Ricorso proposto il 17 maggio 2024 – Commissione / GEPD
(Causa T-262/24)
Lingua processuale: l'inglese.
Parti
Ricorrente: Commissione europea (rappresentanti: A. Bouchagiar e H. Kranenborg, agenti)
Convenuto: Garante europeo della protezione dei dati
Conclusioni
La ricorrente chiede che il Tribunale voglia:
annullare la decisione dell’8 marzo 2024 del Garante europeo della protezione dei dati relativa all’indagine sull’uso di Microsoft 365 da parte della Commissione europea nel procedimento 2021-0518; e
condannare il convenuto alle spese del procedimento.
Motivi e principali argomenti
A sostegno del ricorso, la ricorrente deduce tredici motivi.
Primo motivo, vertente sull’errata interpretazione e applicazione degli articoli 4, paragrafo 1, lettera b), 6 e 9 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati (in prosieguo: il «regolamento»), nel dedurre un obbligo per la Commissione di definire in modo esaustivo i «tipi» di dati personali da trattare.
Secondo motivo, vertente sull’errata interpretazione e applicazione dell’articolo 29, paragrafo 3, lettera a) del regolamento, nell’affermare che la Commissione non ha determinato quali tipi di dati personali devono essere trattati nell’accordo interistituzionale di licenza del 2021 e per quali finalità.
Terzo motivo, vertente sull’errata interpretazione e applicazione dell’articolo 9 del regolamento, nel considerarlo applicabile al caso di specie e, in ogni caso, nell’applicarlo in modo errato.
Quarto motivo, vertente sull’errata interpretazione e applicazione dell’articolo 29, paragrafo 3, lettera a) del regolamento, nell’affermare che la Commissione ha omesso di fornire un’istruzione documentata sufficientemente chiara.
Quinto motivo, vertente sull’errata interpretazione e applicazione degli articoli 4, paragrafo 2, e 26, paragrafo 1 in combinato disposto con l’articolo 30 del regolamento, nell’affermare che la Commissione ha omesso di garantire che Microsoft trattasse i dati personali in modo da fornire i propri servizi solo su istruzione documentata della Commissione.
Sesto motivo, vertente sull’errata interpretazione e applicazione dell’articolo 29, paragrafo 3, del regolamento in merito al trasferimento di dati personali verso paesi terzi.
Settimo motivo, vertente sull’errata interpretazione e applicazione degli articoli 4, paragrafo 2, 46 e 48 del regolamento, nel constatare carenze nella mappatura dei trasferimenti.
Ottavo motivo, vertente su errori di diritto ed errori di fatto nell’interpretazione e applicazione degli articoli 4, paragrafo 2, 46 e 48 del regolamento.
Nono motivo, vertente sull’errata applicazione degli articoli 4, paragrafo 2, 46 e 48, paragrafi 1 e 3, lettera a), del regolamento nel presupporre che siano avvenuti trasferimenti diretti di dati personali tra la Commissione e la Microsoft Corporation negli Stati Uniti.
Decimo motivo, vertente sull’errata interpretazione e applicazione dell’articolo 47 del regolamento.
Undicesimo motivo, vertente su errori di diritto ed errori di fatto nell’interpretazione e applicazione degli articoli 4, paragrafo 1, lettera f), 29, paragrafo 3, lettera a), 33, paragrafi 1 e 2 e 36 del regolamento.
Dodicesimo motivo, vertente sulla violazione dell’obbligo di motivazione ai sensi dell’articolo 296 TFUE, incompetenza ed errata interpretazione e applicazione dell’articolo 52, paragrafo 3 del regolamento nel raccomandare alla Commissione di prendere in considerazione gli articoli 1, 2 e 5 del protocollo (N. 7) sui privilegi e sulle immunità dell'Unione Europea.
Tredicesimo motivo, vertente sulla violazione del principio di proporzionalità nel disporre le misure correttive contenute nella decisione impugnata.
____________