CGUE, 16.01.2024, causa C-33/22 (ECLI:EU:C:2023:397)
PRINCIPIO DI DIRITTO
1)L’articolo 16, paragrafo 2, prima frase, TFUE e l’articolo 2, paragrafo 2, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che: un’attività non può essere considerata esclusa dall’ambito di applicazione del diritto dell’Unione e, pertanto, esulante dall’ambito di applicazione di tale regolamento per la sola ragione che essa venga esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo.
2)L’articolo 2, paragrafo 2, lettera a), del regolamento 2016/679, letto alla luce del considerando 16 di tale regolamento, deve essere interpretato nel senso che: non possono essere considerate, in quanto tali, attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di detta disposizione, le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi l’obiettivo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su tale autorità.
3)L’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del regolamento 2016/679
devono essere interpretati nel senso che: qualora uno Stato membro abbia scelto, conformemente all’articolo 51, paragrafo 1, di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del suddetto regolamento da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a detta autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati dalla suddetta commissione di inchiesta.
TESTO RILEVANTE DELLA DECISIONE
Contesto normativo
Diritto dell’Unione
3 I considerando 16, 20 e 117 del RGPD sono così formulati:
«(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione.
(…)
(20) Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie.
Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale.
Si dovrebbe poter affidare il controllo su tali trattamenti di dati ad organismi specifici all’interno del sistema giudiziario dello Stato membro, che dovrebbero in particolare assicurare la conformità alle norme del presente regolamento, rafforzare la consapevolezza della magistratura con riguardo agli obblighi che alla stessa derivano dal presente regolamento ed esaminare i reclami in relazione a tali operazioni di trattamento dei dati.
(…)
(117) L’istituzione di autorità di controllo a cui è conferito il potere di eseguire i loro compiti ed esercitare i loro poteri in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. Gli Stati membri dovrebbero poter istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa».
4 L’articolo 2 del RGPD, intitolato «Ambito di applicazione materiale», così prevede:
«1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
- Il presente regolamento non si applica ai trattamenti di dati personali:
- a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
(…)
- d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
- Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001 [del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1),] Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.
(…)».
5 L’articolo 4 del RGPD, intitolato «Definizioni», è del seguente tenore:
«Ai fini del presente regolamento s’intende per:
(…)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(…)».
6 L’articolo 23 del RGPD, intitolato «Limitazioni», al paragrafo 1, dispone quanto segue:
«Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
- a) la sicurezza nazionale;
- b) la difesa;
- c) la sicurezza pubblica;
- d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
- e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
- f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
(…)
- h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
- i) la tutela dell’interessato o dei diritti e delle libertà altrui;
(…)».
7 L’articolo 51 del RGPD, intitolato «Autorità di controllo», al paragrafo 1, così prevede:
«Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (“autorità di controllo”)».
8 L’articolo 54 del RGPD, intitolato «Norme sull’istituzione dell’autorità di controllo», al paragrafo 1, enuncia quanto segue:
«Ogni Stato membro prevede con legge tutte le condizioni seguenti:
- a) l’istituzione di ogni autorità di controllo; (…)».
9 L’articolo 55 del RGPD, intitolato «Competenza», è così formulato:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
- Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56.
- Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali».
10 L’articolo 77 del RGPD, intitolato «Diritto di proporre reclamo all’autorità di controllo», al paragrafo 1, così prevede:
«1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
- L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78».
Diritto austriaco
11 L’articolo 53 del Bundes-Verfassungsgesetz (legge costituzionale federale), ripubblicata il 2 gennaio 1930 (BGBl. 1/1930), nella versione applicabile ai fatti di cui al procedimento principale (in prosieguo: il «B‑VG»), così prevede:
«(1) Il Nationalrat [(Consiglio nazionale, Austria)] può decidere di istituire commissioni di inchiesta. Inoltre, una commissione di inchiesta è istituita su richiesta di un quarto dei suoi membri.
(2) L’inchiesta verte su un’attività passata in un ambito rientrante nel potere esecutivo a livello federale. Sono incluse in esso tutte le attività degli organi federali mediante i quali il Bund, indipendentemente dall’entità della sua partecipazione, esercita diritti di partecipazione e di controllo. È escluso il riesame della giurisprudenza.
(3) Tutti gli organi del Bund, dei Länder, dei comuni e dei raggruppamenti di comuni nonché degli altri organi autonomi devono fornire, su richiesta, i loro fascicoli e documenti a una commissione di inchiesta nei limiti in cui essi rientrino nell’oggetto dell’inchiesta e devono soddisfare le richieste di una commissione di inchiesta dirette alla raccolta degli elementi di prova concernenti l’oggetto dell’inchiesta. Tale obbligo non si applica alla presentazione di fascicoli e di documenti la cui divulgazione potrebbe compromettere le fonti ai sensi dell’articolo 52a, paragrafo 2.
(4) L’obbligo di cui al paragrafo 3 non si applica nella misura in cui sia pregiudicato il processo giuridico di formazione della volontà del governo federale o di alcuni dei suoi membri o la sua preparazione immediata
(…)».
12 Il B-VG prevede la separazione dei poteri legislativo, esecutivo e giudiziario. Qualsiasi violazione di tale principio di separazione richiede un fondamento costituzionale.
13 L’articolo 1, paragrafo 1, del Datenschutzgesetz (legge sulla protezione dei dati), del 17 agosto 1999 (BGBl. I, 165/1999), nella versione applicabile ai fatti del procedimento principale (in prosieguo: il «DSG»), dispone quanto segue: «Ogni persona ha diritto, tenuto conto in particolare del rispetto della sua vita privata e familiare, alla riservatezza dei dati personali che la riguardano, purché essa vi abbia un interesse meritevole di tutela. Tale interesse è escluso se i dati non danno luogo a un diritto alla riservatezza in quanto pubblicamente disponibili o per l’impossibilità di ricondurli alla persona interessata».
14 Ai sensi dell’articolo 18, paragrafo 1, del DSG: «La Datenschutzbehörde è istituita come autorità nazionale di controllo ai sensi dell’articolo 51 del RGPD».
15 L’articolo 24, paragrafo 1, del DSG è così formulato: «Ogni interessato ha il diritto di proporre un reclamo alla Datenschutzbehörde se ritiene che il trattamento dei dati personali che lo riguardano costituisca una violazione del RGPD o dell’articolo 1 o dell’articolo 2, prima parte principale».
16 L’articolo 35 del DSG così prevede: «(1) La Datenschutzbehörde ha il compito di garantire la protezione dei dati in conformità con le disposizioni del RGPD e della presente legge federale».
(2) La Datenschutzbehörde esercita i suoi poteri anche nei confronti degli organi supremi del potere esecutivo di cui all’articolo 19 del B-VG e nei confronti degli organi supremi in conformità alle disposizioni dell’articolo 30, paragrafi da 3 a 6, degli articoli 125 e 134, paragrafo 8, e dell’articolo 148h, paragrafi 1 e 2, del B-VG per quanto riguarda le questioni amministrative di loro competenza».
Procedimento principale e questioni pregiudiziali
17 Con decisione del 20 aprile 2018 il Consiglio nazionale, ai sensi dell’articolo 53 del B-VG, ha istituito una commissione di inchiesta incaricata di fare luce sull’esistenza di una possibile influenza politica sul Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Ufficio federale per la protezione della Costituzione e la lotta al terrorismo, Austria) (in prosieguo: il «BVT»), a cui è succeduta, il 1º dicembre 2021, la Direktion Staatsschutz und Nachrichtendienst (Direzione per la sicurezza dello Stato e dei servizi di intelligence, Austria).
18 Il 19 settembre 2018 tale commissione di inchiesta (in prosieguo: la «commissione di inchiesta BVT») ha ascoltato WK in qualità di testimone nel corso di un’audizione accessibile ai rappresentanti dei mezzi di comunicazione. Nonostante una richiesta di anonimizzazione formulata da WK, il resoconto di tale audizione, nel quale venivano citati per intero il suo nome e cognome, è stato pubblicato sul sito Internet del Parlament Österreich (Parlamento austriaco).
19 Il 2 aprile 2019 WK ha presentato un reclamo presso la Datenschutzbehörde nel quale ha affermato che la pubblicazione, contro la sua volontà, del resoconto della suddetta audizione, con l’indicazione della sua identità, era contraria alle disposizioni del RGPD e all’articolo 1 del DSG. A sostegno del suo reclamo, egli ha spiegato di lavorare come agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada.
20 Con decisione del 18 settembre 2019 la Datenschutzbehörde ha respinto detto reclamo. Essa ha ritenuto che – sebbene il RGPD non ostasse, in linea di principio, a che le autorità di controllo procedessero al controllo degli organi legislativi – fosse tuttavia esclusa, in forza del principio della separazione dei poteri, la soggezione del potere legislativo al controllo del potere esecutivo. In tali circostanze, e poiché la commissione di inchiesta BVT rientrava nel potere legislativo, la Datenschutzbehörde – che è un organo del potere esecutivo – non sarebbe autorizzata a controllare l’attività di detta commissione e sarebbe quindi incompetente a statuire sul reclamo di WK.
21 Con decisione del 23 novembre 2020 il Bundesverwaltungsgericht (Tribunale amministrativo federale, Austria) ha accolto il ricorso proposto da WK e ha annullato la decisione della Datenschutzbehörde. Esso ha dichiarato, in sostanza, che il RGPD è applicabile agli atti legislativi e, quindi, a quelli della commissione di inchiesta BVT. Infatti, l’ambito di applicazione materiale del RGPD, quale definito all’articolo 2, paragrafo 1, di quest’ultimo, sarebbe concepito in modo esaustivo e riguarderebbe tutti i trattamenti di dati, indipendentemente dall’ente che effettua il trattamento e dalla funzione statale cui appartiene tale ente. Inoltre, non si potrebbe neppure dedurre dall’articolo 2, paragrafo 2, del RGPD una deroga all’applicabilità di tale regolamento per talune funzioni dello Stato, quali la funzione legislativa, poiché la deroga prevista alla lettera a) di tale disposizione dovrebbe essere interpretata restrittivamente. Di conseguenza, secondo il Bundesverwaltungsgericht (Tribunale amministrativo federale), la Datenschutzbehörde era competente a statuire sul reclamo di WK, conformemente all’articolo 77 di detto regolamento.
22 Investito dalla Datenschutzbehörde di un ricorso per cassazione («Revision») contro la suddetta decisione del Bundesverwaltungsgericht (Tribunale amministrativo federale), il Verwaltungsgerichtshof (Corte amministrativa, Austria), giudice del rinvio nella presente causa, si chiede, in primo luogo, se gli atti di una commissione di inchiesta istituita dal Parlamento di uno Stato membro siano, indipendentemente dall’oggetto dell’indagine, esclusi dall’ambito di applicazione del RGPD in forza dell’articolo 2, paragrafo 2, lettera a), di quest’ultimo e dell’articolo 16, paragrafo 2, prima frase, TFUE, per il motivo che i lavori di una siffatta commissione costituiscono, per loro natura, un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione.
23 In tale contesto, detto giudice rileva, anzitutto, che, conformemente alla giurisprudenza della Corte in materia derivante, in particolare, dalla sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535), non può essere richiesto, ai fini dell’applicazione del RGPD, che il trattamento dei dati personali in questione sia effettuato specificamente per finalità rientranti nel diritto dell’Unione, che abbia carattere transfrontaliero o incida concretamente e direttamente sulla libera circolazione tra gli Stati membri. L’applicazione di tale regolamento sarebbe invece esclusa solo qualora sia soddisfatta almeno una delle condizioni di applicazione della deroga di cui all’articolo 2, paragrafo 2, lettere da a) a d), di detto regolamento.
24 Al riguardo, il giudice del rinvio ricorda che, secondo la giurisprudenza della Corte, l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce del considerando 16 di tale regolamento, deve essere interpretato nel senso che esso ha l’unico obiettivo di escludere dall’ambito di applicazione di detto regolamento i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che può essere ascritta alla medesima categoria. Le attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui all’articolo 2, paragrafo 2, lettera a), del RGPD comprendono, in particolare, quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 67 e giurisprudenza ivi citata].
25 Esso evidenzia, poi, alcune differenze tra la commissione parlamentare in questione nella causa che ha dato luogo alla sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535), ossia la commissione per le petizioni del Parlamento del Land Hessen (Land Assia, Germania), e la commissione di inchiesta BVT. In particolare, i lavori di quest’ultima non solo contribuirebbero indirettamente all’attività parlamentare, ma sarebbero al centro di tale attività, a causa della funzione di controllo attribuita dal B-VG alle commissioni d’inchiesta istituite dal Consiglio nazionale.
26 Infine, il giudice del rinvio fa riferimento al principio della separazione dei poteri legislativo, esecutivo e giudiziario, principio, questo, inerente tanto al diritto di ciascuno Stato membro quanto al diritto dell’Unione. È vero che l’articolo 55, paragrafo 3, del RGPD si limiterebbe ad escludere la competenza delle autorità di controllo a controllare i trattamenti di dati personali effettuati dalle autorità giudiziarie nell’esercizio delle loro attività giurisdizionali e non riguarderebbe i trattamenti di dati effettuati nell’ambito del nucleo dell’attività parlamentare. Tale silenzio potrebbe tuttavia spiegarsi con il fatto che, per il legislatore dell’Unione, quest’ultima attività già esula dall’ambito di applicazione di detto regolamento in forza dell’articolo 2, paragrafo 2, lettera a), di quest’ultimo.
27 In secondo luogo, il giudice del rinvio sottolinea che l’oggetto dell’indagine della commissione di inchiesta BVT riguarda attività di sicurezza nazionale che, alla luce del considerando 16 del RGPD, non rientrano nell’ambito di applicazione del diritto dell’Unione e sono quindi escluse dall’ambito di applicazione materiale di tale regolamento, conformemente al suo articolo 2, paragrafo 2, lettera a).
28 Pertanto, anche supponendo che l’attività di controllo parlamentare di una commissione di inchiesta rientri, in linea di principio, nel campo di applicazione del diritto dell’Unione, ai sensi dell’articolo 16, paragrafo 2, TFUE, occorrerebbe ancora verificare se le sue attività rientrino quantomeno nell’eccezione prevista all’articolo 2, paragrafo 2, lettera a), del RGPD, tenuto conto della circostanza che l’oggetto dell’indagine riguarda attività del potere esecutivo che, come nel caso di specie, non rientrano nell’ambito di applicazione del diritto dell’Unione.
29 In terzo luogo, il giudice del rinvio si chiede se, tenuto conto in particolare del principio costituzionale della separazione dei poteri in Austria, la Datenschutzbehörde, unica autorità nazionale di controllo ai sensi dell’articolo 51 del RGPD, sia competente, sulla base di questo solo regolamento, a statuire su un reclamo come quello presentato da WK, in assenza di un qualsivoglia fondamento costituzionale nel diritto nazionale che consenta di stabilire una siffatta competenza.
30 In tale contesto, il Verwaltungsgerichtshof (Corte amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE, indipendentemente dall’oggetto dell’indagine, in modo che il trattamento dei dati personali effettuato da detta commissione sia disciplinato [dal RGPD].
Qualora sia data una risposta affermativa alla prima questione:
2) Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo, la quale sottopone a indagine le attività di un’autorità di polizia di protezione dello Stato, ossia relative alla salvaguardia della sicurezza nazionale ai sensi del considerando 16 [del RGPD], rientrino nella deroga di cui all’articolo 2, paragrafo 2, lettera a), di detto regolamento.
Qualora sia data una risposta negativa alla seconda questione:
3) Ove – come nel caso in esame – uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, [del RGPD], se la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, in combinato disposto con l’articolo 55, paragrafo 1, di detto regolamento, discenda direttamente [da tale] regolamento».
Sulle questioni pregiudiziali
Sulla prima questione
31 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 16, paragrafo 2, prima frase, TFUE e l’articolo 2, paragrafo 2, lettera a), del RGPD debbano essere interpretati nel senso che un’attività, per la sola ragione che essa è esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, si collochi al di fuori dell’ambito di applicazione del diritto dell’Unione ed esuli pertanto dall’ambito di applicazione di tale regolamento.
32 L’articolo 16 TFUE, che costituisce la base giuridica del RGPD, al suo paragrafo 2 prevede che il Parlamento europeo e il Consiglio dell’Unione europea stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione.
33 In conformità con tale disposizione, l’articolo 2, paragrafo 1, del RGPD fornisce una definizione molto ampia dell’ambito di applicazione materiale di quest’ultimo [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 61]. Esso prevede, infatti, che tale regolamento «si applic[hi] al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».
34 Inoltre, tale medesimo articolo 2 del RGPD stabilisce, ai suoi paragrafi 2 e 3, in maniera esaustiva, le eccezioni alla norma che definisce l’ambito di applicazione materiale di tale regolamento enunciato al suo paragrafo 1. In particolare, l’articolo 2, paragrafo 2, lettera a), di detto regolamento precisa che quest’ultimo non si applica ai trattamenti di dati personali «effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione».
35 In tale contesto, il giudice del rinvio si chiede se un trattamento di dati personali rientrante nell’ambito dell’attività di una commissione d’inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo rientri, in ogni caso e indipendentemente dall’oggetto dell’indagine, nell’eccezione prevista da quest’ultima disposizione.
36 Al riguardo, occorre ricordare che, fatti salvi i casi menzionati al suo articolo 2, paragrafi 2 e 3, il RGPD si applica ai trattamenti effettuati tanto da soggetti privati che dalle autorità pubbliche (v., in tal senso, sentenza del 24 marzo 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, punto 25).
37 Dalla giurisprudenza della Corte risulta che l’eccezione prevista all’articolo 2, paragrafo 2, del RGPD deve essere interpretata restrittivamente [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 62 e giurisprudenza ivi citata]. In tale contesto, la Corte ha già avuto occasione di precisare che l’articolo 2, paragrafo 2, lettera a), di tale regolamento, letto alla luce del considerando 16 dello stesso, ha l’unico obiettivo di escludere dall’ambito di applicazione di quest’ultimo i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che può essere ascritta alla medesima categoria, di modo che il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente affinché tale eccezione sia automaticamente applicabile a una siffatta attività [sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 66, e del 20 ottobre 2022, Koalitsia «Demokratichna Bulgaria – Obedinenie», C‑306/21, EU:C:2022:813, punto 39].
38 Tale interpretazione, che deriva già dalla circostanza che l’articolo 2, paragrafo 1, del RGPD non opera alcuna distinzione in funzione dell’identità dell’autore del trattamento interessato, è confermata dall’articolo 4, punto 7, di tale regolamento, che definisce la nozione di «titolare del trattamento» nel senso che si riferisce «[alla] persona fisica o giuridica, [all’]autorità pubblica, [al] servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali».
39 È proprio interpretando quest’ultima disposizione che la Corte ha affermato che, nei limiti in cui determini, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento, una commissione per le petizioni del Parlamento di uno Stato federato di uno Stato membro deve essere qualificata come «titolare del trattamento», ai sensi della suddetta disposizione, cosicché il trattamento di dati personali effettuato da una simile commissione ricade nell’ambito di applicazione di tale regolamento (sentenza del 9 luglio 2020, Land Hessen, C‑272/19, EU:C:2020:535, punto 74).
40 La circostanza, evidenziata dal Präsident des Nationalrates (presidente del Consiglio nazionale, Austria) – secondo la quale, contrariamente alla commissione per le petizioni di cui trattasi nella causa che ha dato luogo alla sentenza del 9 luglio 2020, Land Hessen (C‑272/19, EU:C:2020:535), che contribuiva solo indirettamente all’attività parlamentare, la commissione d’inchiesta BVT è un organo la cui attività è direttamente ed esclusivamente di natura parlamentare – non implica che le attività di quest’ultima commissione siano escluse dall’ambito di applicazione del RGPD.
41 Infatti, come rilevato in sostanza dall’avvocato generale al paragrafo 84 delle sue conclusioni, l’eccezione all’ambito di applicazione del RGPD prevista all’articolo 2, paragrafo 2, lettera a), di tale regolamento si riferisce soltanto a categorie di attività che, per loro natura, non rientrano nell’ambito di applicazione del diritto dell’Unione, e non a categorie di persone, a seconda che esse abbiano natura privata o pubblica, né, qualora il titolare del trattamento sia un’autorità pubblica, alla circostanza che i compiti e le funzioni di quest’ultima rientrino direttamente ed esclusivamente in una determinata prerogativa dei pubblici poteri, senza che tale prerogativa si ricolleghi a un’attività che esuli in ogni caso dall’ambito di applicazione del diritto dell’Unione.
42 Pertanto, la circostanza che il trattamento di dati personali sia effettuato da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo non consente, in quanto tale, di dimostrare che tale trattamento sia effettuato nell’ambito di un’attività che non rientra nell’ambito di applicazione del diritto dell’Unione, ai sensi dell’articolo 2, paragrafo 2, lettera a), del RGPD.
43 Alla luce di quanto precede, occorre rispondere alla prima questione dichiarando che l’articolo 16, paragrafo 2, prima frase, TFUE e l’articolo 2, paragrafo 2, lettera a), del RGPD devono essere interpretati nel senso che un’attività non può essere considerata esclusa dall’ambito di applicazione del diritto dell’Unione e, pertanto, esulante dall’ambito di applicazione di tale regolamento per la sola ragione che essa venga esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo.
Sulla seconda questione
44 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce del considerando 16 di quest’ultimo, debba essere interpretato nel senso che non possono essere considerate attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di tale disposizione, le attività di una commissione d’inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi lo scopo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su tale autorità.
45 Come ricordato al punto 37 della presente sentenza, l’articolo 2, paragrafo 2, lettera a), del RGPD deve essere interpretato restrittivamente e ha l’unico obiettivo di escludere dall’ambito di applicazione di detto regolamento i trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che possa essere ascritta alla stessa categoria.
46 Le attività che hanno lo scopo di salvaguardare la sicurezza nazionale ai sensi dell’articolo 2, paragrafo 2, lettera a), del RGPD, comprendono, in particolare, quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società [sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 67, e del 20 ottobre 2022, Koalitsia «Demokratichna Bulgaria – Obedinenie», C‑306/21, EU:C:2022:813, punto 40].
47 Conformemente all’articolo 4, paragrafo 2, TUE, siffatte attività restano di esclusiva competenza degli Stati membri (v., in tal senso, sentenza del 15 luglio 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punto 36).
48 Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che la commissione di inchiesta BVT è stata istituita dal Consiglio nazionale al fine di indagare sull’esistenza di una possibile influenza politica sul BVT, il cui compito consisteva, nel corso del periodo di cui trattasi nel procedimento principale, nel garantire la protezione della Costituzione e nel combattere il terrorismo.
49 Il presidente del Consiglio nazionale e il governo ceco ritengono, in sostanza, che, poiché i compiti del BVT includono «attività riguardanti la sicurezza nazionale», le sue attività rientrino nell’eccezione prevista all’articolo 2, paragrafo 2, lettera a), del RGPD. Orbene, le attività di una commissione di inchiesta del Parlamento di uno Stato membro consistenti nel controllare organi statali che, come nel caso del BVT, sono incaricati di garantire la sicurezza nazionale rientrerebbero anche nella nozione di attività riguardanti la sicurezza nazionale. Infatti, l’obiettivo dell’attività di controllo di una siffatta commissione di inchiesta sarebbe quello di verificare che le autorità controllate garantiscano correttamente la sicurezza nazionale.
50 Al riguardo, occorre rilevare che, sebbene spetti agli Stati membri, conformemente all’articolo 4, paragrafo 2, TUE, definire i loro interessi essenziali in materia di sicurezza e decidere le misure idonee a garantire la loro sicurezza interna ed esterna, la mera circostanza che una misura nazionale sia stata adottata ai fini della tutela della sicurezza nazionale non può comportare l’inapplicabilità del diritto dell’Unione e dispensare gli Stati membri dal necessario rispetto di tale diritto (v., in tal senso, sentenza del 15 luglio 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, punto 40 e giurisprudenza e ivi citata).
51 Orbene, come ricordato al punto 41 della presente sentenza, l’eccezione prevista all’articolo 2, paragrafo 2, lettera a), del RGPD si riferisce soltanto a categorie di attività che, per loro natura, non rientrano nell’ambito di applicazione del diritto dell’Unione, e non a categorie di persone, a seconda che esse abbiano natura privata o pubblica, né, qualora il titolare del trattamento sia un’autorità pubblica, alla circostanza che i compiti e le funzioni di quest’ultima rientrino direttamente ed esclusivamente in una determinata prerogativa dei pubblici poteri, senza che tale prerogativa si ricolleghi a un’attività che esuli in ogni caso dall’ambito di applicazione del diritto dell’Unione. Al riguardo, la circostanza che il titolare del trattamento sia un’autorità pubblica la cui attività principale consiste nel garantire la sicurezza nazionale non può essere sufficiente, in quanto tale, ad escludere dall’ambito di applicazione del RGPD i trattamenti di dati personali effettuati da tale autorità nell’ambito delle altre attività da essa svolte.
52 Nel caso di specie, dal fascicolo di cui dispone la Corte risulta che la commissione di inchiesta di cui trattasi nel procedimento principale aveva l’obiettivo di procedere a un controllo politico dell’attività del BVT a causa di un sospetto di influenza politica su detto organo, senza che tale controllo sembrasse costituire, in quanto tale, un’attività volta a salvaguardare la sicurezza nazionale o che potesse essere ascritta alla stessa categoria, ai sensi della giurisprudenza richiamata al punto 45 della presente sentenza. Ne consegue che, salvo verifica da parte del giudice del rinvio, tale attività non esula dall’ambito di applicazione del RGPD in forza dell’articolo 2, paragrafo 2, lettera a), di quest’ultimo.
53 Ciò premesso, una commissione di inchiesta parlamentare come quella di cui trattasi nel procedimento principale può, nell’ambito dei suoi lavori, avere accesso a informazioni, in particolare a dati personali, che, per ragioni attinenti alla sicurezza nazionale, devono beneficiare di una protezione particolare, consistente ad esempio nel limitare le informazioni da fornire alle persone interessate quanto alla raccolta di tali dati o ancora l’accesso di queste stesse persone a detti dati.
54 Al riguardo, l’articolo 23 del RGPD dispone che possono essere stabilite limitazioni, mediante misure legislative, agli obblighi e ai diritti di cui agli articoli 5, da 12 a 22 e 34 del RGPD per salvaguardare, in particolare, la sicurezza nazionale o una funzione di controllo connessa all’esercizio di pubblici poteri, in particolare nell’ambito della sicurezza nazionale.
55 Pertanto, l’esigenza di salvaguardia della sicurezza nazionale può giustificare limitazioni, mediante misure legislative, agli obblighi e ai diritti derivanti dal RGPD, in particolare per quanto riguarda la raccolta dei dati personali, l’informazione degli interessati e il loro accesso a tali dati o ancora la divulgazione di questi ultimi, senza il consenso degli interessati, a persone diverse dal titolare del trattamento, purché tali limitazioni rispettino l’essenza dei diritti e delle libertà fondamentali degli interessati e siano una misura necessaria e proporzionata in una società democratica.
56 Nel caso di specie, dal fascicolo di cui dispone la Corte non risulta tuttavia che la commissione di inchiesta BVT abbia affermato che la divulgazione dei dati personali di WK, avvenuta in occasione della pubblicazione sul sito Internet del Parlamento austriaco del resoconto della sua audizione dinanzi a tale commissione, e senza il consenso di tale persona, era necessaria per la salvaguardia della sicurezza nazionale e fondata su una misura legislativa nazionale prevista a tal fine. Spetta tuttavia al giudice del rinvio, se del caso, procedere alle verifiche necessarie a tal riguardo.
57 Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 2, paragrafo 2, lettera a), del RGPD, letto alla luce del considerando 16 di quest’ultimo, deve essere interpretato nel senso che non possono essere considerate, in quanto tali, attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di detta disposizione, le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi l’obiettivo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su tale autorità.
Sulla terza questione
58 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se l’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del RGPD debbano essere interpretati nel senso che, qualora uno Stato membro abbia scelto, conformemente all’articolo 51, paragrafo 1, di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del RGPD da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a tale autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati da detta commissione di inchiesta.
59 Per rispondere a tale questione occorre ricordare che, a norma dell’articolo 288, secondo comma, TFUE, il regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
60 Secondo consolidata giurisprudenza della Corte, in forza di tale disposizione e per la natura stessa dei regolamenti e della loro funzione nel sistema delle fonti del diritto dell’Unione, le disposizioni dei regolamenti producono, in via generale, effetti immediati negli ordinamenti giuridici nazionali, senza che le autorità nazionali debbano adottare misure di applicazione (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 110 nonché giurisprudenza ivi citata).
61 Orbene, da un lato, secondo l’articolo 77, paragrafo 1, del RGPD, l’interessato che ritenga che il trattamento di dati personali che lo riguarda violi tale regolamento ha il diritto di proporre reclamo a un’autorità di controllo. Dall’altro lato, ai sensi dell’articolo 55, paragrafo 1, di detto regolamento, ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del medesimo regolamento nel territorio del rispettivo Stato membro.
62 Dalla formulazione di tali disposizioni risulta che, come rilevato in sostanza dall’avvocato generale al paragrafo 132 delle sue conclusioni, l’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del RGPD non richiedono, per la loro attuazione, l’adozione di misure nazionali di attuazione e sono sufficientemente chiari, precisi e non condizionati per essere dotati di effetto diretto.
63 Ne consegue che, sebbene il RGPD, conformemente al suo articolo 51, paragrafo 1, riconosca agli Stati membri un margine di discrezionalità quanto al numero di autorità di controllo da istituire, esso fissa, per contro, la portata della competenza di cui tali autorità, indipendentemente dal loro numero, devono essere dotate per sorvegliare l’applicazione di tale regolamento.
64 Pertanto, come rilevato, in sostanza, dall’avvocato generale al paragrafo 137 delle sue conclusioni, nel caso in cui uno Stato membro scelga di istituire un’unica autorità di controllo, quest’ultima è necessariamente dotata di tutte le competenze che il RGPD conferisce alle autorità di controllo.
65 Qualsiasi diversa interpretazione rimetterebbe in questione l’effetto utile dell’articolo 55, paragrafo 1, e dell’articolo 77, paragrafo 1, del RGPD e rischierebbe di ridurre l’effetto utile di tutte le altre disposizioni di tale regolamento che possano essere oggetto di un reclamo.
66 Del resto, quando il legislatore dell’Unione ha inteso limitare la competenza delle autorità di controllo in materia di controllo delle operazioni di trattamento effettuate da autorità pubbliche, lo ha fatto espressamente, come attesta l’articolo 55, paragrafo 3, del RGPD, ai sensi del quale tali autorità non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali.
67 La Datenschutzbehörde, il presidente del Consiglio nazionale e il governo austriaco osservano che disposizioni di diritto austriaco di rango costituzionale vietano al potere esecutivo di esercitare qualsiasi controllo sul potere legislativo. Tali disposizioni escluderebbero quindi la possibilità per la Datenschutzbehörde, che dipende dal potere esecutivo, di sorvegliare l’applicazione del RGPD da parte della commissione di inchiesta BVT, che è un organo che rientra nel potere legislativo.
68 Tuttavia, nel caso di specie, è proprio nel rispetto della struttura costituzionale degli Stati membri che l’articolo 51, paragrafo 1, del RGPD si limita ad esigere che gli Stati membri istituiscano almeno un’autorità di controllo, offrendo loro la possibilità di istituirne varie. Del resto, il considerando 117 del regolamento in parola precisa che gli Stati membri dovrebbero poter istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa.
69 L’articolo 51, paragrafo 1, del RGPD riconosce quindi a ciascuno Stato membro un margine di discrezionalità che consente ad ognuno di essi di istituire tante autorità di controllo quante ne esiga, in particolare, la sua struttura costituzionale.
70 Inoltre, occorre ricordare che il fatto che uno Stato membro invochi disposizioni di diritto nazionale non può pregiudicare l’unità e l’efficacia del diritto dell’Unione. Infatti, gli effetti derivanti dal principio del primato del diritto dell’Unione si impongono a tutti gli organi di uno Stato membro, senza che, in particolare, le disposizioni interne, ivi comprese quelle di rango costituzionale, possano opporvisi [sentenza del 22 febbraio 2022, RS (Efficacia delle sentenze di una Corte costituzionale), C‑430/21, EU:C:2022:99, punto 51 e giurisprudenza ivi citata].
71 Qualora, nell’ambito del suo margine di discrezionalità, uno Stato membro abbia scelto di istituire un’unica autorità di controllo, esso non può invocare disposizioni di diritto nazionale, quand’anche di rango costituzionale, al fine di sottrarre trattamenti di dati personali rientranti nell’ambito di applicazione del RGPD al controllo di tale autorità.
72 Tenuto conto di quanto precede, occorre rispondere alla terza questione dichiarando che l’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del RGPD devono essere interpretati nel senso che, qualora uno Stato membro abbia scelto, conformemente all’articolo 51, paragrafo 1, di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del suddetto regolamento da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a detta autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati dalla suddetta commissione di inchiesta.
Sulle spese
73 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) L’articolo 16, paragrafo 2, prima frase, TFUE e l’articolo 2, paragrafo 2, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),devono essere interpretati nel senso che: un’attività non può essere considerata esclusa dall’ambito di applicazione del diritto dell’Unione e, pertanto, esulante dall’ambito di applicazione di tale regolamento per la sola ragione che essa venga esercitata da una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo.
2) L’articolo 2, paragrafo 2, lettera a), del regolamento 2016/679, letto alla luce del considerando 16 di tale regolamento,deve essere interpretato nel senso che: non possono essere considerate, in quanto tali, attività riguardanti la sicurezza nazionale escluse dall’ambito di applicazione del diritto dell’Unione, ai sensi di detta disposizione, le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, aventi l’obiettivo di indagare sulle attività di un’autorità di polizia di protezione dello Stato a causa di un sospetto di influenza politica su tale autorità.
3) L’articolo 77, paragrafo 1, e l’articolo 55, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che: qualora uno Stato membro abbia scelto, conformemente all’articolo 51, paragrafo 1, di tale regolamento, di istituire un’unica autorità di controllo, senza tuttavia attribuirle la competenza a sorvegliare l’applicazione del suddetto regolamento da parte di una commissione di inchiesta istituita dal Parlamento di tale Stato membro nell’esercizio del suo potere di controllo del potere esecutivo, tali disposizioni conferiscono direttamente a detta autorità la competenza a conoscere dei reclami relativi a trattamenti di dati personali effettuati dalla suddetta commissione di inchiesta.