In data 12 gennaio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-132/21, BE contro Nemzeti Adatvédelmi és Információszabadság Hatóság, sull’interpretazione dell’articolo 77, paragrafo 1, dell’articolo 78, paragrafo 1, e dell’articolo 79, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra BE e la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorità nazionale ungherese incaricata della protezione dei dati e della libertà dell’informazione) in merito al rigetto della domanda di BE volta ad ottenere la comunicazione di segmenti del fonogramma di un’assemblea generale degli azionisti di una società alla quale la stessa aveva partecipato.
Questi i fatti.
In data 26 aprile 2019, BE aveva assistito all’assemblea generale di una società per azioni di cui era azionista, ponendo quesiti ai membri del consiglio di amministrazione nonché ad altri partecipanti all’assemblea. Successivamente, BE aveva chiesto a tale società, in qualità di titolare del trattamento di tali dati, la messa a disposizione del fonogramma realizzato in occasione dell’assemblea generale. La società in questione, tuttavia, aveva messo a disposizione di BE soltanto i segmenti del fonogramma che riproducevano i suoi interventi, ad esclusione di quelli degli altri partecipanti all’assemblea. Di conseguenza, BE aveva chiesto all’autorità di controllo, da un lato, di dichiarare che, non avendole rilasciato il suddetto fonogramma, incluse le risposte alle sue domande, tale società aveva violato il GDPR e, dall’altro, di ordinarle di mettere a disposizione il fonogramma in questione.
Poiché la sua domanda era stata respinta, BE aveva proposto un ricorso dinnanzi alla Fővárosi Törvényszék (Corte di Budapest-Capitale; il “giudice del rinvio”). Parallelamente, BE aveva proposto un secondo ricorso dinanzi ad un giudice civile, la Fővárosi Ítélőtábla (Corte d’appello regionale di Budapest-Capitale), che lo aveva accolto con sentenza passata in giudicato in quanto il titolare del trattamento aveva violato il diritto di accesso di BE ai suoi dati personali. Ritenendo di dover esaminare gli stessi fatti e la stessa allegazione di violazione del GDPR sui quali la Fővárosi Ítélőtábla aveva già statuito in modo definitivo, il giudice del rinvio aveva deciso di sospendere il procedimento e, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di chiedere alla Corte di Giustizia se l’articolo 77, paragrafo 1[2], l’articolo 78, paragrafo 1[3], e l’articolo 79, paragrafo 1[4], del GDPR, letti alla luce dell’articolo 47 della Carta dei diritti fondamentali[5], debbano essere interpretati nel senso che i mezzi di ricorso previsti, da un lato, da tale articolo 77, paragrafo 1, nonché dall’articolo 78, paragrafo 1, di tale regolamento e, dall’altro, da tale articolo 79, paragrafo 1, possono essere esercitati in modo concorrente e indipendente, o se uno di essi abbia carattere prioritario.
La Corte ha preliminarmente rilevato che il GDPR non prevede alcuna competenza prioritaria o esclusiva né alcuna regola di prevalenza della valutazione effettuata dall’autorità di controllo o dai giudici a cui essa si riferisce relativa all’esistenza di una violazione dei diritti conferiti da tale regolamento, di talché il ricorso previsto all’articolo 78, paragrafo 1, GDPR, il cui oggetto è l’esame della legittimità della decisione di un’autorità di controllo adottata sulla base dell’articolo 77 del regolamento, e quello previsto all’articolo 79, paragrafo 1, del medesimo regolamento, possono essere esercitati in modo concorrente e indipendente. Tale constatazione è confermata dal contesto nel quale si inseriscono le disposizioni del GDPR di cui trattasi. Mentre, infatti, il legislatore dell’Unione ha espressamente disciplinato il rapporto tra i ricorsi previsti dal GDPR in caso siano adite simultaneamente autorità di controllo o giudici di più Stati Membri riguardo a un trattamento di dati personali effettuato dallo stesso titolare del trattamento, ciò non avviene per quanto riguarda i mezzi di ricorso previsti agli articoli da 77 a 79 di tale regolamento. La messa a disposizione di diversi mezzi di ricorso, inoltre, rafforza l’obiettivo del GDPR di garantire a qualsiasi persona interessata che ritenga che i diritti di cui gode siano violati di disporre del diritto ad un ricorso giurisdizionale effettivo conformemente all’articolo 47 della Carta[6].
In assenza di una disciplina dell’Unione in materia, spetta a ciascuno Stato Membro, in forza del principio di autonomia processuale, stabilire le modalità delle procedure amministrative e quelle relative alla procedura giurisdizionale intese a garantire la tutela dei diritti spettanti agli amministrati in forza del diritto dell’Unione. È sulla base delle disposizioni procedurali nazionali, pertanto, che spetta al giudice del rinvio determinare come i mezzi di ricorso previsti dal GDPR debbano essere attuati in un caso come quello concreto.
Le modalità di attuazione di tali mezzi di ricorso concorrenti e indipendenti, tuttavia, non dovrebbero mettere in discussione l’effetto utile e la tutela effettiva dei diritti garantiti dal GPDR. Tali modalità, infatti, non devono essere meno favorevoli di quelle che riguardano ricorsi simili previsti per la protezione dei diritti che derivano dall’ordine giuridico interno (principio di equivalenza), né essere strutturate in modo da rendere in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dall’ordinamento giuridico dell’Unione (principio di effettività)[7]. Gli Stati Membri, inoltre, devono garantire il rispetto del diritto ad un ricorso effettivo e ad un giudice imparziale, sancito dall’articolo 47 della Carta, che costituisce una riaffermazione del principio della tutela giurisdizionale effettiva[8]. Di conseguenza, essi devono assicurarsi che le modalità concrete di esperimento dei mezzi di ricorso di cui all’articolo 77, paragrafo 1, all’articolo 78, paragrafo 1, e all’articolo 79, paragrafo 1, del GDPR non pregiudichino in modo sproporzionato il diritto ad un ricorso effettivo dinanzi ad un giudice, sancito dall’articolo 47 della Carta[9].
Nel caso concreto, il sistema di mezzi di ricorso previsto dal diritto ungherese è concepito in modo tale che i ricorsi di cui all’articolo 78, paragrafo 1, e all’articolo 79, paragrafo 1, del GDPR siano indipendenti. In forza di tale diritto, infatti, il giudice del rinvio non è vincolato alla decisione emessa dal giudice investito di un ricorso proposto sulla base di tale articolo 79, paragrafo 1, benché i fatti di cui tali giudici sono aditi siano i medesimi. Di conseguenza, non si può escludere che le decisioni emesse da questi due giudici si contraddicano, ciò che, da un lato, metterebbe in discussione l’obiettivo di garantire un’applicazione coerente ed omogenea delle norme in materia di tutela delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione e, dall’altro, comporterebbe un indebolimento della protezione delle persone fisiche con riguardo al trattamento di dati personali che li riguardano, dal momento che una tale incoerenza creerebbe una situazione di incertezza giuridica.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 77, paragrafo 1, l’articolo 78, paragrafo 1, e l’articolo 79, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che essi consentono un esercizio concorrente e indipendente dei mezzi di ricorso previsti, da un lato, da tale articolo 77, paragrafo 1, e da tale articolo 78, paragrafo 1, nonché, dall’altro, da tale articolo 79, paragrafo 1. Spetta agli Stati membri, in linea con il principio dell’autonomia procedurale, prevedere le modalità di articolazione di tali mezzi di ricorso affinché siano garantiti l’efficacia della protezione dei diritti garantiti da tale regolamento, l’applicazione coerente ed omogenea delle disposizioni dello stesso nonché il diritto a un ricorso effettivo dinanzi a un giudice, come sancito dall’articolo 47 della Carta dei diritti fondamentali”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 77 del GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[3] L’articolo 78 del GDPR, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda…”.
[4] L’articolo 79 del GDPR, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento…”.
[5] L’articolo 47 della Carta, intitolato “Diritto a un ricorso effettivo e a un giudice imparziale”, dispone: “… Ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo.
Ogni individuo ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni individuo ha la facoltà di farsi consigliare, difendere e rappresentare.
A coloro che non dispongono di mezzi sufficienti Ł concesso il patrocinio a spese dello Stato qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia…”.
[6] Il considerando (141) del GDPR dispone: “… Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. Successivamente al reclamo si dovrebbe condurre un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nel caso specifico. È opportuno che l’autorità di controllo informi gli interessati dello stato e dell’esito del reclamo entro un termine ragionevole. Se il caso richiede un’ulteriore indagine o il coordinamento con un’altra autorità di controllo, l’interessato dovrebbe ricevere informazioni interlocutorie. Per agevolare la proposizione di reclami, ogni autorità di controllo dovrebbe adottare misure quali la messa a disposizione di un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione…”.
[7] CGUE 14.07.2022, Cause riunite C‑274/21 e C‑275/21, EPIC Financial Consulting, punto 73.
[8] CGUE 27.09.2017, Causa C‑73/16, Puškár, punto 59.
[9] Ibidem, punto 76.