1

Con ricorso proposto ai sensi dell’articolo 263 TFUE, la ricorrente, WhatsApp Ireland Ltd (in prosieguo: la «WhatsApp»), chiede l’annullamento della decisione vincolante 1/2021 del Comitato europeo per la protezione dei dati (in prosieguo: il «CEPD») del 28 luglio 2021, relativa alla controversia tra le autorità di controllo interessate scaturita dal progetto di decisione riguardante la WhatsApp elaborato dalla Data Protection Commission (autorità di sorveglianza in materia di protezione dei dati personali delle persone fisiche, Irlanda; in prosieguo: l’«autorità di controllo irlandese») (in prosieguo: «la decisione impugnata»).

2

A seguito dell’entrata in vigore del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1), l’autorità di controllo irlandese riceveva talune denunce da parte di utenti e non utenti del servizio di messaggeria «WhatsApp» in merito al trattamento dei dati personali da parte della WhatsApp. L’autorità di vigilanza federale tedesca richiedeva peraltro l’assistenza dell’autorità di controllo irlandese in merito al rispetto, da parte della WhatsApp, degli obblighi di trasparenza incombenti ai titolari del trattamento dei dati personali con riguardo all’eventuale condivisione dei dati medesimi con altre società del gruppo Facebook (rinominato nel settembre 2021 Meta).

3

Nel dicembre 2018 l’autorità di controllo irlandese avviava d’ufficio un’indagine generale sul rispetto da parte della WhatsApp degli obblighi di trasparenza e di informazione nei confronti dei singoli (a differenza dalle imprese) di cui agli articoli 12, 13 e 14 del Regolamento 2016/679, salve restando le eventuali azioni esperibili a seguito delle singole segnalazioni ricevute. L’autorità di controllo irlandese agiva in tal senso quale «autorità di controllo capofila», a termini dell’articolo 56, paragrafo 1, del regolamento 2016/679, considerato che la WhatsApp aveva il proprio stabilimento principale in Irlanda nella sua qualità di titolare del trattamento per le operazioni del servizio di messaggeria «WhatsApp» in Europa, essendo tale trattamento di natura transfrontaliera.

4

Successivamente alla fase di indagine conclusasi nel settembre 2019 con la presentazione di una relazione finale da parte dell’investigatore, nel dicembre 2020, in esito a fasi procedurali intermedie in cui la WhatsApp aveva presentato proprie osservazioni, l’organo decisionale dell’autorità di controllo irlandese sottoponeva un progetto di decisione a tutte le altre autorità di controllo interessate nella specie, vale a dire a tutte le altre autorità di vigilanza degli Stati membri, al fine di ottenere il loro parere in merito, ai sensi di quanto previsto dall’articolo 60, paragrafo 3, del regolamento 2016/679.

5

Nel gennaio 2021, otto di dette autorità di controllo, ossia le autorità: federale tedesca, del Baden-Württemberg, ungherese, dei Paesi Bassi, polacca, francese, italiana e portoghese, formulavano obiezioni riguardo a taluni aspetti del progetto di decisione. Semplici commenti venivano, inoltre, espressi da varie autorità di controllo. L’autorità di controllo irlandese rispondeva collettivamente alle altre autorità di vigilanza interessate, proponendo soluzioni di compromesso. Pur se, a seguito di tale risposta, una di dette autorità ritirava una delle proprie obiezioni, l’autorità di controllo irlandese constatava l’assenza di consenso tra le autorità di controllo interessate in merito alle sue proposte relative agli altri aspetti oggetto di obiezione e decideva quindi di respingere tutte le obiezioni al fine di rivolgersi al CEPD per la risoluzione della controversia tra le autorità di controllo interessate su tali aspetti, secondo quanto disposto dall’articolo 60, paragrafo 4, e dell’articolo 65, paragrafo 1, lettera a), del regolamento 2016/679.

6

Nel maggio 2021, l’autorità di controllo irlandese riceveva le osservazioni scritte della WhatsApp relative alle questioni discusse tra le autorità di controllo interessate, dopo averle trasmesso tutti i documenti scambiati al riguardo ed aver provveduto essa stessa a trasmettere tali osservazioni al CEPD affinché le esaminasse nell’ambito della procedura di risoluzione delle controversie, avviata dall’autorità medesima nel giugno 2021.

7

Il 28 luglio 2021 il CEPD – che ai sensi dell’articolo 68, paragrafo 3, del regolamento 2016/679 è composto «dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti» – adottava la decisione impugnata a maggioranza dei due terzi, secondo quanto disposto dall’articolo 65, paragrafo 2, del regolamento 2016/679. La decisione contestata è una decisione rivolta all’autorità di controllo capofila e a tutte le autorità di controllo interessate, vincolante nei loro confronti, come previsto dalla medesima disposizione, e, ai sensi dell’articolo 65, paragrafo 1, lettera a), del medesimo regolamento, riguarda tutte le questioni in merito alle quali siano state sollevate obiezioni pertinenti e motivate. A tal riguardo, nella decisione impugnata, per ogni obiezione sollevata da un’autorità di controllo, il CEPD ha anzitutto esaminato se essa fosse pertinente e motivata, esprimendosi sulle singole obiezioni solo in caso di risposta affermativa a tale questione preliminare.

8

Successivamente alla ricezione, da parte dell’autorità di controllo irlandese, della decisione impugnata e delle osservazioni della WhatsApp in ordine alle sanzioni pecuniarie che si intendeva infine infliggerle alla luce della decisione impugnata, il 20 agosto 2021 l’organo decisionale della medesima autorità adottava, ai sensi dell’articolo 65, paragrafo 6, del regolamento 2016/679, una decisione finale, indirizzata alla WhatsApp (in prosieguo: la «decisione finale»), In essa si afferma che la WhatsApp ha violato il principio e gli obblighi di trasparenza sanciti dall’articolo 5, paragrafo 1, lettera a), dall’articolo 12, paragrafo 1, all’articolo 13, paragrafo 1, lettere c), d), e) e f), all’articolo 13, paragrafo 2, lettere a), c) ed e) e dall’articolo 14 del regolamento 2016/679, e si dichiara, per contro, che la WhatsApp aveva rispettato gli obblighi di cui all’articolo 13, paragrafo 1, lettere a) e b), e all’articolo 13, paragrafo 2, lettere b) e d), del regolamento 2016/679. A titolo di misure correttive ex articolo 58, paragrafo 2, lettere b), d) e i) del medesimo regolamento, la decisione rivolge alla WhatsApp un avvertimento, imponendo l’attuazione di una serie di azioni, elencate in un allegato, volte a farla conformare entro tre mesi alle disposizioni violate del regolamento 2016/679, nonché quattro sanzioni amministrative relative alle violazioni rilevate con riguardo agli articoli 5, paragrafo 1, lettera a), 12, 13 e 14 del regolamento 2016/679, per un totale di 225 milioni di euro.

9

Nella decisione finale, l’organo decisionale dell’autorità di controllo irlandese individuava gli aspetti per i quali la decisione impugnata le imponeva la revisione delle valutazioni esposte nel progetto di decisione di cui al punto 4 supra. Con riguardo a tali aspetti, l’organo decisionale sceglieva di riprodurre letteralmente, in riquadri ombreggiati, le motivazioni accolte dal CEPD nella decisione impugnata, traendo semplicemente, di volta in volta, le relative conseguenze in un punto conclusivo. L’organo medesimo precisava, con riguardo alla decisione finale, da un lato, di non aver fatto riferimento alle obiezioni ritenute non pertinenti e non motivate dal CEPD e di non averle quindi esaminate nel merito, né alle obiezioni in ordine alle quali il CEPD non aveva ritenuto necessaria una modifica delle valutazioni esposte nel progetto di decisione e, dall’altro, di non aver preso posizione in merito a dette obiezioni.

10

Ai sensi dell’articolo 65, paragrafo 6, del regolamento 2016/679, la decisione impugnata è stata allegata alla decisione finale dell’autorità di controllo irlandese.

11

A tal riguardo, risulta che, nella decisione impugnata, il CEPD ha successivamente preso posizione solo sui seguenti aspetti, che, a suo avviso, erano stati oggetto di obiezioni pertinenti e motivate:

12

La WhatsApp ha impugnato la decisione finale dinanzi ai giudici irlandesi e, parallelamente, chiede al Tribunale di annullare la decisione impugnata.

13

Nel presente procedimento, la Computer & Communication Industry Association ha chiesto di intervenire a sostegno della ricorrente, mentre la Repubblica di Finlandia, la Commissione europea e il Garante europeo della protezione dei dati hanno chiesto di intervenire a sostegno del CEPD. In vista di tali interventi, le parti principali hanno chiesto che taluni elementi del fascicolo, in considerazione della loro riservatezza, non venissero divulgati a determinati intervenienti. Allo stato attuale, il Tribunale non ha statuito in merito a tali istanze.

14

La misura di organizzazione del procedimento, adottata a seguito del deposito del controricorso, con cui le parti principali sono state invitate a non trascurare, nella replica e nella controreplica, di esprimersi su tutte le questioni rilevanti inerenti alla competenza del Tribunale ed alla ricevibilità del ricorso, ha fatto riferimento, a tal proposito, alla qualificazione della decisione impugnata come atto di un organo dell’Unione europea, alla qualificazione della decisione impugnata come atto impugnabile, nonché alla legittimazione attiva e all’interesse ad agire della ricorrente.

15

La WhatsApp chiede l’annullamento in toto della decisione impugnata o, in subordine, l’annullamento delle parti pertinenti della medesima con condanna del CEPD alle spese.

16

Il CEPD chiede che il ricorso sia dichiarato irricevibile e, in subordine, che sia respinto in quanto infondato e, in via di ulteriore subordine, che l’annullamento della decisione impugnata sia limitato alle parti pertinenti della stessa. Il CEPD chiede parimenti la condanna della ricorrente alle spese.

17

A termini dell’articolo 129 del regolamento di procedura del Tribunale, su proposta del giudice relatore il Tribunale può decidere d’ufficio, in qualsiasi momento, sentite le parti principali, di statuire sui motivi di irricevibilità di ordine pubblico con ordinanza motivata.

18

Nel caso di specie, il Tribunale ritiene di essere sufficientemente edotto alla luce degli atti di causa e decide, ai sensi di tale articolo, di pronunciarsi sulla ricevibilità del ricorso senza proseguire il procedimento.

19

La verifica della competenza del Tribunale e la verifica della legittimazione ad agire di un ricorrente sono, infatti, questioni di ordine pubblico, al pari della verifica di altri elementi relativi alla ricevibilità di un ricorso, e, nella specie, le parti principali hanno avuto la possibilità di presentare proprie osservazioni al riguardo a seguito della misura di organizzazione del procedimento richiamata supra al punto 14, peraltro dopo che il CEPD stesso aveva eccepito, nel controricorso, l’irricevibilità del ricorso.

20

Nella specie, occorre richiamare, in limine, il contesto normativo istituzionale in cui si inserisce la decisione contestata.

21

Il capo VI del regolamento 2016/679 è intitolato «Autorità di controllo indipendenti». Al suo interno, l’articolo 51 prevede che ogni Stato membro «dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente regolamento», che ognuna di dette autorità «contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione» e che, a tal fine, «le autorità di controllo cooperano tra loro e con la Commissione conformemente al capo VII».

22

A termini dell’articolo 55, ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del regolamento 2016/679 nel territorio del rispettivo Stato membro e l’articolo 56 dispone che, fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60. Come già rilevato supra al punto 3, nella fattispecie in esame, l’autorità di controllo irlandese ha agito nei confronti della WhatsApp in qualità di autorità capofila.

23

Ai sensi dell’articolo 58, paragrafo 2, del regolamento 2016/679, ogni autorità di controllo dispone di poteri correttivi nei confronti di un titolare del trattamento o di un responsabile del trattamento e, in particolare, a termini delle lettere b), d) e i), dei poteri di rivolgere loro ammonimenti nel caso in cui i trattamenti abbiano determinato una violazione delle disposizioni del regolamento medesimo, di ingiungere loro di conformare i loro trattamenti alle disposizioni dello stesso regolamento, se del caso, in una determinata maniera ed entro un determinato termine e di infliggere loro una sanzione amministrativa.

24

Il capo VII del regolamento 2016/679, che segue le disposizioni richiamate supra ai punti da 21 a 23 sopra, è intitolato «Cooperazione e coerenza».

25

Nella sezione «Cooperazione» di detto capo, l’articolo 60, a sua volta intitolato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», dispone, segnatamente, che:

«1.   L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’impegno per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili.

[...]

3.   L’autorità di controllo capofila comunica senza indugio le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.

4.   Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63.

5.   L’autorità di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.

6.   Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.

7.   L’autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato [del]la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.

[...]

10.   Dopo aver ricevuto la notifica della decisione dell’autorità di controllo capofila [...], il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all’autorità di controllo capofila, che ne informa le altre autorità di controllo interessate».

26

Nella sezione «Coerenza» dello stesso capo VII del regolamento 2016/679, l’articolo 63, intitolato «Meccanismo di coerenza», così dispone:

«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione».

27

Il CEPD interviene in tale meccanismo. Lo status del CEPD è disciplinato nella terza e ultima sezione del capo VII del regolamento 2016/679, intitolata «Comitato europeo per la protezione dei dati».

28

L’articolo 68, collocato in tale sezione, così recita:

«1.   Il comitato europeo per la protezione dei dati (in prosieguo: il «Comitato») è istituito quale organismo dell’Unione ed è dotato di personalità giuridica.

[...]

3.   Il comitato è composto dalla figura di vertice di un’autorità di controllo per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti.

[...]».

29

Collocato nella stessa sezione, il successivo articolo 70, intitolato «Compiti del Comitato», così dispone:

«1.   Il comitato garantisce l’applicazione coerente del presente regolamento. A tal fine, il comitato, di propria iniziativa o, se del caso, su richiesta della Commissione, in particolare:

[...]».

30

Lo stesso articolo 70 elenca inoltre dettagliatamente anche gli altri compiti del CEPD, che sono principalmente compiti consultivi da esercitare per mezzo di pareri, linee guida, raccomandazioni e raccomandazioni di «migliori prassi».

31

Nella sezione «Coerenza», richiamata supra al punto 26, dopo l’articolo 64, che elenca i casi in cui il CEPD formula un parere, l’articolo 65, rubricato «Composizione delle controversie da parte del Comitato», prevede segnatamente:

«1.   Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:

[...]

2.   La decisione di cui al paragrafo 1 è adottata entro un mese dal deferimento della questione da parte di una maggioranza di due terzi dei membri del comitato. [...] La decisione di cui al paragrafo 1 è motivata e trasmessa all’autorità di controllo capofila e a tutte le autorità di controllo interessate ed è per esse vincolante.

[...]

5.   Il presidente del comitato notifica senza ingiustificato ritardo alle autorità di controllo interessate la decisione di cui al paragrafo 1 e ne informa la Commissione. La decisione è pubblicata senza ritardo sul sito web del comitato dopo che l’autorità di controllo ha notificato la decisione definitiva di cui al paragrafo 6.

6.   L’autorità di controllo capofila o, se del caso, l’autorità di controllo a cui è stato proposto il reclamo adotta la sua decisione definitiva in base alla decisione di cui al paragrafo 1 del presente articolo senza ingiustificato ritardo e al più tardi entro un mese dalla notifica della decisione da parte del comitato [...] La decisione finale fa riferimento alla decisione di cui al paragrafo 1 del presente articolo e precisa che la decisione di cui a tale paragrafo sarà pubblicata sul sito web del comitato conformemente al paragrafo 5 del presente articolo. La decisione finale deve accludere la decisione di cui al paragrafo 1 del presente articolo».

32

Il capo VIII del Regolamento 2016/679, intitolato «Mezzi di ricorso, responsabilità e sanzioni», prevede, all’articolo 78, il «diritto a un ricorso giurisdizionale effettivo nei confronti di un’autorità di controllo» e, all’articolo 79, il «diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento». Nulla dispone in ordine ad eventuali mezzi di ricorso contro le decisioni vincolanti del CEPD adottate sulla base del menzionato articolo 65, paragrafo 1. Tuttavia, l’articolo 78, paragrafo 4, stabilisce che «[q]ualora siano promosse azioni avverso una decisione di un’autorità di controllo […] preceduta da […] una decisione del comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette […] tale decisione all’autorità giurisdizionale».

33

Nella motivazione del regolamento 2016/679, il considerando 143 così recita:

«Qualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l’annullamento delle decisioni del comitato dinanzi alla Corte di giustizia, alle condizioni previste all’articolo 263 TFUE. In quanto destinatari di tali decisioni, le autorità di controllo interessate che intendono impugnarle, devono proporre ricorso entro due mesi dalla loro notifica, conformemente all’articolo 263 TFUE. Ove le decisioni del comitato si riferiscano direttamente e individualmente a un titolare del trattamento, a un responsabile del trattamento o al reclamante, quest’ultimo può proporre un ricorso per l’annullamento di tali decisioni e dovrebbe farlo entro due mesi dalla loro pubblicazione sul sito web del comitato, conformemente all’articolo 263 TFUE. Fatto salvo tale diritto ai sensi dell’articolo 263 TFUE, ogni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell’autorità di controllo che produce effetti giuridici nei confronti di detta persona. Tale decisione riguarda in particolare l’esercizio di poteri di indagine, correttivi e autorizzativi da parte dell’autorità di controllo o l’archiviazione o il rigetto dei reclami. Tuttavia, tale diritto a un ricorso giurisdizionale effettivo non comprende altre misure adottate dalle autorità di controllo che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall’autorità di controllo. Le azioni contro l’autorità di controllo dovrebbero essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita e dovrebbero essere effettuate in conformità del diritto processuale dello Stato membro in questione. Tali autorità giurisdizionali dovrebbero esercitare i loro pieni poteri giurisdizionali, ivi compreso quello di esaminare tutte le questioni di fatto e di diritto che abbiano rilevanza per la controversia dinanzi a esse pendente.

Se un reclamo è stato rigettato o archiviato da un’autorità di controllo, il reclamante può proporre ricorso giurisdizionale nello stesso Stato membro. Nell’ambito dei ricorsi giurisdizionali relativi all’applicazione del presente regolamento, le autorità giurisdizionali nazionali che ritengano necessario, ai fini di una sentenza, disporre di una decisione in merito, possono, o nel caso di cui all’articolo 267 TFUE, devono chiedere alla Corte di giustizia di pronunciarsi, in via pregiudiziale, sull’interpretazione del diritto dell’Unione, compreso il presente regolamento. Inoltre, se una decisione dell’autorità di controllo che attua una decisione del comitato è impugnata dinanzi a un’autorità giurisdizionale nazionale ed è in questione la validità della decisione del comitato, tale autorità giurisdizionale nazionale non ha il potere di invalidare la decisione del comitato, ma deve deferire la questione di validità alla Corte di giustizia ai sensi dell’articolo 267 TFUE quale interpretato dalla Corte di giustizia, ove ritenga la decisione non valida. Tuttavia, un’autorità giurisdizionale nazionale non può deferire una questione relativa alla validità di una decisione del comitato su richiesta di una persona fisica o giuridica che ha avuto la possibilità di proporre un ricorso per l’annullamento di tale decisione, specialmente se direttamente e individualmente interessata da siffatta decisione, ma non ha agito in tal senso entro il termine stabilito dall’articolo 263 TFUE».

34

A norma dell’articolo 263 del TFUE, i cui commi primo, secondo, quarto e quinto sono riprodotti qui di seguito:

«La Corte di giustizia dell’Unione europea esercita un controllo di legittimità sugli atti legislativi, sugli atti del Consiglio, della Commissione e della Banca centrale europea che non siano raccomandazioni o pareri, nonché sugli atti del Parlamento europeo e del Consiglio europeo destinati a produrre effetti giuridici nei confronti di terzi. Esercita inoltre un controllo di legittimità sugli atti degli organi o organismi dell’Unione destinati a produrre effetti giuridici nei confronti di terzi.

A tal fine, la Corte è competente a pronunciarsi sui ricorsi per incompetenza, violazione delle forme sostanziali, violazione dei trattati o di qualsiasi regola di diritto relativa alla loro applicazione, ovvero per sviamento di potere, proposti da uno Stato membro, dal Parlamento europeo, dal Consiglio o dalla Commissione.

[...]

Qualsiasi persona fisica o giuridica può proporre, alle condizioni previste al primo e secondo comma, un ricorso contro gli atti adottati nei suoi confronti o che la riguardano direttamente e individualmente, e contro gli atti regolamentari che la riguardano direttamente e che non comportano alcuna misura d’esecuzione.

Gli atti che istituiscono gli organi e organismi dell’Unione possono prevedere condizioni e modalità specifiche relative ai ricorsi proposti da persone fisiche o giuridiche contro atti di detti organi o organismi destinati a produrre effetti giuridici nei loro confronti.

[...]».

35

Dall’articolo 263, primo comma, TFUE emerge che i giudici dell’Unione sono competenti a sindacare la legittimità di un atto di un organo dell’Unione destinato a produrre effetti giuridici nei confronti di terzi. Dal quarto comma dello stesso articolo si evince inoltre che, per essere legittimata a proporre un ricorso contro un atto individuale di un organo dell’Unione di cui non sia destinataria, una persona giuridica deve essere, in linea di principio, direttamente e individualmente interessata dall’atto medesimo. Nella specie, come esposto supra al punto 32, nel regolamento 2016/679 non si rinviene alcuna disposizione corrispondente alla disposizione di cui all’articolo 263, quinto comma, TFUE, ragion per cui, nella specie, la WhatsApp è effettivamente soggetta, ai fini della ricevibilità del proprio ricorso contro la decisione impugnata, ai requisiti indicati al quarto comma dello stesso articolo, ossia essere direttamente e individualmente interessata dalla decisione medesima.

36

Si deve, anzitutto, rilevare che la decisione impugnata, adottata dal CEPD, è effettivamente un atto di un organo dell’Unione. È ben vero che il meccanismo istituzionale previsto dal regolamento 2016/679, come esposto supra ai punti da 21 a 31, in particolare la competenza esclusiva delle autorità di controllo nazionali ad adottare misure correttive nei confronti dei titolari del trattamento e dei responsabili del trattamento nonché i meccanismi di cooperazione e coerenza tra le autorità medesime, anche nell’ambito del CEPD che, essenzialmente, riunisce tali autorità, potrebbero indurre a ritenere che il CEPD costituisca solo un mero elemento di coordinamento tra le autorità nazionali. Tuttavia, a termini dell’articolo 68, paragrafo 1, del regolamento 2016/679, il CEPD è stato istituito come organismo dell’Unione ed è dotato di personalità giuridica. Inoltre, in tale veste, il CEPD è legittimato ad adottare pareri sulla base degli articoli 64 e 65 del regolamento 2016/679 e, nel contesto della composizione delle controversie tra autorità di controllo nazionali, decisioni, come quella impugnata, vincolanti per le autorità di controllo interessate, e pertanto tali pareri e decisioni sono atti di un organo dell’Unione.

37

In secondo luogo, occorre rilevare che la decisione impugnata è destinata a produrre effetti giuridici nei confronti di terzi, trattandosi di una «decisione vincolante» nei confronti delle autorità di controllo interessate, adottata sulla base dell’articolo 65 del regolamento 2016/679.

38

Tuttavia, qualora un ricorrente non sia uno dei cosiddetti ricorrenti «privilegiati», espressamente menzionati individualmente nel secondo comma dell’articolo 263 TFUE, si ritiene, per costante giurisprudenza, che, per costituire un atto impugnabile da parte di tale ricorrente, l’atto in questione debba produrre effetti giuridici vincolanti idonei ad incidere sugli interessi del ricorrente stesso, modificando in misura rilevante la sua situazione giuridica (sentenza dell’11 novembre 1981, IBM/Commissione, 60/81, UE:C:1981:264, punto 9; v. anche sentenza del 18 novembre 2010, NDSHT/Commissione, C‑322/09 P, EU:C:2010:701, punto 45 e giurisprudenza citata).

39

La Corte ha inoltre dichiarato che, qualora il ricorrente non sia destinatario dell’atto impugnato, il requisito secondo cui l’atto stesso deve modificare in misura rilevante la sua situazione giuridica, si sovrappone alle condizioni di cui all’articolo 263, quarto comma, TFUE, vale a dire, quando l’atto impugnato non sia un atto regolamentare che non comporti misure di esecuzione, con il requisito che il ricorrente sia direttamente e individualmente interessato dall’atto medesimo (v., in tal senso, sentenza del 13 ottobre 2011, Deutsche Post e Germania/Commissione, C‑463/10 P e C‑475/10 P, UE:C:2011:656, punto 38).

40

Nella specie, si può anzitutto rilevare, alla luce della natura dell’atto impugnato che è un atto individuale, che la WhatsApp è individualmente interessata dalla decisione impugnata, considerato che quest’ultima attiene a taluni aspetti di un progetto di decisione finale dell’autorità di controllo irlandese che riguarda specificamente la WhatsApp. Contrariamente a quanto sostenuto dal CEPD nella controreplica, la decisione impugnata non si limita all’enunciazione di principi o all’interpretazione di determinate disposizioni del regolamento 2016/679 che potrebbero riguardare qualsiasi titolare del trattamento. Nella decisione impugnata, come rilevato supra al punto 11, il CEPD si è pronunciato sul rispetto, da parte della WhatsApp, di taluni obblighi ad essa incombenti in base al regolamento 2016/679, ha qualificato come dati personali gli elementi risultanti dalla procedura cosiddetta «Lossy Hashing Procedure», che costituisce un trattamento effettuato esclusivamente dalla WhatsApp, e si è pronunciato su determinate misure correttive da imporre alla WhatsApp, in particolare in merito a taluni aspetti della determinazione delle sanzioni amministrative da infliggere alla WhatsApp. La decisione impugnata è, quindi, specificamente diretta alla WhatsApp, sebbene contenga, come molto spesso accade negli atti individuali, l’affermazione o il richiamo di principi e di interpretazioni di carattere generale.

41

Occorre successivamente esaminare la questione se la decisione impugnata produca effetti giuridici che modifichino in modo significativo la situazione giuridica della WhatsApp e se riguardi direttamente quest’ultima ai sensi dell’articolo 263, quarto comma, TFUE.

42

A tal proposito, va osservato, come correttamente sottolineato in questa occasione dal CEPD, che la decisione impugnata non modifica di per sé la situazione giuridica della WhatsApp. Infatti, a differenza della decisione finale dell’autorità di controllo irlandese, essa non può essere fatta valere direttamente nei confronti di WhatsApp e costituisce, sotto questo profilo, un atto preparatorio, o intermedio, di un procedimento che, ai sensi delle disposizioni di cui agli articoli 58, paragrafo 2, 60, 63 e 65 del regolamento 2016/679, richiamate supra ai punti da 23 a 26 e 31, deve appunto concludersi con l’adozione, da parte di un’autorità nazionale di controllo, di una decisione definitiva di cui l’impresa stessa sia destinataria (v., in tal senso e per analogia, sentenza del 24 giugno 1986, AKZO Chemie e AKZO Chemie UK/Commissione, 53/85, EU:C:1986:256, punto 19).

43

A tal riguardo, è stato ripetutamente affermato che, nelle procedure che conducono all’elaborazione di atti in più fasi, i provvedimenti provvisori diretti a preparare la decisione finale non costituiscono, in linea di principio, atti impugnabili (v., in tal senso, sentenze dell’11 novembre 1981, IBM/Commissione, 60/81, UE:C:1981:264, punto 10, e del 26 gennaio 2010, Internationaler Hilfsfonds/Commissione, C‑362/08 P, EU:C:2010:40, punto 52 e giurisprudenza citata).

44

Le eccezioni al principio richiamato al precedente punto 43 riguardano i casi in cui il provvedimento provvisorio produce effetti giuridici autonomi rispetto ai quali non possa essere garantita una sufficiente tutela giurisdizionale con l’impugnazione della decisione conclusiva del procedimento (v., in tal senso, sentenze dell’11 novembre 1981, IBM/Commissione, 60/81, EU:C:1981:264, punti 11 e 12, e del 13 ottobre 2011, Deutsche Post e Germania/Commissione, C‑463/10 P e C‑475/10 P, EU:C:2011:656, punti 53 e 54). A titolo esemplificativo, eccezioni di tal genere sono state individuate nell’ambito di una procedura di controllo del rispetto delle regole di concorrenza applicabili alle imprese (v., in tal senso, sentenza del 24 giugno 1986, AKZO Chemie e AKZO Chemie UK/Commissione, 53/85, EU:C:1986:256, punto 20), nell’ambito di una procedura di controllo del rispetto delle norme sugli aiuti di Stato (v., in tal senso, sentenza del 9 ottobre 2001, Italia/Commissione, C‑400/99 EU:C:2001:528, punti da 55 a 63) e, nel caso di una misura accessoria o cautelare precedente una decisione definitiva, con riguardo alla sospensione di un funzionario oggetto di un procedimento disciplinare (v., in tal senso, sentenza del 5 maggio 1966, Gutmann/Commissione, 18/65 e 35/65, EU:C:1966:24, pag. 142).

45

Nella specie, una tutela giurisdizionale effettiva nei confronti della decisione impugnata è, invece, assicurata alla WhatsApp dai rimedi esperibili contro la decisione finale dell’autorità di controllo irlandese dinanzi al giudice nazionale, rimedi che consentono di esaminare la legittimità della decisione impugnata. Conformemente alle disposizioni dell’articolo 78, paragrafo 1, del regolamento 2016/679, secondo cui deve essere garantito a chiunque, in ogni Stato membro, il diritto a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante di un’autorità di controllo che lo riguardi, la WhatsApp ha impugnato dinanzi ai giudici irlandesi la decisione finale emanata dall’autorità di controllo irlandese, potendo far valere, nell’ambito di tale azione, l’illegittimità delle valutazioni vincolanti contenute nella decisione impugnata, poi riprese nella decisione finale stessa. Va ricordato, a questo proposito, che l’articolo 267 TFUE consente di eccepire dinanzi al giudice nazionale l’invalidità degli atti delle istituzioni, degli organi e degli organismi dell’Unione, prevedendo che il giudice nazionale, qualora reputi necessaria per emanare la propria sentenza una decisione su questo punto, possa o debba sottoporre alla Corte di giustizia dell’Unione europea una questione pregiudiziale di validità. Nel caso in cui la Corte dichiari, in esito al procedimento pregiudiziale, l’invalidità dell’atto che sia preparatorio di una decisione emanata da un’autorità di uno Stato membro, il giudice nazionale deve trarne le conseguenze in ordine alla legittimità della suddetta decisione pregiudizievole per l’interessato (v., in tal senso, sentenze del 30 ottobre 1975, Rey Soda e a., 23/75, EU:C:1975:142, punto 51, e del 20 marzo 2018, Šroubárna Ždánice/Consiglio, T‑442/16, non pubblicata, EU:T:2018:159, punto 34).

46

Inoltre, la decisione impugnata non è produttiva, nei confronti della WhatsApp, di alcun effetto giuridico autonomo rispetto alla decisione finale dell’autorità di controllo irlandese: tutte le valutazioni contenute nella prima sono riprodotte nella seconda e la prima non possiede un effetto autonomo rispetto al contenuto della seconda, contrariamente a quanto verificatosi nelle fattispecie da cui sono scaturite le sentenze del 5 maggio 1966, Gutmann/Commissione (18/65 e 35/65, EU:C:1966:24, del 24 giugno 1986, AKZO Chemie e AKZO Chemie UK/Commissione, 53/85, EU:C:1986:256 e del 9 ottobre 2001, Italia/Commissione,C‑400/99, EU:C:2001:528), citate supra al punto 44.

47

A questo proposito, mentre i principi richiamati supra ai punti 43 e 44 sono stati sviluppati con riguardo a procedimenti che ricadono, quanto alla decisione finale, nella sfera di competenza di istituzioni o di altri organi dell’Unione, nulla giustifica un diverso ragionamento nel caso in cui, come nella specie, la normativa dell’Unione affidi la sorveglianza sull’applicazione di discipline particolari dell’Unione a specifiche autorità nazionali nell’ambito di procedure articolate in più fasi e sia in discussione una misura intermedia adottata da un organo dell’Unione nell’ambito di un procedimento di tal genere conclusosi con una decisione di un’autorità nazionale.

48

La WhatsApp deduce, certo, che la decisione impugnata consiste in una posizione definitiva del CEPD che doveva essere seguita dall’autorità di controllo irlandese nella decisione finale. Questo argomento s’intende nel senso che la decisione impugnata sarebbe quindi necessariamente un atto impugnabile e si distinguerebbe dai provvedimenti provvisori recanti unicamente un parere provvisorio, che, di per sé, costituirebbero atti non impugnabili.

49

Tuttavia, come ricordato supra al punto 38, affinché un atto sia impugnabile da un ricorrente distinto dai cosiddetti ricorrenti privilegiati di cui all’articolo 263, secondo comma, TFUE, tale atto deve, segnatamente, modificare in misura rilevante la sua situazione giuridica. Orbene, il fatto che un atto intermedio esprima la posizione definitiva di un’autorità che dovrà essere ripresa nella decisione finale che conclude il procedimento de quo, come nel caso di specie, dal momento che la decisione impugnata contiene un’analisi definitiva di taluni aspetti della decisione finale, non significa necessariamente che tale atto intermedio modifichi di per sé in modo significativo la situazione giuridica della ricorrente, come dimostrato nella specie supra, ai punti da 42 a 47. Nei limiti in cui tale requisito si sovrapponga, come ricordato supra al punto 39, a quelli previsti dall’articolo 263, quarto comma, TFUE, ossia, segnatamente, alla necessità che il ricorrente sia direttamente interessato dall’atto stesso, la fattispecie potrà essere correttamente compresa esaminando se la WhatsApp sia direttamente interessata dalla decisione impugnata.

50

Orbene, come giustamente sostenuto dal CEPD, la WhatsApp non è direttamente interessata dalla decisione impugnata.

51

Infatti, secondo una costante giurisprudenza, perché un atto incida direttamente su un ricorrente che non ne sia il destinatario, occorre che l’atto stesso, in primo luogo, produca direttamente effetti giuridici sulla situazione giuridica di tale ricorrente e, in secondo luogo, che esso non lasci alcun potere discrezionale ai suoi destinatari incaricati della sua applicazione, applicazione avente carattere meramente automatico e derivante dalla sola normativa dell’Unione senza intervento di altre norme intermedie (v. sentenze del 13 maggio 1971, International Fruit Company e a./Commissione, cause da 41/70 a 44/70, EU:C:1971:53, punti da 23 a 28, del 5 maggio 1998, Dreyfus/Commissione, C‑386/96 P, EU:C:1998:193, punto 43, e del 17 settembre 2009, Commissione/Koninklijke Friesland Campina, C‑519/07 P, EU:C:2009:556, punto 48).

52

Per quanto riguarda il primo di tali requisiti, come già rilevato supra al punto 42, la decisione impugnata non è opponibile alla WhatsApp, il che consentirebbe, senza ulteriori passaggi procedurali, di essere fonte di obblighi per la medesima o, eventualmente, di diritti per altri soggetti. Essa si distingue quindi, ad esempio, dagli atti oggetto della sentenza del 23 aprile 1986, Les Verts/Parlamento (294/83, EU:C:1986:166), in merito ai quali è stato osservato, al punto 31 della stessa sentenza, per concludere che riguardassero direttamente l’associazione ricorrente, che «essi costitui[vano] una disciplina completa, autosufficiente e che non richiede[va] alcuna disposizione di attuazione». Nella specie, la decisione impugnata non costituisce la fase finale dell’intero procedimento previsto dagli articoli 58, 60 e 65 del regolamento 2016/679.

53

Per quanto riguarda il secondo requisito, relativo al potere discrezionale dell’autorità responsabile dell’esecuzione dell’atto in questione, si deve rilevare che la decisione impugnata, pur essendo vincolante per l’autorità di controllo irlandese con riguardo agli aspetti ivi esaminati, le lasciava un margine di discrezionalità quanto al contenuto della decisione finale.

54

Infatti, come emerge dal raffronto del contenuto della decisione impugnata esposto supra al punto 11, che rivolge istruzioni alle autorità di controllo interessate, con il contenuto della decisione finale indirizzata alla WhatsApp, esposto supra al punto 8, la decisione impugnata ha un contenuto parziale rispetto alla decisione finale.

55

Le due decisioni hanno quindi in comune l’accertamento della violazione, da parte della WhatsApp, del principio di trasparenza di cui all’articolo 5, paragrafo 1, lettera a), e degli obblighi di cui all’articolo 13, paragrafo 1, lettera d), e all’articolo 13, paragrafo 2, lettera e), del regolamento 2016/679; la qualificazione come dati personali degli elementi risultanti dalla cosiddetta procedura «Lossy Hashing Procedure», applicata ai dati relativi ai «contatti» di soggetti che non sono utenti WhatsApp contenuti nelle rubriche dei telefoni degli utenti WhatsApp; l’accertamento dell’inosservanza, da parte della WhatsApp, degli obblighi derivanti dall’articolo 14 del regolamento 2016/679 per effetto di tale qualificazione; il termine di tre mesi concesso alla WhatsApp per conformarsi ai requisiti imposti dal regolamento 2016/679; taluni aspetti delle misure correttive, in particolare quelle inerenti ai dati personali dei soggetti che non sono utenti WhatsApp e all’obbligo di fornire agli utenti WhatsApp le informazioni di cui all’articolo 13, paragrafo 2, lettera e) del regolamento 2016/679, l’interpretazione dei criteri relativi al quantum delle sanzioni amministrative inflitte alla WhatsApp e l’incremento dell’importo delle sanzioni stesse rispetto al livello complessivo da 30 a 50 milioni di euro previsto nel progetto di decisione dell’autorità di controllo irlandese.

56

Per contro, per quanto riguarda i seguenti aspetti, la decisione finale risulta dalle valutazioni dell’autorità di controllo irlandese senza che il CEPD abbia espresso una posizione al riguardo nella decisione impugnata: l’accertamento della violazione, da parte della WhatsApp, degli obblighi sanciti all’articolo 12, paragrafo 1, all’articolo 13, paragrafo 1, lettere c), e) e f), nonché all’articolo 13, paragrafo 2, lettere a) e c), del regolamento 2016/679; la constatazione del rispetto, da parte della WhatsApp, degli obblighi di cui all’articolo 13, paragrafo 1, lettere a) e b), nonché all’articolo 13, paragrafo 2, lettere b) e d), del regolamento 2016/679; lo status della WhatsApp quando tratta i dati personali dei soggetti che non sono utenti del servizio di messaggeria; il contenuto essenziale delle misure correttive imposte alla WhatsApp, ossia quelle volte a garantire il rispetto degli obblighi dettati dall’articolo 12, paragrafo 1, dall’articolo 13, paragrafo 1, lettere c), d), e) e f), e dall’articolo 13, paragrafo 2, lettere a) e c), del regolamento 2016/679; la determinazione concreta del quantum delle sanzioni amministrative inflitte alla WhatsApp, per un totale di 225 milioni di euro.

57

In particolare, si deve rilevare che l’autorità di controllo irlandese ha esercitato la propria discrezionalità nel trarre le conseguenze dalle istruzioni impartite nella decisione impugnata per quanto riguarda la qualificazione come dati personali degli elementi risultanti dalla cosiddetta procedura «Lossy Hashing Procedure» e per quanto attiene alle sanzioni amministrative.

58

Per quanto riguarda il primo aspetto, ossia la questione del trattamento dei dati personali dei soggetti che non sono utenti WhatsApp, in particolare degli elementi risultanti dalla cosiddetta procedura «Lossy Hashing Procedure», come emerge dal punto 111 della decisione finale, il passo successivo nell’analisi volta a determinare se la WhatsApp avesse violato, nei confronti di tali soggetti, gli obblighi di cui all’articolo 14 del regolamento 2016/679, consisteva nel determinare se, in relazione al trattamento dei dati personali in questione, la WhatsApp agisse in qualità di titolare del trattamento o, meramente, di responsabile del trattamento che agisce per conto di un utente della sua messaggeria che avesse attivato la funzione «Contatti». Orbene, tale fase dell’analisi, conclusasi con l’accoglimento della prima ipotesi, è il risultato di una valutazione dell’autorità di controllo irlandese, senza che il CEPD abbia espresso una posizione al riguardo nella decisione impugnata.

59

Per quanto riguarda la determinazione delle sanzioni amministrative, mentre la decisione impugnata contiene istruzioni per quanto attiene all’interpretazione dei criteri per il quantum delle sanzioni amministrative inflitte sulla base del regolamento 2016/679 e per quanto riguarda l’incremento dell’importo complessivo delle sanzioni da infliggere, nella specie, alla WhatsApp rispetto a quanto previsto nel progetto di decisione dell’autorità di controllo irlandese, quest’ultima ha mantenuto la propria discrezionalità nella fissazione concreta del quantum delle sanzioni da irrogare alla WhatsApp. D’altronde, come rilevato supra al punto 8, prima di adottare la decisione finale, l’autorità di controllo irlandese ha chiesto alla WhatsApp di formulare osservazioni in merito alle nuove sanzioni amministrative che intendeva imporle, il che è coerente con il rilievo che l’autorità di controllo irlandese ha mantenuto un margine di discrezionalità a tal riguardo. In ogni caso, si può osservare che nella decisione finale è stato infine adottato il limite inferiore della forbice delle nuove sanzioni ipotizzate dall’autorità di controllo irlandese.

60

Orbene, la decisione finale costituisce un insieme dal quale non è possibile separare le parti corrispondenti alle istruzioni contenute nella decisione impugnata, trasformandola in una «sub-decisione» finale rispetto alla quale l’autorità di controllo non avrebbe avuto alcun potere discrezionale. Infatti, l’indagine e la decisione finale dell’autorità di controllo irlandese hanno riguardato il rispetto, da parte della WhatsApp, del principio di trasparenza e di tutti i relativi obblighi concreti previsti dal regolamento 2016/679. Nella decisione finale è stata quindi esaminata la prassi complessiva della WhatsApp a tal proposito e uno stesso aspetto di tale prassi è stato oggetto di esame alla luce di varie disposizioni pertinenti del regolamento 2016/679, ad esempio alla luce dell’articolo 5, paragrafo 1, lettera a), dell’articolo 12, paragrafo 1, e delle molteplici disposizioni dell’articolo 13 del regolamento 2016/679, mentre la decisione impugnata riguardava unicamente un esame condotto in base ad alcune di dette disposizioni. Non avrebbe senso alcuno separare alcuni elementi specifici dall’analisi complessiva effettuata nella decisione finale, mentre il procedimento avviato nei confronti della WhatsApp, su iniziativa e sotto la responsabilità dell’autorità di controllo irlandese in qualità di autorità capofila, riguardava la valutazione generale del rispetto del principio di trasparenza da parte della WhatsApp. In particolare, per quanto attiene alla determinazione delle sanzioni pecuniarie, l’importo di ciascuna delle quattro sanzioni amministrative è stato fissato dall’autorità di controllo irlandese in considerazione di tutte le violazioni accertate, rispettivamente, dell’articolo 5, paragrafo 1, lettera a), nonché degli articoli 12, 13 e 14 del regolamento 2016/679.

61

Conseguentemente, non ricorre nessuno dei due requisiti, ricordati supra al punto 51, che, se soddisfatti, consentirebbero di considerare la WhatsApp direttamente interessata dalla decisione impugnata.

62

Dalle suesposte considerazioni discende che il ricorso della WhatsApp è irricevibile.

63

Il risultato di tale analisi è coerente con quanto è stato ritenuto in altri procedimenti in cui un atto vincolante dell’Unione in materia di imprese era rivolto ad uno Stato membro.

64

Così, in materia di controllo di aiuti di Stato, si è ritenuto che, laddove la Commissione adotti una decisione che dichiari un aiuto già concesso illegittimo ed incompatibile con il mercato interno, ingiungendo allo Stato membro erogatore dell’aiuto di procedere al suo recupero, i beneficiari degli aiuti concessi sono direttamente ed individualmente interessati da tale decisione (v., in tal senso, sentenza del 19 ottobre 2000, Italia e Sardegna Lines/Commissione, C‑15/98 e C‑105/99, EU:C:2000:570, punti da 33 a 36). A tal proposito, è stato osservato che, dal momento dell’adozione di una decisione di tale natura, i beneficiari sono esposti al recupero dei vantaggi ottenuti risultando, quindi, pregiudicata la loro situazione giuridica (v. sentenza del 9 giugno 2011, Comitato Venezia vuole vivere e a./Commissione, C‑71/09 P, C‑73/09 P e C‑76/09 P, EU:C:2011:368, punto 56). Ciò trova spiegazione nel fatto che, in tale fase, il procedimento di controllo è concluso, senza necessità di ulteriori valutazioni nel merito, in quanto le somme da recuperare sono determinate meccanicamente sulla base della decisione della Commissione e degli aiuti precedentemente concessi alle imprese interessate, ed in quanto lo Stato membro è tenuto ad avviare la ripetizione degli aiuti stessi e a portarla a termine, salvo circostanze del tutto eccezionali (v., in tal senso, sentenze del 7 giugno 1988, Commissione/Grecia, 63/87, EU:C:1988:285, 20 settembre 1990, Commissione/Germania, C‑5/89, EU:C:1990:320, punti 15 e 16, e del 20 marzo 1997, Alcan Deutschland, C‑24/95, EU:C:1997:163) ed in quanto i terzi possono agire, sulla base della decisione della Commissione, dinanzi all’amministrazione interessata o dinanzi al giudice nazionale ai fini del rimborso dell’aiuto in questione, senza dover essi stessi sopportare l’onere di dimostrarne l’illegittima concessione (v., per analogia, sentenza del 12 febbraio 2008, CELF e Ministre de la Culture et de la Communication, C‑199/06, EU:C:2008:79, punti 23 e da 39 a 41). Nella specie, la decisione impugnata non si trova in una fase analoga, poiché il procedimento di controllo non si era concluso con la sua adozione, in quanto ulteriori valutazioni in merito all’osservanza, da parte della WhatsApp, delle disposizioni del regolamento 2016/679 e la sanzione irrogata dovevano ancora essere effettuate o confermate dall’autorità di controllo capofila e la decisione impugnata non poteva di per sé servire da titolo giuridicamente vincolante per imporre obblighi alla WhatsApp.

65

È stato parimenti affermato che una decisione della Commissione, indirizzata a uno Stato membro, in cui lo si informi che il finanziamento europeo a favore di un’impresa è stato ridotto rispetto a quanto previsto in considerazione dell’inammissibilità del finanziamento stesso per talune delle spese presentate dall’impresa de qua, riguarda l’impresa de qua direttamente e individualmente, considerato che la decisione in questione l’ha privata di una parte dell’aiuto finanziario inizialmente concessole, senza che lo Stato membro disponga di alcun potere discrezionale al riguardo (v. sentenza del 4 giugno 1992, Infortec/Commissione, C‑157/90, UE:C:1992:243, punto 17). Tuttavia, nel caso di specie, a differenza della decisione della Commissione oggetto di tali rilievi, la decisione impugnata non costituisce, come osservato supra al punto 52, la fase conclusiva dell’intero procedimento in questione e, come rilevato supra ai punti 56 e 57, ha lasciato un margine di discrezionalità all’autorità di controllo irlandese.

66

Più in generale, l’irricevibilità del ricorso proposto dalla WhatsApp dinanzi al Tribunale contro la decisione impugnata si colloca nella logica del sistema di rimedi giurisdizionali istituito dal Trattato UE e dal Trattato FUE.

67

Come affermato all’articolo 2 del Trattato UE, l’Unione si fonda, segnatamente, sul rispetto dello Stato di diritto. L’articolo 6, paragrafo 1, del Trattato UE dispone che l’Unione riconosce i diritti, le libertà e i principi sanciti nella Carta dei diritti fondamentali dell’Unione europea e l’articolo 47 di quest’ultima garantisce il diritto a un ricorso effettivo e a un giudice imparziale. L’articolo 19 del TUE stabilisce che la Corte di giustizia dell’Unione europea assicura il rispetto del diritto nell’interpretazione e nell’applicazione dei Trattati e, in particolare, si pronuncia conformemente ai Trattati nei ricorsi proposti da uno Stato membro, da un’istituzione o da una persona fisica o giuridica e, su richiesta dei giudici nazionali, si pronuncia in via pregiudiziale sull’interpretazione del diritto dell’Unione o sulla validità degli atti adottati dalle istituzioni, nonché negli altri casi previsti dai Trattati. Lo stesso articolo dispone che gli Stati membri stabiliscono i rimedi giurisdizionali necessari per assicurare una tutela giurisdizionale effettiva nei settori disciplinati dal diritto dell’Unione.

68

Più precisamente, il TFUE, in particolare l’articolo 263, relativo ai ricorsi diretti dinanzi alla Corte di giustizia dell’Unione europea, ed il successivo articolo 267, relativo ai casi in cui quest’ultima si pronuncia in via pregiudiziale, in particolare sulla validità e sull’interpretazione degli atti adottati dalle istituzioni, organi, uffici o agenzie dell’Unione, ha istituito un sistema completo di rimedi giurisdizionali inteso a garantire il controllo della legittimità degli atti dell’Unione (v., in tal senso, sentenza del 25 luglio 2002, Unión de Pequeños Agricultores/Consiglio, C‑50/00 P, UE:C:2002:462, punto 40). A questo sistema partecipano sia la Corte di giustizia dell’Unione europea, di cui il Tribunale fa parte, sia i giudici nazionali. In questo sistema, i soggetti che, in considerazione dei requisiti di ricevibilità previsti dall’articolo 263 TFUE, non possono impugnare gli atti dell’Unione direttamente dinanzi alla Corte di giustizia dell’Unione europea, hanno la possibilità di far valere, mediante l’eccezione di illegittimità, l’invalidità di detto atto dinanzi al giudice nazionale, proponendo ricorso dinanzi a quest’ultimo contro le misure nazionali di esecuzione dell’atto medesimo. In tale contesto, spetta al giudice nazionale, qualora dubiti della validità di tale atto e ritenga che una decisione in merito sia necessaria per potersi pronunciare, sottoporre la questione pregiudiziale alla Corte di giustizia dell’Unione europea (v. ancora, in tal senso e per analogia, sentenza del 25 luglio 2002, Unión de Pequeños Agricultores/Consiglio, C‑50/00 P, EU:C:2002:462, punto 40).

69

La logica di tale sistema, che spiega, in particolare, l’interpretazione dei requisiti di ricevibilità dei ricorsi diretti di cui all’articolo 263 TFUE, richiamata supra nell’ambito dell’analisi esposta ai punti da 35 a 62, è che l’azione giudiziaria della Corte di giustizia dell’Unione europea e quella dei giudici nazionali si completino efficacemente e che il giudice dell’Unione e il giudice nazionale non siano indotti a pronunciarsi contemporaneamente, in procedimenti paralleli, sulla validità dello stesso atto dell’Unione, né direttamente né, nel caso del giudice nazionale che si interroghi sulla validità dell’atto in questione, a seguito di una questione pregiudiziale. Nel solco di tale logica è stato segnatamente affermato che un ricorrente che avrebbe potuto senza dubbio impugnare una decisione dell’Unione direttamente dinanzi alla Corte di giustizia dell’Unione europea non può più contestare, successivamente, la validità della decisione medesima, in particolare in un successivo procedimento dinanzi al giudice nazionale (v. in tal senso, sentenza del 9 marzo 1994, TWD Textilwerke Deggendorf, C‑188/92, UE:C:1994:90, punto 17; v. parimenti, in tal senso, sentenza del 9 giugno 2011, Comitato Venezia vuole vivere e a./Commissione, C‑71/09 P, C‑73/09 P e C‑76/09 P, EU:C:2011:368, punto 58 e giurisprudenza citata). Al contrario, secondo costante giurisprudenza, l’illegittimità di un atto dell’Unione non impugnabile sul quale si fondi un altro atto può essere invocata in un ricorso contro questo secondo atto (sentenza dell’11 novembre 1981, IBM/Commissione, 60/81, EU:C:1981:264, punto 12 e, a contrario, i precedenti riferimenti giurisprudenziali).

70

Nella specie, ammettere la ricevibilità del ricorso della WhatsApp contro la decisione impugnata condurrebbe a due procedimenti giudiziari paralleli e che si sovrapporrebbero in maniera rilevante, uno dinanzi al Tribunale volto a contestare la decisione impugnata, l’altro dinanzi al giudice irlandese diretto a contestare la decisione finale, parte della cui motivazione si fonda sulla decisione impugnata. La WhatsApp ha d’altronde dedotto, al fine di ottenere una proroga del termine per il deposito della replica, il carico di lavoro parallelo derivatole dal procedimento avviato dinanzi al giudice irlandese. Salvo che l’uno o l’altro giudice adito sospenda il procedimento dinanzi ad esso avviato – ciò che potrebbe tradursi in un allungamento dei tempi necessari per ottenere una soluzione definitiva in merito alla legittimità della decisione finale – tali procedimenti paralleli potrebbero persino condurre a una situazione in cui, contemporaneamente, la Corte di giustizia, in via pregiudiziale, e il Tribunale, per effetto del ricorso diretto della WhatsApp, sarebbero chiamati a pronunciarsi sulla validità della decisione contestata. In considerazione del sistema di rimedi giurisdizionali richiamato supra ai punti 68 e 69 di cui sopra ed alla luce delle disposizioni di cui all’articolo 78 del regolamento 2016/679, relative al diritto a un ricorso giurisdizionale effettivo nei confronti di un’autorità di controllo, spetterà eventualmente al giudice irlandese adito, esclusivamente competente al riguardo, controllare la legittimità della decisione finale opponibile alla WhatsApp, sottoponendo alla Corte di giustizia dell’Unione europea una questione pregiudiziale sulla validità della decisione impugnata, nel caso in cui lo ritenga necessario per potersi pronunciare sulla controversia tra la WhatsApp e l’autorità di controllo irlandese. Il giudice irlandese adito potrebbe, a tal proposito, risolvere la controversia sottoposta al suo esame o respingendo l’eccezione di illegittimità che fosse eventualmente sollevata avverso la decisione impugnata senza adire la Corte, laddove non nutra dubbi sulla validità della stessa decisione, o, al contrario, a fronte di dubbi al riguardo, adire la Corte, o, ancora, risolvere la controversia indipendentemente dalla questione della validità della decisione impugnata sulla base dei motivi dinanzi ad esso dedotti. Tale soluzione è in linea con l’interesse ad una buona amministrazione della giustizia, tenuto conto dei rischi di procedimenti giudiziari paralleli menzionati all’inizio del presente punto.

71

Si deve, infine, rilevare, relativamente al considerando 143 del regolamento 2016/679, richiamato supra al punto 33, dal quale potrebbe evincersi la ricevibilità di un ricorso come quello proposto dalla WhatsApp dinanzi al Tribunale, che il considerando di un regolamento pur se può consentire di chiarire l’interpretazione di una norma giuridica, non può costituire di per sé una norma di tal genere e che il preambolo di un atto dell’Unione non ha valore giuridico vincolante (v. sentenza del 26 ottobre 2017, Marine Harvest/Commissione, T‑704/14, EU:T:2017:753, punto 150 e la giurisprudenza ivi citata; v. parimenti, in tal senso, sentenza del 24 novembre 2005Deutsches Milch-Kontor, C‑136/04, EU:C:2005:716, punto 32 e giurisprudenza citata). Orbene, nella specie, il considerando de quo non costituisce il fondamento di alcuna disposizione del regolamento 2016/679, come rilevato supra ai punti 32 e 35. Inoltre, una spiegazione contenuta nella motivazione di un regolamento non può prevalere sulle norme applicabili di diritto primario contenute nei Trattati, nella specie su quelle di cui all’articolo 263, primo e quarto comma, TFUE, la cui sostanza è peraltro parzialmente richiamata nel considerando in questione con l’indicazione, nella prima frase, che «[q]ualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l’annullamento delle decisioni del comitato dinanzi alla Corte di giustizia, alle condizioni previste all’articolo 263 TFUE».

72

Alla luce di tutti ciò che precede, il ricorso deve essere respinto in quanto irricevibile.

73

Ai sensi dell’articolo 142, paragrafo 2, del Regolamento di procedura, l’intervento è accessorio alla causa principale e rimane privo di oggetto, in particolare, quando il ricorso è dichiarato irricevibile.

74

Di conseguenza, non è più necessario pronunciarsi sulle istanze di intervento, né sulle richieste di tutela della riservatezza di elementi del fascicolo che ne sono derivate.

75

Ai sensi dell’articolo 134, paragrafo 1, del Regolamento di procedura, la parte soccombente è condannata alle spese se ne è stata fatta domanda. La WhatsApp, essendo rimasta soccombente, dev’essere condannata alle spese, conformemente alla domanda del CEPD, fatto salvo quanto indicato infra al punto 76.

76

Tuttavia, a termini dell’articolo 144, paragrafo 10, del Regolamento di procedura, se la causa principale si conclude prima della decisione sull’istanza di intervento, le spese dell’istante e delle parti principali relative all’istanza di intervento sono compensate. Nella specie, la WhatsApp, il CEPD, la Repubblica di Finlandia, la Commissione, il Garante europeo della protezione dei dati e la Computer & Communication Industry Association sopporteranno ciascuno le proprie spese relative alle istanze di intervento.

Per questi motivi,

LA CORTE (Quarta Sezione ampliata)

così provvede: