Causa T‑578/22

Garante europeo della protezione dei dati

contro

Parlamento europeo
e
Consiglio dell’Unione europea

Ordinanza del Tribunale (Prima Sezione ampliata) del 6 settembre 2023

«Ricorso di annullamento – Diritto istituzionale – Trattamento dei dati personali da parte di Europol – Regolamento (UE) 2016/794 – Prerogative istituzionali del GEPD – Legittimazione ad agire – Ricorso in parte irricevibile e in parte manifestamente irricevibile»

  1. Ricorso di annullamento – Competenza del giudice dell’Unione – Ricorso proposto da un organo dell’Unione – Ricorso proposto dal Garante europeo della protezione dei dati (GEPD) – Legittimazione ad agire ai fini della salvaguardia delle sue prerogative istituzionali, invocate a fondamento di tale ricorso

    (Art. 263 TFUE; regolamento del Parlamento e del Consiglio n. 45/2001, art. 41, § 1)

    (v. punti 26‑36)

  2. Ricorso di annullamento – Persone fisiche o giuridiche – Interesse ad agire – Legittimazione ad agire – Ricorso proposto dal Garante europeo della protezione dei dati (GEPD) – Legittimazione ad agire ai fini della salvaguardia delle sue prerogative istituzionali – Assenza – Ricevibilità subordinata alla dimostrazione della legittimazione e dell’interesse ad agire

    (Art. 263, quarto comma, TFUE)

    (v. punti 41‑48, 54‑57)

  3. Ricorso di annullamento – Legittimazione ad agire – Persone giuridiche – Nozione – Garante europeo della protezione dei dati (GEPD) – Organo dell’Unione – Inclusione – Presupposti

    (Art. 263, quarto comma, TFUE)

    (v. punti 60‑65)

  4. Ricorso di annullamento – Persone fisiche o giuridiche – Atti che le riguardano direttamente e individualmente – Disposizioni relative al trattamento dei dati personali da parte di Europol – Decisione adottata dal Garante europeo della protezione dei dati (GEPD) nei confronti di Europol – Assenza di impatto di dette disposizioni su tale decisione e sulle competenze del GEPD – Assenza d’incidenza diretta – Irricevibilità

    (Artt. 16, § 2, e 263, quarto comma, TFUE; regolamento del Parlamento e del Consiglio 2016/794, come modificato dal regolamento 2022/991, art. 74 bis e 74 ter)

    (v. punti 66, 68‑76, 78‑82, 84, 85)

Sintesi

A seguito di un’indagine di propria iniziativa, il 3 gennaio 2022 il Garante europeo della protezione dei dati (GEPD) ha adottato una decisione nei confronti dell’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) ( 1 ). Con detta decisione il GEPD ha sostanzialmente intimato a Europol di procedere, per ciascun contributo ricevuto a partire dal 4 gennaio 2022, alla categorizzazione degli interessati entro un termine di sei mesi dalla data di ricevimento del contributo ed entro un termine di dodici mesi per le serie di dati esistenti alla data della suddetta decisione; una volta decorsi tali termini, Europol era tenuta a cancellare i dati in questione.

L’8 giugno 2022 il Parlamento europeo e il Consiglio hanno adottato il regolamento Europol modificato ( 2 ). Quest’ultimo prevedeva, in sostanza, in forza di due disposizioni transitorie ( 3 ), le condizioni alle quali Europol procede, entro un termine determinato, alla categorizzazione delle serie di dati in suo possesso al momento dell’entrata in vigore del regolamento Europol modificato e precisa le condizioni e le procedure in cui è autorizzato, a sostegno di un’indagine penale in corso, il trattamento di dati personali che non riguardano le categorie di interessati elencate nell’allegato II del regolamento Europol modificato e che sono stati trasferiti a Europol prima del 28 giugno 2022.

Il GEPD riteneva che le disposizioni impugnate violassero la sua indipendenza e i suoi poteri in qualità di autorità di controllo nella misura in cui, a suo avviso, esse legalizzavano con effetto retroattivo le pratiche di conservazione dei dati controversi di Europol e annullavano di fatto la decisione del 3 gennaio 2022. Esso chiedeva, quindi, in forza dell’articolo 263 TFUE, il loro annullamento dinanzi al Tribunale. Esso sosteneva che la sua legittimazione ad agire era giustificata dalla necessità di poter disporre di un ricorso giurisdizionale per difendere le sue prerogative istituzionali e, in particolare, la sua indipendenza in quanto autorità di controllo.

Nel caso di specie, il Tribunale è chiamato a pronunciarsi, per la prima volta, su un ricorso di annullamento presentato dal GEPD avverso un atto legislativo del Consiglio e del Parlamento, il che solleva, in particolare, la questione della competenza del Tribunale a conoscere di detto ricorso, la questione dell’applicazione per analogia nel caso di specie della sentenza Parlamento/Consiglio (C‑70/88) ( 4 ) e quella dell’incidenza diretta sul GEPD, assimilato a una persona giuridica, ai sensi dell’articolo 263, quarto comma, TFUE.

Giudizio del Tribunale

In primo luogo, il Tribunale esamina la sua competenza a conoscere del ricorso proposto dal GEPD e osserva, anzitutto, che quest’ultimo non figura né tra le parti ricorrenti menzionate nell’articolo 263, secondo e terzo comma, TFUE ( 5 ), né nell’elenco delle istituzioni di cui all’articolo 13, paragrafo 1, TUE ( 6 ). Esso osserva, inoltre, che, mentre l’articolo 263, primo comma, TFUE si riferisce espressamente agli organi e agli organismi dell’Unione nell’elenco degli autori degli atti la cui legittimità può essere messa in discussione nell’ambito di un ricorso di annullamento, ciò non vale per quanto attiene all’articolo 263, secondo e terzo comma, TFUE. Esso precisa così che, benché lo status del GEPD, quale autorità di controllo indipendente, sia sancito sia dal Trattato FUE che dalla Carta ( 7 ), esso è stato istituito quale organo dell’Unione non mediante un atto di diritto primario, ma mediante un atto di diritto derivato ( 8 ). Pertanto, il GEPD è sì un organo dell’Unione avente uno status particolare, ma non è un’istituzione dell’Unione e, in ogni caso, non può essere considerato come rientrante tra le parti ricorrenti di cui all’articolo 263, secondo e terzo comma, TFUE. Infine, il Tribunale conclude che è competente a pronunciarsi sul ricorso posto che sono di competenza della Corte i ricorsi previsti all’articolo 263 TFUE proposti, segnatamente, da un’istituzione dell’Unione contro un atto legislativo ( 9 ) e posto che il GEPD non è un’istituzione, né una parte ricorrente di cui all’articolo 263, secondo e terzo comma, TFUE.

In secondo luogo, il Tribunale valuta se il GEPD sia legittimato ad agire in virtù della giurisprudenza tratta dalla sentenza Parlamento/Consiglio (C‑70/88). Esso rileva che, in detta sentenza, invocata dal GEPD a sostegno della sua particolare legittimazione ad agire ai fini della salvaguardia delle sue prerogative istituzionali, la Corte ha osservato che il Parlamento non aveva alcuna possibilità di contestare, dinanzi ai giudici dell’Unione, gli atti adottati dalle altre istituzioni potenzialmente lesivi delle sue prerogative e ha scelto di colmare tale lacuna ricorrendo al principio generale dell’equilibrio istituzionale. Per contro, il GEPD può presentare un ricorso di annullamento sulla base dell’articolo 263, quarto comma, TFUE, essendo un organo istituito mediante un atto di diritto derivato dell’Unione che può essere assimilato a una persona giuridica. Il Tribunale precisa inoltre che, benché il GEPD goda di uno status particolare, riconosciuto sia dal Trattato FUE che dalla Carta, e benché la creazione di autorità di controllo indipendenti rappresenti un elemento essenziale della tutela degli individui con riferimento alla protezione dei dati personali, l’indipendenza con cui il GEPD deve esercitare le sue funzioni nella prassi non può limitare i poteri del legislatore dell’Unione ( 10 ). Pertanto, il GEPD è tenuto ad adempiere i suoi compiti e ad esercitare le sue competenze in piena indipendenza ed è nel quadro degli atti legislativi adottati congiuntamente dal Parlamento e dal Consiglio e in conformità ad essi che il GEPD controlla il rispetto delle norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione. Il Tribunale conclude che la sentenza Parlamento/Consiglio (C‑70/88) non può essere applicata per analogia alla situazione del GEPD, il quale non può vedersi riconosciuta la legittimazione ad agire in forza di detta sentenza e deve essere considerato una parte ricorrente tenuta a soddisfare le condizioni di ricevibilità previste all’articolo 263, quarto comma, TFUE.

In terzo luogo, nell’ambito dell’esame della legittimazione ad agire del GEPD ai sensi dell’articolo 263, quarto comma, TFUE, il Tribunale analizza, in via preliminare, se esso possa, quale organo dell’Unione, essere assimilato a una persona giuridica ai sensi di detto articolo. Esso osserva che, in applicazione di un’interpretazione di detta disposizione alla luce dei principi di controllo giurisdizionale effettivo e dello Stato di diritto, un organo dell’Unione, quale il GEPD, può, in quanto «persona giuridica», proporre un ricorso di annullamento avverso le disposizioni impugnate, a condizione che esso ne sia direttamente e individualmente interessato ai sensi di detta disposizione. Infatti, una siffatta persona giuridica può essere lesa da un atto dell’Unione nei suoi diritti o interessi allo stesso modo di un’altra persona o entità e deve quindi essere in grado, nel rispetto di tali condizioni, di chiedere l’annullamento di un simile atto.

Per quanto attiene alla condizione secondo cui una persona giuridica deve essere direttamente interessata, il Tribunale ricorda che, in base ad essa, devono essere soddisfatti due criteri cumulativi. Per quanto riguarda, anzitutto, il criterio relativo agli effetti delle disposizioni impugnate sulla situazione giuridica del GEPD, il Tribunale sottolinea che il GEPD è incaricato di sorvegliare l’applicazione delle norme relative alla protezione dei dati di carattere personale da parte delle istituzioni, degli organi o organismi dell’Unione ( 11 ). Nella specie, le disposizioni impugnate modificano il regolamento Europol iniziale e non incidono sulla natura o sulla portata dei compiti conferiti al GEPD dalla normativa dell’Unione. Così, se è vero che il regime giuridico che il GEPD è chiamato a controllare è stato modificato, non lo sono state le competenze ad esso riconosciute poiché le modalità con cui esso può legittimamente esercitarle sono rimaste, in quanto tali, invariate. Pertanto, il GEPD non è direttamente interessato dalle disposizioni impugnate, poiché i suoi diritti, obblighi o competenze non ne sono stati toccati. Inoltre, per quanto attiene agli effetti delle disposizioni impugnate sulla decisione del 3 gennaio 2022, il Tribunale precisa che si tratta di una decisione amministrativa che non può incidere su atti legislativi quali il regolamento Europol modificato, né influenzarne il contenuto.

Per quanto attiene, poi, al criterio relativo al potere discrezionale dei destinatari incaricati di dare attuazione alle disposizioni impugnate, il Tribunale osserva che queste ultime lasciano un certo margine di discrezionalità a Europol. Esse non hanno, quindi, un carattere meramente automatico e non derivano dalla sola normativa dell’Unione nei confronti del GEPD, senza intervento di altre norme intermedie.

Di conseguenza, posto che le disposizioni impugnate non incidono direttamente sulla situazione giuridica del GEPD e che i requisiti dell’incidenza diretta e dell’incidenza individuale da parte dell’atto di cui è chiesto l’annullamento sono cumulativi, il Tribunale dichiara l’irricevibilità del ricorso.

( 1 ) Ai sensi dell’articolo 43, paragrafo 3, lettera e), del regolamento (UE) 2016/794 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, che istituisce l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) e sostituisce e abroga le decisioni del Consiglio 2009/371/GAI, 2009/934/GAI, 2009/935/GAI, 2009/936/GAI e 2009/968/GAI (GU 2016, L 135, pag. 53; in prosieguo: il «regolamento Europol iniziale»).

( 2 ) Regolamento (UE) 2022/991 del Parlamento europeo e del Consiglio, dell’8 giugno 2022, [che modifica il regolamento (UE) 2016/794] per quanto riguarda la cooperazione di Europol con le parti private, il trattamento dei dati personali da parte di Europol a sostegno di indagini penali, e il ruolo di Europol in materia di ricerca e innovazione (GU 2022, L 169, pag. 1; in prosieguo: il «regolamento Europol modificato»), che modifica il regolamento Europol iniziale.

( 3 ) Articoli 74 bis e 74 ter del regolamento Europol modificato (in prosieguo: le «disposizioni impugnate»).

( 4 ) Sentenza del 22 maggio 1990, Parlamento/Consiglio (C‑70/88, EU:C:1990:217).

( 5 ) In forza di detta disposizione, la Corte può essere adita mediante un ricorso proposto, da un lato, da uno Stato membro, dal Parlamento, dal Consiglio o dalla Commissione e, dall’altro, dalla Corte dei conti, dalla Banca centrale europea (BCE) e dal Comitato delle regioni.

( 6 ) Le sette istituzioni menzionate da detta disposizione sono il Parlamento, il Consiglio europeo, il Consiglio, la Commissione, la Corte di giustizia dell’Unione europea, la Banca centrale europea e la Corte dei conti.

( 7 ) In forza dell’articolo 16, paragrafo 2, TFUE e dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), il rispetto delle norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’Unione è soggetto al controllo di autorità indipendenti.

( 8 ) Articolo 41, paragrafo 1, del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1).

( 9 ) In forza dell’articolo 51, lettera b), dello Statuto della Corte di giustizia dell’Unione europea.

( 10 ) Come previsti all’articolo 14, paragrafo 1, e all’articolo 16, paragrafo 1, TUE.

( 11 ) In forza dell’articolo 1, paragrafo 3, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39), e dell’articolo 43, paragrafo 1, del regolamento Europol iniziale.