BE v Nemzeti Adatvédelmi és Információszabadság Hatóság.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• ECLI: ECLI:EU:C:2023:2
• Docket Number: C-132/21
• Celex Number: 62021CJ0132
• Date: 12 January 2023

Edizione provvisoria

SENTENZA DELLA CORTE (Prima Sezione)

12 gennaio 2023 (*)

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli da 77 a 79 – Mezzi di ricorso – Esercizio parallelo – Articolazione – Autonomia procedurale – Efficacia delle norme di protezione stabilite da tale regolamento – Applicazione coerente ed omogenea di tali norme nell’insieme dell’Unione europea – Articolo 47 della Carta dei diritti fondamentali dell’Unione europea»

Nella causa C‑132/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla Fővárosi Törvényszék (Corte di Budapest-Capitale, Ungheria), con decisione del 2 marzo 2021, pervenuta in cancelleria il 3 marzo 2021, nel procedimento

BE

contro

Nemzeti Adatvédelmi és Információszabadság Hatóság,

con l’intervento di:

Budapesti Elektromos Művek Zrt.,

LA CORTE (Prima Sezione),

composta da A. Arabadjiev, presidente di sezione, L. Bay Larsen, vicepresidente, facente funzione di giudice della Prima Sezione, P.G. Xuereb, A. Kumin e I. Ziemele (relatrice), giudici,

avvocato generale: J. Richard de la Tour

cancelliere: I. Illéssy, amministratore

vista la fase scritta del procedimento e in seguito all’udienza dell’11 maggio 2022,

considerate le osservazioni presentate:

– per BE, da I. Kulcsár, ügyvéd;

– per la Nemzeti Adatvédelmi és Információszabadság Hatóság, da G. Barabás, jogtanácsos, G.J. Dudás e Á. Hargita, ügyvédek;

– per il governo ungherese, da Zs. Biró-Tóth e M.Z. Fehér, in qualità di agenti;

– per il governo ceco, da O. Serdula, M. Smolek e J. Vláčil, in qualità di agenti;

– per il governo italiano, da G. Palmieri, in qualità di agente, assistita da E. De Bonis e M.F. Severi, avvocati dello Stato;

– per il governo polacco, da B. Majczyna e J. Sawicka, in qualità di agenti;

– per la Commissione europea, da H. Kranenborg, Zs. Teleki e P.J.O. Van Nuffel, in qualità di agenti;

sentite le conclusioni dell’avvocato generale, presentate all’udienza dell’8 settembre 2022,

ha pronunciato la seguente

Sentenza

1 La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 77, paragrafo 1, dell’articolo 78, paragrafo 1, e dell’articolo 79, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).

2 Tale domanda è stata presentata nell’ambito di una controversia tra BE e la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorità nazionale incaricata della protezione dei dati e della libertà dell’informazione, Ungheria; in prosieguo: l’«autorità di controllo») in merito al rigetto della domanda di BE volta a ottenere la comunicazione di segmenti del fonogramma di un’assemblea generale degli azionisti di una società alla quale BE aveva partecipato.

Contesto normativo

Diritto dell’Unione

3 Ai sensi dei considerando 10, 11, 141 e 143 del regolamento 2016/679:

«10 Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...).

11 Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali (...).

(...)

141 Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un’unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento o se l’autorità di controllo non dà seguito a un reclamo, lo respinge in tutto o in parte o lo archivia o non agisce quando è necessario intervenire per proteggere i diritti dell’interessato. (...).

(...)

143 (...) ogni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell’autorità di controllo che produce effetti giuridici nei confronti di detta persona. (...) Le azioni contro l’autorità di controllo dovrebbero essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita e dovrebbero essere effettuate in conformità del diritto processuale dello Stato membro in questione. Tali autorità giurisdizionali dovrebbero esercitare i loro pieni poteri giurisdizionali, ivi compreso quello di esaminare tutte le questioni di fatto e di diritto che abbiano rilevanza per la controversia dinanzi a esse pendente».

4 Gli articoli da 60 a 63 di tale regolamento stabiliscono meccanismi di cooperazione, di assistenza reciproca e di controllo della coerenza tra le autorità di controllo degli Stati membri.

5 L’articolo 77, paragrafo 1, di detto regolamento così dispone:

«Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione».

6 L’articolo 78, paragrafo 1, del medesimo regolamento così recita:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».

7 L’articolo 79, paragrafo 1, del regolamento 2016/679 prevede quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

8 L’articolo 81 di tale regolamento, rubricato, «Sospensione delle azioni», è così formulato:

«1. L’autorità giurisdizionale competente di uno Stato membro che venga a conoscenza di azioni riguardanti lo stesso oggetto relativamente al trattamento dello stesso titolare del trattamento o dello stesso responsabile del trattamento pendenti presso un’autorità giurisdizionale di un altro Stato membro, prende contatto con tale autorità giurisdizionale nell’altro Stato membro per confermare l’esistenza delle azioni.

2. Qualora azioni riguardanti lo stesso oggetto relativamente al trattamento dello stesso titolare del trattamento o dello stesso responsabile del trattamento siano pendenti presso un’autorità giurisdizionale in un altro Stato membro, qualunque autorità giurisdizionale competente successivamente adita può sospendere le azioni.

3. Se tali azioni sono pendenti in primo grado, qualunque autorità giurisdizionale successivamente adita può parimenti dichiarare la propria incompetenza su richiesta di una delle parti a condizione che l’autorità giurisdizionale adita per prima sia competente a conoscere delle domande proposte e la sua legge consenta la riunione dei procedimenti».

Diritto ungherese

9 L’articolo 22 dell’az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (legge n. CXII del 2011 sul diritto di autodeterminazione in materia di informazione e sulla libertà di informazione), dispone quanto segue:

«Nell’esercizio dei suoi diritti, l’interessato può, conformemente alle disposizioni del capo VI:

a) chiedere che [l’autorità di controllo] avvii un’indagine sulla liceità di una misura adottata dal titolare del trattamento, qualora quest’ultimo abbia limitato l’esercizio dei diritti dell’interessato ai sensi dell’articolo 14 o abbia respinto una richiesta dell’interessato con cui quest’ultimo intendeva esercitare i suoi diritti, nonché

b) richiedere al[l’autorità di controllo] di istruire un procedimento amministrativo di protezione dei dati, qualora l’interessato ritenga che, nel corso del trattamento dei suoi dati personali, il titolare del trattamento o, se del caso, il suo rappresentante o il responsabile del trattamento che operi su mandato di quest’ultimo, abbia violato le disposizioni in materia...