CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:291

Edizione provvisoria

CONCLUSIONI DELL’AVVOCATO GENERALE

PRIIT PIKAMÄE

presentate l’11 aprile 2024 (1)

Causa C‑768/21

contro

Land Hessen

[domanda di pronuncia pregiudiziale del Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania)]

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 57, paragrafo 1, lettere a) e f) – Compiti dell’autorità di controllo – Articolo 58, paragrafo 2 – Poteri dell’autorità di controllo – Articolo 77, paragrafo 1 – Diritto di proporre reclamo – Violazione di dati personali – Obbligo dell’autorità di controllo di adottare misure»

I. Introduzione

1. La presente domanda di pronuncia pregiudiziale presentata dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) ai sensi dell’articolo 267 TFUE, ha per oggetto l’interpretazione dell’articolo 57, paragrafo 1, lettere a) ed f), dell’articolo 58, paragrafo 2, nonché dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2) (in prosieguo: il «RGPD»).

2. Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, TR e, dall’altro, il Land Hessen (Land dell’Assia, Germania), rappresentato dallo Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissario per la protezione dei dati e la libertà d’informazione del Land dell’Assia; in prosieguo: lo «HBDI»), relativamente al rifiuto di quest’ultimo di intervenire contro la Sparkasse (Cassa di Risparmio) a causa di una violazione dei dati personali. Il giudice del rinvio si chiede se l’autorità di controllo, quando constata un trattamento dei dati che viola i diritti dell’interessato, sia, in tutti i casi, tenuta a intervenire nell’ambito dei poteri ad essa conferiti dall’articolo 58, paragrafo 2, del RGPD o se, in un caso specifico, essa possa – nonostante la violazione – astenersi dall’intervenire.

3. La presente causa solleva una serie di questioni di diritto inedite che invitano a un’attenta riflessione. In sostanza, la Corte dovrà pronunciarsi sul ruolo svolto dai principi di legalità e di opportunità nella prassi amministrativa delle autorità di controllo e, in particolare, nel perseguire il loro compito consistente nel sorvegliare e assicurare l’applicazione del RGPD. Gli orientamenti interpretativi che emergeranno dalla giurisprudenza della Corte influenzeranno tali prassi amministrativa, così contribuendo a un’applicazione coerente di tale regolamento all’interno dell’Unione.

II. Contesto normativo

4. I considerando 129, 141, 148 e 150 del RGPD sono coì formulati:

«(129) Al fine di garantire un monitoraggio e un’applicazione coerenti del presente regolamento in tutta l’Unione, le autorità di controllo dovrebbero avere in ciascuno Stato membro gli stessi compiti e poteri effettivi, fra cui poteri di indagine, poteri correttivi e sanzionatori, e poteri autorizzativi e consultivi, segnatamente in caso di reclamo proposto da persone fisiche, e fatti salvi i poteri delle autorità preposte all’esercizio dell’azione penale ai sensi del diritto degli Stati membri, il potere di intentare un’azione e di agire in sede giudiziale o stragiudiziale in caso di violazione del presente regolamento. Tali poteri dovrebbero includere anche il potere di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento. Gli Stati membri possono precisare altri compiti connessi alla protezione dei dati personali ai sensi del presente regolamento. È opportuno che i poteri delle autorità di controllo siano esercitati nel rispetto di garanzie procedurali adeguate previste dal diritto dell’Unione e degli Stati membri, in modo imparziale ed equo ed entro un termine ragionevole. In particolare ogni misura dovrebbe essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso, rispettare il diritto di ogni persona di essere ascoltata prima che nei suoi confronti sia adottato un provvedimento individuale che le rechi pregiudizio ed evitare costi superflui ed eccessivi disagi per le persone interessate. (...)

(...)

(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della [Carta dei diritti fondamentali dell’Unione europea; in prosieguo: la «Carta»] qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. Successivamente al reclamo si dovrebbe condurre un’indagine, soggetta a controllo giurisdizionale, nella misura in cui ciò sia opportuno nel caso specifico. È opportuno che l’autorità di controllo informi gli interessati dello stato e dell’esito del reclamo entro un termine ragionevole. (...)

(...)

(148) Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento, in aggiunta o in sostituzione di misure appropriate imposte dall’autorità di controllo ai sensi del presente regolamento. In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria. Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l’autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. (...)

(...)

(150) Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall’autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell’infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. (...)»

5. L’articolo 33, paragrafo 1, di tale regolamento dispone quanto segue:

«In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. (...)»

6. L’articolo 34, paragrafo 1, di detto regolamento così prevede:

«Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo».

7. L’articolo 57, paragrafo 1, del medesimo regolamento enuncia quanto segue:

«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:

a) sorveglia e assicura l’applicazione del presente regolamento;

(...)

f) tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;

(…)»

8. Ai sensi dell’articolo 58 del RGPD:

«1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;

(...)

2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;

d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;

f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

(...)

i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e

(...)»

9. L’articolo 77 di tale regolamento dispone quanto segue:

«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».

10. L’articolo 78 di detto regolamento così prevede, ai suoi paragrafi 1 e 2:

«1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77».

11. L’articolo 83 del RGPD così recita, ai suoi paragrafi 1 e 2:

«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione».

III. Fatti all’origine alla controversia, procedimento principale e questione pregiudiziale

12. La Sparkasse è un ente comunale di diritto pubblico che svolge, in particolare, operazioni bancarie e creditizie. Il 15 novembre 2019, essa ha notificato allo HBDI una violazione dei dati personali, ai sensi dell’articolo 33 del RGPD, in quanto una delle sue dipendenti aveva ripetutamente consultato dati personali di TR, uno dei suoi clienti, senza esservi autorizzata. Tuttavia, ritenendo che non si trattasse di una violazione dei dati personali suscettibile di presentare un rischio elevato per TR, la Sparkasse si è astenuta dal notificarla anche a TR, ai sensi dell’articolo 34 di tale regolamento.

13. Dopo essere venuto a conoscenza di tale accaduto, TR si è rivolto allo HBDI, con lettera del 27 luglio 2020, denunciando una violazione dell’articolo 34 del RGPD e contestando il breve periodo di tre mesi per la conservazione del registro degli accessi della Sparkasse nonché gli ampi diritti di consultazione di cui godono tutti i membri del suo personale.

14. Nell’ambito del procedimento dinanzi allo HBDI, la Sparkasse ha dichiarato che il suo responsabile della protezione dei dati aveva ritenuto che non vi fosse alcun rischio per TR, dato che erano state adottate misure disciplinari nei confronti della dipendente in questione e che quest’ultima aveva confermato per iscritto di non aver copiato né conservato i dati di cui era venuta a conoscenza, di non averli trasmessi a terzi e né che lo avrebbe fatto in futuro. Inoltre, la durata di conservazione dei dati di accesso doveva essere oggetto di esame.

15. Con decisione del 3 settembre 2020, lo HBDI ha informato TR che, nel caso di specie, la Sparkasse non aveva violato l’articolo 34 del RGPD. Secondo tale autorità, la decisione che doveva essere presa in forza di tale disposizione sarebbe previsionale. Alla luce del regime di controllo della protezione dei dati, era necessario esaminare se tale decisione fosse palesemente errata. Orbene, la Sparkasse aveva esposto che, ancorché i dati fossero stati consultati, nulla indicava che la dipendente che li aveva consultati li avrebbe trasmessi a terzi o li avrebbe utilizzati a danno di TR. Pertanto, è probabile non vi fosse stato un rischio elevato. Inoltre, la Sparkasse era stata invitata a conservare, da quel momento in poi, il registro degli accessi più a lungo. Secondo lo HBDI, un controllo generalizzato di ogni accesso non era necessario, potendo in linea di principio essere concessi ampi diritti di accesso se vi fosse la certezza che ogni utente era informato sulle condizioni per poter accedere a tali dati.

16. TR ha presentato ricorso contro la decisione del 3 settembre 2020 dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), il giudice del rinvio, chiedendogli di ingiungere allo HBDI di intervenire nei confronti della Sparkasse.

17. A sostegno del suo ricorso, TR fa valere che lo HBDI non ha trattato il suo reclamo come prescritto dal RGPD. Egli afferma di avere il diritto che tale reclamo sia trattato e di essere informato dell’esito. Lo HBDI avrebbe dovuto analizzare le circostanze di fatto in cui si inserisce la valutazione del rischio da parte della Sparkasse, senza limitarsi ai provvedimenti espressamente richiesti, e avrebbe dovuto infliggere sanzioni pecuniarie alla Sparkasse. Secondo TR, in caso di violazione accertata, non entrerebbe in gioco il principio di opportunità, cosicché lo HBDI sarebbe stato libero, non tanto di decidere se agire o meno, ma, casomai, di scegliere le misure che intendeva adottare.

18. Il giudice del rinvio precisa che, nel caso di specie, lo HBDI, in quanto autorità di controllo, ha concluso che, sebbene vi sia stata una violazione delle disposizioni in materia di protezione dei dati, non era necessario un intervento ai sensi dell’articolo 58, paragrafo 2, del RGPD. Orbene, tale approccio sarebbe legittimo solo se un’autorità di controllo non fosse tenuta a intervenire nemmeno in caso di accertamento di una violazione della protezione dei dati. Se si adottasse il punto di vista di TR, secondo cui l’autorità di controllo non ha alcun potere discrezionale, ne deriverebbe l’esistenza di un diritto a un intervento e a misure correttive nell’ipotesi in cui fosse accertata una violazione, e che l’autorità di controllo dovrebbe in tutti i casi adottare un provvedimento. In caso di rigetto, il giudice dovrebbe quindi imporre all’autorità di controllo una misura o una serie di misure.

19. Il giudice del rinvio espone che tale argomentazione, sostenuta anche da una parte della dottrina, si basa sul fatto che i poteri correttivi di cui all’articolo 58, paragrafo 2, del RGPD mirano a ripristinare le condizioni legittime, nel caso in cui il cittadino assista ad una violazione dei suoi diritti a causa del trattamento dei dati. Tale disposizione dovrebbe quindi essere intesa come una norma prescrittiva che fonda un diritto del cittadino a un’azione da parte delle autorità allorché un’impresa o un’autorità abbia trattato illecitamente i dati personali del cittadino o abbia violato in altro modo dei diritti. In caso di accertamento di una violazione della protezione dei dati l’autorità di controllo sarebbe obbligata ad adottare misure correttive, restandole solamente la discrezionalità di scegliere quali tra le misure previste adottare.

20. Tuttavia, il giudice del rinvio nutre dubbi relativamente a tale interpretazione e la ritiene troppo estensiva. Esso tende piuttosto a riconoscere all’autorità di controllo un margine di manovra che gli consenta anche di astenersi da qualsiasi sanzione in caso di violazioni accertate. Infatti, l’articolo 57, paragrafo 1, lettera f), del RGPD disporrebbe solo che l’autorità di controllo investita di un reclamo esamini in maniera adeguata l’oggetto del reclamo ed informi il reclamante dello stato e dell’esito dell’indagine entro un termine ragionevole. Pertanto, l’autorità di controllo avrebbe, a tale titolo, un dovere di scrupoloso esame nel merito e di esaminare ciascun singolo caso, ma non ne deriverebbe che il suo intervento sia dovuto sempre e senza eccezioni in presenza di una violazione accertata.

21. In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:

«Se l’articolo 57, paragrafo 1, lettere a) ed f) e l’articolo 58, paragrafo 2, lettere da a) a j), in combinato disposto con l’articolo 77, paragrafo 1, del [RGPD] debbano essere interpretati nel senso che nel caso in cui l’autorità di controllo rilevi un trattamento dei dati che viola i diritti dell’interessato l’autorità di controllo sia sempre obbligata ad intervenire ai sensi dell’articolo 58, paragrafo 2, [di tale regolamento]».

IV. Procedimento dinanzi alla Corte

22. La decisione di rinvio del 10 dicembre 2021 è pervenuta alla cancelleria della Corte il 14 dicembre 2021.

23. Le parti nel procedimento principale, i governi austriaco, portoghese, rumeno e norvegese nonché la Commissione europea hanno depositato osservazioni scritte nel termine impartito dall’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea.

24. Nel corso della riunione generale del 16 gennaio 2024, la Corte ha deciso di non tenere un’udienza di discussione.

V. Analisi giuridica

A. Osservazioni preliminari

25. Dall’entrata in vigore del RGPD, molti organismi hanno dovuto adottare una serie di misure al fine di conformarsi alla nuova normativa sul trattamento dei dati personali. Quando gli organismi non rispettano tali misure, essi si espongono a sanzioni più o meno severe in funzione della gravità della violazione. Le sanzioni amministrative pecuniarie sono al centro del regime di applicazione introdotto dal RGPD. Esse costituiscono un elemento efficace tra quelli di cui le autorità di controllo dispongono per far rispettare la normativa, parallelamente ad altre misure correttive previste dall’articolo 58, paragrafo 2, del RGPD. Poiché tale regolamento autorizza le autorità di controllo a infliggere sanzioni pecuniarie talvolta molto elevate, sembra opportuno precisare, nell’interesse della certezza del diritto, le circostanze che giustificano il ricorso a tale misura correttiva. Le presenti conclusioni devono pertanto essere intese come un contributo a tale scopo.

26. Le conclusioni nella presente causa riprendono, per così dire, dal punto in cui si fermano le mie conclusioni nelle cause riunite C‑26/22 e C‑64/22 (SCHUFA Holding) (in prosieguo: le «cause SCHUFA») (3). Mentre in tali cause ho esposto quali siano gli obblighi che incombono all’autorità di controllo in sede di esame di un reclamo proposto ai sensi dell’articolo 77 del RGPD, nella presente causa mi occuperò dei suoi obblighi quando viene rilevata una violazione dei dati personali, nonché del suo potere correttivo, in particolare quello di imporre sanzioni amministrative pecuniarie. In seguito, esaminerò se il RGPD preveda l’obbligo per l’autorità di controllo di infliggere una tale sanzione in tutti i casi o quanto meno quando il reclamante lo richieda espressamente. Sulla base di una sintesi della mia analisi, risponderò alla questione sollevata dal giudice del rinvio relativamente alla possibilità per l’autorità di controllo di rinunciare ai suoi poteri correttivi.

B. Sulla ricevibilità del rinvio pregiudiziale

27. Prima di esaminare tutti gli aspetti summenzionati, è necessario affrontare l’argomento di TR relativo all’irricevibilità della domanda di pronuncia pregiudiziale. Nello specifico, TR sostiene che una risposta alla questione sollevata non è necessaria per decidere la controversia di cui al procedimento principale. Il suo ricorso mirerebbe solo a far sì che il giudice del rinvio condanni lo HBDI a pronunciarsi sulle censure sollevate nel reclamo di cui è stato investito, e non a che lo HBDI sia condannato ad avvalersi dei poteri conferiti dall’articolo 58, paragrafo 2, del RGPD.

28. A tal proposito, occorre ricordare che, nell’ambito della cooperazione tra la Corte e i giudici nazionali istituita dall’articolo 267 TFUE, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolarità del caso, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria decisione, sia la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, allorché le questioni sollevate riguardano l’interpretazione del diritto dell’Unione, la Corte, in via di principio, è tenuta a statuire (4).

29. Ne consegue che le questioni relative all’interpretazione del diritto dell’Unione poste dal giudice nazionale nell’ambito del contesto di diritto e di fatto che egli individua sotto la propria responsabilità e del quale non spetta alla Corte verificare l’esattezza, godono di una presunzione di rilevanza. Il rifiuto da parte della Corte di pronunciarsi su una domanda presentata da un giudice nazionale è possibile soltanto se appare in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcuna relazione con la realtà effettiva o con l’oggetto della controversia principale, qualora il problema sia di natura ipotetica oppure qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte (5).

30. Nel caso di specie, il giudice del rinvio, pur esponendo chiaramente le ragioni per le quali si interroga sull’interpretazione delle disposizioni di diritto dell’Unione richiamate nella sua questione pregiudiziale, ha precisato che la risposta ad essa era determinante per la definizione della controversia di cui al procedimento principale, nella misura in cui TR aveva chiesto allo HBDI di intervenire nei confronti della Sparkasse. Come risulta dalla motivazione contenuta nella domanda di pronuncia pregiudiziale, TR aveva fatto valere un «diritto» a chiedere un tale intervento. In particolare, secondo TR, «lo HBDI avrebbe dovuto infliggere sanzioni pecuniarie alla Sparkasse». È in tale contesto che il giudice del rinvio fa riferimento ai calcoli effettuati da TR al fine di determinare l’importo delle sanzioni pecuniarie da infliggere.

31. Tutte le suddette informazioni, fornite dallo stesso giudice del rinvio, contraddicono chiaramente quanto sostenuto da TR in merito all’asserita irricevibilità della domanda di pronuncia pregiudiziale. Alla luce di tali circostanze, non vi sono dubbi, a mio avviso, sul fatto che una risposta alla questione sollevata dal giudice del rinvio sia necessaria ai fini della risoluzione della controversia. Infatti, pare essenziale stabilire la portata dei poteri dell’autorità di controllo nonché dei suoi obblighi nei confronti del reclamante. Di conseguenza, si deve concludere per la ricevibilità della domanda di pronuncia pregiudiziale.

C. Esame della questione pregiudiziale

32. Per quanto riguarda il merito, la questione pregiudiziale mira a stabilire, in sostanza, quali siano gli obblighi dell’autorità di controllo quando viene rilevata una violazione dei dati personali. Una tale ipotesi presuppone generalmente che la violazione in questione sia stata accertata nel contesto di un’indagine avviata a seguito di un reclamo.

33. Dalle dichiarazioni del giudice del rinvio emerge qualche imprecisione circa gli obblighi che il RGPD impone all’autorità di controllo in sede di esame di un reclamo, il che si spiega, a mio avviso, con il fatto che la domanda di pronuncia pregiudiziale è stata presentata prima della pronuncia della sentenza nelle cause SCHUFA (6) , nella quale la Corte ha stabilito una serie di importanti principi che disciplinano la procedura di reclamo. Si può quindi ragionevolmente supporre che il giudice non abbia avuto la possibilità di venire a conoscenza di tale giurisprudenza.

34. Al fine di presentare nel modo più completo possibile il contesto normativo relativo al regime di sorveglianza istituito dal RGPD e di fornire una risposta utile al giudice del rinvio, ritengo indispensabile ricordare, innanzitutto, i principi applicabili alla procedura di reclamo (7) ed esporre, in un secondo tempo, come un’autorità di controllo dovrebbe procedere allorché abbia individuato una violazione dei dati personali (8).

1. Sugli obblighi dell’autorità di controllo in sede di trattamento di un reclamo

35. Come sottolineato dalla Corte nella sentenza SCHUFA, conformemente all’articolo 8, paragrafo 3, della Carta, nonché all’articolo 51, paragrafo 1, e all’articolo 57, paragrafo 1, lettera a), del RGPD, le autorità nazionali di controllo sono incaricate di controllare il rispetto delle norme dell’Unione relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali(9).

36. In particolare, a norma dell’articolo 57, paragrafo 1, lettera f), del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, e di esaminarne l’oggetto nella misura necessaria (10).

37. L’autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza. La Corte ha inoltre rilevato che, ai fini del trattamento dei reclami presentati, l’articolo 58, paragrafo 1, del RGDP conferisce a ciascuna autorità di controllo significativi poteri di indagine (11).

38. In tale contesto, occorre osservare che la Corte ha aderito all’interpretazione da me difesa nelle conclusioni presentate nelle cause SCHUFA, secondo la quale la procedura di reclamo, che non è simile a quella di una petizione, è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte (12).

39. Inoltre, va notato che la Corte ha condiviso anche la mia interpretazione dell’articolo 78, paragrafo 1, del RGPD, ritenendo che una decisione su un reclamo adottata da un’autorità di controllo sia soggetta a un sindacato giurisdizionale completo (13).

2. Sugli obblighi dell’autorità di controllo in sede di individuazione di una violazione dei dati personali

40. Quando l’autorità di controllo constata una violazione dei dati personali in sede di esame di un reclamo, si pone allora la questione di sapere come essa debba procedere. Come esporrò in seguito, una tale constatazione comporta, innanzitutto, un obbligo per l’autorità di controllo di intervenire nell’interesse del principio di legalità. In termini generali, si tratta di definire la o le misure correttive più adeguate per porre rimedio alla violazione (14). Tale interpretazione mi sembra ragionevole, tenuto conto del fatto che l’articolo 57, paragrafo 1, lettera a), del RGPD affida all’autorità il compito di «sorveglia[re] e assicura[re] l’applicazione del presente regolamento». Un’eventuale facoltà dell’autorità di controllo di ignorare semplicemente la violazione accertata sarebbe incompatibile con tale compito (15).

41. Inoltre, i poteri di indagine di cui dispone l’autorità di controllo ai sensi dell’articolo 58, paragrafo 1, del RGPD sarebbero di scarso valore se essa fosse costretta a limitarsi allo svolgimento di un’indagine, nonostante la constatazione di una violazione dei diritti relativi ai dati personali. Infatti, l’applicazione del diritto dell’Unione in materia di protezione dei dati personali è una componente essenziale della nozione di «controllo» di cui all’articolo 16, paragrafo 2, TFUE e all’articolo 8, paragrafo 3, della Carta (16). In tale contesto, non va dimenticato che l’autorità di controllo agisce anche nell’interesse della persona o dell’entità i cui diritti sono stati violati. Al riguardo, occorre rilevare che l’articolo 57, paragrafo 1, lettera f), e l’articolo 77, paragrafo 2, del RGPD impongono alcuni obblighi nei confronti del reclamante, in particolare quello di «informarlo dello stato e dell’esito dell’indagine».

42. Quest’ultima frase implica che l’autorità di controllo debba anche riferire sui provvedimenti adottati in relazione alla violazione dei dati personali che ha individuato. È evidente che la procedura di reclamo non avrebbe alcuna utilità se l’autorità di controllo potesse rimanere passiva di fronte a una situazione giuridica contraria al diritto dell’Unione. È la ragione per cui, al fine di fornire all’autorità di controllo uno strumento efficace per affrontare violazioni del genere, l’articolo 58, paragrafo 2, del RGPD prevede un elenco di misure correttive, graduate in base all’intensità dell’intervento. L’obbligo di intervenire in tutti i casi, a prescindere dalla gravità della violazione, significa che l’autorità di controllo deve ricorrere a tale elenco di misure correttive al fine di ripristinare una situazione conforme al diritto dell’Unione (17).

3. Sui poteri correttivi di cui dispone l’autorità di controllo

43. Ciò detto, occorre precisare che la questione del se l’autorità debba intervenire in caso di violazione dei dati personali deve essere chiaramente distinta dalla questione del come essa debba agire in concreto. Per quanto riguarda tale ultima questione, vi sono diverse indicazioni che consentono di dedurre che l’autorità di controllo dispone di un margine di manovra, che deve nondimeno essere esercitato in conformità con gli obiettivi del RGPD ed entro i limiti da esso stabiliti. Ancorché io abbia già presentato alcuni argomenti a sostegno di una tale interpretazione nelle cause SCHUFA (18), sembra comunque necessario affrontare tale questione in modo approfondito nelle presenti conclusioni.

44. Innanzitutto, occorre rilevare che, ai sensi dell’articolo 58, paragrafo 2, del RGPD, l’autorità di controllo «ha tutti i poteri» correttivi elencati in tale disposizione, il che significa l’esistenza di una facoltà, come giustamente rilevato dal giudice del rinvio. Inoltre, tale connotazione si ritrova in tutte le versioni linguistiche che ho esaminato nell’ambito della mia analisi (19).

45. L’articolo 58, paragrafo 2, del RGPD deve essere interpretato alla luce del considerando 129 di tale regolamento, da cui risulta che «ogni misura [deve] essere appropriata, necessaria e proporzionata al fine di assicurare la conformità al presente regolamento, tenuto conto delle circostanze di ciascun singolo caso» (corsivo mio). In altri termini, il «potere» conferito all’autorità di controllo di ricorrere all’elenco delle misure correttive di cui a tale disposizione è soggetto a una serie di condizioni, in particolare che la misura adottata da tale autorità sia «appropriata». Interpreto tale nozione giuridica indeterminata, che conferisce all’autorità un margine di manovra, nel senso che la misura scelta deve essere in grado, in ragione delle sue proprietà e della sua modalità operativa, di ripristinare una situazione conforme al diritto dell’Unione (20).

46. Tale interpretazione è in linea con la giurisprudenza della Corte, che ha dichiarato che, quando un’autorità di controllo constata che il trattamento dei dati personali ha costituito una violazione del RGPD, «essa è tenuta a reagire in modo appropriato al fine di porre rimedio all’inadeguatezza constatata» (21). Come osserva la Commissione, l’obbligo in capo all’autorità di controllo riguarda quindi innanzitutto il risultato da raggiungere, ossia porre rimedio alla violazione rilevata, adottando la misura «appropriata» a tal fine. Inoltre, va notato che la decisione sulla misura da adottare dipende dalle circostanze concrete di ciascun singolo caso, come risulta chiaramente dal considerando 129 del suddetto RGPD. Di conseguenza, le decisioni prese dall’autorità di controllo nell’ambito della sua prassi amministrativa possono variare significativamente da caso a caso, a seconda della situazione.

47. Nella misura in cui l’articolo 58, paragrafo 2, del RGPD si limita a stabilire che ogni autorità di controllo «ha tutti i poteri» correttivi elencati in tale disposizione, l’autorità di controllo gode di un margine di manovra in quanto è, in linea di principio, libera di scegliere tra tali misure correttive per porre rimedio alla violazione riscontrata. Come sottolineato dalla Corte nella sentenza resa nella causa C‑311/18 (Facebook Ireland e Schrems), «la scelta del mezzo appropriato e necessario spett[a] all’autorità di controllo», che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso di specie (22).

48. Il riconoscimento di un potere discrezionale implica, a mio avviso, anche il potere di non adottare alcuna delle misure correttive di cui all’articolo 58, paragrafo 2, del RGPD, nel caso in cui tale approccio sia giustificato dalle circostanze specifiche del singolo caso. Infatti, dato che il ricorso all’elenco di misure correttive è anche soggetto alla condizione che la misura in questione sia «necessaria» al fine di assicurare la conformità a tale regolamento, non si può escludere che un intervento concreto da parte dell’autorità di controllo non soddisfi tale condizione, ad esempio se il problema è stato nel frattempo risolto o superato e la violazione ha cessato di esistere. È chiaro che in siffatte circostanze l’intervento dell’autorità di controllo non avrebbe senso.

49. Allo stesso modo, come sottolinea giustamente il governo portoghese, il ricorso a misure correttive può non essere più giustificato se il livello di riprovevolezza del comportamento del titolare del trattamento o del responsabile del trattamento è manifestamente basso, o se le circostanze del caso sono di per sé attenuanti, in particolare perché vi è un certo concorso di responsabilità con il reclamante. Orbene, ciò presuppone che l’autorità di controllo abbia la facoltà di fissare una soglia al di sotto della quale un intervento non è considerato «necessario» ai sensi del RGPD.

50. In tale contesto, mi permetto di richiamare l’attenzione sul considerando 141 del RGPD, che fa esplicito riferimento alla possibilità che l’autorità di controllo decida di non agire nei casi in cui ritenga che un’azione non sia «necessaria» per garantire la protezione dei diritti dell’interessato [«se (…) non agisce quando è necessario intervenire»] (corsivo mio). Tale considerando precisa che la decisione dell’autorità di controllo è soggetta a un sindacato giurisdizionale anche qualora il reclamante non dovesse condividere la valutazione dell’autorità di controllo quanto alla «necessità» di agire, oltre alle altre fattispecie ivi elencate, ossia quando sono violati i diritti di cui gode a norma di tale regolamento o quando l’autorità di controllo non dà seguito al suo reclamo, lo respinge in tutto o in parte o lo archivia.

51. Il potere discrezionale riconosciuto all’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, del RGPD implica che è anche possibile porre rimedio alle violazioni minori con altre misure adottate dal titolare del trattamento stesso. Come dimostrano le circostanze del caso in esame, tra le misure correttive da prendere «autonomamente» dalle imprese responsabili può rientrare l’adozione di misure disciplinari nei confronti dei dipendenti che hanno commesso violazioni. In circostanze in cui la responsabilità della violazione è stata riconosciuta e in cui sia stato assicurato che non si verificherà una nuova violazione dei dati, l’imposizione di ulteriori misure correttive da parte dell’autorità di controllo può sembrare superflua.

52. In alcune circostanze, può persino rivelarsi controproducente ricorrere ai poteri correttivi nei confronti di un titolare del trattamento, quando ciò non è né appropriato né necessario. Se l’autorità di controllo fosse obbligata a ricorrere ai poteri correttivi previsti all’articolo 58, paragrafo 2, del RGPD in ogni caso di violazione, ne deriverebbe una riduzione delle risorse disponibili per seguire altri casi e compiti che meritino maggiore attenzione per quanto riguarda la protezione dei dati. Pertanto, ritengo che il ricorso a misure «autonome» adottate dal titolare del trattamento stesso consentirebbe all’autorità di controllo di concentrarsi su casi gravi che meritano la priorità, garantendo al contempo una lotta continua ma decentrata contro le violazioni dei dati personali, ovvero attraverso una delega parziale dei suoi compiti.

53. Nel caso in cui l’autorità di controllo scelga di astenersi dall’applicare misure correttive previste dall’articolo 58, paragrafo 2, del RGPD, favorendo il ricorso a misure «autonome» adottate dal titolare del trattamento, mi sembra tuttavia indispensabile il rispetto di alcuni requisiti giuridici. In primo luogo, l’autorità di controllo dovrebbe dare il proprio consenso esplicito a una tale misura al fine di evitare qualsiasi elusione del regime di sorveglianza introdotto dal RGPD. In secondo luogo, tale consenso dovrebbe essere preceduto da un esame rigoroso della situazione alla luce delle condizioni di cui al considerando 129 del RGPD, in modo da non sollevare l’autorità di controllo dalla sua responsabilità di assicurare il rispetto di tale regolamento. In terzo luogo, l’accordo con l’entità che deve applicare la misura «autonoma» dovrebbe prevedere il diritto dell’autorità di controllo di intervenire se le sue istruzioni non venissero rispettate. Se la Corte dovesse seguire tale interpretazione e considerare, in linea di principio, siffatte misure «autonome» come conformi al RGPD, ritengo che essa dovrebbe anche insistere sulla necessità di rispettare i requisiti di cui sopra nell’interesse della coerenza del sistema di sorveglianza.

54. Poiché l’articolo 58, paragrafo 2, del RGPD riconosce all’autorità di controllo un potere discrezionale per quanto riguarda la scelta della misura correttiva «appropriata» nel singolo caso, è logico escludere qualsiasi diritto del reclamante di esigere l’adozione di una misura determinata. Infatti, sebbene il reclamante abbia alcuni diritti nei confronti dell’autorità di controllo nell’ambito di tale procedura, in particolare il diritto di essere informato dello stato e dell’esito dell’indagine entro un termine ragionevole, questi non includono il diritto di esigere l’adozione di una particolare misura.

55. Un tale diritto non può neppure essere dedotto dal fatto che il reclamante goda del diritto a un ricorso giurisdizionale effettivo contro un’autorità di controllo, ai sensi dell’articolo 78 del RGPD, poiché l’obbligo principale di tale autorità nei confronti dello stesso nell’ambito della procedura di reclamo consiste nel motivare in modo sufficientemente preciso e dettagliato la propria decisione di intervenire o meno nel caso di specie, tenuto conto di quanto constatato nell’ambito dell’indagine condotta dall’autorità.

56. Inoltre, occorre osservare che, ai sensi dell’articolo 78, paragrafo 2, del RGPD, il ricorso giurisdizionale può essere proposto per il motivo che l’autorità di controllo competente non tratta il reclamo o non informa l’interessato entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77 di tale regolamento. Orbene, è giocoforza constatare che nessuno dei motivi citati indica che l’interessato disponga di un qualche diritto soggettivo di richiedere l’adozione di una determinata misura nell’ambito di un ricorso giurisdizionale.

57. Lo stesso vale per la possibilità, prevista al considerando 141 del RGPD, di contestare, mediante ricorso giurisdizionale, la valutazione dell’autorità di controllo quanto alla «necessità» di agire per proteggere i diritti dell’interessato. Anche nel caso in cui la «necessità» di agire in un caso specifico dovesse infine essere accertata dal giudice competente, ciò non significa necessariamente che una determinata misura debba essere adottata dall’autorità di controllo. Quest’ultima sarebbe piuttosto tenuta a esercitare il suo potere discrezionale, se del caso, tenendo conto della valutazione effettuata da tale giudice.

58. Ciò premesso, occorre precisare che è anche ipotizzabile che l’autorità di controllo, in quanto organo amministrativo, si veda costretta ad adottare una determinata misura a causa delle particolari circostanze del caso di specie, in particolare quando sussiste un grave rischio di ledere i diritti fondamentali dell’interessato. Ho fatto specifico riferimento a tale scenario nelle mie conclusioni nelle cause SCHUFA (23). La presente domanda di pronuncia pregiudiziale offre quindi l’opportunità di sviluppare tale tema.

59. Al riguardo, occorre ricordare, innanzitutto, la sentenza resa nella causa C‑311/18 (Facebook Ireland e Schrems), in cui la Corte ha suggerito che una tale fattispecie può effettivamente esistere. Nello specifico, la Corte ha dichiarato che l’autorità di controllo è tenuta, se del caso, ad adottare alcune delle misure elencate all’articolo 58, paragrafo 2, del RGPD, e ciò, in particolare, quando ritiene che la protezione richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi. Pertanto, in presenza di tali condizioni, il potere discrezionale dell’autorità di controllo si limita ad alcune o anche, se del caso, a una delle misure previste da tale disposizione (24).

60. Come giustamente sottolineato dal governo austriaco, può esistere una moltitudine di fattispecie analoghe che richiedano l’adozione di una determinata misura correttiva, come, ad esempio, quella in cui l’autorità di controllo rileva, nell’ambito di un procedimento di reclamo, che esiste un obbligo di cancellazione e che il titolare del trattamento non ha ancora cancellato i dati. Nella situazione descritta, l’autorità di controllo sarà comunque tenuta, ai sensi dell’articolo 58, paragrafo 2, lettera g), del RGPD, a ordinare la cancellazione.

61. Gli esempi menzionati ai paragrafi precedenti dimostrano che non si può escludere che, a seconda delle circostanze specifiche del singolo caso, il ripristino di una situazione conforme al diritto dell’Unione possa essere ottenuto solo mediante l’adozione di una determinata misura correttiva. In particolare, mi sembra che, in circostanze in cui vi sarebbe altrimenti un rischio di una grave violazione dei diritti dell’interessato, il potere discrezionale dell’autorità di controllo potrebbe essere limitato all’adozione dell’unica misura appropriata al fine di tutelare i diritti di tale persona.

62. Qualsiasi altra interpretazione sarebbe, a mio avviso, incompatibile con l’obbligo di garantire il rispetto dei diritti fondamentali della Carta, cui sono tenute le autorità degli Stati membri quando attuano il diritto dell’Unione, ai sensi dell’articolo 51, paragrafo 1, della Carta. Tale obbligo incombe anche alle autorità di controllo, come risulta dall’articolo 58, paragrafo 4, del RGPD (25). In tale ottica, è ragionevole sostenere la tesi che il diritto dell’Unione conferisce all’interessato un diritto soggettivo di esigere che l’autorità adotti la misura in questione. Tuttavia, vorrei sottolineare che, nel caso in esame, non vedo alcuna indicazione che le condizioni per una tale limitazione del potere discrezionale dell’autorità di controllo siano soddisfatte.

63. In sintesi, occorre considerare che un’autorità di controllo investita di un reclamo ai sensi dell’articolo 77 del RGPD è tenuta, quando riscontra una violazione dei diritti dell’interessato, a reagire in maniera appropriata al fine di porre rimedio alle carenze rilevate e persistenti e per garantire la tutela dei diritti dell’interessato. Quando l’autorità di controllo interviene al riguardo, essa è tenuta a scegliere, tra i poteri di cui all’articolo 58, paragrafo 2, di tale regolamento, la misura appropriata, necessaria e proporzionata. Tale potere discrezionale nella scelta dei mezzi è pertanto limitato quando la protezione richiesta può essere garantita solo adottando determinate misure.

4. Sull’assenza di un obbligo per l’autorità di controllo di infliggere sanzioni amministrative pecuniarie in tutti i casi

64. Dopo tale esposizione generale sui poteri correttivi dell’autorità di controllo, occorre esaminare se l’autorità di controllo sia obbligata a imporre sanzioni amministrative pecuniarie in tutti i casi. Sebbene alcuni aspetti di tale questione possano essere chiariti sulla base delle osservazioni precedenti, mi sembrano necessarie alcune delucidazioni supplementari. Infatti, sebbene il legislatore dell’Unione abbia incluso le sanzioni amministrative pecuniarie tra i «poteri correttivi» ai sensi dell’articolo 58, paragrafo 2, del RGPD, resta il fatto che esse presentano alcune caratteristiche particolari rispetto alle altre misure. È la ragione per cui tale parte dell’analisi si concentrerà sulle norme specifiche di cui all’articolo 58, paragrafo 2, lettera i), e all’articolo 83 di tale regolamento.

65. Come ha recentemente ricordato la Corte, la sanzione amministrativa pecuniaria rientra nel sistema sanzionatorio introdotto dal RGPD, introducendo per i titolari del trattamento e i responsabili del trattamento un incentivo a conformarsi a tale regolamento. Per il loro effetto dissuasivo, le sanzioni amministrative pecuniarie contribuiscono a rafforzare la protezione delle persone fisiche con riguardo al trattamento dei dati personali e costituiscono pertanto un elemento chiave per garantire il rispetto dei diritti di tali persone, conformemente alla finalità di detto regolamento di assicurare un livello elevato di protezione di tali persone con riguardo al trattamento dei dati personali (26).

66. L’articolo 83 del RGPD prevede un sistema a due livelli, indicando esplicitamente che alcune violazioni sono più gravi di altre. Il primo livello comprende la violazione degli articoli che disciplinano le responsabilità dei diversi attori (titolare del trattamento, responsabile del trattamento, organismi di certificazione, ecc.) Il secondo livello comprende le violazioni dei diritti individuali tutelati da tale regolamento, come i diritti fondamentali, i principi di base di un trattamento, i diritti degli interessati all’informazione, le norme sul trasferimento, ecc. Ad entrambi i livelli, devono essere effettuate due valutazioni: in primo luogo, per decidere se occorra imporre una sanzione pecuniaria e, in secondo luogo, per decidere l’importo della sanzione amministrativa pecuniaria. In entrambe le valutazioni, le autorità di controllo devono tenere conto di tutti i singoli fattori elencati all’articolo 83, paragrafo 2, di detto regolamento. Tuttavia, le conclusioni tratte nella prima fase possono essere utilizzate nella seconda fase relativa all’importo della sanzione, al fine di evitare di dover effettuare una seconda valutazione sulla base degli stessi criteri (27).

67. Dopo tali chiarimenti preliminari, esaminerò di seguito la questione relativa all’eventuale obbligo di imporre sanzioni amministrative pecuniarie in tutti i casi. A tal proposito, occorre innanzitutto osservare che l’articolo 58, paragrafo 2, lettera i), del RGPD dispone che l’autorità di controllo possa infliggere una sanzione amministrativa pecuniaria «in funzione delle circostanze di ogni singolo caso». Tale disposizione deve essere letta congiuntamente all’articolo 83, paragrafo 2, di tale regolamento, che non solo prevede la stessa restrizione all’applicazione di una siffatta misura correttiva, ma suggerisce anche che l’autorità di controllo possa persino astenersi dal farlo («Al momento di decidere se infliggere una sanzione amministrativa pecuniaria») (corsivo mio) se le circostanze giustificano un tale approccio. Tale formulazione si rinviene – in termini più o meno simili – in altre versioni linguistiche (28). In sintesi, la formulazione stessa dell’articolo 83, paragrafo 2, del RGPD indica che l’imposizione di una sanzione amministrativa pecuniaria non è obbligatoria in tutti i casi.

68. Inoltre, occorre rilevare che tale disposizione impone all’autorità di controllo di tenere conto, in ciascun singolo caso, di una serie di elementi, per decidere se occorra infliggere una sanzione amministrativa pecuniaria. In sostanza, si tratta di circostanze – aggravanti e attenuanti – che influiscono sulla decisione dell’autorità di controllo, quali la natura, la gravità e la durata della violazione, ma anche di circostanze relative al comportamento del titolare del trattamento, come il fatto che la violazione sia stata commessa con dolo o colpa (29).

69. In tale contesto, la seconda e la terza frase del considerando 148 del RGPD mi sembrano rilevanti ai fini dell’interpretazione dell’articolo 83, paragrafo 2, di tale regolamento, nella misura in cui forniscono indicazioni sulle caratteristiche che occorre prendere in considerazione nell’adozione di una decisione. Tale considerando ha come effetto quello di introdurre la nozione di «violazione minore», con importanti conseguenze per la prassi amministrativa dell’autorità di controllo (30). Vi si può leggere, tra l’altro, che «[i]n caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria» (corsivo mio).

70. A mio avviso, tale indicazione permette di dedurre che il legislatore dell’Unione fosse consapevole del fatto che una sanzione amministrativa pecuniaria costituisce una misura correttiva particolarmente severa a cui non si deve ricorrere in tutti i casi, pena la riduzione della sua efficacia, ma solo quando le circostanze di un caso specifico lo richiedano. Infatti, il considerando 148 del RGPD fa riferimento al principio di proporzionalità che le autorità di controllo sono tenute a rispettare quando applicano tale regolamento nel contesto specifico delle sanzioni, comprese le sanzioni amministrative pecuniarie. Come ho già rilevato nella mia analisi, tale principio si riflette nel considerando 129 di detto regolamento, che riguarda i poteri correttivi in generale (31). Il sistema sanzionatorio che il legislatore ha inteso prevedere è quindi flessibile e differenziato (32).

71. Dall’interpretazione di detto articolo 83, paragrafo 2, letto alla luce del considerando 148 del RGPD, deriva che, anche di fronte alla constatazione di una violazione, la valutazione dei criteri stabiliti in tale disposizione può portare l’autorità di controllo a ritenere, ad esempio, che, nelle circostanze specifiche del caso, la violazione non presenti un rischio significativo per i diritti degli interessati, e che non incida sull’essenza dell’obbligo in questione. In casi del genere, la sanzione pecuniaria è talvolta – ma non sempre – sostituita da un ammonimento (33).

72. Tuttavia, occorre precisare che tale considerando 148 non impone all’autorità di controllo di sostituire d’ufficio la sanzione pecuniaria con un ammonimento in caso di una violazione minore, ma le lascia la possibilità di farlo dopo una valutazione concreta di tutte le circostanze del caso di specie. Infine, da detto considerando 148 si evince che l’autorità di controllo può astenersi dall’imporre una sanzione pecuniaria – anche se il ricorso a una tale misura correttiva è a priori necessario sulla base della valutazione da essa effettuata – se tale sanzione costituisce un onere sproporzionato per una persona fisica(34).

73. Pertanto, le caratteristiche specifiche di ciascun caso, di cui all’articolo 83, paragrafo 2, del RGPD, determinano in ultima analisi se occorra imporre una sanzione pecuniaria e, in caso affermativo, l’importo della stessa. Tali indicazioni supportano, nel loro insieme, la mia opinione che tale decisione sia, in ultima analisi, una decisione discrezionale dell’autorità di controllo (35). Quest’ultima ha la responsabilità di esercitare il potere discrezionale conferitole in modo coscienzioso e conforme ai requisiti del RGPD. I limiti a tale potere discrezionale derivano dai principi generali del diritto dell’Unione e dal diritto degli Stati membri, in particolare dal principio della parità di trattamento. Di conseguenza, è necessario sviluppare una prassi amministrativa relativa all’imposizione di sanzioni pecuniarie che tratti casi simili in modo analogo.

74. Vorrei inoltre sottolineare che, nel caso dell’imposizione cumulativa di sanzioni pecuniarie di natura penale, vi è anche un rischio di violare il principio del «ne bis in idem», quale interpretato dalla Corte, come emerge dal considerando 149 del RGPD. Orbene, tale principio costituisce un diritto fondamentale, tutelato dall’articolo 50 della Carta, e può essere limitato solo a condizioni rigorose, stabilite dall’articolo 52 della Carta. In altri termini, impedimenti di natura giuridica possono a loro volta ostare all’imposizione di sanzioni amministrative pecuniarie.

5. Sull’assenza di un obbligo per l’autorità di controllo di imporre sanzioni amministrative pecuniarie quando il reclamante lo richieda espressamente

75. L’ultimo aspetto da esaminare riguarda la questione se l’autorità di controllo sia obbligata a imporre sanzioni amministrative pecuniarie quando il reclamante lo richieda espressamente. Come ho rilevato in sede di esame della ricevibilità della domanda di pronuncia pregiudiziale, dal fascicolo risulta che TR aveva chiesto allo HBDI di agire nei confronti della Sparkasse e di imporle sanzioni amministrative pecuniarie. A sostegno della sua richiesta, TR aveva effettuato calcoli per determinare l’importo delle sanzioni pecuniarie da infliggere (36). Tale richiesta si basa, prima facie, sull’idea che il reclamante abbia un diritto soggettivo nei confronti dell’autorità di controllo a richiedere l’adozione di una determinata misura. Tuttavia, come esporrò di seguito, ritengo che tale posizione non abbia alcun fondamento giuridico.

76. In primo luogo, la mia analisi ha dimostrato che l’autorità di controllo dispone di un potere discrezionale di scegliere la misura appropriata in ciascun singolo caso. A meno che non vi siano particolari circostanze che potrebbero portare a una limitazione di tale potere discrezionale, quali la gravità o l’impatto persistente di una violazione dei dati personali – che non mi sembra sussistano nel caso di specie – l’autorità di controllo mantiene tale potere discrezionale. Alla luce della circostanza che l’adozione di sanzioni amministrative pecuniarie rientra tra i poteri correttivi dell’autorità di controllo, ai sensi dell’articolo 58, paragrafo 2, del RGPD, è logico dedurre che tale potere discrezionale si estenda anche a tali misure. Ne consegue che non vi è alcun obbligo per l’autorità di controllo di agire nell’interesse del reclamante adottando una determinata misura correttiva.

77. In secondo luogo, anche se le circostanze del caso di specie fossero a tal punto diverse da giustificare l’adozione di una particolare misura correttiva, mi sembra che non si possa validamente sostenere che l’imposizione di una sanzione amministrativa pecuniaria sia necessaria. Come il governo austriaco, ritengo che si debba tener conto degli obiettivi perseguiti dalle varie misure correttive elencate all’articolo 58, paragrafo 2, del RGPD e, in particolare, dalla sanzione amministrativa pecuniaria. Più specificamente, mi sembra che la sua natura giuridica osti al riconoscimento di un diritto soggettivo dell’interessato nel senso sopra indicato, dal momento che uno degli obiettivi di tale misura è quello di sanzionare un comportamento considerato contrario al diritto dell’Unione. Ritengo che, in ragione della sua finalità punitiva, almeno in determinate situazioni (37), e tenuto conto dell’elevato grado di severità che essa può presentare, la sanzione amministrativa pecuniaria possa essere di natura penale (38). Orbene, occorre ricordare che il diritto di punire («ius puniendi») appartiene esclusivamente allo Stato e ai suoi organi.

78. In tale contesto, si rileva che l’articolo 83, paragrafo 1, del RGPD richiede, tra l’altro, che le sanzioni pecuniarie siano, in ogni singolo caso, «effettive, proporzionate e dissuasive». La valutazione della questione se la sanzione pecuniaria prevista soddisfi tali condizioni in un determinato caso spetta all’autorità di controllo, che agisce sotto la propria responsabilità. Spetta ad essa decidere se, in un determinato caso, si debba ricorrere allo strumento della sanzione amministrativa pecuniaria. A tal fine, il legislatore dell’Unione le fornisce un contesto normativo dettagliato. Infatti, l’articolo 83 del RGPD stabilisce le condizioni generali per imporre siffatte sanzioni pecuniarie, che sono integrate dalle Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD, elaborate dal CEPD, ai sensi dell’articolo 70, paragrafo 1, lettera k), di tale regolamento. Al riguardo, va notato che nessuna di tali norme e linee guida consente di dedurre che il reclamante, i cui diritti siano stati violati, goda di un particolare status giuridico che gli consenta di chiedere all’autorità di controllo di infliggere una sanzione amministrativa pecuniaria al trasgressore.

79. Invero, alcuni criteri di cui all’articolo 83, paragrafo 2, del RGPD – come l’entità del danno subito – suggeriscono che, quando l’autorità di controllo prende una decisione, essa debba anche tenere conto della situazione dell’interessato. Tuttavia, tali criteri non sono di per sé un’indicazione sufficiente a stabilire l’esistenza di un diritto soggettivo di richiedere l’imposizione di una sanzione pecuniaria. Come risulta da un’interpretazione di tale disposizione, letta alla luce del considerando 75 di tale regolamento, lo scopo di detti criteri è quello di fornire all’autorità di controllo elementi utili, che le consentano di valutare la natura, la gravità e la durata della violazione e di scegliere la misura correttiva appropriata (39). Di conseguenza, a seconda di ciascun singolo caso, l’autorità di controllo può prevedere diverse misure correttive – e non solo una sanzione amministrativa pecuniaria – senza tuttavia che l’interessato possa chiedere l’adozione di una misura specifica. Spetta solo all’autorità di controllo decidere se occorra adottare una misura con l’obiettivo di ripristinare il rispetto delle norme o di sanzionare un comportamento illecito.

80. In terzo luogo, non si può trarre una conclusione diversa neppure dal fatto che il legislatore dell’Unione ha definito il ruolo dell’autorità di controllo nel sistema di sanzioni pecuniarie istituito dal RGPD ispirandosi ai poteri che la Commissione detiene in materia di diritto della concorrenza (40). Al riguardo, si ricorderà che il potere di tale istituzione di infliggere ammende alle imprese che commettono infrazioni, ai sensi degli articoli 101 e 102 TFUE, costituisce uno dei mezzi attribuiti alla medesima per poter svolgere il compito di sorveglianza assegnatole dal diritto dell’Unione (41). Tuttavia, occorre rilevare che la Commissione dispone di un potere discrezionale il cui esercizio è limitato solo dal rispetto dei principi generali del diritto dell’Unione, compresi i principi di proporzionalità e di parità di trattamento (42). Inoltre, occorre osservare che il regolamento (CE) n. 1/2003, concernente l’applicazione delle regole di concorrenza (43), non prevede alcun diritto di chiedere l’adozione di ammende ai sensi del suo articolo 23 per i ricorrenti o i terzi i cui interessi possano essere lesi da una decisione nell’ambito di un procedimento amministrativo avviato dalla Commissione (44), essendo quest’ultima, in virtù dell’articolo 27 di tale regolamento, semplicemente tenuta ad accogliere le eventuali domande di audizione da essi presentate prima dell’adozione di una sanzione.

81. Sulla base degli elementi esposti, ritengo che non sia possibile, allo stato attuale di evoluzione del diritto dell’Unione, concludere che il reclamante, i cui diritti sono stati violati, disponga di un diritto soggettivo a richiedere l’imposizione di una sanzione amministrativa pecuniaria. Ciò non pregiudica la possibilità di proporre il ricorso a una tale misura correttiva, fornendo argomenti e prove a sostegno del suo punto di vista. Tuttavia, la decisione finale rientra nel potere discrezionale dell’autorità di controllo.

D. Sintesi dell’esame della questione pregiudiziale

82. Dall’analisi che precede si evince che l’autorità di controllo ha l’obbligo di intervenire quando constata una violazione dei dati personali in sede di esame di un reclamo. In particolare, essa è tenuta a definire la o le misure correttive più adeguate a porre rimedio alla violazione e far rispettare i diritti dell’interessato. Al riguardo, il RGPD richiede, pur lasciando un certo potere discrezionale all’autorità di controllo, che tali misure siano appropriate, necessarie e proporzionate. A determinate condizioni, l’autorità di controllo può rinunciare alle misure di cui all’articolo 58, paragrafo 2, di tale regolamento a favore di misure «autonome» adottate dal titolare del trattamento stesso. In ogni caso, l’interessato non ha il diritto di richiedere l’adozione di una determinata misura. Tali principi si applicano anche al sistema delle sanzioni amministrative pecuniarie.

VI. Conclusione

83. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere come segue alla questione pregiudiziale sollevata dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania):

Il combinato disposto dell’articolo 57, paragrafo 1, lettere a) e f), dell’articolo 58, paragrafo 2, lettere da a) a j), e dell’articolo 77, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

quando l’autorità di controllo constata un trattamento di dati che lede i diritti dell’interessato, è tenuta a intervenire ai sensi dell’articolo 58, paragrafo 2, del regolamento 2016/679 nella misura necessaria a garantire il pieno rispetto di tale regolamento. Al riguardo, essa è tenuta a scegliere, tenendo conto delle circostanze concrete di ciascun singolo caso, i mezzi appropriati, necessari e proporzionati, in particolare al fine di porre rimedio alla violazione e di garantire il rispetto dei diritti dell’interessato.

1 Lingua originale: il francese.

2 GU 2016, L 119, pag. 1.

3 Conclusioni nelle cause riunite SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:222).

4 V. sentenza del 10 dicembre 2020, J & S Service (C‑620/19, EU:C:2020:1011, punto 31 e giurisprudenza citata).

5 V. sentenza del 14 luglio 2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556, punto 22 e giurisprudenza citata).

6 Sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22; in prosieguo: la «sentenza SCHUFA», EU:C:2023:958).

7 V. paragrafi da 35 a 39 delle presenti conclusioni.

8 V. paragrafi 40 e seguenti delle presenti conclusioni.

9 Sentenza SCHUFA (punto 55).

10 Sentenza SCHUFA (punto 56).

11 Sentenza SCHUFA (punti 56 e 57).

12 Sentenza SCHUFA (punto 58).

13 Sentenza SCHUFA (punto 70).

14 V. «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del [RGPD]» del Gruppo di lavoro Articolo 29 per la protezione dei dati, adottate il 3 ottobre 2017, pag. 5 (in prosieguo: le «Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD»). Tale gruppo di lavoro è stato in seguito sostituito dal Comitato europeo per la protezione dei dati (in prosieguo: il «CEPD»). Tuttavia, le sue Linee guida restano valide.

15 V., in tal senso, Chamberlain, J./Reichel, J., «The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation», Mississippi law journal, 2020, vol. 89(4), pag. 686, che si basano sulle Linee guida summenzionate.

16 Hijmans, H., «Article 57. Tasks», Kuner, C., Bygrave, L. A., Docksey, C., (a cura di), The EU General Data Protection Regulation (GDPR), Oxford, 2020, pag. 934.

17 V., in tal senso, Härting, N., Flisek, C., Thiess, L., «DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers», Computer und Recht, 5/2018, pag. 299.

18 V. mie conclusioni nelle cause SCHUFA, paragrafi 41 e seguenti.

19 V. versioni in lingua spagnola [«dispondrá de (...) los (...) poderes correctivos»], danese [«har (...) korrigerende beføjelser»], tedesca [«verfügt über (...) Abhilfebefugnisse, die es ihr gestatten»], estone [«on (...) parandusvolitused»], inglese [«shall have (...) corrective powers»], francese [«dispose du pouvoir d’adopter toutes les mesures correctrices suivantes »], olandese [«heeft (...) bevoegdheden tot het nemen van corrigerende maatregelen»], polacca [«przysługują (...) uprawnienia naprawcze»], portoghese [«dispõe dos (...) poderes de correção»] e svedese [«ska ha (...) korrigerande befogenheter»].

20 V., in tal senso, Härting, N., Flisek, C., Thiess, L., «DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht», Computer und Recht, 5/2018, pag. 299.

21 V. sentenza SCHUFA (punto 57) e sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 111). Corsivo mio.

22 Sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 112). Corsivo mio.

23 V. paragrafo 42 di tali conclusioni.

24 Sentenza del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, punto 113). La Corte ha dichiarato che, in forza dell’articolo 58, paragrafo 2, lettere f) e j), del RGPD, l’autorità di controllo è tenuta a sospendere o a vietare un trasferimento di dati personali verso un paese terzo qualora ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.

25 V. in tal senso, Georgieva, L., Schmidl, M., «Article 58. Powers», Kuner, C., Bygrave, L. A. Docksey, C., (a cura di), The EU General Data Protection Regulation (GDPR), Oxford, 2020, pag. 945.

26 V. sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punto 78).

27 V. Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD, pag. 9.

28 V. versioni in lingua spagnola («Al decidir la imposición»), danese («Når der træffes afgørelse om, hvorvidt der skal pålægges»), tedesca («Bei der Entscheidung über die Verhängung»), estone («Otsustades igal konkreetsel juhul»), inglese («When deciding whether to impose»), francese («Pour décider s’il y a lieu d’imposer »), olandese [«Bij het besluit over de vraag of (…) wordt opgelegd»], polacca («Decydując, czy nałożyć»), portoghese («Ao decidir sobre a aplicação») e svedese [«Vid beslut om huruvida (...) ska påföras»].

29 V., al riguardo, sentenza del 5 dicembre 2023, Deutsche Wohnen (C‑807/21 EU:C:2023:950, punti 61 e seguenti).

30 Sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punto 76).

31 V. paragrafo 45 delle presenti conclusioni.

32 V. conclusioni dell’avvocato generale Emiliou nella causa Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, paragrafo 78), in cui spiega che, nell’adottare il RGPD, l’intenzione del legislatore dell’Unione non era che ogni violazione delle norme sulla protezione dei dati fosse punibile con una sanzione amministrativa pecuniaria.

33 V. Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD, pag. 9.

34 V. Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD, pag. 9.

35 Holländer, C, Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46^ª ed., Monaco 2017, articolo 83 RGPD, punto 22; Frenzel, E. Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3^ª ed., Monaco di Baviera 2021, articolo 83 RGPD, punti da 8 a 12, in cui si spiega che l’autorità di controllo dispone di un potere discrezionale e, pertanto, non è tenuta a imporre una sanzione amministrativa pecuniaria in tutti i casi.

36 V. paragrafo 30 delle presenti conclusioni.

37 Le Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD (pag. 6), indicano che le sanzioni amministrative pecuniarie sono «misure correttive» il cui obiettivo può essere quello di «ripristinare il rispetto delle norme o di sanzionare un comportamento illecito (o entrambi)». Corsivo mio.

38 Ricordo che tre criteri sono pertinenti per valutare la natura penale delle sanzioni: il primo consiste nella qualificazione giuridica dell’illecito nel diritto nazionale, il secondo nella natura stessa dell’illecito e il terzo riguarda il grado di severità della sanzione in cui l’interessato rischia di incorrere [v. sentenze del 5 giugno 2012, Bonda (C‑489/10, EU:C:2012:319, punto 37), e del 2 febbraio 2021, Consob, (C‑481/19, EU:C:2021:84, punto 42)]; v. anche Corte EDU, 8 giugno 1976, Engel e a. c. Paesi Bassi, EC:ECHR:1976:0608JUD000510071, § 82). Non tutti i criteri devono essere soddisfatti perché una sanzione possa essere considerata penale [v., al riguardo, conclusioni dell’avvocato generale Bot nella causa ThyssenKrupp Nirosta/Commissione (C‑352/09 P, EU:C:2010:635, paragrafo 50 e giurisprudenza citata)].

39 V. Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del RGPD (pag. 12), da cui emerge, da un lato, che l’entità del danno deve essere presa in considerazione «nella scelta della misura correttiva», il che non esclude l’adozione di misure correttive diverse da una sanzione amministrativa pecuniaria. Dall’altro lato, vi si può leggere che «l’imposizione di una sanzione pecuniaria non dipende dalla capacità dell’autorità di controllo di stabilire un nesso causale tra la violazione e il danno materiale». Ne consegue che la decisione di infliggere una sanzione amministrativa pecuniaria dipende da ciascun singolo caso e non solo dall’esistenza di un danno.

40 V. al riguardo, conclusioni dell’avvocato generale Emiliou nella causa Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, paragrafo 84), che richiama l’attenzione sulle analogie tra i due sistemi. V. anche sentenza del 5 dicembre 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punti 55 e seguenti).

41 V., in tal senso, sentenza dell’11 giugno 2009, X (C‑429/07, EU:C:2009:359, punto 35 e giurisprudenza citata).

42 Conclusioni dell’avvocato generale Kokott nelle cause riunite P Alliance One International e Standard Commercial Tobacco/Commissione e Commissione/Alliance One International e a. (C‑628/10 P e C‑14/11, EU:C:2012:11, paragrafo 48 e giurisprudenza citata).

43 Regolamento del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato (GU 2003, L 1, pag. 1).

44 V., in tal senso, Wils, W., «Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission», Concurrence, n. 2-2022, pag. 50.