Comunitario e Internazionale

Esercizio ”indiretto” dei diritti degli interessati: l’orientamento della Corte di Giustizia UE sulle disposizioni della Direttiva 2016/680

E’ ammissibile il ricorso giurisdizionale avverso la decisione dell’autorità di controllo che abbia esercitato i diritti per conto dell’interessato. Tuttavia, l’effettività di tale azione dipende dal contenuto, sufficientemente dettagliato, della comunicazione dell’autorità di controllo

di Laura Greco*

Grazie al GDPR (il Regolamento europeo sulla protezione dei dati personali) è cresciuta la consapevolezza degli interessati circa i propri diritti.

Accesso, rettifica, cancellazione, portabilità dei dati : le istanze di esercizio di questi, ed altri, diritti riconosciuti dal GDPR sono sempre più frequenti e hanno imposto ai titolari di trattamento di dotarsi di adeguate procedure di gestione ai fini della corretta e tempestiva evasione di tali richieste. Ignorare o non fornire adeguati riscontri alle richieste di esercizio di questi diritti non è conforme alla normativa e comporta la pena più elevata prevista dal GDPR, vale a dire una sanzione amministrativa pecuniaria fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Analoghi diritti sono previsti anche dalla Direttiva (UE) 2016/680 , la direttiva “gemella” del GDPR che disciplina il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali”.

Anche in questa sede sono riconosciuti, tra gli altri, il diritto di ottenere informazioni sul trattamento di dati personali, il diritto di accesso, di rettifica e di cancellazione dei dati , i quali possono essere, tuttavia, limitati per espressa previsione normativa per
“a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;
b) non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;
c) proteggere la sicurezza pubblica;
d) proteggere la sicurezza nazionale;
e) proteggere i diritti e le libertà altrui”.


Nei casi in cui l’esercizio dei diritti degli interessati, nell’ambito della menzionata Direttiva, sia compresso e, dunque, limitato a fronte di un interesse prevalente (tra quelli sopra citati), l’interessato può però esercitare i propri diritti indirettamente ”, vale a dire tramite l’autorità di controllo competente, la quale è tenuta a informare “l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame” nonché “del diritto di quest’ultimo di proporre ricorso giurisdizionale”.

In altre parole, qualora disposizioni legislative nazionali limitino l’esercizio diretto presso il titolare del trattamento del diritto di ricevere ulteriori informazioni, del diritto di accesso ai dati o del diritto di ottenerne la rettifica, la cancellazione o la limitazione del trattamento, l’interessato può rivolgersi all’autorità di controllo competente (in Italia, è stata individuata nel Garante per la protezione dei dati personali) affinché questa verifichi la liceità della condotta.

Verte sull’interpretazione di queste, brevemente illustrate, disposizioni la recente pronuncia della Corte di Giustizia dell’Unione europea ( C-333/2022 del 16 novembre 2023 , Ligue des droits humains ASBL, BA c. Organe de contrôle de l’information policière), chiamata a esprimersi su due questioni.

La prima: se, alla luce della Carta dei diritti fondamentali dell’Unione europea (nel prosieguo, per brevità, “Carta”), sia possibile proporre un ricorso giurisdizionale nei confronti di un’autorità di controllo indipendente, quando essa eserciti i diritti per conto dell’interessato nei confronti del titolare del trattamento.

La seconda: se la Direttiva (UE) 2016/680 sia conforme alla Carta nella parte in cui impone all’autorità di controllo soltanto di informare l’interessato di aver eseguito tutte le verifiche necessarie o un riesame” e “del diritto di quest’ultimo di proporre ricorso giurisdizionale”, sebbene siffatta informazione non consenta alcun controllo a posteriori sull’azione e sulla valutazione dell’autorità di controllo e, di fatto, precluda la difesa dei suoi diritti e la possibilità di decidere con piena cognizione di causa se sia utile adire il giudice competente.

Il caso

La vertenza trae origine dalla richiesta di un cittadino belga di ottenere un nulla osta di sicurezza all’Autorité nationale de sécurité per poter partecipare al montaggio e allo smantellamento delle installazioni per la decima edizione delle “Giornate europee dello sviluppo” a Bruxelles.

Tale richiesta veniva rigettata dall’Autorità poiché, in base ai dati personali a sua disposizione, risultava che tale persona avesse partecipato a dieci manifestazioni tra il 2007 e il 2016 e tali elementi non consentivano di concederle il nulla osta per motivi di sicurezza nazionale e di stabilità dell’ordinamento democratico costituzionale.

Il cittadino belga si rivolgeva allora all’autorità di controllo competente belga (in Belgio, è l’Organe de contrôle de l’information policière, di seguito, per brevità, “OCIP”) affinché procedesse all’identificazione dei titolari del trattamento dei dati personali e ingiungesse loro di fornirgli l’accesso a tutte le informazioni che lo riguardavano al fine di consentirgli di esercitare i suoi diritti in termini congrui.

L’OCIP, informando il cittadino che disponeva soltanto di un diritto di accesso indiretto a tali dati, assicurava al contempo che avrebbe personalmente verificato la legittimità di un eventuale trattamento di dati nella Banque de données nationale générale, cioè la banca dati utilizzata da tutti i servizi di polizia nazionali, precisando che, ove necessario, avrebbe esercitato il proprio potere di ordinare alla polizia di cancellare o modificare i dati.

A seguito delle verifiche effettuate, l’OCIP comunicava al cittadino belga, in maniera approssimativa e generica, di aver eseguito le verifiche necessarie e che “se ritenuto necessario, i dati personali sono stati modificati o cancellati”, senza null’altro specificare.

Il cittadino belga ricorreva dunque all’autorità giudiziaria belga, chiedendo se fosse possibile presentare un ricorso giurisdizionale avverso le decisioni adottate dall’OCIP e di ottenere l’accesso ai propri dati personali presso i titolari del trattamento.

L’orientamento della Corte di Giustizia UE

Le autorità belghe hanno rinviato la questione ai giudici lussemburghesi, i quali si sono così espressi.

In merito alla prima questione, la Corte di Giustizia ha in primo luogo riconosciuto il diritto di presentare ricorso giurisdizionale avverso una decisione giuridicamente vincolante ” adottata dall’Autorità di controllo e ha, conseguentemente, considerato tale anche la decisione con cui l’Autorità informa l’interessato dell’esito delle verifiche effettuate in ordine alla liceità del trattamento dei dati relativi all’interessato. Con essa, infatti, l’Autorità porta a conoscenza dell’interessato la determinazione di concludere - indipendentemente dall’esito - il processo di verifica, decisione che incide necessariamente sulla situazione giuridica di tale persona. Pertanto, secondo la Corte di Giustizia, l’interessato deve poter ottenere un controllo giurisdizionale della fondatezza di una siffatta decisione e, in particolare, del modo in cui l’Autorità di controllo ha adempiuto il suo obbligo.

Tuttavia, il diritto a un ricorso giurisdizionale effettivo, garantito dall’art. 47 della Carta, richiede, in linea di principio, che l’interessato possa conoscere la motivazione della decisione adottata nei suoi confronti, al fine di consentirgli di difendere i suoi diritti nelle migliori condizioni possibili e di decidere, con piena cognizione di causa, se gli sia utile adire il giudice competente.

L’effettività di tale strumento potrebbe, invece, essere compromessa e collidere con il contenuto minimo e carente di motivazione della decisione dell’Autorità di controllo che, per previsione normativa, può limitarsi a informare l’interessato “perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame” e del suo “diritto (...) di proporre ricorso giurisdizionale” (v. art. 17, 3° comma della Direttiva).

Sul punto, la Corte sostiene che tale previsione normativa non comporta che sia lecito, in ogni circostanza, ridurre l’informazione dell’interessato soltanto agli elementi informativi minimi sopra richiamati. Al contrario, qualora non ostino obiettivi di interesse pubblico, “ spetta agli Stati membri prevedere che l’informazione dell’interessato possa andare oltre le informazioni minime previste , in modo da consentirgli di difendere i suoi diritti e di decidere con piena cognizione di causa se sia utile adire il giudice competente. Del pari, le misure nazionali (…) devono, per quanto possibile, lasciare all’autorità di controllo competente, conformemente all’indipendenza che la caratterizza (…), un certo margine di discrezionalità per stabilire se il quadro definito dalla normativa nazionale (…) non osti a che essa comunichi a tale persona, in maniera quantomeno succinta, l’esito delle sue verifiche nonché, se del caso, i poteri correttivi da essa esercitati. A tal riguardo, spetta a tale autorità , nel rispetto di tale quadro normativo nazionale, i nstaurare con il titolare del trattamento un dialogo riservato e, a seguito di tale dialogo, decidere quali siano le informazioni necessarie all’esercizio, da parte dell’interessato, del suo diritto a un ricorso giurisdizionale effettivo che essa può comunicargli senza compromettere gli obiettivi di interesse pubblico” (v. punti 65 e 66 della sentenza).

D’altro canto, pur riconoscendo a fronte di interessi pubblici prevalenti la legittimità di determinate limitazioni, la Corte di Giustizia afferma che gli Stati membri dovrebbero garantire un controllo giurisdizionale effettivo sia dell’esistenza e della fondatezza dei motivi che hanno giustificato la limitazione di tali informazioni sia della corretta esecuzione, da parte dell’autorità di controllo, del suo compito di verifica della liceità del trattamento, garantendo che “l’autorità giudiziaria competente abbia a disposizione e applichi tecniche e norme di diritto processuale che consentano di conciliare le due esigenze e che siano tali da consentire alla stessa di prendere conoscenza sia dell’insieme dei motivi sia degli elementi di prova pertinenti su cui l’autorità ha basato, in tale ambito, la verifica della liceità del trattamento dei dati di cui trattasi nonché le conclusioni che ne ha tratto”.

Conclusioni

In conclusione, è ammissibile il ricorso giurisdizionale avverso la decisione dell’autorità di controllo che abbia esercitato i diritti per conto dell’interessato. Tuttavia, l’effettività di tale azione dipende dal contenuto, sufficientemente dettagliato, della comunicazione dell’autorità di controllo.

Rimane in capo al legislatore nazionale conciliare, da un lato, le preoccupazioni relative agli obiettivi di interesse pubblico e, dall’altro, la necessità di garantire adeguatamente al soggetto il rispetto dei suoi diritti processuali.

_____
*A cura dell’ Avv. Laura Greco, DigitalMediaLaws


Per saperne di piùRiproduzione riservata ©