Language of document : ECLI:EU:C:2010:353

CONCLUSIONI DELL’AVVOCATO GENERALE

ELEANOR SHARPSTON

presentate il 17 giugno 2010 1(1)

Cause riunite C‑92/09 e C‑93/09

Volker und Markus Schecke GbR (Causa C‑92/09)

contro

Land Hessen

[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wiesbaden (Germania)]

«Tutela dei singoli in relazione al trattamento di dati personali – Pubblicazione di informazioni sui beneficiari dei finanziamenti provenienti dal Fondo europeo agricolo di garanzia e dal Fondo europeo agricolo di orientamento e di garanzia – Validità delle disposizioni normative che prevedono tale pubblicazione e ne stabiliscono le modalità»

Hartmut Eifert (Causa C‑93/09)

contro

Land Hessen

[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wiesbaden (Germania)]

«Tutela dei singoli in relazione al trattamento di dati personali – Pubblicazione di informazioni sui beneficiari dei finanziamenti provenienti dal Fondo europeo agricolo di garanzia e dal Fondo europeo agricolo di orientamento e di garanzia – Validità delle disposizioni normative che prevedono tale pubblicazione e ne stabiliscono le modalità»





1.        Considerata in termini di bilancio, la politica agricola comune (in prosieguo: la «PAC») costituisce da oltre 40 anni la politica più importante dell’Unione europea. Nel 1984, la PAC costituiva oltre il 71% della spesa e si ritiene che ne rappresenti attualmente circa il 40%, rimanendo tuttora la voce principale.

2.        Con la presente domanda di pronuncia pregiudiziale, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) contesta la validità della normativa dell’Unione che prescrive la pubblicazione degli importi versati agli agricoltori beneficiari di fondi PAC unitamente ai rispettivi nomi, comuni di residenza e, se disponibili, codici postali. La controversia solleva importanti questioni costituzionali di diritto dell’Unione: in sostanza, se lo scopo di ottenere una gestione trasparente dei fondi PAC possa prevalere, in linea di principio, sul diritto fondamentale dei singoli al rispetto della vita privata e dei dati personali e, in caso di risposta affermativa, come si debbano ponderare tali interessi.

 Ambito normativo

 Diritti fondamentali

 La Convenzione europea dei diritti dell’uomo (2)

3.        L’art. 8 della Convenzione europea dei diritti dell’uomo (in prosieguo: la «CEDU») dispone:

«1.      Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza.

2.      Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui».

4.        Per completare tale disposizione, il 28 gennaio 1981 il Consiglio d’Europa ha approvato la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (in prosieguo: la «Convenzione n. 108»). L’art. 1 della Convenzione n. 108 descrive l’oggetto e lo scopo della Convenzione nei seguenti termini: «[s]copo della presente Convenzione è quello di garantire (…) ad ogni persona fisica (…) il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano» (3).

 La Carta dei diritti fondamentali dell’Unione europea (4)

5.        L’art. 7 della Carta così recita: «[o]gni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni».

6.        L’art. 8 dispone:

«1.      Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.      Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.      Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

7.        L’art. 52 della Carta precisa le condizioni cui è subordinata qualsiasi ingerenza o qualsiasi deroga ai diritti da essa garantiti. In particolare:

«1. Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

(…)

3. Laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla [CEDU], il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione. La presente disposizione non preclude che il diritto dell’Unione conceda una protezione più estesa».

8.        L’art. 6, n. 1, TUE dispone che i diritti, le libertà e i principi della Carta «[hanno] lo stesso valore giuridico dei trattati».

 Protezione dei dati

 Direttiva 95/46 (5)

9.        Il primo ‘considerando’ ricorda che:

«(…) gli obiettivi della Comunità, enunciati nel trattato, come è stato modificato dal trattato sull’Unione europea, consistono (…) nel promuovere la democrazia basandosi sui diritti fondamentali sanciti dalle costituzioni e dalle leggi degli Stati membri nonché dalla [CEDU]».

10.      Il decimo, l’undicesimo e il dodicesimo ‘considerando’ enunciano che lo scopo della direttiva è garantire un livello elevato di protezione dei diritti fondamentali:

«(10) (…) le legislazioni nazionali relative al trattamento dei dati personali hanno lo scopo di garantire il rispetto dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, riconosciuto anche dall’articolo 8 della [CEDU] e dai principi generali del diritto comunitario; (…) pertanto il ravvicinamento di dette legislazioni non deve avere per effetto un indebolimento della tutela da esse assicurata ma deve anzi mirare a garantire un elevato grado di tutela nella Comunità;

(11)      (…) i principi della tutela dei diritti e delle libertà delle persone, in particolare del rispetto della vita privata, contenuti nella presente direttiva precisano ed ampliano quelli enunciati dalla [Convenzione n. 108] (…);

(12)      (…) i principi di tutela si devono applicare a tutti i trattamenti di dati personali quando le attività del responsabile del trattamento rientrano nel campo d’applicazione del diritto comunitario (…)».

11.      Il ventottesimo ‘considerando’ enuncia che il trattamento dei dati personali deve essere proporzionato: «(…) qualsivoglia trattamento di dati personali deve essere eseguito lealmente e lecitamente nei confronti delle persone interessate; (…) esso deve in particolare avere per oggetto dati adeguati, pertinenti e non eccedenti rispetto alle finalità perseguite; (…) tali finalità devono essere esplicite e legittime e specificate al momento della raccolta dei dati; (…) le finalità dei trattamenti successivi alla raccolta non possono essere incompatibili con quelle originariamente specificate (…)».

12.      Il trentesimo e il trentatreesimo ‘considerando’ enunciano:

«(30) (…) per essere lecito, il trattamento di dati personali deve essere inoltre basato sul consenso della persona interessata oppure deve essere necessario ai fini della conclusione o dell’esecuzione di un contratto vincolante per la persona interessata, oppure deve essere previsto dalla legge, per l’esecuzione di un compito nell’interesse pubblico o per l’esercizio dell’autorità pubblica, o nell’interesse legittimo di un singolo individuo, a condizione che gli interessi o i diritti e le libertà della persona interessata non abbiano la prevalenza;

(…)

(33)      (…) i dati che possono per loro natura ledere le libertà fondamentali o la vita privata non dovrebbero essere oggetto di trattamento, salvo esplicito consenso della persona interessata; (…) tuttavia le deroghe a questo divieto devono essere espressamente previste nei casi di necessità specifiche, segnatamente laddove il trattamento di tali dati viene eseguito da persone assoggettate per legge all’obbligo del segreto professionale per taluni fini connessi alla sanità o per le legittime attività di talune associazioni o fondazioni il cui scopo consista nel permettere l’esercizio delle libertà fondamentali;

(…)».

13.      L’art. 1, n. 1, della direttiva 95/46 dispone: «[g]li Stati membri garantiscono (…) la tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, con riguardo al trattamento dei dati personali».

14.      L’art. 2 definisce i «dati personali», il «trattamento di dati personali» e il «consenso della persona interessata» rispettivamente come segue:

«a)      “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale;

b)      “trattamento di dati personali” (“trattamento”): qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione; (…)

h)      “consenso della persona interessata”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».

15.      L’art. 7 dispone che il trattamento di dati personali può essere effettuato soltanto se sono soddisfatte talune condizioni, vale a dire che la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile [(art. 7, lett. a)] o che il trattamento sia «necessario» per uno o più scopi elencati esaustivamente. Solo due di questi scopi sono potenzialmente rilevanti nel caso di specie:

«c)      [il trattamento] è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento;

(…)

e)      [il trattamento] è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento (6) o il terzo a cui vengono comunicati i dati; (…)».

16.      L’art. 18 recita:

«1.      Gli Stati membri prevedono un obbligo di notificazione a carico del responsabile del trattamento, od eventualmente del suo rappresentante, presso l’autorità di controllo di cui all’articolo 28 [(7)], prima di procedere alla realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o più finalità correlate.

2.      Gli Stati membri possono prevedere una semplificazione o l’esonero dall’obbligo di notificazione soltanto nei casi e alle condizioni seguenti:

–        qualora si tratti di categorie di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata, essi precisano le finalità dei trattamenti, i dati o le categorie dei dati trattati, la categoria o le categorie di persone interessate, i destinatari o le categorie di destinatari cui sono comunicati i dati e il periodo di conservazione dei dati, e/o

–        qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato della protezione dei dati, a cui è demandato in particolare:

–        di assicurare in maniera indipendente l’applicazione interna delle disposizioni nazionali di attuazione della presente direttiva;

–        di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all’articolo 21, paragrafo 2,

garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai diritti e alle libertà della persona interessata.

(…)».

17.      L’art. 20 recita:

«1.      Gli Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone e provvedono a che tali trattamenti siano esaminati prima della loro messa in opera.

2.      Tali esami preliminari sono effettuati dall’autorità di controllo una volta ricevuta la notificazione del responsabile del trattamento, oppure dalla persona incaricata della protezione dei dati che, nei casi dubbi, deve consultare l’autorità di controllo medesima.

3.      Gli Stati membri possono effettuare tale esame anche durante il processo di elaborazione di un provvedimento del Parlamento nazionale, o in base ad un provvedimento fondato su siffatto provvedimento legislativo, in cui si definisce il tipo di trattamento e si stabiliscono appropriate garanzie».

18.      L’art. 21, n. 2, dispone che gli Stati membri devono prevedere che l’autorità di controllo tenga un registro dei trattamenti notificati in virtù dell’art. 18.

 Direttiva 2006/24 (8)

19.      L’art. 1, n. 1, enuncia che la «(…) direttiva ha l’obiettivo di armonizzare le disposizioni degli Stati membri relative agli obblighi, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico o di una rete pubblica di comunicazione, relativi alla conservazione di determinati dati da essi generati o trattati, allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale».

20.      L’art. 1, n. 2, dispone che la direttiva si applica ai dati relativi al traffico e ai dati relativi all’ubicazione delle persone sia fisiche che giuridiche, e ai dati connessi necessari per identificare l’abbonato o l’utente registrato (9).

21.      L’art. 3 impone agli Stati membri di adottare misure per garantire che talune categorie di dati (specificate all’art. 5) siano conservate conformemente alla direttiva. Vi rientrano i dati necessari per rintracciare e identificare la fonte di una comunicazione per, inter alia, l’accesso Internet [art. 5, n. 1, lett. a), punto 2]. I dati conservati vengono trasmessi solo alle autorità nazionali competenti, in casi specifici e conformemente alle normative nazionali, con le adeguate garanzie (compreso il requisito del rispetto della CEDU) (art. 4).

22.      L’art. 6 così dispone: «[g]li Stati membri provvedono affinché le categorie di dati di cui all’articolo 5 siano conservate per periodi non inferiori a sei mesi e non superiori a due anni dalla data della comunicazione».

 L’Iniziativa europea per la trasparenza

23.      Varando l’Iniziativa europea per la trasparenza (in prosieguo: l’«IET») nel 2005, la Commissione ha sottolineato l’importanza di un «alto grado di trasparenza» per garantire che l’Unione sia «aperta a un controllo pubblico e renda conto del proprio operato» (10). La Commissione ha individuato una delle principali aree di intervento nel «consentire un migliore controllo dell’utilizzo dei fondi UE (…)» (11).

 Il regolamento finanziario (12)

24.      L’importanza della trasparenza nella gestione del bilancio generale è espressamente sottolineata dal regolamento finanziario.

25.      Il terzo ‘considerando’ riconosce che la trasparenza costituisce un principio fondamentale. Il dodicesimo ‘considerando’ enuncia poi: «[r]iguardo (…) al principio della trasparenza, dev’essere garantita una migliore informazione sull’esecuzione del bilancio e sulla contabilità».

26.      Nell’ambito dell’iniziativa per il miglioramento della trasparenza, l’art. 30, n. 3, dispone:

«La Commissione mette a disposizione, nella forma appropriata, le informazioni sui beneficiari dei fondi provenienti dal bilancio, di cui essa dispone qualora l’esecuzione del bilancio sia centralizzata e espletata direttamente dai suoi servizi e le informazioni sui beneficiari dei fondi siano fornite da entità cui siano stati delegati compiti di esecuzione del bilancio secondo altre modalità di gestione.

Tali informazioni sono messe a disposizione nel debito rispetto dei requisiti in materia di riservatezza, in particolare la tutela dei dati personali ai sensi della [direttiva 95/46 (13)] e del [regolamento (CE) n. 45/2001 (14)] e dei requisiti in materia di sicurezza, nel rispetto delle specificità di ciascuna delle modalità di gestione di cui all’articolo 53 e se del caso in conformità delle pertinenti normative settoriali».

27.      L’art. 53 ter, n. 2, lett. d), dispone che gli Stati membri devono «garantire, attraverso la normativa settoriale pertinente e in conformità dell’articolo 30, paragrafo 3, una corretta pubblicazione annuale a posteriori dei beneficiari di fondi provenienti dal bilancio».

 Il finanziamento della PAC

 Regolamento (CE) del Consiglio n. 1290/2005 (15)

28.      Il regolamento del Consiglio n. 1290/2005 contiene le norme di base per la gestione finanziaria della PAC e istituisce due fondi, il Fondo europeo agricolo di garanzia (FEAGA) e il Fondo europeo agricolo per lo sviluppo rurale (FEASR) (16).

29.      Il trentaseiesimo ‘considerando’ riconosce che, «[p]oiché nel contesto dell’applicazione dei sistemi di controllo nazionali e della verifica di conformità possono essere comunicati dati personali o segreti commerciali, è opportuno che gli Stati membri e la Commissione garantiscano la riservatezza delle informazioni ricevute in tale contesto».

30.      L’art. 1 del regolamento del Consiglio n. 1290/2005 spiega che lo scopo di tale regolamento è stabilire «(…) le condizioni e le regole specifiche applicabili al finanziamento delle spese connesse alla politica agricola comune, comprese le spese per lo sviluppo rurale».

31.      L’art. 2 istituisce il FEAGA e il FEASR e prevede che entrambi i fondi sono parti del bilancio generale dell’Unione europea.

32.      Gli artt. 6, 7 e 11 dispongono che i pagamenti ai beneficiari vengono eseguiti da organismi pagatori, che sono servizi od organismi degli Stati membri. Gli organismi pagatori devono accertare che le domande di aiuto rispondano alle condizioni stabilite dalle disposizioni in forza delle quali vengono erogati gli aiuti.

33.      L’art. 9 impone alla Commissione e agli Stati membri di garantire l’efficace tutela degli interessi finanziari della Comunità (17).

34.      L’art. 44 così recita: «[g]li Stati membri e la Commissione adottano tutte le misure necessarie per garantire la riservatezza delle informazioni comunicate od ottenute nell’ambito delle azioni di controllo e di liquidazione dei conti realizzate in applicazione del presente regolamento. A tali informazioni si applicano i principi di cui all’articolo 8 del [regolamento (Euratom, CE) del Consiglio n. 2185/96 (18)]».

35.      Il regolamento del Consiglio n. 1290/2005 è stato modificato dal regolamento (CE) del Consiglio n. 1437/2007 (19). Lo scopo della modifica viene così illustrato nei ‘considerando’ dal dodicesimo al quattordicesimo del regolamento del Consiglio n. 1437/2007:

«(12) È necessario precisare la base giuridica per l’adozione delle modalità di applicazione del regolamento (CE) n. 1290/2005. In particolare, è opportuno che la Commissione possa adottare modalità di applicazione per la pubblicazione di informazioni sui beneficiari della politica agricola comune, per le misure di intervento per le quali nell’ambito della pertinente organizzazione comune di mercato non è fissato un importo unitario, e per gli stanziamenti riportati allo scopo di finanziare i pagamenti diretti agli agricoltori previsti dalla politica agricola comune.

(13)      Nell’ambito della revisione del regolamento (CE, Euratom) n. 1605/2002 del Consiglio, del 25 giugno 2002, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee, in applicazione dell’iniziativa europea per la trasparenza sono state inserite nel medesimo le disposizioni sulla pubblicazione annuale a posteriori dei beneficiari di finanziamenti provenienti dal bilancio comunitario. Le modalità di tale pubblicazione devono essere stabilite nelle normative settoriali specifiche. Il FEAGA e il FEASR fanno entrambi parte del bilancio generale delle Comunità europee e finanziano la spesa in regime di gestione concorrente tra Stati membri e Comunità. Occorre pertanto stabilire norme per la pubblicazione delle informazioni relative ai beneficiari di tali fondi. A tal fine è opportuno che gli Stati membri provvedano alla pubblicazione annuale a posteriori dei beneficiari e degli importi percepiti da ogni beneficiario per ciascuno di tali fondi.

(14)      Rendendo tali informazioni accessibili al pubblico si rafforza la trasparenza sull’uso dei fondi comunitari nell’ambito della politica agricola comune e se ne migliora la corretta gestione finanziaria, grazie in particolare ad un maggior controllo pubblico sull’utilizzazione di tali somme. Data l’estrema importanza degli obiettivi perseguiti appare giustificato, alla luce del principio di proporzionalità e dell’obbligo della protezione dei dati personali, prevedere la pubblicazione generale delle informazioni pertinenti, dato che questa disposizione non va al di là di quanto è necessario fare, in una società democratica, per prevenire le irregolarità. Tenuto conto del parere del garante europeo della protezione dei dati [(20)], è opportuno provvedere affinché i beneficiari dei fondi siano avvertiti che i dati in questione possono essere resi pubblici e possono essere trattati da organismi di revisione contabile e indagini.

(…)».

36.      Le due modifiche pertinenti nel caso di specie riguardano l’art. 42, punto 8 ter, e l’art. 44 bis.

37.      L’art. 42 autorizza la Commissione ad adottare le modalità di applicazione del regolamento del Consiglio n. 1290/2005. Il punto 8 ter enuncia che la Commissione adotta:

«le modalità relative alla pubblicazione delle informazioni sui beneficiari di cui all’articolo 44 bis, compresi gli aspetti pratici relativi alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, secondo i principi stabiliti dalla normativa comunitaria in materia di protezione dei dati. In particolare tali modalità stabiliscono che i beneficiari dei fondi siano informati che i dati in questione possono essere resi pubblici e trattati da organismi di revisione contabile e indagini ai fini della tutela degli interessi finanziari delle Comunità e quando tali informazioni debbano essere fornite».

38.      L’art. 44 bis così recita:

«In applicazione dell’articolo 53 ter, paragrafo 2, lettera d), del regolamento (CE, Euratom) n. 1605/2002, gli Stati membri provvedono alla pubblicazione annuale a posteriori dei beneficiari di stanziamenti del FEAGA e del FEASR e degli importi percepiti da ogni beneficiario per ciascuno di tali fondi. La pubblicazione contiene almeno le seguenti informazioni:

a)      per il FEAGA, l’importo suddiviso tra pagamenti diretti ai sensi dell’articolo 2, lettera d), del regolamento (CE) n. 1782/2003 e altre spese;

b)      per il FEASR, l’importo totale del finanziamento pubblico per beneficiario».

Regolamento (CE) della Commissione n. 259/2008 (21)

39.      Il preambolo conferma che il regolamento è stato adottato previa consultazione del Garante europeo della protezione dei dati (22).

40.      Il secondo ‘considerando’ spiega che lo scopo della pubblicazione è quello di garantire la trasparenza nell’uso dei fondi dell’Unione e di migliorare la sana gestione finanziaria dei medesimi.

41.      Il terzo ‘considerando’ enuncia che per conseguire tale scopo «[o]ccorre (…) stabilire i requisiti minimi circa il contenuto della pubblicazione. Tali requisiti non devono andare al di là di quanto necessario in una società democratica ai fini del raggiungimento delle finalità perseguite (...)».

42.      Il quinto ‘considerando’ riconosce che «(…) [l]’obiettivo della trasparenza non richiede che le informazioni rimangano accessibili a tempo indeterminato, per cui appare opportuno stabilire un periodo ragionevole di disponibilità delle informazioni pubblicate (…)».

43.      Il sesto ‘considerando’ spiega: «[r]endendo tali informazioni accessibili al pubblico si rafforza la trasparenza sull’uso dei fondi comunitari nell’ambito della politica agricola comune e se ne migliora la corretta gestione finanziaria, grazie in particolare ad un maggior controllo pubblico sull’utilizzazione di tali somme. Data l’estrema importanza degli obiettivi perseguiti appare giustificato, alla luce del principio di proporzionalità e dell’obbligo della protezione dei dati personali, prevedere la pubblicazione generale delle informazioni pertinenti, dato che questa disposizione non va al di là di quanto è necessario fare, in una società democratica, per prevenire le irregolarità (…)».

44.      L’art. 1, n. 1, del regolamento della Commissione n. 259/2008 dispone che la pubblicazione delle informazioni relative ai beneficiari dei fondi deve contenere i seguenti dati:

«a)      nome e cognome, se si tratta di persone fisiche;

b)      ragione sociale, quale registrata, se si tratta di persone giuridiche;

c)      nome completo dell’associazione, quale registrata o altrimenti riconosciuta ufficialmente, se si tratta di associazioni di persone fisiche o giuridiche senza personalità giuridica propria;

d)      il comune di residenza o di registrazione del beneficiario e, se disponibile, il codice postale o la parte del medesimo che identifica il comune;

e)      per il Fondo europeo agricolo di garanzia, di seguito FEAGA, l’importo dei pagamenti diretti, ai sensi dell’articolo 2, lettera d), del regolamento (CE) n. 1782/2003, percepiti da ciascun beneficiario nel corso dell’esercizio finanziario considerato;

f)      per il FEAGA, l’importo dei pagamenti diversi da quelli di cui alla lettera e), percepiti da ogni beneficiario nel corso dell’esercizio finanziario considerato;

g)      per il Fondo europeo agricolo per lo sviluppo rurale, di seguito il FEASR, l’importo totale dei finanziamenti pubblici percepiti da ciascun beneficiario nel corso dell’esercizio finanziario considerato, comprensivo sia del contributo comunitario che del contributo nazionale;

h)      la somma degli importi di cui alle lettere e), f) e g), percepiti da ciascun beneficiario nel corso dell’esercizio finanziario considerato;

i)      la valuta di tali importi».

45.      L’art. 1, n. 2, autorizza gli Stati membri a pubblicare informazioni più dettagliate di quelle di cui all’art. 1, n. 1.

46.      L’art. 2 dispone che «[l]e informazioni di cui all’articolo 1 sono pubblicate su un sito internet unico per ogni Stato membro, che gli utenti possono consultare attraverso uno strumento di ricerca che permette di cercare i beneficiari per nome, per comune, per importi percepiti, quali descritti all’articolo 1, lettere e), f), g) e h), o una combinazione di tali dati e di estrarre le informazioni corrispondenti sotto forma di un insieme unico di dati».

47.      L’art. 3 enuncia che le informazioni relative ai beneficiari devono essere pubblicate entro il 30 aprile con riferimento all’esercizio finanziario precedente e restano disponibili sul sito internet per due anni a decorrere dalla data della pubblicazione iniziale.

48.      L’art. 4 così recita:

«1.      Gli Stati membri informano i beneficiari del fatto che i dati che li riguardano saranno resi pubblici a norma del regolamento (CE) n. 1290/2005 e del presente regolamento e che possono essere trattati da organismi di audit e di investigazione delle Comunità e degli Stati membri ai fini della tutela degli interessi finanziari delle Comunità.

2.      Se si tratta di dati personali, le informazioni di cui al paragrafo 1 sono fornite nel rispetto dei requisiti della direttiva 95/46/CE e i beneficiari sono informati dei diritti loro conferiti da tale direttiva e delle procedure applicabili per esercitarli.

3.      Le informazioni di cui paragrafi 1 e 2 sono fornite al beneficiario nei moduli di domanda di finanziamento del FEAGA e del FEASR o in altro modo al momento della raccolta dei dati.

(...)».

49.      L’art. 5 impone alla Commissione di costituire e gestire un sito internet comunitario, a partire dall’indirizzo del proprio sito internet centrale, con collegamenti ai siti di tutti gli Stati membri.

 Fatti, procedimento e questioni pregiudiziali

50.      I ricorrenti nelle due cause in esame sono una società (la Volker und Markus Schecke GbR, nella causa C‑92/09) e un singolo (il sig. Hartmut Eifert, nella causa C‑93/09), ciascuno dei quali esercita l’attività di imprenditore agricolo. Entrambi i ricorrenti contestano la pubblicazione dei dati che li riguardano in quanto beneficiari di sovvenzioni agricole ai sensi del regolamento della Commissione n. 259/2008. Il 31 dicembre 2008 è stato accordato alla Volker und Markus Schecke GbR un versamento pari ad EUR 64 623,65. Il 5 dicembre 2008 è stato accordato al sig. Eifert un versamento di EUR 6 110,11 a titolo di promozione delle aziende agricole nelle zone svantaggiate.

51.      Il modulo di domanda recava la seguente dichiarazione: «Sono a conoscenza del fatto che ai sensi dell’art. 44 bis del regolamento (CE) n. 1290/2005 è disposta la pubblicazione di informazioni sui beneficiari di stanziamenti del FEAGA e del FEASR nonché degli importi percepiti da ogni beneficiario. La pubblicazione riguarda tutte le misure che sono richieste in relazione alla richiesta congiunta intesa come domanda unica ai sensi dell’art. 11 del regolamento (CE) n. 796/2004 [(23)], e avviene con cadenza annuale, al più tardi entro il 31 marzo dell’anno successivo».

52.      I nomi del beneficiari, i luoghi con l’indicazione del codice postale e gli importi erogati sono disponibili sul sito internet (24) della Bundesanstalt für Landwirtschaft und Ernährung (Agenzia federale per l’agricoltura e l’alimentazione; in prosieguo: la «BfLE»), interveniente nel procedimento principale. Il sito è dotato di uno strumento di ricerca che consente agli utenti, semplicemente inserendo un dato (ad esempio il codice di avviamento postale) nel relativo campo, di estrarre l’elenco corrispondente dei beneficiari di stanziamenti del FEAGA e del FEASR. Nelle informazioni sulla tutela dei dati presenti nel colofone della pagina Web si legge: «In occasione di ogni accesso al server vengono salvati dati a scopo statistico e di sicurezza. Per un tempo limitato vengono salvati l’indirizzo IP dell’Internet Service Provider, la data e l’ora nonché le pagine Web visitate. Tali dati vengono utilizzati esclusivamente al fine di migliorare il nostro servizio Internet e non sono trasmessi a terzi o valutati con riferimento ai destinatari».

53.      La Volker und Markus Schecke GbR e il sig. Eifert hanno citato in giudizio il Land Hessen, rispettivamente, il 26 settembre 2008 e il 18 dicembre 2008. Entrambi chiedono che venga inibita la pubblicazione dei loro dati personali in quanto beneficiari di aiuti concessi a titolo dei fondi.

54.      I ricorrenti sostengono che l’art. 44 bis del regolamento del Consiglio n. 1290/2005 contravviene alla normativa dell’Unione in materia di protezione dei dati. Le informazioni pubblicate sul sito web riguarderebbero dati personali e non sussisterebbero interessi pubblici prevalenti atti a giustificare tale ingerenza nei loro diritti.

55.      Il Land Hessen asserisce che l’obbligo degli Stati membri di pubblicare i dati su Internet discende dall’art. 44 bis del regolamento del Consiglio n. 1290/2005, in combinato disposto con il regolamento della Commissione n. 259/2008. A suo parere, non si potrebbe dubitare della validità di tali disposizioni. La pubblicazione avverrebbe nel prevalente interesse generale e sarebbe funzionale alla trasparenza delle spese agricole e alla prevenzione delle irregolarità; essa inoltre, non andrebbe al di là di quanto è necessario fare in una società democratica. Inoltre, i ricorrenti tramite il modulo di domanda sarebbero stati informati del fatto che le autorità sono tenute a pubblicare i loro dati personali e che, pertanto, la presentazione del modulo di domanda costituisce il loro consenso a tale pubblicazione ai sensi dell’art. 7, lett. a), della direttiva 95/46. Il Land Hessen sostiene che, in ogni caso, i ricorrenti avrebbero potuto sottrarsi alla pubblicazione rinunciando agli incentivi.

56.      Il giudice del rinvio ritiene che la controversia ruoti attorno alla validità degli artt. 42, punto 8 ter, e 44 bis del regolamento del Consiglio n. 1290/2005 e del regolamento della Commissione n. 259/2008. Se tali misure fossero invalide, il trattamento dei dati operato dalla BfLE sarebbe illegittimo e si dovrebbe accordare l’inibitoria richiesta dai ricorrenti.

57.      Il giudice nazionale individua anche una serie di questioni più tecniche relative alla compatibilità del requisito della pubblicazione dei dati personali dei beneficiari di stanziamenti FEAGA e FEASR con taluni aspetti della normativa dell’Unione in materia di tutela dei dati, in particolare le direttive 95/46 e 2006/24.

58.      Il giudice nazionale ha quindi sospeso il procedimento e sottoposto alla Corte le seguenti questioni pregiudiziali:

«1)      Se siano invalide le disposizioni di cui agli artt. 42, punto 8 ter, e 44 bis del [regolamento del Consiglio n. 1290/2005] introdotte dal [regolamento del Consiglio n. 1437/2007].

2)      Se il [regolamento della Commissione n. 259/2008] sia:

a)      invalido, o

b)      valido, solo perché è invalida la [direttiva 2006/24].

Nel caso in cui le disposizioni citate nella prima e nella seconda questione siano valide:

3)      Se l’art. 18, n. 2, secondo trattino, della direttiva [95/46] debba essere interpretato nel senso che la pubblicazione ai sensi del [regolamento della Commissione n. 259/2008] può avere luogo (…) soltanto se è stata applicata la procedura prevista in tale articolo, la quale sostituisce la notificazione all’autorità di controllo.

4)      Se l’art. 20 della direttiva [95/46] debba essere interpretato nel senso che la pubblicazione ai sensi del [regolamento n. 259/2008] può avere luogo (…) soltanto se è stato effettuato il controllo preliminare disposto al riguardo dal diritto nazionale.

5)      In caso di soluzione affermativa della quarta questione, se l’art. 20 della direttiva [95/46] debba essere interpretato nel senso che non si ha alcun controllo preventivo efficace, se questo è stato effettuato sulla base di un registro ai sensi dell’art. 18, n. 2, secondo trattino, di tale direttiva, in cui non figura un’informazione obbligatoria.

6)      Se l’art. 7 – e più precisamente la sua lett. e) – della [direttiva 95/46] debba essere interpretato nel senso che esso osta alla prassi di registrare gli indirizzi IP degli utilizzatori di una Homepage senza il loro esplicito consenso».

59.      Hanno presentato osservazioni la Volker und Markus Schecke GbR, il Land Hessen, i governi ellenico, olandese e svedese, il Consiglio e la Commissione, che hanno tutti svolto osservazioni orali (ad eccezione del governo olandese) all’udienza del 2 febbraio 2010.

 Analisi

60.      Le sei questioni sottoposte dal giudice nazionale possono essere suddivise come segue.

61.      Le questioni sub 1 e sub 2.a) costituiscono il punto focale della domanda di pronuncia pregiudiziale. Con tali questioni, il giudice nazionale chiede chiarimenti in ordine alla validità della normativa comunitaria che prevede la pubblicazione obbligatoria su Internet di taluni dati relativi ai beneficiari di stanziamenti del FEAGA e del FEASR. Esaminerò per prime tali questioni, dopo una serie di osservazioni preliminari.

62.      Il giudice nazionale sottopone poi tre questioni specifiche relative a talune disposizioni della direttiva 95/46 che disciplinano le notifiche e il trattamento dei dati (terza, quarta e quinta questione). Qualora la Corte condividesse le soluzioni da me proposte per le questioni sub 1 e sub 2.a), diverrebbe superfluo (in senso stretto) esaminare le ultime tre questioni. Per il caso in cui la Corte non condividesse la mia opinione, le esaminerò succintamente.

63.      Infine, il giudice del rinvio sottopone due questioni concernenti gli «utenti» di dati ottenuti tramite Internet e l’interpretazione della direttiva 2006/24 [questioni sub 2.b) e sub 6]. Per motivi che esporrò più avanti, ritengo che tali questioni siano irricevibili.

 Sulle questioni sub 1 e sub 2.a)

 Osservazioni preliminari

–       Introduzione

64.      Non sprecherò tempo e spazio con una disamina dettagliata dell’importanza dei diritti fondamentali nell’ordinamento giuridico dell’Unione. I diritti fondamentali costituiscono parte essenziale di tale ordinamento da molti anni (25). La CEDU assume una posizione di rilievo in quanto fonte dei diritti in parola e la Corte tiene conto in particolare della giurisprudenza della Corte europea dei diritti dell’uomo (in prosieguo: la «Corte di Strasburgo» – utilizzerò tale denominazione per brevità) (26). Ritengo inimmaginabile che norme di diritto derivato dell’Unione che risultino incompatibili con diritti fondamentali in generale, o con la CEDU o la Carta in particolare, possano essere dichiarate valide dalla Corte (27).

65.      Inizierò descrivendo brevemente gli obiettivi concorrenti che occorre ponderare nel caso di specie: il diritto di accesso alle informazioni nell’interesse della trasparenza, da un lato, e i diritti alla vita privata e alla tutela dei dati personali, dall’altro. Esaminerò quindi una specifica obiezione che è stata opposta ai ricorrenti che fanno valere diritti dei quali avrebbero altrimenti goduto (alla vita privata e/o alla tutela dei dati personali) – vale a dire che essi, firmando le domande di finanziamento a titolo della PAC, avrebbero manifestato il loro consenso alla pubblicazione controversa.

–       Trasparenza e pubblicazione delle informazioni

66.      La trasparenza riveste un’importanza saldamente consolidata nell’ordinamento giuridico dell’Unione. L’art. 1 UE fa riferimento a decisioni prese «nel modo più trasparente possibile» (28). La Corte ha dichiarato che lo scopo del principio di trasparenza consiste nel dare ai cittadini il più ampio accesso possibile alle informazioni, per rafforzare il carattere democratico delle istituzioni e dell’amministrazione (29). La pubblicazione dei dati relativi ai beneficiari di fondi dell’Unione è una delle misure specifiche individuate nell’IET (30). A livello politico, la trasparenza è stata quindi riconosciuta quale componente essenziale di una pubblica amministrazione democratica.

67.      È meno chiaro se la trasparenza costituisca un principio generale del diritto dell’Unione (31) o sia invece essa stessa un diritto fondamentale. La nozione di trasparenza e il suo status nell’ordinamento dell’Unione sono stati elaborati nell’ambito di cause concernenti l’accesso ai documenti (32). Nelle conclusioni relative alla causa Hautala (33), l’avvocato generale Léger ha descritto come un diritto fondamentale la trasparenza del processo decisionale intesa a garantire il più ampio accesso possibile ai documenti di cui dispongono le istituzioni. Tuttavia, la Corte non ha espressamente esaminato tale punto. Nella sentenza Interporc (34), la Corte non ha accolto la tesi della ricorrente secondo cui la trasparenza era un principio generale del diritto dell’Unione i cui effetti prevalevano sulla decisione 94/90/CECA, CE, Euratom (35), lo strumento normativo sul quale si era basata la Commissione per negare l’accesso a taluni documenti (36). In questa sede lascerò intenzionalmente aperta tale questione, poiché non occorre risolverla nei casi di specie. Infatti, la qualifica di un determinato obiettivo come diritto fondamentale non è una condizione preliminare per includere detto obiettivo fra le eccezioni di cui all’art. 8, n. 2, della CEDU.

68.      Il giudice nazionale sembra nutrire dubbi sulla questione se la trasparenza, che esso considera una mera descrizione del risultato delle misure contestate, possa costituire una finalità autonoma. Ritengo che tali dubbi siano infondati. Se pure è perfettamente vero che la trasparenza non costituisce un «diritto», nel senso di qualcosa che è esplicitamente elencato nel testo classico della CEDU, essa è stata ritenuta (in termini molto chiari) una finalità auspicabile e necessaria in una società democratica. Vi si fa espressamente riferimento nella Carta – un elenco molto più recente di diritti fondamentali (37). Parto quindi dalla considerazione che gli atti adottati nell’interesse della trasparenza sono atti diretti a conseguire un obiettivo democraticamente auspicabile.

69.      La trasparenza, per sua stessa natura, deve essere una nozione aperta. Il suo scopo è determinare una maggiore apertura democratica. La trasparenza può concorrere a tutelare il cittadino contro gli abusi di potere. Più in generale, dare ampio accesso alle informazioni in modo da avere un pubblico informato e un dibattito democratico fa sì che i cittadini possano esercitare un controllo effettivo sulle modalità con cui le autorità esercitano il potere che proprio quei cittadini hanno loro conferito. La trasparenza attiene al controllo pubblico sulle istituzioni. Poiché maggiore trasparenza equivale a maggiore apertura e responsabilità democratica, una maggiore (piuttosto che una minore) trasparenza, di regola, deve essere considerata lodevole.

70.      Tuttavia, in alcuni casi (come nella specie), la trasparenza deve essere ponderata con un altro obiettivo concorrente. In tal senso, la trasparenza assoluta non è necessariamente un bene assoluto. Non sempre la massima «tanto più, tanto meglio» corrisponde al vero. Pertanto, la «massima trasparenza nell’interesse pubblico» non può diventare un mantra per giustificare la violazione di diritti soggettivi. Nel caso di specie, per accertare se si sia trovato il giusto equilibrio fra la trasparenza, da un lato, e la vita privata e la tutela dei dati personali, dall’altro, è necessario stabilire quale sia esattamente la trasparenza che si intende conseguire nel contesto specifico della PAC.

–       I diritti alla vita privata e alla tutela dei dati personali

71.      Nei casi di specie vengono invocati due diritti distinti: uno classico (tutela della vita privata ai sensi dell’art. 8 della CEDU) e un diritto più moderno (le disposizioni della Convenzione n. 108 relative alla tutela dei dati). Nell’ambito della Carta vengono individuati diritti analoghi rispettivamente agli artt. 7 e 8. La Corte ha riconosciuto lo stretto legame esistente tra il diritto fondamentale alla vita privata e il diritto alla tutela dei dati personali (38).

72.      La Corte di Strasburgo ha già dichiarato che una persona giuridica (al pari di una persona fisica) può invocare l’art. 8 della CEDU (39) e che la tutela ivi prevista si estende alle attività professionali ed economiche (40). Apparentemente, quindi, i diritti alla vita privata e alla tutela dei dati valgono per entrambi i ricorrenti nelle cause principali (dato il rispettivo contenuto di tali diritti, sarebbe assurdo sostenere che una persona giuridica può invocare l’art. 8 della CEDU ma non la Convenzione n. 108). La Corte di Strasburgo ha del pari dichiarato che la vita privata include l’identità personale, quale il nome della persona (41), e che la tutela dei dati personali è di fondamentale importanza affinché una persona possa godere del proprio diritto al rispetto della vita privata (42).

73.      Al pari di molti diritti classici della CEDU, il diritto alla vita privata non è un diritto assoluto. L’art. 8, n. 2, della CEDU riconosce espressamente la possibilità di prevedere eccezioni a tale diritto, come fa l’art. 9 della Convenzione n. 108 in relazione al diritto alla tutela dei dati personali. Analogamente, l’art. 52 della Carta indica (in termini generali) criteri simili che, se soddisfatti, consentono di stabilire eccezioni (o deroghe) ai diritti sanciti dalla Carta stessa.

–       Il «consenso» alla pubblicazione osta alla possibilità di far valere in un secondo tempo i diritti reclamati?

74.      L’ordinanza di rinvio e le osservazioni scritte presentate dal Land Hessen esaminano se il fatto che ai ricorrenti sia stato reso noto, sul modulo della domanda di finanziamento PAC, che i loro dati sarebbero stati trattati, ma essi abbiano comunque firmato i moduli di domanda, implichi che gli interessati non possano successivamente opporsi alla pubblicazione. Tale argomento solleva due questioni distinte: a) i ricorrenti hanno manifestato il loro consenso «in maniera inequivocabile» ai sensi dell’art. 7, lett. a), della direttiva 95/46 [di modo che il consenso costituisce una «manifestazione di volontà libera, specifica e informata» secondo la definizione di cui all’art. 2, lett. h), della medesima direttiva], rendendo così il trattamento dei loro dati legittimo in virtù di tale consenso? e b) è loro precluso, in forza di un principio del diritto amministrativo dell’Unione, invocare i diritti di cui avrebbero altrimenti goduto?

75.      Sul primo punto, in risposta a un quesito diretto posto dalla Corte in udienza, l’agente della Commissione ha espressamente confermato che tale istituzione non intendeva far valere un consenso ai sensi dell’art. 7, lett. a), della direttiva, ma si basava esclusivamente sulle disposizioni dell’art. 7, lett. c) (secondo cui il trattamento era «necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento»). Il Consiglio non ha cercato di sostenere il contrario.

76.      Basandosi sull’art. 7, lett. c), della direttiva 95/46, la Commissione parte dal presupposto che i due obblighi in virtù dei quali vengono trattati i dati dei beneficiari di stanziamenti del FEAGA e del FEASR (art. 44 bis del regolamento del Consiglio n. 1290/2005 e più in particolare regolamento della Commissione n. 259/2008) siano validi. Tuttavia, se una o entrambe le disposizioni fossero dichiarate invalide, tale giustificazione del trattamento dei dati verrebbe meno. Al responsabile del trattamento non incomberebbe più alcun obbligo legale di trattamento dei dati. Nel contesto di un procedimento vertente (proprio) sulla validità delle disposizioni che sanciscono l’obbligo legale, l’argomento risulta quindi circolare. Non lo esaminerò ulteriormente. Ritornerei invece sulla questione del consenso.

77.      I ricorrenti hanno manifestato in maniera inequivocabile il proprio consenso firmando il modulo di domanda? Il loro legale ha sostenuto che dal testo del modulo PAC (43) risulta che la firma indica solo la consapevolezza del fatto che verrà effettuata la pubblicazione, più che un consenso alla stessa. Ad un più attento esame, tale argomento rivela una reale consistenza.

78.      Il modulo di domanda parla effettivamente di «pubblicazione di informazioni sui beneficiari del FEAGA e del FEASR e sugli importi ricevuti da ciascun beneficiario» e fa riferimento all’art. 44 bis del regolamento del Consiglio n. 1290/2005 (nonché, ad abundantiam, all’art. 11 del regolamento della Commissione n. 796/2005). Preso isolatamente – vale a dire letto senza avere sotto mano i testi completi, non solo del regolamento del Consiglio n. 1290/2005, ma anche del regolamento della Commissione n. 259/2008 – il modulo di domanda non chiarisce in modo inequivocabile che il richiedente acconsente alla pubblicazione del proprio nome e comune di residenza (nonché, se disponibile, del proprio codice postale) e degli importi che gli sono stati versati dal FEAGA e/o dal FEASR. Il richiedente saprebbe che è questo il vero significato del suo consenso alla pubblicazione solo se conoscesse il disposto dell’art. 1, n. 1, del regolamento delle Commissione n. 259/2008. Solo quest’ultima disposizione indica precisamente il contenuto della pubblicazione. Tuttavia, il regolamento della Commissione n. 259/2008 non viene menzionato nell’avvertimento che appare sul modulo di domanda e la sua esistenza non può essere desunta dalla lettura dell’uno o dell’altro dei due regolamenti ivi richiamati.

79.      L’art. 7 della direttiva 95/46 elenca, esaustivamente, le condizioni rigorose in cui può essere lecitamente effettuato un trattamento di dati. L’art. 7, lett. a), richiede che l’interessato abbia manifestato il proprio consenso «in maniera inequivocabile». La presa d’atto di un preavviso secondo cui avrà luogo un qualche tipo di pubblicazione non equivale a manifestare «senza ambiguità» il proprio consenso a un certo tipo di pubblicazione particolareggiata. Né può essere propriamente descritta come una «manifestazione libera e specifica» della volontà dei richiedenti secondo la definizione del consenso della persona interessata di cui all’art. 2, lett. h). Pertanto, ritengo che i ricorrenti non abbiano manifestato il proprio consenso al trattamento (vale a dire, nella specie, alla pubblicazione) dei loro dati ai sensi dell’art. 7, lett. a), della direttiva 95/46.

80.      Ciò detto, l’argomento tecnico non resisterebbe a lungo. Quand’anche fosse accolto nelle presenti cause, sarebbe facilmente superabile in futuro semplicemente riformulando il modulo e inserendovi un richiamo al regolamento della Commissione n. 259/2008, così da rendere del tutto privo di ambiguità il consenso manifestato dalla persona interessata. Occorre quindi esaminare il secondo punto.

81.      L’art. 7 della direttiva 95/46 fornisce il quadro normativo nel cui ambito può essere legittimamente effettuato il trattamento di dati personali all’interno degli Stati membri (44). Esso rispecchia l’art. 8, n. 2, della Carta, secondo cui i dati devono essere trattati secondo il principio di lealtà e «in base al consenso della persona interessata» (o a un altro fondamento legittimo previsto dalla legge). L’art. 7, lett. a), della direttiva 95/46 aggiunge l’ulteriore condizione secondo cui il consenso deve essere manifestato «senza ambiguità». In tale contesto, ritengo che occorra necessariamente esaminare anzitutto la natura dell’asserito consenso e che il richiedente debba poter sostenere che, sebbene il consenso fosse volontario, non gli si sarebbe dovuto chiedere di rinunciare al diritto in questione, o che il consenso non è stato manifestato liberamente.

82.      La prima alternativa non richiede un ulteriore approfondimento. Quanto alla seconda, sarei propensa a riconoscere che una significativa riduzione della libertà economica sia sufficiente a rendere il consenso non volontario [e quindi non «manifestato liberamente» ai sensi dell’art. 2, lett. h), della direttiva 95/46].

83.      La questione se tale restrizione sussistesse realmente nei casi di specie sarebbe una questione di fatto la cui soluzione spetterebbe al giudice nazionale. Si deve rilevare che, in udienza, il legale dei ricorrenti ha precisato – senza essere contraddetto dalle Istituzioni – che il finanziamento proveniente dalla PAC può rappresentare tra il 30 e il 70% del reddito di un agricoltore.

84.      Un possibile controesempio è stato individuato (dalla Corte) nella situazione in cui una persona si rivolga ad una banca per ottenere un prestito: può scegliere se accettare o meno il prestito alle condizioni in cui esso le viene offerto? A prescindere dal grado effettivo di libertà nelle scelte commerciali di cui dispone un richiedente sul mercato aperto, nel caso di specie esiste un unico «banchiere» che mette a disposizione i fondi di sostegno che l’Unione europea ritiene opportuno e adeguato fornire agli agricoltori. È stato suggerito che, in realtà, per molti agricoltori che presentano domanda di finanziamento a titolo della PAC non esiste alcuna alternativa pratica alla PAC stessa. Essi fanno affidamento su tale finanziamento per poter condurre aziende agricole di piccole e medie dimensioni che generano un livello adeguato di reddito per loro e le loro famiglie. Anche questa è una questione di fatto la cui soluzione spetta esclusivamente al giudice nazionale.

85.      Mi sembra, tuttavia, che in linea di principio non si possa imporre a coloro che chiedono un finanziamento ad un ente pubblico quale l’Unione europea (a prescindere dalla circostanza che essa agisca da sola o congiuntamente agli Stati membri), solo come condizione per ottenere tale finanziamento, di rinunciare a un diritto fondamentale che, altrimenti, garantirebbe loro una tutela.

86.      Di conseguenza, sono del parere che il fatto di avere firmato i moduli di domanda di finanziamento a titolo della PAC non precluda ai ricorrenti di invocare il loro diritto alla tutela dei dati (in forza della direttiva 95/46 o della Convenzione n. 108). La Corte dovrebbe quindi procedere ad esaminare le questioni salienti dei casi di specie.

 Analisi

87.      È chiaro che la Corte deve esaminare le questioni sub 1) e sub 2.a) attraverso una serie di fasi analitiche (alcune delle quali, tuttavia, possono essere trattate abbastanza rapidamente) (45). Poiché il ricorso dinanzi al giudice nazionale si fonda su un’asserita violazione dei diritti dei ricorrenti alla vita privata e alla tutela dei dati personali, tali diritti (più che il diritto alla trasparenza) devono costituire il punto di partenza. Sussiste un’ingerenza nei diritti alla vita privata e alla tutela dei dati personali? In caso di risposta affermativa, tale ingerenza è «prevista dalla legge»? Essa è necessaria (in linea di principio) in una «società democratica», in quanto risponde a un’esigenza sociale imperativa? Ed è proporzionata? Per rispondere a quest’ultima domanda occorre stabilire con chiarezza e precisione quale sia esattamente lo scopo delle misure contestate e verificare se le misure scelte in concreto (con il particolare grado di ingerenza che esse comportano) siano atte a conseguire tale scopo e non vadano al di là di ciò che è necessario fare.

–       Sussiste un’ingerenza in un diritto protetto?

88.      Sia il Consiglio che la Commissione riconoscono che la normativa controversa determina un’ingerenza nel diritto dei ricorrenti alla vita privata, ma considerano tale ingerenza meno grave di quella esaminata dalla Corte nella sentenza ÖRF (46). Tuttavia, la Commissione sostiene che la normativa è compatibile con il diritto fondamentale alla tutela dei dati personali. Il Consiglio non si pronuncia su tale questione.

89.      A mio parere, le misure contestate costituiscono una palese ingerenza nei diritti dei ricorrenti alla vita privata e alla tutela dei dati personali.

90.      Nella causa ÖRF, gli enti pubblici soggetti al controllo del Rechnungshof (Corte dei conti austriaca) dovevano comunicare a quest’ultimo gli stipendi e le pensioni che superavano un determinato livello da essi versati ai loro dipendenti e pensionati, nonché il nome dei beneficiari. Tali informazioni venivano utilizzate per la redazione di una relazione annuale da trasmettere al Nationalrat (Consiglio nazionale), al Bundesrat ed ai Landtagen (Parlamenti dei Länder) e da mettere a disposizione del grande pubblico. La Corte ha dichiarato che la direttiva 95/46 era applicabile, ha riconosciuto che la trasmissione a terzi dei dati relativi agli stipendi da parte di un datore di lavoro costituiva un’ingerenza nel diritto alla vita privata di cui all’art. 8 della CEDU e ha quindi esaminato se tale ingerenza fosse giustificata.

91.      Nella causa Satakunnan Markkinapörssi (47), i dati cui facevano riferimento le questioni pregiudiziali comprendevano nome e cognome di talune persone fisiche aventi un reddito superiore a determinate soglie così come, con un’approssimazione di EUR 100, l’importo del reddito da capitale e da lavoro nonché indicazioni relative all’assoggettamento ad imposta del loro patrimonio. I dati, che il quotidiano poteva ottenere dalle autorità tributarie finlandesi in forza della normativa in materia di accesso del pubblico alle informazioni, erano pubblicati in ordine alfabetico e redatti per singoli comuni e classi di reddito. Qualunque persona, tuttavia, poteva chiedere la rimozione dei propri dati dall’elenco. I dati erano chiaramente «dati personali» che venivano «trattati» ai sensi della direttiva 95/46. Se la Corte non avesse dichiarato che le attività di trattamento dei dati lamentate venivano esercitate «esclusivamente a scopi giornalistici» ai sensi della deroga di cui all’art. 9 della direttiva, tali attività avrebbero costituito una violazione dei diritti dei singoli alla vita privata e alla tutela dei propri dati personali.

92.      Nella specie, i beneficiari della PAC vengono identificati per nome. L’indirizzo al quale sono reperibili viene individuato con un notevole grado di precisione, essendo indicati il comune di residenza e, se possibile, il codice postale. Di regola, i codici postali si applicano ad un’area piuttosto limitata (altrimenti avrebbero scarsa utilità ai fini della ripartizione della corrispondenza). Se utilizzati insieme ad altre fonti di informazione facilmente accessibili su Internet (quali gli elenchi telefonici), essi consentono spesso di individuare l’indirizzo preciso di una persona. Viene visualizzato l’importo esatto dell’aiuto che i beneficiari ottengono dalla PAC. Sembra plausibile che, quanto meno in certi casi, tale informazione consenta di trarre conclusioni (giuste o sbagliate) sul reddito complessivo dei beneficiari (48). Pertanto, si può agevolmente trasporre qui l’approccio adottato dalla Corte nelle cause ÖRF e Satakunnan Markkinapörssi. Infatti, con le prime due questioni sollevate, che vertono sulla validità delle misure in parola, si chiede sostanzialmente se tale ingerenza sia giustificata o meno. Il punto di partenza è (a mio avviso, giustamente) che sussiste realmente un’ingerenza.

–       L’ingerenza è «prevista dalla legge»?

93.      Ad eccezione dell’art. 1, n. 2, del regolamento della Commissione n. 259/2008, sul quale tornerò più avanti (49), ritengo che le condizioni relative alla pubblicazione siano sufficientemente chiare e precise per soddisfare il requisito secondo cui la pubblicazione deve essere «prevista dalla legge», formula che viene utilizzata all’art. 8, n. 2, della CEDU e agli artt. 8, n. 2, e 52, n. 1, della Carta. Le disposizioni contestate chiariscono che saranno pubblicate talune informazioni relative ai beneficiari e precisano le modalità con cui verrà effettuata tale pubblicazione.

–       La pubblicazione è (in linea di principio) «necessaria in una società democratica», in quanto risponde a un’esigenza sociale imperativa?

94.      L’esplicito scopo generale delle disposizioni di cui le prime due questioni mettono in dubbio la legittimità (artt. 42, punto 8 ter, e 44 bis del regolamento del Consiglio n. 1290/2005 e regolamento della Commissione n. 259/2008) è dare attuazione all’IET e rafforzare la trasparenza sull’uso dei fondi PAC (50). La promozione della trasparenza costituisce, in linea di principio, un motivo legittimo per un’ingerenza nei diritti alla vita privata e alla tutela dei dati personali. Con questo voglio solo dire che detta ingerenza può essere considerata necessaria in una società democratica (51). Sono quindi disposta ad ammettere che in linea di principio – e sottolineo queste parole – un certo grado di ingerenza nei diritti alla vita privata e alla tutela dei dati personali per promuovere la trasparenza nel processo democratico sia «necessario in una società democratica» in quanto rispondente ad un’esigenza sociale imperativa.

95.      Per esprimere lo stesso concetto con la terminologia della Carta, la promozione della trasparenza del processo democratico costituisce un «fondamento legittimo» del trattamento dei dati ai sensi dell’art. 8, n. 2, e rientra tra le «finalità di interesse generale riconosciute dall’Unione» ai sensi dell’art. 52, n. 1.

96.      Se, e nei limiti in cui, la corretta applicazione del principio di trasparenza implica che si debbano adottare provvedimenti per informare il grande pubblico (che va distinto da gruppi particolari di persone al suo interno, quali i giornalisti di inchiesta, che dispongono – probabilmente – di più tempo e di maggiori risorse per consultare le fonti di informazione tradizionali, quali i registri tenuti negli uffici comunali e le opere di riferimento conservate solo nelle principali biblioteche pubbliche), il mezzo di comunicazione più scontato è attualmente Internet. Tuttavia, la stessa accessibilità, ricercabilità e comodità di Internet implica che tale pubblicazione comporti, potenzialmente, un’intrusione proporzionalmente maggiore nei diritti dei richiedenti alla vita privata e alla tutela dei dati personali rispetto a una pubblicazione con modalità più tradizionali. Nell’esaminare se la pubblicazione di dati personali con un certo grado di precisione rappresenti un’ingerenza giustificabile e proporzionata in tali diritti, occorre tenere conto della natura e delle conseguenze della pubblicazione su Internet.

97.      Il Consiglio e la Commissione hanno interpretato l’art. 42, punto 8 ter, e l’art. 44 bis del regolamento del Consiglio n. 1290/2005 nel senso che si riferiscono alla pubblicazione in cui i beneficiari vengono indicati per nome insieme agli importi da essi percepiti. Manterrei distinte le due disposizioni.

98.      L’art. 42, punto 8 ter, non è né più né meno che una norma di autorizzazione. Essa conferisce alla Commissione il potere delegato necessario per stabilire le modalità della pubblicazione. Non condivido il parere del giudice nazionale secondo cui l’art. 42, punto 8 ter, non sarebbe conforme all’art. 202, terzo trattino, CE (conferimento di competenze di esecuzione alla Commissione e al Consiglio) e all’art. 211, quarto trattino, CE (esercizio da parte della Commissione di tali competenze delegate) (52).

99.      È vero che l’art. 42, punto 8 ter, è redatto in termini generici. Tuttavia, nel definire le condizioni in cui la Commissione può agire nell’esercizio di competenze delegate, il Consiglio dispone di un’ampia discrezionalità. Esso non è tenuto a specificare gli elementi essenziali di tali competenze. È sufficiente una competenza generale (53).

100. Inoltre, la Commissione non è stata investita di un potere di azione totalmente discrezionale. L’art. 42, punto 8 ter, dispone espressamente che la Commissione adotta le modalità di applicazione «secondo i principi stabiliti dalla normativa comunitaria in materia di protezione dei dati». Pertanto, se pure l’art. 42, punto 8 ter, prescrive che tali modalità prevedano che i dati «possono essere resi pubblici», da ciò non discende che le modalità adottate debbano assumere la forma prescelta dalla Commissione. Semmai, la Commissione è competente ad adottare modalità di applicazione, ma solo modalità di un tipo che non risulti lesivo del diritto alla tutela dei dati personali.

101. Pertanto, non vedo motivi per dubitare della validità dell’art. 42, punto 8 ter, del regolamento del Consiglio n. 1290/2005.

102. La situazione è abbastanza diversa per quanto riguarda l’art. 44 bis. Sebbene i termini «pubblicazione annuale a posteriori dei beneficiari di stanziamenti del FEAGA e del FEASR» non richiedano di per sé che i singoli beneficiari vengano identificati in questo modo [invero, tale espressione riproduce semplicemente i termini dell’art. 53 ter, n. 2, lett. d), del regolamento finanziario], le successive disposizioni intese a garantire che siano pubblicati gli «importi percepiti da ogni beneficiario per ciascuno di tali fondi» e che la pubblicazione contenga «per il FEASR, l’importo totale del finanziamento pubblico per beneficiario», lette congiuntamente al tredicesimo e al quattordicesimo ‘considerando’ del regolamento del Consiglio n. 1437/2007 (che ha introdotto la modifica fondamentale nel regolamento n. 1290/2005), sembrano indicare che l’art. 44 bis del regolamento del Consiglio n. 1290/2005 deve essere interpretato nel senso che prescrive una pubblicazione individualizzata.

103. Tale pubblicazione individualizzata potrebbe essere del tipo che risponde adeguatamente ai criteri stabiliti dal regolamento della Commissione n. 259/2008. Nella specie, si tratta di quel tipo particolare di «pubblicazione nell’interesse della trasparenza» di cui si deve valutare la proporzionalità. Tuttavia, ritengo che, in linea di principio, la pubblicazione individualizzata possa comportare informazioni meno dettagliate sull’interessato – ad esempio, non collegando il nome di ogni beneficiario al comune di residenza e/o al codice postale.

–       L’ingerenza è proporzionata?

104. In una giurisprudenza costante la Corte ha osservato che «(…) il principio di proporzionalità, che fa parte dei principi generali del diritto comunitario, richiede che gli atti delle istituzioni comunitarie non superino i limiti di quanto idoneo e necessario al conseguimento degli scopi legittimi perseguiti dalla normativa di cui trattasi, fermo restando che, qualora sia possibile una scelta fra più misure appropriate, si deve ricorrere alla meno restrittiva e che gli inconvenienti causati non devono essere sproporzionati rispetto agli scopi perseguiti» (54).

105. Non può essere sufficiente per il Consiglio e la Commissione semplicemente invocare il principio di trasparenza in termini generali per dimostrare che le specifiche misure adottate sono giustificate e che la normativa, pertanto, è perfettamente valida. Infatti, la necessità, l’adeguatezza e la proporzionalità di un provvedimento normativo possono essere valutate solo con riferimento ad un obiettivo specifico e preciso. La trasparenza è stata chiaramente considerata auspicabile di per sé, in quanto bene sociale e democratico. Ma quale obiettivo persegue esattamente la trasparenza nel contesto particolare di questi due regolamenti?

106. I ‘considerando’ del regolamento del Consiglio n. 1437/2007 (che ha inserito le pertinenti modifiche nel regolamento del Consiglio n. 1290/2005), unitamente ai ‘considerando’ del regolamento della Commissione n. 259/2008, descrivono gli obiettivi delle misure contestate con termini che risultano idonei a soddisfare il requisito della motivazione degli atti normativi (55).

107. Infatti, il tredicesimo ‘considerando’ spiega che l’obiettivo del regolamento del Consiglio n. 1437/2007 è applicare l’IET in relazione alle spese a titolo della PAC. Il quattordicesimo ‘considerando’ conferma che la pubblicazione annuale a posteriori dei beneficiari di stanziamenti del FEAGA e del FEASR è intesa a rafforzare la trasparenza sull’uso dei fondi comunitari nell’ambito della PAC, grazie in particolare ad un maggior controllo pubblico sull’utilizzazione di tali somme. Detti ‘considerando’ indicano inoltre che il legislatore era consapevole del fatto che qualsiasi ingerenza nel diritto alla vita privata e nel diritto alla tutela dei dati personali doveva essere proporzionata.

108. Il secondo ‘considerando’ del regolamento della Commissione n. 259/2008 riproduce la prima frase del quattordicesimo ‘considerando’ del regolamento del Consiglio n. 1437/2007, spiegando che «[l]o scopo della pubblicazione (…) è quello di garantire la trasparenza nell’uso dei Fondi e di migliorare la sana gestione finanziaria dei medesimi». Il terzo ‘considerando’ enuncia che occorre stabilire «requisiti minimi» circa il contenuto della pubblicazione, ricordando al contempo che «[t]ali requisiti non devono andare al di là di quanto necessario in una società democratica ai fini del raggiungimento delle finalità perseguite». Il sesto ‘considerando’ riproduce in modo letterale le prime due frasi del quattordicesimo ‘considerando’ del regolamento del Consiglio n. 1437/2007. Altri ‘considerando’ del regolamento della Commissione aggiungono solamente che, «per rispettare gli obblighi in materia di protezione dei dati», occorre che i beneficiari siano informati in anticipo della pubblicazione e dei loro diritti in virtù della direttiva 95/46 (settimo ‘considerando’) (56) e che, «per garantire la trasparenza», occorre «informare i beneficiari dei Fondi del fatto che (…) i loro dati personali possono essere trattati da organismi delle Comunità e degli Stati membri competenti in materia di audit e di investigazione» (ottavo ‘considerando’).

109. Nelle osservazioni scritte è stato fatto qualche tentativo di esaminare i requisiti della pubblicazione previsti in relazione a vari altri fondi dell’Unione, in particolare il Fondo sociale europeo (in prosieguo: l’«FSE»). In sostanza, i ricorrenti osservano che l’FSE non richiede che i beneficiari degli aiuti siano indicati nominativamente. Per analogia, a loro parere, la situazione dei beneficiari di fondi PAC dovrebbe essere identica. Sia il Consiglio che la Commissione contestano tale analogia, facendo valere che la situazione dei beneficiari non è identica nei due settori. In primo luogo, i pagamenti nell’ambito del FSE non vengono effettuati direttamente alle persone fisiche o giuridiche beneficiarie, bensì a organizzazioni intermedie (quali le autorità regionali), per un progetto determinato. In secondo luogo, una pubblicazione equivalente nel contesto dell’FSE determinerebbe un’ingerenza molto più grave nel diritto alla vita privata del beneficiario ultimo, in quanto la pubblicazione rivelerebbe aspetti della sua situazione o del suo status personali, quale una disabilità o lo stato di disoccupazione, il che (secondo le istituzioni) non si verificherebbe in alcun caso per quanto riguarda i beneficiari della PAC.

110. Mi sembra che sussistano sia analogie che differenze tra i fondi, e non ritengo che sia molto utile in questa sede addentrarsi in un confronto approfondito. Infatti, la struttura delle disposizioni finanziarie è irrilevante. Nondimeno, le modalità con cui le istituzioni hanno dato attuazione all’IET in altri settori potrebbero fornire qualche chiarimento e indicare metodi alternativi per conciliare l’obiettivo della trasparenza, da un lato, con i diritti alla vita privata e alla tutela dei dati personali, dall’altro.

111. Nel settore della pesca, i pagamenti vengono effettuati direttamente ai beneficiari, ma l’obiettivo della trasparenza viene conseguito in un modo diverso, probabilmente più mirato. Infatti, l’art. 51 del regolamento (CE) del Consiglio n. 1198/2006 (57) disciplina la pubblicazione in maniera tale che sussista un rapporto chiaro tra il finanziamento, il progetto e il singolo. È quindi relativamente agevole vedere come tale informazione possa ispirare un dibattito pubblico sui finanziamenti nel settore della pesca. Tale rapporto tra, da un lato, il beneficiario e l’importo dell’aiuto da esso percepito e, dall’altro, lo scopo per il quale viene concesso l’aiuto, è assente nelle disposizioni in materia di pubblicazione controverse nel caso di specie.

112. In definitiva, tuttavia, mi sembra che le disposizioni in materia di pubblicazione introdotte in relazione a ciascun fondo per dare attuazione all’IET debbano essere valutate, se e nei limiti in cui risulti necessario, alla luce delle particolari circostanze, condizioni e finalità individuate dal legislatore. Ritengo che non esista un criterio assoluto per stabilire cosa sia ammissibile e cosa no.

113. Riassumendo quanto fin qui esposto: il testo dei ‘considerando’ e le disposizioni sostanziali in discussione sono atti a suffragare la conclusione che l’ingerenza, nell’interesse della trasparenza, nei diritti alla vita privata e alla tutela dei dati personali potrebbe soddisfare il criterio di proporzionalità. Tuttavia, per maturare un parere definitivo sulla questione se l’ingerenza sia effettivamente proporzionata, occorre esaminare gli argomenti supplementari dedotti dalle parti nella fase orale del procedimento.

114. In udienza sono stati esaminati in maniera più approfondita i vari obiettivi possibili. Entrambe le Istituzioni hanno svolto osservazioni generali sulla trasparenza in quanto diritto fondamentale e sulla sua importanza in quanto principio di democrazia. Il Consiglio ha sostenuto che la pubblicazione non era tale da consentire di trarre conclusioni in ordine alla situazione personale o al reddito dei beneficiari (argomento che è stato radicalmente contestato sia dal legale dei ricorrenti che dal sig. Volker Schecke, il quale ha risposto personalmente a un quesito della Corte) (58). Entrambe le Istituzioni hanno dedotto generici argomenti relativi all’importanza di una gestione appropriata dei fondi comunitari e all’esigenza che i cittadini possano partecipare a un dibattito pubblico (non meglio definito) (59) in un certo modo (non specificato). Il Consiglio ha sottolineato che la pubblicazione non riguarda solo la trasparenza, ma anche il controllo da parte del pubblico. Se la pubblicazione fosse limitata ai principali beneficiari del FEAGA e del FEASR, non fornirebbe sufficienti informazioni ai contribuenti di una determinata comunità che avessero un interesse all’aiuto concesso ai loro vicini. Anche questo farebbe parte del dibattito pubblico ed occorrerebbe quindi individuare sia i beneficiari principali di aiuti che quelli marginali, senza distinzione. La Commissione ha obiettato che lo scopo dei provvedimenti non è, così ha dichiarato, consentire alla gente di soddisfare la sua curiosità pruriginosa per la situazione economica dei vicini. Lo scopo sarebbe semmai facilitare un dibattito pubblico sulla questione se gli aiuti PAC debbano essere modificati, o magari erogati in maniera diversa. Ad esempio, tali aiuti dovrebbero andare a grandi imprese o a piccoli agricoltori locali? Dovrebbero essere concentrati in aree svantaggiate?

115. È stato specificamente chiesto alla Commissione se la pubblicazione dei dati dei beneficiari fosse intesa a rafforzare la prevenzione delle frodi, consentendo una più stretta vigilanza da parte del grande pubblico. Essa ha categoricamente respinto tale suggerimento, affermando che le attuali misure antifrode sono adeguate (60). Il Consiglio, apparentemente, non ha condiviso il parere della Commissione su questo punto (piuttosto importante), sostenendo che la pubblicazione è un bene in quanto una maggiore prevenzione delle frodi sarebbe una cosa buona. Tuttavia, il Consiglio non si è spinto – per quel che mi è dato capire – ad affermare che le modalità adottate dalla Commissione erano intese in primo luogo a conseguire tale scopo.

116. Dunque, l’obiettivo era offrire al grande pubblico un più elevato grado di conoscenza e di consapevolezza del modo in cui vengono spesi i fondi PAC? Le Istituzioni hanno dichiarato che era certamente così. Ma allora perché era necessario pubblicare il nome e l’indirizzo di ogni beneficiario, unitamente all’importo percepito? Perché non qualche tipo di dato aggregato? Il pubblico non avrebbe potuto essere sufficientemente informato raggruppando i dati in categorie rilevanti, in modo da preservare l’anonimato dei singoli beneficiari? Ebbene, la Commissione ha affermato che ciò sarebbe molto oneroso dal punto di vista amministrativo; peraltro, parte dell’obiettivo consisterebbe nel fare in modo che il grande pubblico sia meglio informato su chi siano i beneficiari e quale sostegno economico ricevano (61). Ritengo che con tale argomento si intendesse affermare (indirettamente) che il grande pubblico dovrebbe conoscere i dati esatti dei beneficiari. Era ed è rimasto poco chiaro se la Commissione facesse riferimento a «tutti i beneficiari» o solo a taluni di essi, come il «conte austriaco» (cortesemente non indicato per nome dall’agente della Commissione in udienza) che, apparentemente, sarebbe uno dei principali beneficiari di fondi PAC.

117. Risulta quindi che le istituzioni avevano idee abbastanza diverse sugli obiettivi delle disposizioni normative contestate. La Commissione ha fatto più volte riferimento al «dibattito pubblico». Essa, tuttavia, non ha precisato cosa intendesse realmente. Né ha spiegato perché i dati personali di letteralmente milioni di persone debbano essere necessariamente pubblicati in forma disaggregata su Internet allo scopo di stimolare (o probabilmente di agevolare) il dibattito. Il Consiglio ha sostenuto, inoltre, che la pubblicazione è giustificata in quanto diretta a rafforzare il controllo pubblico sulle spese a titolo della PAC nell’ambito della lotta alle frodi – posizione da cui la Commissione si è espressamente dissociata.

118. A mio parere, ciò non è sufficiente. La Corte deve valutare la proporzionalità delle misure scelte rispetto allo scopo che si desidera conseguire. Se si prova ad effettuare tale valutazione nel caso di specie, risulta impossibile, a mio avviso, confermare la validità della normativa. La natura vaga (se non addirittura contraddittoria) degli obiettivi che le istituzioni affermano di perseguire non consente di concludere che le misure adottate soddisfano il criterio di proporzionalità. Semmai, dalla discussione svoltasi in udienza (che si è basata su, ed entro certo limiti è stata provocata da, argomenti supplementari dedotti nelle osservazioni scritte delle parti) è emerso che proprio a seconda di quale obiettivo si consideri primario potrebbe risultare sia meno intrusivo che più appropriato un tipo diverso di pubblicazione dei dati.

119. Voglio precisare questo punto. Se la preoccupazione è individuare esattamente i soggetti che percepiscono finanziamenti di notevole entità provenienti dal bilancio della PAC, la pubblicazione deve effettivamente contenere i nomi dei beneficiari (siano essi imprese o singoli) e indicare gli importi percepiti, ma dovrebbe essere limitata ai beneficiari che percepiscono più di una determinata somma in ogni anno solare. Se, invece, lo scopo della pubblicazione è consentire al pubblico di partecipare, in modo informato, al dibattito sulla questione se la maggior parte degli aiuti PAC debba andare a una certa categoria di agricoltori piuttosto che a un’altra, o se un certo tipo di attività agricola debba ricevere più aiuti di un’altra, i dati dovrebbero essere pubblicati in una forma aggregata che consenta a qualsiasi membro del pubblico di capire come venga attualmente speso il denaro. Gli argomenti dedotti dalle Istituzioni, sia per iscritto che oralmente in udienza, non hanno minimamente chiarito perché la particolare modalità di pubblicazione scelta – dati grezzi non raggruppati né aggregati e neppure collegati a una qualsiasi caratteristica evidente della PAC che il pubblico potrebbe essere interessato a discutere – svolga la sua funzione in maniera proporzionata.

120. Per evitare malintesi, voglio essere molto chiara su due punti. In primo luogo, non è mia intenzione indicare alla Commissione le esatte modalità con cui essa dovrebbe pubblicare i dati. Non sono un’esperta di statistiche. Ciò che intendo dire è che, se il legislatore ha scelto una particolare modalità di pubblicazione che determina un’ingerenza in un diritto, l’istituzione che ne è responsabile deve poter spiegare alla Corte perché quella particolare modalità di pubblicazione sia necessaria, appropriata e proporzionata rispetto allo specifico obiettivo perseguito. A mio parere, tale spiegazione non è emersa nel caso di specie. Non ritengo che la praticità amministrativa (per quanto auspicabile possa sicuramente apparire dal punto di vista di qualsiasi istituzione) costituisca di per sé una giustificazione sufficiente.

121. In secondo luogo, non è (del pari) mia intenzione indicare quale debba essere lo scopo esatto della pubblicazione. Anche questo è compito del legislatore (e, naturalmente, il legislatore dispone di un ragionevole margine di discrezionalità nella propria scelta). Scopi diversi (multipli) possono effettivamente richiedere modalità diverse (multiple) di pubblicazione. Ma ogni modalità deve essere giustificabile in quanto proporzionata alla luce dello scopo preciso, chiaramente individuato, che con essa si intende conseguire.

 Conclusione sulla proporzionalità e soluzioni proposte per le questioni sub 1 e sub 2.a)

122. La motivazione esposta nei ‘considerando’ del regolamento del Consiglio n. 1437/2007 (che ha introdotto le pertinenti modifiche nel regolamento del Consiglio n. 1290/2005) e del regolamento della Commissione n. 259/2008 risulta adeguata, ma è redatta in termini generici. La risposta alla questione se gli artt. 42, punto 8 ter, e 44 bis del regolamento del Consiglio n. 1290/2005 e del regolamento della Commissione n. 259/2008 debbano essere considerati un’ingerenza proporzionata nel diritto alla vita privata e nel diritto alla tutela dei dati personali dipende dall’esistenza di una possibile spiegazione del perché le istituzioni abbiano scelto una particolare modalità di pubblicazione, con un certo livello di dettaglio (dati grezzi totalmente disaggregati), e perché tale modalità di pubblicazione fosse necessaria, appropriata e proporzionata per conseguire esattamente lo scopo con essa perseguito.

123. A mio parere, le istituzioni non hanno fornito alla Corte una spiegazione che regga all’esame. Non penso che la Corte debba avallare senza obiezioni norme che fanno riferimento in modo del tutto legittimo a principi generali altamente auspicabili, ma che, qualora venga richiesta una spiegazione più precisa per consentire alla Corte di adempiere la sua funzione giurisdizionale, rivelino un livello di confusione e di incoerenza interistituzionale come quello che è emerso nel caso di specie.

–       Regolamento del Consiglio n. 1290/2005

124. Per quanto riguarda il regolamento del Consiglio n. 1290/2005, dall’esame della prima questione non sono emersi elementi tali da inficiare la validità dell’art. 42, punto 8 ter. Per contro, l’art. 44 bis è invalido nella parte in cui prescrive la pubblicazione automatica del nome, del comune di residenza e, se disponibile, del codice postale di tutti i beneficiari di stanziamenti del FEAGA e del FEASR, unitamente agli importi provenienti da tali fondi percepiti da ciascun beneficiario.

–       Regolamento della Commissione n. 259/2008

125. La validità del regolamento della Commissione n. 259/2008 dipende interamente dalla questione se le modalità ivi stabilite per dare attuazione al regolamento del Consiglio n. 1290/2005, come modificato dal regolamento del Consiglio n. 1437/2007, siano proporzionate. Da quanto precede risulta che, a mio parere, non lo sono. La risposta alla questione sub 2.a) deve quindi essere che il regolamento della Commissione n. 259/2008 è invalido.

126. L’art. 1, n. 2, del regolamento della Commissione n. 259/2008 merita una breve analisi separata. Tale disposizione prevede che «[g]li Stati membri possono pubblicare informazioni più dettagliate di quelle di cui al paragrafo 1» (che indica il contenuto minimo della pubblicazione ai sensi del regolamento). Ho già concluso che il regolamento della Commissione n. 259/2008 dev’essere dichiarato invalido nella sua totalità. Ma quand’anche non avessi raggiunto tale conclusione, avrei invitato la Corte a dichiarare invalido l’art. 1, n. 2, di detto regolamento.

127. La Commissione ha spiegato di avere redatto il regolamento con l’obiettivo di stabilire requisiti di pubblicazione che rispettassero le diverse tradizioni degli Stati membri in materia di pubblicazione di dati personali. Osservo in via preliminare che, in ogni caso, gli Stati membri devono rispettare i diritti garantiti dall’art. 8 della CEDU e dalla Convenzione n. 108. Essi non hanno bisogno del permesso della Commissione per pubblicare informazioni più ampie, purché ciò non contrasti con quanto prescritto da dette disposizioni. Per converso, tale permesso non potrebbe rendere legittimo ciò che altrimenti non lo sarebbe.

128. Soprattutto, poiché l’art. 1, n. 2, autorizza, o sarebbe inteso ad autorizzare, una pubblicazione più ampia, non vedo come la conseguente ingerenza, considerata dal punto di vista del diritto dell’Unione, possa essere «prevista dalla legge». Perché un’ingerenza sia «prevista dalla legge» ai sensi dell’art. 8, n. 2, della CEDU occorre che la disposizione che l’autorizza sia redatta in termini sufficientemente chiari per informare adeguatamente i cittadini sulle condizioni in cui le pubbliche autorità possono interferire con la loro vita privata (62). A mio parere, è impossibile prevedere, sulla base del testo dell’art. 1, n. 2, con quali modalità supplementari si potrebbe effettuare la pubblicazione, quali dati aggiuntivi si potrebbero pubblicare o quali motivi si potrebbero addurre per giustificare tale pubblicazione supplementare. Ciò è inammissibile e rende – automaticamente – illegittimo il provvedimento.

 Sulla terza, la quarta e la quinta questione

129. Passo ora ad esaminare le questioni di dettaglio relative alla direttiva 95/46, come descritte supra al paragrafo 62.

130. La terza, la quarta e la quinta questione vertono sulla sezione IX della direttiva 95/46, i cui artt. 18‑21 hanno per oggetto la notificazione. In sostanza, il responsabile del trattamento [il soggetto che determina le finalità e gli strumenti del trattamento di dati personali, quale definito all’art. 2, lett. d)] deve avvisare l’autorità nazionale di controllo prima di procedere a determinati trattamenti. Lo scopo della notifica è rafforzare la trasparenza a vantaggio delle persone interessate. Attualmente, ogni Stato ha una propria disciplina delle notificazioni e delle esenzioni dal relativo obbligo (63).

 Sulla terza questione

131. Con la terza questione, il giudice del rinvio chiede se, nel caso in cui in non sia stata applicata la procedura di notificazione di cui all’art. 18 della direttiva 95/46, ciò renda illegittimo qualsiasi trattamento successivo di dati personali.

132. L’art. 18, n. 1, della direttiva 95/46 dispone che l’autorità di controllo deve essere avvisata prima che siano effettuati determinati trattamenti. Tuttavia, l’art. 18, n. 2, consente agli Stati membri di prevedere una semplificazione o l’esonero da tale obbligo di notificazione in due serie di circostanze: qualora essi stabiliscano modalità di trattamento per talune categorie di dati che «non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata» (art. 18, n. 2, primo trattino), e qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale, un incaricato della protezione dei dati, il quale garantisca che il trattamento non sia tale da recare pregiudizio ai diritti e alle libertà della persona interessata (art. 18, n. 2, secondo trattino). All’incaricato della protezione dei dati è demandato «di assicurare in maniera indipendente l’applicazione interna delle disposizioni nazionali di attuazione della [direttiva 95/46]» e «di tenere un registro dei trattamenti effettuati dal responsabile del trattamento» (64), consentendo così un controllo a posteriori su tali trattamenti.

133. L’art. 19, n. 1, lett. a)‑f), prescrive il contenuto minimo della notificazione ai sensi dell’art. 18. Gli elementi di cui all’art. 19, n. 1, lett. a)‑e), devono essere successivamente trascritti nel registro dei trattamenti conformemente all’art. 21, n. 2 (65). Gli Stati membri sono liberi di definire gli elementi aggiuntivi che devono essere contenuti nella notificazione e/o nel registro (66).

134. Il Land Hessen ha scelto di applicare l’art. 18, n. 2, secondo trattino, con la conseguenza che la previa notifica dei trattamenti all’autorità di controllo ai sensi dell’art. 18, n. 1, non è necessaria. Pertanto (e contrariamente a quanto sostenuto dal giudice del rinvio), non sussiste alcun obbligo di effettuare una «completa e adeguata notificazione». Il controllo sulla legittimità del trattamento è un controllo a posteriori effettuato attraverso un registro, e non un controllo a priori.

135. Le informazioni di cui il giudice nazionale ha ravvisato la mancanza dal registro sono informazioni che vanno al di là dei requisiti minimi di cui all’art. 19, n. 1, lett. a)‑e). Detto giudice osserva, ad esempio, che il registro è «incompleto» in quanto mancano informazioni concrete circa i termini per la cancellazione. Ciò rende il successivo trattamento dei dati illegittimo sotto il profilo del diritto dell’Unione?

136. Ritengo di no.

137. Gli Stati membri possono legittimamente semplificare la procedura di notifica o esonerare taluni trattamenti dalla notifica, purché rispettino le condizioni di cui all’art. 18, n. 2. Ai fini dell’applicazione di questa parte della direttiva 95/46 è sufficiente che l’incaricato della protezione dei dati designato ai sensi dell’art. 18, n. 2, secondo trattino, adempia il proprio obbligo imperativo di garantire che i trattamenti «non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata» e che il registro dei trattamenti contenga gli elementi minimi prescritti dall’art. 21, n. 2. Le (eventuali) conseguenze della mancata annotazione nel registro di informazioni supplementari che vanno al di là di tali elementi minimi rientrano nell’ambito del diritto nazionale, e non in quello del diritto dell’Unione.

 Sulla quarta questione

138. Il giudice del rinvio chiede se l’art. 20 della direttiva 95/46 debba essere interpretato nel senso che la pubblicazione delle informazioni sui beneficiari di stanziamenti del FEAGA e del FEASR possa essere effettuata solo in seguito al controllo preliminare disposto dalla normativa nazionale. Esso rileva che sia la normativa federale tedesca che quella del Land Hessen prescrivono tale controllo preliminare. In mancanza di detto controllo, la pubblicazione non sarebbe leale e lecita ai sensi dell’art. 6, n. 1, lett. a), della direttiva 95/46.

139. Il Land Hessen sostiene che il controllo preliminare ai sensi dell’art. 20 della direttiva 95/46 non è una precondizione per la pubblicazione dei dati dei beneficiari a norma del regolamento della Commissione n. 259/2008. Esso afferma, in primo luogo, che l’art. 20, n. 1, non assoggetta automaticamente tutti i trattamenti ad un controllo preliminare. In secondo luogo, asserisce che la pubblicazione ai sensi del regolamento della Commissione n. 259/2008 non presenta «rischi specifici per le persone interessate». In terzo luogo, osserva che, in ogni caso, la valutazione preliminare viene effettuata prima della pubblicazione ai sensi dell’art. 44 bis del regolamento del Consiglio n. 1290/2005, in combinato disposto con il regolamento della Commissione n. 259/2008.

140. La direttiva 95/46 non precisa essa stessa quali trattamenti (67) debbano essere considerati atti a determinare un rischio specifico per i diritti e le libertà delle persone interessate. Essa attribuisce tale responsabilità agli Stati membri. Infatti, l’art. 20, n. 1, dispone che «[g]li Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici per i diritti e le libertà delle persone» e «provvedono a che tali trattamenti siano esaminati prima della loro messa in opera» (il corsivo è mio). Sono questi i soli trattamenti che vanno sottoposti a un controllo preliminare secondo la procedura di cui all’art. 20, n. 2.

141. Tuttavia, i ‘considerando’ della direttiva 95/46 forniscono chiarimenti utili sulla portata che si intende attribuire all’art. 20. Così, il cinquantatreesimo ‘considerando’ fa riferimento a taluni trattamenti che «possono presentare rischi particolari per i diritti e le libertà delle persone interessate, per natura, portata o finalità, quali quello di escludere una persona dal beneficio di un diritto, di una prestazione o di un contratto, ovvero a causa dell’uso particolare di una tecnologia nuova (…)». Il cinquantaquattresimo ‘considerando’ enuncia che «il numero dei trattamenti che presentano tali rischi particolari dovrebbe essere molto esiguo rispetto al totale dei trattamenti effettuati nella società (…)».

142. L’art. 20, n. 1, si applica prima facie a tutti i trattamenti. Esso impone quindi agli Stati membri di precisare quali sottocategorie limitate di tali trattamenti «presentano rischi specifici per i diritti e le libertà delle persone». In relazione a tali sottocategorie limitate (ma non in relazione ad altri trattamenti) occorre obbligatoriamente garantire che il controllo abbia luogo prima del trattamento. La natura di tale controllo preliminare viene precisata all’art. 20, n. 2.

143. Tuttavia, spetta allo Stato membro precisare, conformemente al diritto nazionale, quali siano le categorie di trattamento alle quali si applica la procedura di cui all’art. 20, n. 2. Ne consegue che spetta al giudice nazionale – e unicamente ad esso – accertare se il diritto nazionale qualifichi, o meno, come siffatto trattamento la pubblicazione dei dati dei beneficiari di stanziamenti del FEAGA e del FEASR.

144. Pertanto, non mi sembra necessario che la Corte risolva la quarta questione.

 Sulla quinta questione

145. Il giudice nazionale chiede se l’art. 20 della direttiva 95/46 debba essere interpretato nel senso che non si ha alcun controllo preventivo efficace, se questo è stato effettuato sulla base di un registro ai sensi dell’art. 18, n. 2, secondo trattino, in cui non figura un’informazione obbligatoria.

146. Confesso di trovare incomprensibile tale questione. I dati inseriti nel registro di cui agli artt. 18, n. 2, e 21 della direttiva 95/46 sono dati di trattamenti notificati ai sensi dell’art. 18. Tuttavia, nel caso dei trattamenti che uno Stato membro abbia esentato dalla notifica ai sensi dell’art. 18, n. 2, secondo trattino, l’annotazione si riferisce (secondo il testo di detta disposizione) a un «registro dei trattamenti effettuati dal responsabile del trattamento» – vale a dire che la registrazione viene effettuata dopo il trattamento. Per contro, il controllo preliminare di cui all’art. 20 è proprio questo: un controllo che viene effettuato prima che inizi il trattamento. Ne consegue che l’autorità cui compete il controllo preliminare non può essere influenzata in alcun modo dall’annotazione di tale trattamento nel registro, che non è ancora stato compilato. Né il trattamento può essere soggetto a «pubblicità» (conformemente all’art. 21, n. 1) prima che i relativi dati siano stati annotati sul registro.

147. Naturalmente, la situazione potrebbe essere diversa se la normativa nazionale, individuando una particolare categoria di trattamento da assoggettare al controllo preliminare ai sensi dell’art. 20, avesse a) precisato che tale categoria non può essere esentata dalla notifica a norma dell’art. 18, n. 2, b) precisato che la necessaria annotazione sul registro deve essere effettuata immediatamente dopo la ricezione della notifica, c) precisato che certi dati [quanto meno, le informazioni elencate all’art. 19, n. 1, lett. a)‑f), ma potenzialmente anche informazioni più dettagliate] devono essere annotati sul registro e d) precisato che l’autorità competente deve basarsi sul contenuto del registro per decidere se autorizzare o meno il trattamento. Ma questa è mera speculazione. Nulla nell’ordinanza di rinvio suggerisce che la normativa nazionale preveda disposizioni del genere in relazione alla pubblicazione dei dati di beneficiari di stanziamenti del FEAGA e del FEASR.

148. In assenza di informazioni sufficienti a dimostrare la rilevanza della questione – o meglio, di qualsiasi elemento chiaro che colleghi il quesito sollevato alle circostanze del caso di specie e alle questioni che il giudice nazionale deve risolvere – suggerisco alla Corte di dichiararla irricevibile.

 Sulle questioni sub 2.b) e sub 6

149. Le questioni sub 2.b) e sub 6 vertono sui diritti degli utenti (68) (cioè di coloro che intendano accedere ai dati dei beneficiari pubblicati a norma del regolamento della Commissione n. 259/2008), più che su quello delle persone interessate, quali i ricorrenti.

150. Ritengo che tali questioni siano entrambe irricevibili.

 Sulla questione sub 2.b)

151. Tale questione è formulata in maniera curiosa. Con essa, il giudice nazionale chiede se il regolamento della Commissione n. 259/2008 sia valido solo perché è invalida la direttiva 2006/24. Per quanto mi è dato capire, il ragionamento del giudice nazionale è il seguente. Gli utenti che vogliono accedere alle informazioni pubblicate a norma del regolamento della Commissione n. 259/2008 possono farlo solo tramite Internet. Ciò significa che non possono farlo in maniera anonima, dato che i loro dati vengono conservati per, al massimo, due anni ai sensi della direttiva 2006/24. Se però tale disposizione della direttiva 2006/24 fosse illegittima, ciò avrebbe la conseguenza di rendere invalida la direttiva 2006/24. Tuttavia, il corollario di tale invalidità sarebbe che il regolamento della Commissione n. 259/2008 potrebbe, in definitiva, essere considerato valido.

152. I ricorsi aventi ad oggetto la validità delle norme dell’Unione vengono proposti convenzionalmente per «incompetenza (69), violazione delle forme sostanziali (70), violazione del [Trattato CE] o di qualsiasi regola di diritto relativa alla sua applicazione, ovvero per sviamento di potere» (71). È la prima volta che si chiede alla Corte se la validità di un provvedimento dell’Unione (nella specie il regolamento della Commissione n. 259/2008) dipenda dalla (in)validità di un altro provvedimento dell’Unione in un settore lontanamente collegato (nella specie la direttiva 2006/24).

153. A mio parere, la questione sub 2.b) è puramente ipotetica. Essa risulta quindi irricevibile per due motivi.

154. In primo luogo, il quesito è irrilevante rispetto alla questione che viene sollevata nel procedimento principale, vale a dire se il giudice nazionale debba vietare al Land Hessen di pubblicare i dati dei ricorrenti in quanto beneficiari di stanziamenti del FEAGA e/o del FEASR.

155. La costante giurisprudenza della Corte conferma che essa non esamina criticamente il ragionamento sul quale un giudice nazionale fonda il rinvio pregiudiziale. Quest’ultimo può essere respinto solo qualora risulti manifestamente che l’interpretazione del diritto dell’Unione richiesta dal giudice nazionale non ha alcuna relazione con l’effettività o con l’oggetto della causa principale (72). Tale ipotesi, tuttavia, non ricorre nel caso di specie.

156. Considerata nella loro massima estensione, le cause principali riguardano i diritti alla vita privata e alla tutela dei dati dei beneficiari di stanziamenti del FEAGA e del FEASR: nello specifico, se i dati personali di tali beneficiari debbano o meno essere considerati un database accessibile tramite Internet. Il procedimento nazionale riguarda quindi i beneficiari in quanto persone interessate, ma non ha nulla a che vedere con i loro diritti di utenti né, invero, con i diritti di qualsiasi altro soggetto.

157. Pertanto, la validità della direttiva 2006/24 non presenta alcun nesso con le questioni che il giudice nazionale deve risolvere per pronunciarsi sulle cause principali.

158. In secondo luogo, la questione viene sottoposta alla Corte in un contesto nel quale non sono stati effettivamente conservati a norma della direttiva 2006/24 (né tanto meno trasmessi alle autorità competenti ai sensi dell’art. 4 di detta direttiva) dati relativi a una delle parti del procedimento nazionale. Sarebbe del tutto inappropriato che la Corte procedesse ad un esame della validità teorica della direttiva 2006/24 per trarre una conclusione in ordine alla validità del regolamento della Commissione n. 259/2008.

159. Pertanto, ritengo che la questione sub 2.b) sia irricevibile.

 Sulla sesta questione

160. Il giudice nazionale chiede se l’art. 7 della direttiva 95/46 – e più precisamente l’art. 7, lett. e) (73) – debba essere interpretato nel senso che esso osta alla registrazione degli indirizzi IP di utenti che accedano a siti web contenenti le informazioni pubblicate a norma del regolamento della Commissione n. 259/2008 senza il loro esplicito consenso.

161. Anche questa questione è un po’ contorta. Per quanto mi è dato capire, il giudice del rinvio parte dal presupposto che, se un utente desidera consultare informazioni pubblicate a norma del regolamento della Commissione n. 259/2008, lo può fare solo tramite Internet. Ciò significa che i suoi dati personali (l’indirizzo IP) saranno «trattati» ai sensi della direttiva 95/46. Il giudice a quo chiede quindi se l’art. 7 della direttiva 95/46 osti a tale trattamento, salvo che gli interessati abbiano manifestato il loro consenso.

162. Come già rilevato, le cause principali vertono sulla pubblicazione di informazioni relative alle persone interessate (i beneficiari di finanziamenti PAC). Esse non hanno nulla a che vedere con i diritti degli utenti (né degli utenti in quanto persone interessate). Pertanto, anche la sesta questione è irricevibile, per le ragioni esposte in precedenza.

 Conclusione

163. Ritengo pertanto che, in risposta alle questioni sollevate dal Verwaltungsgericht Wiesbaden (Germania), la Corte debba dichiarare quanto segue:

1)      L’esame della prima questione non ha rivelato alcun elemento tale da inficiare la validità dell’art. 42, punto 8 ter, del regolamento (CE) del Consiglio 21 giugno 2005, n. 1290, relativo al finanziamento della politica agricola comune.

2)      L’art. 44 bis del regolamento (CE) del Consiglio n. 1290/2005 è invalido nella parte in cui prescrive la pubblicazione automatica del nome, del comune di residenza e, se disponibile, del codice postale di tutti i beneficiari di stanziamenti del FEAGA e del FEASR unitamente agli importi provenienti da tali fondi percepiti da ciascun beneficiario.

3)      Il regolamento (CE) della Commissione 18 marzo 2008, n. 259, recante modalità di applicazione del regolamento (CE) n. 1290/2005 del Consiglio per quanto riguarda la pubblicazione di informazioni sui beneficiari dei finanziamenti provenienti dal FEAGA e dal FEASR, è invalido.

4)      La questione sub 2.b) e la sesta questione sono irricevibili.

5)      Non occorre risolvere la terza, la quarta e la quinta questione.


1 – Lingua originale: l’inglese.


2 – Firmata a Roma il 4 novembre 1950.


3 – Al pari della CEDU, la Convenzione n. 108 vige in tutti gli Stati membri.


4 – Proclamata a Nizza il 7 dicembre 2000 (GU C 364, pag. 1). Una versione aggiornata è stata approvata dal Parlamento europeo il 29 novembre 2007, dopo la soppressione dei riferimenti alla sfortunata Costituzione europea (GU C 303, pag. 1; in prosieguo: la «Carta»).


5 – Direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, pag. 31).


6 –      Il responsabile del trattamento è definito all’art. 2, lett. d), come la persona fisica o giuridica che determina le finalità e gli strumenti del trattamento di dati personali


7 –      Una o più autorità di controllo vengono individuate dallo Stato membro e incaricate di vigilare sull’applicazione della direttiva nel suo territorio. I loro obblighi e poteri sono precisati nell’articolo citato. In particolare, a ciascuna autorità di controllo è demandato (in forza dell’art. 28, n. 3, secondo trattino) di formulare pareri prima dell’avvio dei trattamenti di cui all’articolo 20.


8 – Direttiva del Parlamento europeo e del Consiglio 15 marzo 2006, 2006/24/CE, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE (GU L 105, pag. 54).


9 – L’art. 2 della direttiva 2006/24 così dispone: «“utente”: qualsiasi persona fisica o giuridica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per fini privati o professionali, senza essere necessariamente abbonata a tale servizio». L’art. 2 della direttiva del Parlamento europeo e del Consiglio 12 luglio 2002, 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201, pag. 37), contiene le seguenti definizioni: «b) “dati relativi al traffico”: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; c) “dati relativi all’ubicazione”: ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico».


10 – SEC(2005) 1300.


11 – V. Libro verde «Iniziativa europea per la trasparenza» COM(2006) 194 def., pag. 3.


12 – Regolamento (CE, Euratom) del Consiglio 25 giugno 2002, n. 1605, che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (GU L 248, pag. 1), come modificato dal regolamento (CE, Euratom) del Consiglio 13 dicembre 2006, n. 1995 (GU L 390, pag. 1), e dal regolamento (CE) del Consiglio 17 dicembre 2007, n. 1525 (GU L 343, pag. 9).


13 –      V. nota 5.


14 –      Regolamento del Parlamento europeo e del Consiglio 18 dicembre 2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8, pag. 1).


15 – Regolamento del Consiglio 21 giugno 2005, relativo al finanziamento della politica agricola comune (GU L 209, pag. 1).


16 – Nelle presenti conclusioni farò riferimento al FEAGA e al FEASR come ai «fondi».


17 – Disposizioni dettagliate sono esposte anche agli artt. 32‑37, che riguardano la valutazione di conformità e la sorveglianza da parte della Commissione.


18 – Regolamento 11 novembre 1996, relativo ai controlli e alle verifiche sul posto effettuati dalla Commissione ai fini della tutela degli interessi finanziari delle Comunità europee contro le frodi e altre irregolarità (GU L 292, pag. 2). In generale, secondo tali principi, le informazioni raccolte ai sensi del regolamento sono coperte dal segreto professionale e tutelate nello stesso modo in cui analoghe informazioni vengono tutelate dalla legislazione dello Stato che le ha ricevute e dalle corrispondenti disposizioni applicabili alle istituzioni dell’Unione europea. In particolare, la Commissione deve garantire che nell’attuazione del regolamento i suoi ispettori rispettino le norme nazionali e comunitarie in materia di tutela dei dati conformemente alla direttiva 95/46.


19 – Regolamento 26 novembre 2007, recante modifica del regolamento (CE) n. 1290/2005 relativo al finanziamento della politica agricola comune (GU L 322, pag. 1).


20 –      Parere del 10 aprile 2007 (GU C 134, pag. 1).


21 –      Regolamento 18 marzo 2008, recante modalità di applicazione del regolamento (CE) n. 1290/2005 del Consiglio per quanto riguarda la pubblicazione di informazioni sui beneficiari dei finanziamenti provenienti dal Fondo europeo agricolo di garanzia (FEAGA) e dal Fondo europeo agricolo per lo sviluppo rurale (FEASR) (GU L 76, pag. 28).


22 – I risultati di tale consultazione non sono stati pubblicati sul sito internet del Garante europeo della protezione dei dati.


23 – Regolamento della Commissione 21 aprile 2004, recante modalità di applicazione della condizionalità, della modulazione e del sistema integrato di gestione e di controllo di cui al regolamento (CE) n. 1782/2003 del Consiglio che stabilisce norme comuni relative ai regimi di sostegno diretto nell’ambito della politica agricola comune e istituisce taluni regimi di sostegno a favore degli agricoltori (GU L 141, pag. 18).


24 – http://www.agrar-fischerei-zahlungen.de


25 – La giurisprudenza della Corte risale al 1969: v., ad esempio, sentenze 12 novembre 1969, causa 29/69, Stauder (Racc. pag. 419, punto 7); 17 dicembre 1970, causa 11/70, Internationale Handesgesellschaft (Racc. pag. 1125, punto 4). Più recentemente, v. sentenze 20 maggio 2003, cause riunite C‑465/00, C‑138/01 e C‑139/01, Österreichischer Rundfunk e a. (Racc. pag. I‑4989, punti 68 e 69; in prosieguo: la sentenza «ÖRF»), e 29 gennaio 2008, causa C‑275/06, Promusicae (Racc. pag. I‑271, punto 62).


26 – V. sentenze 15 ottobre 2002, cause riunite C‑238/99 P, C‑244/99 P, C‑245/99 P, C‑247/99 P, da C‑250/99 P a C‑252/99 P e C‑254/99 P, Limburgse Vinyl Maatschappij e a./Commissione (Racc. pag. I‑8375, punto 274), e 29 giugno 2006, causa C‑301/04 P, Commissione/SGLCarbon (Racc. pag. I‑5915, punto 43). V. inoltre sentenza 16 dicembre 2008, causa C‑73/07, Satakaunnan Markkinapörssi e Satamedia (Racc. pag. I‑9831), e in particolare le conclusioni presentate dall’avvocato generale Kokott in detta causa (paragrafo 37).


27 – Nella sentenza 30 luglio 1996, causa C‑84/95, Bosphorus (Racc. pag. I‑3953), al paragrafo 53 delle sue conclusioni, l’avvocato generale Jacobs ha affermato che «[i]l rispetto dei diritti fondamentali costituisce (…) un requisito di legittimità degli atti comunitari (…)».


28–      L’art. 6, n. 1, UE enuncia che l’Unione europea si fonda sui principi di libertà, democrazia, rispetto dei diritti umani, delle libertà fondamentali e dello Stato di diritto, principi che sono comuni agli Stati membri.


29 – Sentenza 6 dicembre 2001, causa C‑353/99 P, Hautala (Racc. pag. I‑9565, punto 24), e conclusioni dell’avvocato generale Léger in detta causa (paragrafo 52).


30 – V. supra, paragrafo 23.


31 – Alcuni commentatori ritengono che la trasparenza rientri sicuramente in tale categoria: v., ad esempio, Lenaerts, K., «In the Union we trust: trust – enhancing principles of Community Law», Common Market Law Review 2004, pag. 317, e Craig e de Búrca, EU Law text, cases and materials (4a edizione 2007), pag. 567. Tuttavia, la Corte non si è ancora pronunciata definitivamente su tale questione.


32 – V., in particolare, sentenze 30 aprile 1996, causa C‑58/94, Paesi Bassi/Consiglio (Racc. pag. I‑2169, punto 35); Hautala, cit. alla nota 29 (in cui la Corte ha esaminato un ricorso proposto dal Consiglio contro la sentenza con cui il Tribunale di primo grado aveva annullato la decisione del Consiglio che negava l’accesso a una relazione di un proprio Gruppo di lavoro sull’esportazione di armi) (punto 22) e 6 marzo 2003, causa C‑41/00 P, Interporc (Racc. pag. I‑2125, punti 38‑43).


33 – Citate alla nota 29 (paragrafi 76 e 77).


34 – Citata alla nota 32.


35 – Decisione della Commissione 8 febbraio 1994, sull’accesso del pubblico ai documenti della Commissione (GU L 46, pag. 58).


36 – Sentenza Interporc, cit. alla nota 32 (punto 43); v. anche conclusioni dell’avvocato generale Léger (paragrafo 80).


37 – La Carta non era vincolante all’epoca dei fatti della causa principale: v., per analogia, sentenza 27 giugno 2006, causa C‑540/03, Parlamento/Consiglio (ricongiungimento familiare) (Racc. pag. I‑5769, punto 38). A seguito dell’entrata in vigore del Trattato di Lisbona, con effetto dal 1° dicembre 2009, la Carta ha acquisito forza di diritto primario (art. 6, n. 1, TUE).


38 – V. sentenza Promusicae, cit. alla nota 25 (punto 63), e conclusioni dell’avvocato generale Kokott nella medesima causa (paragrafo 51); v., più recentemente, conclusioni dell’avvocato generale Ruiz‑Jarabo Colomer nella sentenza 7 maggio 2009, causa C‑553/07, Rijkeboer (Racc. pag. I‑3889, paragrafi 18‑20). Il nesso tra vita privata e tutela dei dati si riflette anche nei ‘considerando’ dal decimo al dodicesimo, nonché nell’art. 1, n. 1, della direttiva 95/46. A tal riguardo, v. anche sentenza del Bundesverfassungsgericht (Corte costituzionale federale tedesca) 15 dicembre 1983 («Volkszählungsurteil», 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65, 1), e, più recentemente, sentenza 2 marzo 2010 (1 BvR 256, 263, 586/08, disponibile su www.bundesverfassungsgericht.de).


39 – V. sentenza 16 dicembre 1992, Niemietz/Germania (punti 29‑31), serie A n. 251‑B.


40 – V. Colas Est e a./Francia, n. 37971/97 (punto 41), CEDU 2002‑III, e Peck/Regno Unito, n. 44647/98 (punto 57), CEDU 2003‑I. Nell’ambito della giurisprudenza della Corte, v. sentenza 14 febbraio 2008, causa C‑450/06, Varec (Racc. pag. I‑581, punto 48).


41 – V. sentenze Von Hannover/Germania, n. 59320/00 (punto 50), CEDU 2004‑VI, e giurisprudenza ivi citata, nonché 28 aprile 2009, Karakó/Ungheria, n. 39311/05 (punto 21).


42 – V. sentenza 4 dicembre 2008, S & Marper/Regno Unito [GC], nn. 30562/04 e 30566/04 (punto 103).


43 – Riprodotto integralmente supra al paragrafo 51.


44–      L’art. 5 del regolamento (CE) del Parlamento europeo e del Consiglio 18 dicembre 2000, n. 45/2001, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1), garantisce una tutela equivalente per quanto riguarda il trattamento di dati effettuato dalle istituzioni.


45 – V. l’analisi svolta dalla Corte nella sentenza ÖRF, cit. alla nota 25, che segue la giurisprudenza consolidata della Corte di Strasburgo cit. alla nota 25, secondo cui le condizioni sono cumulative: v., ad esempio, sentenza Amann/Svizzera [GC], n. 27798/95 (punto 80), CEDU 2000‑II. Le eccezioni di cui all’art. 8, n. 2, della CEDU devono essere interpretate restrittivamente e deve essere dimostrata in maniera convincente la necessità della loro applicazione in un caso concreto: v. sentenze 25 febbraio 1993, Funke/Francia (punto 55), Serie A n. 256‑A e giurisprudenza ivi citata, nonché Buck/Germania, n. 41604/98 (punto 37), CEDU [2005]‑IV.


46 – Citata alla nota 25 ed esaminata infra al paragrafo 90.


47 – Causa C‑73/07, cit. alla nota 26.


48 – V. supra, paragrafo 83, e infra, paragrafo 114.


49 – V. infra, paragrafi 126‑128.


50 – V. tredicesimo e quattordicesimo ‘considerando’ del regolamento del Consiglio n. 1437/2007 e secondo ‘considerando’ del regolamento della Commissione n. 259/2008. Analogamente, il regolamento finanziario (la cui validità non viene contestata) evidenzia l’importanza della trasparenza (terzo e dodicesimo ‘considerando’), dispone che la Commissione «mette a disposizione, nella forma appropriata, le informazioni sui beneficiari dei fondi» rispettando al contempo i «requisiti in materia di riservatezza, in particolare la tutela dei dati personali» (art. 30, n. 3) e impone agli Stati membri di «garantire, attraverso la normativa settoriale pertinente e in conformità dell’articolo 30, paragrafo 3, una corretta pubblicazione annuale a posteriori dei beneficiari di fondi provenienti dal bilancio» [(art. 53 ter, n. 2, lett. d)].


51–      Per essere «prevista dalla legge», l’ingerenza deve (ovviamente) essere definita con sufficiente precisione (v. supra) e, per essere legittima, deve inoltre risultare proporzionata.


52 – L’art. 202 è stato sostanzialmente sostituito dall’art. 16, n. 1, TUE e dagli artt. 290 e 291 TFUE. L’art. 211 è stato sostanzialmente sostituito dall’art. 17, n. 1, TUE.


53 – Sentenze 17 dicembre 1970, causa 25/70, Köster (Racc. pag. 1161, punto 6); 30 ottobre 1975, causa 23/75, Rey Soda (Racc. pag. 1279, punto 11), e 27 ottobre 1992, causa C‑240/90, Germania/Commissione (Racc. pag. I‑5383, punto 41).


54 – Sentenza 7 settembre 2006, causa C‑310/04, Spagna/Consiglio, (Racc. pag. I‑7285, punto 97). V. anche sentenze 13 novembre 1990, causa C‑331/88, Fedesa e a. (Racc. pag. I‑4023, punto 13); 5 ottobre 1994, cause riunite C‑133/93, C‑300/93 e C‑362/93, Crispoltoni e a. (Racc. pag. I‑4863, punto 41), e 12 luglio 2001, causa C‑189/01, Jippes e a. (Racc. pag. I‑5689, punto 81 e giurisprudenza ivi citata).


55 – Art. 253 CE, divenuto art. 296 TFUE.


56 – V., in tal senso, l’ultima frase del quattordicesimo ‘considerando’ del regolamento del Consiglio n. 1437/2007 e le conclusioni dell’Autorità europea per la tutela dei dati del 10 aprile 2007 (GU C 134, p. 1) richiamate in detto ‘considerando’.


57 – Regolamento 27 luglio 2006, relativo al Fondo europeo per la pesca (GU L 223, pag. 1).


58 – Il sig. Volker Schecke ha sottolineato lo stretto legame esistente, in molti casi, tra la sovvenzione PAC e il reddito complessivo conseguito da un’azienda agricola a conduzione familiare con un numero noto di collaboratori. Egli ha sostenuto, fornendo alcuni esempi, che l’eventuale intrusione nella vita privata di un beneficiario da parte di vicini che approfittino di tale pubblicazione potrebbe talora risultare grave.


59 – In udienza sono stati forniti esempi di possibili discussioni pubbliche: specificamente, il dibattito giornalistico svoltosi un Francia sulla questione se ricevessero aiuti gli agricoltori più piccoli o quelli più grandi (la Commissione ha fatto riferimento in particolare ad un articolo pubblicato su Le Monde il 30 marzo 2010), e il governo greco ha menzionato la sua iniziativa diretta ad avviare una discussione pubblica prima della progettata ristrutturazione della PAC nel 2013. Gli esempi, tuttavia, non definiscono di per sé stessi una discussione.


60 – In effetti, il regolamento del Consiglio n. 1290/2005 contempla procedure dirette al contrasto delle frodi e alla prevenzione delle irregolarità: v., ad esempio, artt. 9 e 30‑37.


61 – Risulta, da elementi probatori, che il riconoscimento di tale obiettivo è seguito a un’importante iniziativa avviata da alcuni giornalisti di inchiesta in un certo numero di Stati membri per cercare di sapere se alcuni dei maggiori beneficiari di fondi PAC fossero ricchi proprietari terrieri o grandi aziende agroalimentari, anziché piccoli agricoltori. V. The Guardian di lunedì 22 gennaio 2007, «So that’s where the 100 billion went».


62 – V. sentenza della Corte CEDU 2 agosto 1984, Malone/Regno Unito, Serie A n. 82 (punti 67 e 68).


63 – V. «Vademecum sui requisiti delle notificazioni», adottato dal Gruppo istituito ai sensi dell’art. 29 della direttiva 95/46, che illustra gli elementi fondamentali del sistema di notifica di ogni Stato membro.


64 – L’art. 21, n. 2, impone agli Stati membri di prevedere che l’autorità di controllo tenga un registro dei trattamenti notificati in virtù dell’art. 18.


65 – La «descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento in applicazione dell’articolo 17», di cui all’art. 19, n. 1, lett. f), è l’unico elemento che non viene trasposto nel registro.


66 – V., rispettivamente, art. 19, n. 1, e art. 21, n. 2, seconda frase.


67 – I trattamenti sono definiti all’art. 2, lett. b), della direttiva 95/46 come «qualsiasi operazione o insieme di operazioni (…) applicate a dati personali, come (…) la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione (…)».


68 – Gli «utenti» sono definiti all’art. 2 della direttiva 2006/24: v. nota 9.


69 – V. ad esempio, sentenza 5 ottobre 2000, causa C‑376/98, Germania/Parlamento e Consiglio (Racc. pag. I‑8419).


70 – V., ad esempio, sentenza 21 gennaio 2003, causa C‑378/00, Commissione/Parlamento e Consiglio (Racc. pag. I‑937, punto 34).


71 – Art. 230 CE.


72 – Sentenze 16 giugno 1981, causa 126/80, Salonia (Racc. pag. 1563); 10 settembre 2009, causa C‑206/08, Eurawasser (Racc. pag. I‑8377, punti 33 e 34), e 19 novembre 2008, causa C‑314/08, Filipiak (Racc. pag. I‑11049, punti 40‑42).


73 – L’art. 7, lett. e), autorizza il trattamento quando risulti «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri». Inoltre, le condizioni indicate all’art. 7, lett. b)‑f), hanno tutte la stessa importanza, sia tra loro che rispetto a quella di cui all’art. 7, lett. a) (consenso manifestato in maniera inequivocabile dalla persona interessata). Pertanto, è abbastanza difficile immaginare come l’art. 7, lett. e), possa ostare al trattamento salvo che ricorra la condizione di cui l’art. 7, lett. a).