Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
JEAN RICHARD DE LA TOUR
presentate il 5 settembre 2024 (1)
Causa C‑416/23
Österreichische Datenschutzbehörde
con l’intervento di
F R,
Bundesministerin für Justiz
[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgerichtshof (Corte amministrativa, Austria)]
« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 57, paragrafo 4 – Compiti dell’autorità di controllo – Richiesta – Nozione – Richieste eccessive – Nozione – Articolo 77, paragrafo 1 – Diritto di proporre reclamo – Contributo spese ragionevole basato sui costi amministrativi o rifiuto dell’autorità di controllo di soddisfare la richiesta – Criteri idonei a guidare la scelta dell’autorità di controllo »
I. Introduzione
1. L’articolo 57, paragrafo 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2) (in prosieguo: il «RGPD»), offre alle autorità di controllo, qualora siano presentate loro richieste manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, la possibilità di addebitare un contributo spese ragionevole basato sui costi amministrativi o di rifiutarsi di soddisfare tali richieste.
2. La logica sottesa a questo strumento procedurale si fonda sull’idea che, se è vero che gli interessati devono poter reclamare con facilità dinanzi alle autorità di controllo il rispetto dei diritti che traggono dal RGPD, tali autorità devono, dal canto loro, poter riservare un trattamento specifico alle richieste eccessive al fine di garantire il proprio corretto funzionamento e di preservare la propria capacità di adempiere pienamente i propri compiti.
3. Occorre, inoltre, definire in cosa consista l’eccesso in tale materia. Proprio questo è il problema principale sollevato dalla presente domanda di pronuncia pregiudiziale.
4. La domanda in questione è stata presentata nell’ambito di una controversia che oppone l’Österreichische Datenschutzbehörde (autorità garante della protezione dei dati, Austria) (in prosieguo: la «DSB») a F R, con riferimento al rifiuto di detta autorità, fondato sull’articolo 57, paragrafo 4, del RGPD, di dar seguito a un reclamo proposto da F R in forza dell’articolo 77, paragrafo 1, di detto regolamento.
II. Fatti del procedimento principale e questioni pregiudiziali
5. Il 17 febbraio 2020 F R ha proposto un reclamo dinanzi alla DSB in forza dell’articolo 77, paragrafo 1, del RGPD per violazione del suo diritto di accesso ai sensi dell’articolo 15 di detto regolamento, sulla base del fatto che il titolare del trattamento non avrebbe risposto alla sua richiesta di accesso entro il termine di un mese.
6. Con decisione del 22 aprile 2020, la DSB si è rifiutata, sulla base dell’articolo 57, paragrafo 4, di detto regolamento, di dare seguito a tale reclamo, qualificandolo come «eccessivo». A tal proposito, essa ha osservato, segnatamente, che F R le aveva inviato, in un lasso di tempo di circa 20 mesi, 77 reclami volti a contestare il mancato riscontro entro il termine di un mese, da parte di diversi titolari del trattamento, alle sue richieste di accesso o di cancellazione (3). Inoltre, F R si è messo periodicamente in contatto con detta autorità per telefono al fine di illustrare fatti aggiuntivi e di consultarla in vista della presentazione di eventuali ulteriori reclami.
7. F R ha proposto ricorso avverso detta decisione dinanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale, Austria). Con sentenza del 22 dicembre 2022, detto giudice ha accolto tale ricorso annullando la decisione di cui trattasi. Esso ha dichiarato, in sostanza, che il carattere eccessivo ai sensi dell’articolo 57, paragrafo 4, del RGPD presuppone non solo un carattere ripetitivo delle richieste, ma anche un carattere manifestamente vessatorio o abusivo delle stesse. Orbene, secondo detto giudice, dalla motivazione accolta dalla DSB per negare il trattamento del reclamo di F R non emergerebbe l’esistenza di un’iniziativa abusiva da parte di quest’ultimo. Inoltre, detta autorità non potrebbe scegliere a proprio piacimento tra l’addebito di un contributo spese ragionevole per una richiesta «eccessiva» e il rifiuto di soddisfare tale richiesta. L’autorità dovrebbe motivare tale scelta, il che non sarebbe accaduto nel caso di specie.
8. Adito dalla DSB mediante un ricorso per cassazione («Revision») avverso detta sentenza, il Verwaltungsgerichtshof (Corte amministrativa, Austria), giudice del rinvio nella presente causa, si chiede, in primo luogo, se la nozione di «reclamo» di cui all’articolo 77, paragrafo 1, del RGPD possa essere assimilata a quella di «richiesta(e)», ai sensi dell’articolo 57, paragrafo 4, di detto regolamento.
9. A tal proposito, detto giudice osserva che, in caso di risposta in senso negativo a tale questione, un’autorità di controllo non potrebbe, sulla base della disposizione in questione, rifiutarsi di dare seguito a reclami o addebitare un contributo spese ragionevole per la loro trattazione a prescindere dal loro eventuale carattere infondato o eccessivo. Orbene, a parere di detto giudice, gli argomenti più solidi deporrebbero a favore dell’inclusione dei reclami menzionati all’articolo 77, paragrafo 1, del RGPD nell’ambito di applicazione dell’articolo 57, paragrafo 4, di detto regolamento.
10. In secondo luogo, il giudice del rinvio nutre dubbi in merito al significato che occorra attribuire alla nozione di «richieste eccessive», ai sensi di quest’ultima disposizione. In particolare detto giudice precisa che, benché il carattere ripetitivo delle richieste sia citato quale esempio di richieste eccessive, occorrerebbe tener conto del fatto che la possibilità per un’autorità di controllo di rifiutarsi di dare seguito a un reclamo determina una lesione importante della protezione di cui gli interessati possono avvalersi in applicazione del RGPD. Ciò contrasterebbe così con l’obiettivo di detto regolamento di garantire un elevato livello di protezione dei dati personali. Quale eccezione all’obbligo delle autorità di controllo di trattare i reclami che vengono loro sottoposti, la possibilità di rifiutarsi di agire a seguito della presentazione di un reclamo dovrebbe essere interpretata restrittivamente.
11. Detto giudice dubita pertanto che il semplice fatto che un interessato si avvalga delle possibilità offerte dal RGPD presentando un numero molto elevato di reclami rispetto ad altri, segnatamente quando questi reclami riguardano titolari del trattamento differenti, possa essere sufficiente per qualificare le richieste come «eccessive» in assenza di altre circostanze che dimostrino l’esistenza di un intento abusivo.
12. Parimenti, a parere del giudice del rinvio, il solo fatto che il trattamento di taluni reclami comporti, per l’autorità di controllo, un carico in termini di lavoro e di tempo superiore alla media non giustifica l’addebito di un contributo spese o il rifiuto di soddisfarli in applicazione dell’articolo 57, paragrafo 4, del RGPD.
13. In terzo luogo, detto giudice si chiede se un’autorità di controllo possa liberamente scegliere, in caso di richieste manifestamente infondate o eccessive, tra l’addebito di un contributo spese ragionevole basato sui costi amministrativi o il rifiuto di soddisfare tali richieste.
14. Alla luce di tali circostanze, il Verwaltungsgerichtshof (Corte amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se la nozione di “richieste” o di “richiesta” di cui all’articolo 57, paragrafo 4, del [RGPD] debba essere interpretata nel senso che essa comprende anche i “reclami” di cui all’articolo 77, paragrafo 1, del RGPD.
2) In caso di risposta in senso affermativo alla prima questione: se l’articolo 57, paragrafo 4, del RGPD debba essere interpretato nel senso che, ai fini della sussistenza di “richieste eccessive”, è già sufficiente che un interessato abbia presentato ad un’autorità di controllo un determinato numero di richieste (reclami ai sensi dell’articolo 77, paragrafo 1, del RGPD) in un determinato periodo di tempo, anche quando le situazioni di fatto siano differenti e/o le richieste (i reclami) riguardino titolari del trattamento differenti, oppure se, oltre al carattere ripetitivo delle richieste (reclami), sia necessario anche un intento abusivo dell’interessato.
3) Se l’articolo 57, paragrafo 4, del RGPD debba essere interpretato nel senso che l’autorità di controllo può scegliere liberamente, in presenza di una richiesta (reclamo) “manifestamente infondata” o “eccessiva”, se addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi a priori di esaminarla; in caso di risposta in senso negativo: quali circostanze e quali criteri debbano essere presi in considerazione dall’autorità di controllo, in particolare se l’autorità di controllo sia obbligata prioritariamente ad addebitare un contributo spese ragionevole, quale strumento più blando, e solo nel caso in cui la riscossione del contributo appaia destinata a fallire sia legittimata, al fine di arginare richieste (reclami) manifestamente infondate o eccessive, a rifiutare l’esame».
15. Hanno presentato osservazioni scritte F R, la DSB, il Bundesministerin für Justiz (Ministro federale della Giustizia, Austria), i governi austriaco e ceco e la Commissione europea.
III. Analisi
A. Sulla prima questione pregiudiziale
16. Con la sua prima questione il giudice del rinvio chiede, in sostanza, alla Corte se la nozione di «richiesta(e)» di cui all’articolo 57, paragrafo 4, del RGPD comprenda i «reclami» di cui all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di detto regolamento (4).
17. Infatti negando, conformemente all’articolo 57, paragrafo 4, del RGPD, di dare seguito al reclamo proposto da F R sulla base dell’asserita violazione del suo diritto di accesso ai sensi dell’articolo 15 di detto regolamento, la DSB ha adottato una decisione che si fonda sull’ipotesi che i reclami degli interessati formulati a norma dell’articolo 77, paragrafo 1, di detto regolamento debbano essere assimilati a «richieste», ai sensi dell’articolo 57, paragrafo 4, del medesimo regolamento.
18. Il giudice del rinvio ritiene necessario verificare presso la Corte se tale ipotesi sia corretta poiché, se così non fosse, un’autorità di controllo si troverebbe nell’impossibilità di rifiutarsi di dare seguito ai reclami o di addebitare un contributo spese ragionevole per la loro trattazione in applicazione dell’articolo 57, paragrafo 4, del RGPD.
19. In via preliminare, occorre ricordare, da un lato, che, conformemente a una giurisprudenza consolidata della Corte, i termini di una disposizione del diritto dell’Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme (5). Dall’altro, ai fini dell’interpretazione di una norma del diritto dell’Unione si deve tener conto non soltanto dei termini della stessa, secondo il loro significato abituale nel linguaggio corrente, ma anche del suo contesto e degli scopi perseguiti dalla normativa di cui essa fa parte (6).
20. L’interpretazione letterale, contestuale e teleologica dell’articolo 57, paragrafo 4, del RGPD mi portano a considerare che la nozione di «richiesta(e)» di cui a detta disposizione comprenda i «reclami» di cui all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di detto regolamento.
21. Per quanto attiene, in primo luogo, alla formulazione dell’articolo 57, paragrafo 4, del RGPD, detta disposizione enuncia che, «[q]ualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta».
22. L’articolo 77, paragrafo 1, del RGPD dispone, dal canto suo, che, «[f]atto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».
23. Nessuna disposizione del RGPD definisce la nozione di «richiesta(e)», ai sensi dell’articolo 57, paragrafo 4, di detto regolamento. Ove ci si riferisca al significato abituale di detta nozione nel linguaggio corrente, esso è particolarmente ampio. Esso comprende potenzialmente tutte le richieste formulate da una persona o da un ente. Il dizionario Larousse definisce così la nozione di «demande» (richiesta) come l’«azione di far sapere che si desidera ottenere qualcosa; atto di chiedere; scritto che lo esprime», citando, tra i sinonimi, il termine «réclamation» (reclamo). I reclami proposti ai sensi dell’articolo 77, paragrafo 1, del RGPD costituiscono quindi, a mio avviso, una categoria di «richiesta(e)», ai sensi dell’articolo 57, paragrafo 4, di detto regolamento.
24. Tale analisi testuale è avvalorata, in secondo luogo, dal contesto in cui si inserisce la disposizione di cui trattasi. A tal proposito, osservo che l’articolo 57 del RGPD descrive i compiti delle autorità di controllo e le rispettive condizioni di esercizio. Tra detti compiti:
– l’articolo 57, paragrafo 1, lettera a), di detto regolamento dispone che ognuna di tali autorità «sorveglia e assicura l’applicazione del (...) regolamento [di cui trattasi]»;
– l’articolo 57, paragrafo 1, lettera e), del RGPD prevede che ognuna di dette autorità «su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri» (7);
– l’articolo 57, paragrafo 1, lettera f), di detto regolamento dispone che ogni autorità di controllo «tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo» (8).
25. Ai sensi dell’articolo 57, paragrafo 2, del RGPD, «[o]gni autorità di controllo agevola la proposizione di reclami di cui al paragrafo 1, lettera f), tramite misure quali un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione» (9).
26. Inoltre, l’articolo 57, paragrafo 3, di detto regolamento sancisce il principio secondo cui «[o]gni autorità di controllo svolge i propri compiti senza spese né per l’interessato né, ove applicabile, per il responsabile della protezione dei dati».
27. Prevedendo per le autorità di controllo la facoltà, di fronte a richieste manifestamente infondate o eccessive, di addebitare un contributo spese ragionevole basato sui costi amministrativi o di rifiutarsi di soddisfare la richiesta, l’articolo 57, paragrafo 4, di detto regolamento introduce un’eccezione al principio della gratuità sancito dall’articolo 57, paragrafo 3, del medesimo regolamento e all’obbligo gravante su dette autorità di soddisfare le richieste che vengono loro sottoposte.
28. Diversamente da quanto sostiene F R, dalla giustapposizione di queste diverse disposizioni non si può, a mio avviso, dedurre che l’articolo 57, paragrafo 4, del RGPD, nella misura in cui utilizza la nozione di «richiesta(e)», debba essere applicato unicamente alle richieste considerate all’articolo 57, paragrafo 1, lettera e), di detto regolamento. In altre parole, non credo che dalla constatazione dell’utilizzo, in detta disposizione, della nozione di «richiesta(e)» si possa desumere che il campo di applicazione dell’articolo 57, paragrafo 4, del regolamento di cui trattasi debba essere circoscritto al compito dell’autorità di controllo da esso previsto. Inoltre, il fatto che l’articolo 57, paragrafo 2, del medesimo regolamento faccia riferimento ai «reclami» non significa che si tratti della sola disposizione destinata a disciplinare le condizioni di presentazione dei reclami dinanzi alle autorità di controllo.
29. Osservo infatti che l’articolo 57, paragrafo 3, del RGPD, che sancisce il principio della gratuità dello svolgimento, da parte delle autorità di controllo, dei loro compiti, si applica a tutti i compiti di queste ultime, compresa la trattazione dei reclami prevista all’articolo 57, paragrafo 1, lettera f), di detto regolamento. A rigor di logica e per simmetria, l’articolo 57, paragrafo 4, del suddetto regolamento, nella misura in cui prevede un’eccezione a tale principio di gratuità, senza circoscriverla a taluni compiti particolari di dette autorità, dovrebbe parimenti applicarsi a detta trattazione dei reclami.
30. Ciò vale a maggior ragione in quanto la trattazione dei reclami, prevista all’articolo 57, paragrafo 1, lettera f), del RGPD, costituisce un compito essenziale dell’autorità di controllo (10). Il principio della gratuità e l’obbligo di agevolare la proposizione dei reclami, previsti all’articolo 57, paragrafi 2 e 3, di detto regolamento, sono peraltro volti a consentire a tutti gli interessati di reclamare, dinanzi a un’autorità di controllo, il rispetto dei diritti che essi traggono da detto regolamento.
31. Pertanto, l’interpretazione secondo cui la nozione di «richiesta(e)» di cui all’articolo 57, paragrafo 4, del RGPD coprirebbe solo le richieste rientranti nell’articolo 57, paragrafo 1, lettera e), di detto regolamento e non i reclami di cui all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, del medesimo, priverebbe la prima di dette disposizione di gran parte della sua efficacia pratica.
32. Inoltre, mi sembra che siano i reclami menzionati all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, del RGPD a poter essere qualificati, se del caso, come «manifestamente infondati» e non tanto le richieste presentate ai sensi dell’articolo 57, paragrafo 1, lettera e), di detto regolamento, con cui gli interessati cercano di ottenere dalle autorità di controllo informazioni in merito all’esercizio dei propri diritti derivanti dal regolamento di cui trattasi.
33. Aggiungo che l’interpretazione secondo cui l’articolo 57, paragrafo 4, del RGPD si riferisce anche alla trattazione dei reclami presentati ai sensi dell’articolo 77, paragrafo 1, di detto regolamento è accolta dal Comitato europeo per la protezione dei dati (EDPB), che si riferisce alla prima di tali disposizioni con riferimento alla ricevibilità dei reclami (11).
34. Di conseguenza, benché, prevedendo un’eccezione al principio della gratuità e all’obbligo gravante sulle autorità di controllo di soddisfare le richieste che sono loro presentate, l’articolo 57, paragrafo 4, di detto regolamento debba essere interpretato restrittivamente (12), ciò non può, tuttavia, a mio avviso, avere l’effetto di escludere l’applicazione di detta disposizione ai reclami introdotti ai sensi del regolamento medesimo.
35. In terzo luogo, l’interpretazione che suggerisco alla Corte di accogliere, consente, a mio avviso, di raggiungere gli obiettivi perseguiti dal RGPD. Occorre, a questo proposito, osservare che il regolamento di cui trattasi ha per finalità, come dichiarato ai suoi considerando 10 e 11, di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché il rafforzamento e la disciplina dettagliata dei diritti degli interessati (13).
36. Certamente, come sottolinea il giudice del rinvio, l’interpretazione secondo cui i reclami rientrano nel campo di applicazione dell’articolo 57, paragrafo 4, del RGPD potrebbe, a prima vista, sembrare in contraddizione con detti obiettivi e con gli obblighi che gravano sulle autorità di controllo.
37. Infatti, come ho affermato in precedenza, in forza dell’articolo 57, paragrafo 1, lettera f), del RGDP, ogni autorità di controllo è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, di tale regolamento, ha il diritto di proporre quando ella considera che un trattamento di dati personali che la riguardano costituisca una violazione di tale regolamento, e ad esaminarne l’oggetto nella misura necessaria. L’autorità di controllo deve trattare tali reclami con la dovuta diligenza (14).
38. Pertanto, la procedura di reclamo è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte (15).
39. L’inclusione dei reclami nell’ambito di applicazione dell’articolo 57, paragrafo 4, del RGPD ha quindi, quale conseguenza, di riconoscere alle autorità di controllo la facoltà di limitare l’obbligo ad esse incombente di trattare detti reclami e di applicare alla loro trattazione il principio di gratuità.
40. Tuttavia, quando un’autorità di controllo è investita di richieste manifestamente infondate o eccessive, la facoltà di addebitare un contributo spese ragionevole o di rifiutarsi di soddisfare una richiesta è, a mio avviso, idonea a garantire un elevato livello di protezione dei dati personali.
41. Infatti, il perseguimento di questo obiettivo impone di garantire il corretto funzionamento delle autorità di controllo evitando che tale obiettivo sia ostacolato dalla presentazione di reclami manifestamente infondati o eccessivi, ai sensi dell’articolo 57, paragrafo 4, del RGPD. La disposizione in parola offre pertanto alle autorità di controllo la possibilità di trattare in maniera specifica detti reclami, alleggerendo il carico che questi ultimi possono far pesare su di esse. Tali autorità possono quindi decidere di non sottoporre i reclami manifestamente infondati o eccessivi a una trattazione normale che, mobilitando senza un motivo legittimo le risorse di cui dette autorità dispongono, potrebbe avere effetti negativi sulla durata e sulla qualità della trattazione delle richieste presentate parallelamente da altri interessati e, di conseguenza, sul livello di protezione che deve essere loro garantito.
42. Pertanto, tenuto conto dell’importanza che il diritto di proporre reclami riveste alla luce dell’obiettivo di garantire un elevato livello di protezione dei dati personali, e considerata la posizione essenziale che la trattazione di detti reclami occupa tra i compiti affidati alle autorità di controllo, occorre evitare un uso manifestamente infondato o eccessivo di detto diritto che, in mancanza della possibilità di utilizzare gli strumenti procedurali previsti dall’articolo 57, paragrafo 4, del RGPD, potrebbe avere l’effetto di impedire alle autorità di controllo di svolgere i propri compiti. Ne consegue che un’interpretazione che escluda i reclami dall’ambito di applicazione della disposizione di cui trattasi può compromettere il corretto funzionamento delle autorità di controllo e, di conseguenza, l’obiettivo consistente nel garantire un livello elevato di tutela dei diritti che gli interessati traggono da detto regolamento.
43. Osservo inoltre che l’applicazione di detta disposizione è assistita da garanzie procedurali che consentono di disciplinare rigorosamente la sua attuazione da parte delle autorità di controllo. Difatti, l’onere di provare il carattere manifestamente infondato o eccessivo delle richieste grava sull’autorità di controllo. Inoltre, la decisione di detta autorità di addebitare un contributo spese ragionevole o di rifiutarsi di soddisfare le richieste può essere oggetto di un ricorso giurisdizionale effettivo in applicazione dell’articolo 78, paragrafo 1, del RGPD. Parimenti, quando un’autorità di controllo non tratta un reclamo, senza adottare una decisione al riguardo, l’interessato ha il diritto di proporre un ricorso giurisdizionale effettivo, conformemente a quanto previsto dall’articolo 78, paragrafo 2, di detto regolamento.
44. Inoltre, in forza dell’articolo 79, paragrafo 1, del RGPD, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma di detto regolamento siano stati violati a seguito di un trattamento.
45. Come dichiarato dalla Corte nella sua sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (16), l’articolo 77, paragrafo 1, l’articolo 78, paragrafo 1, e l’articolo 79, paragrafo 1, del RGPD, letti alla luce dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che essi consentono un esercizio concorrente e indipendente dei mezzi di ricorso previsti, da un lato, da tale articolo 77, paragrafo 1, e da detto articolo 78, paragrafo 1, nonché, dall’altro, da tale articolo 79, paragrafo 1 (17).
46. Alla luce di questi elementi, propongo alla Corte di rispondere alla prima questione pregiudiziale dichiarando che la nozione di «richiesta(e)» di cui all’articolo 57, paragrafo 4, del RGPD comprende i «reclami» menzionati all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di detto regolamento.
B. Sulla seconda questione pregiudiziale
47. Con la sua seconda questione il giudice del rinvio chiede alla Corte, sostanzialmente, se le richieste possano essere qualificate come «eccessive» ai sensi dell’articolo 57, paragrafo 4, del RGPD, unicamente in ragione del loro numero in un determinato periodo di tempo o se occorra altresì dimostrare un intento abusivo da parte della persona che presenta dette richieste a un’autorità di controllo.
48. Per rispondere a tale questione esaminerò anzitutto la formulazione della suddetta disposizione, da cui traggo le seguenti considerazioni.
49. In primo luogo, posto che la nozione di «richieste eccessive» non è definita nel RGPD, occorre riferirsi al suo significato abituale nel linguaggio corrente. L’aggettivo «excessif» (eccessivo) designa in effetti qualcosa che supera la misura ordinaria o ragionevole (dizionario Larousse) o che oltrepassa la misura desiderabile o consentita (dizionario Le Robert). Fare un qualcosa in eccesso significa fare qualcosa oltre misura.
50. In secondo luogo, occorre sottolineare che la formulazione dell’articolo 57, paragrafo 4, del RGPD non è, tuttavia, del tutto priva di indicazioni poiché, menzionando le «richieste (...) eccessive, in particolare per il carattere ripetitivo», detta disposizione lascia intendere che tale carattere ripetitivo consenta di riconoscere l’esistenza di richieste eccessive.
51. In terzo luogo e in collegamento con quanto appena illustrato, nella misura in cui l’avverbio «in particolare» indica che il carattere ripetitivo delle richieste costituisce solo un esempio di richieste eccessive, ciò significa che queste ultime comprendono altre ipotesi oltre al numero di richieste.
52. Ciò detto, non mi sembra necessario affrontare qui in maniera esaustiva tutti i casi in cui talune richieste possano essere qualificate «eccessive». Concentrerò la mia analisi piuttosto sulla questione specifica che il giudice del rinvio sottopone alla Corte, volta ad ottenere precisazioni sulla portata da riconoscere a detta menzione del carattere ripetitivo delle richieste quale esempio di richieste eccessive. Si tratta di stabilire se un numero elevato di reclami sia sufficiente, da solo, per qualificare le richieste come «eccessive» in ragione del loro carattere ripetitivo.
53. Infatti, dagli elementi di cui dispone la Corte emerge che è proprio fondandosi sul numero di reclami presentati da F R nel corso di un determinato periodo di tempo che la DSB si è rifiutata, ritenendo tale numero troppo elevato, di dare seguito a un reclamo qualificandolo «eccessivo». In sintesi, detta autorità ha ritenuto che fosse stata raggiunta una soglia quantitativa accettabile di reclami, cosicché occorreva non dare più seguito ai reclami ad essa sottoposti da F R. Detta autorità ha giustificato la propria decisione anche sulla base del timore che F R continuasse a presentare un numero importante di reclami in futuro. Tuttavia, essa non ha messo minimamente in discussione la fondatezza dei reclami che le erano stati presentati sino a quel momento da F R.
54. In linea con F R, il Ministro federale della Giustizia, il governo austriaco e la Commissione, ritengo che il numero di richieste presentate da un interessato dinanzi a un’autorità di controllo, per quanto importante, non possa, da solo e diversamente da quanto si potrebbe dedurre, a prima vista, dall’articolo 57, paragrafo 4, del RGPD, rappresentare un criterio sufficiente per ravvisare la sussistenza di «richieste eccessive» ai sensi di detta disposizione. Mi fondo, al riguardo, sull’esame del contesto in cui detta disposizione si inserisce e sugli obiettivi perseguiti dal regolamento in parola.
55. Per quanto attiene al contesto in cui si inserisce l’articolo 57, paragrafo 4, del RGPD, osservo che l’articolo 12 di detto regolamento enuncia obblighi generali incombenti al titolare del trattamento per quanto riguarda la trasparenza delle informazioni e delle comunicazioni, nonché le modalità di esercizio dei diritti dell’interessato.
56. L’articolo 15 del RGPD, che rientra nel capo III, sezione 2, riguardante l’informazione e l’accesso ai dati personali, completa il quadro di trasparenza di detto regolamento concedendo all’interessato un diritto di accesso ai suoi dati personali e un diritto di informazione sul trattamento di tali dati.
57. In particolare, l’articolo 15, paragrafo 1, del regolamento in esame prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso a detti dati personali nonché alle informazioni relative, in particolare, alle finalità del trattamento e ai destinatari o alle categorie di destinatari a cui tali dati personali sono stati o saranno comunicati.
58. Detto diritto di accesso deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito (18).
59. Come precisato dalla Corte, il diritto di accesso previsto all’articolo 15 del RGPD è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione («diritto all’oblio») e il suo diritto di limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli da 16 a 18 di detto regolamento, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all’articolo 21 del suddetto regolamento, nonché il suo diritto di agire in giudizio nel caso in cui subisca un danno, previsto agli articoli 79 e 82 del medesimo regolamento (19).
60. Pertanto, l’articolo 15 del RGPD rientra tra le disposizioni volte a garantire detto diritto di accesso e ad assicurare che le modalità mediante le quali i dati personali sono trattati siano trasparenti per l’interessato, non essendo quest’ultimo in caso contrario in grado di verificare che i dati che lo riguardano siano trattati in modo lecito né di esercitare le prerogative previste agli articoli da 16 a 18, 21, 79 e 82 di detto regolamento (20).
61. È in quest’ottica che la Corte ha già dichiarato che il principio della gratuità della prima copia dei dati nonché l’assenza di necessità di invocare un motivo specifico che giustifichi la richiesta di accesso contribuiscono necessariamente ad agevolare l’esercizio, da parte dell’interessato, dei diritti conferitigli dal RGPD (21).
62. Data l’importanza che detto regolamento attribuisce al diritto di accedere ai dati personali oggetto di trattamento, quale garantito all’articolo 15, paragrafo 1, del regolamento in parola, per conseguire gli obiettivi da esso perseguiti, l’esercizio di tale diritto non può essere subordinato a condizioni eccessivamente restrittive.
63. A mio avviso, lo stesso dovrebbe valere per il diritto degli interessati di proporre reclami ai sensi dell’articolo 77, paragrafo 1, del RGPD.
64. Infatti, conformemente a quanto previsto dall’articolo 12, paragrafo 3, di detto regolamento, il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del regolamento di cui trattasi senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. In caso di mancato adempimento di tale obbligo da parte del titolare del trattamento, la persona che ha formulato una richiesta dinanzi ad esso deve poter proporre un reclamo a un’autorità di controllo affinché quest’ultima possa, se del caso, ordinare al titolare del trattamento, conformemente a quanto prevede l’articolo 58, paragrafo 2, lettera c), del medesimo regolamento, di soddisfare le richieste dell’interessato di esercitare i diritti che gli derivano dal RGPD.
65. Quando una persona ha presentato una richiesta di accesso o di cancellazione a più titolari del trattamento, come sembra essere accaduto nel caso di specie, il numero di reclami sottoposti a un’autorità di controllo deve poter essere potenzialmente identico al numero di rifiuti che detti titolari del trattamento hanno opposto a detta persona. Una decisione diversa, che fissi una soglia oltre la quale detti reclami potrebbero essere qualificati da un’autorità di controllo come «eccessivi» in ragione soltanto del loro numero, lederebbe i diritti garantiti dal RGPD da me elencati in precedenza.
66. Osservo inoltre che, come precisa il considerando 63 del RGPD, detto regolamento riconosce espressamente agli interessati il diritto di accedere ai dati personali raccolti che li riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli. Ciò significa, a mio avviso, che dette persone possono esercitare a più riprese tale diritto dinanzi al medesimo titolare del trattamento, senza che la reiterazione della richiesta possa, in quanto tale, essere qualificata come «eccessiva». Laddove detto diritto sia ripetutamente leso dal titolare del trattamento interpellato o dai titolari del trattamento interpellati, tali persone dovrebbero, a mio avviso, poter sottoporre a un’autorità di controllo più reclami riferiti a tale titolare del trattamento o a tali titolari del trattamento ai sensi dell’articolo 77, paragrafo 1, del RGPD.
67. Osservo, peraltro, che una disposizione analoga all’articolo 57, paragrafo 4, di detto regolamento figura nell’articolo 12, paragrafo 5, del medesimo, il quale riconosce in maniera analoga, questa volta al titolare del trattamento investito di richieste manifestamente infondate o eccessive, la possibilità di addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione, intraprendere l’azione richiesta o rifiutare di soddisfare la richiesta (22).
68. Nella sua sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (23), la Corte ha dichiarato che l’articolo 12, paragrafo 5, del RGPD stabilisce il principio secondo cui l’esercizio del diritto di accesso dell’interessato ai suoi dati oggetto di trattamento e alle relative informazioni non comporta spese per l’interessato. Inoltre, tale disposizione prevede due motivi per i quali un titolare del trattamento può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi o rifiutare di soddisfare una richiesta. Secondo la Corte, tali motivi riguardano casi di abuso di diritto (24). Sulla base di tale constatazione, la Corte ha osservato che, secondo il giudice del rinvio, la richiesta dell’interessato non era abusiva (25).
69. Nella misura in cui l’articolo 12, paragrafo 5, e l’articolo 57, paragrafo 4, del RGPD sono formulati in maniera analoga e si fondano sulla medesima logica che consiste nell’evitare di far gravare, a seconda dei casi, sul titolare del trattamento o sull’autorità di controllo, un onere sproporzionato idoneo ad ostacolare il loro corretto funzionamento, ritengo che le due disposizioni di cui trattasi debbano ricevere una medesima interpretazione.
70. Ne deduco che per ricorrere alla facoltà offerta dall’articolo 57, paragrafo 4, di detto regolamento, l’autorità di controllo deve stabilire, alla luce di tutte le circostanze rilevanti di ciascuna fattispecie, l’esistenza di un’iniziativa abusiva da parte dell’interessato (26), fermo restando che il numero di reclami da quest’ultimo presentati non è, da solo, sufficiente.
71. Da questo punto di vista sia l’articolo 12, paragrafo 5, del RGPD che l’articolo 57, paragrafo 4, di detto regolamento rispecchiano la giurisprudenza consolidata della Corte secondo cui esiste, nel diritto dell’Unione, un principio generale di diritto secondo cui gli individui non possono avvalersi abusivamente o fraudolentemente delle norme del diritto dell’Unione (27). Nel contesto di quest’ultima disposizione, l’esistenza di un’iniziativa abusiva può essere constatata quando una persona propone reclami senza che ciò sia oggettivamente necessario alla tutela dei diritti che tale persona trae dal regolamento di cui trattasi.
72. L’articolo 57, paragrafo 4, del RGPD rappresenta così un’espressione del principio di proporzionalità: benché le autorità di controllo siano tenute, in linea di principio, ad esaminare ciascun reclamo con la dovuta diligenza, non si può imporre loro un siffatto onere nella misura in cui ciò supera quanto necessario per tutelare i diritti che gli interessati traggono da detto regolamento. La disposizione di cui trattasi consente, pertanto, a tali autorità di conciliare gli interessi del richiedente e quelli di un buon andamento dell’amministrazione.
73. Aggiungo che, come illustrato in precedenza, l’articolo 57, paragrafo 4, del RGPD deve essere interpretato in maniera restrittiva, il che significa che occorre limitare la sua applicazione ai casi strettamente necessari al fine di evitare di ostacolare il corretto funzionamento delle autorità di controllo, obiettivo quest’ultimo perseguito da detta disposizione. Orbene, una siffatta interpretazione restrittiva mi sembra escludere che la presa in considerazione del numero dei reclami, per quanto elevato, possa, da sola, essere sufficiente a giustificare l’applicazione della disposizione di cui trattasi da parte di un’autorità di controllo.
74. Infatti, conformemente all’articolo 8, paragrafo 3, della Carta dei diritti fondamentali, il rispetto delle norme in materia di protezione dei dati personali è soggetto al controllo di un’autorità indipendente. In tale contesto gli Stati membri provvedono, in forza dell’articolo 52, paragrafo 4, del RGPD, affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri. Ne consegue che tali risorse devono essere adattate all’utilizzo che gli interessati fanno del proprio diritto di presentare reclami dinanzi alle autorità di controllo. Sarebbe paradossale che il legislatore dell’Unione, pur avendo inteso, come risulta dall’articolo 57, paragrafo 2, di detto regolamento, agevolare l’introduzione di tali reclami, il che equivale ad incoraggiarli, abbia nel contempo consentito a dette autorità di rifiutarsi di soddisfarli quando ritengono che il loro numero sia eccessivo.
75. Pertanto, per riconoscere la sussistenza di richieste eccessive in ragione del loro carattere ripetitivo, non è sufficiente che l’interessato proponga dinanzi a un’autorità di controllo un numero di reclami sensibilmente superiore al numero medio di reclami proposti da ciascun interessato, comportando così per detta autorità un ingente carico di lavoro, superiore alla media. Compete, infatti, agli Stati membri fornire alle autorità di controllo i mezzi idonei alla trattazione di tutti i reclami che vengono loro presentati incrementando, se del caso, detti mezzi al fine di adeguarli all’utilizzo che gli interessati fanno del diritto loro riconosciuto di presentare reclami ai sensi dell’articolo 77, paragrafo 1, del RGPD. Un’autorità di controllo non può, quindi, argomentare il suo rifiuto di dare seguito a un reclamo in applicazione dell’articolo 57, paragrafo 4, di detto regolamento, sulla base del fatto che un interessato che propone un numero elevato di reclami impegni in misura consistente le risorse di detta autorità, a danno della trattazione di altri reclami presentati da altri.
76. Inoltre, i reclami ai sensi dell’articolo 77, paragrafo 1, del RGPD svolgono un ruolo importante nella conoscenza che le autorità di controllo possono acquisire delle violazioni dei diritti tutelati da detto regolamento (28). Essi sono, pertanto, essenziali per il buon espletamento del compito loro assegnato che consiste nell’assicurare la corretta applicazione del regolamento in parola. Tali reclami contribuiscono, quindi, in maniera importante ad assicurare un livello coerente ed elevato di protezione degli interessati all’interno dell’Unione nonché a rafforzare e precisare i diritti di tali persone.
77. Pertanto, consentire alle autorità di controllo di constatare il carattere eccessivo dei reclami sulla base unicamente del loro numero elevato potrebbe, a mio avviso, compromettere la realizzazione di detto obiettivo. Infatti, come ho sostenuto in precedenza, un numero elevato di reclami può essere la conseguenza diretta di un numero ingente di mancate risposte o di rifiuti da parte di uno o più titolari del trattamento a richieste di accesso presentate da un interessato per tutelare i propri diritti. È difficile, inoltre, fissare una soglia quantitativa oltre la quale i reclami possano essere qualificati, in ragione del loro numero, come «eccessivi». A tal proposito, la presa in considerazione del solo numero di reclami potrebbe comportare una lesione arbitraria della tutela giuridica di cui un interessato beneficia in forza del RGPD. Per tale motivo occorre, a mio avviso, subordinare l’accertamento dell’esistenza di richieste eccessive alla condizione che sia dimostrato un intento abusivo da parte della persona che ha proposto i reclami di cui trattasi.
78. Dagli elementi che precedono si evince che, nella misura in cui la trattazione con la dovuta diligenza, da parte delle autorità di controllo, dei reclami loro sottoposti rappresenta la regola, tali autorità dovrebbero, a mio avviso, avvalersi dell’articolo 57, paragrafo 4, del RGPD solo in casi eccezionali, tanto più che la presa in considerazione del carico di lavoro che l’esercizio del diritto di proporre un reclamo ai sensi dell’articolo 77, paragrafo 1, di detto regolamento comporta e dell’interesse del richiedente non rileva, in linea di principio, ai fini della determinazione della portata dell’esercizio di detto diritto (29). Le eccezioni a tale obbligo di trattazione dei reclami da parte delle autorità di controllo dovrebbero essere dunque interpretate restrittivamente in modo da ponderare l’interesse pubblico tutelato dalla trattazione dei reclami con l’interesse tutelato dal rifiuto di trattarli (30).
79. Sulla base delle circostanze specifiche di ciascun caso, spetta pertanto all’autorità di controllo investita di un numero elevato di reclami dimostrare che detto numero non è giustificato dalla volontà dell’interessato di ottenere una protezione dei diritti che egli trae dal RGPD, ma da una finalità di altra natura, scollegata da tale tutela. Ciò accade, in particolare, quando tali circostanze indicano che il numero elevato di reclami mira ad ostacolare il corretto funzionamento di detta autorità impegnandone le risorse in assenza di un motivo legittimo.
80. A tal riguardo, la moltiplicazione dei reclami può costituire un indizio di richieste eccessive da parte di un interessato quando risulta che detti reclami non sono oggettivamente giustificati da considerazioni vertenti sulla protezione dei diritti che detta persona trae dal RGPD. Ciò può accadere, ad esempio, se i reclami riguardano il medesimo titolare del trattamento, hanno tutti il medesimo contenuto, vertono sui medesimi obblighi imposti da detto regolamento e sono proposti ad intervalli esageratamente ravvicinati senza che un cambiamento nelle circostanze di fatto lo giustifichi, dimostrando così un’intenzione dell’interessato di nuocere al corretto funzionamento dell’autorità di controllo, piuttosto che la volontà di perseguire la protezione dei diritti che detto regolamento gli conferisce. Un’altra ipotesi di richieste eccessive in ragione del loro carattere ripetitivo può riguardare il caso in cui una persona propone dinanzi a un’autorità di controllo, e con riferimento a una moltitudine di titolari del trattamento con cui detta persona non ha necessariamente un qualche collegamento, un numero di reclami talmente elevato che tale ricorso sproporzionato al suo diritto di presentare reclami dimostra, unitamente ad altri elementi, quali il contenuto di tali reclami, la sua intenzione di paralizzare il funzionamento di detta autorità saturandola di richieste.
81. Sulla base di tali indicazioni, compete al giudice del rinvio verificare se la DSB abbia potuto legittimamente constatare l’esistenza di «richieste eccessive», ai sensi dell’articolo 57, paragrafo 4, del RGPD.
82. Ricordo a tal proposito che i reclami proposti da F R, che ammontano a 77, fanno seguito a richieste di accesso o di cancellazione presentate da questa persona a diversi titolari del trattamento e che sono rimaste, per la maggior parte, inevase nel termine di un mese. A tale constatazione si aggiunge il fatto che F R si è messo in contatto a cadenza regolare con la DSB per sapere se determinati casi potessero giustificare un reclamo.
83. Secondo la DSB, presentando in continuazione, da circa un anno e mezzo, nuovi reclami il cui numero è, a suo avviso, considerevole, l’interessato si approprierebbe a proprio vantaggio, in misura sproporzionata rispetto ai richiedenti che presentano un numero inferiore di richieste, delle risorse limitate in termini di personale di cui detta autorità dispone. Inoltre, il numero crescente di reclami e le conversazioni telefoniche tra F R e la DSB lascerebbero presagire un ricorso massiccio a detta autorità in futuro. I 77 reclami presentati dovevano pertanto essere qualificati come «richieste eccessive», ai sensi dell’articolo 57, paragrafo 4, del RGPD.
84. Dubito che tale motivazione sia sufficiente a giustificare una siffatta qualificazione posto che non fa emergere l’esistenza di un’iniziativa abusiva da parte di F R, vale a dire un’iniziativa volta non a ottenere la protezione dei diritti che egli trae dal RGPD ma una finalità diversa, consistente nell’interferire con il corretto funzionamento dell’autorità di controllo. Parimenti, le previsioni di detta autorità quanto al numero consistente di reclami che F R potrebbe presentare in futuro e la constatazione delle proprie risorse limitate in termini di personale non mi sembrano rilevanti.
85. Dagli elementi che precedono emerge che l’articolo 57, paragrafo 4, del RGPD deve, a mio avviso, essere interpretato nel senso che determinate richieste non possono essere qualificate come «eccessive», ai sensi di detta disposizione, unicamente in ragione del loro numero in un certo periodo di tempo, nella misura in cui compete all’autorità di controllo dimostrare anche un intento abusivo da parte della persona che propone tali reclami.
C. Sulla terza questione pregiudiziale
86. Con la sua terza questione il giudice del rinvio chiede, in sostanza, se l’articolo 57, paragrafo 4, del RGPD debba essere interpretato nel senso che, quando è investita di richieste eccessive, l’autorità di controllo può liberamente scegliere di addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. In caso di risposta in senso negativo, detto giudice si interroga sui criteri che l’autorità di controllo deve prendere in considerazione e, in particolare, sulla questione se tale autorità sia obbligata prioritariamente ad addebitare tale contributo prima di rifiutarsi di soddisfare una siffatta richiesta.
87. L’esame del tenore letterale della disposizione di cui trattasi mi porta a constatare che le opzioni consistenti, da un lato, nel contributo spese ragionevole basato sui costi amministrativi e, dall’altro, nel rifiuto di soddisfare le richieste eccessive sono elencate una dopo l’altra separate dalla congiunzione «o», senza che sia possibile dedurre dalla formulazione accolta un ordine di priorità tra l’una e l’altra di queste opzioni (31).
88. Pertanto questa formulazione, mettendo su un piano di parità le due opzioni di cui l’autorità di controllo dispone, sembra deporre a favore dell’interpretazione secondo cui detta autorità, una volta accertato il carattere eccessivo delle richieste ad essa sottoposte, è libera di scegliere tra l’addebito del contributo spese ragionevole e il rifiuto di soddisfare tali richieste.
89. Ciò premesso, alla luce del contesto in cui si inserisce l’articolo 57, paragrafo 4, del RGPD e degli obiettivi che detto regolamento persegue, un’autorità di controllo non può esercitare tale scelta in maniera discrezionale e immotivata. Infatti, tenuto conto dell’importanza che il diritto di proporre reclami riveste alla luce dell’obiettivo di garantire un elevato livello di protezione dei dati personali, nonché della posizione essenziale che la trattazione di detti reclami occupa tra i compiti affidati alle autorità di controllo e dell’obbligo che grava su dette autorità di procedere alla trattazione di tali reclami con la dovuta diligenza, compete a dette autorità tener conto di tutte le circostanze rilevanti, assicurando il carattere appropriato e proporzionato dell’opzione scelta. Questi elementi di valutazione devono figurare nella motivazione della decisione dell’autorità di controllo interpellata.
90. A tal riguardo, un’autorità di controllo potrebbe reputare idoneo, in funzione delle circostanze rilevanti e al fine di porre un freno a una pratica abusiva idonea a nuocere al suo corretto funzionamento, esigere il contributo spese ragionevole basato sui costi amministrativi del maggior carico di lavoro generato da reclami eccessivi. Infatti, la funzione dissuasiva di tale opzione potrebbe indurre l’autorità a privilegiare questa possibilità invece di rifiutarsi fin da subito di dare seguito a detti reclami.
91. Aggiungo che il principio di proporzionalità e l’obiettivo di garantire un elevato livello di protezione dei dati personali dovrebbero anch’essi indurre le autorità di controllo a prendere in considerazione il contributo spese ragionevole, basato sui costi amministrativi, prima di rifiutarsi di dare seguito ai reclami, trattandosi di una misura che arreca una lesione più contenuta ai diritti che gli interessati traggono dal RGPD.
92. Tuttavia, non mi sembra che l’articolo 57, paragrafo 4, del RGPD possa essere interpretato nel senso che arrivi ad obbligare, in tutti i casi, un’autorità di controllo ad applicare prioritariamente l’opzione consistente nell’esigere il contributo spese ragionevole.
93. Ritengo pertanto che l’articolo 57, paragrafo 4, del RGPD debba essere interpretato nel senso che, quando è investita di richieste eccessive, un’autorità di controllo può scegliere, mediante decisione motivata, di addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfarle, tenendo conto di tutte le circostanze rilevanti e assicurando il carattere appropriato e proporzionato dell’opzione scelta, senza che esista un rapporto di priorità tra dette due opzioni.
IV. Conclusione
94. Alla luce di tutte le considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dal Verwaltungsgerichtshof (Corte amministrativa, Austria) nel modo seguente:
L’articolo 57, paragrafo 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
– la nozione di «richiesta(e)» di cui a detta disposizione comprende i «reclami» menzionati all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di tale regolamento;
– determinate richieste non possono essere qualificate come «eccessive», ai sensi dell’articolo 57, paragrafo 4, di detto regolamento, unicamente in ragione del loro numero in un certo periodo di tempo, nella misura in cui compete all’autorità di controllo dimostrare anche un intento abusivo da parte della persona che propone tali reclami;
– quando è investita di richieste eccessive, un’autorità di controllo può scegliere, mediante decisione motivata, di addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfarle, tenendo conto di tutte le circostanze rilevanti e assicurando il carattere appropriato e proporzionato dell’opzione scelta, senza che esista un rapporto di priorità tra dette due opzioni.
1 Lingua originale: il francese.
2 GU 2016, L 119, pag. 1.
3 In base alle informazioni contenute nella decisione di rinvio, 4 reclami si riferiscono al 2018, 53 al 2019 e 20 reclami sono stati presentati nel primo trimestre del 2020. F R ha fatto valere il diritto di cancellazione in 46 casi e il diritto di accesso in 29 casi.
4 Nella misura in cui l’articolo 57, paragrafo 1, lettera f), del RGPD riflette, in un certo senso, l’articolo 77, paragrafo 1, di detto regolamento, mi sembra opportuno aggiungerlo alle disposizioni di cui il giudice del rinvio chiede l’interpretazione.
5 V., in particolare, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C‑300/21, EU:C:2023:370, punto 29 e giurisprudenza ivi citata).
6 V., in particolare, sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF (C‑487/21, EU:C:2023:369, punto 19 e giurisprudenza ivi citata); del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:958, punto 48 e giurisprudenza ivi citata), e del 30 aprile 2024, Trade Express-L e DEVNIA TSIMENT (C‑395/22 e C‑428/22, EU:C:2024:374, punto 65 e giurisprudenza ivi citata).
7 Il corsivo è mio.
8 Il corsivo è mio.
9 Il corsivo è mio.
10 Il governo austriaco osserva che la trattazione dei reclami rappresenta, sotto il profilo quantitativo, la parte più importante del carico di lavoro delle autorità di controllo.
11 V. Internal EDPB Document 6/2020 on preliminary steps to handle a complaint: admissibility and vetting of complaints, adottato il 15 dicembre 2020, punto 15.
12 V., in particolare, sull’interpretazione restrittiva delle eccezioni previste dalle disposizioni del RGPD, sentenza del 16 gennaio 2024, Österreichische Datenschutzbehörde (C‑33/22, EU:C:2024:46, punto 37 e giurisprudenza ivi citata).
13 V. sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punto 47).
14 V., in particolare, sentenze del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650, punto 63), e del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:958, punto 56 e giurisprudenza ivi citata).
15 V., in particolare, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione) (C‑26/22 e C‑64/22, EU:C:2023:958, punto 58 e giurisprudenza ivi citata).
16 C‑132/21, EU:C:2023:2.
17 V. sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, punto 57).
18 V., in particolare, sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punto 73 e giurisprudenza ivi citata).
19 V., in particolare, sentenza del 22 giugno 2023, Pankki S (C‑579/21, EU:C:2023:501, punto 58 e giurisprudenza ivi citata).
20 V., in particolare, sentenza del 22 giugno 2023, Pankki S (C‑579/21, EU:C:2023:501, punto 59 e giurisprudenza ivi citata).
21 V., in particolare, sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punto 50).
22 V., sull’articolo 12, paragrafo 5, del RGPD, EDPB, Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso, adottate il 28 marzo 2023, punti da 175 a 195.
23 C‑307/22, EU:C:2023:811.
24 V. sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punto 31).
25 V. sentenza del 26 ottobre 2023, FT (Copia della cartella medica) (C‑307/22, EU:C:2023:811, punto 32).
26 V., sulla nozione di «abuso di diritto», conclusioni dell’avvocato generale Szpunar nella causa McCarthy e a. (C‑202/13, EU:C:2014:345, paragrafi da 108 a 114), e sull’abuso di diritti nell’ambito della protezione dei dati, conclusioni dell’avvocato generale Kokott nella causa Nowak (C‑434/16, EU:C:2017:582, paragrafi da 42 a 50).
27 V., in particolare, sentenza del 21 dicembre 2023, BMW Bank e a. (C‑38/21, C‑47/21 e C‑232/21, EU:C:2023:1014, punto 281 e giurisprudenza ivi citata).
28 V. Hijmans, H., «Article 57. Tasks», in Kuner, C., Bygrave, L. A., Docksey, C., e Drechsler, L., The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press USA, New York, 2020, pagg. da 927 a 938, in particolare pag. 935.
29 V., per analogia, in materia di accesso ai documenti, sentenza del 26 ottobre 2011, Dufour/BCE (T‑436/09, EU:T:2011:634, punto 122).
30 V., per analogia, sull’accesso del pubblico all’informazione ambientale, sentenza del 20 gennaio 2021, Land BadenWürttemberg (Comunicazioni interne) (C‑619/19, EU:C:2021:35, punto 33 e giurisprudenza ivi citata).
31 V., per analogia, sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali) (C‑154/21, EU:C:2023:3, punto 31).