Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
MACIEJ SZPUNAR
presentate l’11 maggio 2023 (1)
Causa C‑33/22
Österreichische Datenschutzbehörde
con l’intervento di
WK,
Präsident des Nationalrates
[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgerichtshof (Corte amministrativa, Austria)]
«Rinvio pregiudiziale – Protezione dei dati personali – Articolo 16, paragrafo 2, TFUE – Attività che rientrano nel campo di applicazione del diritto dell’Unione – Regolamento generale sulla protezione dei dati personali – Attività riguardanti la sicurezza nazionale – Commissione di inchiesta del Parlamento di uno Stato membro – Controllo dell’attività di un’autorità di polizia – Competenze dell’autorità di controllo della protezione dei dati – Articolo 55, paragrafo 1 – Articolo 77, paragrafo 1 – Effetto diretto»
Introduzione
1. Le attività di una commissione di inchiesta del Parlamento di uno Stato membro rientrano nell’ambito di applicazione del regolamento (UE) 2016/679 (2), anche quando l’inchiesta verte su questioni relative alla sicurezza nazionale? In caso affermativo, le disposizioni dell’RGPD concernenti il diritto di proporre reclamo a un’autorità nazionale di controllo possono essere applicate direttamente, nonostante un principio costituzionale che osta alle ingerenze esterne nell’attività del Parlamento? Sono queste, in sostanza, le questioni sollevate nel presente procedimento dal Verwaltungsgerichtshof (Corte amministrativa, Austria).
2. Conformemente alla giurisprudenza della Corte, proporrò di rispondere a dette questioni in senso affermativo. A mio avviso, tale soluzione risponderebbe non solo alle intenzioni del legislatore dell’Unione – il quale ha istituito l’RGPD come vera e propria lex generalis in materia di protezione dei dati personali –, ma altresì ai motivi sottesi alle disposizioni dell’articolo 16 TFUE, il cui ambito di applicazione si estende alle attività di controllo degli Stati membri, come quelle in discussione nel procedimento principale.
3. Nel caso di specie, un agente di polizia giudiziaria, WK (in prosieguo: l’«interessato»), è stato sentito da una commissione di inchiesta del Parlamento austriaco in merito a perquisizioni effettuate, tra l’altro, nei locali del Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Ufficio federale per la protezione della Costituzione e la lotta al terrorismo, Austria, in prosieguo: il «BVT»). Il verbale dell’audizione è stato successivamente pubblicato sul sito Internet del Parlamento austriaco, facendo apparire il nome e cognome dell’interessato, per il motivo che la stampa aveva già divulgato la sua identità.
4. Ritenendo che non fosse stato rispettato il suo diritto alla riservatezza dei dati personali, l’interessato ha adito l’Österreichische Datenschutzbehörde (Autorità austriaca per la protezione dei dati, in prosieguo: la «Datenschutzbehörde») con un reclamo ai sensi dell’articolo 77, paragrafo 1, dell’RGPD, che tuttavia non è stato oggetto di un esame nel merito. La Datenschutzbehörde ha declinato la propria competenza sulla base del principio della separazione dei poteri sancito dal diritto austriaco, ritenendo che, nel caso di specie, i suoi poteri di controllo fossero in contrasto con l’indipendenza costituzionale degli organi del Parlamento.
5. In siffatte circostanze l’interessato ha proposto il ricorso il cui esito dipende dalle risposte alle questioni pregiudiziali sottoposte alla Corte. Tali questioni vertono, in sostanza, sull’ambito di applicazione materiale e sull’effetto diretto delle disposizioni pertinenti dell’RGPD, il cui tenore è di seguito riportato.
Contesto normativo
Diritto dell’Unione
6. I considerando 16, 20 e 117 dell’RGPD enunciano quanto segue:
«(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione.
(...)
(20) Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. (...)
(...)
(117) L’istituzione di autorità di controllo a cui è conferito il potere di eseguire i loro compiti ed esercitare i loro poteri in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. Gli Stati membri dovrebbero poter istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa».
7. L’articolo 2 dell’RGPD, intitolato «Ambito di applicazione materiale», così dispone:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
(...)».
8. L’articolo 23, paragrafo 1, dell’RGPD, intitolato «Limitazioni», prevede quanto segue:
«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la sicurezza nazionale;
(...)
h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a) a e) e g);
(...)».
9. L’articolo 51, paragrafo 1, dell’RGPD, intitolato «Autorità di controllo», così recita:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)».
10. L’articolo 55 dell’RGPD, intitolato «Competenza», è così formulato:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
(...)
3. Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
11. L’articolo 77, dell’RGPD, intitolato «Diritto di proporre reclamo all’autorità di controllo», al paragrafo 1 prevede quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo (...)».
Diritto austriaco
12. L’articolo 53 del Bundes‑Verfassungsgesetz (legge costituzionale federale), del 2 gennaio 1930 (BGBl. 1/1930), nella versione del 30 dicembre 2021 (BGBl. I 235/2021), così prevede:
«1) Il Nationalrat può decidere di istituire commissioni di inchiesta. Inoltre, una commissione di inchiesta è istituita su richiesta di un quarto dei suoi membri.
(2) L’inchiesta verte su un’attività passata in un ambito rientrante nel potere esecutivo a livello federale. Sono incluse in esso tutte le attività degli organi federali mediante i quali il Bund, indipendentemente dall’entità della sua partecipazione, esercita diritti di partecipazione e di controllo. È escluso il riesame della giurisprudenza.
(3) Tutti gli organi del Bund, dei Länder, dei comuni e dei raggruppamenti di comuni nonché degli altri organi autonomi devono fornire, su richiesta, i loro fascicoli e documenti a una commissione di inchiesta nei limiti in cui essi rientrino nell’oggetto dell’inchiesta e devono soddisfare le richieste di una commissione di inchiesta dirette alla raccolta degli elementi di prova concernenti l’oggetto dell’inchiesta. (...)
(...)».
13. A termini dell’articolo 18, paragrafo 1, del Datenschutzgesetz (legge sulla protezione dei dati personali), del 17 agosto 1999 (BGBl. I 165/1999), nella versione del 26 luglio 2021 (BGBl. I 148/2021, in prosieguo: il «DSG»), intitolato «Organizzazione»:
«La Datenschutzbehörde è istituita come autorità nazionale di controllo ai sensi dell’articolo 51 [dell’RGPD]».
14. L’articolo 24 del DSG, intitolato «Reclamo alla Datenschutzbehörde», è così formulato:
«(1) Ogni interessato ha il diritto di proporre un reclamo alla Datenschutzbehörde se ritiene che il trattamento dei dati personali che lo riguardano costituisca una violazione dell’RGPD (...)».
15. L’articolo 35 del DSG, rubricato «Poteri specifici dell’autorità di controllo della protezione dei dati», al suo paragrafo 1, prevede quanto segue:
«La Datenschutzbehörde ha il compito di garantire la protezione dei dati in conformità con le disposizioni dell’RGPD e della presente legge federale».
Fatti all’origine della controversia, procedimento principale e questioni pregiudiziali
Fatti
16. Il 20 aprile 2018 la Camera bassa del Parlamento austriaco istituiva una commissione di inchiesta incaricata di esaminare le ingerenze che sarebbero state esercitate sul BVT al fine di strumentalizzarne le attività. Le affermazioni dei deputati all’origine della domanda di inchiesta riguardavano, in particolare, casi di abuso di autorità imputati ai funzionari del BVT, voci relative a intercettazioni telefoniche negli uffici della Cancelleria federale, la presunta strumentalizzazione delle indagini riguardanti taluni movimenti estremisti, nonché nomine di ispirazione politica, avvenute all’interno del BVT e nei gabinetti ministeriali.
17. Il 19 settembre 2018 l’interessato veniva ascoltato dalla commissione di inchiesta in qualità di testimone. Agente di un reparto della polizia federale incaricato della lotta alla delinquenza su strada, egli veniva interrogato in merito alle perquisizioni e ai sequestri di dati effettuati dalla sua unità negli uffici del BVT e presso i domicili dei suoi dipendenti.
18. Nonostante la prassi adottata nei confronti di alcuni altri testimoni, e malgrado la richiesta di anonimizzazione presentata dall’interessato, la commissione di inchiesta rivelava la sua identità pubblicando la versione integrale del verbale dell’audizione sul sito Internet del Parlamento austriaco.
Procedimento nella causa principale
19. Il reclamo proposto dall’interessato alla Datenschutzbehörde in forza dell’articolo 77, paragrafo 1, dell’RGPD veniva respinto per difetto di competenza. Nella sua decisione del 18 settembre 2019, tale autorità faceva valere che il principio della separazione dei poteri ostava a che essa interferisse con le attività di un organo del Parlamento.
20. Il ricorso proposto dall’interessato avverso la decisione del 18 settembre 2019 veniva accolto dal Bundesverwaltungsgericht (Corte amministrativa federale, Austria) con sentenza del 23 novembre 2020. Detto giudice annullava la decisione della Datenschutzbehörde per il motivo che le disposizioni dell’RGPD non prevedevano eccezioni idonee a limitare il suo ambito di applicazione nei confronti degli organi del potere legislativo.
21. La Datenschutzbehörde ha proposto un ricorso per cassazione («Revision») avverso tale sentenza dinanzi al Verwaltungsgerichtshof (Corte amministrativa), il quale si chiede se le disposizioni dell’RGPD siano applicabili nel procedimento principale.
Questioni pregiudiziali
22. In primo luogo – e a prescindere dall’oggetto dell’inchiesta di cui al procedimento principale – il giudice del rinvio si chiede se le attività di una commissione parlamentare di inchiesta «rientrino nell’ambito di applicazione del diritto dell’Unione» ai sensi dell’articolo 16, paragrafo 2, TFUE. Tale disposizione determina la competenza del Parlamento europeo e del Consiglio per adottare le norme relative ai trattamenti di dati personali effettuati dagli Stati membri.
23. A tale proposito, poiché le competenze dell’Unione restano limitate dal principio di attribuzione, il giudice del rinvio si chiede se l’RGPD sia applicabile alle attività di un organo parlamentare investito di una funzione di controllo politico, che a suo avviso non sono disciplinate da alcuna disposizione specifica del diritto dell’Unione.
24. Preoccupato di preservare l’identità nazionale e le funzioni essenziali degli Stati membri, conformemente all’articolo 4, paragrafo 2, TUE, il giudice del rinvio rileva inoltre che l’ingerenza di un organo amministrativo, quale la Datenschutzbehörde, nelle attività del Parlamento violerebbe il principio della separazione dei poteri sancito dalla Costituzione austriaca.
25. Alla luce della sentenza Land Hessen (3), in cui la Corte ha confermato che le disposizioni dell’RGPD si applicavano alle attività della commissione per le petizioni del Parlamento del Land dell’Assia, il giudice del rinvio si chiede, infine, se le funzioni di tale commissione, che contribuisce alle attività parlamentari solo indirettamente, debbano essere tenute distinte da quelle di cui sono investite le commissioni di inchiesta. A suo avviso, queste ultime si collocano al centro dell’attività del Parlamento e potrebbero esulare, per tale motivo, dall’ambito di applicazione del diritto dell’Unione.
26. In secondo luogo, nell’ipotesi in cui la Corte dichiarasse che le disposizioni dell’RGPD sono intese a disciplinare le attività delle commissioni di inchiesta, il giudice del rinvio si chiede tuttavia se la commissione di cui trattasi nel procedimento principale debba essere sottratta a dette disposizioni, in quanto l’oggetto delle sue attività presenta una connessione con questioni relative alla sicurezza nazionale.
27. Su questo punto, il giudice del rinvio ricorda che, a termini del considerando 16 dell’RGPD, le «attività riguardanti la sicurezza nazionale» non rientrano nell’ambito di applicazione di tale regolamento. A suo avviso, ciò potrebbe valere per l’inchiesta relativa alle pressioni politiche esercitate sul BVT, organo federale responsabile della salvaguardia delle funzioni essenziali dello Stato.
28. In terzo luogo, nel caso in cui la Corte concludesse che le disposizioni dell’RGPD sono comunque applicabili nel caso di specie, il giudice del rinvio s’interroga sull’applicazione diretta di tale regolamento.
29. Infatti, in assenza di un’adeguata deroga di rango costituzionale, la competenza della Datenschutzbehörde rimane limitata dal principio della separazione dei poteri vigente nel diritto austriaco. Pertanto, il giudice del rinvio si chiede se la competenza di tale autorità nei confronti degli organi del Parlamento austriaco possa discendere direttamente dal combinato disposto degli articoli 77, paragrafo 1, e 55, paragrafo 1, dell’RGPD, sebbene il legislatore nazionale abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, di detto regolamento.
30. In tale contesto, il Verwaltungsgerichtshof (Corte amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE, indipendentemente dall’oggetto dell’indagine, in modo che il trattamento dei dati personali effettuato da detta commissione sia disciplinato [dall’RGPD].
Qualora sia data una risposta affermativa alla prima questione:
2) Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo, la quale sottopone a indagine le attività di un’autorità di polizia di protezione dello Stato, ossia relative alla salvaguardia della sicurezza nazionale ai sensi del considerando 16 [dell’RGPD], rientrino nella deroga di cui all’articolo 2, paragrafo 2, lettera a), di detto regolamento.
Qualora sia data una risposta negativa alla seconda questione:
3) Ove – come nel caso in esame – uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, [dell’RGPD], se la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, in combinato disposto con l’articolo 55, paragrafo 1, di detto regolamento, discenda direttamente [da tale] regolamento».
31. Hanno presentato osservazioni scritte l’interessato, il Präsident des Nationalrates (presidente del Consiglio nazionale, Austria), la Datenschutzbehörde, i governi austriaco e ceco nonché la Commissione europea. Le medesime parti erano rappresentate all’udienza tenutasi il 6 marzo 2023.
Valutazione
Sulla prima questione pregiudiziale
32. Con la prima questione, il giudice del rinvio chiede se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE.
33. La risposta a tale questione dipende, da un lato, dall’interpretazione che occorre dare alla nozione di «attività che rientrano nel campo di applicazione del diritto dell’Unione», di cui all’articolo 16, paragrafo 2, prima frase, TFUE. Tale nozione, formulata in modo negativo, figura anche all’articolo 2, paragrafo 2, lettera a), dell’RGPD, che sottrae all’applicazione di tale regolamento le «attività che non rientrano nell’ambito di applicazione del diritto dell’Unione». Queste due disposizioni delimitano, rispettivamente, la competenza degli organi dell’Unione ad adottare le norme relative alla protezione dei dati personali e l’ambito di applicazione materiale dell’RGPD.
34. Dall’altro lato, la risposta alla prima questione pregiudiziale dipende dal modo in cui si devono qualificare le attività delle commissioni parlamentari di inchiesta alla luce delle succitate disposizioni del Trattato FUE e dell’RGPD.
Sulla nozione di «attività che rientrano nel campo di applicazione del diritto dell’Unione»
35. Come ho cercato di dimostrare nell’ambito di un’altra causa (4), tale nozione non è priva di ambiguità, in quanto si presta a due diverse interpretazioni. Tenuto conto delle discussioni sorte nel presente procedimento a proposito della sua interpretazione, nonostante una costante giurisprudenza della Corte (5), ritengo necessario esporre esaustivamente le ragioni che hanno portato agli sviluppi giurisprudenziali in tale materia.
– Interpretazione concretizzante
36. La prima delle possibili interpretazioni del «campo di applicazione del diritto dell’Unione» può essere definita concretizzante, nel senso che induce a chiedersi se una determinata attività sia disciplinata da una specifica disposizione del diritto dell’Unione.
37. In sostanza, tale interpretazione corrisponde alla nozione di «attuazione del diritto dell’Unione», che definisce l’ambito di applicazione della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). In un contesto diverso da quello della protezione dei dati personali, detta nozione è assimilata nella giurisprudenza della Corte all’«ambito di applicazione del diritto dell’Unione» (6).
38. Il giudice del rinvio si basa su questa interpretazione nella sua domanda di pronuncia pregiudiziale, rilevando che le attività delle commissioni parlamentari di inchiesta restano disciplinate esclusivamente dal diritto nazionale, il che lo induce a dubitare che l’RGPD sia applicabile nel procedimento principale.
39. Proprio su tale interpretazione si è basato l’avvocato generale Tizzano nelle conclusioni relative alle cause riunite Österreichischer Rundfunk e a. (7) e alla causa Lindqvist (8), in vigenza della direttiva 95/46/CE (9), che non sono state seguite dalla Corte.
40. È importante ricordare che la direttiva 95/46 era stata adottata sulla base dell’allora articolo 100 A del Trattato CE, divenuto articolo 95 CE e successivamente articolo 114 TFUE, nell’ambito delle misure che avevano ad oggetto l’istituzione e il funzionamento del mercato interno. Mirando a garantire la libera circolazione e un livello equivalente di protezione dei dati personali all’interno dell’Unione, detta direttiva non si applicava, conformemente al suo articolo 3, paragrafo 2, alle attività che «non rientra[va]no nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (...) e le attività dello Stato in materia di diritto penale», nonché ai trattamenti effettuati «da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico».
41. Sulla base di tali disposizioni, l’avvocato generale Tizzano ha concluso che la direttiva 95/46 non era applicabile nelle cause riunite Österreichischer Rundfunk e a. (10). In riferimento al trattamento dei dati relativi agli stipendi corrisposti da enti pubblici, destinati a figurare in una relazione trasmessa al Parlamento dalla Corte dei conti austriaca, l’avvocato generale ha quindi ritenuto che quest’ultima esercitasse nella fattispecie «un’attività pubblica di controllo, prevista e disciplinata dalle autorità austriache (addirittura con legge costituzionale) in base ad una loro autonoma scelta politico‑istituzionale, e non volta a dare esecuzione ad un obbligo comunitario. Non formando oggetto di alcuna specifica disciplina comunitaria, tale attività non può non rientrare nella competenza degli Stati membri» (11).
42. Seguendo la medesima interpretazione nella causa Lindqvist, l’avvocato generale Tizzano ha considerato che la pagina Internet creata dalla sig.ra Lindqvist nell’ambito della sua attività gratuita di catechista rientrava in un’«attività di carattere non economico, che non presenta nessun legame (o quanto meno nessun legame diretto) con l’esercizio delle libertà fondamentali garantite dal Trattato e non forma oggetto di alcuna specifica disciplina a livello comunitario» (12). Secondo l’avvocato generale, tale attività esulava pertanto dall’ambito di applicazione del diritto comunitario, ai sensi dell’articolo 3, paragrafo 2, della direttiva 95/46.
43. Tali conclusioni non sono state seguite dalla Corte, per ragioni che possono essere ricondotte alla volontà di salvaguardare la certezza del diritto e alla necessità di garantire l’effetto utile della direttiva 95/46.
44. Infatti, tenuto conto della specificità dei dati personali, la cui circolazione e il cui sfruttamento economico sono facilitati dalla loro digitalizzazione, è molto difficile stabilire in pratica, caso per caso, se il loro trattamento presenti un legame con disposizioni specifiche del diritto dell’Unione o con le libertà che caratterizzano il mercato interno, come richiederebbe l’interpretazione concretizzante.
45. Per riprendere l’esempio della causa che ha dato luogo alla sentenza Lindqvist (13), sarebbe difficile stabilire in pratica se il funzionamento di una pagina Internet destinata a una cerchia limitata di parrocchiani presentasse un legame concreto con le disposizioni della direttiva 95/46 relative alla libera circolazione dei dati tra gli Stati membri nell’ambito del mercato comune. La risposta a tale questione potrebbe dipendere, in particolare, dall’ubicazione fisica dei server che ospitano il sito Internet di cui trattasi (14).
46. Aggiungo che rischierebbero di presentarsi difficoltà di natura analoga qualora l’interpretazione concretizzante dovesse prevalere nel presente procedimento in vigenza dell’RGPD.
47. A titolo d’esempio, sarebbe difficile stabilire con precisione in quale misura le attività di taluni titolari del trattamento – come le chiese o le associazioni religiose, che sono espressamente menzionate da detto regolamento (15) – rimangano effettivamente soggette a disposizioni specifiche del diritto dell’Unione (16). La stessa questione potrebbe porsi per taluni enti senza scopo di lucro che non esercitano attività economiche. Ne deriverebbe un’incertezza giuridica circa l’ambito di applicazione dell’RGPD.
48. Tenuto conto di tali difficoltà, la Corte ha respinto l’interpretazione concretizzante del «campo di applicazione del diritto comunitario» in vigenza della direttiva 95/46. Nelle sentenze Österreichischer Rundfunk e a. (17) e Lindqvist (18), la Corte ha dichiarato che, «[p]oiché tutti i dati personali possono circolare tra gli Stati membri, la direttiva 95/46 impone in linea di principio il rispetto delle norme di tutela di tali dati rispetto a qualsiasi trattamento di questi ultimi, come disposto dal suo art. 3. (...) Di conseguenza, l’applicabilità della direttiva 95/46 non può dipendere dalla soluzione del problema se le situazioni concrete di cui trattasi (…) presentino un nesso sufficiente con l’esercizio delle libertà fondamentali garantite dal Trattato (...). Infatti, un’interpretazione in senso contrario rischierebbe di rendere particolarmente incerti ed aleatori i limiti del campo di applicazione della detta direttiva, il che sarebbe contrario al suo obiettivo essenziale, che è quello di ravvicinare le disposizioni legislative, regolamentari, ed amministrative degli Stati membri per eliminare gli ostacoli al funzionamento del mercato interno derivanti proprio dalle disparità esistenti tra le normative nazionali» (19).
49. L’interpretazione «generalizzante» della direttiva 95/46 ha quindi prevalso nella giurisprudenza della Corte.
– Interpretazione generalizzante
50. Tale interpretazione conduce ad includere nell’ambito di applicazione del diritto dell’Unione tutte le attività che possono rientrarvi, nel senso che non sono state sottratte ad esso in ragione delle competenze esclusive degli Stati membri.
51. In vigenza della direttiva 95/46, detta interpretazione ha indotto la Corte a fornire una lettura restrittiva dell’eccezione riguardante le attività che non rientravano nel campo di applicazione del diritto comunitario. Così, nella sentenza Lindqvist, la Corte ha dichiarato che «le attività menzionate a titolo esemplificativo nell’art[icolo] 3, [paragrafo] 2, primo trattino, della direttiva 95/46 s[o]no destinate a definire la portata dell’eccezione ivi prevista, di modo che detta eccezione si applica solo alle attività che vi sono così espressamente menzionate e che possono essere ascritte alla stessa categoria (eiusdem generis)» (20).
52. Prima dell’entrata in vigore del Trattato di Lisbona, le attività coperte da tale eccezione – concernente la pubblica sicurezza, la difesa, la sicurezza dello Stato, la materia penale nonché le attività menzionate nei titoli V e VI del Trattato sull’Unione europea – rientravano nel secondo e nel terzo pilastro dell’Unione ed erano pertanto escluse dalla cooperazione intergovernativa. Tali attività non potevano quindi essere oggetto di una disciplina comunitaria, tenuto conto della ripartizione delle competenze tra l’Unione e gli Stati membri prevista all’epoca dai Trattati.
53. L’esclusione delle «attività che non rientrano nel campo di applicazione del diritto comunitario» contenuta nell’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 deve essere letta in tale contesto. Orbene, l’ambito di applicazione dell’RGPD è stato definito in termini analoghi.
54. Ai sensi del suo articolo 2, paragrafo 2, lettere da a) a d), l’RGPD non si applica ai trattamenti di dati personali «a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse». Quest’ultimo tipo di trattamento è stato assoggettato alle disposizioni della direttiva (UE) 2016/680 (21).
55. Alla luce del considerando 16 dell’RGPD, le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione sono, in particolare, quelle riguardanti la sicurezza nazionale.
56. Sulla base del complesso di tali disposizioni, la Corte ha dichiarato nella sentenza Land Hessen che l’eccezione di cui all’articolo 2, paragrafo 2, lettera a), dell’RGPD, la quale copre le «attività che non rientrano nell’ambito di applicazione del diritto dell’Unione», deve essere interpretata restrittivamente, di modo che «il fatto che un’attività sia propria dello Stato o di una pubblica autorità non è sufficiente affinché tale eccezione sia automaticamente applicabile all’attività considerata. È infatti necessario che detta attività sia inclusa tra quelle che sono espressamente menzionate dalla disposizione in discorso o che possa essere ascritta alla stessa categoria di tali attività» (22).
57. Mi sembra che nessuno degli argomenti dedotti nella presente causa possa rimettere in discussione tale interpretazione.
58. In particolare, non condivido gli argomenti basati sul principio di attribuzione, che sono stati sollevati, in particolare, dal giudice del rinvio e dal Präsident des Nationalrates (presidente del Consiglio nazionale).
59. Conformemente al principio di attribuzione di cui all’articolo 5, paragrafo 2, TUE(23), l’Unione dispone unicamente di competenze che le sono state conferite nei Trattati dagli Stati membri.
60. Sul piano puramente lessicale, la nozione di «attività che rientrano nel campo di applicazione del diritto dell’Unione» è ambigua a tale riguardo. A prima vista, l’interpretazione generalizzante di detta nozione adottata nella giurisprudenza della Corte potrebbe sembrare discutibile, in quanto conduce ad assoggettare alle disposizioni dell’RGPD tutte le attività che non sono state sottratte a tale regolamento, il che sembra in contrasto con il principio sopra ricordato.
61. Tuttavia, in forza di una giurisprudenza costante, quando si interpreta una disposizione del diritto dell’Unione occorre tenere conto non soltanto della formulazione di quest’ultima e degli obiettivi da essa perseguiti, ma anche del suo contesto e dell’insieme delle disposizioni del diritto dell’Unione. Anche la genesi di una disposizione del diritto dell’Unione può fornire elementi pertinenti per la sua interpretazione (24).
62. Orbene, tralasciando l’interpretazione letterale, che mi sembra poco concludente, tenuto conto del tenore equivoco del «campo di applicazione del diritto dell’Unione», l’analisi contestuale (25) e teleologica depone chiaramente a favore dell’interpretazione generalizzante dell’articolo 16, paragrafo 2, TFUE, cosicché la portata di tale disposizione va oltre quella dell’«attuazione del diritto dell’Unione» ai sensi dell’articolo 51, paragrafo 1, della Carta.
63. In primo luogo, tale conclusione s’impone alla luce del sistema del Trattato FUE e della specifica collocazione dell’articolo 16, paragrafo 2, nell’architettura di detto Trattato.
64. L’articolo in parola figura nel titolo II della prima parte del Trattato FUE, che contiene le «disposizioni di applicazione generale». Ne consegue che il diritto delle persone fisiche alla protezione dei dati personali, sancito dalla menzionata disposizione, riveste un’importanza speciale rispetto agli altri diritti fondamentali che hanno trovato la loro collocazione nella Carta allegata al Trattato.
65. Più in particolare, la posizione privilegiata dell’articolo 16 TFUE nell’economia del Trattato suggerisce che il «campo di applicazione» menzionato in tale disposizione non è limitato alle sole situazioni nelle quali gli Stati membri «attua[no il] diritto dell’Unione» ai sensi dell’articolo 51, paragrafo 1, della Carta, il che corrisponderebbe all’interpretazione concretizzante evocata supra.
66. Su tale punto, tengo a sottolineare una differenza di natura tra le disposizioni dell’articolo 16, paragrafo 2, TFUE e le disposizioni della Carta.
67. Conformemente al suo articolo 51, paragrafo 2, la Carta «non estende l’ambito di applicazione del diritto dell’Unione al di là delle competenze dell’Unione, né introduce competenze nuove o compiti nuovi per l’Unione, né modifica le competenze e i compiti definiti nei trattati». Le sue disposizioni sono rivolte agli Stati membri, nella misura in cui attuano il diritto dell’Unione in settori che rientrano già nell’ambito di applicazione di tale diritto.
68. Lo stesso non vale per l’articolo 16, paragrafo 2, TFUE, le cui disposizioni costituiscono e delegano all’Unione una competenza legislativa in materia di protezione e di libera circolazione dei dati personali, e definiscono a tal fine un ambito di applicazione specifico, basato sulle disposizioni della direttiva 95/46, come dimostra la genesi di tale disposizione.
69. In secondo luogo, infatti, dai lavori preparatori del Trattato di Lisbona emerge chiaramente che gli autori del Trattato FUE intendevano riaffermare il campo di applicazione delle norme relative alla protezione dei dati personali, quale era stato definito in vigenza della direttiva 95/46.
70. A tale proposito, occorre rammentare che il tenore dell’articolo 16 TFUE si ispira direttamente al progetto di Trattato che istituisce una Costituzione per l’Europa, il cui articolo 36 bis, paragrafo 2 (divenuto articolo 50, paragrafo 2, nella versione finale del progetto del 18 luglio 2003 (26)) prevedeva la competenza del Parlamento e del Consiglio ad adottare «le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati» (27).
71. Orbene, secondo le spiegazioni fornite dai suoi autori, «[i]l progetto di articolo 36 bis è volto a creare una base giuridica unica ai fini della protezione dei dati di carattere personale, sia da parte delle istituzioni che degli Stati membri, nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione. Il testo si basa sul regime comunitario attuale, quale risulta dalla [direttiva 95/46] (fondata sull’articolo 95 TCE) per quanto riguarda l’azione degli Stati membri» (28).
72. Ne consegue chiaramente che se la nozione di «ambito di applicazione del diritto dell’Unione» che figura all’articolo 2, paragrafo 2, lettera a), dell’RGPD fosse interpretata in modo da limitare l’applicazione di tale regolamento rispetto a quella della direttiva 95/46, ciò sarebbe in contrasto con la volontà degli Stati membri espressa nel Trattato FUE.
73. In terzo luogo, occorre tenere conto delle considerazioni teleologiche, legate alla dinamica e agli obiettivi specifici della protezione dei dati personali nella quale si inscrive l’adozione dell’RGPD.
74. Sotto tale profilo, non vi è dubbio che il legislatore dell’Unione abbia tentato di rafforzare tale protezione e di consolidare l’ambito di applicazione delle relative norme. Ciò è evidenziato dalla sostituzione deliberata della direttiva 95/46 con un dispositivo regolamentare più vincolante e, in modo esplicito, dal contenuto dei considerando 9, 11 e 13 dell’RGPD.
75. Gli obiettivi presi in considerazione in tale misura derivano dalla specificità del fenomeno del trattamento dei dati personali, che va oltre l’ambito delle attività in occasione delle quali tali dati possono essere raccolti.
76. Inoltre, dette attività non sono necessariamente attività economiche, le quali sarebbero già soggette a norme del diritto dell’Unione che disciplinano il mercato interno, il che non riduce in alcun modo il valore di mercato dei dati raccolti e non elimina i rischi inerenti al loro trattamento.
77. La problematica dei dati personali presenta a tale proposito un carattere trasversale e le norme relative alla loro protezione non possono quindi essere confinate all’ambito di applicazione delle categorie preesistenti del diritto dell’Unione.
78. In altri termini, se il «campo di applicazione del diritto dell’Unione» menzionato all’articolo 16, paragrafo 2, TFUE va oltre le ipotesi di «attuazione del diritto dell’Unione», ai sensi dell’articolo 51, paragrafo 1, della Carta, ciò avviene in ragione della natura autonoma delle problematiche legate al trattamento dei dati personali, che hanno richiesto uno specifico intervento legislativo la cui portata va oltre la somma delle disposizioni preesistenti del diritto dell’Unione. Da questo punto di vista, l’ampio ambito di applicazione dell’RGPD riflette la volontà di affrontare le questioni relative alla protezione dei dati personali adottando un sistema concepito «su misura».
79. Tenuto conto della convergenza delle conclusioni derivanti dall’analisi contestuale e teleologica dell’articolo 16, paragrafo 2, TFUE, propongo alla Corte di confermare la sua giurisprudenza precedente (29), adottando un’interpretazione restrittiva dell’eccezione relativa alle «attività che non rientrano nell’ambito di applicazione del diritto dell’Unione», contenuta nell’articolo 2, paragrafo 2, lettera a), dell’RGPD.
80. Propongo alla Corte di valutare alla luce di tale interpretazione l’idoneità del regolamento in parola ad applicarsi alle attività della commissione parlamentare di inchiesta oggetto del procedimento principale.
Sull’applicazione dell’RGPD alle attività della commissione parlamentare di inchiesta
81. Ritengo che si imponga un’osservazione preliminare riguardo al modo in cui le disposizioni pertinenti dell’RGPD definiscono l’ambito di applicazione di tale regolamento.
– Importanza secondaria dei criteri istituzionali per la definizione dell’ambito di applicazione dell’RGPD
82. Occorre sottolineare che le considerazioni organiche o istituzionali, relative alla natura degli organi o delle persone titolari del trattamento di dati personali, rivestono un’importanza secondaria nella definizione dell’ambito di applicazione dell’RGPD.
83. Da un lato, infatti, l’ambito di applicazione dell’RGPD si basa sulla nozione materiale di «trattamento» dei dati personali, conformemente all’articolo 2, paragrafo 1, di tale regolamento. La nozione organica di «titolare del trattamento» contenuta nell’articolo 4, punto 7, dell’RGPD ha, da questo punto di vista, solo un carattere accessorio, nel senso che si basa, in sostanza, sulla nozione materiale di trattamento. Infatti, sebbene la definizione del titolare del trattamento menzioni «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo», tale menzione equivale a neutralizzare i criteri organici ai fini della sua applicazione.
84. Dall’altro, se pure le disposizioni che delimitano l’ambito di applicazione materiale dell’RGPD, contenute nell’articolo 2, paragrafo 2, di tale regolamento, si riferiscono a talune categorie di persone o di organi, vale a dire agli Stati membri, alle persone fisiche e alle autorità competenti in materia penale, ciò avviene sempre nel contesto delle attività che esulano dall’ambito di applicazione di detto regolamento. Pertanto, non sono persone in quanto tali ad essere sottratte all’applicazione dell’RGPD, bensì unicamente alcune delle loro attività.
85. L’importanza secondaria dei criteri istituzionali è inoltre confermata dal modo in cui vengono definite le deroghe parziali, che limitano la portata delle disposizioni specifiche dell’RGPD. A titolo d’esempio (30), se le autorità giurisdizionali sfuggono alla competenza delle autorità di controllo nazionali, conformemente all’articolo 55, paragrafo 3, dell’RGPD, ciò avviene solamente nella misura in cui esse esercitano le loro funzioni giurisdizionali. La portata di tale eccezione è quindi determinata non già dallo status delle autorità giurisdizionali, bensì dalla natura particolare delle loro attività.
86. Dall’assenza di disposizioni dell’RGPD che riguardino specificamente gli organi parlamentari deriva, a mio avviso, che ciò che deve determinare la possibilità di applicare tale regolamento non è lo status degli organi del Parlamento nel diritto austriaco, bensì la natura delle loro attività.
– Sulla natura delle attività della commissione di inchiesta nel procedimento principale
87. Alla luce di tutti gli elementi portati a conoscenza della Corte, ritengo che i compiti affidati a tale commissione possano essere qualificati come attività di controllo pubblico che implicano l’esercizio dell’autorità pubblica.
88. Siffatta qualificazione risulta dal tenore stesso della prima e della seconda questione pregiudiziale, che vertono sulle attività svolte nell’ambito del controllo del potere esecutivo. Secondo le spiegazioni fornite dal giudice del rinvio, «[l]’obiettivo delle commissioni di inchiesta è di fare luce su taluni punti a fini politici (...). A tale proposito spetta alle commissioni di inchiesta assolvere il compito di controllo che è stato loro conferito costituzionalmente» (31).
89. Tale qualificazione è corroborata dalle osservazioni scritte presentate alla Corte (32).
90. Alla luce delle spiegazioni fornite in udienza dal Präsident des Nationalrates (presidente del Consiglio nazionale), è inoltre pacifico che la commissione di inchiesta in questione gode di talune prerogative di autorità pubblica, quali il diritto di convocare testimoni o di ottenere l’accesso ai documenti relativi all’oggetto delle sue attività, che sono corredate dal potere di infliggere sanzioni pecuniarie, volto a garantire il corretto svolgimento dell’inchiesta.
91. Mi sembra che sussista invece una certa confusione per quanto riguarda la natura legislativa delle attività di tale commissione e le sue eventuali conseguenze per l’applicabilità dell’RGPD.
92. Il Präsident des Nationalrates (presidente del Consiglio nazionale) osserva a tale proposito che «[l]e commissioni di inchiesta rientrano, sia dal punto di vista organizzativo che funzionale, nel potere legislativo. Gli atti compiuti dalle commissioni di inchiesta o per loro conto rientrano quindi nella funzione legislativa dello Stato» (33). Ad avviso di tale organo, ne consegue che «[l]’attività di una commissione di inchiesta si colloca quindi al centro dell’ambito legislativo e, in quanto attività (di controllo) di natura esclusivamente parlamentare e politica, rientra nell’eccezione di cui all’articolo 2, paragrafo 2, lettera a), dell’RGPD» (34).
93. Tali affermazioni mi inducono a tre osservazioni.
94. In primo luogo, a prescindere dall’eventuale partecipazione delle commissioni di inchiesta alle attività legislative, tengo a sottolineare che le attività legislative o parlamentari non sono state sottratte all’applicazione dell’RGPD (35), a differenza delle attività connesse all’esercizio delle funzioni giurisdizionali, che rientrano nella deroga parziale di cui all’articolo 55, paragrafo 3, di tale regolamento.
95. Su questo punto, a differenza di alcuni interessati, dubito che si possa interpretare detta deroga per analogia, in modo da estendere alle funzioni legislative l’eccezione riguardante le funzioni giurisdizionali. Anzi, se la deroga contenuta nell’articolo 55, paragrafo 3, dell’RGPD dovesse ispirare il ragionamento della Corte nel presente procedimento, potrebbe dare luogo soltanto ad un’interpretazione a contrario. Tenuto conto dell’ampio ambito di applicazione dell’RGPD, l’eccezione relativa alle funzioni giurisdizionali non potrebbe essere interpretata estensivamente.
96. In secondo luogo, a mio avviso, nessuno degli elementi portati a conoscenza della Corte permette di sostenere che l’attività della commissione di inchiesta di cui al procedimento principale rivesta una funzione legislativa.
97. In particolare, la commissione di inchiesta in questione non è autorizzata ad assumere iniziative legislative e non partecipa in alcun altro modo alle attività legislative del Parlamento austriaco. Inoltre, quand’anche la relazione finale dell’inchiesta possa costituire una fonte di ispirazione per il legislatore, non mi sembra che tale circostanza sia idonea a conferire carattere legislativo alle attività di detta commissione. Anche le attività di alcuni organi extraparlamentari – come la Corte dei conti austriaca, le cui relazioni vengono trasmesse al Parlamento – possono ispirare il legislatore, senza che si debba collegarle per questo motivo all’esercizio del potere legislativo.
98. In terzo luogo, e a prescindere dalla loro eventuale importanza nel diritto austriaco, le considerazioni istituzionali restano irrilevanti ai fini dell’applicabilità dell’RGPD, cosicché l’appartenenza organizzativa della commissione parlamentare di inchiesta non può essere determinante per la risposta da dare alla prima questione pregiudiziale.
– Sull’idoneità dell’RGPD ad applicarsi alle attività di controllo pubblico
99. Alla luce delle considerazioni che precedono, occorre chiedersi se le attività di controllo pubblico svolte da una commissione parlamentare di inchiesta rientrino nell’ambito di applicazione dell’RGPD.
100. A mio avviso, si deve rispondere a tale questione in senso affermativo, per tre motivi principali.
101. In primo luogo, i trattamenti di dati personali effettuati dalla commissione di cui trattasi rientrano nella nozione materiale di «trattamento», definita all’articolo 2, paragrafo 1, dell’RGPD. Tale qualificazione non è contestata da nessuna delle parti interessate nel presente procedimento.
102. In secondo luogo, le attività di controllo pubblico rientrano nel campo di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, TFUE e dell’articolo 2, paragrafo 2, lettera a), dell’RGPD, come interpretati dalla giurisprudenza della Corte, segnatamente in quanto nessuna disposizione di detto regolamento le sottrae alla sua applicazione.
103. Al contrario, le attività di controllo sono espressamente menzionate all’articolo 23, paragrafo 1, lettera h), dell’RGPD, il quale prevede la possibilità di limitare la portata di taluni diritti e obblighi previsti da tale regolamento, quando siffatta limitazione sia necessaria per garantire l’esercizio di «una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri» in determinati casi previsti dalla menzionata disposizione.
104. Ne consegue che le disposizioni dell’RGPD sono intese ad applicarsi alle attività di controllo pubblico, anche se a tal fine possono essere previste misure particolari. L’eventuale limitazione delle tutele derivanti dall’RGPD non conduce tuttavia ad escludere l’applicazione di detto regolamento.
105. Infine, in terzo luogo, tenuto conto della ripartizione generale delle competenze tra l’Unione e gli Stati membri, non risulta affatto che le attività di controllo pubblico siano riservate esclusivamente a questi ultimi.
106. Per attenersi specificamente ad un esempio di controllo parlamentare, la duplicazione delle indagini sul cosiddetto «Dieselgate», avviate contemporaneamente dal Parlamento europeo (36) e dal Bundestag (Parlamento federale) tedesco, illustra chiaramente il concorso di competenze in materia.
107. Certamente, si potrebbe sostenere che l’ambito di applicazione del diritto dell’Unione copre unicamente le attività di controllo che presentano un nesso con l’applicazione delle disposizioni di tale diritto.
108. Tuttavia, un approccio siffatto equivarrebbe a reintrodurre l’interpretazione concretizzante del «campo di applicazione del diritto dell’Unione» e presenterebbe pertanto gli stessi rischi di incertezza giuridica. Tenuto conto della natura stessa dell’inchiesta parlamentare, che mira a fare luce sulle circostanze di cui trattasi, mi sembra difficile stabilire in anticipo se le attività di una commissione di inchiesta presentino un nesso concreto con l’applicazione delle disposizioni del diritto dell’Unione (37).
109. In tale contesto, occorre tenere conto dell’obiettivo di certezza del diritto perseguito dalle disposizioni dell’RGPD, che mirano ad evitare la frammentazione dell’attuazione della protezione dei dati nell’Unione (38).
110. Tenuto conto di detto obiettivo, e conformemente alla soluzione adottata dalla Corte nella sentenza Österreichischer Rundfunk e a. (39), pronunciata in vigenza della direttiva 95/46, l’ambito di applicazione dell’RGPD dovrebbe essere interpretato in modo da includere le attività di controllo pubblico, a prescindere dal loro legame con l’applicazione di specifiche disposizioni del diritto dell’Unione.
111. Alla luce di quanto precede, propongo di rispondere alla prima questione pregiudiziale dichiarando che le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrano nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE.
Sulla seconda questione pregiudiziale
112. Con la seconda questione, il giudice del rinvio chiede se le attività della commissione di inchiesta di cui al procedimento principale rientrino nell’eccezione di cui all’articolo 2, paragrafo 2, lettera a), dell’RGPD, letto alla luce del considerando 16 di detto regolamento, tenuto conto dell’oggetto particolare delle sue attività, connesso alle questioni della sicurezza nazionale.
113. Ritengo che non sia così, per vari motivi.
114. In primo luogo, considerato l’ampio ambito di applicazione dell’RGPD, l’eccezione concernente le attività riguardanti la sicurezza nazionale deve essere interpretata restrittivamente. Ne deduco che solo le attività aventi per oggetto immediato la sicurezza nazionale rientrano in tale eccezione.
115. È evidente che ciò non vale per le attività della commissione di inchiesta di cui al procedimento principale, che è stata investita di un compito di controllo nei confronti degli organi del governo federale.
116. È vero che, nella misura in cui il controllo in questione verte sul funzionamento del BVT, il cui compito consiste nel garantire l’integrità e la continuità delle istituzioni statali, l’attività di detta commissione può avere contribuito indirettamente alla salvaguardia della sicurezza nazionale.
117. Tuttavia, tale contributo non modifica la natura delle attività affidate a una commissione di inchiesta e non può condurre a sottrarle alle disposizioni dell’RGPD. Se dovesse prevalere la soluzione opposta, ci si potrebbe chiedere se un’agenzia pubblicitaria, incaricata dal Ministero della Difesa di promuovere le professioni militari, non debba sfuggire a dette disposizioni per lo stesso motivo.
118. In secondo luogo, se l’applicazione dell’RGPD dovesse dipendere dall’oggetto di un’inchiesta parlamentare, ciò sarebbe in contrasto con l’obiettivo di certezza del diritto perseguito dal legislatore dell’Unione.
119. Tenuto conto della sua natura mutevole, l’oggetto di un’inchiesta parlamentare non costituisce una base sufficientemente coerente per determinare l’ambito di applicazione dell’RGPD. Fattori circostanziali, come il coinvolgimento personale di un Ministro della Difesa in un caso di corruzione – che potrebbe essere rivelato (o smentito) nel corso dell’inchiesta –, non possono servire come riferimenti a tal fine.
120. In terzo luogo, l’interpretazione dell’eccezione contenuta nell’articolo 2, paragrafo 2, lettera a), dell’RGPD dovrebbe tenere conto della ratio legis di tale disposizione. Ritengo che ciò sia legato all’impossibilità di conciliare taluni aspetti fondamentali del diritto al rispetto dei dati personali con la segretezza inerente ad alcune attività riguardanti la sicurezza nazionale.
121. A titolo d’esempio, mi è difficile immaginare come i servizi di intelligence nazionale potrebbero garantire il rispetto dei diritti di informazione e di accesso, sanciti dagli articoli 14 e 15 dell’RGPD, senza compromettere nel contempo le attività di sorveglianza delle persone sospettate di appartenere ad un gruppo terroristico. In un caso del genere, le esigenze derivanti dall’RGPD risultano intrinsecamente incompatibili con gli imperativi della sicurezza nazionale.
122. Per contro, mi sembra che l’attività di una commissione parlamentare di inchiesta non incontri alcun ostacolo insormontabile di questo tipo, e non vedo perché il rispetto degli obblighi derivanti dall’RGPD potrebbe comprometterne l’eventuale contributo alla salvaguardia della sicurezza nazionale.
123. È vero che la pubblicità che solitamente accompagna le attività delle commissioni di inchiesta contribuisce alla dimensione pubblica del controllo parlamentare. L’obiettivo di trasparenza è tuttavia in contrasto con la ratio legis dell’articolo 2, paragrafo 2, lettera a), dell’RGPD, che mira a preservare i segreti della sicurezza nazionale.
124. In quarto luogo, sebbene il corretto svolgimento di un’inchiesta parlamentare possa, in alcuni casi, non conciliarsi con il rispetto degli obblighi derivanti dall’RGPD – ad esempio nell’ipotesi in cui la commissione ottenga l’accesso a documenti riservati contenenti dati personali – ricordo che l’articolo 23, paragrafo 1, lettere a) e h), dell’RGPD prevede la possibilità di limitare i diritti e gli obblighi sanciti dagli articoli 5, da 12 a 22 e 34 di detto regolamento quando tale limitazione sia necessaria per garantire un compito di controllo in considerazione degli imperativi della sicurezza nazionale.
125. Ne consegue, a mio avviso, che l’eventuale legame tra l’oggetto di un’inchiesta parlamentare e le questioni della sicurezza nazionale non dovrebbe condurre a sottrarre la commissione di inchiesta all’applicazione dell’RGPD. Considerato il contesto istituzionale in cui si colloca l’attività di tali commissioni, i cui membri partecipano ai lavori degli organi legislativi del Parlamento, mi sembra inoltre relativamente agevole adottare le necessarie disposizioni legislative per poter tenere conto dell’oggetto particolare di talune inchieste parlamentari, come previsto dalle disposizioni dell’articolo 23, paragrafo 1, dell’RGPD.
126. Per tutti questi motivi, propongo alla Corte di rispondere alla seconda questione pregiudiziale dichiarando che le attività di una commissione parlamentare di inchiesta, la quale sottopone a indagine le attività di un’autorità di polizia di protezione dello Stato relative alla salvaguardia della sicurezza nazionale, ai sensi del considerando 16 dell’RGPD, non rientrano nella deroga di cui all’articolo 2, paragrafo 2, lettera a), di detto regolamento.
Sulla terza questione pregiudiziale
127. Con la terza questione, il giudice del rinvio chiede se la competenza di un’unica autorità di controllo, istituita ai sensi dell’articolo 51, paragrafo 1, dell’RGPD con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di tale regolamento, possa discendere direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, dell’RGPD.
128. Tale questione, che viene sollevata per il caso in cui l’RGPD sia applicabile alle attività della commissione di inchiesta di cui al procedimento principale, si spiega con taluni ostacoli di natura costituzionale. Ad avviso del Verwaltungsgerichtshof (Corte amministrativa) e di alcuni interessati, il principio della separazione dei poteri proprio del diritto austriaco osta a che un organo amministrativo, nella fattispecie la Datenschutzbehörde, interferisca con le attività del Parlamento, esaminando reclami che lo riguardano.
129. La terza questione pregiudiziale è quindi volta a stabilire la portata dell’effetto diretto dell’articolo 55, paragrafo 1, in combinato disposto con l’articolo 77, paragrafo 1, dell’RGPD, quando la competenza dell’unica autorità di controllo istituita da uno Stato membro rischi di essere limitata da un principio di rango costituzionale.
130. In riferimento ad un regolamento dell’Unione, occorre ricordare che esso, in linea di principio, è direttamente applicabile in tutti i suoi elementi, ai sensi dell’articolo 288, paragrafo 2, TFUE, come confermato dall’articolo 99, paragrafo 2, secondo comma, dell’RGPD (40).
131. Conformemente alla giurisprudenza della Corte, lo stesso vale nel caso in cui una disposizione regolamentare richieda l’adozione di misure di applicazione, considerato il margine di valutazione lasciato per la sua attuazione agli Stati membri (41).
132. A tal riguardo, ritengo che il combinato disposto dell’articolo 77, paragrafo 1, dell’RGPD, che prevede la competenza delle autorità di controllo ad esaminare i reclami ivi previsti, e dell’articolo 55, paragrafo 1, di detto regolamento sia sufficientemente chiaro e incondizionato per essere applicato direttamente.
133. Aggiungo che la Corte ha già confermato l’effetto diretto dell’articolo 58, paragrafo 5, dell’RGPD, dichiarando che un’autorità di controllo nazionale può avvalersi della capacità di stare in giudizio ad essa riconosciuta da detta disposizione per intentare o proseguire un’azione nei confronti di un privato, anche in assenza di qualsiasi misura di applicazione legislativa adottata a tale fine dallo Stato membro interessato (42).
134. Inoltre, nelle circostanze del procedimento principale, mi sembra che non siano necessarie ulteriori misure di attuazione per disciplinare le modalità procedurali del reclamo di cui all’articolo 77 dell’RGPD. La Datenschutzbehörde esamina regolarmente siffatti reclami e l’unica questione riguarda la sua competenza nei confronti degli organi del Parlamento.
135. Orbene, tale questione non è stata lasciata alla libera valutazione degli Stati membri.
136. È vero che l’esercizio effettivo del diritto di proporre un reclamo presuppone la previa istituzione di una o più autorità di controllo, conformemente all’articolo 51, paragrafo 1, dell’RGPD, il che richiede l’intervento degli Stati membri. Si tratta, tuttavia, di una questione relativa all’effetto diretto di quest’ultima disposizione, questione che non è stata sollevata nel procedimento principale.
137. Per quanto riguarda il numero di autorità di controllo da istituire ai sensi dell’articolo 51, paragrafo 1, dell’RGPD, la scelta istituzionale lasciata in materia agli Stati membri non può condurre a limitare le competenze dell’unica autorità istituita dal legislatore austriaco. L’interpretazione contraria priverebbe l’articolo 55, paragrafo 1, e l’articolo 77, paragrafo 1, dell’RGPD della loro efficacia diretta e rischierebbe di ridurre l’effetto utile di tutte le altre disposizioni di tale regolamento che possano essere interessate da un reclamo.
138. Infine, per quanto riguarda gli ostacoli di natura costituzionale esistenti nel diritto austriaco, essi non possono condurre a negare l’applicazione delle disposizioni dell’RGPD. Conformemente ad una giurisprudenza costante della Corte, il fatto che siano menomati i principi di una costituzione nazionale non può sminuire l’efficacia di un atto dell’Unione (43).
139. In risposta alla terza questione pregiudiziale, propongo quindi alla Corte di dichiarare che, ove uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, dell’RGPD, la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di detto regolamento discende direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, di tale regolamento.
Conclusione
140. Alla luce di tutte le suesposte considerazioni, propongo alla Corte di rispondere alle questioni sollevate dal Verwaltungsgerichtshof (Corte amministrativa, Austria) nei seguenti termini:
1) Le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrano nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE, cosicché il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), si applica al trattamento dei dati personali effettuato da una simile commissione.
2) Le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo, la quale sottopone a inchiesta le attività di un’autorità di polizia di protezione dello Stato, ossia relative alla salvaguardia della sicurezza nazionale ai sensi del considerando 16 del regolamento 2016/679, non rientrano nella deroga di cui all’articolo 2, paragrafo 2, lettera a), di detto regolamento.
3) Ove uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, del regolamento 2016/679, la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di detto regolamento discende direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, di tale regolamento.
1 Lingua originale: il francese.
2 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3, e GU 2021, L 74, pag. 35; in prosieguo: l’«RGPD»).
3 Sentenza del 9 luglio 2020 (C‑272/19, EU:C:2020:535).
4 V. mie conclusioni nella causa Latvijas Republikas Saeima (Punti di penalità per infrazioni stradali) (C‑439/19, EU:C:2020:1054, paragrafi 44 e segg.).
5 V. sentenze del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294); del 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596); del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535), e del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità per infrazioni stradali) (C‑439/19, EU:C:2021:504).
6 Sentenze del 26 febbraio 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, punto 21); del 21 dicembre 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, punto 62); del 21 maggio 2019, Commissione/Ungheria (Usufrutti su terreni agricoli) (C‑235/17, EU:C:2019:432, punto 63), e del 24 settembre 2020, YS (Pensioni aziendali del personale dirigente) (C‑223/19, EU:C:2020:753, punto 78).
7 C‑465/00, C‑138/01 e C‑139/01, EU:C:2002:662.
8 C‑101/01, EU:C:2002:513.
9 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). Tale direttiva è stata sostituita dall’RGPD.
10 C‑465/00, C‑138/01 e C‑139/01, EU:C:2002:662.
11 Conclusioni dell’avvocato generale Tizzano nelle cause riunite Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2002:662, paragrafo 43). Il corsivo è mio.
12 Conclusioni dell’avvocato generale Tizzano nella causa Lindqvist (C‑101/01, EU:C:2002:513, paragrafo 36).
13 Sentenza del 6 novembre 2003 (C‑101/01, EU:C:2003:596).
14 Su tale questione, v. sentenza del 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, punto 59).
15 V. articolo 91 dell’RGPD.
16 Da un lato, il diritto dell’Unione non è destinato a disciplinare specificamente le attività confessionali. Dall’altro, tali attività non sfuggono tuttavia al rispetto del diritto dell’Unione e dei suoi principi generali, come il principio di non discriminazione. Su tale questione, v. conclusioni dell’avvocato generale Tanchev nella causa Egenberger (C‑414/16, EU:C:2017:851, paragrafi da 46 a 51).
17 Sentenza del 20 maggio 2003 (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294).
18 Sentenza del 6 novembre 2003 (C‑101/01, EU:C:2003:596).
19 Sentenza del 20 maggio 2003, Österreichischer Rundfunk e a. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punti 40 e 42). V. altresì sentenza del 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, punti 40 e segg.).
20 Sentenza del 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, punto 44).
21 Direttiva del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
22 Sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535, punto 70). Il corsivo è mio.
23 Rammento che l’articolo 5, paragrafo 2, TUE, dispone che, «[i]n virtù del principio di attribuzione, l’Unione agisce esclusivamente nei limiti delle competenze che le sono attribuite dagli Stati membri nei trattati per realizzare gli obiettivi da questi stabiliti. Qualsiasi competenza non attribuita all’Unione nei trattati appartiene agli Stati membri».
24 Per un esempio, v. sentenza del 10 dicembre 2018, Wightman e a. (C‑621/18, EU:C:2018:999, punto 47 e giurisprudenza ivi citata).
25 Con ciò intendo un’interpretazione basata sulle considerazioni sistematiche e storiche, conformemente alla tipologia generalmente ammessa dei metodi di interpretazione (v. Lenaerts, K., e Gutierrez‑Fons, J.A., Les méthodes d’interprétation de la Cour de justice de l’Union européenne, Bruylant, Bruxelles, 2020, Capitolo I).
26 Progetto di Trattato che istituisce una Costituzione per l’Europa (GU 2003, C 169, pag. 1).
27 Articolo 36 bis, paragrafo 2, del progetto di Titolo VI del Trattato costituzionale relativo alla vita democratica dell’Unione (nota del Presidium della Convenzione europea alla Convenzione del 2 aprile 2003, Bruxelles, CONV 650/03, pag. 6). Il corsivo è mio.
28 Nota del Praesidium della Convenzione europea alla Convenzione del 2 aprile 2003, Bruxelles, CONV 650/03, pag. 3. Il corsivo è mio.
29 V. giurisprudenza citata alla nota 5 delle presenti conclusioni.
30 V. anche articolo 20, paragrafo 3, articolo 49, paragrafo 3, e articolo 79, paragrafo 2, dell’RGPD.
31 Punto 25 della domanda di pronuncia pregiudiziale. Il corsivo è mio.
32 A titolo d’esempio, al punto 13 delle sue osservazioni scritte, il Präsident des Nationalrates (presidente del Consiglio nazionale) spiega che il Parlamento austriaco «ha il diritto di decidere l’istituzione di commissioni di inchiesta al fine di indagare su taluni atti che rientrano nell’ambito del potere esecutivo a livello federale. Una commissione di inchiesta è quindi dotata dalla Costituzione di una funzione controllo. L’obiettivo di una commissione di inchiesta consiste nel chiarire, a fini politici, lo svolgimento di determinati eventi e garantire così un controllo parlamentare effettivo».
33 Punto 14 delle osservazioni scritte del Präsident des Nationalrates (presidente del Consiglio nazionale).
34 Punto 15 delle osservazioni scritte del Präsident des Nationalrates (presidente del Consiglio nazionale).
35 V. sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535, punto 72).
36 V. decisione (UE) 2016/34 del Parlamento europeo, del 17 dicembre 2015, sulla costituzione, le attribuzioni, la composizione numerica e la durata del mandato della commissione d’inchiesta sulla misurazione delle emissioni nel settore automobilistico (GU 2016, L 10, pag. 13).
37 Da questo punto di vista, mi chiedo come andrebbe qualificata l’inchiesta del Parlamento austriaco relativa al caso «Ibizagate», riguardante irregolarità che hanno inciso sull’aggiudicazione di appalti pubblici; l’inchiesta del Senato belga avviata nel 1995 che mirava ad «esaminare la criminalità organizzata in Belgio», o ancora le attività svolte attualmente dalla commissione di inchiesta dell’Assemblée nationale (Camera dei deputati) francese vertenti sui «motivi della perdita di sovranità e di indipendenza energetica della Francia».
38 V. considerando 9 e 13 dell’RGPD.
39 Sentenza del 20 maggio 2003 (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, punti da 45 a 47).
40 V. altresì sentenza del 15 marzo 2017, Al Chodor (C‑528/15, EU:C:2017:213, punto 27 e giurisprudenza ivi citata).
41 V. sentenze dell’11 gennaio 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, punto 28), e del 14 aprile 2011, Vlaamse Dierenartsenvereniging e Janssens (C‑42/10, C‑45/10 e C‑57/10, EU:C:2011:253, punto 48).
42 Sentenza del 15 giugno 2021, Facebook Ireland e a. (C‑645/19, EU:C:2021:483, punto 113).
43 Sentenza del 17 dicembre 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, punto 3).