In data 16 gennaio 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-33/22, Österreichische Datenschutzbehörde contro WK, sull’interpretazione dell’articolo 16, paragrafo 2, prima frase, del Trattato sul Funzionamento dell’Unione Europea (TFUE) nonché dell’articolo 2, paragrafo 2, lettera a), dell’articolo 51, paragrafo 1, dell’articolo 55, paragrafo 1, e dell’articolo 77, paragrafo 1 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra l’Österreichische Datenschutzbehörde (Autorità austriaca per la protezione dei dati) e WK relativamente al rigetto del reclamo proposto da quest’ultimo avverso un’asserita violazione del suo diritto alla protezione dei dati personali.
Questi i fatti.
In data 20 aprile 2018, il Consiglio nazionale aveva istituito una commissione di inchiesta incaricata di fare luce sull’esistenza di una possibile influenza politica sul Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Ufficio federale per la protezione della Costituzione e la lotta al terrorismo, BVT), che il 19 settembre successivo aveva ascoltato WK in qualità di testimone nel corso di un’audizione accessibile ai rappresentanti dei mezzi di comunicazione. Nonostante una sua richiesta di anonimizzazione, il resoconto di tale audizione, nel quale venivano citati per intero il suo nome e cognome, era stato pubblicato sul sito internet del Parlamento austriaco, di talché WK aveva presentato un reclamo presso l’Autorità affermando che tale pubblicazione, avvenuta contro la sua volontà, era contraria al GDPR.
Poiché l’Autorità aveva respinto il suo reclamo, WK aveva proposto ricorso dinnanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale), che lo aveva accolto. Di conseguenza, l’Autorità aveva adito il Verwaltungsgerichtshof (Corte amministrativa austriaca; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di rivolgere alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 16, paragrafo 2, prima frase[2], TFUE e l’articolo 2, paragrafo 2, lettera a)[3], del GDPR debbano essere interpretati nel senso che un’attività, per la sola ragione di essere esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato Membro nell’esercizio del suo potere di controllo del potere esecutivo, si collochi al di fuori dell’ambito di applicazione del diritto dell’Unione ed esuli pertanto dall’ambito di applicazione di tale regolamento.
La Corte ha preliminarmente ricordato che l’articolo 2, paragrafo 2, lettera a), del GDPR ha l’unico obiettivo di escludere dall’ambito di applicazione di quest’ultimo i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o che può essere ascritta alla medesima categoria, di modo che il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente affinché tale eccezione sia automaticamente applicabile[4]. Tale articolo, infatti, si riferisce soltanto a categorie di attività che, per loro natura, non rientrano nell’ambito di applicazione del diritto dell’Unione, e non a categorie di persone, a seconda che esse abbiano natura privata o pubblica, né, qualora il titolare del trattamento sia un’autorità pubblica, alla circostanza che i compiti e le funzioni di quest’ultima rientrino direttamente ed esclusivamente in una determinata prerogativa dei pubblici poteri, senza che la stessa si ricolleghi ad un’attività che esuli in ogni caso dall’ambito di applicazione del diritto dell’Unione. Di conseguenza, la circostanza che il trattamento di dati personali sia effettuato da una commissione di inchiesta istituita dal Parlamento di uno Stato Membro nell’esercizio del suo potere di controllo del potere esecutivo non consente, in quanto tale, di dimostrare che lo stesso sia parte di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione, ai sensi dell’articolo 2, paragrafo 2, lettera a), del GDPR.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 2, paragrafo 2, lettera a), del GDPR, letto alla luce del considerando 16[5] di quest’ultimo, debba essere interpretato nel senso che non possono essere considerate attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di tale disposizione, quelle di una commissione d’inchiesta istituita dal Parlamento di uno Stato Membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi lo scopo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su quest’ultima.
La Corte ha preliminarmente rilevato che la commissione di inchiesta del caso concreto aveva l’obiettivo di procedere ad un controllo politico dell’attività del BVT a causa di un sospetto di influenza politica su quest’ultimo, senza che tale controllo sembrasse costituire, in quanto tale, un’attività volta a salvaguardare la sicurezza nazionale o che potesse essere ascritta alla stessa categoria, di talché esso non esula dall’ambito di applicazione del GDPR in forza dell’articolo 2, paragrafo 2, lettera a). Ciononostante, una commissione del genere può, nell’ambito dei suoi lavori, avere accesso a informazioni, quali i dati personali, che, per ragioni attinenti alla sicurezza nazionale, devono beneficiare di una protezione particolare, consistente ad esempio nel limitare le informazioni da fornire alle persone interessate quanto alla raccolta di tali dati o l’accesso ad essi.
A tale riguardo, l’articolo 23[6] del GDPR stabilisce che possono essere stabilite limitazioni, mediante misure legislative, agli obblighi e ai diritti previsti da quest’ultimo per salvaguardare, tra le altre cose, la sicurezza nazionale o una funzione di controllo connessa all’esercizio di pubblici poteri. Tale necessità, pertanto, può giustificare limitazioni, mediante misure legislative, agli obblighi e ai diritti derivanti dal GDPR per quanto riguarda la raccolta dei dati personali, l’informazione degli interessati e il loro accesso a tali dati o la loro divulgazione a persone diverse dal titolare del trattamento, purché le stesse rispettino l’essenza dei diritti e delle libertà fondamentali degli interessati e costituiscano una misura necessaria e proporzionata in una società democratica.
Con la terza questione, infine, il giudice del rinvio chiedeva se l’articolo 77, paragrafo 1[7], e l’articolo 55, paragrafo 1[8], del GDPR debbano essere interpretati nel senso che, qualora uno Stato Membro abbia scelto, conformemente all’articolo 51, paragrafo 1[9], di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del GDPR da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato Membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a tale autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati dalla suddetta commissione.
La Corte ha preliminarmente rilevato che l’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del GDPR non richiedono l’adozione di misure nazionali per la loro attuazione, e sono sufficientemente chiari, precisi e non condizionati per essere dotati di effetto diretto. Sebbene riconosca agli Stati Membri un margine di discrezionalità quanto al numero di autorità di controllo da istituire, pertanto, il GDPR fissa, per contro, la portata della competenza di cui tali autorità, indipendentemente dal loro numero, devono essere dotate per sorvegliarne l’applicazione, di talché, nel caso in cui uno Stato Membro scelga di istituire un’unica autorità di controllo, quest’ultima è necessariamente dotata di tutte le competenze che il GDPR conferisce alle stesse.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 16, paragrafo 2, prima frase, TFUE e l’articolo 2, paragrafo 2, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che un’attività non può essere considerata esclusa dall’ambito di applicazione del diritto dell’Unione e, pertanto, esulante dall’ambito di applicazione di tale regolamento per la sola ragione che essa venga esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo.
L’articolo 2, paragrafo 2, lettera a), del regolamento 2016/679, letto alla luce del considerando 16 di tale regolamento, deve essere interpretato nel senso che non possono essere considerate, in quanto tali, attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di detta disposizione, le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi l’obiettivo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su tale autorità.
L’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che qualora uno Stato membro abbia scelto, conformemente all’articolo 51, paragrafo 1, di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del suddetto regolamento da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a detta autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati dalla suddetta commissione di inchiesta”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 16 TFUE al paragrafo 2 dispone: “… Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati. Il rispetto di tali norme è soggetto al controllo di autorità indipendenti.
Le norme adottate sulla base del presente articolo fanno salve le norme specifiche di cui all’articolo 39 del trattato sull’Unione europea…”.
[3] L’articolo 2 GDPR, intitolato “Ambito di applicazione materiale”, al paragrafo 2 lettera a) dispone: “… Il presente regolamento non si applica ai trattamenti di dati personali:
(a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione…”.
[4] CGUE 20.10.2022, Causa C‑306/21, Koalitsia «Demokratichna Bulgaria – Obedinenie», punto 39; CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 66.
[5] Il considerando (16) GDPR dispone: “… Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione…”.
[6] L’articolo 23 GDPR, intitolato “Limitazioni”, al paragrafo 1 dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
i) la tutela dell’interessato o dei diritti e delle libertà altrui;
j) l’esecuzione delle azioni civili…”.
[7] L’articolo 55 GDPR, intitolato “Competenza”, al paragrafo 1 dispone: “… Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro…”.
[8] L’articolo 77 GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[9] L’articolo 51 GDPR, intitolato “Autorità di controllo”, al paragrafo 1 dispone: “… Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’«autorità di controllo»)…”.