dati personali raccolti a fini di prevenzione, indagine, accertamento o perseguimento di specifici reati al di là di tale contesto per sviluppare conoscenze delle attività criminali e mettere in collegamento i diversi reati accertati.

99 Nel caso di specie, come indicato dal governo bulgaro nelle sue osservazioni scritte e precisato nell'ambito di una risposta scritta a un quesito posto dalla Corte, la registrazione da parte della polizia, istituita dal diritto nazionale, persegue due finalità essenziali. Da un lato, tali dati sono raccolti e trattati per essere confrontati con altri dati raccolti nel corso di indagini relative ad altri reati. Detta finalità riguarda altresì, secondo tale governo, il confronto con dati raccolti in altri Stati membri. Dall'altro, detti dati possono essere trattati anche ai fini del procedimento penale nell'ambito del quale la persona interessata è stata formalmente accusata.

100 Orbene, il fatto di sottrarre temporaneamente al controllo del giudice la valutazione delle prove sulle quali si basa l'accusa formale dell'interessato, e quindi la raccolta dei suoi dati biometrici e genetici, può rivelarsi giustificato durante la fase preliminare del procedimento penale. Infatti, un simile controllo, durante tale fase, potrebbe ostacolare lo svolgimento dell'indagine penale nel corso della quale tali dati sono raccolti e limitare eccessivamente la capacità degli inquirenti di chiarire altri reati sulla base di un confronto di tali dati con dati raccolti nel corso di altre indagini. Tale limitazione della tutela giurisdizionale effettiva non è quindi sproporzionata, dal momento che il diritto nazionale garantisce successivamente un controllo giurisdizionale effettivo.

101 Da tutto quanto precede risulta che l'articolo 47 della Carta non osta a che un giudice nazionale, quando statuisce su una domanda di autorizzazione a procedere all'esecuzione coercitiva della raccolta di dati biometrici e genetici di una persona formalmente accusata, ai fini della loro registrazione, non abbia la possibilità di valutare le prove sulle quali tale messa in stato di accusa formale si basa, purché il diritto nazionale garantisca successivamente un controllo giurisdizionale effettivo delle condizioni di tale messa in stato di accusa formale da cui risulta l'autorizzazione a procedere a tale raccolta.

Sul rispetto della presunzione d'innocenza

102 In via preliminare, occorre ricordare che, ai sensi dell'articolo 48, paragrafo 1, della Carta, il cui contenuto corrisponde a quello dell'articolo 6, paragrafo 2, della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, ogni imputato è considerato innocente fino a quando la sua colpevolezza non sia stata legalmente provata.

103 In particolare, la Corte ha riconosciuto che dalla giurisprudenza della Corte europea dei diritti dell'uomo risulta che, segnatamente, la presunzione di innocenza non è rispettata se una decisione giudiziaria riguardante un imputato riflette l'idea che esso sia colpevole quando la sua colpevolezza non sia stata precedentemente accertata ai sensi di legge (v., in tal senso, sentenza del 25 febbraio 2021, Dalli/Commissione, C‑615/19 P, EU:C:2021:133, punto 224 e giurisprudenza ivi citata).

104 Inoltre, come risulta dal considerando 31 della direttiva 2016/680, la creazione di diverse categorie di persone alle quali devono corrispondere diversi trattamenti dei loro dati personali, in applicazione dell'articolo 6 di tale direttiva, non dovrebbe impedire l'applicazione del diritto alla presunzione di innocenza garantito dalla Carta e dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

105 Per quanto riguarda gli interrogativi del giudice del rinvio relativi al rispetto del diritto alla presunzione di innocenza da parte di una decisione giudiziaria che autorizza la raccolta, ai fini della loro registrazione, dei dati biometrici e genetici relativi a persone formalmente accusate occorre rilevare, in primo luogo, che, poiché il diritto nazionale prevede che tale raccolta sia limitata alla categoria delle persone formalmente accusate, vale a dire a una categoria di persone la cui responsabilità penale non è stata ancora dimostrata, la suddetta raccolta non può essere considerata, di per sé, tale da riflettere l'idea delle autorità che tali persone siano colpevoli, ai sensi della giurisprudenza citata al punto 103 della presente sentenza.

106 In secondo luogo, occorre constatare che una decisione giudiziaria che autorizza la raccolta, ai fini della loro registrazione, dei dati biometrici e genetici riguardanti persone formalmente accusate, dal momento che si limita a prendere atto della messa in stato di accusa formale dell'interessato e del suo rifiuto di sottoporsi a tale raccolta, non può essere interpretata come una presa di posizione sulla colpevolezza di tale persona né, pertanto, come lesiva della presunzione di innocenza di detta persona.

107 Infatti, la circostanza che il giudice che deve pronunciare una simile decisione giudiziaria non possa valutare, in tale fase del procedimento penale, la sufficienza degli elementi di prova sui quali si basa l'accusa formale della persona interessata costituisce una garanzia per quest'ultima del rispetto del diritto alla presunzione di innocenza.

108 Una simile garanzia si impone a maggior ragione quando il diritto nazionale, come la disposizione di cui trattasi nel procedimento principale, prevede che il giudice competente a statuire sull'esecuzione coercitiva della raccolta, ai fini della loro registrazione, dei dati biometrici e genetici riguardanti persone formalmente accusate è quello che, durante la fase giudiziaria del procedimento penale, dovrà statuire sulla responsabilità penale di tale persona. Infatti, il rispetto del diritto alla presunzione di innocenza richiede che tale giudice sia immune da qualunque parzialità e pregiudizio quando procede a tale esame (v., in tal senso, sentenza del 16 novembre 2021, Prokuratura Rejonowa w Mińsku Mazowieckim e a., da C‑748/19 a C‑754/19, EU:C:2021:931, punto 88).

109 Da quanto precede risulta che il diritto alla presunzione di innocenza, sancito all'articolo 48 della Carta, non osta a che le persone formalmente accusate, durante la fase preliminare del procedimento penale, siano oggetto di una misura di raccolta dei dati biometrici e genetici che le riguardano, ai fini della registrazione dei dati medesimi, autorizzata da un giudice che non ha il potere di valutare, in tale fase, le prove sulle quali si basa una simile accusa formale.

110 Da tutto quanto precede risulta che occorre rispondere alla terza questione dichiarando che l'articolo 6, lettera a), della direttiva 2016/680 nonché gli articoli 47 e 48 della Carta devono essere interpretati nel senso che essi non ostano a una normativa nazionale che prevede che, in caso di rifiuto della persona formalmente accusata di un reato doloso perseguibile d'ufficio di cooperare spontaneamente alla raccolta dei dati biometrici e genetici che la riguardano, ai fini della loro registrazione, il giudice penale competente è tenuto ad autorizzare una misura di esecuzione coercitiva di tale raccolta, senza avere il potere di valutare se sussistano fondati motivi per ritenere che l'interessato abbia commesso il reato di cui è formalmente accusato, purché il diritto nazionale garantisca successivamente il controllo giurisdizionale effettivo delle condizioni di tale messa in stato di accusa formale, da cui risulta l'autorizzazione a procedere a detta raccolta.

Sulla quarta questione

111 In via preliminare, occorre ricordare che, secondo una costante giurisprudenza, nell'ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita all'articolo 267 TFUE, spetta a quest'ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia di cui è investito. In tale prospettiva, spetta ad essa, se necessario, riformulare le questioni che le sono sottoposte (sentenza del 15 luglio 2021, The Department for Communities in Northern Ireland, C‑709/20, EU:C:2021:602, punto 61 e giurisprudenza ivi citata).

112 Come risulta dalla decisione di rinvio e come rilevato ai punti 46 e 49 della presente sentenza, nell'ambito della quarta questione, il giudice del rinvio si interroga sulla portata dei requisiti enunciati all'articolo 4, paragrafo 1, lettere da a) a c), all'articolo 8, paragrafi 1 e 2, e all'articolo 10 della direttiva 2016/680.

113 Inoltre, come rilevato ai punti da 46 a 48 della presente sentenza, il giudice del rinvio precisa che, sebbene tali disposizioni gli sembrino richiedere che le autorità competenti dispongano di un margine di discrezionalità per stabilire la necessità della raccolta di dati biometrici e genetici e motivino adeguatamente quest'ultima, la registrazione da parte della polizia prevista dalla normativa applicabile al procedimento principale si applica in modo imperativo a tutte le persone formalmente accusate di reati dolosi perseguibili d'ufficio e alle tre categorie di dati biometrici e genetici previsti dalla disposizione di diritto nazionale di cui al procedimento principale, senza che tale normativa richieda l'accertamento dell'effettiva necessità di procedere alla raccolta di tutte queste categorie di dati.

114 Ne consegue che la quarta questione deve essere intesa nel senso che è volta a determinare, in sostanza, se l'articolo 10 della direttiva 2016/680, in combinato disposto con l'articolo 4, paragrafo 1, lettere da a) a c), nonché con l'articolo 8, paragrafi 1 e 2, di tale direttiva, debba essere interpretato nel senso che esso osta a una normativa nazionale che prevede la raccolta sistematica, ai fini della loro registrazione, di dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio, senza prevedere l'obbligo, per l'autorità competente, di determinare e di dimostrare, da un lato, che tale raccolta è necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall'altro, che tali obiettivi non possono essere raggiunti raccogliendo solo una parte dei dati di cui trattasi.

115 Più in particolare, occorre osservare che gli interrogativi del giudice del rinvio riguardano il requisito enunciato all'articolo 10 di tale direttiva, secondo il quale il trattamento delle categorie particolari di dati di cui a tale articolo deve essere autorizzato «solo se strettamente necessario».

116 A tale riguardo, in primo luogo, occorre ricordare che, come indicato ai punti 62 e 63 della presente sentenza, l'articolo 10 della direttiva 2016/680 costituisce una disposizione specifica che disciplina il trattamento delle categorie particolari di dati personali, compresi i dati biometrici e genetici. Come risulta dalla giurisprudenza, la finalità di tale articolo è garantire una maggiore protezione nei confronti di tali trattamenti che, a causa della particolare sensibilità dei dati in questione e del contesto nel quale sono trattati, possono creare, come risulta dal considerando 37 di detta direttiva, rischi significativi per i diritti e le libertà fondamentali, quali il diritto al rispetto della vita privata e il diritto alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta [v., per analogia, sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), C‑136/17, EU:C:2019:773, punto 44].

117 In secondo luogo, come risulta dai termini stessi in cui è enunciato all'articolo 10 della direttiva 2016/680, il requisito secondo cui il trattamento di simili dati è autorizzato «solo se strettamente necessario» deve essere interpretato nel senso che esso definisce condizioni rafforzate di liceità del trattamento dei dati sensibili, alla luce di quelle che risultano dall'articolo 4, paragrafo 1, lettere b) e c), e dall'articolo 8, paragrafo 1, di tale direttiva, le quali si riferiscono soltanto alla «necessità» di un trattamento di dati rientrante, in generale, nell'ambito di applicazione di detta direttiva.

118 Così, da un lato, l'impiego dell'avverbio «solo» dinanzi all'espressione «se strettamente necessario» sottolinea che il trattamento di categorie particolari di dati, ai sensi dell'articolo 10 della direttiva 2016/680, può essere considerato necessario solo in un numero limitato di casi. Dall'altro, il carattere «stretto» della necessità di un trattamento di simili dati implica che tale necessità sia valutata in modo particolarmente rigoroso.

119 La circostanza invocata dal governo francese che, in talune versioni linguistiche dell'articolo 10 della direttiva 2016/680, tale articolo [che nella versione francese della direttiva recita: «uniquement en cas de nécessité absolue» (solo in caso di assoluta necessità)] si riferisce ai casi in cui il trattamento dei dati è «strettamente necessario» non è dirimente al riguardo. Infatti, tale variazione terminologica non modifica la natura del criterio così considerato e il livello di rigore richiesto, dal momento che anche tali versioni linguistiche definiscono una condizione rafforzata affinché sia autorizzato il trattamento di dati sensibili, che implica una valutazione più rigorosa della sua necessità rispetto al caso in cui i dati trattati non rientrino nell'ambito di applicazione di detto articolo.

120 Inoltre, come rileva anche la Commissione, il requisito secondo cui un trattamento di dati rientrante nell'ambito di applicazione dell'articolo 10 della direttiva 2016/680 è autorizzato solo se strettamente necessario non figurava nella proposta di direttiva [COM (2012) 10 final] all'origine della direttiva medesima, ma è stato successivamente introdotto dal legislatore dell'Unione, il quale ha così chiaramente inteso imporre una condizione rafforzata di necessità del trattamento di dati, in linea con l'obiettivo perseguito da tale articolo, consistente nel proteggere maggiormente le persone nei confronti dei trattamenti di dati sensibili.

121 In terzo luogo, per quanto riguarda il contenuto del requisito secondo cui il trattamento dei dati sensibili deve essere autorizzato «solo se strettamente necessario», occorre rilevare che i requisiti specifici dell'articolo 10 della direttiva 2016/680 costituiscono un'attuazione particolare, applicabile a talune categorie di dati, dei principi enunciati agli articoli 4 e 8 di tale direttiva, che devono essere rispettati da qualsiasi trattamento di dati rientrante nell'ambito di applicazione di quest'ultima. Di conseguenza, la portata di questi diversi requisiti deve essere determinata alla luce dei suddetti principi.

122 In particolare, da un lato, il carattere «strettamente necessario», ai sensi dell'articolo 10 della direttiva 2016/680, della raccolta, ai fini della loro registrazione, dei dati biometrici e genetici delle persone formalmente accusate deve essere determinato alla luce delle finalità di tale raccolta. Conformemente al principio di limitazione delle finalità enunciato all'articolo 4, paragrafo 1, lettera b), di tale direttiva, dette finalità devono essere «determinate, esplicite e legittime». Dall'altro lato, sebbene il requisito secondo cui il trattamento dei dati biometrici e genetici deve essere autorizzato «solo se strettamente necessario» corrisponda, come rilevato ai punti da 117 a 119 della presente sentenza, a un'esigenza di maggiore protezione di determinate categorie di dati, esso costituisce nondimeno un'applicazione specifica alle categorie di dati di cui al suddetto articolo 10 del principio di minimizzazione dei dati, enunciato all'articolo 4, paragrafo 1, lettera c), di detta direttiva, in forza del quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

123 Inoltre, alla luce dell'articolo 4, paragrafo 1, lettera a), della stessa direttiva, la portata di tale requisito deve essere altresì determinata alla luce dell'articolo 8, paragrafo 1, di quest'ultima, ai sensi del quale gli Stati membri devono disporre, in particolare, che il trattamento sia lecito solo se e nella misura in cui è necessario per l'esecuzione di un compito di un'autorità competente, per le finalità di cui all'articolo 1, paragrafo 1, di tale direttiva, nonché del suo articolo 8, paragrafo 2, che richiede che una disposizione del diritto di uno Stato membro che disciplina il trattamento nell'ambito di applicazione di tale direttiva specifichi quanto meno gli obiettivi del trattamento, i dati personali da trattare e le finalità del trattamento.

124 A tale riguardo, le finalità del trattamento di dati biometrici e genetici non possono essere designate in termini troppo generici, ma richiedono di essere definite in modo sufficientemente preciso e concreto da consentire di valutare il carattere «strettamente necessario» di detto trattamento.

125 Inoltre, il requisito del carattere «strettamente necessario» del trattamento di dati sensibili implica un controllo particolarmente rigoroso, in tale contesto, del rispetto del principio di minimizzazione dei dati.

126 A tale riguardo, in primo luogo, si deve ricordare che, come risulta dal considerando 26 della direttiva 2016/680, il requisito della necessità è soddisfatto qualora l'obiettivo perseguito dal trattamento di dati di cui trattasi non possa ragionevolmente essere conseguito in modo altrettanto efficace con altri mezzi meno lesivi dei diritti fondamentali delle persone interessate, in particolare dei diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta (v., in tal senso, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 85 e giurisprudenza ivi citata). In particolare, tenuto conto della tutela rafforzata delle persone riguardo al trattamento di dati sensibili, occorre che il responsabile di tale trattamento si assicuri che tale obiettivo non possa essere soddisfatto facendo ricorso a categorie di dati diverse da quelle elencate all'articolo 10 della direttiva 2016/680.

127 In secondo luogo, alla luce dei rischi significativi rappresentati dal trattamento dei dati sensibili per i diritti e le libertà delle persone interessate, in particolare nel contesto dei compiti delle autorità competenti ai fini enunciati all'articolo 1, paragrafo 1, della direttiva 2016/680, il requisito del carattere «strettamente necessario» implica che si tenga conto della particolare rilevanza dell'obiettivo che un simile trattamento mira a conseguire. Una simile rilevanza può essere valutata, tra l'altro, in funzione della natura stessa dell'obiettivo perseguito, in particolare del fatto che il trattamento persegue un obiettivo concreto connesso alla prevenzione di reati o di minacce alla pubblica sicurezza che presentino un certo livello di gravità, alla repressione di simili reati o alla protezione contro simili minacce, nonché alla luce delle circostanze specifiche in cui tale trattamento è effettuato.

128 Alla luce delle considerazioni che precedono, si deve ritenere che una normativa nazionale che prevede la raccolta sistematica dei dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio è contraria, in linea di principio, al requisito enunciato all'articolo 10 della direttiva 2016/680, secondo cui il trattamento delle categorie particolari di dati di cui a tale articolo deve essere autorizzato «solo se strettamente necessario».

129 Infatti, una simile normativa può condurre, in modo indifferenziato e generalizzato, alla raccolta dei dati biometrici e genetici della maggior parte delle persone formalmente accusate, dal momento che la nozione di «reato doloso perseguibile d'ufficio» riveste un carattere particolarmente generale e può applicarsi a un gran numero di reati, indipendentemente dalla loro natura e dalla loro gravità.

130 È vero che una simile normativa limita l'ambito di applicazione della raccolta dei dati biometrici e genetici alle persone formalmente accusate durante la fase istruttoria di un procedimento penale, vale a dire a persone per le quali sussistono fondati motivi di ritenere che esse abbiano commesso un reato, ai sensi dell'articolo 6, lettera a), della direttiva 2016/680. Tuttavia, il solo fatto che una persona sia formalmente accusata di un reato doloso perseguibile d'ufficio non può essere considerato un elemento che consente, di per sé, di presumere che la raccolta dei suoi dati biometrici e genetici sia strettamente necessaria alla luce delle finalità che essa persegue e tenuto conto del pregiudizio arrecato ai diritti fondamentali, in particolare dei diritti al rispetto della vita privata e della protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta, che ne deriva.

131 Pertanto, da un lato, pur sussistendo fondati motivi di ritenere che la persona di cui trattasi abbia commesso un reato, che giustifica la sua accusa formale, il che presuppone che siano già stati riscontrati sufficienti elementi di prova del coinvolgimento di tale persona nel reato, potranno verificarsi casi in cui la raccolta sia dei dati biometrici sia dei dati genetici non obbedirà ad alcuna necessità concreta ai fini del procedimento penale in corso.

132 Dall'altro lato, la probabilità che i dati biometrici e genetici di una persona formalmente accusata siano strettamente necessari nell'ambito di procedimenti diversi da quello in cui tale accusa formale ha avuto luogo può essere determinata solo alla luce dell'insieme degli elementi pertinenti, quali, in particolare, la natura e la gravità del presunto reato del quale essa è formalmente accusata, le circostanze particolari di tale reato, l'eventuale collegamento di detto reato con altri procedimenti in corso, i precedenti giudiziari o il profilo individuale della persona interessata.

133 In tali circostanze, spetta al giudice del rinvio verificare se, al fine di garantire l'effettività dell'articolo 10 della direttiva 2016/680, sia possibile interpretare la normativa nazionale che prevede tale esecuzione coercitiva in modo conforme al diritto dell'Unione. In particolare, spetta al giudice del rinvio verificare se il diritto nazionale consenta di valutare il carattere «strettamente necessario» della raccolta sia dei dati biometrici sia dei dati genetici della persona interessata, ai fini della loro registrazione. In particolare, occorrerebbe, a tale titolo, verificare se la natura e la gravità del reato di cui la persona interessata, nel procedimento penale principale, è indiziata o se altri elementi pertinenti, come quelli indicati al punto 132 della presente sentenza, possano costituire circostanze tali da dimostrare un simile carattere «strettamente necessario». Inoltre, occorrerebbe assicurarsi che la raccolta dei dati di stato civile, anch'essa prevista nell'ambito della registrazione da parte della polizia, come confermato dal governo bulgaro nell'ambito di una risposta scritta a un quesito posto dalla Corte, non consenta, già di per sé, di raggiungere gli obiettivi perseguiti.

134 Nell'ipotesi in cui il diritto nazionale non garantisca un simile controllo della misura di raccolta dei dati biometrici e genetici, spetta al giudice del rinvio garantire la piena efficacia di detto articolo 10, respingendo la richiesta delle autorità di polizia di autorizzare l'esecuzione coercitiva di tale raccolta.

135 Da tutto quanto precede risulta che l'articolo 10 della direttiva 2016/680, in combinato disposto con l'articolo 4, paragrafo 1, lettere da a) a c), nonché con l'articolo 8, paragrafi 1 e 2, di tale direttiva, deve essere interpretato nel senso che esso osta a una normativa nazionale che prevede la raccolta sistematica di dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio, ai fini della loro registrazione, senza prevedere l'obbligo, per l'autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall'altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un'ingerenza meno grave nei diritti e nelle libertà della persona interessata.

Sulle spese

136 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi,

la Corte (Quinta Sezione) dichiara:

1) L'articolo 10, lettera a), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, letto alla luce dell'articolo 52 della Carta dei diritti fondamentali dell'Unione europea, deve essere interpretato nel senso che:

il trattamento di dati biometrici e genetici da parte delle autorità di polizia per le loro attività di ricerca, a fini di lotta contro la criminalità e di tutela dell'ordine pubblico, è autorizzato dal diritto dello Stato membro, ai sensi dell'articolo 10, lettera a), di tale direttiva, se il diritto di tale Stato membro contiene una base giuridica sufficientemente chiara e precisa per autorizzare detto trattamento. La circostanza che l'atto legislativo nazionale contenente una simile base giuridica faccia, inoltre, riferimento al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e non alla direttiva 2016/680, non è di per sé idonea a rimettere in discussione l'esistenza di una simile autorizzazione, purché dall'interpretazione di tutte le disposizioni applicabili del diritto nazionale risulti in modo sufficientemente chiaro, preciso e inequivocabile che il trattamento di dati biometrici e genetici in questione rientra nell'ambito di applicazione di tale direttiva, e non di tale regolamento.

2) L'articolo 6, lettera a), della direttiva 2016/680 nonché gli articoli 47 e 48 della Carta dei diritti fondamentali dell'Unione europea devono essere interpretati nel senso che:

essi non ostano a una normativa nazionale che prevede che, in caso di rifiuto della persona formalmente accusata di un reato doloso perseguibile d'ufficio di cooperare spontaneamente alla raccolta dei dati biometrici e genetici che la riguardano, ai fini della loro registrazione, il giudice penale competente è tenuto ad autorizzare una misura di esecuzione coercitiva di tale raccolta, senza avere il potere di valutare se sussistano fondati motivi per ritenere che l'interessato abbia commesso il reato di cui è formalmente accusato, purché il diritto nazionale garantisca successivamente il controllo giurisdizionale effettivo delle condizioni di tale messa in stato di accusa formale, da cui risulta l'autorizzazione a procedere a detta raccolta.

3) L'articolo 10 della direttiva 2016/680, in combinato disposto con l'articolo 4, paragrafo 1, lettere da a) a c), nonché con l'articolo 8, paragrafi 1 e 2, di tale direttiva, deve essere interpretato nel senso che:

esso osta a una normativa nazionale che prevede la raccolta sistematica di dati biometrici e genetici di qualsiasi persona formalmente accusata di un reato doloso perseguibile d'ufficio, ai fini della loro registrazione, senza prevedere l'obbligo, per l'autorità competente, di verificare e di dimostrare, da un lato, che tale raccolta è strettamente necessaria per il raggiungimento dei concreti obiettivi perseguiti e, dall'altro, che tali obiettivi non possono essere raggiunti mediante misure che costituiscono un'ingerenza meno grave nei diritti e nelle libertà della persona interessata.