CONCLUSIONI DELL’AVVOCATO GENERALE
JEAN RICHARD DE LA TOUR
presentate l’8 settembre 2022 (1)
Causa C‑132/21
BE
contro
Nemzeti Adatvédelmi és Információszabadság Hatóság,
in presenza di
Budapesti Elektromos Művek Zrt.
[domanda di pronuncia pregiudiziale proposta dal Fővárosi Törvényszék (corte di Budapest-Capitale, Ungheria)]
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli da 77 a 79 – Reclamo a un’autorità di controllo – Ricorsi giurisdizionali – Coordinamento dei mezzi di ricorso – Autonomia procedurale degli Stati membri»
I. Introduzione
1. La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 51, paragrafo 1, dell’articolo 52, paragrafo 1, dell’articolo 77, paragrafo 1 e dell’articolo 79, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2).
2. Tale domanda è stata presentata nell’ambito di una controversia tra BE e la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorità nazionale incaricata della protezione dei dati e della libertà dell’informazione, Ungheria; in prosieguo: l’«autorità di controllo») in ordine al rigetto della domanda di BE volta a ottenere la comunicazione di segmenti del fonogramma di un’assemblea generale degli azionisti alla quale BE aveva partecipato.
3. Lo scopo dell’RGPD è garantire l’applicazione efficace delle norme sulla protezione dei dati personali, prevedendo un sistema di mezzi di ricorso che consenta all’interessato di proporre reclamo a un’autorità di controllo, un ricorso giurisdizionale avverso la decisione adottata da tale autorità e un ricorso giurisdizionale nei confronti di un titolare del trattamento o del suo responsabile del trattamento, qualora tale soggetto ritenga che i diritti di cui gode a norma di tale regolamento siano stati violati a seguito di un trattamento.
4. La Fővárosi Törvényszék (corte di Budapest-Capitale, Ungheria) chiede alla Corte di chiarire il coordinamento di tali mezzi di ricorso e, specificamente, le modalità per evitare decisioni contraddittorie sulla sussistenza di una violazione dei diritti tutelati dall’RGPD all’interno di uno Stato membro.
5. Si tratta di una questione importante poiché l’intenzione del legislatore dell’Unione di assicurare un’effettiva tutela giurisdizionale dei diritti conferiti dall’RGPD nonché un livello coerente ed elevato di protezione di tali diritti non sembra compatibile con la sussistenza di decisioni contraddittorie all’interno di uno Stato membro, circostanza che costituisce fonte di incertezza del diritto.
6. Nelle presenti conclusioni, suggerirò alla Corte di statuire che l’articolo 78, paragrafo 1, dell’RGPD, in combinato disposto con l’articolo 47 della Carta dei diritti fondamentali dell’Unione europea (3), deve essere interpretato nel senso che, nel caso in cui un interessato esperisca mezzi di ricorso previsti all’articolo 77, paragrafo 1, e all’articolo 79, paragrafo 1, di tale regolamento, il giudice che deve pronunciarsi su un ricorso presentato avverso la decisione di un’autorità di controllo non è vincolato dalla decisione adottata da un giudice adito ai sensi di quest’ultima disposizione in ordine alla sussistenza o meno di una violazione dei diritti di cui gode tale persona a norma del medesimo regolamento.
7. Illustrerò, in tale contesto, le ragioni per le quali, a mio avviso, l’articolo 77, paragrafo 1, e l’articolo 79, paragrafo 1, dell’RGPD devono essere interpretati nel senso che i mezzi di ricorso da essi previsti possono essere esperiti parallelamente, senza che uno prevalga sull’altro ai sensi di tale regolamento.
8. Completerò tale risposta precisando che, in assenza di una normativa dell’Unione relativa al coordinamento dei mezzi di ricorso previsti agli articoli da 77 a 79 dell’RGPD, spetta agli Stati membri, in forza del principio dell’autonomia procedurale e tenuto conto sia dell’obiettivo di assicurare un livello coerente ed elevato di protezione dei diritti conferiti da tale regolamento, sia del diritto a un ricorso giurisdizionale effettivo sancito dall’articolo 47 della Carta, istituire a livello nazionale i meccanismi di coordinamento di tali mezzi di ricorso necessari al fine di evitare decisioni contraddittorie in ordine al medesimo trattamento di dati personali all’interno di uno stesso Stato membro.
II. Contesto normativo
A. L’RGPD
9. L’articolo 51, paragrafo 1, dell’RGPD dispone quanto segue:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (l’“autorità di controllo”)».
10. L’articolo 52, paragrafo 1, dell’RGPD dispone quanto segue:
«Ogni autorità di controllo agisce in piena indipendenza nell’adempimento dei propri compiti e nell’esercizio dei propri poteri conformemente al presente regolamento».
11. L’articolo 58, paragrafo 4, dell’RGPD dispone quanto segue:
«L’esercizio da parte di un’autorità di controllo dei poteri attribuitile dal presente articolo è soggetto a garanzie adeguate, inclusi il ricorso giurisdizionale effettivo e il giusto processo, previste dal diritto dell’Unione e degli Stati membri conformemente alla Carta».
12. L’articolo 77 dell’RGDP, intitolato «Diritto di proporre reclamo all’autorità di controllo», dispone quanto segue:
«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».
13. L’articolo 78 dell’RGDP è intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo». Il paragrafo 1 di tale articolo dispone quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».
14. L’articolo 79 dell’RGDP è intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento». Il paragrafo 1 di tale articolo dispone quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
B. Diritto ungherese
15. L’articolo 22 della információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (legge n. CXII del 2011 sul diritto di autodeterminazione in materia di informazione e sulla libertà di informazione; in prosieguo: la «legge sull’informazione») (4), del 26 luglio 2011, dispone quanto segue:
«Nell’esercizio dei suoi diritti, l’interessato può, conformemente alle disposizioni del capo VI:
a) chiedere che [l’autorità di controllo] avvii un’indagine sulla liceità di una misura adottata dal titolare del trattamento, qualora quest’ultimo abbia limitato l’esercizio dei diritti dell’interessato ai sensi dell’articolo 14 o abbia respinto una richiesta dell’interessato con cui quest’ultimo intendeva esercitare i suoi diritti, nonché
b) richiedere al[l’autorità di controllo] di istruire un procedimento amministrativo di protezione dei dati, qualora l’interessato ritenga che, nel corso del trattamento dei suoi dati personali, il titolare del trattamento o, se del caso, il suo rappresentante o il responsabile del trattamento che operi su mandato di quest’ultimo, abbia violato le disposizioni in materia di trattamento dei dati personali previste dalla legge o da un atto giuridico vincolante dell’Unione (...)».
16. L’articolo 23 della legge sull’informazione dispone quanto segue:
«(1) L’interessato può presentare un ricorso giurisdizionale contro il titolare del trattamento o il responsabile del trattamento per le operazioni relative al trattamento rientranti nell’ambito delle attività di quest’ultimo, qualora ritenga che, nel trattare i suoi dati personali, il titolare del trattamento o, se del caso, il suo rappresentante o il responsabile del trattamento che operi su mandato di quest’ultimo, abbia violato le disposizioni in materia di trattamento dei dati personali previste dalla legge o da un atto giuridico vincolante dell’Unione (...).
(...)
(4) Possono essere parti del procedimento giudiziale anche coloro i quali non hanno altrimenti capacità di stare in giudizio. L’[autorità di controllo] può intervenire nel processo a sostegno delle conclusioni dell’interessato.
(5) Se il giudice accoglie la domanda, accerta l’esistenza di una violazione e ordina al titolare del trattamento o, se del caso, al responsabile del trattamento:
a) la cessazione dell’operazione di trattamento illecita,
b) il ripristino della liceità del trattamento dei dati e/o
c) di tenere un comportamento determinato con precisione per garantire l’esercizio dei diritti dell’interessato,
e, se del caso, decide contemporaneamente sulle domande di risarcimento dei danni materiali e morali».
III. Fatti del procedimento principale e questioni pregiudiziali
17. Dopo aver partecipato all’assemblea generale del 26 aprile 2019 della società per azioni di cui è azionista, BE ha chiesto a quest’ultima di consegnargli il fonogramma registrato durante tale assemblea.
18. La società per azioni, in qualità di titolare del trattamento di tali dati, ha fornito a BE solo i segmenti del fonogramma contenenti la sua voce e non quelli contenenti quanto proferito da altri partecipanti.
19. Desiderando avere accesso ai segmenti contenenti le risposte dei partecipanti alle sue domande poste durante l’assemblea generale del 26 aprile 2019, BE ha adito l’autorità di controllo, chiedendole di accertare il comportamento illecito della società per azioni e di ordinarle la trasmissione di tali segmenti. L’autorità di controllo ha respinto tale reclamo con decisione del 29 novembre 2019.
20. A seguito di tale rigetto, BE ha proposto un ricorso contro tale decisione dell’autorità di controllo dinanzi al giudice del rinvio, ai sensi dell’articolo 78, paragrafo 1, dell’RGPD, al fine di ottenere la modifica, in via principale, o l’annullamento, in subordine, di detta decisione.
21. Oltre all’autorità di controllo, BE ha adito i giudici civili con un ricorso nei confronti del titolare del trattamento ai sensi dell’articolo 79, paragrafo 1, dell’RGPD.
22. Nelle more del giudizio pendente dinanzi al giudice del rinvio, la Fövárosi Ítélötábla (corte d’appello regionale di Budapest, Ungheria) ha accolto il ricorso di BE presentato ai sensi di tale disposizione, giacché ha ritenuto che il titolare del trattamento avesse violato il diritto di accesso di BE ai propri dati personali dal momento che si è rifiutata di consegnargli, malgrado la sua richiesta, le parti del fonogramma che contenevano le risposte alle sue domande (5). Tale sentenza pronunciata da un giudice civile di secondo grado è divenuta definitiva.
23. Nel proprio ricorso dinanzi al giudice del rinvio, BE chiede di prendere in considerazione le conclusioni a cui è giunto il giudice civile nella sua sentenza.
24. Il giudice del rinvio si chiede se sia possibile trarre insegnamenti dal diritto dell’Unione per quanto riguarda il coordinamento delle rispettive competenze, da un lato, dell’autorità di controllo a cui è stato proposto un reclamo, ai sensi dell’articolo 77, paragrafo 1, dell’RGPD, e del giudice amministrativo competente, ai sensi dell’articolo 78, paragrafo 1, di tale regolamento, a controllare la legittimità delle decisioni adottate da tale autorità e, dall’altro, del giudice civile competente, ai sensi dell’articolo 79, paragrafo 1, del medesimo regolamento, a pronunciarsi su un ricorso proposto da una persona che ritenga che i diritti di cui gode a norma del medesimo regolamento siano stati violati.
25. Infatti, il giudice del rinvio osserva che l’esperimento parallelo dei mezzi di ricorso previsti da tali disposizioni potrebbe comportare l’adozione di decisioni contraddittorie in relazione a fatti identici.
26. Tale giudice ritiene che una situazione siffatta possa comportare un rischio di incertezza del diritto. Il giudice del rinvio osserva a tale riguardo che, ai sensi delle norme procedurali nazionali, la decisione dell’autorità di controllo non è vincolante per il giudice civile. Non è quindi escluso che quest’ultimo, in presenza dello stesso contesto di fatto, possa adottare una decisione contraria a quella dell’autorità di controllo.
27. Il giudice del rinvio afferma che, nel caso di specie, ai sensi delle norme procedurali nazionali, non sussistevano le condizioni per l’intervento dell’autorità di controllo dinanzi al giudice civile. Inoltre, in forza di tali norme, la sentenza di un giudice civile non è vincolante per un giudice amministrativo nell’ambito del controllo di legittimità della decisione dell’autorità di controllo che esso è tenuto a svolgere, ai sensi dell’articolo 78, paragrafo 1, dell’RGPD.
28. Poiché l’autorità di controllo e il giudice civile che ha emesso la sentenza definitiva hanno assunto posizioni opposte in ordine alla sussistenza di una violazione delle norme sulla protezione dei dati personali, il giudice del rinvio intende sapere se sussistono elementi di diritto dell’Unione che consentano di coordinare i mezzi di ricorso esercitati parallelamente. Per analogia, egli cita le norme applicabili nel campo del diritto della concorrenza (6).
29. Tale giudice osserva inoltre che, a differenza del contesto di fatto della sentenza del 27 settembre 2017, Puškár (7), la normativa ungherese non subordina il ricorso giurisdizionale alla condizione di esaurire preventivamente i rimedi amministrativi disponibili.
30. Tuttavia, il diritto a un ricorso effettivo e l’obiettivo di assicurare un livello elevato di protezione dei diritti conferiti dall’RGPD implicherebbero la necessità di garantire la coerenza nell’applicazione di tale regolamento. Per raggiungere tale risultato, sarebbe necessario definire la preferenza tra i mezzi di ricorso che possono essere esercitati parallelamente.
31. A tal riguardo, il giudice del rinvio afferma di essere d’accordo con l’autorità di controllo per la parte in cui quest’ultima sostiene che la facoltà conferita dall’articolo 51, paragrafo 1, dell’RGPD, nonché i compiti e i poteri previsti, rispettivamente, dall’articolo 57, paragrafo 1, lettere a) ed f), e dall’articolo 58, paragrafo 2, lettere b) e c), di tale regolamento, conferiscono a tale autorità una competenza prioritaria ai fini dell’indagine e del controllo del rispetto degli obblighi previsti da detto regolamento. Il giudice del rinvio, dunque, propone alla Corte di confermare l’interpretazione secondo la quale, quando sia pendente o concluso dinanzi all’autorità di controllo un procedimento per la stessa violazione, la decisione di tale autorità – così come quella del giudice amministrativo che abbia riesaminato tale decisione – deve avere la priorità nel determinare l’esistenza di una violazione delle norme previste dall’RGPD. Pertanto, le decisioni dei giudici civili che abbiano agito ai sensi dell’articolo 79 dell’RGPD, non avrebbero valore vincolante nei procedimenti ai sensi degli articoli 77 e 78 del medesimo regolamento.
32. Qualora, invece, non si riconosca il primato della competenza dell’autorità di controllo ad accertare una violazione dei diritti conferiti dall’RGPD, il giudice del rinvio, alla luce del principio di certezza del diritto, ritiene di considerare vincolante quanto affermato dal giudice civile nella sua sentenza definitiva, e non potrà valutare in autonomia la liceità di quanto affermato dall’autorità di controllo nella propria decisione in relazione alla sussistenza di una violazione siffatta. Il giudice del rinvio ritiene che ciò significherebbe privare di contenuto la competenza prevista dall’articolo 78 di tale regolamento.
33. Di conseguenza, la Fővárosi Törvényszék (corte di Budapest-Capitale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) [s]e [l’articolo 77, paragrafo 1, e l’articolo 79, paragrafo 1, dell’RGPD] debbano essere interpretati nel senso che il ricorso amministrativo previsto dall’articolo 77 costituisce uno strumento per l’esercizio di diritti pubblici, mentre il ricorso giurisdizionale previsto dall’articolo 79 costituisce uno strumento per l’esercizio di diritti privati. In caso di risposta affermativa, se da ciò possa dedursi che l’autorità di controllo, incaricata di esaminare i ricorsi amministrativi, abbia la competenza prioritaria a determinare l’esistenza una violazione.
2) Nel caso in cui l’interessato – che ritenga che il trattamento che lo riguarda abbia violato [l’RGPD] – eserciti contemporaneamente il suo diritto di proporre reclamo ai sensi dell’articolo 77, paragrafo 1, di detto regolamento e il suo diritto ad esercitare un ricorso giurisdizionale ai sensi dell’articolo 79, paragrafo 1, del medesimo regolamento, se si debba ritenere che un’interpretazione conforme all’articolo 47 della [Carta] implichi:
a) che l’autorità di controllo e l’autorità giurisdizionale siano obbligate a verificare l’esistenza di una violazione in modo autonomo e, di conseguenza, possano anche giungere a risultati divergenti; o
b) che la decisione dell’autorità di controllo prevalga per quanto riguarda la valutazione della commissione di una violazione, tenuto conto delle facoltà di cui all’articolo 51, paragrafo 1, del [RGPR] e dei poteri conferiti dall’articolo 58, paragrafo 2, lettere b) e d), del[l’RGDP].
3) Se l’indipendenza dell’autorità di controllo, garantita dagli articoli 51, paragrafo 1, e 52, paragrafo 1, del[l’RGPD], debba essere interpretata nel senso che tale autorità, quando tratta e decide in merito alla procedura di reclamo di cui all’articolo 77 [di tale regolamento], è indipendente dal disposto della sentenza definitiva dell’autorità giurisdizionale competente ai sensi dell’articolo 79 [di tale regolamento], con la conseguenza che essa può anche adottare una decisione divergente in merito alla stessa presunta violazione».
34. BE, l’autorità di controllo, i governi ungherese, ceco, italiano e polacco, nonché la Commissione europea hanno presentato osservazioni scritte. L’11 maggio 2022 si è tenuta un’udienza in presenza dell’autorità di controllo, dei governi ungherese e polacco nonché della Commissione.
IV. Analisi
35. In limine occorre ricordare che, secondo una giurisprudenza costante, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita dall’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una soluzione utile che gli consenta di dirimere la controversia di cui è investito. In tale prospettiva, spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte (8).
36. Occorre inoltre ricordare che, sulla base di una costante giurisprudenza della Corte, il fatto che il giudice del rinvio abbia formulato una questione pregiudiziale facendo riferimento soltanto a talune disposizioni del diritto dell’Unione non osta a che la Corte fornisca a detto giudice tutti gli elementi di interpretazione che possano essere utili alla decisione della causa di cui è investito, indipendentemente dalla circostanza che esso vi abbia fatto riferimento o meno nella formulazione delle sue questioni. Spetta, al riguardo, alla Corte trarre dall’insieme degli elementi forniti dal giudice nazionale, e, in particolare, dalla motivazione della decisione di rinvio, gli elementi di diritto dell’Unione che richiedano un’interpretazione, tenuto conto dell’oggetto della controversia (9).
37. Rilevo che il giudice del rinvio è attualmente investito di un ricorso avverso una decisione dell’autorità di controllo che ha respinto il reclamo di BE, ossia il mezzo di ricorso previsto dall’articolo 78, paragrafo 1, dell’RGPD.
38. Detto giudice, al fine di potersi pronunciare su tale ricorso, intende ottenere dalla Corte chiarimenti in ordine al coordinamento tra, da un lato, il reclamo presentato a un’autorità di controllo ai sensi dell’articolo 77, paragrafo 1, di tale regolamento e, dall’altro, i mezzi di ricorso previsti dall’articolo 78, paragrafo 1, e dall’articolo 79, paragrafo 1, del medesimo regolamento.
39. In particolare, nella fase del procedimento nazionale, il giudice del rinvio intende conoscere il margine di discrezionalità di cui dispone nell’ambito del controllo di legittimità della decisione dell’autorità di controllo che è tenuto a svolgere, ai sensi dell’articolo 78, paragrafo 1, dell’RGPD, tenuto conto del fatto che un giudice civile, adito ai sensi dell’articolo 79, paragrafo 1, di tale regolamento, si è pronunciato in senso contrario rispetto a quanto statuito da tale autorità a seguito di un reclamo ad essa presentato ai sensi dell’articolo 77, paragrafo 1, del medesimo regolamento.
40. In tali circostanze, ritengo che il giudice del rinvio, con le sue domande, chieda essenzialmente alla Corte di pronunciarsi sulla questione se l’articolo 78, paragrafo 1, dell’RGPD debba essere interpretato nel senso che, qualora l’interessato esperisca mezzi di ricorso previsti dall’articolo 77, paragrafo 1, e dall’articolo 79, paragrafo 1, di tale regolamento, il giudice che deve pronunciarsi su un ricorso proposto avverso la decisione di un’autorità di controllo sia vincolato dalla posizione adottata da un giudice adito ai sensi di quest’ultima disposizione in ordine alla sussistenza di una violazione dei diritti di cui tale persona gode a norma del medesimo regolamento.
41. Dalla decisione di rinvio risulta che, dal punto di vista del giudice del rinvio, la soluzione di tale questione richiede di verificare se, nell’ambito del controllo di legittimità della decisione dell’autorità di controllo che esso è tenuto a svolgere, tale giudice, nel caso in cui i ricorsi previsti dall’articolo 77, paragrafo 1, e dall’articolo 79, paragrafo 1, dell’RGPD, siano esperiti parallelamente, debba tener conto dell’eventuale priorità del primo mezzo di ricorso rispetto al secondo per quanto riguarda l’accertamento di una violazione dei diritti tutelati da tale regolamento.
42. Per rispondere alle questioni sollevate dal giudice del rinvio, occorre ricordare che, secondo una giurisprudenza consolidata, per interpretare una disposizione del diritto dell’Unione occorre tenere conto del suo tenore letterale nonché dell’economia generale e degli obiettivi del regolamento di cui essa fa parte (10).
43. Per quanto riguarda il tenore letterale degli articoli da 77 a 79 dell’RGPD, osservo che il paragrafo 1 di tali articoli stabilisce, da un lato, che il diritto di proporre reclamo è «[f]atto salvo ogni altro ricorso amministrativo o giurisdizionale» e, dall’altro, che il diritto di proporre un ricorso avverso la decisione di un’autorità di controllo o di un titolare del trattamento è «[f]atto salvo ogni altro ricorso amministrativo o extragiudiziale».
44. Dal tenore letterale di tali disposizioni si evince dunque che i mezzi di ricorso da esse previsti possono essere esperiti parallelamente. Inoltre, il legislatore dell’Unione non ha stabilito alcuna regola sul coordinamento tra tali mezzi di ricorso in dette disposizioni. A mio avviso, dunque, non si può dedurre dall’RGPD che un mezzo di ricorso sia prioritario rispetto agli altri per accertare una violazione dei diritti tutelati da tale regolamento.
45. In particolare, se è vero che, come risulta specificamente dall’articolo 51, paragrafo 1, dell’RGPD, le autorità di controllo sono incaricate di sorvegliare l’applicazione di quest’ultimo, in particolare al fine di tutelare i diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali, non sussiste alcuna disposizione nell’RGPD che indichi che tali autorità avrebbero una competenza prioritaria rispetto a un giudice nell’accertamento della violazione di tali diritti.
46. Il legislatore dell’Unione ha quindi voluto mettere a disposizione degli interessati un sistema completo di mezzi di ricorso, in cui il diritto a un ricorso giurisdizionale e la possibilità di proporre un ricorso amministrativo o extragiudiziale coesistono autonomamente, senza che l’uno sia sussidiario rispetto all’altro. Tali interessati possono dunque cercare tutela legale proponendo, in particolare, un reclamo a un’autorità di controllo, e poi, se necessario, impugnando la decisione adottata da tale autorità dinanzi a un giudice, e/o proponendo un ricorso giurisdizionale direttamente avverso il titolare del trattamento o il suo responsabile del trattamento. Sebbene l’autorità di controllo e il giudice o i giudici aditi possano giungere a valutazioni giuridiche diverse in ordine alla sussistenza di una violazione delle norme stabilite dall’RGPD, è giocoforza constatare che il legislatore dell’Unione non ha messo in atto meccanismi specifici per mitigare tale rischio, poiché non ha definito le modalità per coordinare i mezzi di ricorso previsti dagli articoli da 77 a 79 di tale regolamento.
47. A tal riguardo, dall’economia del medesimo regolamento si evince che il legislatore dell’Unione, pur volendo prevedere norme relative al coordinamento, da una parte, dei reclami proposti dinanzi alle autorità di controllo situate in diversi Stati membri e, dall’altra, dei ricorsi presentati dinanzi a organi giurisdizionali situati in diversi Stati membri, non ha voluto prevedere siffatte norme per quanto riguarda l’esercizio dei mezzi di ricorso all’interno di uno stesso Stato membro.
48. A tal riguardo, osservo che l’RGPD, nel suo capitolo VII, intitolato «Cooperazione e coerenza», stabilisce meccanismi di assistenza reciproca tra le autorità di controllo dei diversi Stati membri, volti a garantire la coerenza delle decisioni adottate da tali autorità. Inoltre, l’articolo 81 di tale regolamento, intitolato «Sospensione delle azioni», prevede al paragrafo 2 che «[q]ualora azioni riguardanti lo stesso oggetto relativamente al trattamento dello stesso titolare del trattamento o dello stesso responsabile del trattamento siano pendenti presso un’autorità giurisdizionale in un altro Stato membro, qualunque autorità giurisdizionale competente successivamente adita può sospendere le azioni». E ancora, ai sensi dell’articolo 81, paragrafo 3, del medesimo regolamento, «[s]e tali azioni sono pendenti in primo grado, qualunque autorità giurisdizionale successivamente adita può parimenti dichiarare la propria incompetenza su richiesta di una delle parti a condizione che l’autorità giurisdizionale adita per prima sia competente a conoscere delle domande proposte e la sua legge consenta la riunione dei procedimenti».
49. Rilevo che tale possibilità di sospensione o di dichiarare la propria incompetenza non è prevista qualora un reclamo a un’autorità di controllo e i ricorsi giurisdizionali siano proposti in uno stesso Stato membro con riferimento al medesimo trattamento di dati personali.
50. Da tali elementi risulta che il giudice nazionale, nell’ambito del controllo di legittimità della decisione adottata da un’autorità di controllo che esso deve effettuare ai sensi dell’articolo 78, paragrafo 1, dell’RGPD, non è tenuto, ai sensi di tale regolamento, a riconoscere né una competenza prioritaria di tale autorità o di un’autorità giurisdizionale adita ai sensi dell’articolo 79, paragrafo 1, del medesimo regolamento, né un primato della valutazione effettuata da tale autorità o da tale autorità giurisdizionale in ordine alla sussistenza di una violazione dei diritti di cui gode a norma del medesimo regolamento.
51. Una soluzione opposta, a mio avviso, sarebbe contraria al diritto a un ricorso giurisdizionale effettivo di cui deve beneficiare una persona che contesti la decisione adottata da un’autorità di controllo.
52. Invero, dal tenore letterale dell’articolo 78, paragrafo 1, dell’RGPD risulta che tale disposizione conferisce a ogni persona fisica o giuridica «il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda». Tale disposizione richiama l’articolo 58, paragrafo 4, di tale regolamento, da cui deriva che l’esercizio da parte di un’autorità di controllo dei poteri ad essa attribuiti è soggetto a garanzie quali il ricorso giurisdizionale effettivo (11). Come già affermato dalla Corte, l’articolo 47 della Carta trova la propria espressione, nel campo della protezione dei dati personali, in particolare nella possibilità, prevista dall’articolo 78, paragrafo 1, dell’RGPD, per qualsiasi persona fisica o giuridica di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante di un’autorità di controllo che la riguarda (12).
53. Tale diritto a un ricorso giurisdizionale effettivo implica che l’autorità giurisdizionale a cui viene proposto un ricorso avverso la decisione di un’autorità di controllo, ai sensi dell’articolo 78, paragrafo 1, dell’RGPD, deve, come indicato nel considerando 143 di tale regolamento, «esercitare i [propri] pieni poteri giurisdizionali, ivi compreso quello di esaminare tutte le questioni di fatto e di diritto che abbiano rilevanza per la controversia dinanzi a ess[a] pendente». Ne consegue, a mio avviso, che tale autorità giurisdizionale deve essere libera di valutare la legittimità della decisione soggetta al proprio controllo e, a tal fine, non deve essere vincolata dalla valutazione precedentemente effettuata da un giudice adito ai sensi dell’articolo 79, paragrafo 1, dell’RGPD in ordine alla sussistenza o meno di una violazione delle norme stabilite da tale regolamento.
54. Pertanto, il giudice adito ai sensi dell’articolo 78, paragrafo 1, dell’RGPD per controllare la legittimità di una decisione adottata da un’autorità di controllo, a mio avviso, deve godere di una completa libertà di valutazione al fine di accertare la sussistenza o meno di una violazione delle norme di cui a tale regolamento, e ciò non in ragione di una asserita priorità di cui l’autorità di controllo e poi, se del caso, tale giudice disporrebbero per effettuare tale accertamento, bensì in ragione del diritto a un ricorso giurisdizionale effettivo, sancito dall’articolo 47 della Carta, il quale implica che detto giudice sia in grado di controllare liberamente e in modo indipendente la legittimità della decisione adottata da tale autorità.
55. Per quanto riguarda gli obiettivi perseguiti dall’RGPD, osservo che la scelta del legislatore dell’Unione di consentire agli interessati di esperire parallelamente i mezzi di ricorso previsti dagli articoli da 77 a 79 di tale regolamento è in linea con l’obiettivo del medesimo regolamento, ossia assicurare un livello elevato di protezione dei diritti conferiti dal regolamento stesso.
56. A tal riguardo, come risulta dall’articolo 1, paragrafo 2, dell’RGPD, in combinato disposto con i considerando 10, 11 e 13 di tale regolamento, quest’ultimo affida alle istituzioni, agli organi e agli organismi dell’Unione, nonché alle autorità competenti degli Stati membri, il compito di assicurare un livello elevato di tutela dei diritti garantiti dall’articolo 16 TFUE e dall’articolo 8 della Carta (13).
57. Occorre tuttavia precisare che, come appare nella presente causa, la possibilità offerta dall’RGPD di proporre ricorsi paralleli in ordine a un medesimo trattamento di dati personali può presentare un inconveniente, ossia l’incertezza del diritto che può generare la presenza di decisioni contraddittorie all’interno di uno Stato membro. Orbene, come ho precedentemente indicato, il rischio di decisioni contraddittorie tra le autorità di controllo o i giudici di diversi Stati membri è stato affrontato dal legislatore dell’Unione in tale regolamento, ma non nel caso in cui siffatte decisioni siano adottate all’interno di uno stesso Stato membro.
58. In tali circostanze, spetta a ciascuno Stato membro predisporre gli strumenti procedurali che consentano di evitare, per quanto possibile, che siano adottate decisioni contraddittorie in ordine a un medesimo trattamento di dati personali.
59. A tal riguardo, ricordo che, in assenza di una normativa dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro, in forza del principio dell’autonomia procedurale, stabilire le modalità processuali di tali rimedi giurisdizionali previsti dagli articoli da 77 a 79 dell’RGPD, a condizione, tuttavia, che tali modalità, nelle situazioni disciplinate dal diritto dell’Unione, non siano meno favorevoli rispetto a quelle relative a situazioni analoghe disciplinate dal diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) (14).
60. In tale contesto e secondo una giurisprudenza consolidata, i giudici degli Stati membri sono tenuti, in forza del principio di leale cooperazione enunciato dall’articolo 4, paragrafo 3, TUE, a garantire la tutela giurisdizionale dei diritti spettanti ai singoli in forza del diritto dell’Unione, e che l’articolo 19, paragrafo 1, TUE impone agli Stati membri di stabilire i rimedi giurisdizionali necessari per garantire una tutela giurisdizionale effettiva nei settori disciplinati dal diritto dell’Unione (15).
61. Pertanto, nel definire le modalità procedurali dei ricorsi giurisdizionali destinati ad assicurare la salvaguardia dei diritti conferiti dall’RGPD, gli Stati membri devono garantire il rispetto del diritto ad un ricorso effettivo e a un giudice imparziale, sancito dall’articolo 47 della Carta, che costituisce una riaffermazione del principio della tutela giurisdizionale effettiva (16).
62. Le caratteristiche dei ricorsi giurisdizionali previsti da tale regolamento devono quindi essere determinate ai sensi all’articolo 47 della Carta.
63. Orbene, una tutela giurisdizionale effettiva non consiste soltanto, a mio avviso, nel mettere a disposizione degli interessati i mezzi di ricorso necessari alla protezione dei diritti di cui godono a norma dell’RGPD. In caso di coesistenza di più mezzi di ricorso esperibili parallelamente, occorre altresì garantire la certezza del diritto della tutela giurisdizionale ottenuta. Poiché decisioni contraddittorie in ordine alla sussistenza di una violazione delle norme previste da tale regolamento non sarebbero idonee a garantire una tutela giurisdizionale effettiva degli interessati, è necessario che gli Stati membri predispongano le misure necessarie affinché si evitino siffatte decisioni contraddittorie.
64. Se gli Stati membri non predispongono meccanismi procedurali che consentano di coordinare i diversi mezzi di ricorso, gli obiettivi dell’RGPD, consistenti nel garantire una tutela giurisdizionale effettiva degli interessati nonché un livello coerente ed elevato di protezione dei diritti di cui godono a norma di tale regolamento, potrebbero non essere pienamente raggiunti.
65. A tal riguardo, dal considerando 10 dell’RGPD risulta che quest’ultimo mira, in particolare, ad assicurare un’applicazione coerente ed omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione e a rimuovere gli ostacoli alla circolazione dei dati personali all’interno di quest’ultima (17).
66. Orbene, tale requisito relativo a un’applicazione coerente ed omogenea delle norme previste dall’RGPD potrebbe essere compromesso se le differenze nei livelli di protezione tra gli Stati membri, che tale regolamento mira a eliminare, potessero sussistere all’interno di un medesimo Stato membro. Detto requisito deve quindi essere inteso non solo a livello interstatale, ma anche per quanto riguarda le decisioni adottate in ciascuno Stato membro.
67. Ciascuno Stato membro deve, di conseguenza, fare in modo che la sussistenza di mezzi di ricorso che possono essere esperiti parallelamente dagli interessati non comprometta l’effettività della protezione dei diritti di cui godono a norma dell’RGPD. Spetta agli Stati membri scegliere i meccanismi procedurali che essi ritengono più adatti per consentire il coordinamento dei mezzi di ricorso previsti dagli articoli da 77 a 79 di tale regolamento.
68. A titolo esemplificativo, gli Stati membri potrebbero prevedere che gli interessati debbano esaurire i rimedi amministrativi prima di avviare un procedimento giudiziario (18).
69. Gli Stati membri potrebbero altresì prevedere la possibilità o l’obbligo, per un giudice investito di un ricorso ai sensi dell’articolo 79, paragrafo 1, dell’RGPD, allorquando sia pendente un procedimento di reclamo ai sensi dell’articolo 77, paragrafo 1, di tale regolamento o un ricorso giurisdizionale ai sensi dell’articolo 78, paragrafo 1, di detto regolamento, di sospendere il procedimento dinanzi ad esso pendente e di sospendere il giudizio fino all’adozione di una decisione nell’uno o nell’altro di tali procedimenti.
70. Osservo che la Corte ha già dichiarato che il diritto di agire dinanzi a un giudice non è un diritto assoluto e che, pertanto, può implicare restrizioni proporzionate che perseguano uno scopo legittimo e non pregiudichino tale diritto nella sua stessa sostanza (19). La sospensione di un procedimento può, a tal riguardo, essere una soluzione al fine di evitare l’adozione di decisioni contraddittorie che potrebbero compromettere la certezza del diritto (20).
V. Conclusione
71. Alla luce di tutte le suesposte considerazioni, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dalla Fővárosi Törvényszék (corte di Budapest-Capitale, Ungheria) come segue:
1) L’articolo 78, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l’articolo 47 della Carta dei diritti fondamentali dell’Unione europea,
deve essere interpretato nel senso che:
in caso di esperimento da parte di un interessato dei mezzi di ricorso previsti all’articolo 77, paragrafo 1, e all’articolo 79, paragrafo 1, di tale regolamento, il giudice che deve pronunciarsi su un ricorso proposto avverso la decisione di un’autorità di controllo non è vincolato dalla decisione adottata da un giudice adito ai sensi di quest’ultima disposizione in ordine alla sussistenza o meno di una violazione dei diritti di cui tale interessato gode a norma del medesimo regolamento.
2) L’articolo 77, paragrafo 1, e l’articolo 79, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che:
i mezzi di ricorso ivi previsti possono essere esperiti parallelamente, senza che l’uno abbia priorità rispetto all’altro in forza di tale regolamento.
3) In assenza di una normativa dell’Unione in materia di coordinamento dei mezzi di ricorso previsti agli articoli da 77 a 79 del regolamento 2016/679, spetta agli Stati membri, in forza del principio dell’autonomia procedurale e tenuto conto sia dell’obiettivo di garantire un livello di tutela coerente ed elevato dei diritti conferiti da tale regolamento sia del diritto a un ricorso giurisdizionale effettivo, sancito dall’articolo 47 della Carta dei diritti fondamentali, predisporre a livello nazionale i meccanismi di coordinamento di tali mezzi di ricorso necessari al fine di evitare che possano sussistere all’interno di uno stesso Stato membro decisioni contraddittorie in ordine a un medesimo trattamento di dati personali.