Domanda di pronuncia pregiudiziale proposta dalla Cour d'appel de Bruxelles (Belgio) il 10 dicembre 2025 – État belge / Autorité de protection des données

(Causa C-804/25, Autorité de protection des données)

(C/2026/2199)

Lingua processuale: il francese

Giudice del rinvio

Cour d’appel de Bruxelles

Parti nel procedimento principale

Ricorrente: État belge

Resistente: Autorité de protection des données

Altre parti nel procedimento: JC, Accidental Americans Association of Belgium (AAAB)

Questioni pregiudiziali

Se, alla luce dell’articolo 96 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (RGPD) (1), un accordo internazionale, concluso da uno Stato membro prima del 24 maggio 2016, che comporta il trasferimento di dati personali verso un paese terzo, sia conforme al diritto dell’Unione applicabile prima del 24 maggio 2016, e, più specificamente, all’articolo 6, paragrafo 1, lettere b), c) ed e), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (2), se del caso in combinato disposto con gli articoli 7, 8 e 52 della Carta dei diritti fondamentali, nella misura in cui tale accordo prevede, a fini fiscali e allo scopo di garantire il rispetto delle norme fiscali internazionali e l’attuazione degli obblighi derivanti dalla normativa statunitense FATCA volta a contrastare l’elusione fiscale dei cittadini statunitensi, il trasferimento automatico, nel rispetto delle norme sulla riservatezza, a tale paese terzo di informazioni relative ai conti finanziari di tutti i cittadini di tale Stato [informazioni che, in pratica, comprendono in particolare il nome, l’indirizzo, il numero di identificazione fiscale (NIF) assegnato al titolare del conto dal suo Stato di residenza, la data di nascita, il numero di conto, il saldo o il valore del conto alla fine del pertinente anno solare o di altro adeguato periodo di rendicontazione, alcuni dati nel caso di un conto titoli, un conto di deposito o un altro tipo di conto] senza una previa selezione dei conti che presentano un rischio di elusione fiscale, senza limiti di tempo per la conservazione dei dati prevista da tale accordo e con la soglia minima di USD 50 000 di cui all’allegato I subordinata alla buona volontà delle istituzioni finanziarie.

2)	Se un tale accordo possa essere giustificato sulla base dell’articolo 26, paragrafo 1, lettera d), della suddetta direttiva 95/46/CE qualora lo Stato terzo di cui trattasi non garantisca un’effettiva reciprocità.

Se l’articolo 26, paragrafo 2, della suddetta direttiva 95/46/CE, in combinato disposto con gli articoli 7, 8 e 52 della Carta dei diritti fondamentali, debba essere interpretato nel senso che le garanzie sufficienti di cui a tale disposizione

—	si riferiscono in particolare all’indicazione del periodo di conservazione dei dati ai sensi dell’articolo 6, paragrafo 1, lettera e), della direttiva e ai diritti di informazione di cui ai suoi articoli 10 e 11;

—	comprendono la definizione della portata della limitazione del diritto al rispetto della vita privata e del diritto alla protezione dei dati personali;

—	devono, in caso di convenzione che prevede il trasferimento di dati personali, essere esplicitamente indicate in tale accordo.

In caso di risposta affermativa a tutta o a parte di tale terza questione, se, alla luce dell’articolo 96 del RGPD, un accordo internazionale concluso da uno Stato membro prima del 24 maggio 2016 che comporta il trasferimento di dati personali verso un paese terzo sia conforme al diritto dell’Unione applicabile prima del 24 maggio 2016, e più specificamente all’articolo 26, paragrafo 2, della suddetta direttiva 95/46/CE, se del caso in combinato disposto con gli articoli 7, 8 e 52 della Carta dei diritti fondamentali, qualora non preveda esplicitamente le garanzie sufficienti di cui a tale disposizione.

In caso di risposta affermativa alla prima e/o alla seconda e/o alla quarta questione, se il trasferimento di dati personali effettuato in applicazione di tale accordo internazionale debba comunque rispettare, a partire dal 24 maggio 2018, le disposizioni del RGPD per quanto riguarda le questioni che non sono specificatamente disciplinate o escluse da tale accordo, e in particolare i suoi articoli 5, paragrafo 2, 12, 14, 24 e 35.

6)	Se l’onere della prova relativamente alle condizioni di cui all’articolo 96 del RGPD spetti al titolare del trattamento.

Se l’articolo 96 del RGPD, da solo o in combinato disposto con l’articolo 4, paragrafo 3, del trattato sull’Unione europea, con l’articolo 351 del trattato sul funzionamento dell’Unione europea e con gli articoli 7, 8 e 52 della Carta dei diritti fondamentali, debba essere interpretato nel senso che gli Stati membri hanno l’obbligo di compiere ogni sforzo possibile per modificare, sostituire o revocare i trattati internazionali, di cui sono parti, non conformi alle disposizioni di tale regolamento.

Se uno Stato membro che, nel 2025, non ha compiuto ogni sforzo possibile per modificare, sostituire o revocare un trattato internazionale, di cui è parte, non conforme alle disposizioni del RGPD, possa invocare l’articolo 96 di tale regolamento per giustificare un comportamento incompatibile con tale regolamento.

In caso di risposta negativa alla prima, alla seconda o alla quarta questione:

a.	Se un tale accordo debba essere disapplicato d’ufficio dal giudice nazionale.

b.	Se il giudice nazionale debba verificare la conformità di un tale accordo al RGPD.

In caso di risposta negativa alla prima, alla seconda o alla quarta questione e di risposta affermativa all’ottava questione, lettera b), se un accordo internazionale quale quello descritto nella prima questione sia conforme al RGPD, e più specificamente agli articoli 5, paragrafo 1, lettere b) e c), se del caso, in combinato disposto con gli articoli 7, 8 e 52 della Carta dei diritti fondamentali.

10)

Se la decisione di esecuzione (UE) 2023/1795 della Commissione, del 10 luglio 2023, a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio sul livello di protezione adeguato dei dati personali nell’ambito del quadro UE-USA (3) per la protezione dei dati personali, costituisca una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, del RGPD per quanto riguarda i trasferimenti di dati controversi, che sono effettuati a fini fiscali.

11)

In caso di risposta negativa alla prima, alla seconda o alla quarta questione e di risposta affermativa all’ottava questione, lettera b), se l’articolo 46 del RGPD debba essere interpretato nel senso che:

—

le garanzie adeguate a cui fa riferimento riguardano tutte o alcune delle seguenti garanzie:

(1)	le definizioni delle nozioni elementari (che includono le seguenti nozioni: «dato personale», «trattamento di dati personali», «titolare del trattamento», «responsabile del trattamento», «destinatario» e «dati sensibili»);

(2)	i principi elementari in materia di protezione dei dati [tra i quali i principi di «limitazione della finalità», «di esattezza e di minimizzazione» (o proporzionalità), di limitazione temporale della conservazione dei dati];

(3)

i diritti degli interessati (in particolare il diritto di informazione, il diritto di accesso, il diritto di rettifica, il diritto alla cancellazione, il diritto di limitazione o il diritto di opposizione, il diritto di non essere sottoposto a una decisione automatizzata ai sensi dell’articolo 22 del RGPD, nonché le modalità di esercizio di tali diritti);

(4)	la limitazione del trasferimento successivo e della condivisione dei dati;

(5)	i mezzi di ricorso effettivi;

(6)	i meccanismi di controllo e

(7)	il principio di responsabilità.

—	tali garanzie devono essere esplicitamente indicate nello strumento giuridico vincolante di cui all’articolo 46, paragrafo 2, lettera a), del RGPD;

—	quando esiste un trattato che disciplina i trasferimenti di dati personali verso paesi terzi, tale strumento giuridico vincolante consiste esclusivamente in tale trattato o se esso possa includere il suo strumento nazionale di recepimento.

12)

In caso di risposta negativa alla prima, alla seconda o alla quarta questione, e di risposta affermativa all’ottava questione, lettera b):

Se l’articolo 49, paragrafo 1, lettera d), del RGPD debba essere interpretato nel senso che consente o vieta un accordo internazionale che comporta il trasferimento di dati personali verso un paese terzo, che prevede, a fini fiscali, il trasferimento automatico verso tale paese terzo di informazioni finanziarie relative a tutti i cittadini di tale Stato (come precisato nella prima questione).

b.	Se il livello di reciprocità degli scambi di dati sia un criterio rilevante per determinare la risposta a tale questione.

13)

In caso di risposta negativa alla prima, alla seconda o alla quarta questione, e di risposta affermativa all’ottava questione, lettera b):

a.	Se le «informazioni» soggette all’esenzione dall’obbligo di informazione prevista dall’articolo 14, paragrafo 5, lettera a), del RGPD possano essere state fornite dai titolari del trattamento che hanno raccolto i dati direttamente presso l’interessato.

b.	In tal caso, ci si chiede su chi gravi l’onere di provare che le informazioni siano state comunicate, tenuto conto in particolare dell’articolo 5, paragrafo 1, lettera a), e dell’articolo 5, paragrafo 2, del RGPD.

(1) GU 2016, L 119, pag. 1.

(2) GU 1995, L 281, pag. 31.

(3) GU 2023, L 231, pag. 118.