Edizione provvisoria
CONCLUSIONI DELL’AVVOCATA GENERALE
LAILA MEDINA
presentate il 23 ottobre 2025 (1)
Cause riunite da C-258/23 a C-260/23
IMI – Imagens Médicas Integradas S.A. (C-258/23)
Synlabhealth II S.A. (C-259/23)
SIBS-Sociedade Gestora de Participações Sociais SA,
SIBS, Cartões – Produção e Processamento de Cartões SA,
SIBS Processos – Serviços Interbancários de Processamento SA,
SIBS International SA,
SIBS Pagamentos SA,
SIBS Gest SA,
SIBS Forward Payment Solutions SA,
SIBS MB SA (C-260/23)
contro
Autoridade da Concorrência
[domanda di pronuncia pregiudiziale proposta dal Tribunal da Concorrência, Regulação e Supervisão (Tribunale della concorrenza, regolamentazione e vigilanza, Portogallo)]
« Rinvio pregiudiziale – Violazione delle norme in materia di concorrenza – Sequestro di documenti professionali – Mandato emesso dal pubblico ministero – Carta dei diritti fondamentali – Articolo 8 – Lesione del diritto al rispetto dei dati personali – Autorizzazione giudiziaria preventiva »
I. Introduzione
1. Nelle mie conclusioni lette il 20 giugno 2024 nelle presenti cause riunite (2), ho proposto alla Quarta Sezione (di allora) della Corte di interpretare l’articolo 7 della Carta dei diritti fondamentali dell’Unione europea (3) nel senso che esso non osta alla legislazione di uno Stato membro in applicazione della quale, nell’ambito di un’indagine su una presunta violazione dell’articolo 101 TFUE o dell’articolo 102 TFUE, l’autorità nazionale garante della concorrenza proceda, senza disporre di una previa autorizzazione giudiziaria, al sequestro di messaggi di posta elettronica il cui contenuto sia in relazione con l’oggetto dell’ispezione. Tuttavia, tale enunciazione è subordinata alla condizione che siano previste una rigorosa disciplina giuridica dei poteri dell’autorità nazionale garante della concorrenza, nonché garanzie adeguate e sufficienti contro gli abusi e gli atti arbitrari. Simili garanzie devono, segnatamente, assume la forma di un controllo giurisdizionale ex post completo delle misure in questione (4).
2. A seguito della sentenza del 4 ottobre 2024 nella causa Bezirkshauptmannschaft Landeck (5), la Corte ha deciso, su domanda della Quarta Sezione (di allora) e in conformità all’articolo 60, paragrafo 3, del regolamento di procedura, di rinviare le presenti cause dinanzi alla Grande Sezione. In tale sentenza, la Corte ha statuito, segnatamente, che l’articolo 4, paragrafo 1, lettera c), della direttiva (UE) 2016/680 (6), letto alla luce degli articoli 7 e 8 nonché dell’articolo 52, paragrafo 1, della Carta, non osta a una normativa nazionale che concede alle autorità competenti la possibilità di accedere ai dati personali contenuti in un telefono cellulare, a fini di prevenzione, ricerca, accertamento e perseguimento di reati. Tuttavia, la Corte ha stabilito che l’esercizio di tale facoltà deve essere assoggettato, assieme ad altre condizioni, al previo controllo di un giudice o di un’entità amministrativa indipendente, tranne che in casi di urgenza debitamente comprovati (7).
3. Nell’ambito delle presenti conclusioni complementari, la Corte mi invita a esaminare se si debba tener conto degli insegnamenti della sentenza Landeck al fine di rispondere al giudice del rinvio nelle presenti cause, e in particolare alla sua terza questione pregiudiziale. Infatti, la Corte reputa necessario stabilire se l’esigenza del controllo preventivo di un giudice o di un’entità amministrativa indipendente sia trasponibile alle indagini svolte in materia di concorrenza al fine di identificare delle violazioni dell’articolo 101 TFUE o dell’articolo 102 TFUE, in particolare qualora i messaggi di posta elettronica sottoposti a sequestro da parte dell’autorità nazionale garante della concorrenza, nonché i documenti risultanti da tali messaggi contengano dati personali.
4. Le presenti conclusioni completano dunque il ragionamento svolto nelle mie prime conclusioni conformemente alla nuova richiesta della Corte. Per un’esposizione dettagliata del quadro normativo, dei fatti all’origine della controversia e dei procedimenti nelle cause principali e dinanzi alla Corte, mi permetto di rinviare ai paragrafi da 3 a 19 delle mie prime conclusioni. Tale esposizione deve essere integrata unicamente con l’indicazione secondo cui, il 3 giugno 2025, a seguito della riapertura della fase orale del procedimento, la Grande Sezione della Corte ha tenuto un’udienza di discussione. Hanno partecipato a quest’ultima le parti di cui ai procedimenti principali, i governi portoghese, ellenico, finlandese e svedese, nonché la Commissione europea e l’Autorità di vigilanza EFTA.
II. Analisi
5. Ricordo che, con la terza questione pregiudiziale sollevata nelle presenti cause, il giudice del rinvio desidera sapere, in sostanza, se l’articolo 7 della Carta osti al sequestro, senza previa autorizzazione di un’autorità giudiziaria, dei messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa, nonché dei documenti professionali risultanti da tali messaggi, nell’ambito di un’indagine su accordi e pratiche vietati dagli articoli 101 e 102 TFUE (8). Più specificamente, il giudice del rinvio si chiede se tale sequestro possa essere autorizzato da un’entità come il pubblico ministero portoghese che, secondo detto giudice, è incaricato segnatamente di rappresentare lo Stato, di difendere gli interessi individuati dalla legge e di esercitare l’azione pubblica sulla base del principio di legalità (9).
6. Anzitutto, occorre rilevare che, secondo i termini della sua questione, il giudice del rinvio si limita a interrogare la Corte in merito all’interpretazione dell’articolo 7 della Carta nel contesto dei sequestri, usualmente effettuati dalle autorità nazionali garanti della concorrenza, dei messaggi di posta elettronica a carattere professionale scambiati tra i dirigenti e gli impiegati delle imprese sottoposte ad indagine. Tuttavia, nella misura in cui tali sequestri possono riguardare non soltanto comunicazioni coperte dall’articolo 7 della Carta (10), ma anche e in maniera consustanziale, dati personali protetti dall’articolo 8 della Carta, è opportuno esaminare tale questione anche nella prospettiva di quest’ultima disposizione al fine di fornire una risposta utile al giudice del rinvio (11).
7. A questo proposito, occorre ricordare che l’articolo 8 della Carta proclama, al paragrafo 1, il diritto alla protezione dei dati personali. Tale articolo impone anche, al paragrafo 2, che tali dati vengano trattati nel rispetto di determinate condizioni, da cui dipende la liceità del trattamento in discussione (12). Pur avendo una diversa natura (13), il diritto alla protezione dei dati personali è strettamente legato al diritto al rispetto della vita privata e familiare sancito dall’articolo 7 della Carta, che esso completa (14).
8. Peraltro, il diritto alla protezione dei dati personali osta a che informazioni relative a persone fisiche identificate o identificabili vengano raccolte da terzi o che tali terzi vi abbiano accesso, indipendentemente dal fatto che si tratti di autorità pubbliche o del pubblico in generale, a meno che tale raccolta di dati e tale accesso intervengano in virtù di un trattamento rispondente ai requisiti prescritti dall’articolo 8, paragrafo 2, della Carta (15). Al di fuori di questa ipotesi, la raccolta dei dati personali e l’accesso a questi ultimi, che costituiscono un trattamento di tali dati (16), devono essere considerati come limitativi del diritto garantito dall’articolo 8, paragrafo 1, della Carta (17).
9. Nel caso di specie, per quanto riguarda i messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa, nonché i documenti professionali risultanti da essi, è evidente che, nella misura in cui tali messaggi e tali documenti possono contenere anche dati personali ai sensi dell’articolo 4, punto 1), del regolamento generale sulla protezione dei dati (18), il sequestro effettuato da un’autorità nazionale garante della concorrenza nell’ambito di un’indagine costituisce una limitazione all’esercizio del diritto garantito dall’articolo 8 della Carta.
10. Tuttavia, risulta da una consolidata giurisprudenza che il diritto fondamentale alla protezione dei dati personali non è una prerogativa assoluta, ma deve essere preso in considerazione in rapporto alla sua funzione nella società e messo in bilanciamento con altri diritti fondamentali (19). Pertanto, a tale diritto possono essere apportate delle limitazioni, a condizione che, in conformità all’articolo 52, paragrafo 1, della Carta, esse siano previste dalla legge e rispettino il contenuto essenziale del diritto fondamentale nonché il principio di proporzionalità (20).
11. In primo luogo, per quanto riguarda il requisito relativo alla previsione da parte della legge, esso implica che la base giuridica che autorizza una limitazione ad un diritto fondamentale definisca la portata della stessa in maniera sufficientemente chiara e precisa (21).
12. A questo proposito, occorre rilevare che il regolamento generale sulla protezione dei dati, che è applicabile alle autorità nazionali garanti della concorrenza nell’ambito delle indagini da esse condotte (22), stabilisce segnatamente, all’articolo 6, paragrafo 1, lettera e), che il trattamento dei dati è lecito quando è necessario per l’esecuzione di un compito rientrante nell’esercizio dei pubblici poteri di cui è investito il titolare del trattamento. Secondo la giurisprudenza della Corte, tale disposizione, letta in combinazione con l’articolo 6, paragrafo 3, del medesimo regolamento (23), esige l’esistenza di una base giuridica che serva da fondamento per il trattamento di dati personali ad opera dei titolari del trattamento che agiscono nell’ambito dell’esecuzione di un compito rientrante nell’esercizio dei pubblici poteri (24).
13. Nel caso di specie, è al giudice del rinvio che spetta esaminare tali elementi in maniera concreta. Tuttavia, da un lato, è chiaro che il trattamento dei dati personali, quando si inscrive nell’ambito di un’indagine effettuata da un’autorità nazionale garante della concorrenza, rientra nell’esercizio dei pubblici poteri (25). Dall’altro lato, e come ho già constatato nelle mie prime conclusioni (26), le misure in discussione nei procedimenti principali si fondano su articoli della lei n. 19/2012 (novo regime jurídico da concorrência) (legge n. 19/2012 recante approvazione del nuovo regime giuridico della concorrenza), dell’8 maggio 2012, i quali permettono il sequestro di documenti professionali al fine di ottenere la prova dei comportamenti anticoncorrenziali.
14. Ne consegue che, nella misura in cui il sequestro dei messaggi di posta elettronica da parte dell’autorità nazionale garante della concorrenza interessata nelle cause principali costituisce una limitazione al diritto garantito dall’articolo 8 della Carta, tale limitazione trova copertura legale in conformità con il primo requisito previsto dall’articolo 52, paragrafo 1, della Carta.
15. In secondo luogo, per quanto riguarda il requisito relativo al rispetto del contenuto essenziale del diritto alla protezione dei dati personali, la dottrina sottolinea la difficoltà di identificare il nucleo essenziale di tale diritto (27). A tale complessità si aggiunge quella di stabilire una netta linea di demarcazione tra, da un lato, il diritto al rispetto della vita privata e familiare, contemplato dall’articolo 7 della Carta, e, dall’altro, il diritto alla protezione dei dati personali, previsto dall’articolo 8 della Carta (28).
16. Ad ogni modo, constato che, nella sua giurisprudenza, la Corte tende a considerare che soltanto una raccolta di dati priva di limiti o un accesso generalizzato, da parte delle autorità pubbliche, ai dati contenuti in comunicazioni elettroniche, senza che siano previste garanzie specifiche contro i trattamenti illeciti al fine di proteggere tali dati, sono idonei a ledere il contenuto essenziale del diritto fondamentale alla protezione dei dati personali (29).
17. Nel caso di specie, fatte salve le verifiche che devono essere effettuate dal giudice del rinvio, occorre rilevare che il sequestro della corrispondenza professionale dei dirigenti e degli impiegati di un’impresa sottoposta ad un’indagine non determina, per regola generale, né la raccolta illimitata di dati personali né l’accesso generalizzato a questi ultimi. Come ho già indicato nelle mie prime conclusioni (30), il sequestro di tale corrispondenza è limitato dall’oggetto dell’indagine, come definito nella decisione di ispezione, con ciò derivandone che la raccolta dei dati ivi contenuti sia ristretta a quelli che presentano un nesso con le pratiche anticoncorrenziali oggetto di indagine. Oltre a ciò, i dati personali raccolti non possono essere impiegati per finalità diverse da quelle dell’identificazione del comportamento anticoncorrenziale che costituisce l’oggetto dell’indagine. Infine, come spiegherò più avanti nelle presenti conclusioni (31), il sequestro di una corrispondenza professionale da parte di un’autorità nazionale garante della concorrenza è generalmente circondato da garanzie procedurali supplementari destinate ad assicurare, segnatamente, la sicurezza, l’integrità e la riservatezza di tali dati.
18. Ne consegue che, nei limiti in cui il sequestro dei messaggi di posta elettronica in questione nei procedimenti principali non si sia tradotto in una raccolta generalizzata di dati personali, nei termini evocati dalla giurisprudenza della Corte, tale sequestro non può essere considerato idoneo a pregiudicare il contenuto essenziale dell’articolo 8 della Carta.
19. In terzo luogo, per quanto riguarda il principio di proporzionalità, occorre ricordare che, secondo la costante giurisprudenza della Corte, al diritto alla protezione dei dati personali possono essere apportate limitazioni soltanto qualora queste siano necessarie e rispondano effettivamente a obiettivi di interesse generale riconosciuti dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. Inoltre, simili limitazioni devono essere circoscritte allo stretto necessario e la normativa che autorizza una tale ingerenza deve prevedere norme chiare e precise disciplinanti la portata e l’applicazione della misura in questione (32).
20. In primo luogo, come rilevato nelle mie prime conclusioni (33), i sequestri effettuati dalle autorità nazionali garanti della concorrenza, allorché esse applicano, a norma dell’articolo 3, paragrafo 1, e dell’articolo 5 del regolamento (CE) n. 1/2003 (34), gli articoli 101 e 102 TFUE, hanno lo scopo di individuare pratiche contrarie a tali disposizioni, che hanno carattere imperativo. Esse vietano, rispettivamente, le intese e gli abusi di posizione dominante e perseguono l’obiettivo, indubbiamente di interesse generale, di garantire che la concorrenza non sia falsata nel mercato interno. Tale formulazione, che discende dalla giurisprudenza della Corte in merito all’articolo 7 della Carta (35), rimane pienamente applicabile nell’ambito disciplinato dall’articolo 8 di quest’ultima.
21. In secondo luogo, al fine di perseguire l’obiettivo di identificare delle pratiche anticoncorrenziali nel mercato interno, nessun altro mezzo, altrettanto efficace e meno lesivo del diritto alla protezione dei dati personali (36), mi sembra disponibile quale alternativa al sequestro dei messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa tramite il servizio di messaggeria interna di quest’ultima. Tali messaggi di posta elettronica costituiscono, infatti, una delle fonti principali a disposizione delle autorità garanti della concorrenza al fine di poter individuare l’esistenza di un comportamento anticoncorrenziale sul mercato interno. Lo stesso articolo 20, paragrafo 2, del regolamento n. 1/2003 riconosce, quale potere della Commissione in materia ispettiva, la facoltà di effettuare simili sequestri (37), il che è previsto dal legislatore anche per le autorità nazionali garanti della concorrenza a seguito dell’adozione della direttiva (UE) 2019/1 (38), in particolare all’articolo 6, paragrafo 1, lettera c), di quest’ultima. Pertanto, i sequestri dei messaggi di posta elettronica professionali e la raccolta di dati personali ivi contenuti devono essere considerati necessari per realizzare l’obiettivo di interesse generale della tutela della concorrenza nel mercato interno.
22. In terzo luogo, per quanto riguarda il carattere proporzionato della limitazione risultante dal sequestro dei messaggi di posta elettronica scambiati tra dirigenti e impiegati di imprese, in particolare per il diritto fondamentale garantito dall’articolo 8 della Carta, la Corte ha dichiarato che tale carattere deve essere valutato nel contesto nel quale una limitazione siffatta si inserisce, ponderando l’insieme dei pertinenti elementi del caso di specie (39). Secondo la sentenza Landeck (40), tra tali elementi rientrano la gravità della limitazione così apportata all’esercizio del diritto fondamentale in questione, l’importanza dell’obiettivo di interesse generale perseguito mediante tale limitazione, il collegamento esistente tra il proprietario dei documenti sequestrati e l’illecito in questione od anche la pertinenza dei dati ai fini della constatazione dei fatti (41).
23. Quanto alla gravità della limitazione, essa deve essere valutata, secondo la giurisprudenza della Corte, tenendo conto della natura e della sensibilità dei dati ai quali le autorità pubbliche possono avere accesso (42). In particolare, se l’accesso all’insieme di questi dati da parte delle autorità pubbliche permette di trarre delle conclusioni «molto precise» riguardo alla vita privata della persona interessata, quali le sue abitudini di vita quotidiana, i suoi luoghi di soggiorno permanenti o temporanei, i suoi spostamenti, le attività da essa esercitate, le relazioni sociali di tale persona e gli ambienti sociali da essa frequentati, l’ingerenza nel diritto fondamentale tutelato dall’articolo 8 della Carta deve ritenersi grave, o persino particolarmente grave (43). Ciò si verifica anche nel caso in cui non si possa escludere che tra i dati in questione ve ne siano anche di particolarmente sensibili (44), come quelli che rivelano l’origine razziale o etnica, le opinioni politiche e le convinzioni religiose o filosofiche (45).
24. Nel caso di specie, occorre rilevare che, secondo i termini della domanda di pronuncia pregiudiziale, la questione sollevata dal giudice del rinvio si riferisce al sequestro di messaggi di posta elettronica professionali scambiati tra i dirigenti e gli impiegati di un’impresa assoggettata ad un’ispezione nei suoi locali professionali o commerciali (46). Come si è già indicato nelle presenti conclusioni, è notorio – e dunque non è più necessario suffragare tale affermazione – che i dati personali possono essere rinvenuti sia nel testo di tali messaggi di posta elettronica sia nei documenti professionali che sono ad essi allegati.
25. Tuttavia, a mio parere, tale situazione non è paragonabile a quella esaminata dalla Corte nella sentenza Landeck, la quale riguardava il sequestro, da parte delle autorità di polizia operanti presso un particolare domicilio, del telefono cellulare personale di una persona fisica sospettata di un reato, nonché l’«accesso completo e non controllato» (47) all’insieme dei dati ivi memorizzati. Essa non può neppure essere equiparata alle situazioni prese in esame nelle numerose sentenze della Corte vertenti, in sostanza, sull’accesso, da parte delle autorità pubbliche, a dati relativi al traffico o a dati relativi alla localizzazione conservati in maniera generalizzata e indifferenziata da fornitori di servizi di comunicazioni elettroniche (48).
26. Infatti, i telefoni cellulari sono dispositivi che, nel momento attuale, conservano, in un unico spazio, un vasto quantitativo di dati personali. Si tratta segnatamente dei dati di identificazione (identità personale, coordinate), dei dati di localizzazione (geolocalizzazione, registri delle chiamate ed elenchi dei messaggi, navigazione), dei dati relativi alle connessioni e ai pagamenti (identificativi on-line, dati bancari) e dei dati relativi alle applicazioni e all’uso, ivi comprese le impostazioni personalizzate. Di questi dati, molti sono quelli che ricadono, in aggiunta, nella categoria dei dati personali particolari ai sensi dell’articolo 9 del regolamento generale sulla protezione dei dati personali, ad esempio i dati relativi ai caratteri biometrici della persona interessata, alla sua salute, alla sua vita sessuale o ai suoi orientamenti sessuali, o anche alla sua origine razziale o etnica. A tutti questi dati si aggiungono altresì ulteriori elementi a carattere altamente personale, come le comunicazioni o le fotografie (49). Tenuto conto del loro numero e della loro varietà (50), tutti questi dati sono suscettibili di fornire un’immagine molto dettagliata e approfondita di quasi tutti i settori della vita privata della persona interessata, in particolare se vengono presi nel loro insieme, come la Corte ha del resto constatato nella sentenza Landeck (51). Come ho già indicato, tale enunciazione vale parimenti per i dati conservati in maniera generalizzata e indifferenziata nei server digitali dei fornitori di servizi elettronici.
27. Per contro, ritengo, al pari dei governi portoghese, ellenico, finlandese e svedese, nonché dell’Autorità di vigilanza EFTA e della Commissione, che i dati personali contenuti nei messaggi di posta elettronica professionali sequestrati in occasione di un’indagine in materia di concorrenza, in particolare quelli scambiati tra i dirigenti e gli impiegati di un’impresa per il tramite del servizio di messaggeria interna di quest’ultima, non possano essere oggetto di una valutazione analoga.
28. Infatti, né i messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa, né i documenti professionali risultanti da tali messaggi possono contenere, in linea di principio, dati che siano idonei a identificare, con la medesima precisione e la medesima intensità di un telefono cellulare personale, le abitudini di vita quotidiana delle persone interessate. A questo proposito, occorre rilevare, da un lato, che le autorità garanti della concorrenza, quando effettuano un’indagine nei locali commerciali di un’impresa, non ricercano dati personali in quanto tali, bensì informazioni a carattere commerciale capaci di dimostrare un comportamento anticoncorrenziale da parte di questa impresa. Ciò significa che, salvo che essi abbiano una rilevanza commerciale e siano dunque utili per incriminare l’impresa in questione, i dati risultanti dai messaggi a carattere professionale di dirigenti e di impiegati di imprese vengono raccolti soltanto in via sussidiaria (52). Dall’altro lato, mi sembra che, in questo genere di messaggi, i dati personali siano piuttosto suscettibili di figurare in maniera sparsa al momento della ricerca delle informazioni commerciali di un’impresa. In tale contesto, occorrerebbe che le autorità garanti della concorrenza, operando con spirito di iniziativa e al di fuori della portata dell’indagine (53), istituissero un sistema che combina o associa questi dati personali per poter considerare che essi permettono di disegnare un’immagine dettagliata della persona interessata al di là della sua sfera professionale (54), ciò che non è, in alcun caso, la finalità dell’indagine (55).
29. Inoltre, anche se i messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa possono, senza dubbio, contenere riferimenti alle riunioni o ai viaggi di tali persone – aventi, in linea di principio, carattere professionale –, essi non contengono dati relativi alla localizzazione o al traffico di navigazione raccolti a fini di profilazione e che sarebbero suscettibili di permettere un vero tracciamento del loro percorso (56). Detti messaggi non possono neppure fornire informazioni, allo stesso livello dei telefoni cellulari o di analoghi dispositivi personali, in merito alle attività private esercitate dal titolare dei dati in essi contenuti e ai rapporti e ai contesti sociali frequentati da quest’ultimo. Anche in tal caso, in mancanza di un sistema capace di combinare o di associare tutti questi dati, e che resterebbe in ogni caso al di fuori della portata dell’indagine, non ritengo che un profilo minuzioso e dettagliato di determinati aspetti personali della vita delle persone fisiche interessate possa essere realizzato fondandosi soltanto su dei messaggi di posta elettronica professionali.
30. Ne consegue che, a differenza delle constatazioni effettuate dalla Corte nella sentenza Landeck, la raccolta dei dati contenuti in messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa mediante il servizio di messaggeria di quest’ultima, nonché nei documenti professionali risultanti da detti messaggi, non permette, in linea di principio, di trarre delle conclusioni «molto precise» sulla vita privata della persona interessata, nel senso richiesto dalla giurisprudenza. L’ingerenza con riguardo al diritto alla protezione dei dati personali non può dunque ritenersi presentare un livello di gravità elevato (57) e, ancor meno, essere considerata particolarmente grave, contrariamente alla situazione che si presentava nella causa decisa dalla sentenza Landeck (58).
31. Quanto agli altri elementi che, conformemente alla giurisprudenza citata al paragrafo 22 delle presenti conclusioni, devono essere presi in considerazione per valutare il carattere proporzionato di una limitazione all’esercizio del diritto fondamentale garantito dall’articolo 8 della Carta, occorre rilevare che l’obiettivo di perseguire pratiche anticoncorrenziali di portata europea, conformemente all’articolo 101 e all’articolo 102 TFUE, è sufficientemente importante per considerare che l’ingerenza causata dalla raccolta dei dati personali contenuti in messaggi di posta elettronica professionali, nonché mediante l’accesso successivo ai suddetti dati, non è sproporzionata (59). Per giunta, come ho già indicato, tale raccolta e tale accesso hanno, in linea di principio, carattere sussidiario nell’ambito della ricerca delle informazioni, di natura commerciale, destinate ad incriminare l’impresa sottoposta ad indagine. Ne consegue che, a differenza della constatazione effettuata dalla Corte nella sentenza Landeck, la raccolta e l’accesso ai dati personali interessati da un’indagine in materia di concorrenza non mirano, a priori, a stabilire la responsabilità in materia di concorrenza della persona fisica titolare di questi dati, ma soltanto quella della persona giuridica con la quale tale persona fisica intrattiene un rapporto di lavoro (60).
32. Le considerazioni esposte nei punti che precedono militano a favore della valutazione secondo cui un’ingerenza quale quella costituente l’oggetto delle cause principali è rispettosa del principio di proporzionalità. Ciò è tanto più vero alla luce dell’obiettivo perseguito dal sequestro di messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa. Tuttavia, e come più parti hanno sostenuto all’udienza, tale considerazione dipende anche dal rispetto di talune garanzie procedurali supplementari (61). Tali garanzie sono quelle che si allineano, in sostanza, ai principi previsti dall’articolo 5 del regolamento generale sulla protezione dei dati e che, di norma, circoscrivono i sequestri effettuati dalle autorità nazionali garanti della concorrenza in conformità al diritto di ciascuno Stato membro (62). Nel caso di specie, è al giudice del rinvio che spetta naturalmente verificare che tale situazione sussista effettivamente per quanto riguarda i procedimenti principali.
33. Più specificamente, in primo luogo e secondo principi già ben noti, qualsiasi indagine effettuata dalle autorità nazionali garanti della concorrenza deve essere fondata su una decisione di ispezione debitamente motivata, la quale deve poggiare, come d’altronde prospettato dalla sentenza Landeck (63), su sospetti ragionevoli riguardo all’esistenza di una violazione, da parte di un’impresa, delle norme in materia di concorrenza previste dal Trattato. Come ho già indicato nelle presenti conclusioni (64), tale decisione di ispezione deve essere sufficientemente precisa per circoscrivere, in maniera effettiva, la portata dell’indagine, tanto sul piano sostanziale che su quello temporale. Per quanto riguarda, in particolare, i dati personali, la decisione di ispezione deve garantire che la loro raccolta e l’accesso ai medesimi, anche in via sussidiaria nella ricerca di informazioni commerciali, siano limitati a quanto è strettamente necessario per l’oggetto dell’indagine e siano dedicati esclusivamente ai fini di quest’ultima (65). Inoltre, se l’indagine è condotta mediante un software di investigazione informatica, così come peraltro usualmente avviene nella realtà di tutti i giorni (66), la procedura di indicizzazione che precede la ricerca di informazioni commerciali pertinenti per l’indagine deve essere effettuata mediante l’utilizzazione di parole chiave definite in maniera rigorosa in rapporto all’oggetto predefinito dell’indagine. Tutte queste misure devono permettere di svolgere l’indagine nel rispetto del principio della limitazione delle finalità e del principio di minimizzazione dei dati, che disciplinano il trattamento dei dati stessi (67).
34. In secondo luogo, al fine di rispondere ai precetti di lealtà e di trasparenza che presiedono al trattamento dei dati (68), l’autorità nazionale garante della concorrenza interessata deve informare le persone fisiche riguardate dell’eventuale trattamento dei loro dati personali e informarle dei loro diritti in maniera trasparente e coerente. Beninteso, la portata di tale obbligo di informazione può essere limitata qualora ciò sia necessario per proteggere la finalità dell’indagine, come previsto in maniera espressa dall’articolo 23, paragrafo 1, del regolamento generale sulla protezione dei dati. Orbene, al pari di quanto previsto dalla decisione 2018/1927 per le ispezioni svolte dalla Commissione (69), mi sembra che l’autorità nazionale garante della concorrenza debba trattare tutte queste limitazioni in maniera trasparente e registrare ciascun caso di limitazione nel registro corrispondente.
35. In terzo luogo, conformemente al principio di limitazione della conservazione e al principio di integrità e riservatezza (70), i dati personali raccolti devono essere conservati in un ambiente securizzato. A questo proposito, lo scopo è di impedire qualsiasi accesso o trasferimento illecito di dati a persone non presentanti alcun collegamento con l’indagine e di evitare qualsiasi alterazione di tali dati. Oltre a ciò, i dati personali devono essere conservati presso le autorità incaricate dell’indagine unicamente per la durata strettamente necessaria a quest’ultima, la quale deve essere determinata sulla base di criteri oggettivi (71). segnatamente durante il procedimento amministrativo e per tutta la durata di eventuali ricorsi giurisdizionali. Inoltre, la raccolta e, in particolare, l’accesso ai dati personali devono essere ristretti ad un numero di persone accreditate o di ispettori che deve restare il più limitato possibile, i quali devono essere assoggettati ad obblighi di riservatezza e al divieto di utilizzare tali dati per obiettivi diversi da quelli dell’indagine (72). Infine, una cancellazione securizzata dei dati personali, o in ragione della loro non rilevanza per l’oggetto dell’indagine o in ragione del decorso del termine di durata accettabile per la loro conservazione, deve essere prevista tramite un meccanismo di pulizia generale che impedisca il loro successivo recupero.
36. In quarto luogo, ed ancora una volta ai fini del rispetto della trasparenza del trattamento dei dati personali, è importante che la raccolta di questi ultimi e l’accesso ai medesimi, per il tramite della selezione di documenti utili all’indagine, vengano effettuati in presenza dei rappresentanti dell’impresa. Questi ultimi devono avere la possibilità di riesaminare l’insieme dei documenti provvisori destinati ad essere acclusi al fascicolo e, per tale ragione, devono poter constatare quali sono i dati personali contenuti in tali documenti. Essi devono essere anche in condizione di presentare dei reclami contro l’inserimento nel fascicolo di documenti contenenti dati personali che, da un lato e con tutta evidenza, non siano pertinenti per l’indagine, nonché, dall’altro, nel caso in cui questi dati rivestano un carattere particolare o sensibile, il che dovrebbe indurre i responsabili dell’indagine ad offrire a tali dati una protezione accresciuta (73). Inoltre, alla luce del principio di minimizzazione già menzionato, occorre che i dati personali contenuti in documenti aggiunti definitivamente al fascicolo, che non sono pertinenti in quanto tali per l’indagine, vengano sottoposti ad una procedura di anonimizzazione. Infine, conformemente al principio di responsabilità (74), il delegato alla protezione dei dati dell’autorità incaricata dell’indagine deve poter esaminare in maniera indipendente l’applicazione delle limitazioni al diritto alla protezione dei dati personali al fine di garantire il loro rispetto.
37. Le garanzie descritte nei punti che precedono, che si aggiungono agli obblighi che le autorità nazionali garanti della concorrenza sono tenute a rispettare conformemente al regolamento generale sulla protezione dei dati, sono in particolare idonee ad evitare un accesso integrale e indiscriminato all’insieme dei dati di una persona fisica. È per questa ragione che, a condizione che dette garanzie siano previste in maniera chiara e precisa e siano soddisfatte, il principio di proporzionalità richiesto dall’applicazione dell’articolo 8 della Carta dovrebbe considersi rispettato, segnatamente nel quadro del sequestro dei messaggi di posta elettronica scambiati tra impiegati e dirigenti di un’impresa e i documenti professionali risultanti da tali messaggi. Ciò è tanto più vero se si prende in considerazione, come ho indicato nell’ambito delle mie prime conclusioni (75), il fatto che, nella loro giurisprudenza, la Corte europea dei diritti dell’uomo e la Corte hanno riconosciuto che l’ingerenza pubblica può spingersi più lontano per dei locali o delle attività professionali o commerciali che non in altri casi (76).
38. In un contesto siffatto, non ritengo che il diritto alla protezione dei dati personali previsto dall’articolo 8 della Carta esiga la previa autorizzazione di un’autorità giudiziaria nell’ambito delle indagini svolte nel settore del diritto della concorrenza.
39. Come indicato nell’introduzione delle presenti conclusioni, nella sentenza Landeck la Corte ha considerato, in sostanza, che l’articolo 8 della Carta non osta a una normativa nazionale che conceda alle autorità competenti la possibilità di accedere ai dati contenuti in un telefono cellulare a scopi di prevenzione, ricerca, accertamento e perseguimento di reati in generale, purché l’esercizio di tale facoltà sia assoggettato, insieme ad altre condizioni, ad un previo controllo di un giudice o di un’entità amministrativa indipendente, salvo casi di urgenza debitamente giustificati (77). A questo proposito, la Corte ha affermato che, segnatamente allo scopo di assicurarsi che il principio di proporzionalità sia rispettato in ciascun caso concreto, effettuando una ponderazione dell’insieme degli elementi pertinenti, è essenziale che, qualora l’accesso delle autorità nazionali competenti ai dati personali comporti il rischio di un’ingerenza grave, o addirittura particolarmente grave, nei diritti fondamentali della persona interessata, tale accesso sia subordinato ad un controllo preventivo (78).
40. A questo proposito, mi permetto di osservare, anzitutto, che l’esigenza di un’autorizzazione giudiziaria preventiva è già prevista dal diritto dell’Unione per i casi in cui l’inchiesta svolta dall’autorità nazionale garante della concorrenza abbia luogo presso il domicilio privato dei dirigenti o degli impiegati dell’impresa in questione od anche in locali privati appartenenti a tali persone (79). Tale norma ha lo scopo di proteggere uno dei luoghi più sensibili della vita privata di una persona, situazione che era appunto quella che si presentava nella causa decisa dalla sentenza Landeck, nella quale il sequestro in questione aveva avuto luogo presso il domicilio della persona sospettata di aver commesso un reato.
41. Inoltre, risulta dalla giurisprudenza che le esigenze derivanti dalla protezione di un diritto fondamentale previsto dalla Carta possono essere accresciute qualora, conformemente alla normativa nazionale, gli elementi di prova ottenuti nell’ambito di un’indagine siano suscettibili di essere utilizzati ai fini di un procedimento svolto nei confronti di una persona fisica al fine di dimostrare la commissione di un illecito penale da parte di quest’ultima (80). Ne consegue, per quanto riguarda il diritto alla protezione dei dati personali previsto dall’articolo 8 della Carta, che l’esigenza di un’autorizzazione giudiziaria preventiva può imporsi nel caso in cui i dati personali contenuti nei documenti sequestrati da un’autorità nazionale garante della concorrenza vengano utilizzati non soltanto al fine di dimostrare la responsabilità dell’impresa interessata per la violazione delle regole di concorrenza del Trattato, ma anche al fine di stabilire la responsabilità penale di una persona fisica per comportamenti anticoncorrenziali, ove ciò sia previsto dal diritto nazionale dello Stato membro.
42. Tuttavia, al di fuori delle ipotesi che concernono segnatamente, da un lato, il sequestro dei messaggi di posta elettronica contenenti dati personali all’interno del domicilio privato di una persona e, dall’altro, il sequestro di documenti siffatti al fine di incriminare penalmente una persona fisica, come nella sentenza Landeck, non ritengo che un’autorizzazione giudiziaria preventiva sia richiesta, in quanto tale, dall’articolo 8 della Carta. Valgono qui le medesime considerazioni che hanno indotto la giurisprudenza della Corte europea dei diritti dell’uomo e quella della Corte a concludere che un’autorizzazione giudiziaria preventiva non è esigibile nell’ambito dell’articolo 7 della Carta per le ispezioni in materia di concorrenza effettuate nei locali delle società, come ho chiarito nelle mie prime conclusioni (81), alle quali mi permetto di rinviare.
43. In particolare, il sequestro, da parte di un’autorità nazionale garante della concorrenza, dei messaggi di posta elettronica scambiati tra i dirigenti e gli impiegati di un’impresa non mi sembra ledere il principio di proporzionalità, fatte salve le considerazioni che seguono. Occorre, da un lato, che detto sequestro sia assoggettato a garanzie procedurali, come quelle descritte nelle presenti conclusioni, nonché, dall’altro, ad un controllo giurisdizionale ex post, che può essere realizzato nel corso della procedura di indagine e dedicato segnatamente alla verifica del rispetto di dette garanzie alla luce dell’articolo 8 della Carta (82). La recente giurisprudenza della Corte europea dei diritti dell’uomo, vertente sull’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950, milita in questo senso, come dimostrano le sentenze del 6 febbraio 2025, Italgomme Pneumatici Srl e altri c. Italia (83) e del 18 marzo 2025, BRD – Groupe Société Générale S.A. c. Romania (84).
44. Inoltre, per quanto riguarda l’argomento secondo cui un’autorizzazione giudiziaria preventiva sarebbe suscettibile di assicurare maggiormente il rispetto del principio di proporzionalità, come statuito dalla Corte nella sentenza Landeck, occorre rilevare che la constatazione, da parte del giudice nazionale, nell’ambito di un controllo ex post disponibile nel corso della procedura di indagine, della violazione di detto principio da parte delle autorità nazionali garanti della concorrenza, come conseguenza del mancato rispetto delle garanzie procedurali, può rimettere in discussione le informazioni raccolte nel corso dell’indagine e, di conseguenza, invalidare in tutto o in parte l’istruttoria del procedimento (85). In considerazione dei rischi incombenti, mi sembra pertanto che le autorità nazionali garanti della concorrenza si trovino di fronte ad un incitamento sufficiente a fare in modo che il principio di proporzionalità sia rispettato. A ciò si aggiunge, naturalmente, l’obbligo di fornire alla persona interessata un rimedio appropriato in caso di operazione irregolare da parte dell’autorità nazionale in questione (86).
45. Ne consegue che, al pari di quanto ho proposto nelle mie prime conclusioni a proposito dell’articolo 7 della Carta, l’articolo 8 di quest’ultima dovrebbe essere interpretato nel senso che esso non osta alla normativa di uno Stato membro in virtù della quale, nel corso di un’ispezione nei locali di un’impresa, effettuata nell’ambito di un’indagine svolta per violazione degli articoli 101 o 102 TFUE, l’autorità nazionale garante della concorrenza proceda, senza disporre di una previa autorizzazione giudiziaria, al sequestro di messaggi di posta elettronica il cui contenuto sia in correlazione con l’oggetto dell’ispezione, purché siano previste, da un lato, una disciplina giuridica rigorosa dei poteri di tale autorità, nei termini descritti nelle presenti conclusioni, nonché, dall’altro, garanzie adeguate e sufficienti contro gli abusi e gli atti arbitrari, segnatamente sotto forma di un controllo giurisdizionale ex post delle misure in questione, tanto nel corso quanto all’esito del procedimento di indagine.
46. Ciò premesso, occorre rilevare che, come risulta dalle mie prime conclusioni, la direttiva 2019/1 permette, allo stato attuale, agli Stati membri di prevedere, nei loro rispettivi ordinamenti giuridici, un meccanismo di autorizzazione preventiva da parte di un’autorità giudiziaria, ivi compreso il pubblico ministero (87), ai fini dell’esercizio dei poteri di ispezione delle autorità nazionali garanti della concorrenza (88). Questo significa che, malgrado che, conformemente all’analisi esposta nei punti di cui sopra, l’articolo 8 della Carta non esiga tale autorizzazione preventiva, purché siano rispettate le garanzie descritte nelle presenti conclusioni e sia previsto un controllo giurisdizionale ex post, detto articolo 8 neppure osta alla previsione di un siffatto requisito di autorizzazione. In tale contesto, occorre considerare che nessuna violazione del suddetto articolo può essere accertata per gli Stati membri che decidono di dotarsi di una siffatta facoltà.
47. Infine, vorrei rilevare che, nei limiti in cui, al termine dell’analisi effettuata nelle presenti conclusioni complementari, ritengo che gli insegnamenti della sentenza Landeck non debbano essere considerati applicabili alle indagini svolte in materia di concorrenza, in particolare per quanto riguarda l’esigenza relativa all’autorizzazione preventiva, non occorre pronunciarsi sulla questione se una siffatta autorizzazione possa essere fornita da un’entità come il pubblico ministero portoghese. In ogni caso, nell’ipotesi in cui la Corte non condividesse la mia analisi, è sufficiente rilevare che, nella sua giurisprudenza, essa ha definito le condizioni che permettono di considerare che un’entità consacrata alla verifica della legittimità delle ingerenze nei diritti fondamentali è indipendente. In particolare, il requisito di indipendenza presuppone il godimento di uno status che permetta di agire in maniera obiettiva, imparziale e senza influenze esterne (89). Nel caso di specie, poiché la descrizione effettuata dal giudice del rinvio delle attribuzioni del pubblico ministero portoghese risponde a tali condizioni, ritengo doversi affermare che tale organo costituisce un’entità indipendente competente a concedere un’autorizzazione preventiva nei termini richiesti dalla sentenza Landeck.
Conclusione
48. Alla luce dell’insieme delle considerazioni che precedono, suggerisco alla Corte di rispondere come segue alla terza questione pregiudiziale sollevata dal Tribunal da Concorrência, Regulação e Supervisão (Tribunale della concorrenza, regolamentazione e vigilanza, Portogallo) in ciascuna delle cause riunite da C‑258/23 a C‑260/23:
Gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea devono essere interpretati nel senso che essi non ostano alla normativa di uno Stato membro in virtù della quale, nel corso di un’ispezione nei locali di un’impresa, effettuata nell’ambito di un’indagine per violazione dell’articolo 101 o 102 TFUE, l’autorità nazionale garante della concorrenza proceda, senza disporre di un’autorizzazione giudiziaria preventiva, alla perquisizione e al sequestro di messaggi di posta elettronica il cui contenuto sia in relazione con l’oggetto dell’ispezione, a condizione che siano previste una rigorosa disciplina legale dei poteri di tale autorità nonché garanzie adeguate e sufficienti contro gli abusi e gli atti arbitrari, segnatamente un controllo giurisdizionale ex post delle misure in questione, tanto nel corso quanto all’esito della procedura di indagine.
1 Lingua originale: il francese.
2 Conclusioni dell’avvocata generale Medina nelle cause riunite IMI e a. (da C‑258/23 a C-260/23, EU:C:2024:537; in prosieguo: le «prime conclusioni»).
3 In prosieguo: la «Carta».
4 Prime conclusioni, paragrafo 63.
5 Sentenza del 4 ottobre 2024, Bezirkshauptmannschaft Landeck (Tentativo di accesso ai dati personali memorizzati in un telefono cellulare) (C-548/21, EU:C:2024:830; in prosieguo: la «sentenza Landeck»).
6 Direttiva del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).
7 Sentenza Landeck, punto 1 del dispositivo.
8 Prime conclusioni, paragrafo 18.
9 Prime conclusioni, paragrafo 40.
10 V., a questo proposito, prime conclusioni, paragrafi 30 e 31.
11 Per un approccio simile, v. sentenza Landeck, punto 60 e giurisprudenza citata.
12 V., tra le altre, sentenza del 4 settembre 2025, Quirin Privatbank (C‑655/23, EU:C:2025:655, punto 40).
13 V. sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970, punto 129).
14 V., in tal senso, sentenze del 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C-469/10, EU:C:2011:777, punto 41), e del 27 febbraio 2025, Dun & Bradstreet Austria e a. (C‑203/22, EU:C:2025:117, punto 51 e giurisprudenza citata).
15 V., in tal senso, sentenza del 18 giugno 2020, Commissione/Ungheria (Trasparenza associativa) (C-78/18, EU:C:2020:476, punto 126).
16 V. l’articolo 4, punto 2), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).
17 V., in tal senso, sentenza del 2 ottobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punto 51).
18 Tra i dati personali raccolti e trattati nell’ambito delle indagini relative a pratiche anticoncorrenziali figurano in particolare, anche se non soltanto, i nomi, le coordinate [indirizzo professionale (di posta elettronica), numeri di telefono e di telefax e, occasionalmente, coordinate private], la posizione e le funzioni ricoperte dalla persona fisica nell’impresa, nonché eventualmente dichiarazioni e documenti promananti da singoli o attribuiti a questi ultimi. V., a questo proposito, Commissione europea, Direzione generale della Concorrenza, «Dichiarazione di riservatezza», pag. 2, consultabile all’indirizzo https://competition-policy.ec.europa.eu/document/download/5294e82f-a0b0-4eaf-84b8-3eda9ac9ca35_en?filename=privacy_statement_antitrust_en.pdf&prefLang=fr.
19 V., tra le altre, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C-93/09, EU:C:2010:662, punto 48 e giurisprudenza citata).
20 V. sentenza del 7 marzo 2024, Endemol Shine Finland (C‑740/22, EU:C:2024:216, punto 52 e giurisprudenza citata).
21 V. sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) (C‑205/21, EU:C:2023:49, punto 65 e giurisprudenza citata).
22 V., a questo proposito, articolo 2, paragrafo 1, e articolo 4, punto 7), del regolamento generale sulla protezione dei dati. V. anche, in tal senso, sentenza del 2 marzo 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punto 29).
23 V., altresì, il considerando 45 del regolamento generale sulla protezione dei dati.
24 Sentenze del 2 marzo 2023, Norra Stockholm Bygg (C-268/21, EU:C:2023:145, punto 32), e del 20 ottobre 2022, Koalitsia «Demokratichna Bulgaria – Obedinenie» (C‑306/21, EU:C:2022:813, punto 52).
25 V., in tal senso e per analogia, sentenza del 24 maggio 2023, Meta Platforms Ireland/Commissione (T‑451/20, EU:T:2023:276, punto 192).
26 Prime conclusioni, paragrafo 34.
27 V., a questo proposito, González Fuster, G., «Study on the essence of the fundamental rights to privacy and to protection of personal data», Law, Science, Technology & Society Research Group, Vrije Universiteit Brussel, Dicembre 2022, pagg. da 17 a 23, consultabile all’indirizzo https://www.edps.europa.eu/data-protection/our-work/publications/papers/2023-11-08-study-essence-fundamental-rights-privacy-and-protection-personal-data_en, nonché Brkan, M., «The essence of the fundamental rights to privacy and data protection: finding the way through the maze of the CJEU’s constitutional reasoning», German Law Journal, 2019, volume 20, pagg. da 867 a 869.
28 V., tra gli altri, Kokott, J., e Sobotta, C., «The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR», International Data Privacy Law, 2013, volume 3, numero 4, pag. 228.
29 V., in tal senso, sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C-293/12 e C-594/12, EU:C:2014:238, punto 40); del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C-203/15 e C-698/15, EU:C:2016:970, punto 101), e del 21 giugno 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punto 120), nonché il parere 1/15 (Accordo PNR UE-Canada), del 26 luglio 2017 (EU:C:2017:592, punto 151). Quanto all’articolo 7 della Carta, v. anche sentenza del 6 ottobre 2015, Schrems (C-362/14, EU:C:2015:650, punto 94 e giurisprudenza citata).
30 Prime conclusioni, paragrafo 35.
31 V. le presenti conclusioni, paragrafi da 33 a 37.
32 Sentenza del 1º agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 70 e giurisprudenza citata).
33 Prime conclusioni, paragrafo 36.
34 Regolamento del Consiglio del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato (GU 2003, L 1, pag. 1).
35 V., per l’articolo 101 TFUE, sentenza del 22 marzo 2022, Nordzucker e a. (C‑151/20, EU:C:2022:203, punto 51 e giurisprudenza citata), e, per l’articolo 102 TFUE, sentenza del 22 marzo 2022, bpost (C‑117/20, EU:C:2022:202, punto 46 e giurisprudenza citata).
36 V., tra le altre, sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati geometrici e genetici da parte della polizia) (C‑205/21, EU:C:2023:49, punto 126 e giurisprudenza citata).
37 V. sentenza del 16 luglio 2020, Nexans France e Nexans/Commissione (C‑606/18 P, EU:C:2020:571, punto 63), nonché Commissione europea, «Explanatory note on Commission inspections pursuant to Articolo 20(4) of Council Regulation (EC) No 1/2003», riveduta nel marzo 2024, punti 4, 9 e 18, consultabile all’indirizzo https://competition-policy.ec.europa.eu/document/download/c84d4245-ae08-492e-bffd-760fa0ca4df8_en?filename=inspections_explanatory_note_en.pdf.
38 Direttiva del Parlamento europeo e del Consiglio dell’11 dicembre 2018, che conferisce alle autorità garanti della concorrenza degli Stati membri poteri di applicazione più efficace e che assicura il corretto funzionamento del mercato interno (GU 2019, L 11, pag. 3). V. anche il considerando 32 di tale direttiva.
39 V. sentenza del 30 aprile 2024, La Quadrature du Net e a. (Dati personali e lotta contro la contraffazione) (C‑470/21, EU:C:2024:370; in prosieguo: la «sentenza Quadrature du Net», punto 107), e sentenza Landeck, punto 89.
40 Sentenza Landeck, punto 90.
41 Anche se la sentenza Landeck riguardava l’interpretazione della direttiva 2016/680, relativa segnatamente alla protezione dei dati nell’ambito delle indagini in materia penale, non vedo obiezioni a che questi stessi elementi, che sottendono in definitiva l’interpretazione dell’articolo 8 della Carta, letto in combinato disposto con l’articolo 52, paragrafo 1, di quest’ultima, vengano presi in considerazione nel contesto delle indagini in materia di concorrenza.
42 Sentenza Landeck, punto 90.
43 V. sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970, punto 99), e sentenza Landeck, punto 93.
44 Sentenza Landeck, punto 94.
45 V. l’articolo 9, paragrafo 1, del regolamento generale sulla protezione dei dati. V. anche sentenza del 26 gennaio 2023, Ministerstvo na vatreshnite raboti (Registrazione di dati biometrici e genetici da parte della polizia) (C‑205/21, EU:C:2023:49, punto 62).
46 Prime conclusioni, paragrafi 32, 39 e 40.
47 Sentenza Landeck, punti 26, 28 e 30.
48 V., a titolo illustrativo, sentenze del 6 ottobre 2020, La Quadrature du Net e a. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 119); del 5 aprile 2022, Commissioner of An Garda Síochána e a. (C‑140/20, EU:C:2022:258, punto 46); del 20 settembre 2022, SpaceNet e Telekom Deutschland (C‑793/19 e C‑794/19, EU:C:2022:702, punto 61), nonché del 17 novembre 2022, Spetsializirana prokuratura (Conservazione dei dati relativi al traffico e alla localizzazione) (C‑350/21, EU:C:2022:896, punto 58 e giurisprudenza citata).
49 V., in tal senso, sentenza Landeck, punto 26.
50 V., in tal senso, sentenza del 20 settembre 2022, SpaceNet e Telekom Deutschland (C‑793/19 e C‑794/19, EU:C:2022:702, punto 87).
51 Sentenza Landeck, punti 92 e 93.
52 V., in tal senso, sentenza del 22 ottobre 2002, Roquette Frères (C‑94/00, EU:C:2002:603, punto 45).
53 V., a questo proposito, sentenza Landeck, punto 92, nella quale la Corte ha giudicato, in sostanza, che la valutazione della gravità dell’accesso a dati personali, anche nel caso di un telefono cellulare personale, deve essere valutata «a seconda ... delle scelte operate [dalle autorità pubbliche]».
54 V., in tal senso, sentenza La Quadrature du Net, punti 81 e 96. V., a contrario, sentenza Landeck, punto 92.
55 V., in proposito, sentenza La Quadrature du Net, punto 111, che si riferisce a «situazioni atipiche».
56 V., in tal senso, sentenza La Quadrature du Net, punto 115.
57 V., in proposito, sentenza La Quadrature du Net, punto 113.
58 Sentenza Landeck, punto 95. Per un’opinione divergente, espressa nell’ambito del procedimento cautelare, v. ordinanza del vice presidente della Corte dell’11 aprile 2024, Vivendi/Commissione [C‑90/24 P(R), EU:C:2024:318, punti da 95 a 100].
59 Mi permetto di ricordare che, nella sentenza Landeck, riguardante un presunto reato in materia di traffico di stupefacenti, la Corte ha ritenuto, in sostanza, che la lotta contro la criminalità non necessariamente grave può costituire un obiettivo di interesse generale importante che permette di considerare proporzionata un’ingerenza grave o particolarmente grave. V. sentenza Landeck, punto 97.
60 V., a questo proposito, Corte EDU, 18 marzo 2025, BRD – Groupe Société Générale S.A. c. Romania (CE:ECHR:2025:0318JUD003879813, § 105).
61 V., in tal senso, sentenza La Quadrature du Net, punto 115. V., altresì, Corte EDU, 18 marzo 2025, BRD – Groupe Société Générale S.A. c. Romania, (CE:ECHR:2025:0318JUD003879813, § da 107 a 110).
62 Per quanto riguarda le indagini condotte dalla Commissione, v. la decisione (UE) 2018/1927 della Commissione, del 5 dicembre 2018, recante norme interne relative al trattamento dei dati personali da parte della Commissione europea nel settore della concorrenza in relazione alla comunicazione di informazioni agli interessati e alla limitazione di determinati diritti (GU 2018, L 313, pag. 39), nonché la «Dichiarazione di riservatezza» della Commissione (vedi nota 18 delle presenti conclusioni).
63 V., a questo proposito, la sentenza Landeck, punto 101.
64 V. paragrafo 17 delle presenti conclusioni.
65 V., in tal senso, sentenza La Quadrature du Net, punto 113. Ciò dovrebbe implicare altresì che la raccolta dei dati personali e l’accesso ai medesimi riguarderà unicamente le persone presentanti un collegamento, quanto meno indiretto, con il presunto illecito.
66 V., a titolo illustrativo, per quanto riguarda le indagini svolte dalla Commissione, sentenze del 16 luglio 2020, Nexans France e Nexans/Commission (C‑606/18 P, EU:C:2020:571, punti 15 e 66), e del 24 settembre 2020, Prysmian e Prysmian Cavi e Sistemi/Commissione (C‑601/18 P, EU:C:2020:751, punti 29 e 60), nonché Commissione europea, Direzione generale della Concorrenza, «Nota esplicativa concernente le ispezioni condotte dalla Commissione a norma dell’articolo 20, paragrafo 4, del regolamento (CE) n. 1/2003 del Consiglio», riveduta nel marzo 2014, punto 10, consultabile all’indirizzo https://competition-policy.ec.europa.eu/document/download/c84d4245-ae08-492e-bffd-760fa0ca4df8_fr?filename=inspections_explanatory_note_fr.pdf. V. anche, per quanto riguarda il settore della lotta contro le frodi, sentenza del 28 ottobre 2021, Vialto Consulting/Commissione (C‑650/19 P, EU:C:2021:879, punti 65 e 75).
67 V. articolo 5, paragrafo 1, lettere b) e c), del regolamento generale sulla protezione dei dati, nonché sentenza La Quadrature du Net, punto 113.
68 V. l’articolo 5, paragrafo 1, lettera a), del regolamento generale sulla protezione dei dati.
69 V. articolo 3, paragrafo 2, della decisione 2018/1927, nonché il considerando 15 di tale decisione.
70 V. l’articolo 5, paragrafo 1, lettere e) ed f), del regolamento generale sulla protezione dei dati.
71 V. sentenze dell’8 aprile 2014, Digital Rights Ireland e a. (C‑293/12 e C‑594/12, EU:C:2014:238, punto 64), nonché del 20 ottobre 2022, Digi (C‑77/21, EU:C:2022:805, punto 53).
72 V. sentenza La Quadrature du Net, punti 113 e 114.
73 V., in tal senso, sentenza Landeck, punto 107.
74 V. articolo 5, paragrafo 2, del regolamento generale sulla protezione dei dati, nonché sentenza La Quadrature du Net, punto 113.
75 Prime conclusioni, paragrafo 38.
76 V., in particolare, Corte EDU, Niemietz c. Germania, 16 dicembre 1992 (CE:ECHR:1992:1216JUD001371088, § 31); v., del pari, sentenza del 18 giugno 2015, Deutsche Bahn e a./Commissione (C‑583/13 P, EU:C:2015:404, punto 20).
77 Sentenza Landeck, punto 1 del dispositivo.
78 Sentenza Landeck, punto 102.
79 V. articolo 7, paragrafo 2, della direttiva 2019/1.
80 V., in tal senso, sentenza del 2 febbraio 2021, Consob (C‑481/19, EU:C:2021:84, punto 44).
81 Prime conclusioni, paragrafi 42 e 44. V., in particolare e tra altri, il riferimento alla sentenza del 2 ottobre 2014, Delta Pekárny a.s. c. Repubblica ceca (CE:ECHR:2014:1002JUD000009711, § 86 e 87 e giurisprudenza citata).
82 V., in tal senso, sentenze del 18 giugno 2015, Deutsche Bahn e a./Commissione (C‑583/13 P, EU:C:2015:404, punti da 32 a 35), nonché del 9 marzo 2023, Les Mousquetaires e ITM Entreprises/Commissione (C‑682/20 P, EU:C:2023:170, punto 57 e giurisprudenza citata).
83 CE:ECHR:2025:0206JUD003661718, § 137.
84 CE:ECHR:2025:0318JUD003879813, § da 111 a 116
85 V., in tal senso, sentenza del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati relativi alle comunicazioni elettroniche) (C‑746/18, EU:C:2021:152, punti 43 e 44).
86 V., in tal senso, sentenza del 9 marzo 2023, Intermarché Casino Achats/Commissione (C‑693/20 P, EU:C:2023:172, punti 45 e 46).
87 V. articolo 6, paragrafo 3, della direttiva 2019/1, nonché il considerando 34 di quest’ultima.
88 Nell’ora attuale, 21 Stati membri prevedono una procedura di autorizzazione preventiva per la realizzazione di operazioni di ispezione e di sequestri in locali professionali, ossia l’Austria, il Belgio, la Bulgaria, la Croazia, la Danimarca, l’Estonia, la Francia, la Germania, l’Irlanda, la Lettonia, la Lituania, il Lussemburgo, Malta, la Polonia, il Portogallo, la Romania, la Slovacchia, la Slovenia, la Spagna, la Svezia e l’Ungheria. V. nota di ricerca 25/005 elaborata dalla direzione della ricerca e documentazione della Corte di giustizia dell’Unione europea nel mese di maggio 2025.
89 V. sentenza La Quadrature du Net, punti 125 e 126.