Il 12 gennaio 2023 la Corte di Giustizia dell’Unione europea ha pronunciato due sentenze nelle cause C-154/21 e C-132/21 particolarmente rilevanti per via dei chiarimenti forniti: la prima, in materia di diritto di accesso dell’interessato e circa l’obbligo, per il titolare del trattamento, di comunicare i dati identificativi dei terzi destinatari dei dati; la seconda, in caso di violazione del diritto di accesso (o di altro diritto dell’interessato), in tema di concorrenza ed esclusività dei mezzi di ricorso previsti dagli artt. 77(1), 78(1) e 79(1).
Rispetto, in particolare, alla prima decisione, la CGUE ha chiarito che l’art. 15, par. 1, lett. c), del GDPR deve essere interpretato nel senso che qualora i dati siano stati o saranno comunicati a destinatari, vige l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificarli o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, nel qual caso il titolare del trattamento può indicare all’interessato unicamente le categorie di destinatari di cui trattasi.
La sentenza del 12 gennaio 2023 nella causa C-154/21
Il primo caso è stato sottoposto all’attenzione della Corte di Giustizia dell’Unione europea (in seguito, per brevità, “CGUE”) a seguito del rinvio pregiudiziale operato dall’Oberster Gerichtshof (la Corte Suprema austriaca), investita della controversia che vedeva contrapposti un cittadino austriaco e l’Österreichische Post, il principale operatore di servizi postali e logistici in Austria.
Con il suddetto rinvio, in particolare, il giudice austriaco chiedeva se, ai sensi del Regolamento (UE) 2016/679 (“GDPR”), fosse concessa al titolare del trattamento la libera scelta di comunicare all’interessato che ne faccia richiesta l’identità dei singoli destinatari o unicamente le categorie dei destinatari, e se all’interessato fosse riconosciuto il diritto di conoscere l’identità di questi ultimi. Nel caso di specie, infatti, il cittadino aveva esercitato il diritto di accesso (ai sensi dell’art. 15 GDPR) al fine di ottenere dal titolare del trattamento le informazioni relative ai destinatari o alle categorie di destinatari a cui i suoi dati personali erano stati comunicati. Tuttavia, in risposta alla richiesta del cittadino, l’Österreichische Post si è limitata ad affermare che nell’ambito della sua attività di editore di elenchi telefonici e che forniva i dati trattati nell’ambito della propria attività ai partner commerciali a fini di marketing. Solo nel corso del procedimento giudiziario, l’Österreichische Post informava il cittadino che i suoi dati erano stati trasmessi a taluni clienti, tra cui inserzionisti attivi nel settore della vendita per corrispondenza e del commercio tradizionale, imprese informatiche, editori di indirizzi e associazioni quali organizzazioni di beneficienza, organizzazioni non governative (ONG) o partiti politici.
Al quesito così delineato, la CGUE ha risposto, in via interpretativa, che qualora i dati personali siano stati, o saranno, comunicati a destinatari, il titolare del trattamento è obbligato a fornire all’interessato, su sua richiesta, l’identità stessa di tali destinatari. Solo qualora non sia (ancora) possibile identificare detti destinatari, il titolare del trattamento può limitarsi a indicare unicamente le categorie di destinatari di cui trattasi, anche qualora il titolare dimostri che la richiesta è manifestamente infondata o eccessiva.
La sentenza del 12 gennaio 2023 nella causa C-132/21
Il secondo caso trattato dalla CGUE concerne invece il diverso tema dell’indipendenza del ricorso amministrativo e dell’azione in sede civile in materia di tutela dei dati personali. La domanda di rinvio pregiudiziale è stata nella fattispecie presentata nell’ambito di una controversia tra un cittadino ungherese e la Nemzeti Adatvédelmi és Információszabadság Hatóság (ossia l’autorità di controllo, in seguito “Autorità di controllo”) in merito al rigetto della domanda del primo, volta a ottenere la comunicazione di segmenti del fonogramma di un’assemblea generale degli azionisti di una società alla quale il ricorrente aveva partecipato.
Contro la decisione assunta dall’Autorità di controllo, il cittadino proponeva pertanto un primo ricorso dinnanzi al Tribunale di Budapest ai sensi dell’art. 78, par. 1 del GDPR, al fine di ottenere la modifica, in via principale, o l’annullamento, in subordine, di detta decisione; e un secondo ricorso, questa volta, ai sensi dell’art. 79, par. 1 del GDPR, dinanzi la Corte d’appello di Budapest, contro la decisione del titolare del trattamento dei dati (ossia la società di cui si è detto pocanzi) – ottenendo peraltro in tale sede l’accoglimento del ricorso con sentenza passata in giudicato per l’accertata violazione del diritto di accesso del ricorrente ai suoi dati personali da parte del titolare.
Il Tribunale di Budapest, nel procedimento ancora pendente, aveva quindi chiesto alla CGUE se, nell’ambito dell’esame della legittimità della decisione dell’Autorità di controllo, esso debba ritenersi vincolato dalla sentenza passata in giudicato dei giudici civili relativa agli stessi fatti e alla stessa allegazione in merito alla violazione del GDPR da parte della società. Inoltre, poiché un esercizio parallelo di ricorsi amministrativi e civili può portare a decisioni contrastanti, il giudice ungherese voleva verificare se un ricorso potesse ritenersi prevalente rispetto ad un altro.
Sul punto, i giudici di Lussemburgo hanno in primo luogo escluso che, in base al tenore letterale delle disposizioni richiamate, il GDPR preveda “alcuna competenza prioritaria o esclusiva né alcuna regola di prevalenza della valutazione effettuata da detta autorità o dai giudici a cui essa si riferisce relativa all’esistenza di una violazione dei diritti conferiti da tale regolamento”.
Ne consegue pertanto che, da un lato, il ricorso previsto all’articolo 78, par. 1 del GDPR - il cui oggetto è l’esame della legittimità della decisione di un’autorità di controllo adottata sulla base dell’art. 77 - e quello previsto all’art. 79, par. 1 possono quindi essere esercitati in modo concorrente e indipendente; e dall’altro, che non si può escludere che le decisioni emesse da questi due giudici nei separati procedimenti si contraddicano, di modo che l’una accerta una violazione delle disposizioni dettate dal GDPR e l’altra, invece, l’assenza di una siffatta violazione. Ad avviso della CGUE, spetta, infatti, agli Stati membri garantire che l’esercizio parallelo di tali ricorsi non pregiudichi l’applicazione coerente e omogenea del GDPR.
Dott. Lorenzo Baudino Bessone
