Inchieste parlamentari devono rispettare RGPD e controllo dell’authority nazionale sulla privacy
In via di principio l’attività di una commissione d’inchiesta parlamentare sull’operato di esponenti del potere esecutivo deve rispettare i criteri di protezione dei dati personali come dettati dal regolamento europeo RGPD e sottostare alle indicazioni dell’autorità di controllo nazionale sul rispetto della privacy.
Nel caso specifico, che origina dall’Austria, veniva contestato che una commissione di inchiesta nell’esercizio del proprio potere di controllo sull’Esecutivo, agito in base alla separazione costituzionale dei poteri dello Stato, avesse divulgato il nominativo di un testimone. Il punto di discrimine sta nella necessità o meno di tale divulgazione e sulla possibilità che l’operato della commissione sia sottratto al controllo dell’unica autorità nazionale investita del controllo sul rispetto della privacy. Perimetro che può però essere superato solo a causa di superiori ragioni che riguardano questioni attinenti alla sicurezza nazionale.
Con la sentenza sulla causa C-33/22 la Corte Ue ha affermato che una commissione d’inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo sul potere esecutivo deve, di regola, rispettare il regolamento generale sulla protezione dei dati. E qualora vi sia, in tale Stato membro, un’unica autorità di controllo, quest’ultima è, in via di principio, competente a controllare l’osservanza del RGPD da parte della commissione d’inchiesta. Ma nel caso in cui la commissione d’inchiesta eserciti un’attività volta, in quanto tale, a salvaguardare la sicurezza nazionale, essa non è più soggetta né al RGPD né al controllo dell’authority Privacy nazionale.
Il caso a quo
La Camera dei deputati del Parlamento austriaco aveva istituito una commissione d’inchiesta incaricata di fare luce sull’esistenza di una possibile influenza politica sull’Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo. Tale commissione d’inchiesta, ascoltato un testimone nel corso di un’audizione ritrasmessa dai mezzi di comunicazione, aveva pubblicato sul sito internet del parlamento austriaco il relativo resoconto contenente il nome del testimone, nonostante la richiesta di anonimizzazione del suo nome completo. Il testimone, ritenendo che la menzione del suo nome fosse contraria al RGPD, ha poi presentato un reclamo presso l’autorità austriaca per la protezione dei dati personali. Si trattava di un agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada.
L’autorità per la protezione dei dati respingeva il reclamo sostenendo che il principio della separazione dei poteri osta a che la stessa authority - data la sua qualità di ramo del potere esecutivo - possa controllare l’osservanza del RGPD da parte della commissione d’inchiesta, che rientra nel potere legislativo. Il testimone si è allora rivolto agli organi giurisdizionali austriaci per contestare tale pronunciamento.
L’interpretazione della Cgue in via generale...
La Corte sconfessa l’automatica disapplicazione, a una commissione di inchiesta parlamentare, del RGPD e del controllo dell’autorità statale incaricata del suo rispetto. Anzi, in via di principio, ne afferma la piena effettività. Ma conclude che è pur vero che il fine della salvaguardia della sicurezza nazionale ne giustifica la non operatività. Il ricorrere della condizione di disapplicazione, tanto delle norme quanto del controllo sul rispetto di esse, è questione che va verificata dai giudici amministrativi dello Stato membro.
...e sul caso concreto
Sul rinvio pregiudiziale deciso la Cgue però fa rilevare che - fatta salva la verifica da parte della Corte amministrativa austriaca - l’indagine di cui si trattava non sembrava essere mirata in sé a salvaguardare la sicurezza nazionale. Infatti, la commissione incaricata era chiamata a indagare sull’esistenza di una possibile influenza politica su un’autorità del potere esecutivo cui è affidato il compito di garantire la protezione della Costituzione e combattere il terrorismo. Secondo la Cgue dal fascicolo d’istruzione della causa unionale non risulta alcuna affermazione sulla necessità di divulgazione del nome del testimone o che questa sia stata imposta dall’applicazione di una norma nazionale.
Infine, conclude la Corte di giustizia, facendo rilevare che poiché l’Austria ha scelto di istituire un’unica autorità di controllo ai sensi del RGPD, quest’ultima è, in via di principio, competente a controllare l’osservanza del RGPD anche da parte di una commissione d’inchiesta parlamentare nonostante l’incontestato principio di separazione dei poteri. Tale conclusione deriva dall’effetto diretto dei regolamenti come il RGPD e dal primato del diritto dell’Unione, anche rispetto al diritto costituzionale nazionale.
-U00561441783FFj-735x735@IlSole24Ore-Web.jpg?r=86x86)
-U40331858585Kcz-735x735@IlSole24Ore-Web.jpg?r=86x86)
