SENTENZA DELLA CORTE (Grande Sezione)
5 marzo 2024 (*)
«Impugnazione – Cooperazione dei servizi di repressione dei reati – Regolamento (UE) 2016/794 – Articolo 49, paragrafo 3, e articolo 50 – Protezione dei dati personali – Trattamento illecito di dati – Procedimento penale instaurato in Slovacchia contro il ricorrente – Analisi tecnica effettuata dall’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) ai fini dell’istruttoria – Estrazione di dati da telefoni cellulari e da un supporto di memorizzazione USB appartenenti al ricorrente – Divulgazione di tali dati – Danno morale – Ricorso per risarcimento danni – Natura della responsabilità extracontrattuale»
Nella causa C‑755/21 P,
avente ad oggetto l’impugnazione, ai sensi dell’articolo 56 dello Statuto della Corte di giustizia dell’Unione europea, proposta l’8 dicembre 2021,
Marián Kočner, residente in Bratislava (Slovacchia), rappresentato da M. Mandzák e M. Para, advokáti,
ricorrente,
altra parte nel procedimento:
Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol), rappresentata da A. Nunzi, in qualità di agente, assistita da M. Kottmann e G. Ziegenhorn, Rechtsanwälte,
convenuta in primo grado,
sostenuta da:
Repubblica slovacca, rappresentata inizialmente da S. Ondrášiková, poi da E.V. Drugda e S. Ondrášiková, in qualità di agenti,
interveniente nel giudizio di impugnazione,
Regno di Spagna,
interveniente in primo grado,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, A. Arabadjiev, A. Prechal, E. Regan, F. Biltgen, N. Piçarra e O. Spineanu‑Matei (relatrice), presidenti di sezione, S. Rodin, P.G. Xuereb, L.S. Rossi, N. Wahl, I. Ziemele, J. Passer e D. Gratsias, giudici,
avvocato generale: A. Rantos
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 15 giugno 2023,
ha pronunciato la seguente
Sentenza
1 Con la sua impugnazione, il sig. Marián Kočner chiede l’annullamento della sentenza del Tribunale dell’Unione europea del 29 settembre 2021, Kočner/Europol (T‑528/20, EU:T:2021:631; in prosieguo: la «sentenza impugnata»), mediante la quale il Tribunale ha respinto la sua domanda fondata sull’articolo 268 TFUE e intesa ad ottenere il risarcimento di danni che egli avrebbe asseritamente subìto a causa della divulgazione, da parte dell’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol), di dati personali e dell’inserimento, da parte di Europol, del suo nome negli «elenchi dei mafiosi».
Contesto giuridico
2 I considerando 23, 45, 56, 57 e 65 del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU 2016, L 135, pag. 53), recitano:
«(23) Ai fini della prevenzione e della lotta contro le forme di criminalità rientranti nell’ambito dei suoi obiettivi, è necessario che Europol disponga delle informazioni più complete e aggiornate possibili. Europol dovrebbe pertanto poter trattare i dati fornitile da Stati membri, (…).
(…)
(45) Per garantire la sicurezza dei dati personali, Europol e gli Stati membri dovrebbero mettere in atto le necessarie misure tecniche e organizzative.
(…)
(56) È opportuno che Europol sia soggetta alle norme generali sulla responsabilità contrattuale ed extracontrattuale applicabili alle istituzioni, alle agenzie e agli organismi dell’Unione [europea], ad eccezione delle norme sulla responsabilità per trattamento illecito dei dati.
(57) Poiché per la persona interessata può non essere chiaro se il danno subito a seguito di un trattamento illecito [di dati] dipenda dall’azione di Europol o di uno Stato membro, è opportuno che Europol e lo Stato membro in cui si è verificato il fatto generatore del danno rispondano in solido.
(…)
(65) Poiché tratta dati che, includendo informazioni sensibili non classificate e informazioni classificate UE, richiedono una protezione particolare, Europol dovrebbe stabilire norme per la riservatezza e il trattamento di tali informazioni. Le disposizioni sulla protezione delle informazioni classificate UE dovrebbero essere coerenti con la decisione 2013/488/UE del Consiglio[, del 23 settembre 2013, sulle norme di sicurezza per la protezione delle informazioni classificate UE (GU 2013, L 274, pag. 1)]».
3 L’articolo 2 di tale regolamento, intitolato «Definizioni», così dispone:
«Ai fini del presente regolamento si intende per:
(…)
h) “dati personali”: qualsiasi informazione riguardante un interessato;
i) “interessato”: una persona fisica identificata o identificabile, laddove per persona identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on‑line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
(…)
k) “trattamento»: qualsiasi operazione o insieme di operazioni compiute su dati personali o serie di dati personali, con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o la combinazione, la limitazione dell’accesso, la cancellazione o la distruzione;
(…)».
4 L’articolo 3 di detto regolamento, intitolato «Obiettivi», enuncia, al paragrafo 1, quanto segue:
«Europol sostiene e potenzia l’azione delle autorità competenti degli Stati membri e la loro reciproca cooperazione nella prevenzione e nella lotta contro la criminalità grave che interessa due o più Stati membri, il terrorismo e le forme di criminalità che ledono un interesse comune oggetto di una politica dell’Unione (…)».
5 L’articolo 17 del medesimo regolamento, intitolato «Fonti di informazione», dispone, al paragrafo 1, quanto segue:
«Europol tratta solo informazioni fornite da:
a) Stati membri conformemente al loro diritto nazionale e all’articolo 7;
(…)».
6 L’articolo 18 del regolamento 2016/794, intitolato «Finalità delle attività di trattamento delle informazioni», dispone, al paragrafo 1, quanto segue:
«Nella misura in cui è necessario al raggiungimento degli obiettivi di cui all’articolo 3, Europol può trattare informazioni, inclusi dati personali».
7 L’articolo 28 di detto regolamento, intitolato «Principi generali di protezione dei dati», dispone, al paragrafo 1, quanto segue:
«I dati personali devono essere:
a) trattati in modo corretto e lecito;
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità; (…)
(…)
f) trattati in modo tale da garantire un’adeguata sicurezza dei dati personali».
8 L’articolo 32 del citato regolamento, intitolato «Sicurezza del trattamento», prevede, al paragrafo 1, quanto segue:
«Europol mette in atto misure tecniche e organizzative adeguate per proteggere i dati personali dalla distruzione accidentale o illegale, dalla perdita accidentale, da comunicazione, modifica e accesso non autorizzati e da qualsiasi altra forma di trattamento non autorizzato».
9 L’articolo 38 del medesimo regolamento, intitolato «Responsabilità in materia di protezione dei dati», enuncia, ai paragrafi 4, 5 e 7, quanto segue:
«(…)
4. Europol è responsabile del rispetto dei principi di cui all’articolo 28, paragrafo 1, lettere a), b) (…) ed f).
5. La responsabilità della liceità del trasferimento dei dati spetta:
a) allo Stato membro che ha fornito i dati personali a Europol;
b) a Europol, in caso di dati personali forniti dall’Agenzia a Stati membri (…).
(…)
7. Europol è responsabile di tutti i trattamenti di dati che effettua, (…)».
10 L’articolo 49 del regolamento 2016/794, intitolato «Disposizioni generali in materia di responsabilità e diritto al risarcimento», dispone, al paragrafo 3, quanto segue:
«Fatto salvo l’articolo 49, in materia di responsabilità extracontrattuale Europol risarcisce, secondo i principi generali comuni agli ordinamenti degli Stati membri, i danni causati dai suoi servizi o dal suo personale nell’esercizio delle loro funzioni».
11 L’articolo 50 del medesimo regolamento, intitolato «Responsabilità per trattamento non corretto dei dati personali e diritto al risarcimento», recita:
«1. La persona fisica che subisca un danno cagionato da un trattamento illecito dei dati ha il diritto di ottenere il risarcimento del danno da Europol, conformemente all’articolo 340 [TFUE], o dallo Stato membro in cui si è verificato il fatto generatore del danno, conformemente al diritto nazionale. L’azione contro Europol è proposta dalle persone fisiche dinanzi alla Corte di giustizia dell’Unione europea, mentre quella contro lo Stato membro è da esse proposta dinanzi all’autorità giurisdizionale competente di tale Stato membro.
2. Qualsiasi controversia tra Europol e uno Stato membro in merito alla responsabilità finale del risarcimento corrisposto a una persona fisica ai sensi del paragrafo 1 è sottoposta al consiglio di amministrazione, che decide deliberando a maggioranza dei due terzi dei suoi membri, fatto salvo il diritto di impugnare tale decisione ai sensi dell’articolo 263 [TFUE]».
Fatti all’origine della controversia
12 I fatti all’origine della controversia, esposti ai punti da 1 a 16 della sentenza impugnata, possono, ai fini del presente procedimento, essere riassunti come segue.
13 Nell’ambito di un’indagine condotta dalle autorità slovacche a seguito dell’assassinio in Slovacchia, nel corso del mese di febbraio 2018, di un giornalista e della sua fidanzata, Europol, su richiesta della Národná kriminálna agentúra (Agenzia nazionale per la lotta contro la criminalità, Slovacchia; in prosieguo: la «NAKA»), ha fornito il suo sostegno a dette autorità procedendo all’estrazione dei dati memorizzati, da un lato, su due telefoni cellulari che sarebbero appartenuti al ricorrente (in prosieguo: i «telefoni cellulari in questione») e che le sono stati consegnati il 10 ottobre 2018 dalla NAKA, e, dall’altro, su un supporto di memorizzazione USB.
14 Il 21 giugno 2019, Europol ha comunicato alla NAKA le relazioni scientifiche definitive riguardanti le operazioni effettuate sui telefoni cellulari in questione.
15 Secondo Europol, tale comunicazione è stata preceduta, il 23 ottobre 2018, dalla consegna, da parte di tale agenzia, alla NAKA di un disco rigido contenente i dati criptati estratti segnatamente dai suddetti telefoni cellulari e, il 13 febbraio 2019, dalla consegna di questi ultimi, da parte di Europol, alla NAKA.
16 A titolo di prova di tali consegne, Europol ha fornito la copia di un verbale con l’intestazione ufficiale della NAKA, datato 23 ottobre 2018, recante il riferimento PPZ‑203/NKA‑PZ‑ZA‑2018 e firmato dal capo della squadra di indagine, A, nonché la copia di un modulo di ricezione/consegna di prove, datato 13 febbraio 2019, recante il medesimo riferimento, elencante segnatamente i telefoni cellulari in questione e firmato sia dal consegnante che dal destinatario delle prove.
17 Il citato verbale del 23 ottobre 2018 era formulato nei seguenti termini:
«Oggi, 23 ottobre 2018, alle ore 1.30, mi è stato consegnato un disco esterno HDD di colore nero contenente i risultati provvisori dell’indagine di Europol, recuperato con decision[i] dell’8 ottobre 2018 e del 10 ottobre 2018. Tale disco esterno è stato portato personalmente dal dipendente di Europol B, venuto dalla sede di Europol all’Aja [Paesi Bassi].
Il disco in questione contiene dei risultati provvisori sotto forma di acquisizioni e di estrazioni dalla memoria per le prove 1Z (carta SIM soltanto), 2Z, 3Z, 4Z (carta SIM soltanto), 5Z, 6Z, 7Z, 8Z, 1K, 2K.
Il contenuto del suddetto disco HDD è protetto da un codice di accesso che mi è stato comunicato».
18 Riguardo al supporto di memorizzazione USB, la NAKA, in data 17 ottobre 2018, ha sollecitato l’assistenza di Europol al fine, segnatamente, di esaminare i dati in esso contenuti.
19 La relazione di Europol del 13 gennaio 2019 (in prosieguo: la «relazione di Europol»), trasmessa alla NAKA il 14 febbraio 2019, indica, sotto il titolo «Contesto (storico)», che «[il ricorrente] si trova in stato di detenzione per un presunto reato finanziario dal 20 giugno 2018. Il suo nome è, tra l’altro, direttamente legato agli “elenchi cosiddetti mafiosi” e ai “Panama Papers”».
20 Il 1º aprile 2019, le autorità penali slovacche avrebbero fatto uso delle informazioni contenute nei telefoni cellulari in questione nell’ambito di un procedimento penale instaurato a carico del ricorrente. Allo stesso modo, risulterebbe da un verbale dei servizi di polizia slovacchi del 18 giugno 2019 che dette autorità hanno proceduto ad un’analisi completa dei dati contenuti in tali telefoni.
21 Inoltre, diversi articoli di stampa nonché alcuni siti Internet, tra cui quello di una rete internazionale di giornalisti investigativi, avrebbero fatto riferimento ad un volume assai importante di informazioni riguardanti il ricorrente ricavate segnatamente dai telefoni cellulari in questione e avrebbero messo tali informazioni a disposizione del pubblico. In particolare, il 20 e il 29 maggio 2019, vari articoli di stampa avrebbero evocato i dati provenienti da tali telefoni. Allo stesso modo, il 19 maggio 2020, un sito Internet avrebbe pubblicato una selezione di documenti relativi al ricorrente e, in particolare, delle trascrizioni dei messaggi intimi scambiati tra detto interessato e un’amica mediante un servizio di messaggeria criptata e contenuti nei suddetti telefoni. Tale selezione sarebbe stata utilizzata dalla stampa slovacca il 21 maggio 2020.
22 Con lettera del 4 maggio 2020, il ricorrente ha chiesto ad Europol, sulla base dell’articolo 50, paragrafo 1, del regolamento 2016/794, il versamento di un risarcimento dell’ammontare di EUR 100 000 a titolo di ristoro del danno morale che egli ritiene di aver subìto, a duplice titolo, a causa della violazione del diritto al rispetto della sua vita privata e familiare. Tale danno deriverebbe, da un lato, dalla pubblicazione sulla stampa e su Internet di dati personali, e in particolare dalla pubblicazione delle trascrizioni delle sue comunicazioni di natura intima e sessuale. Dall’altro lato, il danno suddetto deriverebbe dall’inserimento del suo nome negli «elenchi dei mafiosi», asseritamente a causa della relazione di Europol, nella misura in cui la stampa vi avrebbe dato risalto a seguito di indiscrezioni trapelate riguardanti il fascicolo del procedimento penale nazionale aperto per l’assassinio del giornalista e della sua fidanzata di cui al punto 13 della presente sentenza, fascicolo che includeva tale relazione.
23 A seguito dell’indagine condotta dalle autorità slovacche, menzionata al punto 13 della presente sentenza, il ricorrente è stato perseguito per complicità in tale assassinio, quale mandante.
24 Il 3 settembre 2020, in primo grado, il giudice slovacco competente ha assolto il ricorrente. Il 15 giugno 2021, il Najvyšší súd Slovenskej republiky (Corte suprema della Repubblica slovacca) ha annullato la sentenza di primo grado e ha rinviato la causa.
Procedimento dinanzi al Tribunale e sentenza impugnata
25 Con atto introduttivo depositato presso la cancelleria del Tribunale il 18 agosto 2020, il ricorrente ha proposto un ricorso fondato sugli articoli 268 e 340 TFUE nonché sull’articolo 50, paragrafo 1, del regolamento 2016/794, al fine di essere risarcito dei danni morali che egli reputa di aver subìto a causa dei comportamenti di Europol. A titolo del primo capo di conclusioni, egli ha chiesto un risarcimento dell’ammontare di EUR 50 000 quale ristoro del danno che egli avrebbe subìto a causa della divulgazione di dati personali provenienti dai telefoni cellulari in questione, dati che, successivamente, sarebbero stati pubblicati su Internet e ripresi dalla stampa slovacca. Questa divulgazione di dati personali avrebbe arrecato pregiudizio al suo onore e alla sua reputazione professionale, al diritto al rispetto della sua vita privata e familiare, nonché al diritto al rispetto delle sue comunicazioni, i quali sono garantiti dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). A titolo del secondo capo di conclusioni, il ricorrente ha chiesto un risarcimento di identico ammontare quale ristoro del danno che egli avrebbe subìto a causa dell’inserimento, da parte di Europol, del suo nome negli «elenchi dei mafiosi».
26 Mediante la sentenza impugnata, anzitutto, il Tribunale, dopo aver esaminato i profili di inammissibilità procedurale sollevati da Europol in riferimento al primo capo di conclusioni del ricorrente, ha dichiarato che tale capo di conclusioni era ricevibile unicamente nella parte in cui, mediante esso, il ricorrente faceva valere un danno morale sorto dalla presunta divulgazione, da parte di Europol, delle trascrizioni delle conversazioni a carattere intimo e sessuale tra lui e la sua amica, ricavate dai telefoni cellulari in questione. A questo proposito, il Tribunale ha considerato che, riguardo all’entità del danno lamentato, sebbene il ricorrente avesse contestato a Europol di aver divulgato un volume importante di dati personali ricavati dai telefoni in questione, soltanto la divulgazione delle trascrizioni suddette era suffragata da prove documentali, contrariamente all’asserita divulgazione di fotografie «di natura estremamente riservata», alcune delle quali ritraenti l’amica in questione svestita.
27 Poi, riguardo al merito, il Tribunale ha respinto questo primo capo di conclusioni così circoscritto. In primo luogo, esso ha affermato, ai punti da 58 a 91 della sentenza impugnata, che il ricorrente non aveva fornito «la prova di un nesso di causalità sufficientemente accertato» tra il danno lamentato e un eventuale comportamento di Europol. In particolare, il ricorrente non avrebbe dimostrato che la divulgazione dei dati contenuti nei telefoni cellulari in questione o delle trascrizioni delle conversazioni intercorse tra il ricorrente e la sua amica fosse imputabile ad Europol.
28 In secondo luogo, ai punti da 92 a 95 di detta sentenza, il Tribunale ha considerato che tale conclusione circa l’assenza di imputabilità ad Europol della divulgazione dei dati in questione non era smentita né dal considerando 57, né dall’articolo 49, paragrafo 3, né dall’articolo 50 del regolamento 2016/794, che il ricorrente faceva valere.
29 A questo proposito, da un lato, il Tribunale ha statuito, ai punti da 93 a 95 della sentenza impugnata, che l’articolo 49, paragrafo 3, e l’articolo 50, paragrafo 1, del regolamento 2016/794 si limitavano a precisare che, in materia di responsabilità extracontrattuale e più particolarmente di responsabilità risultante da operazioni di trattamento illecito di dati, Europol doveva risarcire qualsiasi danno causato dai suoi servizi o dal suo personale nell’esercizio delle loro funzioni, in conformità alle condizioni fissate dall’articolo 340 TFUE. Orbene, secondo il Tribunale, tali condizioni non erano soddisfatte nel caso di specie. Dall’altro lato, il Tribunale ha ricordato che, se certo il considerando 57 del regolamento 2016/794 enuncia, in sostanza, che Europol e lo Stato membro nel quale si è verificato il danno, derivato da un trattamento illecito di dati effettuato da tale agenzia o da tale Stato membro, sono responsabili in solido per tale danno, occorreva nondimeno constatare che questo meccanismo di solidarietà non trova né la propria espressione né il proprio fondamento nelle disposizioni del regolamento sopra citato. Inoltre, esso ha sottolineato che, secondo la giurisprudenza della Corte, il preambolo di un atto dell’Unione non ha valore giuridico vincolante e non può essere invocato per derogare alle disposizioni stesse dell’atto in questione. Pertanto, il Tribunale ha dichiarato che «il considerando 57 del regolamento 2016/794 non può dar vita ad una responsabilità solidale gravante su Europol nel caso di specie».
30 Di conseguenza, il Tribunale ha respinto il primo capo di conclusioni in quanto infondato, ritenendo che non fosse necessario verificare se fossero soddisfatte le altre condizioni per l’insorgere della responsabilità extracontrattuale dell’Unione.
31 Quanto al secondo capo di conclusioni, vertente sul risarcimento del danno asseritamente subìto a causa dell’inserimento, da parte di Europol, del nome del ricorrente negli «elenchi dei mafiosi», il Tribunale ha constatato, ai punti 102 e 105 della sentenza impugnata, che non era provato che tali elenchi fossero stati elaborati e tenuti da un’istituzione dell’Unione, ai sensi dell’articolo 340, secondo comma, TFUE, in particolare da Europol, e che tale conclusione non era rimessa in discussione né dal considerando 57, né dall’articolo 49, paragrafo 3, né dall’articolo 50 del regolamento 2016/794, e ciò per ragioni identiche a quelle enunciate nei punti da 92 a 95 della sentenza impugnata e riassunte al punto 29 della presente sentenza.
32 Il Tribunale ha, inoltre, precisato, ai punti da 106 a 109 della sentenza impugnata, che, anche supponendo che il secondo capo di conclusioni «debba essere inteso nel senso che imputa ad Europol di essere all’origine dell’evoluzione degli epiteti utilizzati dalla stampa slovacca nei confronti del ricorrente, in quanto quest’ultimo sarebbe stato presentato non più come un “discusso imprenditore”, bensì, ormai, come “un mafioso” o come “persona inserita nell’elenco dei mafiosi”», anche tale capo di conclusioni risultava infondato. A questo proposito, il Tribunale ha segnatamente considerato che il ricorrente non aveva fornito alcun elemento di prova atto a dimostrare che le informazioni pubblicate nella stampa slovacca traessero origine dalla relazione di Europol, oppure a provare in termini giuridicamente sufficienti l’esistenza di un nesso di causalità tra la diffusione di tale relazione e il fatto che la stampa slovacca avrebbe modificato, a partire dall’inizio dell’anno 2019, il modo in cui essa qualificava il ricorrente. L’asserita coincidenza temporale sarebbe contraddetta da elementi di prova forniti sia dal ricorrente che da Europol, dai quali risultava che, molto prima dell’inizio dell’anno 2019, la stampa slovacca presentava occasionalmente il ricorrente come un «mafioso», il che avrebbe escluso che tale presentazione potesse trovare la propria origine nella diffusione del fascicolo penale nazionale concernente il ricorrente e contenente la relazione suddetta.
33 Di conseguenza, il Tribunale ha respinto perché infondato il secondo capo di conclusioni, nonché il ricorso nella sua interezza.
Procedimento dinanzi alla Corte e conclusioni delle parti
34 Con atto depositato presso la cancelleria della Corte l’8 dicembre 2021, il ricorrente ha proposto un’impugnazione contro la sentenza impugnata.
35 Con la sua impugnazione, il ricorrente chiede alla Corte:
– di annullare la sentenza impugnata;
– di rinviare la causa al Tribunale, e
– che la decisione sulle spese venga emessa nell’ambito del procedimento principale.
36 Europol chiede alla Corte:
– di respingere l’impugnazione e
– di condannare il ricorrente alle spese.
37 Con decisione del presidente della Corte del 1º aprile 2022, la Repubblica slovacca è stata ammessa ad intervenire a sostegno delle conclusioni di Europol.
Sull’impugnazione
38 A sostegno della sua impugnazione, il ricorrente deduce sei motivi. I motivi dal primo al quarto concernono il rigetto del primo capo di conclusioni, che mira al risarcimento del danno morale che egli avrebbe subìto a causa della divulgazione al pubblico di dati personali provenienti dai telefoni cellulari in questione. Il quinto e il sesto motivo concernono il rigetto del secondo capo di conclusioni, che mira al risarcimento del danno morale che gli avrebbe subìto a causa dell’inserimento del suo nome negli «elenchi dei mafiosi».
Sulla ricevibilità del primo e del quinto motivo
Argomentazione delle parti
39 Europol fa valere che il primo e il quinto motivo, relativi ad un errore di diritto che il Tribunale avrebbe commesso escludendo la responsabilità in solido di Europol e dello Stato membro interessato per quanto riguarda i danni subiti a causa di un trattamento illecito di dati, sono irricevibili in quanto verterebbero su un motivo presentato tardivamente dal ricorrente dinanzi al Tribunale, ossia nella fase della replica. Quest’ultimo avrebbe dovuto rilevare d’ufficio l’irricevibilità di tale motivo.
40 Il ricorrente chiede il rigetto di tale profilo di inammissibilità procedurale sollevato.
Giudizio della Corte
41 Risulta dall’articolo 84, paragrafi 1 e 2, del regolamento di procedura del Tribunale che devono essere dichiarati irricevibili i motivi sollevati per la prima volta in sede di replica e che non sono fondati su elementi di diritto o di fatto emersi durante il procedimento. Tuttavia, la Corte ha già statuito a questo proposito che un motivo o un argomento costituente l’ampliamento di un motivo precedentemente formulato nel ricorso introduttivo deve essere considerato ricevibile (v., in tal senso, sentenza del 26 aprile 2007, Alcon/UAMI, C‑412/05 P, EU:C:2007:252, punti da 38 a 40 e la giurisprudenza ivi citata). Pertanto, un siffatto motivo non può essere dichiarato irricevibile perché tardivo.
42 Nel caso di specie, al punto 58 del suo ricorso introduttivo dinanzi al Tribunale, il ricorrente ha sostenuto che, in virtù della responsabilità solidale prevista dall’articolo 49, paragrafo 3, e dall’articolo 50 del regolamento 2016/794, e tenuto conto del considerando 57 di tale regolamento, Europol doveva essere ritenuta responsabile del danno da lui subìto anche se gli atti pregiudizievoli erano stati commessi insieme alle autorità slovacche. Al punto 24 della replica, il ricorrente ha sviluppato tale argomentazione facendo valere che, in virtù di tali disposizioni e, in particolare, tenuto conto di detto considerando, Europol era comunque responsabile in solido con lo Stato membro interessato del danno causato in conseguenza di un trattamento illecito di dati.
43 Così facendo, il ricorrente ha espressamente dedotto, nel suo ricorso introduttivo, l’esistenza di un meccanismo di responsabilità solidale di Europol fondato sugli articoli 49 e 50 del regolamento 2016/794, letti alla luce del considerando 57 di quest’ultimo, di modo che il Tribunale si è giustamente ritenuto investito, attraverso detto ricorso, della questione relativa a tale responsabilità solidale nel contesto della presente causa. Il punto 24 della replica deve dunque essere considerato come un ampliamento dell’argomentazione svolta nel ricorso introduttivo a questo proposito.
44 Date tali circostanze, giustamente il Tribunale ha proceduto all’analisi delle disposizioni nonché del considerando fatti valere dal ricorrente nell’ambito di tale argomentazione.
45 Di conseguenza, il profilo di inammissibilità procedurale sollevato da Europol deve essere respinto.
Sul primo motivo
Argomentazione delle parti
46 Con il suo primo motivo di impugnazione, il ricorrente contesta al Tribunale di aver commesso un errore di diritto decidendo, ai punti 94 e 95 della sentenza impugnata, di non tener conto del considerando 57 del regolamento 2016/794 al fine di determinare la responsabilità di Europol fondata sull’articolo 50, paragrafo 1, di tale regolamento, a motivo del fatto che il preambolo di un regolamento non ha valore giuridico vincolante. Ne conseguirebbe che il Tribunale ha ingiustamente respinto il primo capo di conclusioni statuendo che tale considerando non può dar vita ad una responsabilità in solido di Europol a causa di un trattamento illecito di dati da parte di tale agenzia o dello Stato membro interessato.
47 A questo proposito, il ricorrente sostiene, in sostanza, che il Tribunale ha considerato che il danno doveva essere sopportato da colui al quale esso è imputabile, vale a dire o da Europol, o dallo Stato membro interessato, mentre invece risulterebbe dall’articolo 49, paragrafo 3, e dall’articolo 50 del regolamento 2016/794, letti alla luce del considerando 57 di quest’ultimo e degli obiettivi da questo perseguiti, che detto regolamento istituisce una responsabilità in solido di Europol e dello Stato membro nel quale si è verificato il danno sorto da un trattamento illecito di dati effettuato da tale agenzia o da tale Stato membro.
48 Europol, sostenuta dalla Repubblica slovacca, fa valere che il primo motivo di impugnazione non è fondato.
49 Detta agenzia sostiene che l’insorgere della responsabilità dell’Unione a titolo dell’articolo 340 TFUE è subordinato al soddisfacimento di un insieme di condizioni, tra cui l’illegittimità del comportamento addebitato all’istituzione dell’Unione di cui trattasi. Essa sostiene altresì che, in assenza di un comportamento illegittimo di una delle sue istituzioni, l’Unione non può veder sorgere la propria responsabilità e che i danni causati dagli Stati membri non possono dar luogo a tale responsabilità. Inoltre, nelle situazioni nelle quali le autorità dell’Unione e quelle degli Stati membri interagiscono, la Corte avrebbe precisato, segnatamente, che, in caso di danno causato congiuntamente dall’Unione e da uno Stato membro, il giudice dell’Unione può statuire sul danno soltanto dopo che il giudice nazionale ha adottato una decisione al riguardo. Una responsabilità in solido dell’Unione e dello Stato membro interessato qualora l’una e l’altro agiscano congiuntamente non sarebbe riconosciuta, in linea di principio, nell’ambito dell’articolo 340, secondo comma, TFUE, bensì necessiterebbe di una menzione esplicita in tal senso da parte del legislatore dell’Unione.
50 Inoltre, l’articolo 50 del regolamento 2016/794 non sarebbe applicabile al trattamento di dati in discussione nel caso di specie, nella misura in cui esso si applicherebbe esclusivamente ai trattamenti di dati effettuati nell’ambito delle operazioni e dei compiti di Europol. Dato che i fatti pregiudizievoli allegati si sarebbero verificati in occasione della conservazione del fascicolo di indagine nazionale, essi non costituirebbero «un trattamento illecito dei dati», ai sensi dell’articolo sopra citato, rientrante nell’ambito di applicazione del regolamento in parola.
51 Peraltro, l’articolo 50, paragrafo 1, del regolamento 2016/794 non prevedrebbe espressamente una responsabilità in solido di Europol e dello Stato membro interessato. Infatti, ai sensi di tale disposizione, Europol sarebbe responsabile soltanto «conformemente all’articolo 340 [TFUE]», il che significherebbe che tale responsabilità può sorgere soltanto qualora siano soddisfatte le tre condizioni risultanti da quest’ultima disposizione. Di conseguenza, anche se tale articolo 50, paragrafo 1, fosse applicabile nel caso di specie, la responsabilità di Europol non potrebbe venire in essere in assenza di qualsiasi comportamento illegittimo da parte sua e di un nesso di causalità tra un tale comportamento e il danno subìto. Per giunta, l’Unione non potrebbe essere tenuta a risarcire i danni risultanti dall’azione di uno Stato membro in virtù del citato articolo 50, paragrafo 1, il quale sarebbe applicabile soltanto ai danni causati congiuntamente dall’Unione e da uno Stato membro, così come sarebbe confermato dal tenore letterale dell’articolo 50, paragrafo 2, di detto regolamento.
52 Secondo Europol, una diversa soluzione non potrebbe essere desunta dal considerando 57 del regolamento 2016/794. La nozione di «responsabilità in solido» menzionata in tale considerando presupporrebbe che più di un’entità sia responsabile di un medesimo danno, e non che Europol possa, in assenza di qualsiasi comportamento illegittimo da parte sua, essere considerata responsabile dell’azione di uno Stato membro. L’interpretazione di detto considerando operata dal ricorrente sarebbe in contrasto con la portata di tale regolamento e con il tenore letterale dell’articolo 50 di quest’ultimo. Orbene, non avendo valore giuridico vincolante, il preambolo di un atto dell’Unione non potrebbe essere invocato per disattendere il chiaro tenore letterale di una disposizione.
Giudizio della Corte
53 Occorre esaminare, in un primo momento, se l’articolo 50, paragrafo 1, del regolamento 2016/794 istituisca un regime di responsabilità solidale di Europol e dello Stato membro interessato in caso di trattamento illecito di dati. In caso affermativo, occorrerà stabilire, in un secondo momento, quali siano i presupposti per l’insorgere di tale responsabilità.
– Natura del regime di responsabilità a titolo dell’articolo 50, paragrafo 1, del regolamento 2016/794
54 Ai fini dell’interpretazione dell’articolo 50, paragrafo 1, del regolamento 2016/794, e in particolare al fine di stabilire la natura del regime di responsabilità sancito da tale disposizione, occorre, in conformità ad una costante giurisprudenza della Corte, tener conto non soltanto dei termini della disposizione stessa, ma anche del contesto nel quale essa si inserisce e degli obiettivi perseguiti mediante la normativa di cui essa fa parte (v., in tal senso, sentenza del 3 giugno 2021, TEAM POWER EUROPE, C‑784/19, EU:C:2021:427, punto 43 e la giurisprudenza ivi citata).
55 Per quanto riguarda i termini dell’articolo 50, paragrafo 1, del regolamento 2016/794, tale disposizione enuncia che la persona che subisca un danno cagionato da un trattamento illecito di dati ha il diritto di ottenere il risarcimento del danno «da Europol (…), o dallo Stato membro in cui si è verificato il fatto generatore del danno (…)». Come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, tali termini non sono univoci riguardo alla natura della responsabilità prevista. Essi possono, infatti, indicare che la persona fisica lesa deve rivolgersi o ad Europol in caso di danno imputabile in tutto o in parte a quest’ultima, oppure allo Stato membro interessato in caso di danno imputabile in tutto o in parte a quest’ultimo. Tuttavia, nella misura in cui dai termini suddetti può discendere anche che la persona lesa può rivolgersi indifferentemente a ciascuna di tali entità – e dunque sia ad Europol, sia allo Stato membro interessato – in vista del risarcimento della totalità del pregiudizio subìto a causa di un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra Europol e tale Stato membro, questi stessi termini non escludono che la disposizione suddetta possa istituire al riguardo una responsabilità solidale delle entità summenzionate.
56 Occorre dunque esaminare se, alla luce dell’obiettivo perseguito dall’articolo 50, paragrafo 1, del regolamento 2016/794 e del suo contesto, tale disposizione crei un regime di responsabilità in solido di Europol e dello Stato membro interessato per quanto riguarda i danni subiti a causa di un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra Europol e tale Stato membro a titolo di detto regolamento.
57 A mente del considerando 57 del regolamento 2016/794, il quale esprime l’obiettivo sopra indicato, «poiché per la persona interessata può non essere chiaro se il danno subito a seguito di un trattamento illecito [di dati] dipenda dall’azione di Europol o di uno Stato membro, è opportuno che Europol e lo Stato membro in cui si è verificato il fatto generatore del danno rispondano in solido».
58 Ne consegue che, prendendo in considerazione la situazione in cui una persona fisica lesa da un trattamento illecito di dati non possa stabilire se il danno subìto sia imputabile all’azione di Europol oppure a quella di uno Stato membro con il quale quest’ultima ha cooperato, il legislatore dell’Unione ha istituito un regime di responsabilità solidale tra Europol e lo Stato membro nel quale l’evento dannoso si è verificato al fine di assicurare una tutela completa a tale persona fisica nell’ipotesi in cui essa si trovi in una situazione siffatta.
59 A questo proposito, occorre ricordare che, pur non avendo un valore giuridico vincolante, un considerando di un atto dell’Unione possiede un importante valore interpretativo, in quanto è suscettibile di precisare il contenuto di una disposizione dell’atto in questione e di chiarire la volontà dell’autore di tale atto (v., in tal senso, sentenza del 13 luglio 2023, Commissione/CK Telecoms UK Investments, C‑376/20 P, EU:C:2023:561, punti 104 e 105 nonché la giurisprudenza ivi citata).
60 Certo, il considerando di un atto dell’Unione non può essere invocato per derogare alle disposizioni stesse dell’atto in questione o per interpretare queste ultime in un senso manifestamente contrario al loro tenore letterale (v., in tal senso, sentenze del 19 giugno 2014, Karen Millen Fashions, C‑345/13, EU:C:2014:2013, punto 31 e la giurisprudenza ivi citata, nonché del 16 febbraio 2022, Ungheria/Parlamento e Consiglio, C‑156/21, EU:C:2022:97, punto 191).
61 Tuttavia, nel caso di specie, il considerando 57 del regolamento 2016/794 non contraddice in alcun modo i termini dell’articolo 50, paragrafo 1, di tale regolamento. Infatti, come si è rilevato al punto 55 della presente sentenza, tali termini si prestano, segnatamente, ad una interpretazione secondo cui la disposizione suddetta istituisce un regime di responsabilità in solido di Europol e dello Stato membro interessato a favore della persona fisica lesa da un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra essi.
62 Risulta da questi elementi di analisi che l’articolo 50, paragrafo 1, del regolamento 2016/794, letto alla luce del considerando 57 di tale regolamento, istituisce, conformemente alla volontà del legislatore dell’Unione di favorire la persona fisica lesa, un regime di responsabilità in solido di Europol e dello Stato membro interessato per quanto riguarda i danni subiti a causa di un trattamento di dati siffatto.
63 Tale interpretazione è corroborata dal contesto nel quale si iscrive detta disposizione, e in particolare dall’articolo 49 e dall’articolo 50, paragrafo 2, del regolamento 2016/794.
64 Infatti, da un lato, l’articolo 49 del regolamento 2016/794 detta, secondo il suo titolo, disposizioni generali in materia di responsabilità e di diritto al risarcimento. Invece, risulta dal titolo dell’articolo 50 di tale regolamento che questo articolo concerne specificamente la responsabilità derivante da un trattamento non corretto di dati e il diritto al risarcimento che ne deriva. Il carattere derogatorio di tale articolo 50 rispetto ai principi generali della responsabilità extracontrattuale dell’Unione è sottolineato, in particolare, dall’articolo 49, paragrafo 3, di detto regolamento, letto alla luce del suo considerando 56.
65 In virtù di quest’ultima disposizione, in materia di responsabilità extracontrattuale, Europol risarcisce, secondo i principi generali comuni agli ordinamenti degli Stati membri, i danni causati dai suoi servizi o dal suo personale nell’esercizio delle loro funzioni. Tale regola viene tuttavia enunciata «[f]atto salvo l’articolo 49» del regolamento 2016/794.
66 A questo proposito, occorre osservare che il riferimento a «l’articolo 49», menzionato nel testo dell’articolo 49, paragrafo 3, di detto regolamento, costituisce un manifesto errore redazionale. Infatti, tale riferimento sarebbe privo di senso se esso rinviasse all’articolo di cui esso fa parte. Pertanto, e considerato che l’articolo 50 del medesimo regolamento istituisce un regime derogatorio rispetto alle regole generali di responsabilità extracontrattuale dell’Unione contemplate dal citato articolo 49, paragrafo 3, quest’ultima disposizione deve essere letta, per quanto riguarda la sua parte iniziale comprendente i termini «fatto salvo», come riferita al suddetto articolo 50.
67 Il considerando 56 del regolamento 2016/794 corrobora l’interpretazione adottata al punto precedente, laddove enuncia che «è opportuno che Europol sia soggetta alle norme generali sulla responsabilità contrattuale ed extracontrattuale applicabili alle istituzioni, alle agenzie e agli organismi dell’Unione, ad eccezione delle norme sulla responsabilità per trattamento illecito dei dati».
68 Ne consegue che l’articolo 50 del regolamento 2016/794 mira ad istituire un regime particolare di responsabilità extracontrattuale per quanto riguarda le operazioni di trattamento illecito di dati, che deroga al regime generale di responsabilità previsto da tale regolamento.
69 Dall’altro lato, risulta dall’articolo 50, paragrafo 2, del regolamento 2016/794 che la chiamata in causa, dinanzi alla Corte di giustizia dell’Unione europea o davanti al giudice nazionale competente, della responsabilità di Europol o dello Stato membro interessato a motivo di un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra essi costituisce soltanto la prima delle due fasi del meccanismo di responsabilità previsto dall’articolo 50 di detto regolamento. Infatti, ai sensi dell’articolo 50, paragrafo 2, di quest’ultimo, la seconda fase di tale meccanismo consiste nell’accertare la «responsabilità finale» di Europol e/o dello Stato membro interessato riguardo al risarcimento corrisposto ad una persona fisica a norma dell’articolo 50, paragrafo 1, del medesimo regolamento, tenendo presente che il consiglio di amministrazione di Europol può essere investito di qualsiasi controversia tra Europol e gli Stati membri in proposito, fatto salvo il diritto di proporre un ricorso contro la sua decisione dinanzi alla Corte di giustizia dell’Unione europea in conformità all’articolo 263 TFUE.
70 Orbene, la possibilità prevista dall’articolo 50, paragrafo 2, del regolamento 2016/794 di far accertare dal consiglio di amministrazione di Europol, nell’ambito di questa seconda fase, la «responsabilità finale» incombente all’entità alla quale il comportamento illegittimo all’origine del danno è imputabile, o addirittura la percentuale di responsabilità incombente a ciascuna delle entità in caso di concorso di comportamenti illegittimi, non avrebbe alcuna ragion d’essere in assenza di responsabilità solidale di queste entità.
71 Alla luce di quanto sopra esposto, occorre considerare che l’articolo 50 del regolamento 2016/794, letto alla luce dell’articolo 49, paragrafo 3, e dei considerando 56 e 57 del medesimo regolamento, istituisce un regime di responsabilità in solido di Europol e dello Stato membro nel quale si è verificato il danno derivato da un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra essi a titolo del suddetto regolamento.
72 Come rilevato dall’avvocato generale al paragrafo 51 delle sue conclusioni, tale regime di responsabilità solidale non è estraneo al diritto dell’Unione in materia di trattamento dei dati. Infatti, l’articolo 82, paragrafo 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1), prevede una responsabilità siffatta in caso di pluralità di responsabili del trattamento di dati.
– Presupposti per l’insorgere della responsabilità a titolo dell’articolo 50, paragrafo 1, del regolamento 2016/794
73 In conformità alle condizioni risultanti dall’articolo 340 TFUE, cui l’articolo 50, paragrafo 1, del regolamento 2016/794 fa riferimento nel caso in cui la persona lesa proponga un ricorso contro Europol, la responsabilità extracontrattuale dell’Unione a titolo del suddetto articolo 340 presuppone il soddisfacimento di un insieme di presupposti, vale a dire l’illegittimità del comportamento contestato all’istituzione, all’organo o all’organismo dell’Unione interessato, l’effettiva esistenza del danno e la sussistenza di un nesso di causalità tra tale comportamento e il danno lamentato (v., in tal senso, sentenza del 16 dicembre 2020, Consiglio/K. Chrysostomides & Co. e a., C‑597/18 P, C‑598/18 P, C‑603/18 P e C‑604/18 P, EU:C:2020:1028, punti 79 e 80 nonché la giurisprudenza ivi citata).
74 Nel contesto specifico del regolamento 2016/794, risulta dai termini dell’articolo 50, paragrafo 1, di tale regolamento che la persona fisica che intende far valere il proprio diritto al risarcimento, sulla base di tale disposizione, nei confronti o di Europol o dello Stato membro che essa chiama in causa, deve dimostrare l’esistenza di un «trattamento illecito [di] dati», quella di un «danno» e quella di un nesso causale tra tale trattamento illecito e tale danno. Pertanto, con riguardo alla prima delle condizioni ricordate al punto precedente, tale persona deve soltanto dimostrare che un trattamento illecito di dati si è verificato nell’ambito di una cooperazione che ha coinvolto Europol e uno Stato membro a titolo del regolamento suddetto.
75 Come si è rilevato ai punti 57 e 58 della presente sentenza, l’obiettivo perseguito dall’articolo 50, paragrafo 1, del regolamento 2016/794 consiste, a termini del considerando 57 di quest’ultimo, nell’ovviare alle difficoltà che la persona fisica interessata può incontrare per stabilire se il danno subìto a causa di un trattamento illecito di dati verificatosi nell’ambito di una tale cooperazione sia la conseguenza di un’azione di Europol oppure dello Stato membro interessato.
76 Orbene, a pena di privare del suo effetto utile il citato articolo 50, paragrafo 1, letto alla luce di tale considerando 57, non si può pretendere da tale persona che essa dimostri a chi – tra Europol e lo Stato membro interessato – tale danno è imputabile, oppure che essa chiami in giudizio queste due entità al fine di ottenere il risarcimento integrale del danno sofferto.
77 A quest’ultimo proposito, occorre rilevare che l’articolo 50, paragrafo 1, del regolamento 2016/794 non prevede che la persona fisica interessata possa chiamare in giudizio dinanzi al medesimo giudice le due entità potenzialmente responsabili del trattamento illecito di dati, dato che detta disposizione obbliga tale persona a proporre un ricorso contro Europol dinanzi alla Corte di giustizia dell’Unione europea oppure un ricorso contro lo Stato membro dinanzi ad un giudice competente di quest’ultimo.
78 Pertanto, anzitutto, sebbene lo Stato membro interessato ed Europol abbiano la possibilità di intervenire, rispettivamente, dinanzi al Tribunale o dinanzi ad un giudice di questo Stato membro, non si può escludere che detta persona sia costretta a promuovere la propria azione in assenza di una di queste entità. Poi, in ogni caso, se le due entità sono presenti nel procedimento dinanzi al giudice adito, risulta dal punto precedente che nell’ambito del procedimento in corso può essere indagata soltanto la responsabilità di una di esse, il che può nuocere all’accertamento dei fatti. Infine, eventuali azioni promosse dalla persona in questione rispettivamente contro Europol dinanzi al Tribunale e contro lo Stato membro interessato dinanzi ai giudici di tale Stato membro rischierebbero di portare ad una medesima constatazione, da parte di queste due giurisdizioni, dell’assenza di responsabilità di ciascuna di dette entità convenute, per non avere tale persona sufficientemente dimostrato l’imputabilità del danno lamentato a queste ultime.
79 Orbene, è proprio per tener conto di tali difficoltà probatorie che il legislatore dell’Unione ha previsto, all’articolo 50 del regolamento 2016/794, per il risarcimento dei danni causati da un trattamento illecito di dati, un meccanismo di responsabilità in due fasi che, da un lato, dispensa la persona fisica interessata dall’onere di dimostrare l’identità dell’entità il cui comportamento è all’origine del danno lamentato e, dall’altro, prevede che, una volta uscita di scena tale persona, la «responsabilità finale» di tale danno debba, eventualmente, essere definitivamente stabilita nell’ambito di un procedimento che vede ormai quali parti in causa soltanto Europol e lo Stato membro interessato dinanzi al consiglio di amministrazione di Europol.
80 Ne consegue che l’articolo 50, paragrafo 1, del regolamento 2016/794, letto alla luce del considerando 57 di tale regolamento, deve essere interpretato nel senso che esso non impone alla persona fisica interessata che abbia dimostrato l’esistenza di un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra Europol e uno Stato membro a titolo del suddetto regolamento l’onere di individuare quale delle entità coinvolte in questa cooperazione abbia adottato il comportamento configurante tale trattamento illecito.
81 Per far sorgere la responsabilità solidale di Europol o dello Stato membro interessato, e al fine di permettere alla persona fisica interessata di ottenere il risarcimento integrale del danno subìto o dinanzi al giudice dell’Unione o dinanzi al giudice nazionale, a titolo dell’articolo 50, paragrafo 1, del regolamento 2016/794, è sufficiente che tale persona dimostri che, in occasione di una cooperazione tra Europol e lo Stato membro interessato a titolo di tale regolamento, è stato effettuato un trattamento illecito di dati che le ha causato un danno, senza che sia necessario che tale persona dimostri in aggiunta a quale delle due entità in questione tale trattamento illecito è imputabile.
82 Ciò premesso, l’entità convenuta conserva la facoltà di dimostrare con tutti i possibili mezzi giuridici che è escluso che il danno lamentato si ponga in relazione con un presunto trattamento illecito di dati verificatosi nell’ambito di una tale cooperazione. Tale ipotesi si avvererebbe ad esempio qualora tale entità dimostrasse che il danno in questione trae origine da fatti antecedenti alla cooperazione instaurata a titolo del regolamento 2016/794.
83 Risulta dall’insieme delle considerazioni sopra esposte che, rigettando, al punto 91 della sentenza impugnata, il primo capo di conclusioni del ricorrente, per il fatto che quest’ultimo non aveva dimostrato l’imputabilità ad Europol della divulgazione di dati personali che lo riguardavano e che il predetto non aveva dunque «fornito la prova di un nesso di causalità sufficientemente accertato tra il danno lamentato nell’ambito di [tale capo di conclusioni] e un eventuale comportamento di Europol», e dichiarando, ai punti da 92 a 95 della sentenza impugnata, che tale rigetto non era rimesso in discussione dal considerando 57, dall’articolo 49, paragrafo 3, e dall’articolo 50 del regolamento 2016/794, il Tribunale ha commesso un errore di diritto laddove ha affermato, erroneamente, che l’articolo 50, paragrafo 1, di tale regolamento, letto alla luce del considerando 57 di quest’ultimo, non dispensava la persona fisica interessata dal dimostrare a quale delle due entità coinvolte fosse imputabile il trattamento illecito di dati.
84 Ne consegue che il primo motivo di impugnazione è fondato.
85 Tale errore di diritto vizia, nella sua interezza, il rigetto, da parte del Tribunale, del primo capo di conclusioni, così come è stato circoscritto al punto 49 della sentenza impugnata, tenendo presente che tale limitazione non è stata contestata nell’ambito dell’impugnazione.
86 Di conseguenza, occorre accogliere il primo motivo di impugnazione e annullare la sentenza impugnata nella parte in cui il Tribunale ha respinto perché infondato questo primo capo di conclusioni così circoscritto.
Sui motivi dal secondo al quarto
87 Il secondo, il terzo e il quarto motivo di impugnazione concernono, al pari del primo motivo, il rigetto del primo capo di conclusioni, il quale riguarda il risarcimento del danno morale che il ricorrente avrebbe subìto a causa della divulgazione al pubblico di dati personali provenienti dai telefoni cellulari in questione.
88 Poiché l’esame del secondo, del terzo e del quarto motivo non può condurre ad un annullamento della sentenza impugnata più esteso di quello risultante dall’accoglimento del primo motivo, non occorre esaminare tali motivi.
Sul sesto motivo
Argomentazione delle parti
89 Il sesto motivo di impugnazione, che occorre esaminare prima del quinto, è suddiviso in due parti e concerne i punti 102 e da 106 a 111 della sentenza impugnata.
90 Con la prima parte del sesto motivo, il ricorrente imputa al Tribunale di aver erroneamente concluso, nei punti suindicati della sentenza impugnata, per l’assenza di un nesso di causalità tra il comportamento illegittimo fatto valere nell’ambito del secondo capo di conclusioni, ossia l’inserimento, da parte di Europol, del suo nome negli «elenchi dei mafiosi» o l’istituzione, da parte di Europol, di un collegamento tra lui e tali elenchi, e il danno che egli asserisce di aver subìto a causa di tale inserimento o dell’istituzione di tale collegamento.
91 A sostegno di questa prima parte del motivo, il ricorrente sostiene che Europol non ha motivato l’istituzione di un siffatto collegamento tra lui e gli «elenchi dei mafiosi» e che, mediante l’istituzione di tale collegamento, detta agenzia ha violato il principio di proporzionalità eccedendo il suo compito consistente soltanto nell’analizzare il supporto di memorizzazione USB in questione.
92 Inoltre, poiché la relazione di Europol faceva parte del fascicolo penale nazionale concernente il ricorrente e alcune informazioni contenute in tale fascicolo sono trapelate, occorrerebbe concludere per l’esistenza di un nesso causale tra il comportamento illegittimo di Europol e il danno subìto dal ricorrente. Il fatto che nessuno degli articoli di stampa in questione menzioni detta relazione, come indicherebbe il Tribunale al punto 107 della sentenza impugnata, non rimetterebbe in discussione l’esistenza del suddetto nesso di causalità.
93 Il ricorrente sostiene, inoltre, che Europol è la sola ad aver stabilito, in detta relazione, tale collegamento tra lui e gli «elenchi dei mafiosi», malgrado che né il diritto nazionale né il diritto dell’Unione prevedano la possibilità di formare e tenere simili elenchi. A questo proposito, non si potrebbe tener conto dei media slovacchi, secondo i quali gli «elenchi dei mafiosi» sarebbero stati tenuti dai servizi di polizia slovacchi. Inoltre, fondandosi, per stabilire il suddetto collegamento, su fonti pubblicamente accessibili, Europol avrebbe violato gli obblighi ad essa incombenti in virtù dell’articolo 29, paragrafo 6, del regolamento 2016/794. Secondo il ricorrente, occorrerebbe dedurre dal fatto che la relazione di Europol non indica che quest’ultima avrebbe trovato nei media l’informazione relativa al collegamento tra il ricorrente e gli «elenchi dei mafiosi», nonché dal fatto che tale informazione figura espressamente in detta relazione, che Europol ha istituito tale collegamento, il quale non risulterebbe dalla «stampa scandalistica».
94 La seconda parte di tale motivo riguarda uno snaturamento degli elementi di prova. Il ricorrente sostiene che la constatazione del Tribunale, contenuta ai punti 108 e 109 della sentenza impugnata, secondo cui risulterebbe dagli articoli di stampa prodotti nell’ambito del procedimento dinanzi al Tribunale che il ricorrente è stato qualificato come «mafioso» già prima della redazione della relazione di Europol, è erronea. Il titolo dell’articolo giornalistico, apparso il 28 febbraio 2012, che presenta il ricorrente come «[i]l mafioso che non esiste», sarebbe la prova che costui non aveva alcun legame con gli «elenchi dei mafiosi».
95 Europol e la Repubblica slovacca concludono per il rigetto del sesto motivo.
Giudizio della Corte
96 Per quanto riguarda la seconda parte del sesto motivo, che occorre esaminare in primo luogo, occorre ricordare che, secondo una giurisprudenza consolidata, uno snaturamento degli elementi di prova si verifica segnatamente qualora il Tribunale abbia manifestamente ecceduto i limiti di una valutazione ragionevole di tali elementi. Lo snaturamento deve risultare in modo manifesto dagli atti del fascicolo, senza che sia necessario procedere ad una nuova valutazione dei fatti e delle prove. A questo proposito, non è sufficiente dimostrare che un documento potrebbe essere oggetto di un’interpretazione differente da quella adottata dal Tribunale (v., in tal senso, sentenza del 16 febbraio 2023, Commissione/Italia e Spagna, C‑635/20 P, EU:C:2023:98, punto 127 nonché la giurisprudenza ivi citata).
97 Nel caso di specie, al punto 108 della sentenza impugnata, il Tribunale ha constatato che «la coincidenza temporale allegata dal ricorrente è contraddetta dagli elementi di prova forniti dal ricorrente stesso nonché da Europol». A questo proposito, esso ha rilevato, nel medesimo punto, che «il ricorrente rinvia[va], nel ricorso introduttivo, ad un articolo di stampa pubblicato il 28 febbraio 2012, che [era] intitolato “Marián Kočner. Il mafioso che non esiste”, e secondo il quale “[s]ugli elenchi cosiddetti ’dei mafiosi’, trapelati dagli ambienti di polizia nel 2005, l’imprenditore Marián Kočner appare nella rubrica ’veicoli a motore presentanti un interesse’ ”», e che «Europol si riferi[va] ad articoli di stampa pubblicati il 21 giugno 2005 e il 9 luglio 2017 che facevano anch’essi riferimento ad eventuali coinvolgimenti mafiosi del ricorrente».
98 Pertanto, risulta che il Tribunale ha fondato la propria conclusione secondo cui il ricorrente era stato qualificato come «mafioso» già prima della redazione della relazione di Europol su un insieme di articoli giornalistici riguardanti il ricorrente, e non soltanto sull’articolo dell’anno 2012 fornito da quest’ultimo e che, a suo avviso, lo distaccava dagli «elenchi dei mafiosi». Procedendo in tal modo, contrariamente a quanto il ricorrente sostiene, il Tribunale non ha ecceduto i limiti di una valutazione ragionevole di tali elementi, considerati nel loro insieme, né ha snaturato il suddetto articolo di stampa invocato dal ricorrente facendone una lettura inconciliabile con il suo tenore letterale.
99 Di conseguenza, la seconda parte del sesto motivo deve essere respinta perché infondata.
100 Per quanto riguarda la prima parte di tale motivo, occorre ricordare che, in materia di responsabilità extracontrattuale dell’Unione, la questione dell’esistenza di un nesso di causalità tra il fatto generatore e il danno – presupposto per l’insorgere di detta responsabilità – costituisce una questione di diritto, che è pertanto soggetta al controllo della Corte (sentenza del 16 luglio 2009, Commissione/Schneider Electric, C‑440/07 P, EU:C:2009:459, punto 192, e ordinanza del 3 settembre 2019, FV/Consiglio, C‑188/19 P, EU:C:2019:690, punto 36). Tuttavia, tale controllo non può consistere, per la Corte, nel rimettere in discussione le constatazioni e le valutazioni in punto di fatto operate dal Tribunale (v., in tal senso, sentenza del 16 luglio 2009, Commissione/Schneider Electric, C‑440/07 P, EU:C:2009:459, punto 193).
101 Orbene, è giocoforza constatare che, mediante questa prima parte del motivo, il ricorrente mira, in realtà, a rimettere in discussione alcune valutazioni in punto di fatto che il Tribunale ha effettuato alla luce delle prove presentate dinanzi ad esso. Si tratta, in primo luogo, della valutazione contenuta al punto 102 della sentenza impugnata, secondo cui il ricorrente non aveva fornito alcun elemento di prova idoneo a dimostrare che gli «elenchi dei mafiosi», nei quali sarebbe stato inserito il suo nome, fossero stati elaborati e tenuti da Europol. In secondo luogo, il ricorrente rimette altresì in discussione la valutazione del Tribunale secondo cui non esiste alcun nesso causale tra il comportamento asseritamente illegittimo di Europol e il danno fatto valere, in quanto il Tribunale ha constatato, da un lato, al punto 107 della sentenza impugnata, che il ricorrente non aveva fornito alcuna prova del fatto che le informazioni pubblicate al riguardo traessero origine dalla relazione di Europol e, dall’altro, ai punti 108 e 109 di tale sentenza, che, ben prima dell’inizio dell’anno 2019, la stampa slovacca già presentava il ricorrente come un mafioso. Orbene, poiché, mediante la presente parte del motivo, il ricorrente non fa valere uno snaturamento degli elementi di prova, le suddette valutazioni esulano dal controllo della Corte.
102 Di conseguenza, la prima parte del sesto motivo di impugnazione è irricevibile.
103 Ne consegue che tale motivo deve essere respinto perché, in parte, irricevibile e, in parte, infondato.
Sul quinto motivo
104 Con il suo quinto motivo di impugnazione, fondato su un’argomentazione identica a quella fatta valere a sostegno del primo motivo, il ricorrente imputa al Tribunale di aver commesso un errore di diritto decidendo, al punto 105 della sentenza impugnata, di non tener conto del considerando 57 del regolamento 2016/794 al fine di stabilire la responsabilità di Europol, per il fatto che il preambolo di un regolamento non ha valore giuridico vincolante. Ne conseguirebbe che il Tribunale ha ingiustamente respinto il secondo capo di conclusioni, inteso ad ottenere il risarcimento del danno che il ricorrente reputa di aver subìto a causa del presunto inserimento, da parte di Europol, del suo nome negli «elenchi dei mafiosi», statuendo che nessun meccanismo di responsabilità solidale trova la propria espressione o il proprio fondamento nelle disposizioni del regolamento summenzionato in caso di trattamento illecito di dati effettuato da Europol o dallo Stato membro interessato.
105 Europol, sostenuta dalla Repubblica slovacca, conclude per il rigetto del quinto motivo di impugnazione facendo valere argomenti che sono identici a quelli menzionati ai punti da 49 a 52 della presente sentenza, in risposta all’argomentazione addotta dal ricorrente nell’ambito del primo motivo.
106 A questo proposito, occorre rilevare che, per respingere il secondo capo di conclusioni, inteso ad ottenere il risarcimento del danno che il ricorrente reputa di aver subìto a causa dell’inserimento, da parte di Europol, del suo nome negli «elenchi dei mafiosi», il Tribunale – che è l’unico competente a constatare e a valutare i fatti e ad esaminare le prove che esso utilizza a sostegno di tali fatti – si è fondato su vari elementi. Più in particolare, esso ha constatato, da un lato, al punto 102 della sentenza impugnata, contro cui è rivolto il sesto motivo di impugnazione che è stato respinto, che il ricorrente non aveva dimostrato che gli «elenchi dei mafiosi» nei quali il suo nome sarebbe stato inserito fossero stati elaborati e tenuti da Europol. Dall’altro lato, ai punti 108 e 109 di tale sentenza, anch’essi presi di mira dal sesto motivo di impugnazione che è stato respinto, il Tribunale ha considerato che la coincidenza temporale fatta valere dal ricorrente tra la relazione di Europol e l’evoluzione degli epiteti utilizzati nel descrivere il ricorrente medesimo dalla stampa slovacca, la quale, dopo la fuga di notizie dal fascicolo penale nazionale riguardante detto interessato, lo avrebbe presentato come un «mafioso» o come «una persona figurante negli elenchi dei mafiosi», era contraddetta dagli elementi di prova forniti sia dal ricorrente che da Europol, tramite riferimento ad articoli di stampa pubblicati nel 2005, nel 2012 e nel 2017. A questo proposito, il Tribunale ha, inoltre, constatato al punto 109 della sentenza impugnata che, «molto prima dell’inizio dell’anno 2019, la stampa slovacca già presentava il ricorrente come “un mafioso”, e non soltanto come un “discusso imprenditore”», ed ha escluso, sulla base di questi elementi di prova, che «tale presentazione del ricorrente [potesse] trovare la propria origine nella fuga di notizie dal fascicolo penale [nazionale riguardante il ricorrente medesimo], [il quale conteneva] la relazione di Europol».
107 Così, risulta, in particolare, dalle constatazioni effettuate ai punti 108 e 109 della sentenza impugnata che, poiché la relazione di Europol è successiva e già solo per questo estranea all’evento dannoso fatto valere dal ricorrente nell’ambito del secondo capo di conclusioni, è escluso che il danno invocato dal ricorrente possa essere collegato ad un eventuale trattamento illecito di dati verificatosi nell’ambito della cooperazione tra Europol e le autorità slovacche. Orbene, come si è rilevato ai punti da 96 a 102 della presente sentenza, il ricorrente non ha dimostrato, nell’ambito del sesto motivo di impugnazione, che il Tribunale abbia commesso, per quanto riguarda dette constatazioni, uno snaturamento degli elementi di prova o un errore di diritto.
108 Di conseguenza, il presupposto, indicato al punto 81 della presente sentenza, che deve essere soddisfatto per l’insorgere della responsabilità solidale di Europol sulla base dell’articolo 50, paragrafo 1, del regolamento 2016/794 risulta, nel caso di specie, insussistente, sicché detta responsabilità non può comunque venire in essere a titolo del secondo capo di conclusioni.
109 Ne consegue che, nonostante l’errore di diritto che il Tribunale ha commesso escludendo, al punto 105 della sentenza impugnata e per le ragioni indicate ai punti da 92 a 95 di tale pronuncia, il principio stesso di una responsabilità in solido di Europol nel contesto di tale regolamento, il quinto motivo deve essere respinto perché inoperante.
110 Poiché il quinto e il sesto motivo di impugnazione sono respinti, ne consegue che l’impugnazione deve essere respinta per quanto riguarda il secondo capo di conclusioni.
Sul ricorso dinanzi al Tribunale
111 A norma dell’articolo 61, primo comma, seconda frase, dello Statuto della Corte di giustizia dell’Unione europea, in caso di annullamento della decisione del Tribunale, la Corte può statuire definitivamente sulla controversia qualora lo stato degli atti lo consenta.
112 Nel caso di specie, alla luce segnatamente del fatto che il ricorso del ricorrente dinanzi al Tribunale è fondato su motivi che hanno costituito l’oggetto di un dibattito in contraddittorio dinanzi a quest’ultimo ed il cui esame non impone l’adozione di alcuna misura supplementare di organizzazione del procedimento o di istruzione del fascicolo, la Corte ritiene che lo stato degli atti consenta una decisione sul ricorso e che occorra statuire definitivamente sul medesimo entro i limiti della controversia che rimane sottoposta alla sua cognizione (v., per analogia, sentenza del 4 marzo 2021, Commissione/Fútbol Club Barcelona, C‑362/19 P, EU:C:2021:169, punto 108 e la giurisprudenza ivi citata).
113 Tenuto conto dell’annullamento parziale della sentenza impugnata, occorre statuire unicamente sul primo capo di conclusioni formulato dinanzi al Tribunale, così come circoscritto al punto 49 di detta sentenza.
114 Il ricorrente reclama, sulla base degli articoli 268 e 340 TFUE nonché dell’articolo 50, paragrafo 1, del regolamento 2016/794, il versamento di una somma di EUR 50 000 quale risarcimento del danno che egli ritiene di aver subìto a causa della divulgazione al pubblico di dati personali provenienti dai telefoni cellulari in questione, che sarebbero stati messi a disposizione del pubblico su Internet e ripresi dalla stampa slovacca. Tale divulgazione di dati personali, a causa della loro pubblicazione, avrebbe leso il suo onore e la sua reputazione professionale nonché violato il diritto al rispetto della sua vita privata e familiare nonché il diritto al rispetto delle sue comunicazioni, che sono garantiti dall’articolo 7 della Carta.
115 A questo proposito, il ricorrente, fondandosi sul considerando 57 del regolamento 2016/794, fa valere che Europol può essere considerata responsabile in solido sulla base dell’articolo 50, paragrafo 1, di tale regolamento se il danno che egli pretende di aver subìto in ragione di un trattamento illecito di dati è la conseguenza dell’azione di Europol o di uno Stato membro.
116 Europol sostiene che non è accertato che essa abbia effettuato un trattamento illecito di dati, in quanto non sarebbe dimostrato che la fuga di dati relativi al ricorrente provenisse da essa. In ogni caso, qualsiasi fuga di informazioni, anche se fosse accertata, non farebbe sorgere automaticamente la sua responsabilità extracontrattuale. Europol fa valere infatti che, secondo la giurisprudenza della Corte, la responsabilità extracontrattuale degli organi dell’Unione può insorgere soltanto a condizione, segnatamente, che vi sia stata una violazione sufficientemente qualificata di una norma giuridica preordinata a conferire diritti ai singoli. Orbene, l’articolo 32, paragrafo 1, del regolamento 2016/794 non prevedrebbe un obbligo assoluto di risultato, bensì imporrebbe ad Europol soltanto di mettere in atto le misure tecniche ed organizzative appropriate per proteggere i dati personali contro qualsiasi forma di trattamento non autorizzato, ciò che essa avrebbe fatto. Inoltre, Europol non avrebbe mai trattato i dati estratti dai telefoni cellulari in questione in forma decrittata e intelligibile.
117 Secondo la giurisprudenza della Corte, l’insorgere della responsabilità extracontrattuale dell’Unione a titolo dell’articolo 340, secondo comma, TFUE è subordinato al soddisfacimento di un insieme di condizioni, ossia l’esistenza di una violazione sufficientemente qualificata di una norma giuridica preordinata a conferire diritti ai singoli, l’effettiva esistenza del danno e la sussistenza di un nesso di causalità tra la violazione dell’obbligo che incombe all’autore dell’atto e il danno subìto dalle persone lese (sentenza del 10 settembre 2019, HTTS/Consiglio, C‑123/18 P, EU:C:2019:694, punto 32 e la giurisprudenza ivi citata).
118 Risulta da tale giurisprudenza che la prima condizione per l’insorgere di detta responsabilità, che si riferisce all’illegittimità del comportamento addebitato all’istituzione, all’organo o all’organismo dell’Unione di cui trattasi, ai sensi della giurisprudenza ricordata al punto 73 della presente sentenza, si compone di due parti, vale a dire che è necessario, da un lato, che si sia verificata una violazione di una norma giuridica dell’Unione preordinata a conferire diritti ai singoli e, dall’altro, che tale violazione sia sufficientemente qualificata (v., in tal senso, sentenza del 10 settembre 2019, HTTS/Consiglio, C‑123/18 P, EU:C:2019:694, punto 36).
119 Per quanto riguarda la prima parte di detta condizione, secondo una costante giurisprudenza, i diritti dei singoli nascono non soltanto quando essi vengono espressamente conferiti da disposizioni del diritto dell’Unione, ma anche in conseguenza di obblighi positivi o negativi che vengano imposti da disposizione siffatte in maniera ben definita tanto ai singoli quanto agli Stati membri o alle istituzioni, agli organi e agli organismi dell’Unione [v., in tal senso, sentenza del 22 dicembre 2022, Ministre de la Transition écologique e Premier ministre (Responsabilità dello Stato per l’inquinamento atmosferico), C‑61/21, EU:C:2022:1015, punto 46]. Tale regola vale anche per eventuali obblighi imposti dal diritto dell’Unione nell’ambito della cooperazione tra un’agenzia dell’Unione, come Europol, e gli Stati membri.
120 La violazione di tali obblighi è suscettibile di pregiudicare i diritti che sono così implicitamente conferiti ai singoli in virtù delle disposizioni del diritto dell’Unione di cui trattasi. La piena efficacia di tali disposizioni e la tutela dei diritti che queste ultime mirano a conferire esigono che i singoli abbiano la possibilità di ottenere un risarcimento [v., in tal senso, sentenza del 22 dicembre 2022, Ministre de la Transition écologique e Premier ministre (Responsabilità dello Stato per l’inquinamento atmosferico), C‑61/21, EU:C:2022:1015, punto 47].
121 Nel caso di specie, occorre constatare che il regolamento 2016/794 impone ad Europol e alle autorità competenti degli Stati membri chiamate a cooperare con tale agenzia dell’Unione a scopi di repressione penale un obbligo di protezione dei singoli contro il trattamento illecito dei dati personali che li riguardano, il quale emerge, in particolare, da una lettura combinata dell’articolo 2, lettere h), i) e k), dell’articolo 28, paragrafo 1, lettere a) ed f), dell’articolo 38, paragrafo 4, e dell’articolo 50, paragrafo 1, di detto regolamento.
122 Infatti, l’articolo 2, lettera k), del regolamento 2016/794 definisce un «trattamento» come qualsiasi operazione o insieme di operazioni compiute su dati personali o serie di dati personali, con o senza l’ausilio di processi automatizzati, come la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione. L’articolo 2, lettere h) ed i), di tale regolamento definisce i «dati personali» come qualsiasi informazione riguardante un «interessato», laddove quest’ultima nozione designa una persona fisica identificata o identificabile. Inoltre, l’articolo 28, paragrafo 1, lettere a) ed f), di detto regolamento esige che i dati personali siano trattati «in modo corretto e lecito» e in maniera tale da garantire un’adeguata sicurezza dei dati stessi. Ai sensi dell’articolo 38, paragrafo 4, del medesimo regolamento, Europol è responsabile del rispetto di tali principi contemplati dal citato articolo 28, paragrafo 1, lettere a) ed f). Infine, l’articolo 50, paragrafo 1, del regolamento 2016/794, nella misura in cui impone alle entità coinvolte nell’ambito della cooperazione prevista da tale regolamento, di risarcire il danno subìto da una persona fisica a causa di un trattamento illecito di dati, comporta l’obbligo implicito, per tali entità, di tutelare qualsiasi persona fisica contro qualsiasi forma illecita di messa a disposizione di dati personali che la riguardano.
123 Risulta da una lettura combinata delle disposizioni contemplate nei due punti precedenti che qualsiasi divulgazione di dati personali, costituenti l’oggetto di un trattamento nell’ambito di una cooperazione tra Europol e le autorità nazionali competenti a titolo del regolamento 2016/794, a soggetti non autorizzati a prenderne conoscenza costituisce la violazione di una norma giuridica dell’Unione preordinata a conferire diritti ai singoli.
124 Nel caso di specie, risulta dalle constatazioni operate dal Tribunale ai punti 1, 2, 44, 84, 85 e 90 della sentenza impugnata, che la Corte fa proprie, che dei dati personali relativi al ricorrente, consistenti in conversazioni a carattere intimo tra lui e la sua amica, che erano contenuti nei telefoni cellulari in questione, consegnati dalle autorità slovacche ad Europol nell’ambito di una cooperazione a titolo del regolamento 2016/794, sono stati estratti da tali telefoni e che questi dati, che erano in possesso, inizialmente di Europol e, a partire dal 23 ottobre 2018, di Europol e di dette autorità, sono stati oggetto di una divulgazione a soggetti non autorizzati a prenderne conoscenza, che è sfociata nella loro pubblicazione sulla stampa slovacca il 20 maggio 2019. Simili circostanze sono rivelatrici di una violazione quale quella contemplata al punto precedente.
125 A questo proposito, occorre respingere l’argomento di Europol secondo cui essa avrebbe rispettato gli obblighi che il regolamento 2016/794 le impone mettendo in atto le misure tecniche e organizzative appropriate per proteggere i dati personali contro qualsiasi forma di trattamento non autorizzato. Infatti, come si è rilevato al punto 80 della presente sentenza, l’articolo 50, paragrafo 1, di detto regolamento istituisce un regime di responsabilità solidale nell’ambito del quale la persona che si reputa vittima di un trattamento illecito di dati è dispensata dal dover dimostrare a quale delle entità coinvolte in una cooperazione a titolo del suddetto regolamento sia imputabile un tale trattamento illecito, fatta salva la possibilità offerta ad Europol di rivolgersi, eventualmente, in un momento successivo, al proprio consiglio di amministrazione, sulla base dell’articolo 50, paragrafo 2, del medesimo regolamento, per veder stabilire su chi ricade la responsabilità finale del risarcimento concesso a tale persona.
126 Quanto alla seconda parte della prima condizione per l’insorgere della responsabilità extracontrattuale dell’Unione, attinente all’esigenza di una violazione sufficientemente qualificata di una norma giuridica dell’Unione preordinata a conferire diritti ai singoli, il criterio decisivo al riguardo per ritenere che una violazione di tale diritto sia sufficientemente qualificata è quello dell’esistenza di una violazione manifesta e grave dei limiti del potere discrezionale che la norma violata comporta (v., in tal senso, sentenze del 4 luglio 2000, Bergaderm e Goupil/Commissione, C‑352/98 P, EU:C:2000:361, punto 43 e la giurisprudenza ivi citata, nonché del 4 aprile 2017, Mediatore/Staelen, C‑337/15 P, EU:C:2017:256, punto 31 e la giurisprudenza ivi citata). Qualora l’autorità interessata disponga soltanto di un margine di discrezionalità considerevolmente ridotto, o addirittura inesistente, la semplice violazione del diritto dell’Unione può essere sufficiente per stabilire l’esistenza di una violazione sufficientemente qualificata di tale diritto (sentenza del 10 luglio 2003, Commissione/Fresh Marine, C‑472/00 P, EU:C:2003:399, punto 26 e la giurisprudenza ivi citata). Costituiscono segnatamente una siffatta violazione eventuali errori inescusabili, gravi negligenze nell’esercizio di un dovere o una manifesta mancanza di diligenza (v., in tal senso, sentenza del 30 gennaio 1992, Finsider e a./Commissione, C‑363/88 e C‑364/88, EU:C:1992:44, punto 22 nonché la giurisprudenza ivi citata).
127 La valutazione da effettuare impone di prendere in considerazione il settore, le condizioni e il contesto nei quali l’obbligo in questione pesa sull’autorità interessata (v., in tal senso, sentenza del 4 aprile 2017, Mediatore/Staelen, C‑337/15 P, EU:C:2017:256, punto 40 e la giurisprudenza ivi citata).
128 Inoltre, occorre tener conto, segnatamente, del grado di chiarezza e di precisione della norma violata, nonché dell’ampiezza del margine di discrezionalità che tale norma lascia all’autorità interessata (v., in tal senso, sentenza del 30 maggio 2017, Safa Nicu Sepahan/Consiglio, C‑45/15 P, EU:C:2017:402, punto 30 e la giurisprudenza ivi citata), della complessità della situazione da disciplinare e delle difficoltà di applicazione o di interpretazione dei testi normativi [sentenza del 19 aprile 2007, Holcim (Deutschland)/Commissione, C‑282/05 P, EU:C:2007:226, punto 50 e la giurisprudenza ivi citata].
129 Nel caso di specie, occorre constatare, da un lato, che le disposizioni menzionate ai punti 122 e 123 della presente sentenza non lasciano alle entità coinvolte in una cooperazione a titolo del regolamento 2016/794 alcun margine di discrezionalità quanto al loro obbligo di proteggere qualsiasi persona fisica contro qualsiasi forma illecita di messa a disposizione di dati personali che la riguardano, mettendo in atto le misure tecniche e organizzative appropriate a questo scopo. Dall’altro lato, tale obbligo si iscrive nel contesto sensibile di una cooperazione tra Europol e gli Stati membri a scopi di repressione penale, nel quale simili dati vengono trattati al di fuori di qualsiasi intervento delle persone interessate, il più delle volte a loro insaputa, e dunque senza che queste ultime possano intervenire in un qualche modo al fine di prevenire un eventuale trattamento illecito dei loro dati.
130 Il carattere intimo dei dati che possono essere contenuti in supporti come quelli in questione nella presente causa rafforza la necessità che vi era di garantire rigorosamente la protezione di tali dati concernenti il ricorrente, e ciò a maggior ragione per il fatto che tali dati non presentavano alcun collegamento con i fatti per i quali il ricorrente era perseguito in sede penale.
131 Date tali circostanze, occorre considerare, alla luce delle constatazioni del Tribunale ricordate al punto 124 della presente sentenza, che il trattamento illecito dei dati suddetti verificatosi nell’ambito della cooperazione tra Europol e le autorità slovacche a titolo del regolamento 2016/794 ha costituito una violazione sufficientemente qualificata di una norma giuridica dell’Unione preordinata a conferire diritti ai singoli.
132 Occorre aggiungere che l’argomento di Europol secondo cui quest’ultima non avrebbe mai disposto dei dati estratti dai telefoni cellulari in questione in forma decrittata e intellegibile non è idoneo a rimettere in discussione l’esistenza stessa di una tale violazione in ragione del trattamento illecito di dati verificatosi nell’ambito di detta cooperazione. Orbene, come risulta dal punto 80 della presente sentenza, l’articolo 50, paragrafo 1, del regolamento 2016/794 stabilisce un regime di responsabilità solidale nell’ambito del quale la vittima di un trattamento siffatto è dispensata dal dover dimostrare a quale delle entità coinvolte in tale cooperazione tale trattamento sia imputabile. Ne consegue che tale argomento non può, in ogni caso, trovare accoglimento nel contesto della presente causa, fatta salva la possibilità per Europol di invocarlo, eventualmente, nell’ambito di un procedimento instaurato dinanzi al suo consiglio di amministrazione a titolo dell’articolo 50, paragrafo 2, del regolamento summenzionato.
133 Per quanto riguarda la seconda e la terza condizione necessarie per l’insorgere della responsabilità extracontrattuale dell’Unione di cui all’articolo 340, secondo comma, TFUE, relative alla prova del danno subìto e del nesso causale tra tale danno e la violazione sufficientemente qualificata di una norma giuridica dell’Unione, costituita nel caso di specie dal trattamento illecito di dati, il ricorrente sostiene che la divulgazione dei dati personali che lo riguardano contenuti nei telefoni cellulari in questione ha, in ragione della pubblicazione di questi dati, non soltanto pregiudicato il diritto al rispetto della sua vita privata, ma anche il diritto al rispetto della sua vita familiare. Tale divulgazione avrebbe avuto un impatto negativo sui rapporti tra il ricorrente e le sue figlie, che sarebbero state profondamente colpite dalla pubblicazione dei dati suddetti, che fanno segnatamente riferimento alla relazione intima del loro padre con la sua amica, esposta pubblicamente, nonché alle loro conversazioni intime. Ne sarebbe derivato un sentimento di frustrazione e di ingiustizia nonché una lesione all’onore e alla reputazione professionale del ricorrente. La suddetta divulgazione avrebbe altresì leso il diritto al rispetto delle sue comunicazioni garantito dall’articolo 7 della Carta.
134 Europol non ha formulato alcun argomento specifico in merito all’effettiva esistenza del danno morale fatto valere dal ricorrente e all’esistenza di un nesso di causalità tra il trattamento illecito di dati e tale danno. Essa si è limitata a sostenere che, in assenza di prova di un evento dannoso o della sua imputabilità ad Europol, il primo capo di conclusioni doveva essere respinto.
135 Per quanto riguarda i presupposti relativi all’effettiva esistenza del danno e al nesso di causalità, la responsabilità extracontrattuale dell’Unione può insorgere soltanto se la parte ricorrente ha effettivamente subìto un pregiudizio reale e certo e se il pregiudizio deriva in maniera sufficientemente diretta dall’asserita violazione di una norma giuridica dell’Unione. Incombe alla parte ricorrente fornire elementi di prova al giudice dell’Unione al fine di dimostrare l’esistenza e l’entità del danno che essa fa valere, nonché l’esistenza di un nesso sufficientemente diretto di causa ad effetto tra tale violazione e il danno lamentato (v., in tal senso, sentenza del 30 maggio 2017, Safa Nicu Sepahan/Consiglio, C‑45/15 P, EU:C:2017:402, punti 61 e 62 nonché la giurisprudenza ivi citata).
136 Nel caso di specie, come si è rilevato al punto 124 della presente sentenza, il trattamento illecito di dati rappresentato dalla divulgazione a persone non autorizzate di dati relativi a conversazioni intime tra il ricorrente e la sua amica ha portato a rendere tali dati accessibili al pubblico, così come attesta la loro pubblicazione sulla stampa slovacca. Alla luce del contenuto di tali conversazioni, occorre considerare che tale trattamento illecito di dati ha violato il diritto del ricorrente al rispetto della sua vita privata e familiare nonché delle sue comunicazioni, quale garantito dall’articolo 7 della Carta, ed ha arrecato pregiudizio al suo onore e alla sua reputazione, ciò che gli ha causato un danno morale.
137 A titolo di risarcimento del danno fatto valere nell’ambito del primo capo di conclusioni, il ricorrente reclama il versamento di una somma di EUR 50 000.
138 Tuttavia, il Tribunale ha ritenuto che l’esame del primo capo di conclusioni dovesse essere limitato al pregiudizio lamentato risultante dalla sola divulgazione delle trascrizioni delle conversazioni a carattere intimo e sessuale tra il ricorrente e la sua amica, non avendo il ricorrente fornito alcun elemento idoneo a dimostrare direttamente o indirettamente l’effettiva avvenuta divulgazione delle fotografie menzionate al punto 26 della presente sentenza.
139 Poiché tale rigetto parziale del primo capo di conclusioni non è stato contestato in sede di impugnazione, occorre escludere dal risarcimento da concedere al ricorrente tale parte del danno fatto valere.
140 Alla luce di tali circostanze, occorre decidere che il danno morale sofferto dal ricorrente a causa della divulgazione delle trascrizioni delle conversazioni a carattere intimo intrattenute con la sua amica sarà adeguatamente risarcito mediante il versamento, a suo favore, di un indennizzo fissato, in via equitativa, a EUR 2 000.
Sulle spese
141 Ai sensi dell’articolo 184, paragrafo 2, del regolamento di procedura della Corte, quando l’impugnazione è respinta o quando l’impugnazione è accolta e la Corte statuisce definitivamente sulla controversia, la Corte statuisce sulle spese.
142 In forza dell’articolo 138, paragrafo 1, di detto regolamento, applicabile al procedimento di impugnazione in virtù dell’articolo 184, paragrafo 1, di quest’ultimo, la parte soccombente è condannata alle spese se ne è stata fatta domanda. In conformità al citato articolo 138, paragrafo 3, prima frase, se le parti soccombono rispettivamente su uno o più capi, ciascuna parte sopporta le proprie spese.
143 Nel caso di specie, il ricorrente chiede che si statuisca sulle spese «nell’ambito del procedimento principale». A questo proposito, occorre rilevare che, se, nelle sue conclusioni in primo grado, egli ha chiesto che Europol venisse condannata alle spese, nella sua impugnazione egli non ha concluso in merito alle spese afferenti al procedimento di impugnazione.
144 Europol ha concluso per la condanna del ricorrente alle spese relative sia al procedimento di primo grado che al procedimento di impugnazione.
145 Date tali circostanze, poiché ciascuna delle parti è rimasta parzialmente soccombente nelle proprie conclusioni formulate in sede di impugnazione nonché, parzialmente, nelle proprie conclusioni formulate in primo grado, ciascuna di esse sopporterà le proprie spese afferenti tanto al procedimento di primo grado quanto al procedimento di impugnazione.
146 A norma dell’articolo 140, paragrafo 1, del regolamento di procedura, applicabile al procedimento di impugnazione in virtù dell’articolo 184, paragrafo 1, del medesimo regolamento, gli Stati membri e le istituzioni intervenuti nella causa sopportano ciascuno le proprie spese. La Repubblica slovacca, parte interveniente dinanzi alla Corte, dovrà dunque sopportare le proprie spese.
Per questi motivi, la Corte (Grande Sezione) dichiara e statuisce:
1) La sentenza del Tribunale dell’Unione europea del 29 settembre 2021, Kočner/Europol (T‑528/20, EU:T:2021:631), è annullata nella parte in cui respinge il primo capo di conclusioni come circoscritto in tale sentenza.
2) L’impugnazione è respinta per il resto.
3) L’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) è condannata a pagare un risarcimento di un ammontare di EUR 2 000 al sig. Marián Kočner.
4) Il ricorso è respinto per il resto.
5) Il sig. Marián Kočner ed Europol sopporteranno ciascuno le proprie spese afferenti sia al procedimento di primo grado che al procedimento di impugnazione.
6) La Repubblica slovacca sopporterà le proprie spese.
Firme