In data 9 gennaio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-416/23, Österreichische Datenschutzbehörde contro F R, sull’interpretazione dell’articolo 57, paragrafo 4, e dell’articolo 77, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra F R, persona fisica, e l’Österreichische Datenschutzbehörde (Autorità austriaca per la protezione dei dati, DSB) in merito al rifiuto da parte di quest’ultima di dar seguito ad un reclamo relativo ad una presunta violazione del diritto di accesso di F R ai suoi dati personali.
Questi i fatti.
In data 17 febbraio 2020, F R aveva proposto reclamo alla DSB in quanto una società, avente la qualità di titolare del trattamento, non aveva risposto alla sua richiesta di accesso ai suoi dati personali entro il termine di un mese. La DSB, tuttavia, aveva rifiutato di dar seguito a tale reclamo a motivo del suo carattere eccessivo. F R, pertanto, aveva proposto ricorso dinanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale), che lo aveva accolto annullando la decisione della DSB. Di conseguenza, quest’ultima aveva presentato un ricorso per cassazione dinnanzi al Verwaltungsgerichtshof (Corte amministrativa; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4[2], del GDPR debba essere interpretato nel senso che la nozione di “richiesta” ivi contenuta comprende i “reclami” di cui all’articolo 57, paragrafo 1, lettera f)[3], e all’articolo 77, paragrafo 1[4], del medesimo regolamento.
La Corte ha preliminarmente rilevato che nessuna delle suddette disposizioni definisce espressamente la nozione di “richiesta” ai sensi dell’articolo 57, paragrafo 4, del GDPR. Secondo il suo significato abituale nel linguaggio corrente, tuttavia, la nozione di “richiesta” è particolarmente ampia, poiché comprende potenzialmente ogni domanda formulata da una persona o da un ente, di talché vi rientrano anche i reclami proposti ai sensi dell’articolo 77, paragrafo 1, del GDPR. Ciò trova conferma anche dal contesto in cui tali disposizioni si inseriscono. Prevedendo per le autorità di controllo la facoltà, qualora siano poste di fronte a richieste manifestamente infondate o eccessive, di addebitare un contributo spese ragionevole basato sui costi amministrativi o di rifiutarsi di soddisfare una richiesta, l’articolo 57, paragrafo 4, del GDPR introduce un’eccezione al principio di gratuità dei compiti da esse svolti[5], senza limitarla a determinati compiti specifici, dovendosi pertanto applicare anche al trattamento dei reclami di cui all’articolo 57, paragrafo 1, lettera f), di tale regolamento, soprattutto in quanto quest’ultimo compito costituisce una missione essenziale delle autorità stesse.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4, del GDPR debba essere interpretato nel senso che la mera circostanza che siano state presentate numerose richieste possa essere sufficiente affinché queste siano qualificate eccessive, ai sensi di tale disposizione, o se una qualificazione di questo tipo presupponga altresì un intento abusivo da parte della persona che ha presentato tali richieste.
La Corte ha preliminarmente ricordato che, costituendo un’eccezione al principio di gratuità dei compiti svolti dalle autorità di controllo, l’esercizio della facoltà prevista dall’articolo 57, paragrafo 4, del GDPR deve rimanere eccezionale[6], potendo avvenire solo in caso di abuso di diritto[7] senza che il numero di reclami proposti possa costituire, di per sé, un criterio sufficiente ai fini dell’accertamento dell’esistenza di quest’ultimo. Di conseguenza, quando intende avvalersi della facoltà offerta dall’articolo 57, paragrafo 4, del GDPR, l’autorità di controllo interessata deve dimostrare, alla luce di tutte le circostanze pertinenti di ciascun caso, l’esistenza di un intento abusivo da parte dell’interessato, fermo restando che il numero di reclami proposti da quest’ultimo non è, di per sé, sufficiente.
Con la terza questione, infine, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4, del GDPR debba essere interpretato nel senso che, quando viene posta di fronte a richieste eccessive, un’autorità di controllo può liberamente scegliere tra addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta.
La Corte ha preliminarmente rilevato che la formulazione dell’articolo 57, paragrafo 4, del GDPR sembra deporre a favore dell’interpretazione secondo cui l’autorità di controllo, una volta accertato il carattere eccessivo delle richieste che le sono sottoposte, dispone della libertà di scegliere l’una o l’altra delle opzioni ivi previste. Ciò troverebbe conferma nell’ perseguiti dal GPDR di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché il rafforzamento e la disciplina dettagliata dei diritti degli interessati[8]. Di conseguenza, tenuto conto dell’importanza che riveste il diritto di proporre reclami rispetto all’obiettivo di garantire un livello elevato di protezione dei dati personali, del ruolo essenziale che il trattamento di tali reclami ha tra i compiti affidati alle autorità di controllo, nonché dell’obbligo che grava su dette autorità di procedere al trattamento di simili reclami con tutta la dovuta diligenza, spetta a queste ultime prendere in considerazione tutte le circostanze pertinenti ed assicurarsi che l’opzione prescelta sia appropriata, necessaria e proporzionata.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 57, paragrafo 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che la nozione di «richiesta» ivi contenuta comprende i reclami di cui all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di tale regolamento.
L’articolo 57, paragrafo 4, del regolamento 2016/679 deve essere interpretato nel senso che le richieste non possono essere qualificate «eccessive», ai sensi dell’articolo 57, paragrafo 4, di tale regolamento, unicamente in ragione del loro numero nel corso di un periodo determinato, dato che l’esercizio della facoltà prevista dalla medesima disposizione è subordinato alla dimostrazione, da parte dell’autorità di controllo, dell’esistenza di un intento abusivo della persona che ha presentato dette richieste.
L’articolo 57, paragrafo 4, del regolamento 2016/679 deve essere interpretato nel senso che quando viene posta di fronte a richieste eccessive, un’autorità di controllo può scegliere, con decisione motivata, tra addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta, tenendo conto di tutte le circostanze pertinenti e assicurandosi che l’opzione prescelta sia appropriata, necessaria e proporzionata”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 57 GDPR, intitolato “Compiti”, al paragrafo 4 dispone: “… Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta…”.
[3] L’articolo 57 GDPR al paragrafo 1 dispone: “… Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
(…)
f) tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo…”.
[4] L’articolo 77 GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[5] L’articolo 57 GDPR al paragrafo 3 dispone: “… Ogni autorità di controllo svolge i propri compiti senza spese né per l’interessato né, ove applicabile, per il responsabile della protezione dei dati…”.
[6] CGUE 08.11.2022, Causa C‑873/19, Deutsche Umwelthilfe (Omologazione dei veicoli a motore), punto 87; CGUE 05.04.2022, Causa C‑140/20, Commissioner of An Garda Síochána e a., punto 40.
[7] CGUE 26.10.2023, Causa C‑307/22, FT (Copie della cartella medica), punto 31.
[8] CGUE 26.10.2023, Causa C‑307/22, FT (Copie della cartella medica), punto 47.