In data 16 novembre 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-333/22, Ligue des droits humains ASBL e BA contro Organe de contrôle de l’information policière, sull’interpretazione, da un lato, dell’articolo 8, paragrafo 3, e dell’articolo 47 della Carta dei diritti fondamentali dell’Unione Europea e, dall’altro, sulla validità dell’articolo 17 della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio[1]. Tale domanda era stata presentata nell’ambito di una controversia tra, da un lato, la Ligue des droits humains ASBL(Lega dei diritti umani) e BA e, dall’altro, l’Organe de contrôle de l’information policière (Organo belga di controllo dell’informazione di polizia, OCIP) in merito all’esercizio, tramite quest’ultimo, dei diritti di BA relativi ai dati personali che lo riguardavano, trattati dai servizi di polizia belgi e sulla base dei quali l’Autorité nationale de sécurité (Autorità nazionale di sicurezza) aveva respinto una sua domanda di nulla osta di sicurezza.
Questi i fatti.
Nel corso del 2016 BA, all’epoca dipendente a tempo parziale di un’associazione senza scopo di lucro, aveva chiesto un nulla osta all’Autorità nazionale di sicurezza per poter partecipare al montaggio e allo smantellamento delle installazioni per la decima edizione delle “Giornate europee dello sviluppo” a Bruxelles. L’autorità, tuttavia, aveva rifiutato tale richiesta in quanto dai dati personali messi a sua disposizione risultava che BA aveva partecipato a dieci manifestazioni tra il 2007 e il 2016, ciò che non le consentiva di concedergli il nulla osta per motivi di sicurezza nazionale e di stabilità dell’ordinamento democratico costituzionale. Successivamente, il legale di BA aveva chiesto all’OCIP di identificare i titolari del trattamento dei dati personali in questione e di ingiungere loro di dare al suo cliente l’accesso a tutte le informazioni che lo riguardavano al fine di consentirgli di esercitare i suoi diritti in termini congrui.
Poiché l’OCIP aveva dichiarato che BA disponeva soltanto di un diritto di accesso indiretto a tali dati, quest’ultimo e la Lega dei diritti umani avevano presentato una domanda di provvedimenti provvisori dinanzi al Tribunal de première instance francophone de Bruxelles (Tribunale di primo grado di Bruxelles di lingua francese), che tuttavia si era dichiarato privo di potere giurisdizionale in relazione a tale domanda. Di conseguenza, la Lega dei diritti umani e BA avevano adito la Cour d’appel de Bruxelles (Corte d’appello di Bruxelles; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 17[2] della Direttiva 2016/680, in combinato disposto con l’articolo 46, paragrafo 1, lettera g)[3], l’articolo 47, paragrafi 1 e 2[4], e l’articolo 53, paragrafo 1[5], di tale direttiva, nonché con l’articolo 8, paragrafo 3[6], e l’articolo 47[7] della Carta, debba essere interpretato nel senso che, qualora i diritti di una persona siano stati esercitati tramite l’autorità di controllo competente, tale persona deve aver diritto ad un ricorso giurisdizionale effettivo nei confronti di quest’ultima.
La Corte ha preliminarmente rilevato che l’esercizio indiretto dei diritti dell’interessato tramite l’autorità di controllo competente, previsto dall’articolo 17 della Direttiva 2016/680, costituisce una garanzia supplementare che i suoi dati personali sono trattati in modo lecito, qualora disposizioni legislative nazionali limitino l’esercizio diretto presso il titolare del trattamento del diritto di ricevere ulteriori informazioni, di accedere a tali dati nonché di ottenerne la rettifica, la cancellazione o la limitazione del trattamento. L’esercizio indiretto dei diritti dell’interessato tramite l’autorità di controllo competente, pertanto, deve essere considerato necessario per la tutela di tali diritti, in quanto il loro esercizio diretto presso il titolare del trattamento risulta difficile o addirittura impossibile.
A tale riguardo, quando l’autorità di controllo agisce al fine di garantire l’esercizio dei diritti dell’interessato sulla base dell’articolo 17 della Direttiva 2016/680, il suo compito rientra pienamente nella definizione, da parte del diritto primario dell’Unione, del suo ruolo, dal momento che quest’ultima implica, in particolare, il controllo del rispetto dei diritti di accesso e di rettifica dell’interessato. Di conseguenza, nello svolgimento di tale compito, come nell’ambito di qualsiasi altro compito, l’autorità di controllo deve essere in grado di esercitare i poteri che le sono conferiti in forza dell’articolo 47 di tale direttiva agendo in totale indipendenza e conformemente alla Carta. Al termine della verifica della liceità del trattamento, inoltre, l’autorità di controllo competente deve informare l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame, portando cosi a sua conoscenza la decisione adottata nei suoi confronti di concludere il processo di verifica che, incidendo necessariamente sulla sua situazione giuridica, costituisce nei confronti di quest’ultimo una “decisione giuridicamente vincolante” ai sensi dell’articolo 53, paragrafo 1, della Direttiva 2016/680, indipendentemente dalla questione se e in quale misura tale autorità abbia accertato la liceità del trattamento di dati ad esso relativi o abbia esercitato poteri correttivi. Di conseguenza, l’interessato deve poter ottenere un controllo giurisdizionale della fondatezza di una tale decisione sulla base dell’articolo 53, paragrafo 1, della Direttiva 2016/680 e, in particolare, del modo in cui l’autorità di controllo ha adempiuto il suo obbligo di eseguire tutte le verifiche necessarie e, se del caso, dell’esercizio dei suoi poteri correttivi.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 17, paragrafo 3, della Direttiva 2016/680 sia valido rispetto all’articolo 8, paragrafo 3, e dell’articolo 47 della Carta nella parte in cui impone all’autorità di controllo soltanto di informare l’interessato, da un lato, di aver eseguito tutte le verifiche necessarie o un riesame e, dall’altro, che tale interessato ha il diritto di proporre un ricorso giurisdizionale, qualora un’informazione del genere non consenta un controllo giurisdizionale sull’azione dell’autorità di controllo e sulle sue valutazioni, tenuto conto dei dati trattati e degli obblighi del titolare del trattamento.
La Corte ha preliminarmente ricordato che sebbene possano essere apportate limitazioni al diritto ad un ricorso giurisdizionale effettivo, le stesse devono i) essere previste dalla legge, ii) rispettare il contenuto essenziale dei diritti e delle libertà in questione, e iii) essere necessarie e rispondere effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui[8]. Di conseguenza, poiché l’articolo 17, paragrafo 3, della Direttiva 2016/680 non osta a che l’autorità di controllo, in taluni casi, conformemente alle norme adottate dal legislatore nazionale per attuarla, possa avere la facoltà, se non anche l’obbligo di limitarsi a delle informazioni minime, senza ulteriori precisazioni, in particolare qualora tali norme mirino a non compromettere gli obiettivi di interesse pubblico previsti dalla direttiva stessa, esso è tale da comportare una limitazione al diritto ad un ricorso giurisdizionale effettivo, garantito all’articolo 47 della Carta.
Una tale limitazione, tuttavia, è in primo luogo espressamente prevista dalla Direttiva 2016/680. In secondo luogo, il fatto che l’articolo 17, paragrafo 3, della Direttiva 2016/680 consenta agli Stati Membri di limitare, in taluni casi, la motivazione di tale decisione agli elementi minimi ivi enunciati non significa che sia possibile, in ogni circostanza, ridurre l’informazione dell’interessato soltanto a tali elementi. Tale articolo, infatti, impone agli Stati Membri di garantire che le disposizioni di diritto nazionale che lo attuano, da un lato, rispettino il contenuto essenziale del diritto dell’interessato ad una tutela giurisdizionale effettiva e, dall’altro, si basino su una ponderazione degli obiettivi di interesse pubblico che giustifichi una limitazione di tale informazione nonché dei diritti fondamentali e dei legittimi interessi di quest’ultimo, nel rispetto dei principi di necessità e di proporzionalità.
Di conseguenza, qualora, da un lato, lo richieda la tutela del diritto a un ricorso giurisdizionale effettivo dell’interessato avverso la decisione di concludere il processo di verifica e, dall’altro, non vi ostino gli obiettivi di interesse pubblico previsti dalla Direttiva 2016/680, spetta agli Stati Membri prevedere che l’informazione dell’interessato possa andare oltre le informazioni minime previste all’articolo 17, paragrafo 3, di tale direttiva, in modo da consentirgli di difendere i suoi diritti e di decidere con piena cognizione di causa se sia utile adire il giudice competente. Nei casi in cui l’informazione fornita dall’autorità di controllo sia limitata a quanto previsto dall’articolo 17, paragrafo 3, della Direttiva 2016/680, inoltre, spetta comunque agli Stati Membri, nell’ambito della loro autonomia procedurale, attuare le misure necessarie per garantire un controllo giurisdizionale effettivo sia dell’esistenza e della fondatezza dei motivi che hanno giustificato la limitazione di tali informazioni sia della corretta esecuzione, da parte dell’autorità di controllo, del suo compito di verifica della liceità del trattamento.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 17 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, in combinato disposto con l’articolo 46, paragrafo 1, lettera g), l’articolo 47, paragrafi 1 e 2, e l’articolo 53, paragrafo 1, di tale direttiva, nonché con l’articolo 8, paragrafo 3, e l’articolo 47 della Carta dei diritti fondamentali dell’Unione europea deve essere interpretato nel senso che qualora i diritti di una persona siano stati esercitati, in applicazione di detto articolo 17, tramite l’autorità di controllo competente e tale autorità informi detta persona dell’esito delle verifiche effettuate, quest’ultima deve disporre di un ricorso giurisdizionale effettivo avverso la decisione di detta autorità di concludere il processo di verifica
Dall’esame della seconda questione non è emerso alcun elemento tale da inficiare la validità dell’articolo 17, paragrafo 3, della direttiva 2016/680”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 17 della Direttiva 2016/680, intitolato “Esercizio dei diritti dell’interessato e verifica da parte dell’autorità di controllo”, dispone: “… Nei casi di cui all’articolo 13, paragrafo 3, all’articolo 15, paragrafo 3, e all’articolo 16, paragrafo 4, gli Stati membri adottano misure che dispongano che i diritti dell’interessato possano essere esercitati anche tramite l’autorità di controllo competente.
Gli Stati membri dispongono che il titolare del trattamento informi l’interessato della possibilità di esercitare i suoi diritti tramite l’autorità di controllo ai sensi del paragrafo 1.
Qualora sia esercitato il diritto di cui al paragrafo 1, l’autorità di controllo informa l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame. L’autorità di controllo informa inoltre l’interessato del diritto di quest’ultimo di proporre ricorso giurisdizionale…”.
[3] L’articolo 46 della Direttiva 2016/680, intitolato “Compiti”, al paragrafo 1 lettera g) dispone: “… Ogni Stato membro dispone che sul proprio territorio ciascuna autorità di controllo:
(…)
g) verifichi la liceità del trattamento ai sensi dell’articolo 17 e informi l’interessato entro un termine ragionevole dell’esito della verifica ai sensi del paragrafo 3 di tale articolo, o dei motivi per cui non è stata effettuata…”.
[4] L’articolo 47 della Direttiva 2016/680, intitolato “Poteri”, ai paragrafi 1-2 dispone: “… Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia poteri d’indagine effettivi. Tali poteri comprendono almeno il potere di ottenere, dal titolare del trattamento e dal responsabile del trattamento, l’accesso a tutti i dati personali oggetto del trattamento e a tutte le informazioni necessarie per l’adempimento dei suoi compiti.
Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia poteri correttivi effettivi, come ad esempio:
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni adottate a norma della presente direttiva;
b) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni adottate a norma della presente direttiva, se del caso, in una determinata maniera ed entro un determinato termine, ordinando in particolare la rettifica o la cancellazione di dati personali o la limitazione del trattamento ai sensi dell’articolo 16;
c) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento…”.
[5] L’articolo 53 della Direttiva 2016/680, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo”, dispone: “… Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, gli Stati membri prevedono il diritto di una persona fisica o giuridica a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.
Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi dell’articolo 45, paragrafo 1, non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 52.
Gli Stati membri dispongono che le azioni nei confronti dell’autorità di controllo siano promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita…”.
[6] L’articolo 8 della Carta, intitolato “Protezione dei dati di carattere personale”, al paragrafo 3 dispone: “… Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente…”.
[7] L’articolo 47 della Carta, intitolato “Diritto a un ricorso effettivo e a un giudice imparziale”, dispone: “… Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo.
Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare.
A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia…”.
[8] CGUE 26.01.2023, Causa C‑205/21, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia), punto 89.