CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2019:96

SENTENZA DEL TRIBUNALE (Nona Sezione ampliata)

14 febbraio 2019 (*)

«Dati personali – Tutela delle persone fisiche in relazione al trattamento di tali dati – Diritto di accesso a tali dati – Regolamento (CE) n. 45/2001 – Diniego di accesso – Ricorso di annullamento – Lettera che rinvia a un precedente diniego parziale di accesso senza effettuare un riesame – Nozione di atto impugnabile ai sensi dell’articolo 263 TFUE – Nozione di atto meramente confermativo – Applicabilità in materia di accesso ai dati personali – Fatti nuovi e sostanziali – Interesse ad agire – Ricevibilità – Obbligo di motivazione»

Nella causa T‑903/16,

RE, rappresentato da S. Pappas, avvocato,

ricorrente,

contro,

Commissione europea, rappresentata da H. Kranenborg e D. Nardi, in qualità di agenti,

convenuta,

avente ad oggetto una domanda basata sull’articolo 263 TFUE e volta all’annullamento della nota del direttore della direzione Sicurezza della Direzione generale Risorse umane e sicurezza della Commissione, del 12 ottobre 2016, nella parte in cui respinge la domanda del ricorrente di accesso ad alcuni dei suoi dati personali,

IL TRIBUNALE (Nona Sezione ampliata),

composto da S. Gervasoni, presidente, L. Madise, R. da Silva Passos, K. Kowalik‑Bańczyk (relatore) e C. Mac Eochaidh, giudici,

cancelliere: N. Schall, amministratore

vista la fase scritta del procedimento e in seguito all’udienza del 20 settembre 2018,

ha pronunciato la seguente

Sentenza

Fatti

1 Il ricorrente, RE, esercita le funzioni di [riservato] (1) nell’ambito della Direzione generale Cooperazione internazionale e sviluppo della Commissione europea.

2 Il ricorrente è stato oggetto di un’indagine amministrativa (in prosieguo: l’«indagine amministrativa») svolta dalla direzione Sicurezza della Direzione generale Risorse umane e sicurezza della Commissione (in prosieguo: la «direzione Sicurezza»). Tale inchiesta riguardava l’asserita partecipazione del ricorrente ad attività di servizi segreti e, in particolare, la sua condotta durante un conflitto tra due Stati terzi, essendo egli sospettato di essere stato, in quell’occasione, troppo vicino a uno di detti Stati e di aver ad esso divulgato, senza autorizzazione, alcune informazioni riservate.

3 Con messaggio di posta elettronica del 5 dicembre 2013, il ricorrente ha chiesto alla direzione Sicurezza, sulla base dell’articolo 13 del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1), che gli fossero fornite tutte le informazioni e tutti i dati personali e professionali che lo riguardavano e che erano detenuti dalla tale direzione.

4 Con nota del 25 febbraio 2014, il direttore della direzione Sicurezza, dopo aver riscontrato che alcuni documenti erano già stati trasmessi al ricorrente il 27 novembre 2013, gli ha negato l’accesso agli altri dati personali che lo riguardavano, affermando che tali dati rientravano nelle deroghe e nelle limitazioni previste all’articolo 20, paragrafo 1, lettere da a) a d), del regolamento n. 45/2001.

5 Ritenendo che tale diniego di accesso violasse l’articolo 13 e l’articolo 20, paragrafo 1, del regolamento n. 45/2001, il ricorrente, con lettera del 18 aprile 2014, ha presentato un reclamo al garante europeo della protezione dei dati (GEPD) ai sensi dell’articolo 32, paragrafo 2, del regolamento n. 45/2001.

6 Con decisione del 26 febbraio 2016, il GEPD ha affermato che, visto il modo in cui la direzione Sicurezza aveva applicato le deroghe previste all’articolo 20, paragrafo 1, del regolamento n. 45/2001, la suddetta Direzione non aveva correttamente trattato alcuni dei dati personali del ricorrente.

7 A seguito della decisione del GEPD, la direzione Sicurezza ha riesaminato la domanda del ricorrente volta all’accesso ai propri dati personali.

8 Al termine di tale riesame, il direttore della direzione Sicurezza, con decisione dell’8 marzo 2016 (in prosieguo: la «decisione dell’8 marzo 2016»), ha accolto in parte la domanda del ricorrente, accordandogli l’accesso ad alcuni dei suoi dati personali e trasmettendogli, inoltre, otto documenti (documenti nn. 44, da 59 a 62, 67, 69 e 71). Tale decisione includeva, in allegato, una tabella che riguardava 71 documenti detenuti dalla direzione Sicurezza e che indicava, per ciascuno di tali documenti, la data, l’oggetto, il tipo di dati personali ivi contenuti, una breve descrizione del contenuto di tali dati, la fonte di questi ultimi e, per quanto riguarda 35 dei 71 documenti (documenti 1, da 6 a 9, 11, 12, da 14 a 16, 18, 20, 21, 27, 28, 31, 32, 35, 36, 41, 42, 45, 46, da 48 a 52, da 54 a 57, 66, 68 e 70), il motivo o i motivi in base ai quali taluni di detti dati non potevano essere comunicati in applicazione dell’articolo 20, paragrafo 1, lettere a) e c), del regolamento n. 45/2001. Tra i suddetti documenti rientrava, con il numero 57, una «nota relativa all’assunzione [del ricorrente] in qualità di [riservato] presso la [Direzione generale Cooperazione internazionale e sviluppo della Commissione]» del 23 gennaio 2012 (in prosieguo: il «documento n. 57»).

9 Con messaggio di posta elettronica del 29 aprile 2016 inviato alla direzione Sicurezza, il ricorrente ha preso atto delle risposte fornite dalla decisione dell’8 marzo 2016 e ha comunicato il desiderio di avere accesso a «un numero limitato di documenti [tra quelli elencati nella tabella allegata a tale decisione]». In tale occasione, il ricorrente ha altresì chiesto di essere informato della data in cui l’indagine amministrativa si sarebbe conclusa.

10 Al tempo stesso, il ricorrente ha presentato al GEPD un ulteriore reclamo in data 5 luglio 2016, sostenendo che nella decisione dell’8 marzo 2016 la direzione Sicurezza continuava a non rispettare la decisione del GEPD del 26 febbraio 2016 relativa al precedente reclamo del ricorrente.

11 Con decisione del 25 luglio 2016 (in prosieguo: la «decisione del GEPD del 25 luglio 2016»), il GEPD ha ritenuto che nella decisione dell’8 marzo 2016 la direzione Sicurezza avesse pienamente attuato le raccomandazioni da esso formulate nella sua decisione del 26 febbraio 2016 e, di conseguenza, ha affermato che la decisione dell’8 marzo 2016 non aveva violato l’articolo 13 e l’articolo 20, paragrafo 1, del regolamento n. 45/2001.

12 Il 14 settembre 2016, la direzione Sicurezza ha risposto al messaggio di posta elettronica del ricorrente del 29 aprile 2016. Ritenendosi adita di una domanda di accesso ai documenti sulla base del regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU 2001, L 145, pag. 43), la direzione Sicurezza ha chiesto al ricorrente, ai sensi dell’articolo 6, paragrafo 2, di detto regolamento, di chiarire la sua domanda onde consentire a quest’ultima di individuare i documenti ai quali egli chiedeva di accedere. Inoltre, la direzione Sicurezza ha comunicato al ricorrente che l’indagine amministrativa si era conclusa il 31 agosto 2016.

13 Con lettera del 21 settembre 2016 indirizzata alla direzione Sicurezza (in prosieguo: la «domanda del 21 settembre 2016»), il ricorrente ha chiesto l’accesso a 42 dei 71 documenti individuati nella decisione dell’8 marzo 2016 (documenti nn. da 1 a 5, 8, 11, 13, 14, 19, da 21 a 30, 33, 34, da 37 a 43, da 47 a 53, da 56 a 58 e da 63 a 65) o, quanto meno, alle «informazioni» contenute in tali documenti facendo valere, da un lato, l’articolo 13 del regolamento n. 45/2001 e, dall’altro, l’articolo 6 del regolamento n. 1049/2001. In tale occasione, il ricorrente ha suddiviso i documenti e le informazioni ai quali chiedeva di accedere in quattro gruppi, designati dalle parti come gruppo A (documenti nn. da 2 a 5, 13, 19, da 22 a 26, 29, 30, 33, 34, da 37 a 40, 43, 47, 53, 56, 58 e 63), gruppo B (documenti nn. 8, 11, 41, 42, 48, 49 e 51), gruppo C (documenti nn. 48, 49 e 51, già inclusi nel gruppo B) e gruppo D (documenti nn. 1, 14, 21, 27, 28, 50, 52 e 57), ed ha precisato, per ciascuno di tali gruppi, i motivi che giustificavano, a suo avviso, l’accoglimento della sua domanda.

14 Il 12 ottobre 2016, il direttore della direzione Sicurezza ha risposto alla domanda del 21 settembre 2016 con una nota (in prosieguo: la «nota impugnata»), che era del seguente tenore:

«1. Nella Sua [domanda] del 21 [settembre] 2016, Lei fa riferimento all’articolo 13 del regolamento n. 45/2001 al fine di chiedere l’accesso ad alcuni documenti. [A tal riguardo], [La] rinvio al[la] decisione [dell’8 marzo] 2016 […].

Inoltre, [La] rinvio alla decisione del [GEPD] del 25 luglio 2016, che enuncia chiaramente che il GEPD non dispone di alcun elemento tale da ritenere che la direzione Sicurezza abbia violato il Suo diritto di accesso ai Suoi dati personali. Pertanto, ritengo che la direzione Sicurezza abbia [correttamente] trattato la Sua domanda di accesso ai Suoi dati personali.

2. Nella Sua [domanda del 21 settembre 2016], Lei cita anche il regolamento n. 1049/2001 […] e chiede di accedere a specifici documenti del [Suo] fascicolo indicati nella [tabella allegata alla decisione dell’8 marzo 2016]. In proposito, desidero richiamare la Sua attenzione sul fatto che i documenti che Le [dovessero essere] trasmessi sulla base di tale regolamento diventerebbero accessibili a chiunque dovesse chiederli in futuro e, quindi, diventerebbero de facto pubblici, se del caso in una versione dalla quale siano stati semplicemente espunti i Suoi dati personali.

La preghiamo di osservare che, alla luce delle suesposte considerazioni, la Sua domanda di accesso ai documenti sarà archiviata. Se [tale] domanda è presentata per fini personali, La preghiamo di confermarcelo comunicandoci il Suoi indirizzi di posta elettronica e postale personali».

Procedimento e conclusioni delle parti

15 Con atto introduttivo depositato presso la cancelleria del Tribunale il 19 dicembre 2016, il ricorrente ha proposto il presente ricorso.

16 Con atto separato, depositato il medesimo giorno presso la cancelleria del Tribunale, il ricorrente ha presentato una richiesta di anonimato. Con decisione del 18 gennaio 2017, il Tribunale ha accolto tale domanda.

17 Con atto separato, depositato presso la cancelleria del Tribunale il 5 aprile 2017, la Commissione ha sollevato un’eccezione di irricevibilità ai sensi dell’articolo 130, paragrafo 1, del regolamento di procedura del Tribunale.

18 Il 22 maggio 2017, il ricorrente ha depositato presso la cancelleria del Tribunale le sue osservazioni in merito all’eccezione di irricevibilità.

19 Con ordinanza del 18 ottobre 2017, il Tribunale ha deciso di pronunciarsi sull’eccezione di irricevibilità sollevata dalla Commissione unitamente al merito della causa.

20 Con una misura di organizzazione del procedimento, adottata sulla base dell’articolo 89, paragrafo 3, lettere a) e b), del regolamento di procedura, il Tribunale ha posto alle parti quesiti scritti cui rispondere per iscritto.

21 Le parti hanno ottemperato a tale richiesta nel termine impartito.

22 La Commissione ha depositato il proprio controricorso presso la cancelleria del Tribunale il 19 dicembre 2017.

23 Nell’ambito delle misure di organizzazione del procedimento, adottate sulla base dell’articolo 89, paragrafo 3, lettere a) e b), del regolamento di procedura, il Tribunale ha posto alle parti quesiti scritti cui rispondere in udienza.

24 Il ricorrente chiede che il Tribunale voglia:

– respingere l’eccezione di irricevibilità;

– annullare la nota impugnata, nella parte in cui respinge la sua domanda di accesso ad alcuni dei suoi dati personali;

– condannare la Commissione a versare al ricorrente l’importo di EUR 10 000 a titolo di risarcimento del danno morale da questi subito a causa del diniego di accesso ai suoi dati personali da parte della direzione Sicurezza;

– condannare la Commissione a versare al ricorrente l’importo di EUR 30 000 a titolo di risarcimento del danno morale da lui subito derivante dal trattamento e dalla diffusione illeciti, da parte della direzione Sicurezza, dei suoi dati personali;

– condannare la Commissione alle spese.

25 La Commissione chiede che il Tribunale voglia:

– dichiarare il ricorso irricevibile o, in subordine, infondato;

– condannare il ricorrente alle spese.

26 Inoltre, il ricorrente chiede al Tribunale, in via istruttoria, di ordinare alla Commissione di produrre il documento n. 57 in applicazione dell’articolo 91, lettera c), del regolamento di procedura o, in subordine, dell’articolo 104 di tale regolamento.

27 In udienza, il ricorrente ha rinunciato alla sua domanda di risarcimento dei due danni morali che egli asseriva di aver subito. Egli ha altresì precisato e limitato l’oggetto della sua domanda di annullamento, affermando che quest’ultima non era volta a contestare il diniego di accesso ad alcuni dati personali contenuti in documenti menzionati nel ricorso ma non richiamati nella domanda del 21 settembre 2016. Dal momento che la Commissione non ha presentato osservazioni in merito a tale rinuncia e alla suddetta precisazione, se ne è preso atto nel verbale dell’udienza.

In diritto

Sulla domanda di annullamento

28 Occorre esaminare, anzitutto, se la domanda di annullamento sia ricevibile e, poi, se del caso, se detta domanda sia fondata.

Sulla ricevibilità della domanda di annullamento

29 La Commissione solleva tre eccezioni di irricevibilità. In primo luogo, la nota impugnata non avrebbe statuito sul diritto del ricorrente ad accedere ai suoi dati personali. In secondo luogo, tale nota costituirebbe, in ogni caso, un atto meramente confermativo. In terzo luogo, il ricorrente non avrebbe un reale interesse ad agire contro detta nota.

– Sull’oggetto della nota impugnata e sull’esistenza di un diniego di accesso ai dati personali

30 La Commissione sostiene che la domanda del 21 settembre 2016 verteva esclusivamente sull’accesso a documenti sulla base del regolamento n. 1049/2001. Ne conseguirebbe che, nella nota impugnata, la direzione Sicurezza non si sarebbe pronunciata sul diritto del ricorrente di accedere ai suoi dati personali sulla base del regolamento n. 45/2001.

31 Il ricorrente contesta l’argomento della Commissione. Egli fa valere che la domanda del 21 settembre 2016 conteneva, nel contempo, una domanda di accesso ad alcuni documenti e una domanda di accesso ad alcuni dati personali.

32 In via preliminare, occorre ricordare che i regolamenti n. 1049/2001 e n. 45/2001 hanno finalità diverse. Il primo intende garantire la maggior trasparenza possibile del processo decisionale delle pubbliche autorità nonché delle informazioni sulle quali le loro decisioni si basano. Intende pertanto facilitare al massimo l’esercizio del diritto di accesso ai documenti nonché promuovere una prassi amministrativa corretta. Il secondo è volto a garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, nel trattamento di dati personali (sentenza del 29 giugno 2010, Commissione/Bavarian Lager, C‑28/08 P, EU:C:2010:378, punto 49). Ne consegue che, contrariamente al regolamento n. 1049/2001, il regolamento n. 45/2001 non è volto ad agevolare l’esercizio del diritto di accesso ai documenti (v., in tal senso, sentenza del 17 luglio 2014, YS e a., C‑141/12 e C‑372/12, EU:C:2014:2081, punto 47).

33 In tale contesto, i diritti di accesso rispettivamente previsti dai suddetti due regolamenti non hanno lo stesso oggetto né gli stessi beneficiari. Infatti, l’articolo 2 del regolamento n. 1049/2001 è volto a consentire al pubblico, ossia a qualsiasi cittadino e a qualsiasi persona fisica o giuridica, di accedere ai documenti detenuti dalle istituzioni. Quanto all’articolo 13 del regolamento n. 45/2001, esso è inteso a consentire solo all’interessato di accedere ai propri dati personali, ossia a informazioni che lo riguardino in quanto persona identificata o identificabile, senza prevedere che tale persona possa, a tale titolo, accedere anche ai documenti che contengono tali dati. Al riguardo, occorre osservare che l’articolo 13, lettera c), del regolamento n. 45/2001 prevede solo che l’interessato ha il diritto di ottenere «la comunicazione in forma intelligibile dei dati oggetto del trattamento».

34 Nel caso di specie, si deve rilevare, in primo luogo, che la nota impugnata ha carattere negativo, in quanto risponde alla domanda del 21 settembre 2016 ed è pacifico che essa non ha accordato al ricorrente l’accesso ai suoi dati personali né ai documenti che contengono tali dati.

35 Orbene, quando una decisione è negativa, la si deve considerare in funzione della natura della domanda cui essa risponde (sentenze dell’8 marzo 1972, Nordgetreide/Commissione, 42/71, EU:C:1972:16, punto 5, e del 24 novembre 1992, Buckl e a./Commissione, C‑15/91 e C‑108/91, EU:C:1992:454, punto 22). Pertanto, l’oggetto della nota impugnata deve essere valutato alla luce, in particolare, del contenuto della domanda del 21 settembre 2016.

36 A tale riguardo, occorre rilevare, anzitutto, che la domanda del 21 settembre 2016 è intitolata «Dati personali».

37 Inoltre, la domanda del 21 settembre 2016 non fa riferimento solo al regolamento n. 1049/2001, ma anche al regolamento n. 45/2001. Infatti, da un lato, tale domanda è esplicitamente presentata sul duplice fondamento dell’articolo 6 del regolamento n. 1049/2001 e dell’articolo 13 del regolamento n. 45/2001. Dall’altro lato, detta domanda illustra, per ciascuno dei quattro gruppi di documenti menzionati al precedente punto 13, un argomento in relazione alle deroghe o alle limitazioni previste dall’articolo 20, paragrafo 1, del regolamento n. 45/2001.

38 Infine, nella sua domanda del 21 settembre 2016 il ricorrente si riferisce a più riprese tanto ai documenti, quanto alle «informazioni» in essi contenute. In tal senso, egli dichiara, senz’altro e globalmente, di voler accedere ad alcuni documenti o, quanto meno, alle informazioni in essi contenute. Inoltre, il ricorrente ribadisce esplicitamente tale domanda di accesso per quanto riguarda le informazioni contenute nei documenti del gruppo D. Con riferimento, poi, ai documenti del gruppo C, egli contesta che la divulgazione di tali documenti o delle informazioni in essi contenute possa pregiudicare gli strumenti e i metodi d’indagine della direzione Sicurezza. Infine, il ricorrente menziona le informazioni trasferite o raccolte nei documenti del gruppo A, precisando che tali documenti lo riguardano direttamente e in modo personale.

39 Alla luce di tali elementi, risulta che la domanda del 21 settembre 2016 conteneva, oltre a una domanda di accesso ad alcuni documenti, una domanda di accesso ai dati personali riguardanti il ricorrente contenuti in tali documenti.

40 In secondo luogo, occorre rilevare che il direttore della direzione Sicurezza ha fatto riferimento, nella nota impugnata, alla «domanda [del ricorrente] di accesso ai [suoi] dati personali». Ha altresì precisato, basandosi sulla decisione del GEPD del 25 luglio 2016, che riteneva che la direzione Sicurezza avesse «[correttamente] trattato [tale] domanda». Pertanto, la direzione Sicurezza ha scelto essa stessa di fare riferimento, nella nota impugnata, non solo all’accesso ai documenti in esame, ma anche all’accesso ai dati personali contenuti in tali documenti, ribadendo l’assenza di violazione, da parte della decisione dell’8 marzo 2016, del diritto del ricorrente di accedere a tali dati.

41 Inoltre, non è stato né dimostrato né affermato dalla Commissione che la direzione Sicurezza abbia risposto, in qualsiasi momento, per iscritto o oralmente, esplicitamente o implicitamente, alla domanda del 21 settembre 2016, nella parte in cui mirava a chiedere l’accesso ad alcuni dati personali.

42 In tali circostanze, si deve ritenere che la Commissione, nella nota impugnata, abbia statuito in merito ad una domanda del ricorrente volta ad accordargli accesso ad alcuni dei suoi dati personali. Ne consegue che siffatta nota, che respinge tale domanda, deve essere considerata come un diniego di accesso ai predetti dati.

– Sul carattere meramente confermativo della nota impugnata

43 La Commissione sostiene che, anche supponendo che, nella nota impugnata, la direzione Sicurezza abbia statuito in materia di accesso a dati personali, tale nota sarebbe, in ogni caso, un atto meramente confermativo della decisione dell’8 marzo 2016, che non sarebbe stata contestata dal ricorrente entro il termine di ricorso.

44 Il ricorrente contesta l’argomento della Commissione. Egli fa valere che la chiusura, il 31 agosto 2016, dell’indagine amministrativa e la presentazione, il 21 settembre 2016, di una domanda di accesso, per estratto, ai suoi dati personali costituivano fatti nuovi e sostanziali a fronte dei quali la direzione Sicurezza avrebbe dovuto riesaminare la fondatezza della decisione dell’8 marzo 2016.

45 In primo luogo, l’argomento della Commissione solleva la questione se la giurisprudenza secondo cui un ricorso proposto contro un atto meramente confermativo di una decisione precedente è irricevibile se detto ricorso non è stato proposto in tempo utile nei confronti di tale sentenza (sentenza del 17 maggio 2017, Portogallo/Commissione, C‑337/16 P, EU:C:2017:381, punto 51) sia applicabile alle decisioni adottate da un’istituzione in risposta a una domanda di accesso a dati personali presentata sulla base dell’articolo 13 del regolamento n. 45/2001.

46 A tale riguardo, si deve rilevare, da un lato, che l’articolo 13, lettera c), del regolamento n. 45/2001 dispone che «[entro] tre mesi dalla ricezione della richiesta d’informazioni, ogni interessato ha il diritto di ottenere liberamente, in qualunque momento e gratuitamente […] la comunicazione in forma intelligibile dei dati oggetto del trattamento […]». Risulta da tale disposizione, che riconosce all’interessato l’accesso «in qualsiasi momento» ai suoi dati personali, che quest’ultimo ha un diritto di accesso continuo e permanente a tali dati.

47 Dall’altro lato, se è vero che l’articolo 20, paragrafo 1, del regolamento n. 45/2001 prevede alcune deroghe e limitazioni al diritto di accesso dell’interessato ai suoi dati personali, tale disposizione precisa che le istituzioni possono limitare l’applicazione dell’articolo 13 del medesimo regolamento solo «se e in quanto necessario». Ne consegue che le deroghe e le limitazioni di cui all’articolo 20, paragrafo 1, di tale regolamento possono essere applicate solo per il periodo in cui continuano a risultare necessarie.

48 Inoltre, occorre osservare che la tutela dei dati personali, risultante dall’obbligo esplicito previsto all’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea, riveste un’importanza particolare per il diritto al rispetto della vita privata sancito dall’articolo 7 della stessa (sentenza dell’8 aprile 2014, Digital Rights Ireland e a., C‑293/12 e C‑594/12, EU:C:2014:238, punto 53).

49 In tal senso, la Corte ha privilegiato un’interpretazione del diritto dell’Unione europea in favore di un elevato livello di protezione dei dati personali. In particolare, essa ha preso in considerazione il fatto che, nell’ambito del trattamento dei dati personali, la situazione di fatto e di diritto dell’interessato è, di per sé, evolutiva, dal momento che il mero decorso del tempo è in grado di rendere inutile, o addirittura illegittimo, un trattamento che tale non era in precedenza (v., in tal senso e per analogia, sentenza del 13 maggio 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, points 92 et 93).

50 Ne consegue che, nell’ambito del regolamento n. 45/2001, un soggetto può, in qualunque momento, presentare una nuova domanda di accesso riguardante dati personali con riferimento ai quali gli era stato in precedenza negato l’accesso. Una domanda siffatta obbliga l’istituzione interessata a verificare se il precedente diniego di accesso continui ad essere giustificato.

51 Pertanto, un nuovo esame volto a verificare se un diniego di accesso a dati personali adottato in precedenza continui a essere giustificato alla luce degli articoli 13 e 20 del regolamento n. 45/2001 comporta l’adozione di un atto che non è meramente confermativo dell’atto precedente, bensì di un atto impugnabile con ricorso di annullamento ai sensi dell’articolo 263 TFUE.

52 Nel caso di specie, la Commissione è stata adita dal ricorrente il 21 settembre 2016 con una domanda di accesso ai suoi dati personali contenuti in diversi documenti. Dal precedente punto 50 risulta che la Commissione era tenuta ad esaminare tale domanda. Come rilevato al precedente 42, si deve ritenere che la Commissione abbia statuito sulla predetta domanda e che l’abbia respinta nella nota impugnata. In tali circostanze, alla luce del principio enunciato al precedente punto 51, tale nota costituisce un atto impugnabile indipendentemente dalla circostanza che un precedente diniego parziale di accesso a detti dati fosse già stato opposto al ricorrente nella decisione dell’8 marzo 2016. Pertanto, la Commissione non può avvalersi utilmente del carattere meramente confermativo della nota impugnata.

53 In secondo luogo, anche supponendo che la giurisprudenza citata al precedente punto 45 sia applicabile nel caso di specie, si deve ricordare che un atto è puramente confermativo di una precedente decisione solo allorché non contiene alcun elemento nuovo rispetto a quest’ultima (sentenze del 10 dicembre 1980, Grasselli/Commissione, 23/80, EU:C:1980:284, punto 18, e del 31 maggio 2017, DEI/Commissione, C‑228/16 P, EU:C:2017:409, punto 33). Inoltre, l’esistenza di fatti nuovi e sostanziali può giustificare la presentazione di una domanda volta al riesame di una precedente decisione divenuta definitiva (v. sentenza del 7 febbraio 2001, Inpesca/Commissione, T‑186/98, EU:T:2001:42, punto 47 e giurisprudenza ivi citata). Del pari, un ricorso proposto avverso una decisione che nega il riesame di una decisione divenuta definitiva sarà dichiarato ricevibile ove risulti che vi siano fatti nuovi e sostanziali (v., in tal senso, sentenza del 7 febbraio 2001, Inpesca/Commissione, T‑186/98, EU:T:2001:42, punto 49). I fatti devono essere qualificati come «nuovi e sostanziali» quando, da un lato, né il ricorrente né l’amministrazione siano o siano stati in grado di conoscere tale fatto al momento dell’adozione della precedente decisione e, dall’altro, il fatto di cui trattasi sia idoneo a modificare in modo sostanziale la situazione del ricorrente rispetto alla situazione da cui è scaturita la precedente decisione divenuta definitiva (v., in tal senso, sentenza del 7 febbraio 2001, Inpesca/Commissione, T‑186/98, EU:T:2001:42, punti 50 e 51).

54 Nel caso di specie, al fine di dimostrare l’esistenza di fatti nuovi e sostanziali, il ricorrente fa valere, in particolare, la circostanza che l’indagine amministrativa si sia conclusa il 31 agosto 2016.

55 La Commissione replica che il ricorrente, nella sua domanda del 21 settembre 2016, si è limitato a ringraziare la direzione Sicurezza per averlo informato, in data 14 settembre 2016, della chiusura dell’indagine amministrativa e che egli non ha fatto valere, in tale occasione, che detta chiusura costituiva un fatto nuovo e sostanziale idoneo a giustificare il riesame della decisione dell’8 marzo 2016.

56 A tal riguardo, si deve ricordare che nessuna disposizione del regolamento n. 45/2001, né in particolare l’articolo 13 di quest’ultimo, che prevede il diritto di accedere «liberamente», impone all’interessato di motivare o giustificare la sua domanda di accesso ai suoi dati personali. Ne consegue che, in materia di accesso ai dati personali, il ricorrente può far valere dinanzi al Tribunale l’esistenza, alla data dell’atto impugnato, di fatti nuovi e sostanziali che giustifichino un nuovo esame anche qualora egli abbia omesso di menzionare detti fatti nella sua domanda.

57 In tali circostanze, e sebbene la Commissione fosse già a conoscenza della chiusura dell’indagine amministrativa nel momento in cui è stata adita della domanda del 21 settembre 2016, il ricorrente può utilmente far valere dinanzi al Tribunale la chiusura dell’indagine amministrativa al fine di dimostrare l’esistenza di un fatto nuovo e sostanziale.

58 Orbene, occorre rilevare, da un lato, che tale evento si è verificato dopo la decisione dell’8 marzo 2016, cosicché ha carattere nuovo ai sensi della giurisprudenza citata al precedente punto 53.

59 Dall’altro lato, detto evento presenta altresì carattere sostanziale ai sensi della medesima giurisprudenza. Infatti, occorre ricordare che la direzione Sicurezza, al fine di negare al ricorrente, nella decisione dell’8 marzo 2016, l’accesso ad alcuni dei suoi dati personali, ha fatto valere, a seconda dei dati di cui trattasi, da una parte, la deroga prevista dall’articolo 20, paragrafo 1, lettera a), del regolamento n. 45/2001, che è volta a «prevenire, indagare, accertare e perseguire reati», e, dall’altra parte, la deroga prevista dall’articolo 20, paragrafo 1, lettera c), del medesimo regolamento, che mira, in particolare, a salvaguardare «la tutela […] dei diritti e delle libertà altrui». Per quanto riguarda la deroga prevista all’articolo 20, paragrafo 1, lettera a), del regolamento n. 45/2001, la direzione Sicurezza ha affermato che la divulgazione dei dati di cui trattasi avrebbe rivelato i suoi strumenti e metodi d’indagine. Per quanto concerne la deroga di cui all’articolo 20, paragrafo 1, lettera c), di tale regolamento, essa ha precisato che la divulgazione dei dati di cui trattasi avrebbe pregiudicato i diritti di altre persone soggette al trattamento dei loro dati personali, ossia i testimoni e gli informatori sentiti nell’ambito dell’indagine amministrativa. Pertanto, risulta che i motivi su cui si basava il diniego parziale di accesso opposto al ricorrente nella decisione dell’8 marzo 2016 riguardavano, almeno indirettamente, l’indagine amministrativa nei confronti del ricorrente. Non si può, quindi, escludere che la chiusura di tale indagine abbia modificato in modo significativo la situazione del ricorrente.

60 Tale conclusione non può essere rimessa in discussione dall’argomento della Commissione secondo cui la necessità di non compromettere gli strumenti e i metodi d’indagine utilizzati dalla direzione Sicurezza, da un lato, e di proteggere i testimoni e gli informatori, dall’altro, continuerebbe a sussistere dopo la chiusura dell’indagine amministrativa. Infatti, tale argomento tende a subordinare integralmente la ricevibilità della domanda di annullamento alla fondatezza del nuovo diniego di accesso opposto al ricorrente. Orbene, al fine di constatare che la chiusura dell’indagine amministrativa costituiva un fatto nuovo e sostanziale tale da giustificare il riesame della situazione del ricorrente, è sufficiente rilevare che tale evento poteva incidere sull’applicazione delle deroghe di cui all’articolo 20, paragrafo 1, lettere a) e c), del regolamento n. 45/2001, senza pregiudicare la possibilità di opporre o meno al ricorrente, al termine di tale riesame, un nuovo diniego di accesso fondato, se del caso, sulle stesse deroghe.

61 Ne consegue che la chiusura dell’indagine amministrativa costituiva un fatto nuovo e sostanziale idoneo a giustificare un nuovo esame del diritto del ricorrente di accedere ai suoi dati personali.

62 Tale esame era giustificato a maggior ragione nel caso di specie in cui il ricorrente aveva lasciato trascorrere un lasso di tempo ragionevole prima di presentare alla direzione Sicurezza una nuova domanda di accesso ai propri dati personali. Infatti, la domanda del 21 settembre 2016 è stata presentata oltre sei mesi dopo il diniego parziale di accesso opposto al ricorrente nella decisione dell’8 marzo 2016.

63 In tali circostanze, la Commissione non può, in ogni caso, fondatamente sostenere che la nota impugnata sia un atto meramente confermativo della decisione dell’8 marzo 2016.

– Sull’interesse ad agire del ricorrente

64 La Commissione ritiene che, nella misura in cui il ricorrente ha già avuto accesso, in tutto o in parte, ai suoi dati personali, e in particolare a tutti quelli contenuti nei documenti del gruppo A, e in cui egli chiede, in realtà, di accedere ad alcuni documenti, egli non abbia un reale interesse ad agire contro la nota impugnata.

65 Se è vero che il ricorrente non contesta specificamente l’argomento della Commissione, dall’insieme delle sue memorie risulta che egli considera di essere stato indebitamente privato, dalla nota impugnata, dell’accesso ai suoi dati personali.

66 Secondo una giurisprudenza costante, un ricorso di annullamento proposto da una persona fisica o giuridica è ricevibile solo ove quest’ultima abbia un interesse all’annullamento dell’atto impugnato. Un tale interesse presuppone che l’annullamento di detto atto possa produrre di per sé conseguenze giuridiche e che il ricorso possa pertanto, con il suo esito, procurare un beneficio alla parte che lo ha proposto (sentenze del 17 settembre 2009, Commissione/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, punto 63, e del 17 settembre 2015, Mory e a./Commissione, C‑33/14 P, EU:C:2015:609, punto 55).

67 Nel caso di specie, come già rilevato al precedente punto 42, si deve ritenere che la Commissione, mediante la nota impugnata, abbia negato l’accesso al ricorrente a tutti i dati personali menzionati nella domanda del 21 settembre 2016.

68 È vero che il ricorrente ha già avuto accesso ad alcuni dei suoi dati personali. Infatti, nella tabella in allegato alla decisione dell’8 marzo 2016, la Commissione gli ha trasmesso alcuni dati in relazione ai quali essa non aveva invocato alcuna delle deroghe e delle limitazioni previste dall’articolo 20 del regolamento n. 45/2001. Ciò vale, da un lato, per tutti i dati personali individuati dalla Commissione nei documenti del gruppo A, ad eccezione del documento n. 56, e, dall’altro, per una parte dei dati personali individuati dalla Commissione nei documenti dei gruppi B, C e D, nonché per il documento n. 56.

69 Tuttavia, al precedente punto 46 è già stato rilevato che, nell’ambito del regolamento n. 45/2001, l’interessato ha un diritto di accesso continuo e permanente ai propri dati personali. Tale diritto gli consente, in particolare, di presentare una domanda di accesso a dati personali, ivi incluso il caso in cui egli abbia già potuto accedere, in tutto o in parte, a tali dati, ad esempio al fine di assicurarsi che tutti i dati personali detenuti da un’istituzione siano effettivamente stati individuati e trasmessi o di sapere se i dati di cui trattasi siano tuttora soggetti a trattamento da parte dell’istituzione e, se del caso, se essi siano stati o meno modificati.

70 Inoltre, se è vero che il ricorrente non può, tramite una domanda di accesso ai suoi dati personali, accedere ai documenti che contengono tali dati, la suddetta circostanza è, di per sé, irrilevante rispetto all’interesse che presenta, per il ricorrente, l’accesso ai dati medesimi.

71 In tali circostanze, l’annullamento della nota impugnata, che nega al ricorrente l’accesso a tutti i suoi dati personali contenuti nei documenti menzionati nella domanda del 21 settembre 2016, è idoneo a produrre conseguenze giuridiche per il ricorrente e a procurargli un beneficio.

72 Ne consegue che la domanda di annullamento è ricevibile e che l’eccezione di irricevibilità sollevata dalla Commissione deve essere respinta.

Sulla fondatezza della domanda di annullamento

73 A sostegno della sua domanda di annullamento, il ricorrente sostiene che la nota impugnata non soddisfa l’obbligo di motivazione di cui all’articolo 296 TFUE. Detta nota, infatti, si limiterebbe a rinviare alla decisione dell’8 marzo 2016 e non illustrerebbe i motivi per i quali il ricorrente non potrebbe avere accesso ai suoi dati personali. Per quanto riguarda i dati personali contenuti nei documenti del gruppo A, la decisione dell’8 marzo 2016 non sarebbe stata motivata, cosicché la nota impugnata sarebbe a sua volta viziata da un difetto di motivazione. Per quanto riguarda i dati personali contenuti nei documenti dei gruppi B, C e D, la nota impugnata non chiarirebbe in che modo l’applicazione delle deroghe e delle limitazioni previste all’articolo 20, paragrafo 1, lettere a) e c), del regolamento n. 45/2001 e opposte nella decisione dell’8 marzo 2016 rimanga giustificata successivamente alla chiusura dell’indagine amministrativa e nel momento in cui la direzione Sicurezza era adita di una nuova domanda volta ad ottenere accesso, per estratti, a tali dati.

74 La Commissione contesta l’argomento del ricorrente. Essa sostiene, da un lato, che non risultava necessaria alcuna specifica motivazione in relazione ai dati personali contenuti nei documenti del gruppo A, ai quali il ricorrente aveva già avuto accesso, e, dall’altro, che quest’ultimo era stato adeguatamente informato, nella tabella in allegato alla decisione dell’8 marzo 2016, dei motivi per i quali alcuni dei suoi dati personali contenuti nei documenti dei gruppi B, C e D non gli erano stati comunicati.

75 Si deve ricordare che, secondo una costante giurisprudenza, la motivazione richiesta dall’articolo 296 TFUE deve essere adeguata alla natura dell’atto di cui trattasi e deve fare apparire in forma chiara e inequivocabile l’iter logico seguito dall’istituzione da cui esso promana, in modo da consentire agli interessati di conoscere le ragioni del provvedimento adottato e di permettere al giudice competente di esercitare il proprio controllo. L’obbligo di motivazione deve essere valutato in funzione delle circostanze del caso, in particolare del contenuto dell’atto, della natura dei motivi esposti e dell’interesse che i destinatari dell’atto o altre persone da questo interessate direttamente e individualmente possano avere a ricevere spiegazioni. La motivazione non deve necessariamente specificare tutti gli elementi di fatto e di diritto pertinenti, in quanto l’accertamento del fatto che la motivazione di un atto soddisfi o meno i requisiti dell’articolo 296 TFUE va effettuato alla luce non solo del suo tenore, ma anche del suo contesto e del complesso delle norme giuridiche che disciplinano la materia (sentenze del 2 aprile 1998, Commissione/Sytraval e Brink’s France, C‑367/95 P, EU:C:1998:154, punto 63, e del 1^o luglio 2008, Chronopost e La Poste/UFEX e a., C‑341/06 P e C‑342/06 P, EU:C:2008:375, punto 88).

76 Inoltre, dall’articolo 20, paragrafo 3, del regolamento n. 45/2001 risulta che, qualora all’interessato venga opposta una deroga o una limitazione ai sensi dell’articolo 20, paragrafo 1, di detto regolamento, questi deve essere informato dei principali motivi per i quali è stata applicata tale deroga o limitazione.

77 Nel caso di specie, si deve rilevare che la nota impugnata — la cui formulazione è riprodotta al precedente punto 14 — è, di per sé, quasi priva di motivazione in fatto e in diritto. Infatti, tale nota non contiene alcuna specifica motivazione. Essa non precisa per quali motivi al ricorrente non può essere accordato l’accesso ai dati personali menzionati nella domanda del 21 settembre 2016. In realtà, la nota impugnata si limita a rinviare alla decisione dell’8 marzo 2016 e alla decisione del GEPD del 25 luglio 2016, affermando che non sussisteva alcuna violazione del diritto del ricorrente di accedere ai propri dati personali. In tale nota ci si limita ad affermare, alla luce della conclusione cui era giunto il GEPD e senza fornire ulteriori spiegazioni, che la domanda di accesso è stata «[correttamente] trattata».

78 Tuttavia, una motivazione per relationem può, in determinati casi, essere ammessa (v., in tal senso, sentenza del 19 novembre 1998, Parlamento/Gaspari, C‑316/97 P, EU:C:1998:558, punto 27). In particolare, la giurisprudenza ammette una motivazione basata sul riferimento a una precedente decisione [v., in tal senso, sentenze del 12 maggio 2016, Zuffa/EUIPO (ULTIMATE FIGHTING CHAMPIONSHIP), T‑590/14, non pubblicata, EU:T:2016:295, punto 43, e del 5 febbraio 2018, Edeka‑Handelsgesellschaft Hessenring/Commissione, T‑611/15, EU:T:2018:63, punti da 32 a 38].

79 Si deve, quindi, valutare se il rinvio alla decisione dell’8 marzo 2016 e alla decisione del GEPD del 25 luglio 2016 costituisca una motivazione sufficiente della nota impugnata.

80 A tal proposito, si deve rilevare, in primo luogo, che, per quanto riguarda i dati personali contenuti nei documenti del gruppo A (con l’eccezione del documento n. 56), la tabella allegata alla decisione dell’8 marzo 2016, che accoglieva integralmente la domanda di accesso – almeno per quanto concerne i dati personali identificati dalla Commissione nei documenti di cui trattasi –, non conteneva alcun motivo di diniego di accesso. Di conseguenza, il rinvio alla decisione dell’8 marzo 2016 non può costituire una motivazione del diniego di accesso a tutti i dati personali contenuti nei documenti del gruppo A, diniego opposto per la prima volta al ricorrente nella nota impugnata.

81 In secondo luogo, per quanto riguarda i dati personali contenuti nei documenti dei gruppi B, C e D, si deve ricordare che, come rilevato ai precedenti punti 52 e 61, la Commissione era tenuta ad esaminare se il diniego di accesso opposto al ricorrente nella decisione dell’8 marzo 2016 continuasse a risultare giustificato. A tale scopo, essa doveva in particolare verificare, in relazione a tutti i dati personali in esame, che l’applicazione delle deroghe e limitazioni previste all’articolo 20, paragrafo 1, lettere a) e c), del regolamento n. 45/2001 e opposte nella decisione dell’8 marzo 2016 risultasse tuttora giustificata alla luce di un eventuale mutamento della situazione di diritto o di fatto. In particolare, la Commissione doveva prendere in considerazione il fatto che l’indagine amministrativa si era nel frattempo conclusa e che era trascorso un lasso di tempo di oltre sei mesi.

82 Orbene, da un lato, si deve rilevare che la nota impugnata non contiene alcuna motivazione concernente un riesame concreto e dettagliato del diritto del ricorrente di accedere ai propri dati personali. Essa non contiene neanche una motivazione sull’eventuale impatto delle circostanze menzionate al precedente punto 81. Dall’altro lato, il mero rinvio alla decisione dell’8 marzo 2016 e alla decisione del GEPD del 25 luglio 2016 non può, con tutta evidenza, integrare una motivazione adeguata e sufficiente, dal momento che un nuovo diniego adottato a seguito di riesame non può, per definizione, basarsi esclusivamente su motivi esposti in decisioni precedenti a detto riesame. Pertanto, il rinvio a tali due decisioni non rispetta l’obbligo di motivazione per quanto concerne il diniego di accesso ai dati personali contenuti nei documenti dei gruppi B, C e D nuovamente opposto al ricorrente nella nota impugnata.

83 Ne consegue che il motivo vertente sulla violazione dell’obbligo di motivazione deve essere accolto.

84 Pertanto, la nota impugnata, nella parte in cui respinge la domanda di accesso del ricorrente ad alcuni dei suoi dati personali, deve essere annullata.

Sulla misura istruttoria richiesta dal ricorrente

85 Il ricorrente chiede che sia ingiunto alla Commissione di produrre il documento n. 57.

86 Tuttavia, la misura istruttoria richiesta è collegata alla domanda di risarcimento, come ammesso dal ricorrente in udienza. Poiché quest’ultimo ha rinunciato a tale domanda e poiché di tale rinuncia si è preso atto (precedente punto 27), la produzione del documento n. 57 non presenta alcuna utilità ai fini della presente causa.

87 Pertanto, la domanda di provvedimenti istruttori proposta dal ricorrente è respinta.

Sulle spese

88 Ai sensi dell’articolo 134, paragrafo 1, del regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda.

89 Poiché la Commissione è rimasta sostanzialmente soccombente, essa dev’essere condannata alle spese, conformemente alle conclusioni del ricorrente e senza che sia necessario tenere conto della parziale rinuncia di quest’ultimo alla domanda di risarcimento.

Per questi motivi,

IL TRIBUNALE (Nona Sezione ampliata)

dichiara e statuisce:

1) La nota del direttore della direzione Sicurezza della Direzione generale Risorse umane e sicurezza della Commissione europea, del 12 ottobre 2016, nella parte in cui respinge la domanda di RE del 21 settembre 2016 volta a ottenere l’accesso ad alcuni dei suoi dati personali, è annullata.

2) La Commissione è condannata alle spese.

Gervasoni

Madise

da Silva Passos

Kowalik‑Bańczyk

Mac Eochaidh

Così deciso e pronunciato a Lussemburgo il 14 febbraio 2019.

Firme

* Lingua processuale: l’inglese.

1 Dati riservati omessi.