CGUE 2025 - la sentenza affronta un tema di grande attualità e rilevanza nel campo della protezione dei dati personali e della privacy, specialmente in ambito istituzionale e finanziario. Di seguito un commento dettagliato che analizza gli aspetti principali:
1. **Contesto e importanza della sentenza**
La sentenza della Corte di Giustizia dell’Unione Europea (CGUE) dell’4 settembre 2025 rappresenta un precedente fondamentale in materia di qualificazione dei dati pseudonimizzati. La questione centrale riguarda se i dati pseudonimizzati, cioè quei dati a cui sono stati rimossi o sostituiti elementi identificativi diretti, possano essere considerati comunque “dati personali” ai sensi del GDPR.
2. **Il caso di Banco Popular Español e il ruolo del Single Resolution Board**
Il caso trae origine dalla gestione della crisi di Banco Popular Español, in cui il Single Resolution Board (SRB), autorità di risoluzione bancaria dell’UE, ha raccolto numerosi commenti associati a codici pseudonimi e li ha trasmessi a Deloitte. La presenza di questi commenti e i relativi codici rappresentano un esempio pratico di trattamento di dati pseudonimizzati in un contesto istituzionale e di gestione delle crisi.
3. **Posizioni delle autorità coinvolte**
- **EDPS (European Data Protection Supervisor):** aveva qualificato i dati come personali, sostenendo che i commenti pseudonimizzati potevano comunque essere riconducibili a individui specifici, considerando i possibili metodi di ricostruzione o associazione.
- **Tribunale UE:** aveva invece ritenuto che quei dati, dal punto di vista del destinatario (ossia Deloitte), non costituissero dati personali, probabilmente perché considerava che i pseudonimi fossero sufficientemente distanti dall’identificazione diretta.
- **Corte di Giustizia:** ribalta questa interpretazione, affermando che i dati pseudonimizzati devono comunque essere considerati dati personali, riconoscendo la possibilità di ricostruire l’identità attraverso ulteriori elaborazioni o collegamenti.
4. **Implicazioni della sentenza**
La decisione della CGUE comporta conseguenze operative e di compliance di vasta portata:
- **Estensione dell’obbligo di trasparenza:** anche i dati pseudonimizzati, se qualificati come personali, devono essere accompagnati dagli obblighi di informativa previsti dal GDPR.
- **Rafforzamento della tutela:** le istituzioni e le aziende devono considerare più attentamente la natura dei dati trattati, anche quando sono pseudonimizzati, e adottare misure di sicurezza più rigorose.
- **Rischio di non adeguatezza delle misure di pseudonimizzazione:** l’uso di pseudonimi non può essere considerato un modo per escludere automaticamente i dati dal campo di applicazione del GDPR, ma piuttosto un metodo che può comunque lasciare spazio a ricostruzioni identificative.
5. **Aspetti pratici e di compliance**
Le organizzazioni devono:
- Valutare attentamente se i dati pseudonimizzati siano effettivamente anonimi o meno, considerando il contesto e le tecniche di ricostruzione.
- Aggiornare le informative sulla privacy per includere anche i dati pseudonimizzati, se qualificati come personali.
- Implementare misure di sicurezza che tengano conto della nuova interpretazione giuridica.
- Documentare le metodologie di pseudonimizzazione e le valutazioni di rischio per garantire la conformità normativa.
6. **Conclusione**
La sentenza rappresenta un rafforzamento della posizione del legislatore e della giurisprudenza europea sulla tutela dei dati personali, sottolineando che la pseudonimizzazione, pur essendo una misura di sicurezza e di minimizzazione dei rischi, non elimina la qualificazione dei dati come personali. Ciò impone a enti pubblici e privati di rivedere le proprie pratiche di trattamento e di garantire trasparenza e tutela effettiva, anche in presenza di dati pseudonimizzati.
Garante europeo della protezione dei dati
contro
Comitato di risoluzione unico
« Impugnazione – Trattamento dei dati personali – Procedura di indennizzo dei creditori e degli azionisti in seguito alla risoluzione di un ente creditizio – Obbligo di informazione – Articolo 15, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 – Assenza di informazione di detti creditori e azionisti in merito al destinatario dei dati personali – Decisione del Garante europeo della protezione dei dati che accerta la violazione del regolamento 2018/1725 relativo al trattamento dei dati personali pseudonimizzati »
Sentenza - 04/09/2025 - GEPD/ SRB (Notion de données à caractère personnel)
Causa C-413/23 P
Raccolta della giurisprudenza
non ancora pubblicato (pubblicata) (Raccolta generale)
Edizione provvisoria
CONCLUSIONI DELL’AVVOCATO GENERALE
DEAN SPIELMANN
presentate il 6 febbraio 2025 (1)
Causa C-413/23 P
Garante europeo della protezione dei dati
contro
Comitato di risoluzione unico
« Impugnazione – Trattamento dei dati personali – Procedura di indennizzo dei creditori e degli azionisti in seguito alla risoluzione di un ente creditizio – Obbligo di informazione – Articolo 15, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 – Assenza di informazione di detti creditori e azionisti in merito al destinatario dei dati personali – Decisione del Garante europeo della protezione dei dati che accerta la violazione del regolamento 2018/1725 relativo al trattamento dei dati personali pseudonimizzati »
I. Introduzione
1. Con la sua impugnazione, il Garante europeo della protezione dei dati (GEPD) chiede l’annullamento della sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T-557/20, in prosieguo: la «sentenza impugnata», EU:T:2023:219), con la quale esso ha annullato la decisione rivista del GEDP del 24 novembre 2020 (in prosieguo: la «decisione controversa»), relativa a cinque reclami presentati da azionisti e creditori interessati dalla risoluzione bancaria del Banco Popular Español SA (in prosieguo: il «Banco Popular») che lamentavano di non essere stati informati del trasferimento dei loro dati personali.
2. La presente causa offre alla Corte l’occasione di precisare, nel contesto dei dati pseudonimizzati, la nozione di «dati personali» e gli obblighi che ne derivano al fine di ottemperare agli obblighi di trattamento corretto e trasparente dei dati personali.
II. Contesto normativo
3. Le principali disposizioni del regolamento (UE) 2018/1725 (2) rilevanti nell’ambito del presente ricorso sono le seguenti.
4. I considerando 16 e 17 di detto regolamento così recitano:
«(16) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
(17) L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della “pseudonimizzazione” nel presente regolamento non è intesa a precludere altre misure di protezione dei dati».
5. L’articolo 3 di detto regolamento, rubricato «Definizioni», prevede, ai punti 1 e 6, quanto segue:
«Ai fini del presente regolamento si applicano le seguenti definizioni:
1) “dati personali”: qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
(...)
6) “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
6. L’articolo 4 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», dispone, al paragrafo 1, lettera a), e al paragrafo 2, quanto segue:
«1. I dati personali devono essere:
trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
(...)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
7. L’articolo 15 del regolamento 2018/1725, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», al paragrafo 1, lettera d), prevede quanto segue:
«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(...)
d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali».
III. Fatti
8. Il 7 giugno 2017 il Comitato di risoluzione unico (SRB o CRU) ha adottato un programma di risoluzione per il Banco Popular sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (3), approvato in pari data dalla Commissione europea (4), il che significa in concreto che gli strumenti di capitale della banca sono stati svalutati o convertiti e ceduti mediante trasferimento di azioni.
9. Ai sensi dell’articolo 20, paragrafi da 16 a 18, del regolamento n. 806/2014, il SRB ha affidato alla Deloitte, in qualità di «persona indipendente» (5), l’incarico di effettuare una valutazione della differenza di trattamento al fine di accertare se gli azionisti e i creditori, interessati dall’azione di risoluzione, avrebbero ricevuto un trattamento migliore se l’ente fosse stato sottoposto a una procedura ordinaria di insolvenza.
10. Il 14 giugno 2018 la Deloitte ha presentato al SRB tale valutazione della differenza di trattamento (in prosieguo: la «Valutazione 3»). Con decisione preliminare, il SRB ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento n. 806/2014, esso avviava la procedura relativa al diritto di essere ascoltato, comprendente una prima fase di iscrizione, finalizzata a verificare l’ammissibilità delle parti che avevano manifestato il proprio interesse, e una seconda fase di consultazione, nell’ambito della quale gli azionisti e i creditori interessati hanno presentato le proprie osservazioni sulla decisione preliminare del SRB, alla quale era allegata la Valutazione 3.
11. I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità dei partecipanti e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del SRB incaricati del trattamento di tali dati al fine di determinare l’idoneità dei partecipanti. Questi dati non erano visibili ai membri del personale del SRB incaricati di elaborare le osservazioni ricevute durante la fase di consultazione, durante la quale hanno ricevuto solo osservazioni identificate con riferimento a un codice alfanumerico (6) assegnato a ciascuna osservazione inviata tramite il modulo.
12. A seguito dell’aggregazione, del filtraggio automatico e della classificazione delle osservazioni, il SRB ha trasmesso alla Deloitte (7) le osservazioni relative alla Valutazione 3 così filtrate, classificate e aggregate. Le osservazioni trasmesse alla Deloitte riguardavano esclusivamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico sviluppato a fini di audit per consentire al SRB di verificare ed eventualmente dimostrare a posteriori che ogni osservazione era stata trattata e debitamente presa in considerazione. Mediante tale codice, il SRB era l’unico a poter collegare le osservazioni ai dati ricevuti durante la fase di iscrizione. La Deloitte non aveva e non ha tuttora accesso alla banca dati contenente i dati raccolti durante la fase di iscrizione.
13. Gli azionisti e i creditori interessati (in prosieguo: i «reclamanti») hanno inviato al GEPD, ai sensi del regolamento 2018/1725, cinque reclami con la motivazione che l’informativa sulla protezione dei dati personali pubblicata dal SRB non faceva menzione del fatto che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi alla Deloitte. Essi adducevano la violazione da parte del SRB del suo obbligo di informazione in relazione al trattamento dei dati personali ai sensi di tale regolamento, previsto all’articolo 15, paragrafo 1, lettera d), del regolamento in parola.
14. Il GEPD ha adottato la decisione iniziale il 24 giugno 2020, annullata in seguito a una richiesta di riesame del SRB e sostituita, in data 24 novembre 2020, dalla decisione controversa, formulata come segue:
«1. Il GEPD ritiene che i dati che il [SRB] ha condiviso con Deloitte fossero dati pseudonimizzati, sia perché le osservazioni della fase [di consultazione] erano dati personali sia perché il [SRB] condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase [di iscrizione] a quelle della fase [di consultazione], sebbene i dati forniti dai partecipanti per identificarsi durante la fase [di iscrizione] non fossero stati comunicati a Deloitte.
2. Il GEPD ritiene che Deloitte fosse un destinatario di dati personali dei reclamanti ai sensi dell’articolo 3, punto 13, del regolamento 2018/1725. Il fatto che Deloitte non sia stata menzionata nella informativa sulla protezione dei dati personali del [SRB] quale potenziale destinatario dei dati personali raccolti e trattati dal [SRB], nella sua qualità di titolare del trattamento nell’ambito della procedura relativa al diritto di essere ascoltato, costituisce una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), [del regolamento 2018/1725].
3. Alla luce di tutte le misure tecniche e organizzative messe in atto dal [SRB] per mitigare i rischi per il diritto delle persone alla protezione dei dati nel contesto della procedura relativa al diritto di essere ascoltati, il GEPD decide di non esercitare i suoi poteri correttivi ai sensi dell’articolo 58, paragrafo 2, [del regolamento 2018/1725].
4. Il GEPD raccomanda tuttavia che il [SRB] garantisca che le sue informative sulla protezione dei dati personali nelle future procedure relative al diritto di essere ascoltati coprano il trattamento dei dati personali sia nella fase di iscrizione che in quella di consultazione e che includano tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell’articolo 15 [del regolamento 2018/1725]».
IV. Sentenza impugnata
15. Con ricorso depositato presso la cancelleria del Tribunale il 1º settembre 2020 e con memoria di adattamento depositata il 29 gennaio 2021, il SRB ha proposto un ricorso diretto, da un lato, all’annullamento della decisione controversa e, dall’altro, alla dichiarazione di illegittimità della decisione iniziale del GEPD del 24 giugno 2020.
16. Il SRB ha dedotto, a sostegno del primo capo delle conclusioni (8), due motivi di ricorso: il primo motivo verteva sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali e, il secondo motivo, sulla violazione del diritto ad una buona amministrazione, sancito dall’articolo 41 della Carta dei diritti fondamentali dell’Unione europea.
17. Con la sentenza impugnata, il Tribunale ha dichiarato ricevibile tale capo delle conclusioni. Quanto al merito, esso ha accolto il primo motivo di ricorso e ha annullato la decisione controversa, senza esaminare il secondo motivo.
18. In riferimento al primo motivo di ricorso, il Tribunale ha considerato, in primo luogo, che il GEPD aveva ritenuto che le informazioni trasmesse a Deloitte «concernessero» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, basandosi su una presunzione, senza esaminarne il contenuto, né la finalità, né l’effetto delle informazioni trasmesse alla Deloitte (9), in violazione della sentenza Nowak (10).
19. In secondo luogo, per quanto riguarda la condizione prevista dall’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione deve essere relativa a una persona fisica «identificata o identificabile», il Tribunale ha ritenuto che, nella fattispecie, incombesse al GEPD esaminare se le osservazioni inviate alla Deloitte costituissero, nei suoi confronti, dati personali. Orbene, secondo la sentenza impugnata, il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del SRB e non della Deloitte. Pertanto, poiché il GEPD non ha verificato se la Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse alla Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725 (11).
V. Procedimento dinanzi alla Corte e conclusioni delle parti
20. Con atto depositato presso la cancelleria della Corte il 5 luglio 2023, il GEPD ha proposto impugnazione contro la sentenza impugnata. Con ordinanza del presidente della Corte in data 29 novembre 2023 (12), il Comitato europeo per la protezione dei dati è stato ammesso a intervenire a sostegno delle conclusioni del GEPD e, con decisione del 20 ottobre 2023, la Commissione europea è stata ammessa a intervenire a sostegno del SRB.
21. La GEPD chiede che la Corte voglia:
– annullare la sentenza impugnata;
– statuire definitivamente sulla controversia;
– condannare il SRB alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.
22. Il Comitato europeo per la protezione dei dati, a sostegno del GEPD, chiede che la Corte voglia:
– annullare la sentenza impugnata;
– statuire definitivamente sulla controversia confermando la decisione controversa.
23. Il SRB chiede che la Corte voglia:
– respingere l’impugnazione;
– in subordine, annullare la decisione controversa;
– in ulteriore subordine, rinviare la causa dinanzi al Tribunale, e
– condannare il GEPD alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.
24. La Commissione europea, a sostegno del SRB, chiede che la Corte voglia:
– respingere l’impugnazione;
– condannare il GEPD alle spese.
VI. Sull’impugnazione
25. A sostegno della propria impugnazione, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce due motivi. Il primo è diretto a contestare l’interpretazione che il Tribunale ha fornito della nozione di «dati personali» ai sensi dell’articolo 3, paragrafi 1 e 6 del regolamento 2018/1725, come interpretato nella giurisprudenza della Corte. Il secondo motivo ha ad oggetto la violazione del principio di responsabilità di cui all’articolo 4, paragrafo 2, e all’articolo 26, paragrafo 1, di tale regolamento.
A. Sul primo motivo d’impugnazione
26. Il primo motivo è diviso in due parti. La prima parte riguarda la condizione in base alla quale le informazioni controverse devono «concernere» una persona fisica e la seconda riguarda la condizione che tale persona fisica sia «identificata o identificabile».
1. Sulla prima parte, relativa alla questione se le informazioni «concernano» una persona fisica
a) Argomenti delle parti
27. Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati personali, deduce che il Tribunale ha commesso un errore nella parte in cui ha affermato che il GEPD si era basato su una presunzione nell’interpretazione della condizione secondo la quale le informazioni trasmesse alla Deloitte concernevano una persona fisica, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. A suo avviso, nelle circostanze del caso di specie, esso non era tenuto ad un esame più approfondito.
28. Il SRB sostiene, da parte sua, che, come stabilito dal Tribunale, il GEPD si è limitato a indicare che le osservazioni controverse, prodotte dai reclamanti nella fase di consultazione della procedura relativa al diritto di essere ascoltato, riflettevano le loro opinioni o punti di vista mentre avrebbero dovuto esaminare se le informazioni trasmesse alla Deloitte fossero connesse a una particolare persona per il loro contenuto, la loro finalità o il loro effetto, come richiesto dalla sentenza Nowak.
b) Valutazione
29. Occorre ricordare che la Corte ha ripetutamente dichiarato che l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni (13), tanto oggettive quanto soggettive, sotto forma di pareri o valutazioni, a condizione che esse «riguardino» o «concernano» la persona interessata.
30. A tal proposito, un’informazione concerne una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia «connessa» a una determinata persona (14).
31. Per quanto riguarda le opinioni o le valutazioni, come le osservazioni dei reclamanti di cui al caso di specie, mi sembra opportuno distinguere a seconda che si prenda in esame se dette opinioni o valutazioni «siano collegate» una o più persone cui fa riferimento il testo dell’opinione o della valutazione, oppure se, come nella fattispecie, si tratti di stabilire se esse siano collegate al loro autore. Nel primo caso, per concludere nel senso che sussiste un’informazione collegata alla persona oggetto della valutazione, occorre analizzare se il contenuto, la finalità e l’effetto della valutazione riguardino tale persona. Nel secondo caso, per contro, al fine di stabilire se la valutazione sia collegata alla persona che l’ha emessa, ritengo che si possa presumere che sia così e che un’opinione o una valutazione sia necessariamente collegata al suo autore.
32. Analogamente, nella sentenza Nowak, si trattava in sostanza di valutare le informazioni contenute in una prova d’esame. Essa riguardava quindi due persone: il candidato e l’esaminatore. È vero che la Corte ha esaminato il contenuto, la finalità e l’effetto delle risposte del candidato al fine di stabilire che esse lo riguardavano. A fronte di ciò, per quanto riguarda più specificamente le annotazioni dell’esaminatore, che riflettono il suo parere o la sua valutazione (15), se è vero chela Corte ha esaminato il contenuto, la finalità e l’effetto delle informazioni contenute nella copia per concludere nel senso che tali valutazioni concernevano il candidato, essa non ha effettuato tale esame al fine di ritenere che esse costituissero informazioni concernenti l’esaminatore che ne era l’autore (16). A mio avviso, non si può quindi escludere che una presunzione (semplice) si applichi quando si tratta di valutare se un’opinione o una valutazione o, come nel caso di specie, un’osservazione «concerne» il suo autore.
33. Ne deduco che, in assenza di prove contrarie, le osservazioni in questione nel caso di specie, nella misura in cui provenivano dai reclamanti e mostravano «la loro logica e il loro ragionamento», riflettendo così l’espressione della loro «opinione soggettiva», «concernevano» necessariamente i suddetti reclamanti, a prescindere dalla finalità o dall’effetto delle loro osservazioni.
34. In ogni caso, pur in mancanza di una siffatta presunzione nel caso di specie, ritengo che le osservazioni di cui trattasi «siano collegate» ai reclamanti in ragione del loro contenuto, della loro finalità e del loro effetto.
35. A tale riguardo, il SRB sostiene che gli argomenti relativi alla finalità e al contesto delle osservazioni in questione sono inoperanti in quanto non sono stati esaminati nella decisione controversa, inammissibili poiché contengono una nuova allegazione fattuale e, in ogni caso, erronei.
36. Tale argomentazione non mi convince. Infatti, sia l’esame effettuato dal GEPD nella decisione controversa sia la valutazione del Tribunale si inseriscono in un contesto normativo che è stato preso in considerazione e che menziona chiaramente la finalità e l’effetto delle osservazioni in questione, prodotte nell’ambito del procedimento relativo al diritto di essere ascoltato. Tali argomenti attinenti alla finalità e all’effetto delle osservazioni in parola sono quindi operanti e ricevibili.
37. Inoltre, per quanto riguarda il merito, dal contesto normativo applicabile risulta che la finalità del procedimento relativo al diritto di essere ascoltato, nell’ambito del quale sono state prodotte le osservazioni in questione, era di consentire agli azionisti e ai creditori interessati di contribuire al procedimento, in particolare al fine di far sì che il SRB disponesse di tutte le informazioni necessarie per adottare una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori lesi dalla risoluzione del Banco Popular, in applicazione del principio secondo cui nessun creditore può subire un trattamento più sfavorevole rispetto al caso di liquidazione nell’ambito di una procedura ordinaria d’insolvenza (17). In aggiunta, tali osservazioni, una volta prese in considerazione da parte del SRB, erano in grado di produrre effetti sugli interessi e sui diritti dei reclamanti in termini di compensazione finanziaria.
38. Ne deduco che le osservazioni in questione siano collegate agli interessati nel caso di specie, anche a causa della loro finalità e del loro effetto.
39. Aggiungerei che le osservazioni di cui trattasi, quali trasmesse alla Deloitte, sono state senz’altro «filtrate, classificate e aggregate», cosicché, come risulta dai fatti acclarati dal Tribunale (18), le osservazioni individuali non potevano essere distinte nell’ambito di uno stesso tema; tuttavia, si può supporre che, sebbene aggregate, tali osservazioni collettive riflettono, nel loro contenuto, punti di vista personali riguardanti la Valutazione 3. Infatti, esse costituiscono un insieme di opinioni che, in quanto tali, rappresentano informazioni concernenti le persone che le hanno espresse. Il loro filtraggio, la loro classificazione e la loro aggregazione non modificano tale constatazione, poiché in caso contrario sarebbe sufficiente aggregare diversi punti di vista per eludere la condizione di informazione «concernente» una persona fisica. Il fatto di non poter distinguere, all’interno di tale insieme di osservazioni, le varie opinioni individuali è, a mio parere, maggiormente riconducibile alla seconda condizione cumulativa, relativa all’identificabilità degli interessati, esaminata nell’ambito della seconda parte del presente motivo, rispetto a quella che implica che l’osservazione sia «connessa» a una persona fisica.
40. In tali circostanze, ritengo che la valutazione del Tribunale possa essere considerata viziata da un errore di diritto a tale proposito, in quanto esso ha ritenuto che il GEPD non avesse ottemperato all’esame richiesto dalla sentenza Nowak per concludere nel senso che le osservazioni in questione «concernevano» persone fisiche, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
41. Qualora la Corte decidesse di respingere questa prima parte e ritenesse che le osservazioni pseudonimizzate di cui trattasi non concernono i loro autori, l’esame della seconda parte del motivo d’impugnazione risulterebbe superfluo, in quanto, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, si tratta di una condizione necessaria ai fini dell’esistenza di dati personali, unitamente a quella relativa all’identificabilità degli interessati, esaminata di seguito.
2. Sulla seconda parte, relativa alla condizione dell’identificabilità degli interessati
42. Il GEPD e il Comitato europeo per la protezione dei dati sostengono, in sostanza, che il Tribunale è incorso in due errori, il primo riguardante la nozione di «pseudonimizzazione» e il secondo riguardante l’interpretazione della sentenza Breyer (19), cosa che è contestata dal SRB e dalla Commissione.
a) Sulla prima censura, vertente sull’errore riguardante gli effetti della pseudonimizzazione
43. La presente censura esprime l’esistenza di due approcci molto diversi sulla portata dell’ambito di applicazione delle norme relative alla protezione dei dati. I dati pseudonimizzati devono esservi inclusi automaticamente per il solo motivo che gli interessati rimangono identificabili, indipendentemente dall’accessibilità ai dati identificativi aggiuntivi, o bisogna ritenere che, a seguito della pseudonimizzazione, i dati rivestano un carattere personale solo per coloro che possono ragionevolmente identificare gli interessati?
1) Argomenti delle parti
44. Il GEPD e il Comitato europeo per la protezione dei dati sostengono, in sostanza, che i dati pseudonimizzati rimangono dati personali per il semplice fatto che gli interessati restano identificabili in quanto le informazioni che consentono di identificarli continuano ad esistere. L’approccio del Tribunale sarebbe errato in quanto consentirebbe di ritenere i dati pseudonimizzati quali dati anonimizzati rispetto al destinatario, il che presenterebbe un rischio ai fini della protezione degli interessati e comporterebbe confusione tra la pseudonimizzazione e l’anonimizzazione. Un simile approccio, contrario alla lettera e all’obiettivo del regolamento 2018/1725, consentirebbe al titolare del trattamento di sottrarre indebitamente i dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di siffatti dati.
45. Il SRB e la Commissione sostengono, dal canto loro, che i dati pseudonimizzati rimangono dati personali per il titolare del trattamento che ha proceduto alla loro pseudonimizzazione ma che, con riferimento ai destinatari, occorre esaminare l’identificabilità degli interessati. Inoltre, sebbene l’articolo 3, punto 1, del regolamento 2018/1725 non precisi chi debba essere in grado di identificare l’interessato, alla luce del considerando 16 e nel contesto dell’articolo 15, paragrafo 1, lettera d), di tale regolamento, qui in questione, ciò che rileva sarebbe il punto di vista del destinatario. A loro avviso, ove tale destinatario non riceva dati personali, gli interessati non hanno interesse ad essere informati del trasferimento dei dati in quanto i loro diritti non risultano coinvolti.
2) Valutazione
46. Anzitutto, vale la pena ricordare che la pseudonimizzazione è un trattamento applicato ai dati personali, conformemente al considerando 17 del regolamento 2018/1725, per «ridurre i rischi» di mettere in relazione un insieme di dati con l’identità di un interessato e «aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».
47. L’articolo 3, punto 6, del regolamento 2018/1725 definisce la pseudonimizzazione come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, [le quali sono] conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile» (20).
48. La pseudonimizzazione non è dunque un elemento rientrante nella definizione dei dati personali, stabilita all’articolo 3, punto 1, del regolamento 2018/1725 relativamente alla nozione di «identificabilità» dell’interessato. D’altronde, come indicato dalla Commissione nella sua memoria di intervento, tale regolamento definisce la nozione di «pseudonimizzazione», facendo così riferimento al processo di attuazione di una misura di salvaguardia o di una misura tecnica e organizzativa, ma non la nozione di «dati pseudonimizzati».
49. Tale interpretazione è confermata dalla lettura dell’articolo 3, punto 6, in combinato disposto con il considerando 16 di detto regolamento, la cui prima frase rammenta che «[è] auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile».
50. Il considerando 16 del regolamento 2018/1725 merita inoltre un’analisi più dettagliata (21). Infatti, esso contiene una seconda frase che enuncia che «[i] dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile». Seguono la terza e la quarta frase le quali precisano il contenuto di tale requisito di identificabilità.
51. Dal testo di tali disposizioni deduco che la pseudonimizzazione lascia aperta la possibilità che gli interessati non siano identificabili, in mancanza della quale la formulazione del suddetto considerando 16 non avrebbe ragion d’essere. Aggiungo che le ultime frasi di detto considerando riguardanti l’anonimizzazione confermano tale interpretazione: esse escludono i dati anonimizzati (o resi anonimi) dall’ambito di applicazione del regolamento 2018/1725 (22), ma escludono i dati pseudonimizzati solo nella misura in cui gli interessati non siano identificabili. Nel caso in cui tali persone non siano identificabili, esse sono quindi giuridicamente considerate sufficientemente protette dalla pseudonimizzazione, nonostante il fatto che i dati identificativi aggiuntivi non siano stati completamente cancellati.
52. In altri termini, non si tratta di sottrarre automaticamente i dati pseudonimizzati dall’ambito di applicazione di tale regolamento (23). Tuttavia, alla luce del considerando 16 di quest’ultimo, non è possibile escludere che siffatti dati possano, a determinate condizioni, sottrarsi alla nozione di «dati personali».
53. Contrariamente a quanto sostenuto dal GEPD, un siffatto approccio non sembra contrario all’obiettivo di garantire un livello elevato di protezione dei dati personali, in particolare alla luce dei requisiti di identificabilità posti dalle disposizioni applicabili, da un lato, e alla luce della loro interpretazione da parte della giurisprudenza, dall’altro.
54. In primo luogo, il considerando 16 del regolamento 2018/1725 fa riferimento all’identificabilità da parte del titolare del trattamento «o [di] un terzo»: tale concezione ampia, sebbene non illimitata (24), si inserisce all’interno di un approccio protettivo dei dati personali.
55. Tale considerando 16 prevede altresì che occorre tenere conto dei mezzi di cui ci si può ragionevolmente avvalere per identificare, direttamente o indirettamente, una persona fisica prendendo in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici, il che costituisce una definizione ampia e protettiva dei dati personali.
56. In secondo luogo, l’interpretazione giurisprudenziale di tale nozione di «identificabilità», incentrata sul rischio di reidentificazione degli interessati, consente anch’essa un’applicazione ampia del concetto di «dati personali». In tal senso, la Corte ha sistematicamente qualificato quali «dati personali» i dati che, sebbene separati dai dati identificativi nella disponibilità di terzi, potevano, nel contesto in questione, comportare il rischio che gli interessati fossero reidentificati (25).
57. Pertanto, soltanto qualora il rischio di identificazione sia inesistente o insignificante (26) un dato può giuridicamente sottrarsi alla qualificazione di «dato personale».
58. Gli argomenti del GEPD e del Comitato europeo per la protezione dei dati riguardanti i pericoli derivanti da un’interpretazione eccessivamente rigorosa dei dati personali non mi convincono. Infatti, la circostanza che le norme derivanti dal regolamento 2018/1725 non si applichino ai dati concernenti persone non identificabili non impedirebbe, se del caso, il sorgere della responsabilità giuridica in capo a soggetti che siano all’origine di una condotta sanzionabile, ad esempio in caso di divulgazione di dati con conseguente danno. Per contro, ritengo sproporzionato imporre obblighi derivanti dal regolamento 2018/1725 (27) a un soggetto che non potrebbe ragionevolmente identificare gli interessati, obblighi che tale soggetto non potrebbe, per definizione, osservare o che gli imporrebbero proprio di tentare di identificare gli interessati.
59. Alla luce di tali considerazioni, ove si analizzi la controversia con riguardo ai dati trasmessi alla Deloitte, ritengo che, contrariamente a quanto sostiene il GEPD, occorresse stabilire se il trattamento di pseudonimizzazione dei dati in questione fosse sufficientemente solido per concludere che i reclamanti, autori delle informazioni trasmesse alla Deloitte, non erano ragionevolmente identificabili. In altri termini, in tale contesto, era possibile ritenere che la Deloitte trattasse dati personali se disponeva di mezzi ragionevoli per identificare detti reclamanti.
60. La prima censura sollevata dal GEPD dovrebbe dunque, a mio avviso, essere respinta.
b) Sulla seconda censura, vertente sull’errore nel confronto effettuato con la sentenza Breyer
1) Argomenti delle parti
61. A parere del GEPD, sostenuto dal Comitato europeo per la protezione dei dati, i dati pseudonimizzati in questione sono dati personali per il SRB e, pertanto, l’obbligo di fornire informazioni agli interessati riguardo al destinatario gravava sul SRB. Esso sostiene, in sostanza, che il Tribunale ha erroneamente interpretato la sentenza Breyer che riguardava una diversa situazione di fatto.
62. A parere del SRB, sostenuto dalla Commissione, per contro, il confronto con la sentenza Breyer sarebbe pertinente e condurrebbe ad affermare che l’obbligo di informazione si applica soltanto qualora i dati trasmessi siano dati personali dal punto di vista del destinatario, in questo caso la Deloitte, il che, come correttamente stabilito dal Tribunale, non sarebbe stato dimostrato nel caso di specie.
2) Valutazione
63. Ritengo che l’obbligo di informazione, previsto dall’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, e il parallelismo con la sentenza Breyer conducano, nella fattispecie, a una soluzione diversa rispetto a quella del Tribunale, che illustrerò nell’ambito dell’analisi della presente censura.
64. L’articolo 4, paragrafo 1, lettera a), del regolamento 2018/1725, impone il requisito del trattamento lecito, corretto e trasparente dei dati personali nei confronti dell’interessato.
65. In particolare, l’articolo 15, paragrafo 1, lettera d), di tale regolamento prevede che, in caso di raccolta presso l’interessato dei dati che lo riguardano, il titolare del trattamento informa gli interessati, «nel momento in cui i dati personali sono ottenuti», degli eventuali destinatari di detti dati. Sembra quindi che tale informazione debba essere fornita dal responsabile del trattamento immediatamente, ossia al momento della raccolta dei dati (28)
66. L’importanza del rispetto di un siffatto obbligo di informazione è altresì confermata dal considerando 35 del regolamento 2018/1725, il quale enuncia che il principio del trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati (29).
67. Un siffatto obbligo di informazione è tanto più importante in quanto la validità del consenso prestato dall’interessato dipende, tra l’altro, dalla questione se tale soggetto abbia previamente ottenuto le informazioni riguardanti tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza degli articoli 14 e 15 del regolamento 2018/1725, e che gli consentono di dare un consenso con piena cognizione di causa (30).
68. Aggiungo che la sola eccezione a tale obbligo di informazione, prevista dall’articolo 15, paragrafo 4, del regolamento 2018/1725, riguarda l’ipotesi in cui l’interessato dispone già delle informazioni in questione.
69. Ne deduco che, nel caso di specie, tale obbligo di informazione si inserisce nell’ambito del rapporto giuridico esistente tra gli interessati, qui i reclamanti, da un lato, e il SRB in quanto titolare del trattamento, dall’altro, e non nell’ambito del rapporto tra il SRB e il destinatario, ossia la Deloitte. L’obbligo di informazione ha pertanto ad oggetto i dati quali detenuti dal SRB prima della loro trasmissione alla Deloitte. Orbene, è pacifico che si tratti di dati personali, in quanto il SRB detiene le osservazioni e la base per identificare i soggetti che le hanno emesse.
70. Un siffatto approccio del «punto di vista pertinente» (31) mi conduce così a una soluzione diversa da quella del Tribunale, pur effettuando un confronto con la sentenza Breyer.
71. Ricordo che, nella controversia all’origine della questione pregiudiziale sollevata in tale sentenza, il sig. Breyer intendeva impedire al titolare del trattamento (la Repubblica federale di Germania) di conservare il suo indirizzo IP dinamico. Le informazioni aggiuntive che consentivano la sua identificazione attraverso l’indirizzo IP collegato al suo computer erano nella disponibilità, non già del titolare del trattamento, ma del fornitore di accesso a Internet. Si trattava pertanto di stabilire se l’indirizzo IP dinamico detenuto dal titolare del trattamento potesse essere qualificato come «dato personale» e, quindi, nell’ambito del rapporto giuridico tra il sig. Breyer e detto titolare del trattamento, far scattare gli obblighi di conservazione a carico di quest’ultimo, sebbene gli elementi di identificazione del sig. Breyer fossero nella disponibilità di un soggetto diverso dal titolare del trattamento. In definitiva, si è stabilito che il titolare del trattamento, benché non detenesse tali informazioni aggiuntive di identificazione, poteva ragionevolmente avervi accesso e, di conseguenza, l’indirizzo IP dinamico è stato qualificato come «dato personale».
72. Nella fattispecie, come già osservato (32), l’obbligo di informazione si inserisce nell’ambito del rapporto tra gli interessati (i reclamanti) e il titolare del trattamento (il SRB): è nel momento in cui vengono raccolti i dati in questione da parte del SRB e, per quanto riguarda in particolare l’informazione relativa al destinatario, al più tardi allorché esso è noto, che sorge l’obbligo di informazione. Orbene, quando tale momento si concretizza, i dati di cui trattasi sono dati personali in possesso del SRB, che detiene i dati identificativi aggiuntivi. In considerazione dell’obbligo di informazione in questione e del momento in cui esso si concretizza, tali dati costituiscono quindi dati personali, indipendentemente dalla loro identificabilità da parte della Deloitte, che non è coinvolta né nel rapporto giuridico tra i reclamanti e il SRB, il solo ad essere rilevante, né in tale obbligo di informazione incombente al SRB.
73. È sotto questo profilo che ritengo che, nel caso in esame, il parallelismo con la sentenza Breyer debba essere relativizzato.
74. Ne consegue che l’obbligo di fornire informazioni incombeva al SRB in qualità di titolare del trattamento dei dati e in virtù del suo rapporto con i reclamanti, presso i quali aveva raccolto i dati in questione, e ciò a prescindere dalla natura personale o non personale dei dati trasferiti alla Deloitte.
75. L’argomento del SRB, reiterato nel corso dell’udienza, secondo cui il punto di vista del destinatario sarebbe pertinente in quanto è importante verificare se si tratti di un «destinatario di dati personali» o meno, deve, in tale ottica, essere respinto.
76. A tal proposito, è vero che il testo dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 che richiama i «destinatari (...) dei dati personali» può ingenerare confusione. Tuttavia, l’effetto utile di tale disposizione esige che l’informazione sia trasmessa agli interessati il più presto possibile e prima che i dati siano trasferiti (33). Nel caso di specie, pur se il CRU non aveva intenzione, al momento della raccolta iniziale delle osservazioni, di chiedere il parere della Deloitte al fine di stabilire se tali osservazioni modificassero la Valutazione 3, dalla decisione controversa dinanzi al Tribunale emerge che la Deloitte ha assistito il SRB nell’ambito della procedura relativa al diritto di essere ascoltato (34). Inoltre, è possibile ritenere che l’intenzione del SRB di comunicare i dati pseudonimizzati alla Deloitte sia sorta al più tardi allorché è stato deciso di trattare le osservazioni in questione al fine specifico di pseudonimizzarle (35), altrimenti la pseudonimizzazione non avrebbe alcuna giustificazione.
77. Sono pertanto del parere che il controllo dell’osservanza dell’obbligo di informazione all’atto del trasferimento dei dati dal SRB alla Deloitte, adottando il suo punto di vista di destinatario al fine di classificare i dati in questione come personali o meno, comporti lo slittamento temporale del suddetto controllo. Tale controllo sarebbe quindi erroneamente differito in quanto sarebbe effettuato su dati già trasferiti al destinatario, mentre la finalità dell’obbligo di informazione riguarda il rapporto tra il SRB e i reclamanti e mira a consentire a questi ultimi di prestare il proprio consenso informato prima del trasferimento.
78. Inoltre, per quanto riguarda il consenso dei reclamanti, la loro partecipazione alla procedura relativa al diritto di essere ascoltato può senz’altro essere interpretata quale consenso implicito alla condivisione dei dati personali con il titolare del trattamento affinché le loro osservazioni siano prese in considerazione. Tuttavia, a mio avviso, ciò non è sufficiente a costituire un consenso informato alla pseudonimizzazione dei dati e al loro trasferimento alla Deloitte in mancanza di una previa informazione al tal riguardo da parte del SRB (36).
79. Di conseguenza, a mio avviso, l’obbligo di informazione incombente al SRB si applicava nella fattispecie a monte del trasferimento dei dati di cui trattasi e a prescindere dal fatto che essi fossero o meno dati personali per la Deloitte.
80. Pertanto, il fatto che la pseudonimizzazione sia o meno sufficientemente solida ed efficace, affinché i dati nella disponibilità della Deloitte possano essere considerati o meno dati personali, non sembra in ultima istanza operante in relazione all’obbligo di informazione imposto al SRB.
81. Ne consegue che l’obbligo di informazione incombente al SRB, in qualità di titolare del trattamento dei dati, nel caso di specie doveva essere osservato e, per tale motivo, la sentenza impugnata deve essere annullata per errore di diritto.
82. Poiché il punto di vista del destinatario dei dati in questione non è pertinente sotto il profilo dell’obbligo di informazione di cui all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, gli argomenti delle parti relativi alla possibilità per la Deloitte di identificare gli interessati, con mezzi leciti e concretamente realizzabili, si rivelano inoperanti e non è quindi necessario esaminarli.
83. Qualora la Corte non fosse di tale avviso, rilevo in subordine che il GEPD contesta, a tal riguardo, la constatazione del Tribunale secondo cui la Deloitte non aveva accesso ai dati identificativi. Esso si basa in particolare sul rapporto contrattuale di subappalto che esisterebbe tra il SRB e la Deloitte. Il SRB e la Commissione sostengono che, in tal modo, il GEPD solleva nuove allegazioni fattuali che sono irricevibili in fase di impugnazione. Condivido tale parere. Infatti, l’esistenza di un rapporto contrattuale tra il SRB e la Deloitte, che proverebbe la possibilità per la Deloitte di chiedere al SRB di identificare i reclamanti, rappresenta un argomento nuovo, in ordine al quale il Tribunale non si è pronunciato. Pertanto, tale argomento dovrà, se del caso, essere respinto in quanto irricevibile ai sensi dell’articolo 170, paragrafo 1, seconda frase, del regolamento di procedura della Corte, ai sensi del quale l’impugnazione non può modificare l’oggetto del giudizio svoltosi dinanzi al Tribunale(37).
B. Sul secondo motivo d’impugnazione, esaminato in via subordinata
84. Con il suo secondo motivo, vertente sulla violazione del principio di responsabilità di cui all’articolo 4, paragrafo 2, e all’articolo 26, paragrafo 1, del regolamento 2018/1725, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce che il Tribunale ha erroneamente ritenuto che esso fosse tenuto a dimostrare che le informazioni trasmesse alla Deloitte costituivano dati personali, in violazione del principio di responsabilità del SRB.
85. Alla luce di quanto precede e in particolare dei paragrafi 81 e 82 di cui sopra, ritengo che non occorra esaminare il secondo motivo.
86. È quindi solo a titolo subordinato che procederò ad un breve excursus.
87. In ordine alla ricevibilità, contestata dal SRB, del presente motivo non sollevato dinanzi al Tribunale, rammento che un ricorrente è legittimato a proporre un’impugnazione in cui fa valere motivi derivanti dalla stessa sentenza impugnata e diretti a contestarne, in diritto, la fondatezza (38). Mi sembra che si tratti del caso del presente motivo, che è quindi ricevibile.
88. Per quanto riguarda il merito, occorre ricordare che il Tribunale ha dichiarato che, poiché il GEPD non ha verificato se la Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle ulteriori informazioni aggiuntive necessarie per la reidentificazione dei reclamanti, il GEPD non poteva concludere nel senso che le informazioni trasmesse alla Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
89. Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, sostiene in sostanza che il Tribunale avrebbe dovuto verificare se il SRB, titolare del trattamento, avesse dimostrato di aver anonimizzato i dati controversi nei confronti della Deloitte.
90. Il SRB contesta tale argomento, deducendo che il principio di responsabilità si applica solo in presenza di dati personali e che, nel caso di specie, i dati pervenuti alla Deloitte erano stati anonimizzati.
91. Dal canto proprio, la Commissione sostiene, in primo luogo, che il GEPD sopporta il ragionevole onere di dimostrare, sulla base degli elementi di prova disponibili, l’esistenza di dati personali. In secondo luogo, spetterebbe al titolare del trattamento interessato confutare tale conclusione presentando ulteriori elementi.
92. Ricordo che, ai sensi dell’articolo 4, paragrafo 1, lettera a), del regolamento 2018/1725, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. L’articolo 4, paragrafo 2, di tale regolamento prevede che «[i]l titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo». Risulta così dal principio di responsabilizzazione di cui all’articolo 4, paragrafo 2, precisato all’articolo 26, paragrafo 1, del regolamento in parola, che il titolare del trattamento deve essere in grado di comprovare di aver rispettato i principi applicabili al trattamento dei dati personali di cui al paragrafo 1 dell’articolo 4 (39).
93. Qualora il titolare del trattamento produca prove sufficienti in tal senso, si può ritenere che abbia adempiuto l’onere della prova ad esso incombente (40).
94. Nel caso di specie, mi pare che il SRB abbia addotto diversi elementi di fatto (segnatamente i processi di filtraggio, classificazione e aggregazione delle osservazioni, descritti nella decisione controversa e nella sentenza impugnata) al fine di dimostrare, in conformità al principio di responsabilità ad esso incombente, che l’identificazione degli interessati da parte della Deloitte era impossibile.
95. Dinanzi al Tribunale, il GEPD ha assunto a tal riguardo una posizione di principio, ponendosi dal punto di vista del SRB e non della Deloitte e, pertanto, qualificando le osservazioni trasmesse alla Deloitte come «dati personali».
96. Ove si ammetta, ai fini dell’esame, svolto in subordine, alternativo del presente motivo, che il punto di vista della Deloitte era pertinente nella fattispecie (41), si potrebbe ritenere che, come ha dichiarato il Tribunale, incombesse al GEPD dimostrare (42) per quale ragione, giuridica o tecnica, il processo di pseudonimizzazione attuato dal SRB nel caso di specie non era sufficiente e doveva condurre a ritenere che la Deloitte trattasse dati personali.
97. Riterrei pertanto che, se del caso, occorrerebbe confermare la sentenza impugnata per quanto riguarda tale secondo motivo d’impugnazione.
VII. Sul ricorso dinanzi al Tribunale
98. In virtù dell’articolo 61, primo comma, dello Statuto della Corte di giustizia dell’Unione europea, quando l’impugnazione è accolta, la Corte di giustizia annulla la decisione del Tribunale. In tal caso, essa può statuire definitivamente sulla controversia qualora lo stato degli atti lo consenta, oppure rinviare la causa al Tribunale affinché sia decisa da quest’ultimo.
99. Il primo motivo di ricorso proposto dal SRB avverso la decisione controversa dinanzi al Tribunale riguarda la violazione dell’articolo 3, punto 1, del regolamento 2018/1725. Dai paragrafi da 63 a 82 delle presenti conclusioni si evince che, poiché il SRB non ha rispettato l’obbligo di informazione ad esso incombente in forza dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, la decisione controversa deve pertanto, a mio avviso, essere confermata.
100. Per contro, ritengo che lo stato degli atti non consenta di statuire sul secondo motivo di ricorso, vertente sulla violazione da parte del GEPD del diritto ad una buona amministrazione nell’ambito del procedimento che ha portato all’adozione della decisione controversa.
101. Infatti, il SRB sostiene in particolare che, nell’ambito della procedura amministrativa che ha preceduto l’adozione della decisione controversa, il GEPD ha violato il suo diritto di accesso al fascicolo, il suo diritto di essere ascoltato, nonché il principio della parità delle armi, negandogli l’accesso al fascicolo, da un lato, e non comunicandogli le osservazioni dei reclamanti o il loro contenuto, dall’altro.
102. Orbene, il Tribunale ha ritenuto che, essendo stato accolto il primo motivo di ricorso, non occorresse prendere in esame il secondo motivo sollevato dinanzi ad esso. Pertanto, lo stato degli atti non consente di statuire su tale motivo, il quale richiede, tra l’altro, valutazioni di fatto. Ritengo quindi che occorra rinviare la causa al Tribunale affinché si pronunci a tal proposito, riservando le spese.
VIII. Conclusione
103. Alla luce di quanto precede suggerisco alla Corte di:
– annullare la sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T-557/20, EU:T:2023:219);
– rinviare la causa al Tribunale ai fini della decisione sul secondo motivo di ricorso sollevato dinanzi ad esso;
– riservare le spese.
1 Lingua originale: il francese.
2 Regolamento del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39).
3 GU 2014, L 225, pag. 1.
4 Decisione (UE) 2017/1246 della Commissione, del 7 giugno 2017, che approva il programma di risoluzione per il Banco Popular Español SA (GU 2017, L 178, pag. 15).
5 L’articolo 20, paragrafo 1, del regolamento n. 806/2014 prevede che tale persona sia «indipendente da qualsiasi autorità pubblica, compreso il Comitato e l’autorità nazionale di risoluzione, e dall’entità interessata». L’articolo 20, paragrafo 16, di tale regolamento rinvia all’articolo 20, paragrafo 1, per quanto riguarda tale nozione di «persona indipendente».
6 Si tratta di un identificativo unico universale a 33 cifre, generato in modo casuale.
7 Dalla decisione controversa risulta che la Deloitte ha assistito il SRB quale persona indipendente nel suo processo decisionale. Da tale decisione risulta altresì che, il 18 marzo 2020, il SRB ha deciso che gli azionisti e i creditori interessati non avevano diritto ad alcuna compensazione, indicando che tale decisione si basava sulla valutazione, effettuata dalla Deloitte, successiva alla risoluzione e sull’analisi delle osservazioni ricevute nell’ambito della procedura del diritto di essere ascoltato.
8 Il secondo capo delle conclusioni era diretto ad ottenere la dichiarazione di illegittimità della decisione iniziale. Con la sentenza impugnata, il Tribunale ha respinto tale secondo capo delle conclusioni per difetto di competenza, con la motivazione che il SRB mirava a ottenere, così facendo, una sentenza dichiarativa e non già l’annullamento di un atto.
9 V. punti 64, 73 e 74 della sentenza impugnata.
10 Sentenza del 20 dicembre 2017 (C-434/16, in prosieguo: la «sentenza Nowak», EU:C:2017:994»). Nelle presenti conclusioni si farà riferimento, per analogia, alle sentenze che applicano la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31) e il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, in prosieguo: il «RGPD»). Infatti, come risulta dai considerando 4 e 5 del regolamento 2018/1725, nonché dall’articolo 2, paragrafo 3, e dall’articolo 98 del RGPD, il legislatore dell’Unione ha inteso istituire un regime di protezione dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione equivalente a quello del RGPD al fine di garantire una tutela uniforme e coerente delle persone fisiche riguardo al trattamento dei loro dati personali all’interno dell’Unione (v. sentenza del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 43).
11 V. punti 100, 103 e 105 della sentenza impugnata.
12 C-413/23 P, EU:C:2023:1036.
13 V., in particolare, l’elenco non esaustivo, al paragrafo 36 delle conclusioni dell’avvocato generale Pitruzzella nella causa Österreichische Datenschutzbehörde (C-487/21, EU:C:2022:1000).
14 V. sentenza Nowak, punti 34 e 35. V., inoltre, sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde (C-487/21, EU:C:2023:369, punti 23 e 24); del 22 giugno 2023, Pankki S (C-579/21, EU:C:2023:501, punti 42 e 43); del 7 marzo 2024, OC/Commissione (C-479/22 P, EU:C:2024:215, punto 45), e del 7 marzo 2024, IAB Europe (C-604/22, EU:C:2024:214, punti 36 e 37).
16 Sentenza Nowak, punto 44 in fine.
17 V., in tal senso, punti da 5 a 7 della sentenza impugnata e paragrafo 9 delle presenti conclusioni.
18 V. punto 23 della sentenza impugnata.
19 Sentenza del 19 ottobre 2016 (C-582/14, in prosieguo: la «sentenza Breyer», EU:C:2016:779).
20 V., altresì, a tal riguardo, il parere sul concetto di dati personali (gruppo di lavoro «Articolo 29», parere 4/2007, 20 giugno 2007, WP 136) e quello che affronta espressamente le tecniche di anonimizzazione e di pseudonimizzazione (gruppo di lavoro «Articolo 29», parere 05/2014, 10 aprile 2014, WP 216). Tale processo di pseudonimizzazione è quindi particolarmente importante soprattutto nell’ambito della ricerca e delle statistiche.
21 Sebbene i considerando non abbiano un valore giuridico vincolante e non ammettano un’interpretazione contraria agli obiettivi perseguiti dal regolamento 2018/1725, la Corte vi ricorre frequentemente per interpretare le disposizioni di un atto giuridico dell’Unione (v., segnatamente, conclusioni dell’avvocato generale Szpunar nella causa Planet49, C-673/17, EU:C:2019:246, paragrafo 71, e dell’avvocata generale Kokott nella causa Commissione/CK Telecoms UK Investments, C-376/20 P, EU:C:2022:817).
22 Del resto, sotto un profilo strettamente tecnico, l’anonimizzazione non esclude la possibilità di reidentificazione, ragion per cui i titolari del trattamento che attuano tecniche di anonimizzazione devono analizzare regolarmente il rischio inerente alla reidentificazione valutando la gravità e la probabilità di tale rischio caso per caso (v., a tal proposito, O. Tambou, Manuel de droit européen de la protection des données à caractère personnel, Bruylant, 2020, punto 68, e i riferimenti citati al riguardo, in particolare alla nota 162).
23 Se l’intenzione iniziale dell’introduzione della nozione di «pseudonimizzazione» nel RGPD era quella di fornire flessibilità al fine di alleggerire gli obblighi in materia di protezione dei dati (v., a tal proposito, Kuner, C., Bygave, L.A. e Docksey, C., «Background and Evolution of the EU General Data Protection Regulation (GDPR)», in Kuner, C., Bygrave, L.A., Docksey, C., e Drechsler, L. (dir.), The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, Oxford, 2020, pagg. da 1 a 47), tale intenzione non è stata seguita dal Consiglio nel considerando 26 del RGPD, la cui formulazione è stata ripresa al considerando 16 del regolamento 2018/1725.
24 Come illustrato dall’avvocato generale Campos Sánchez-Bordona ai paragrafi da 64 a 67 delle sue conclusioni nella causa Breyer (C-582/14, EU:C:2016:339), «[n]on si potrebbe mai escludere con assoluta certezza che non esista un terzo in possesso di informazioni aggiuntive associabili a tale informazione e idonee, pertanto, a rivelare l’identità di una persona. (...) Ritengo, tuttavia, che tale preoccupazione – peraltro legittima – non possa condurre ad ignorare la volontà del legislatore e il fatto che l’interpretazione sistematica del considerando [16 del regolamento 2018/1725] è circoscritta ai “mezzi che possono essere ragionevolmente utilizzati” da taluni terzi».
25 A titolo esemplificativo, nella sentenza Breyer, un indirizzo IP dinamico nella disponibilità di un fornitore di servizi di media online, sebbene separato dai dati identificativi detenuti dal fornitore di accesso a Internet, è qualificato quale «dato personale», dal momento che il fornitore di servizi di media online disponeva dei mezzi che potevano essere ragionevolmente utilizzati per ottenere l’identificazione dell’interessato da tale indirizzo IP. Parimenti, nella sentenza del 9 novembre 2023, Gesamtverband Autoteile-Handel (Accesso alle informazioni sui veicoli) (C-319/22, EU:C:2023:837), si trattava del VIN di un veicolo, definito come il codice alfanumerico assegnato ad un veicolo dal suo costruttore in modo da garantire l’identificazione corretta di detto veicolo. Benché non abbia in sé carattere personale, il VIN acquisisce tale carattere per chiunque abbia ragionevolmente i mezzi che permettono di associarlo ad una determinata persona (punto 46) e pertanto di collegarlo a una persona fisica identificata o identificabile (punto 49). Analogamente, un comunicato stampa dell’Ufficio europeo per la lotta antifrode (OLAF), contenente identificativi che consentono di identificare la ricorrente, sulla base di una semplice lettura obiettiva di tale comunicato o con l’utilizzo di «mezzi di cui ci si può ragionevolmente avvalere» da parte di uno dei suoi lettori, costituisce un dato personale (sentenza del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215). Allo stesso modo, nella sentenza del 7 marzo 2024, IAB Europe (C-604/22, EU:C:2024:214), l’associazione IAB, rappresentante di imprese del settore pubblicitario e del marketing digitale, aveva creato un sistema per la registrazione delle preferenze degli utenti di siti Internet, codificate mediante una «TC String» (combinazione di lettere e di caratteri). Tale TC String è stata considerata un dato personale in quanto, associata a un identificativo, consentiva l’identificazione dell’utente di Internet interessato, anche da parte della IAB, che non deteneva gli elementi identificativi ma poteva avervi indirettamente accesso con mezzi ragionevoli (punti da 48 a 50 della sentenza).
26 Dal punto 46 della sentenza Breyer risulta che ciò avverrebbe se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe un dispendio di tempo, di costo e di manodopera.
27 A titolo esemplificativo, è possibile richiamare gli obblighi derivanti dal diritto di rettifica dei dati personali previsto dall’articolo 18 del regolamento 2018/1725.
28 V., per analogia, sentenza del 29 luglio 2019, Fashion ID (C-40/17, EU:C:2019:629, punto 104 e giurisprudenza ivi citata). V., altresì, conclusioni dell’avvocato generale Szpunar nella causa Association Mousse (C-394/23, EU:C:2024:610, paragrafo 58).
29 V., per analogia, sentenza del 1º ottobre 2015, Bara e a. (C-201/14, EU:C:2015:638, punto 34); del 1º ottobre 2019, Planet49 (C-673/17, EU:C:2019:801, punto 77), e dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa) (C-757/22, EU:C:2024:598, punto 57). Il considerando 36 del regolamento 2018/1725 precisa inoltre che, «[s]e i dati personali possono essere legittimamente comunicati a un altro destinatario, l’interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali». In altri termini, qualora intervenga un elemento nuovo, ciò deve essere portato a conoscenza degli interessati prima di tale «ulteriore trattamento» (v., in tal senso e per analogia, sentenza del 27 aprile 2022, Roos e a./Parlamento, T-710/21, T-722/21 e T-723/21, EU:T:2022:262, punto 171).
30 V., per analogia, sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa) (C-757/22, EU:C:2024:598, punto 60), e paragrafo 47 delle conclusioni dell’avvocato generale Richard de la Tour nella medesima causa (EU:C:2024:88). V., altresì, articolo 14, paragrafo 1, del regolamento 2018/1725, ai sensi del quale «[i]l titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 15 e 16 (...) relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro».
31 Nei limiti in cui si ritenesse che tale approccio non sia stato così preso in considerazione nelle memorie scritte, rilevo che, oltre ad essere stato richiamato in sede di udienza dinanzi alla Corte, esso si inserisce nell’ambito della presente controversia nella misura in cui essa è diretta a stabilire il punto di vista pertinente rispetto all’obbligo di informazione in questione nella fattispecie. In tale contesto, pur dovendo limitarsi a statuire sulla domanda delle parti, cui spetta delimitare l’ambito della lite, il giudice non può essere vincolato ai soli argomenti invocati dalle parti a sostegno delle loro pretese, salvo vedersi costretto, eventualmente, a basare la propria decisione su considerazioni giuridiche erronee (v. sentenza del 21 settembre 2010, Suède e a./API e Commissione, C-514/07 P, C-528/07 P e C-532/07 P, EU:C:2010:541, punto 65 e giurisprudenza ivi citata).
32 V. paragrafo 69 delle presenti conclusioni.
33 Sulla necessità di un’informazione preventiva al fine di consentire il consenso informato, v. sentenza dell’11 luglio 2024 Meta Platforms Ireland (Azione rappresentativa) (C-757/22, EU:C:2024:598, punto 60).
34 V. nota 7 al paragrafo 12 delle presenti conclusioni.
35 V. punti 13 e segg. della sentenza impugnata. V., altresì, le risposte del SRB ai quesiti posti in udienza.
36 Sul carattere conciso, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro di detta informazione, v. articolo 14, paragrafo 1, del regolamento 2018/1725. V., altresì, gruppo di lavoro «Articolo 29», Linee guida sulla trasparenza ai sensi del regolamento 2016/679, 11 aprile 2018, WP 260, rev. 01, punto 30: «Se la modifica apportata alle informazioni è indicativa di un cambiamento fondamentale della natura del trattamento (ad es. ampliamento delle categorie di destinatari o introduzione di trasferimenti a un paese terzo) o di un cambiamento che, senza essere necessariamente fondamentale in termini di trattamento, può avere rilevanza e impatto sull’interessato, le informazioni in tal senso dovrebbero essere fornite all’interessato con largo anticipo sull’effettiva efficacia della modifica e il metodo utilizzato per segnalare la modifica all’interessato dovrebbe essere esplicito ed efficace. L’obiettivo è che l’interessato non si “perda” la modifica e che disponga di un termine ragionevole per a) valutare la natura e l’impatto della modifica e b) esercitare i diritti di cui gode in virtù del regolamento in relazione alla modifica stessa (ad es., revoca del consenso od opposizione al trattamento)».
37 V., inter alia, sentenza del 29 febbraio 2024, Euranimi/Commissione(C-95/23 P, non pubblicata, EU:C:2024:177, punto 53).
38 V. sentenza del 25 gennaio 2022, Commissione/European Food e a. (C-638/19 P, EU:C:2022:50, punto 77 e giurisprudenza ivi citata).
39 V., in particolare, in tal senso, sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari) (C-60/22, EU:C:2023:373, punto 53 e giurisprudenza ivi citata). V., altresì, sull’onere della prova del consenso al trattamento dei dati gravante sul titolare di detto trattamento, sentenza dell’11 novembre 2020, Orange Romania (C-61/19, EU:C:2020:901, punto 52)
40 V., per analogia, nell’ambito di un’azione di risarcimento danni basata sul RGPD, sentenza del 25 gennaio 2024, MediaMarktSaturn (C-687/21, EU:C:2024:72, punti da 43 a 45): al titolare del trattamento in questione incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate e il giudice adito deve prendere in considerazione tutti gli elementi di prova che il titolare del trattamento ha fornito per dimostrare l’adeguatezza delle misure tecniche e organizzative adottate per adempiere gli obblighi che gli incombono. Ma il fatto che taluni dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali non è sufficiente, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate».
41 V. paragrafi 59 e 60 delle presenti conclusioni.
42 V., a tal fine, il confronto effettuato dalla Commissione con la normativa sugli aiuti di Stato nella sentenza del 12 ottobre 2023, nella causa C-445/22 P, Larko/Commissione (EU:C:2023: 773, punto 29); così come la classificazione di una determinata misura quale aiuto di Stato rappresenta la condizione preliminare affinché essa rientri nelle competenze della Commissione al fine di garantire l’attuazione degli articoli 107 e 108 del TFUE, in questo caso la classificazione quale «dato personale» è la condizione preliminare per l’applicazione del regolamento 2018/1725 e affinché il GEPD sia competente (v. articolo 52, paragrafo 3, di tale regolamento).
Edizione provvisoria
SENTENZA DELLA CORTE (Prima Sezione)
4 settembre 2025 (*)
« Impugnazione – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Procedura di indennizzo degli azionisti e dei creditori di un istituto bancario in seguito alla risoluzione di quest’ultimo – Decisione del Garante europeo della protezione dei dati che constata la violazione da parte del Comitato di risoluzione unico dei suoi obblighi in materia di trattamento dei dati personali – Regolamento (UE) 2018/1725 – Articolo 15, paragrafo 1, lettera d) – Obbligo di informare l’interessato – Trasmissione a terzi di dati pseudonimizzati – Articolo 3, punto 1 – Nozione di “dati personali” – Articolo 3, punto 6 – Nozione di “pseudonimizzazione” »
Nella causa C‑413/23 P,
avente ad oggetto l’impugnazione, ai sensi dell’articolo 56 dello Statuto della Corte di giustizia dell’Unione europea, proposta il 5 luglio 2023,
Garante europeo della protezione dei dati (GEPD), rappresentato inizialmente da P. Candellier, G. Devin, X. Lareo, D. Nardi e T. Zerdick, successivamente da P. Candellier, X. Lareo, D. Nardi, N. Stolić e T. Zerdick, in qualità di agenti,
ricorrente,
sostenuto da:
Comitato europeo per la protezione dei dati, rappresentato da C. Foglia, M. Gufflet, G. Le Grand e I. Vereecken, in qualità di agenti, assistiti da E. de Lophem, avocat, G. Ryelandt, advocaat, e P. Vernet, avocat,
interveniente in sede d’impugnazione,
procedimento in cui l’altra parte è:
Comitato di risoluzione unico (SRB o CRU), rappresentato da H. Ehlers, M. Fernández Rupérez e A. Lapresta Bienz, in qualità di agenti, assistite da M. Braun, H.-G. Kamann, Rechtsanwälte, e F. Louis, avocat,
ricorrente in primo grado,
sostenuto da:
Commissione europea, rappresentata da A. Bouchagiar e H. Kranenborg, in qualità di agenti,
interveniente in sede d’impugnazione,
LA CORTE (Prima Sezione),
composta da F. Biltgen, presidente di sezione, T. von Danwitz (relatore), vicepresidente della Corte, facente funzione di presidente della Prima Sezione, A. Kumin, I. Ziemele e S. Gervasoni, giudici,
avvocato generale: D. Spielmann
cancelliere: M. Longar, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 7 novembre 2024,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 6 febbraio 2025,
ha pronunciato la seguente
Sentenza
1 Con la sua impugnazione, il Garante europeo della protezione dei dati (GEPD) chiede l’annullamento della sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T‑557/20; in prosieguo: la «sentenza impugnata», EU:T:2023:219), con la quale quest’ultimo ha annullato la decisione rivista del GEPD, del 24 novembre 2020, adottata a seguito della richiesta di riesame presentata dal Comitato di risoluzione unico (SRB) della decisione del GEPD, del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019‑947, 2019-998, 2019-999, 2019-1000 e 2019-1122) (in prosieguo: la «decisione controversa»).
I. Contesto normativo
2 I considerando 5, 16, 17 e 35 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39), sono formulati come segue:
«(5) È nell’interesse di un approccio coerente alla protezione dei dati in tutta l’Unione [europea] e della libera circolazione dei dati personali all’interno dell’Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni, gli organi e gli organismi dell’Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento seguono gli stessi principi delle disposizioni del regolamento (UE) 2016/679 [del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il “RGPD”)], conformemente alla giurisprudenza della [Corte] le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.
(...)
(16) È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.
(17) L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della “pseudonimizzazione” nel presente regolamento non è intesa a precludere altre misure di protezione dei dati.
(...)
(35) I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni potrebbero essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico».
3 L’articolo 3 del regolamento 2018/1725, intitolato «Definizioni», ai punti 1, 6, 8 e 13 prevede quanto segue:
«Ai fini del presente regolamento si applicano le seguenti definizioni:
1) “dati personali”: dati qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
(...)
6) “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
(...)
8) “titolare del trattamento”: l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell’Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione;
(...)
13) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento».
4 L’articolo 4 di detto regolamento, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 2 così dispone:
«Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
5 L’articolo 14 di tale regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», al paragrafo 1 prevede quanto segue:
«Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 15 e 16 e le comunicazioni di cui agli articoli da 17 a 24 e all’articolo 35 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato».
6 L’articolo 15 del medesimo regolamento, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», così dispone:
«1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(...)
d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
(...)
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;
(...)
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
(...)».
7 L’articolo 24 del regolamento 2018/1725 stabilisce le condizioni alle quali un processo decisionale può essere basato sul trattamento automatizzato, compresa la profilazione.
8 L’articolo 26 di tale regolamento, intitolato «Responsabilità del titolare del trattamento», al paragrafo 1 prevede quanto segue:
«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».
II. Fatti
9 I fatti all’origine della controversia sono esposti ai punti da 2 a 32 della sentenza impugnata e possono essere riassunti come segue.
10 Il 7 giugno 2017, la sessione esecutiva del SRB ha adottato la decisione SRB/EES/2017/08, relativa a un programma di risoluzione per il Banco Popular Español, SA, sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (GU 2014, L 225, pag. 1) (in prosieguo: il «regolamento SRM»).
11 In tale decisione, il SRB, ritenendo soddisfatte le condizioni di cui all’articolo 18, paragrafo 1, del regolamento SRM, ha deciso di sottoporre il Banco Popular Español SA (in prosieguo: il «Banco Popular») a una procedura di risoluzione. Il SRB ha quindi deciso di svalutare e convertire gli strumenti di capitale del Banco Popular ai sensi dell’articolo 21 di tale regolamento e di applicare lo strumento della vendita dell’attività d’impresa ai sensi dell’articolo 24 di detto regolamento, trasferendo le azioni a un acquirente.
12 In pari data, la Commissione europea ha adottato la decisione (UE) 2017/1246, che approva il programma di risoluzione per il Banco Popular Español SA (GU 2017, L 178, pag. 15).
13 A seguito della risoluzione del Banco Popular, la società di revisione contabile e di consulenza Deloitte è stata incaricata dal SRB della valutazione della differenza di trattamento, prevista dall’articolo 20, paragrafi da 16 a 18, del regolamento SRM, effettuata al fine di accertare se gli azionisti e i creditori del Banco Popular avrebbero ricevuto un trattamento migliore se quest’ultimo fosse stato sottoposto a una procedura ordinaria di insolvenza (in prosieguo: la «valutazione 3»). Il 14 giugno 2018, essa ha trasmesso tale valutazione al SRB.
14 Il 6 agosto 2018, il SRB ha pubblicato sul suo sito Internet l’avviso del 2 agosto 2018 in merito alla sua decisione preliminare sulla necessità di concedere un indennizzo agli azionisti e ai creditori nei cui confronti sono state avviate le azioni di risoluzione delle crisi riguardanti il Banco Popular Español, SA e l’avvio del procedimento relativo al diritto di essere ascoltati (SRB/EES/2018/132), nonché una versione non riservata della valutazione 3. Il 7 agosto 2018, nella Gazzetta ufficiale dell’Unione europea è stata pubblicata una comunicazione riguardante tale avviso (GU 2018, C 277 I, pag. 1).
15 Nella decisione preliminare, il SRB ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular (in prosieguo: gli «azionisti e creditori interessati») ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM, questi ultimi erano invitati a manifestare il loro interesse ad esercitare il diritto di essere ascoltati ai sensi dell’articolo 41, paragrafo 2, lettera a), della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: «la Carta»).
A. Sul procedimento relativo al diritto di essere ascoltati
16 Secondo le indicazioni contenute nella decisione preliminare, il procedimento relativo al diritto di essere ascoltati doveva svolgersi in due fasi.
17 In una prima fase (in prosieguo: la «fase di iscrizione»), gli azionisti e i creditori interessati erano invitati a manifestare il loro interesse ad esercitare il loro diritto di essere ascoltati mediante un modulo di iscrizione online, e ciò entro il 14 settembre 2018. Durante tale fase, gli azionisti e i creditori interessati che intendevano esercitare il loro diritto di essere ascoltati dovevano fornire al SRB i documenti giustificativi che dimostrassero che, alla data della risoluzione del Banco Popular, essi detenevano uno o più strumenti di capitale dello stesso che erano stati svalutati o convertiti e trasferiti al Banco Santander, SA nell’ambito della risoluzione. I documenti giustificativi da fornire comprendevano un documento di identità e una prova della proprietà di uno di tali strumenti di capitale alla data del 6 giugno 2017. Inoltre, il SRB doveva verificare se ciascuna persona che aveva manifestato il proprio interesse possedesse effettivamente lo status di azionista o di creditore interessato.
18 Il 6 agosto 2018, data di avvio della fase di iscrizione, il SRB ha altresì pubblicato, sulla pagina Internet di iscrizione al procedimento relativo al diritto di essere ascoltati e sul suo sito Internet, un’informativa sulla protezione dei dati personali riguardante il trattamento dei dati personali nell’ambito di tale procedura (in prosieguo: l’«informativa sulla protezione dei dati personali»).
19 In una seconda fase (in prosieguo: la «fase di consultazione»), le persone il cui status di azionisti e creditori interessati era stato verificato dal SRB potevano presentare le proprie osservazioni sulla decisione preliminare, alla quale era allegata la valutazione 3. Il 16 ottobre 2018, il SRB ha annunciato sul suo sito Internet che a partire dal 6 novembre 2018 gli azionisti e creditori interessati sarebbero stati invitati a presentare le loro osservazioni scritte sulla decisione preliminare durante la fase di consultazione.
20 Il 6 novembre 2018, tramite un messaggio di posta elettronica, il SRB ha inviato agli azionisti e ai creditori interessati un link unico personale per accedere su Internet a un modulo, che conteneva sette domande, con uno spazio di risposta limitato, che consentivano agli azionisti e ai creditori interessati di presentare, entro il 26 novembre 2018, osservazioni sulla decisione preliminare nonché sulla versione non riservata della valutazione 3.
21 Il SRB ha esaminato le osservazioni degli azionisti e dei creditori interessati in merito alla decisione preliminare. Esso ha chiesto a Deloitte, nella sua qualità di valutatore indipendente, di valutare le osservazioni pertinenti relative alla valutazione 3, di fornirgli un documento contenente la sua valutazione e di esaminare se la suddetta valutazione restasse valida alla luce di tali osservazioni.
B. Sul trattamento dei dati raccolti dal SRB nell’ambito del procedimento relativo al diritto di essere ascoltati
22 I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità degli azionisti dei creditori interessati e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del SRB, ossia quelli incaricati del trattamento di tali dati al fine di determinare l’idoneità di detti azionisti e creditori a ricevere un indennizzo.
23 I membri del personale del SRB incaricati del trattamento delle osservazioni ricevute durante la fase di consultazione non avevano accesso né ai dati raccolti durante la fase di iscrizione, cosicché le osservazioni erano dissociate dalle informazioni personali degli azionisti e dei creditori interessati che le avevano inviate, né alla chiave dati o alle informazioni che consentivano di risalire all’identità di un azionista o creditore interessato tramite riferimento al codice alfanumerico unico assegnato a ciascuna osservazione inviata tramite il modulo. Tale codice alfanumerico consisteva in un identificativo unico universale a 33 cifre, generato in modo casuale al momento della ricezione delle risposte al modulo.
24 Nella prima fase, il SRB ha proceduto ad un filtraggio automatico di 23 822 osservazioni, ciascuna recante un codice alfanumerico unico, inviate da 2 855 partecipanti alla procedura. Due algoritmi hanno consentito di identificare 20 101 osservazioni come identiche. In tal caso, l’osservazione presentata per prima è stata considerata l’osservazione originale, che è stata esaminata durante la fase di analisi, e le osservazioni identiche ricevute successivamente sono state identificate come doppioni.
25 Nella seconda fase, il SRB ha individuato le osservazioni presentate che rientravano nel procedimento relativo al diritto di essere ascoltati in quanto potevano incidere sulla decisione preliminare o sulla valutazione 3. Esso ha poi suddiviso dette osservazioni tra quelle che dovevano essere esaminate dal SRB in quanto riguardavano la decisione preliminare e quelle che dovevano essere esaminate da Deloitte in quanto riguardavano la valutazione 3. Al termine di tale fase, il SRB ha individuato 3 730 osservazioni, che ha classificato in base alla loro rilevanza e al tema trattato.
26 Nella terza fase, le osservazioni relative alla decisione preliminare sono state elaborate dal SRB e quelle relative alla valutazione 3, ossia 1 104 osservazioni, sono state trasferite a Deloitte, il 17 giugno 2019, attraverso un server dati virtuale sicuro dedicato al SRB. Quest’ultimo ha scaricato i file da trasmettere a Deloitte su detto server e ha dato accesso a tali file a un numero limitato e controllato di membri del personale di Deloitte, ossia quelli direttamente coinvolti nell’esame delle osservazioni relative alla valutazione 3.
27 Le osservazioni trasmesse a Deloitte erano filtrate, classificate e aggregate. Quando costituivano copie di osservazioni precedenti, veniva trasmessa a Deloitte una sola versione, cosicché le osservazioni individuali che erano state replicate non potevano essere distinte nell’ambito di uno stesso tema e Deloitte non aveva la possibilità di sapere se fosse stata formulata un’osservazione da parte di uno o più partecipanti al procedimento relativo al diritto di essere ascoltati.
28 Le osservazioni trasmesse a Deloitte erano unicamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico. Tuttavia, il SRB era l’unico a poter collegare, mediante tale codice, le osservazioni ai dati, in particolare ai dati identificativi degli autori delle osservazioni, ricevuti durante la fase di iscrizione. Il codice alfanumerico è stato sviluppato a fini di audit per consentire di verificare ed eventualmente dimostrare, in un procedimento giudiziario, che ogni osservazione era stata trattata e debitamente presa in considerazione. Deloitte non aveva accesso alla banca contenente i dati raccolti durante la fase di iscrizione, né durante il procedimento relativo al diritto di essere ascoltati e non continuava a non avervi accesso alla data in cui è stata pronunciata la sentenza impugnata.
C. Sulla procedura presso il GEPD
29 Nel corso dei mesi di ottobre e di dicembre 2019, taluni azionisti e creditori interessati che avevano risposto al modulo hanno inviato al GEPD cinque reclami ai sensi del regolamento 2018/1725. Con tali reclami, essi hanno addotto una violazione dell’articolo 15, paragrafo 1, lettera d), di tale regolamento, per il motivo che il SRB non li aveva informati che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi a terzi, ossia Deloitte e Banco Santander, e ciò in violazione dei termini dell’informativa sulla protezione dei dati personali.
30 Al termine di un procedimento nel corso del quale il SRB ha fornito diverse spiegazioni su richiesta del GEPD e i reclamanti hanno presentato osservazioni, il GEPD ha adottato, il 24 giugno 2020, una decisione relativa a cinque reclami presentati da più reclamanti contro il Comitato di risoluzione unico (casi 2019‑947, 2019-998, 2019-999, 2019-1000 e 2019-1122) (in prosieguo: la «decisione iniziale»). In tale decisione, il GEPD ha dichiarato che il SRB aveva violato l’articolo 15 del regolamento 2018/1725 in quanto non aveva informato i reclamanti, nell’informativa sulla protezione dei dati personali, che era possibile che i loro dati personali fossero comunicati a Deloitte. Di conseguenza, esso ha rivolto un ammonimento al SRB per tale violazione in forza dell’articolo 58, paragrafo 2, lettera b), di detto regolamento.
31 Il 22 luglio 2020, il SRB ha chiesto al GEPD di rivedere la decisione iniziale ai sensi dell’articolo 18, paragrafo 1, della decisione del Garante europeo della protezione dei dati del 15 maggio 2020 di adozione del regolamento interno del GEPD (GU 2020, L 204, pag. 49). Il SRB ha in particolare fornito una descrizione dettagliata del procedimento relativo al diritto di essere ascoltati e dell’analisi delle osservazioni presentate, durante la fase di consultazione, da quattro dei reclamanti individuati. Esso ha sostenuto che le informazioni trasmesse a Deloitte non costituivano dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
32 Il 5 agosto 2020, il GEPD ha informato il SRB che, alla luce dei nuovi elementi forniti, aveva deciso di rivedere la decisione iniziale e che avrebbe adottato una decisione che l’avrebbe sostituita.
33 Il 24 novembre 2020, al termine della procedura di revisione, durante la quale i reclamanti hanno presentato osservazioni e il SRB ha fornito informazioni supplementari su richiesta del GEPD, quest’ultimo ha adottato la decisione controversa.
34 Con tale decisione, il GEPD ha riveduto la decisione iniziale nei seguenti termini:
«1. Il GEPD ritiene che i dati che il [SRB] ha condiviso con Deloitte fossero dati pseudonimizzati, sia perché le osservazioni della fase [di consultazione] erano dati personali sia perché il [SRB] condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase [di iscrizione] a quelle della fase [di consultazione], sebbene i dati forniti dai partecipanti per identificarsi durante la fase [di iscrizione] non fossero stati comunicati a Deloitte.
2. Il GEPD ritiene che Deloitte fosse un destinatario di dati personali dei reclamanti ai sensi dell’articolo 3, punto 13, del regolamento 2018/1725. Il fatto che Deloitte non sia stata menzionata nella informativa sulla protezione dei dati personali del [SRB] quale potenziale destinatario dei dati personali raccolti e trattati dal [SRB], nella sua qualità di responsabile del trattamento nell’ambito della procedura relativa al diritto di essere ascoltato, costituisce una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), [del regolamento 2018/1725].
3. Alla luce di tutte le misure tecniche e organizzative messe in atto dal [SRB] per mitigare i rischi per il diritto delle persone alla protezione dei dati nel contesto della procedura relativa al diritto di essere ascoltati, il GEPD decide di non esercitare i suoi poteri correttivi ai sensi dell’articolo 58, paragrafo 2, [del regolamento 2018/1725].
4. Il GEPD raccomanda tuttavia che il [SRB] garantisca che le sue informative sulla protezione dei dati personali nelle future procedure relative al diritto di essere ascoltati coprano il trattamento dei dati personali sia nella fase di iscrizione che in quella di consultazione e che includano tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell’articolo 15 [del regolamento 2018/1725]».
III. Procedimento dinanzi al Tribunale e sentenza impugnata
35 Con atto introduttivo depositato presso la cancelleria del Tribunale il 1° settembre 2020, il SRB ha proposto un ricorso diretto, da un lato, ad annullare la decisione controversa e, dall’altro, a dichiarare illegittima la decisione iniziale.
36 A sostegno del primo capo della domanda, il SRB ha dedotto due motivi di ricorso, il primo dei quali verteva sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali, e il secondo, sulla violazione del diritto ad una buona amministrazione, sancito dall’articolo 41 della Carta.
37 Con la sentenza impugnata, il Tribunale ha respinto per difetto di competenza il secondo capo della domanda diretto ad ottenere che la decisione iniziale fosse dichiarata illegittima, con la motivazione che il SRB mirava ad ottenere una sentenza dichiarativa e non già l’annullamento di un atto.
38 Per contro, il Tribunale ha dichiarato ricevibile il primo capo della domanda. Quanto al merito, esso ha accolto il primo motivo di ricorso e ha annullato la decisione controversa, senza esaminare il secondo motivo di ricorso.
IV. Procedimento dinanzi alla Corte e conclusioni delle parti
39 Con decisione del presidente della Corte del 20 ottobre 2023, la Commissione europea è stata autorizzata a intervenire a sostegno del SRB. Con ordinanza del presidente della Corte del 29 novembre 2023, il Comitato europeo per la protezione dei dati è stato autorizzato a intervenire a sostegno del GEDP.
40 Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, chiede che la Corte voglia:
– annullare la sentenza impugnata;
– pronunciarsi definitivamente sulla controversia; e
– condannare il SRB alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.
41 Il SRB, sostenuto dalla Commissione, chiede che la Corte voglia:
– respingere l’impugnazione;
– in subordine, annullare la decisione controversa;
– in ulteriore subordine, rinviare la causa dinanzi al Tribunale, e
– condannare il GEPD alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.
V. Sull’impugnazione
42 A sostegno della sua impugnazione, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce due motivi, il primo dei quali verte sulla violazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725, come interpretato dalla Corte, e il secondo sulla violazione dell’articolo 4, paragrafo 2, e dell’articolo 26, paragrafo 1, di tale regolamento.
A. Sul primo motivo di impugnazione
43 Con il suo primo motivo di impugnazione, il GEPD afferma, in sostanza, che, dichiarando che esso aveva erroneamente concluso, nella decisione controversa, che le informazioni di cui trattasi nel caso di specie costituivano dati personali, il Tribunale è incorso in un errore di diritto nell’interpretazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725. Tale motivo di impugnazione si suddivide in due parti. La prima parte riguarda la condizione, prevista all’articolo 3, punto 1, di tale regolamento, secondo cui l’informazione «concerne» una persona fisica e la seconda parte riguarda la condizione, prevista nella medesima disposizione, relativa al carattere «identificabile» di tale persona.
1. Sulla prima parte, vertente su un’interpretazione erronea della condizione, prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione «concerne» una persona fisica
a) Argomenti delle parti
44 Con la prima parte del primo motivo di impugnazione, il GEPD deduce che, contrariamente a quanto dichiarato dal Tribunale ai punti da 60 a 74 della sentenza impugnata, le informazioni trasmesse a Deloitte concernevano una persona fisica, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
45 In primo luogo, il GEPD sostiene che, contrariamente a quanto risulta dal punto 70 della sentenza impugnata, le autorità incaricate della protezione dei dati non possono essere tenute a procedere, in ogni caso, a un esame del contenuto, della finalità o dell’effetto di un’informazione al fine di verificare se essa riguardi una persona fisica. Secondo il GEPD, un siffatto esame non poteva, in particolare, essere richiesto per quanto riguarda le osservazioni trasmesse dal SRB a Deloitte, dal momento che, a suo avviso, era chiaro che si trattava di osservazioni «concernenti» una persona fisica in quanto esse esprimevano il punto di vista personale di taluni creditori e azionisti del Banco Popular sul loro eventuale diritto a un indennizzo ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM.
46 In secondo luogo, contrariamente a quanto constatato al punto 71 della sentenza impugnata, il GEPD sostiene che, per ravvisare l’esistenza di dati personali, esso si è basato non solo sulla natura delle osservazioni trasmesse a Deloitte, ma anche sulla circostanza che il codice alfanumerico era stato anch’esso trasmesso a tale società.
47 In terzo luogo, il GEPD sostiene che la sentenza impugnata è viziata da una contraddizione in quanto il Tribunale, da un lato, ha rilevato al punto 7 di tale sentenza che l’obiettivo stesso delle osservazioni trasmesse a Deloitte era quello di consentire a persone fisiche specifiche, vale a dire agli azionisti e ai creditori interessati, di esercitare il loro diritto di essere ascoltati ai fini di un eventuale indennizzo ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM. In contraddizione con questa prima constatazione, il Tribunale avrebbe dichiarato, dall’altro lato, al punto 73 di detta sentenza, che il GEPD si era basato su presunzioni secondo le quali tutte le osservazioni trasmesse a Deloitte costituivano dati personali, senza dimostrare che esse riguardassero persone fisiche.
48 Il SRB, sostenuto dalla Commissione, afferma che tale argomento deve essere respinto.
49 In primo luogo, secondo la giurisprudenza derivante dalle sentenze del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994, punti 34 e 35), e del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF (C‑487/21, EU:C:2023:369, punti 23 e 24), informazioni, oggettive o soggettive, sotto forma di pareri o di valutazioni, potrebbero costituire dati personali, a condizione che esse siano «concernenti» la persona interessata. A questo proposito, secondo tale giurisprudenza, un’informazione concernerebbe una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile. Pertanto, il Tribunale avrebbe correttamente dichiarato, ai punti da 70 a 74 della sentenza impugnata, che il GEPD ha disatteso detta giurisprudenza essendosi limitato ad indicare che le osservazioni trasmesse a Deloitte riflettevano le opinioni o i punti di vista degli azionisti e dei creditori interessati e, quindi, senza aver esaminato se, per il loro contenuto, la loro finalità o il loro effetto, tali osservazioni fossero legate a una persona identificabile.
50 In secondo luogo, l’affermazione del GEPD, secondo cui la natura di dati personali di dette osservazioni deriva necessariamente dalla loro finalità, costituirebbe una nuova allegazione di fatto, presentata per la prima volta dinanzi al giudice dell’impugnazione, che sarebbe, per tale motivo, irricevibile. In ogni caso, l’affermazione sarebbe inconferente in quanto il GEPD non avrebbe esaminato tale punto nella decisione controversa.
51 Per quanto riguarda, in terzo luogo, l’asserita contraddittorietà della motivazione tra i punti 7 e 73 della sentenza impugnata, il SRB sostiene che la descrizione di cui al punto 7 di tale sentenza non contiene alcuna informazione sul contenuto, sulla finalità o sull’effetto delle osservazioni trasmesse a Deloitte e, pertanto, non contraddice la conclusione enunciata al punto 73 di detta sentenza.
b) Giudizio della Corte
52 In via preliminare, occorre rilevare che la definizione della nozione di «dati personali», enunciata all’articolo 3, punto 1, del regolamento 2018/1725, è sostanzialmente identica a quella di cui all’articolo 4, punto 1, del RGPD, la quale, dal canto suo, ha una portata sostanzialmente identica a quella che figurava all’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). Al fine di garantire un’applicazione uniforme e coerente del diritto dell’Unione, occorre quindi assicurare un’interpretazione identica dell’articolo 3, punto 1, del regolamento 2018/1725, dell’articolo 4, punto 1, del RGPD e dell’articolo 2, lettera a), della direttiva 95/46 (v., in tal senso, sentenze del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 43, nonché del 7 marzo 2024, IAB Europe, C‑604/22, EU:C:2024:214, punto 33 e giurisprudenza citata).
53 L’articolo 3, punto 1, del regolamento 2018/1725 dispone che costituisce un dato personale «qualsiasi informazione concernente una persona fisica identificata o identificabile».
54 La Corte ha dichiarato che l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura in tale disposizione e all’articolo 4, punto 1, del RGPD, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 23 e giurisprudenza citata; del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 45 nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 130).
55 Un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 35; del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 45 e del 7 marzo 2024, IAB Europe, C‑604/22, EU:C:2024:214, punto 37 e giurisprudenza citata).
56 Nel caso di specie, sebbene il Tribunale abbia rilevato, al punto 70 della sentenza impugnata, che il GEPD non aveva esaminato né il contenuto, né la finalità, né l’effetto delle informazioni risultanti dalle osservazioni trasmesse a Deloitte, dai punti 71 e 72 di tale sentenza risulta tuttavia che la constatazione che tali osservazioni riflettevano le opinioni o i punti di vista delle persone interessate aveva richiesto che il GEPD avesse previamente esaminato il contenuto di dette osservazioni. A partire da tale constatazione, il GEPD ha concluso che esse costituivano informazioni relative a tali persone. Orbene, secondo la giurisprudenza ricordata al punto 55 della presente sentenza, un esame vertente sul contenuto di un’informazione non deve necessariamente essere completato da un’analisi della finalità e degli effetti di tale informazione, come indica l’impiego della congiunzione «o» che collega i diversi criteri considerati da tale giurisprudenza.
57 Tuttavia, ai punti 73 e 74 della sentenza impugnata, il Tribunale ha considerato che il GEPD non poteva qualificare come dati personali le informazioni risultanti dalle osservazioni trasmesse a Deloitte sulla sola base della constatazione che si trattava di opinioni o punti di vista personali, ma che avrebbe dovuto esaminare, inoltre, il contenuto, la finalità e l’effetto delle opinioni così espresse, al fine di stabilire se esse fossero collegate a una determinata persona.
58 Tale valutazione del Tribunale non tiene conto della particolare natura delle opinioni o dei punti di vista personali che, in quanto espressione del pensiero di una persona, sono necessariamente strettamente connessi a quest’ultima.
59 L’interpretazione accolta al punto precedente è corroborata dalla giurisprudenza derivante dalla sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), la quale verteva, tra l’altro, sulle correzioni apposte da un esaminatore in merito alle risposte scritte di un candidato a un esame professionale. Infatti, ai punti da 42 a 44 di tale sentenza, se è vero che la Corte ha valutato il contenuto, la finalità e l’effetto di tali correzioni per constatare che esse costituivano informazioni riguardanti il candidato da esse indicato, essa ha considerato, in sostanza, che dette correzioni concernevano anche l’esaminatore che ne era l’autore, dal momento che esse esprimevano il parere o la valutazione di quest’ultimo.
60 Ne consegue che il Tribunale è incorso in un errore di diritto dichiarando, ai punti 73 e 74 della sentenza impugnata, che il GEPD, per concludere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte «concernevano», ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, le persone che avevano presentato tali osservazioni, avrebbe dovuto esaminare il contenuto, la finalità o gli effetti di dette osservazioni, essendo pacifico che esse esprimevano l’opinione o il punto di vista personale dei loro autori.
61 Pertanto, senza che sia necessario esaminare gli argomenti sintetizzati ai punti 46 e 47 della presente sentenza, la prima parte del primo motivo di impugnazione deve essere accolta.
2. Sulla seconda parte del primo motivo di impugnazione, vertente su un’interpretazione erronea della condizione, prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione concerne una persona fisica «identificabile»
62 Con la seconda parte del primo motivo di impugnazione, il GEPD deduce che, ai punti da 76 a 106 della sentenza impugnata, il Tribunale ha erroneamente dichiarato di non poter ritenere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte concernessero una persona fisica «identificabile», ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. Detta parte consta di due censure distinte.
a) Sulla prima censura della seconda parte del primo motivo di impugnazione
1) Argomenti delle parti
63 Anzitutto, il GEPD ricorda che, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, il titolare del trattamento o «un terzo» deve essere in grado di identificare una persona interessata dall’informazione di cui si tratta. In mancanza di indicazioni quanto alla persona che deve essere in grado di procedere a tale identificazione, sarebbe sufficiente che l’interessato possa essere identificato. Orbene, nel caso di specie, sarebbe pacifico che le osservazioni trasmesse a Deloitte, di cui disponeva il SRB, costituiscono dati personali. Inoltre, dall’articolo 3, punto 6, di tale regolamento, in combinato disposto con il considerando 16 di quest’ultimo, risulterebbe che dati pseudonimizzati costituiscono dati personali, e ciò semplicemente a causa dell’esistenza di informazioni aggiuntive che consentono di attribuirli a una determinata persona.
64 Secondo il GEPD, le considerazioni di cui ai punti 90 e 91 della sentenza impugnata non tengono sufficientemente conto dei termini di tali disposizioni nonché della distinzione tra anonimizzazione e pseudonimizzazione. A tale riguardo, il Comitato europeo per la protezione dei dati precisa che, secondo l’interpretazione accolta dal Tribunale, i dati personali cambierebbero natura quando sono trasmessi a un’entità esterna al titolare del trattamento, che non dispone di informazioni aggiuntive che consentano di identificare l’interessato. Questa interpretazione consentirebbe a tale titolare di sottrarre indebitamente i dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di tali dati, e ciò anche quando il trattamento da parte dell’entità esterna esponga gli interessati a rischi significativi.
65 Il GEPD rileva poi che, avendo introdotto la nozione di pseudonimizzazione, il legislatore dell’Unione ha chiarito che, per escludere dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di tali dati, non è sufficiente separare i dati in parola dalle informazioni aggiuntive che consentono di identificare l’interessato.
66 Infine, il GEPD ricorda che la nozione di dati personali deve essere interpretata estensivamente, il che, a suo avviso, è necessario affinché il diritto in materia di protezione dei dati produca il suo effetto utile. Nella misura in cui l’interpretazione del Tribunale consentisse di considerare, erroneamente, i dati pseudonimizzati come dati anonimi, essa sarebbe tale da compromettere l’elevato livello di protezione perseguito dal legislatore dell’Unione e richiesto dalla Carta. Secondo il Comitato europeo per la protezione dei dati, l’interpretazione adottata dal Tribunale comporterebbe altresì il rischio che i dati pseudonimizzati possano essere trattati senza restrizioni ai sensi del RGPD e del regolamento 2018/1725, compresa la loro condivisione, pubblicazione e trasferimento verso paesi terzi.
67 Il SRB, sostenuto dalla Commissione, si oppone a tale argomento.
2) Giudizio della Corte
68 La prima censura della seconda parte del primo motivo di impugnazione è, in sostanza, fondata sulla considerazione che dati pseudonimizzati come le osservazioni trasmesse a Deloitte costituiscono, in ogni caso, dati personali in ragione della sola esistenza di informazioni che consentono di identificare l’interessato, senza che sia necessario esaminare concretamente se, nonostante la pseudonimizzazione, la persona alla quale si riferiscono tali dati sia identificabile.
69 A questo proposito, occorre ricordare che, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, affinché un’informazione possa essere qualificata come dato personale, ai sensi di tale disposizione, deve trattarsi di un’informazione concernente una persona fisica «identificata o identificabile». Pertanto, l’applicazione di detto regolamento presuppone, in linea di principio, un esame vertente sul carattere identificato o identificabile della persona interessata dall’informazione di cui si tratta.
70 Tale interpretazione è corroborata dalla quinta e dalla sesta frase del considerando 16 del regolamento 2018/1725, in base alle quali non rientrano nella definizione della nozione di «dati personali» le «informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile», né i «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (v., per analogia, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 57).
71 Per quanto riguarda, più in particolare, i dati pseudonimizzati, occorre osservare, in primo luogo, che tali dati non sono menzionati nella definizione legale della nozione di «dati personali», di cui all’articolo 3, punto 1, del regolamento 2018/1725, ma che le loro caratteristiche risultano dall’articolo 3, punto 6, di tale regolamento. Quest’ultima disposizione definisce la nozione di «pseudonimizzazione» come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
72 Come rilevato, in sostanza, dall’avvocato generale ai paragrafi 46 e 48 delle sue conclusioni, la pseudonimizzazione non costituisce quindi un elemento della definizione dei «dati personali», ma si riferisce all’attuazione di misure tecniche e organizzative dirette a ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati. Secondo il considerando 17 di detto regolamento, la pseudonimizzazione «può [solo] ridurre i rischi» di una siffatta correlazione per tali persone e, di conseguenza, «aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».
73 In secondo luogo, dalla formulazione dell’articolo 3, punto 6, del regolamento 2018/1725 risulta che la nozione di «pseudonimizzazione» presuppone l’esistenza di informazioni che consentano di identificare l’interessato. Orbene, l’esistenza stessa di tali informazioni osta a che dati che sono stati oggetto di una pseudonimizzazione possano, in ogni caso, essere considerati dati anonimi, esclusi dall’ambito di applicazione di tale regolamento.
74 Ciò non toglie che, in terzo luogo, il requisito di una conservazione separata delle informazioni identificative nonché di misure tecniche e organizzative «intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile», previsto all’articolo 3, punto 6, di detto regolamento, indica che la pseudonimizzazione ha segnatamente l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati.
75 Infatti, a condizione che siffatte misure tecniche e organizzative siano effettivamente attuate e siano idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale di tali dati ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
76 A tale riguardo, occorre precisare che, come normalmente avviene nel caso del titolare del trattamento che ha proceduto alla pseudonimizzazione, il SRB dispone, nel caso di specie, delle informazioni aggiuntive che consentono di attribuire le osservazioni trasmesse a Deloitte all’interessato, cosicché, per esso, tali osservazioni conservano, nonostante la pseudonimizzazione, il loro carattere personale.
77 Per quanto riguarda Deloitte, a cui il SRB ha trasmesso osservazioni pseudonimizzate, le misure tecniche e organizzative di cui all’articolo 3, punto 6, del regolamento 2018/1725 possono, come afferma in sostanza il SRB, avere l’effetto che, per tale società, le osservazioni in parola non presentino carattere personale. Ciò presuppone tuttavia, da un lato, che Deloitte non sia in grado di revocare tali misure in occasione di qualsiasi trattamento di dette osservazioni effettuato sotto il suo controllo. Dall’altro lato, dette misure devono effettivamente essere tali da impedire a Deloitte di attribuire le stesse osservazioni all’interessato anche mediante il ricorso ad altri mezzi di identificazione, quali una sovrapposizione con altri elementi, in modo tale che, per tale società, l’interessato non sia o non sia più identificabile.
78 Tale interpretazione è corroborata dal considerando 16 del regolamento 2018/1725, il quale, dopo aver enunciato, nella sua prima frase, che «[è] auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile», prevede, alla seconda frase, che «[i] dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile».
79 Infatti, a seguito di tali indicazioni relative ai dati personali e ai dati pseudonimizzati, la terza frase del considerando in parola precisa che, per stabilire l’identificabilità di una persona è opportuno considerare «tutti i mezzi» di cui il titolare del trattamento o «un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente». Inoltre, ai sensi della quarta frase di tale considerando, per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione «l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici».
80 Orbene, come rilevato, in sostanza, dall’avvocato generale al paragrafo 51 delle sue conclusioni, tali precisazioni relative alla valutazione del carattere identificabile o meno dell’interessato sarebbero private di qualsiasi effetto utile se dati pseudonimizzati dovessero essere considerati come costituenti, in ogni caso e per qualsiasi persona, dati personali ai fini dell’applicazione del regolamento 2018/1725.
81 A questo proposito, occorre ricordare che, per quanto riguarda un comunicato stampa che conteneva un certo numero di indicazioni relative a una persona senza indicarla nominativamente, la Corte non si è limitata, nella sua sentenza del 7 marzo 2024, OC/Commissione (C‑479/22 P, EU:C:2024:215, punti da 52 a 64), alla constatazione che l’organismo dell’Unione che aveva pubblicato tale comunicato disponeva di tutte le informazioni che consentivano di identificare tale persona, ma ha esaminato se le indicazioni contenute in detto comunicato consentissero ragionevolmente al pubblico interessato di identificare tale persona, in particolare mediante una combinazione di tali indicazioni con informazioni disponibili su Internet.
82 Inoltre, la Corte ha già dichiarato che non ci si può avvalere ragionevolmente di un mezzo per identificare la persona interessata quando l’identificazione di tale persona è vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che ciò implicherebbe un dispendio sproporzionato di tempo, costi e manodopera (v., in tal senso, sentenza del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 51 e giurisprudenza citata). Tale giurisprudenza corrobora l’interpretazione secondo la quale l’esistenza di informazioni aggiuntive che consentono di identificare la persona interessata non implica, di per sé, che dati pseudonimizzati debbano essere considerati, in ogni caso e per qualsiasi persona, come dati personali ai fini dell’applicazione del regolamento 2018/1725.
83 Nello stesso ordine di idee, la Corte ha dichiarato, in sostanza, segnatamente nelle sentenze del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779, punti 44, 47 e 48) e del 7 marzo 2024, IAB Europe (C‑604/22, EU:C:2024:214, punti 43 e 48), che dati di per sé impersonali, raccolti e conservati dal titolare del trattamento, erano comunque collegati a una persona identificabile, dal momento che il titolare del trattamento disponeva di strumenti giuridici per ottenere da altri le informazioni aggiuntive che consentivano di identificare tale persona. Infatti, in tali circostanze, il fatto che le informazioni che consentivano di identificare l’interessato si trovassero in possesso di più persone non ne impediva effettivamente l’identificazione in modo tale che quest’ultimo non fosse essere identificabile per il titolare del trattamento.
84 Soprattutto, secondo la giurisprudenza derivante dalla sentenza del 9 novembre 2023, Gesamtverband Autoteile-Handel (Accesso alle informazioni sui veicoli) (C‑319/22, EU:C:2023:837, punti 46 e 49), dati che sono di per sé impersonali possono acquisire carattere «personale», qualora il titolare del trattamento li metta a disposizione di altre persone che dispongono di mezzi che consentano con ragionevole probabilità l’identificazione dell’interessato. Da quest’ultima sentenza risulta, in particolare, che – nel contesto di una siffatta messa a disposizione – detti dati presentano un carattere personale tanto per tali persone quanto, indirettamente, per il titolare del trattamento.
85 Di conseguenza, alla luce della giurisprudenza ricordata al punto precedente, il GEPD sostiene erroneamente che il fatto che dati pseudonimizzati non presentino, se del caso, un carattere personale per le persone alle quali il titolare del trattamento trasferisce dati pseudonimizzati consentirebbe di sottrarre indebitamente tali dati dall’ambito di applicazione del diritto dell’Unione in materia di protezione dei dati personali. Infatti, secondo la stessa giurisprudenza, detta circostanza non incide sulla valutazione del carattere personale dei medesimi dati nel contesto, in particolare, del loro eventuale trasferimento successivo a terzi. Pertanto, nei limiti in cui non è escluso che tali terzi siano ragionevolmente in grado di attribuire, con mezzi quali un controllo incrociato con altri dati di cui dispongono, i dati pseudonimizzati all’interessato, quest’ultimo deve essere considerato identificabile per quanto riguarda tanto tale trasferimento quanto qualsiasi ulteriore trattamento di tali dati da parte di detti terzi. In tali circostanze, i dati pseudonimizzati dovrebbero essere considerati personali.
86 Ne consegue che, contrariamente a quanto sostiene il GEPD, non si deve ritenere che i dati pseudonimizzati costituiscano, in ogni caso e per qualsiasi persona, dati personali ai fini dell’applicazione del regolamento 2018/1725, in quanto la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile.
87 Tale interpretazione non è messa in discussione dalla circostanza, invocata dal GEPD, secondo cui la quarta frase del considerando 16 del regolamento 2018/1725 riguarda il titolare del trattamento o «un terzo». Infatti, dai termini stessi di tale frase, ricordati al punto 79 della presente sentenza, risulta che essa si riferisce solo alle persone che dispongono di o possono accedere ai mezzi che consentono con ragionevole probabilità l’identificazione dell’interessato. Orbene, come rilevato ai punti da 75 a 77 della presente sentenza, la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile.
88 Per quanto riguarda l’argomento del GEPD vertente sull’obiettivo di garantire un livello elevato di protezione dei dati personali, sebbene i termini dell’articolo 3, punto 1, del regolamento 2018/1725 riflettano l’obiettivo del legislatore dell’Unione di attribuire un significato ampio alla nozione di «dati personali», tale nozione non è illimitata, dal momento che la disposizione citata richiede segnatamente che l’interessato sia identificato o identificabile.
89 In particolare, come rilevato dall’avvocato generale al paragrafo 58 delle sue conclusioni, il regolamento 2018/1725 contiene obblighi, quali l’obbligo di fornire informazioni all’interessato previsto all’articolo 15 di tale regolamento, il cui rispetto presuppone l’identificazione dell’interessato. Orbene, obblighi del genere non possono essere imposti a un soggetto che non sia affatto in grado di procedere a tale identificazione.
90 Pertanto, la prima censura della seconda parte del primo motivo di impugnazione deve essere respinta in quanto infondata.
b) Sulla seconda censura della seconda parte del primo motivo di impugnazione
1) Argomenti delle parti
91 Con la seconda censura della seconda parte del primo motivo di impugnazione, il GEPD sostiene che il Tribunale ha disatteso la giurisprudenza derivante dalla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779).
92 In primo luogo, il Tribunale avrebbe travisato il carattere oggettivo della condizione relativa al carattere «identificabile» dell’interessato, dichiarando, ai punti 97, 99 e 100 della sentenza impugnata, in particolare, che il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali. Infatti, secondo il GEPD, dai punti 47 e 48 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), risulta che la mera esistenza di strumenti giuridici che consentano di identificare la persona interessata è sufficiente per concludere che tale persona è identificabile. Orbene, nel caso di specie, il SRB sarebbe stato in grado di identificare gli interessati, circostanza di cui il Tribunale non avrebbe tenuto sufficientemente conto nell’ambito dell’applicazione della giurisprudenza derivante da tale sentenza.
93 In secondo luogo, il GEPD sostiene che, in detta sentenza, il carattere identificabile o meno dell’interessato è stato valutato dal punto di vista del titolare del trattamento, e ciò in assenza di qualsiasi rapporto tra tale titolare e le entità in possesso delle informazioni aggiuntive che consentivano di identificare tale persona. Per contro, nel caso di specie, Deloitte non sarebbe il titolare del trattamento e sarebbe, inoltre, vincolata da un contratto al SRB. Tenuto conto di tali differenze, il GEPD ritiene che esso che non era tenuto a procedere a una valutazione completa dei mezzi che avrebbero consentito a Deloitte, con ragionevole probabilità, l’identificazione degli interessati.
94 In ogni caso, nell’ipotesi in cui fosse stato nondimeno tenuto a valutare se Deloitte fosse in grado di identificare gli autori delle osservazioni che le erano state trasmesse, il GEPD sostiene che nulla impediva a Deloitte di procedere a tale identificazione.
95 Il SRB, sostenuto dalla Commissione, si oppone a tale argomento.
96 In primo luogo, ai punti 96, 97 e 100 della sentenza impugnata, in particolare, il Tribunale si sarebbe correttamente basato su un approccio secondo il quale il carattere identificabile dell’interessato deve essere esaminato rispetto a ciascun soggetto e a ciascun titolare del trattamento interessato che tratta le informazioni pertinenti. Orbene, nel contesto dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, tale esame dovrebbe porsi nella prospettiva del destinatario delle informazioni di cui trattasi.
97 In secondo luogo, il SRB sostiene che l’argomento vertente sulle asserite differenze che la presente causa presenterebbe rispetto a quella sfociata nella sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), è irricevibile. Esso ritiene che tale argomento metta in discussione le constatazioni di fatto del Tribunale contenute ai punti 94 e 95 della sentenza impugnata, secondo le quali Deloitte non aveva accesso alle informazioni identificative necessarie per identificare i reclamanti.
2) Giudizio della Corte
98 Ai punti da 97 a 100 della sentenza impugnata, in particolare, il Tribunale ha dichiarato, in sostanza, che, conformemente alla giurisprudenza derivante dalla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali. Per giungere a tale constatazione, il Tribunale ha rilevato, in particolare, che la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, constatata nella decisione controversa, riguardava il trasferimento da parte del SRB di tali osservazioni a Deloitte e non la mera detenzione di queste ultime da parte del SRB.
99 In via preliminare, occorre ricordare che l’articolo 3, punto 1, del regolamento 2018/1725 non precisa espressamente la prospettiva pertinente per valutare il carattere identificabile dell’interessato, mentre il considerando 16 di tale regolamento riguarda, in modo indifferenziato, il «titolare del trattamento» o «un terzo». Inoltre, secondo costante giurisprudenza, perché un dato possa essere qualificato come «dato personale» non si richiede che tutte le informazioni che consentono di identificare l’interessato debbano essere in possesso di una sola persona (v., in tal senso, sentenze del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 43, e del 7 marzo 2024, OC/Commissione, C‑479/22 P, EU:C:2024:215, punto 48).
100 Secondo la giurisprudenza derivante segnatamente dalla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), richiamata ai punti da 81 a 84 della presente sentenza, la prospettiva pertinente per valutare l’identificabilità dell’interessato dipende essenzialmente dalle circostanze che caratterizzano il trattamento dei dati in ciascun caso particolare.
101 Nel caso di specie, occorre ricordare che, nella decisione controversa, il GEPD ha constatato che, omettendo di menzionare Deloitte quale potenziale destinataria delle osservazioni nella dichiarazione sulla riservatezza presentata al momento della loro raccolta, il SRB aveva violato il suo obbligo di informazione risultante dall’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725.
102 L’articolo 15, paragrafo 1, di tale regolamento stabilisce le informazioni che il titolare del trattamento deve fornire all’interessato, qualora i dati personali siano raccolti presso quest’ultimo, precisando nel contempo che tali informazioni devono essere fornite a tale persona «nel momento in cui i dati personali sono ottenuti». Dalla formulazione stessa di tale disposizione risulta che tali informazioni devono essere fornite dal titolare del trattamento immediatamente, ossia al momento della raccolta di tali dati (v., per analogia, sentenza del 29 luglio 2019, Fashion ID, C‑40/17, EU:C:2019:629, punto 104 e giurisprudenza citata).
103 Per quanto riguarda, più in particolare, l’informazione relativa agli eventuali destinatari dei dati personali, di cui all’articolo 15, paragrafo 1, lettera d), di detto regolamento, si tratta di un’informazione da fornire, tra le altre, al momento della raccolta dei dati presso l’interessato.
104 L’articolo 14, paragrafo 1, del regolamento 2018/1725 prevede che il titolare del trattamento adotti misure appropriate, in particolare, affinché le informazioni di cui, in particolare, all’articolo 15 di tale regolamento siano fornite all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile e che siano formulate con un linguaggio semplice e chiaro, in modo che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli vengono inviate [v., per analogia, sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 38, nonché dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C‑757/22, EU:C:2024:598, punti 55 e 56].
105 L’importanza del rispetto di un siffatto obbligo di informazione è confermata dal considerando 35 del regolamento 2018/1725, le cui frasi prima e seconda enunciano che il principio del trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe altresì fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, come previsto dall’articolo 15, paragrafo 2, di tale regolamento [v., per analogia, sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C‑757/22, EU:C:2024:598, punto 57 e giurisprudenza citata].
106 Pertanto, qualora la raccolta di tali dati presso l’interessato – come, nel caso di specie, nell’ambito del procedimento relativo al diritto di essere ascoltati – sia fondata sul consenso di tale persona, la validità del consenso prestato da detta persona dipende, tra l’altro, dalla questione se quest’ultima abbia previamente ottenuto le informazioni alla luce di tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza dell’articolo 15 del regolamento 2018/1725, e che le consentono di dare un consenso con piena cognizione di causa [v., per analogia, sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C‑757/22, EU:C:2024:598, punto 60].
107 Inoltre, per quanto riguarda l’ipotesi di un obbligo per l’interessato di fornire dati personali al titolare del trattamento, il considerando 35 di tale regolamento precisa, nella sua quarta frase, che è importante che l’interessato sia informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli, il che conferma l’importanza dell’informazione richiesta dall’articolo 15 di detto regolamento, al momento stesso della raccolta dei dati presso l’interessato.
108 In tali circostanze, risulta che l’obbligo di fornire all’interessato – al momento della raccolta dei dati personali ad esso collegati – l’informazione relativa agli eventuali destinatari di tali dati ha, in particolare, lo scopo di consentire a detta persona di decidere con piena cognizione di causa se fornire o, al contrario, rifiutare di fornire i suoi dati personali raccolti presso di essa.
109 Occorre aggiungere che, come affermato, in sostanza, dalla Commissione in udienza, è vero che l’informazione relativa agli eventuali destinatari è indispensabile anche affinché la persona interessata possa, successivamente, difendere i propri diritti nei confronti di tali destinatari. Tuttavia, l’obbligo di fornire tali informazioni al momento della raccolta dei dati personali garantisce, in particolare, che i dati in parola non siano raccolti dal titolare del trattamento contro la volontà dell’interessato, o addirittura trasferiti a terzi contro la sua volontà.
110 Ne consegue che, come rilevato dall’avvocato generale al paragrafo 69 delle sue conclusioni, l’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 si inserisce nel rapporto giuridico esistente tra l’interessato e il titolare del trattamento e, pertanto, ha ad oggetto le informazioni relative a tale persona quali trasmesse a detto titolare, quindi prima di qualsiasi eventuale trasferimento a un terzo.
111 Pertanto, si deve ritenere che, ai fini dell’applicazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, l’identificabilità dell’interessato debba essere valutata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento.
112 Ne deriva che, come rilevato, in sostanza, dall’avvocato generale al paragrafo 79 delle sue conclusioni, l’obbligo di informazione incombente al SRB si applicava nella fattispecie a monte del trasferimento delle osservazioni in questione e a prescindere dal fatto che fossero o meno dati personali, dal punto di vista di Deloitte, dopo la loro eventuale pseudonimizzazione.
113 Questa interpretazione non è messa in discussione dall’argomento del SRB vertente sui termini dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, che si riferiscono ai «destinatari (...) dei dati personali». Infatti, come risulta dai punti da 102 a 108 della presente sentenza, tale disposizione disciplina l’obbligo di informazione incombente al titolare del trattamento al momento della raccolta di detti dati. Orbene, la questione se il titolare del trattamento abbia, in tale momento, rispettato il suo obbligo di informazione non può dipendere dalle possibilità di identificazione dell’interessato, di cui disporrebbe, eventualmente, un eventuale destinatario dopo un ulteriore trasferimento dei dati di cui si tratta.
114 Come rilevato, in sostanza, dall’avvocato generale al paragrafo 77 delle sue conclusioni, l’argomento del SRB secondo cui occorrerebbe porsi dal punto di vista del destinatario per controllare il rispetto del suddetto obbligo di informazione avrebbe come conseguenza di rinviare tale controllo nel tempo. Nei limiti in cui detto controllo verterebbe necessariamente su dati personali già trasferiti al destinatario, tale argomento, inoltre, non tiene conto dell’oggetto dell’obbligo di informazione, che è intrinsecamente connesso al rapporto tra il titolare del trattamento e l’interessato.
115 Pertanto, il Tribunale è incorso in un errore di diritto dichiarando, ai punti 97, 98, 100, 101 e da 103 a 105 della sentenza impugnata, che, per valutare se il SRB avesse rispettato il suo obbligo di informazione ai sensi dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali.
116 Ne consegue che, senza che occorra esaminare gli argomenti del GEPD sintetizzati ai punti 93 e 94 della presente sentenza, la seconda censura della seconda parte del primo motivo di impugnazione dev’essere accolta.
B. Sul secondo motivo di impugnazione
117 Poiché il primo motivo di impugnazione è fondato, nella sua prima parte e nella seconda censura della sua seconda parte, non occorre esaminare il secondo motivo di impugnazione del GEPD, vertente su una violazione dell’articolo 4, paragrafo 2, e dell’articolo 26, paragrafo 1, del regolamento 2018/1725.
118 Poiché il primo motivo di impugnazione è quindi accolto, occorre annullare la sentenza impugnata.
VI. Sul ricorso dinanzi al Tribunale
119 Ai sensi dell’articolo 61, primo comma, seconda frase, dello Statuto della Corte di giustizia dell’Unione europea, la Corte, in caso di annullamento della decisione del Tribunale, può statuire definitivamente sulla controversia qualora lo stato degli atti lo consenta.
120 Nel caso di specie, lo stato degli atti consente di statuire sulla controversia per quanto riguarda il primo motivo di ricorso, vertente su un’asserita violazione da parte del GEPD dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali. Infatti, alla luce delle considerazioni esposte ai punti da 58 a 60 della presente sentenza, il GEPD ha potuto, da un lato, ritenere, senza incorrere in errori di diritto, che le osservazioni trasmesse a Deloitte costituissero informazioni concernenti persone fisiche, ossia agli autori di tali osservazioni. Dall’altro lato, come rilevato al punto 111 della presente sentenza, nell’ambito dell’applicazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), di tale regolamento, l’identificabilità dell’interessato deve essere valutata collocandosi dal punto di vista del titolare del trattamento. Orbene, è pacifico tra le parti che il SRB disponeva, in quanto titolare del trattamento, di tutte le informazioni necessarie per identificare gli autori di dette osservazioni. Da quanto precede risulta che le informazioni controverse costituiscono, contrariamente a quanto sostiene il SRB, dati personali. Pertanto, il primo motivo di ricorso deve essere respinto in quanto infondato.
121 Per contro, lo stato degli atti non consente di statuire sulla controversia per quanto riguarda il secondo motivo di ricorso, dal momento che tale motivo implica valutazioni di fatto che non sono state operate dal Tribunale.
122 Di conseguenza, occorre rinviare la causa al Tribunale ai fini dell’esame del secondo motivo di ricorso.
VII. Sulle spese
123 Poiché la causa è stata rinviata dinanzi al Tribunale, occorre riservare le spese relative all’impugnazione.
Per questi motivi, la Corte (Prima Sezione) dichiara e statuisce:
1) La sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T‑557/20, EU:T:2023:219), è annullata.
2) La causa T‑557/20 è rinviata dinanzi al Tribunale dell’Unione europea.
3) Le spese sono riservate.
Firme
* Lingua processuale: l’inglese.
SENTENZA DEL TRIBUNALE (Ottava Sezione ampliata)
26 aprile 2023 (*)
«Tutela dei dati personali – Procedura di indennizzo degli azionisti e creditori in seguito alla risoluzione di un ente creditizio – Decisione del GEPD che dichiara che il CRU ha violato i suoi obblighi relativi al trattamento dei dati personali – Articolo 15, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 – Nozione di “dati personali” – Articolo 3, punto 1, del regolamento 2018/1725 – Diritto di accesso al fascicolo»
Nella causa T‑557/20,
Comitato di risoluzione unico (CRU), rappresentato da H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, in qualità di agenti, assistite da H.-G. Kamann, M. Braun, F. Louis, e L. Hesse, avocats,
ricorrente,
contro
Garante europeo della protezione dei dati (GEPD), rappresentato da P. Candellier, X. Lareo e T. Zerdick, in qualità di agenti,
convenuto,
IL TRIBUNALE (Ottava Sezione ampliata),
composto da A. Kornezov, presidente, G. De Baere (relatore), D. Petrlík, K. Kecsmár e S. Kingston, giudici,
cancelliere: I. Kurme, amministratrice
vista la fase scritta del procedimento,
in seguito all’udienza del 1° dicembre 2022,
ha pronunciato la seguente
Sentenza
1 Con il suo ricorso fondato sull’articolo 263 TFUE, il Comitato di risoluzione unico (CRU) chiede, da un lato, l’annullamento della decisione rivista del Garante europeo della protezione dei dati (GEPD) del 24 novembre 2020 adottata a seguito della richiesta di riesame presentata dal CRU relativamente alla decisione del GEPD del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (in prosieguo: la «decisione rivista») e, dall’altro, la dichiarazione di illegittimità della decisione del GEPD del 24 giugno 2020 (in prosieguo: la «decisione iniziale»).
Fatti
2 Il 7 giugno 2017 la sessione esecutiva del CRU ha adottato la decisione SRB/EES/2017/08, relativa a un programma di risoluzione per il Banco Popular Español, SA (in prosieguo: il “programma di risoluzione”), sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (GU 2014, L 225, pag. 1).
3 In pari data, la Commissione europea ha adottato la decisione (UE) 2017/1246, che approva il programma di risoluzione (GU 2017, L 178, pag. 15).
4 Nel programma di risoluzione, il CRU, ritenendo soddisfatte le condizioni di cui all’articolo 18, paragrafo 1, del regolamento n. 806/2014, ha deciso di sottoporre il Banco Popular Español (in prosieguo: il “Banco Popular”) a una procedura di risoluzione. Il CRU ha deciso di svalutare e convertire gli strumenti di capitale del Banco Popular ai sensi dell’articolo 21 del regolamento n. 806/2014 e di applicare lo strumento della vendita dell’attività d’impresa ai sensi dell’articolo 24 del medesimo regolamento, trasferendo le azioni a un acquirente.
5 A seguito della risoluzione del Banco Popular, la Deloitte (in prosieguo: «Deloitte») ha presentato al CRU, il 14 giugno 2018, la valutazione della differenza di trattamento, prevista dall’articolo 20, paragrafi da 16 a 18, del regolamento n. 806/2014, effettuata al fine di accertare se gli azionisti e i creditori avrebbero ricevuto un trattamento migliore se il Banco Popular fosse stato sottoposto a una procedura ordinaria di insolvenza (in prosieguo: la «Valutazione 3»).
6 Il 6 agosto 2018 il CRU ha pubblicato sul suo sito Internet il proprio avviso del 2 agosto 2018 in merito alla sua decisione preliminare sulla necessità di concedere un indennizzo agli azionisti e ai creditori nei cui confronti sono state avviate le azioni di risoluzione delle crisi riguardanti il Banco Popular e l’avvio del procedimento relativo al diritto di essere ascoltati (SRB/EES/2018/132), nonché una versione non riservata della valutazione 3. Il 7 agosto 2018 è stata pubblicata nella Gazzetta ufficiale dell’Unione europea una comunicazione riguardante il parere del CRU (GU 2018, C 277 I, pag. 1).
7 Nella decisione preliminare, il CRU ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento n. 806/2014, questi ultimi erano invitati a manifestare il loro interesse ad esercitare il diritto di essere ascoltati ai sensi dell’articolo 41, paragrafo 2, lettera a), della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: «la Carta»).
Sul procedimento relativo al di diritto di essere ascoltato
8 Nella decisione preliminare il CRU ha indicato che la procedura relativa al diritto di essere ascoltato si sarebbe svolta in due fasi. In una prima fase (in prosieguo: la «fase di iscrizione»), gli azionisti e i creditori interessati erano invitati a manifestare il loro interesse ad esercitare il loro diritto di essere ascoltati mediante un modulo di iscrizione online entro il 14 settembre 2018. Inoltre, il CRU doveva verificare se ciascuna parte che aveva manifestato il proprio interesse possedesse effettivamente lo status di azionista o di creditore interessato. In una seconda fase (in prosieguo: la «fase di consultazione»), gli azionisti e i creditori interessati il cui status era stato verificato dal CRU potevano presentare le proprie osservazioni sulla decisione preliminare, alla quale era allegata la valutazione 3.
9 Durante la fase di iscrizione, gli azionisti e i creditori interessati che intendevano esercitare il loro diritto di essere ascoltati dovevano fornire al CRU i documenti giustificativi che dimostrassero che, alla data della risoluzione, essi detenevano uno o più strumenti di capitale del Banco Popular che siano stati svalutati o convertiti e trasferiti al Banco Santander, SA nell’ambito della risoluzione. I documenti giustificativi da fornire comprendevano un documento di identità e una prova della proprietà di uno di tali strumenti di capitale alla data del 6 giugno 2017.
10 Il 6 agosto 2018, data di avvio della fase di iscrizione, il CRU ha altresì pubblicato, sulla pagina Internet di iscrizione al procedimento relativo al diritto di essere ascoltato e sul suo sito Internet, un’informativa sulla protezione dei dati personali riguardante il trattamento dei dati personali nell’ambito del procedimento relativo al diritto di essere ascoltato (in prosieguo: l’«informativa sulla protezione dei dati personali»).
11 Il 16 ottobre 2018 il CRU ha annunciato sul suo sito Internet che a partire dal 6 novembre 2018 gli azionisti e creditori idonei sarebbero stati invitati a presentare le loro osservazioni scritte sulla decisione preliminare durante la fase di consultazione.
12 Il 6 novembre 2018, tramite un messaggio di posta elettronica, il CRU ha inviato agli azionisti e ai creditori idonei un link unico personale per accedere su Internet a un modulo (in prosieguo: il «modulo»). Il modulo conteneva sette domande, con uno spazio di risposta limitato, che consentivano agli azionisti e ai creditori interessati di presentare, entro il 26 novembre 2018, osservazioni sulla decisione preliminare nonché sulla versione non riservata della valutazione 3.
13 Il CRU ha esaminato le osservazioni degli azionisti e dei creditori interessati in merito alla decisione preliminare. Esso ha chiesto a Deloitte, nella sua qualità di valutatore indipendente, di valutare le osservazioni pertinenti relative alla valutazione 3, di fornirgli un documento contenente la sua valutazione e di esaminare se la valutazione 3 restasse valida alla luce di tali osservazioni.
Sul trattamento dei dati raccolti dal CRU nell’ambito della procedura relativa al diritto di essere ascoltati
14 I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità dei partecipanti e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del CRU incaricati del trattamento di tali dati al fine di determinare l’idoneità dei partecipanti.
15 Questi dati non erano visibili ai membri del personale del CRU incaricati di elaborare le osservazioni ricevute durante la fase di consultazione, durante la quale hanno ricevuto solo osservazioni identificate con riferimento a un codice alfanumerico assegnato a ciascuna osservazione inviata tramite il modulo. Il codice alfanumerico consisteva in un identificativo unico universale a 33 cifre, generato in modo casuale al momento della ricezione delle risposte al modulo.
16 Nella prima fase, il CRU ha proceduto ad un filtraggio automatico di 23 822 osservazioni, ciascuna recante un codice alfanumerico unico, inviate da 2 855 partecipanti alla procedura. Due algoritmi hanno consentito di identificare 20 101 osservazioni come identiche. L’osservazione presentata per prima è stata considerata l’osservazione originale, che è stata esaminata durante la fase di analisi, e le osservazioni identiche ricevute successivamente sono state identificate come doppioni.
17 Nella seconda fase, quella di analisi, il CRU ha esaminato le osservazioni con l’obiettivo di garantire la coerenza nella valutazione della loro rilevanza e della loro suddivisione in categorie o gruppi di temi definiti. Il CRU ha quindi individuato osservazioni simili, ma non identiche, fondate sulle stesse fonti disponibili su Internet.
18 Il personale del CRU incaricato di analizzare le osservazioni non ha avuto accesso né ai dati raccolti durante la fase di iscrizione, sicché le osservazioni erano dissociate dalle informazioni personali dei soggetti che le avevano inviate, né alla chiave dati o alle informazioni che consentono di risalire all’identità di un partecipante tramite riferimento al codice alfanumerico unico assegnato a ciascuna osservazione.
19 In tale fase di analisi, il CRU ha confrontato tutte le osservazioni presentate e le ha classificate in funzione della domanda del modulo alla quale esse rispondevano. Le osservazioni sono state poi valutate in funzione della loro pertinenza e divise tra, da un lato, quelle che rientravano nella procedura relativa al diritto di essere ascoltato potendo influire sulla decisione preliminare o sulla valutazione 3 e, dall’altro, quelle che non vi rientravano in quanto riguardavano altri aspetti della risoluzione del Banco Popular.
20 Un’osservazione rientrante nell’ambito di applicazione della procedura era poi assegnata a uno dei quindici temi predefiniti dal CRU. A seconda del tema in cui rientravano, le osservazioni sono state suddivise tra quelle che dovevano essere esaminate dal CRU in quanto riguardavano la decisione preliminare e quelle che dovevano essere esaminate da Deloitte in quanto riguardavano la valutazione 3. Tra le osservazioni che andavano esaminate, il CRU non ha distinto tra quelle che erano state presentate una sola volta e quelle che avevano doppioni.
21 Al termine della fase di analisi, il CRU ha individuato 3 730 osservazioni classificate in base alla loro rilevanza e al tema trattato.
22 Nella terza fase, la fase di esame, le osservazioni relative alla decisione preliminare sono state elaborate dal CRU e quelle relative alla valutazione 3, ossia 1 104 osservazioni, sono state trasferite a Deloitte, il 17 giugno 2019, attraverso un server dati virtuale sicuro dedicato al CRU. Quest’ultimo ha scaricato i file da trasmettere a Deloitte sul server virtuale e ha dato accesso a tali file a un numero limitato e controllato di membri del personale di Deloitte direttamente coinvolti in tale progetto.
23 Le osservazioni trasmesse a Deloitte erano filtrate, classificate e aggregate. Quando costituivano copie di osservazioni precedenti, veniva trasmessa a Deloitte una sola versione, cosicché le osservazioni individuali che erano state replicate non potevano essere distinte nell’ambito di uno stesso tema e Deloitte non aveva la possibilità di sapere se fosse stata formulata un’osservazione da parte di uno o più partecipanti alla procedura.
24 Le osservazioni trasmesse a Deloitte riguardavano unicamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico. Mediante tale codice, il CRU era l’unico a poter collegare le osservazioni ai dati ricevuti durante la fase di iscrizione. Il codice alfanumerico è stato sviluppato a fini di audit per consentire di verificare ed eventualmente dimostrare a posteriori che ogni osservazione era stata trattata e debitamente presa in considerazione. Deloitte non aveva e non ha tuttora accesso alla banca dati contenente i dati raccolti durante la fase di iscrizione.
Sulla procedura presso il GEPD
25 Il 19, 26 e 28 ottobre e il 5 dicembre 2019, taluni azionisti e creditori interessati che avevano risposto al modulo hanno inviato al GEPD cinque reclami (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (in prosieguo: i «cinque reclami») ai sensi del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39).
26 Gli autori dei cinque reclami (in prosieguo: i «reclamanti») hanno addotto che il CRU non li aveva informati che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi a terzi, ossia Deloitte e Banco Santander, in violazione dei termini dell’informativa sulla protezione dei dati personali. Il CRU avrebbe così violato l’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, che stabilisce che, «[i]n caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le (…) informazioni [riguardanti] gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali».
27 Il 12 dicembre 2019 il GEPD ha informato il CRU di aver ricevuto i cinque reclami e gli ha chiesto di presentare osservazioni.
28 Il 24 giugno 2020, al termine di un procedimento nel corso del quale il CRU ha fornito diverse spiegazioni su richiesta del GEPD e i reclamanti hanno presentato osservazioni, il GEPD ha adottato la decisione iniziale. Il GEPD ha dichiarato che il CRU aveva violato l’articolo 15 del regolamento 2018/1725 in quanto non aveva informato i reclamanti, nell’informativa sulla protezione dei dati personali, che era possibile che i loro dati personali fossero comunicati a Deloitte. Di conseguenza, esso ha rivolto un ammonimento al CRU per tale violazione in forza dell’articolo 58, paragrafo 2, lettera b), del regolamento 2018/1725.
29 Il 22 luglio 2020 il CRU ha chiesto al GEPD di rivedere la decisione iniziale ai sensi dell’articolo 18, paragrafo 1, della decisione del GEPD del 15 maggio 2020 di adozione del regolamento interno del GEPD (GU 2020, L 204, pag. 49). Il CRU ha in particolare fornito una descrizione dettagliata della procedura relativa al diritto di essere ascoltati e dell’analisi delle osservazioni presentate, durante la fase di consultazione, da quattro dei reclamanti individuati. Esso ha sostenuto che le informazioni trasmesse a Deloitte non costituivano dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
30 Il 5 agosto 2020 il GEPD ha informato il CRU che, alla luce dei nuovi elementi forniti, aveva deciso di rivedere la decisione iniziale e che avrebbe adottato una decisione che l’avrebbe sostituita.
31 Il 24 novembre 2020, al termine della procedura di revisione, durante la quale i reclamanti hanno presentato osservazioni e il CRU ha fornito informazioni supplementari su richiesta del GEPD, quest’ultimo ha adottato la decisione rivista.
32 Il GEPD ha deciso di rivedere la decisione iniziale nei seguenti termini:
«1. Il GEPD ritiene che i dati che il CRU ha condiviso con Deloitte fossero dati pseudonimizzati, sia perché le osservazioni della fase [di consultazione] erano dati personali sia perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase [di iscrizione] a quelle della fase [di consultazione], sebbene i dati forniti dai partecipanti per identificarsi durante la fase [di iscrizione] non fossero stati comunicati a Deloitte.
2. Il GEPD ritiene che Deloitte fosse un destinatario di dati personali dei reclamanti ai sensi dell’articolo 3, punto 13, del regolamento 2018/1725. Il fatto che Deloitte non sia stata menzionata nella informativa sulla protezione dei dati personali del CRU quale potenziale destinatario dei dati personali raccolti e trattati dal CRU, nella sua qualità di responsabile del trattamento nell’ambito della procedura relativa al diritto di essere ascoltato, costituisce una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), [del regolamento 2018/1725].
3. Alla luce di tutte le misure tecniche e organizzative messe in atto dal CRU per mitigare i rischi per il diritto delle persone alla protezione dei dati nel contesto della procedura relativa al diritto di essere ascoltati, il GEPD decide di non esercitare i suoi poteri correttivi ai sensi dell’articolo 58, paragrafo 2, [del regolamento 2018/1725].
4. Il GEPD raccomanda tuttavia che il CRU garantisca che le sue informative sulla protezione dei dati personali nelle future procedure relative al diritto di essere ascoltati coprano il trattamento dei dati personali sia nella fase di iscrizione che in quella di consultazione e che includano tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell’articolo 15 [del regolamento 2018/1725]».
Conclusioni delle parti
33 Il CRU chiede, dopo l’adeguamento delle sue conclusioni, che il Tribunale voglia:
– annullare la decisione rivista;
– dichiarare illegittima la decisione iniziale;
– condannare il GEPD alle spese.
34 Il GEPD chiede che il Tribunale voglia:
– respingere il ricorso;
– condannare il CRU alle spese.
In diritto
Sul secondo capo delle conclusioni, con cui si chiede al Tribunale di «dichiarare illegittima la decisione iniziale»
35 Nel caso di specie è pacifico tra le parti che la decisione rivista ha abrogato e sostituito la decisione iniziale.
36 Il GEPD fa valere che, per questo motivo, il capo delle conclusioni riguardante la decisione iniziale è irricevibile.
37 Il CRU sostiene di mantenere un interesse a far constatare le irregolarità procedurali che hanno condotto all’adozione della decisione iniziale, ossia le violazioni dei suoi diritti della difesa e del suo diritto di accesso al fascicolo, affinché esse non si ripetano in futuri procedimenti. Esso ha precisato, nella sua risposta a una misura di organizzazione del procedimento, che, con il suo secondo capo della domanda, esso non chiedeva di annullare la decisione iniziale, poiché quest’ultima era stata abrogata e sostituita dalla decisione rivista con effetto ex tunc, bensì di dichiararla illegittima.
38 Si deve quindi ritenere che, con il suo secondo capo di conclusioni, il CRU miri ad ottenere una sentenza dichiarativa e non già l’annullamento di un atto.
39 Orbene, occorre ricordare che da una giurisprudenza costante emerge che il Tribunale non è competente, nell’ambito del controllo di legittimità fondato sull’articolo 263 TFUE, a pronunciare sentenze dichiarative (v. sentenze del 4 febbraio 2009, Omya/Commissione, T‑145/06, EU:T:2009:27, punto 23 e giurisprudenza citata, e del 13 settembre 2018, DenizBank/Consiglio, T‑798/14, EU:T:2018:546, punto 135 e giurisprudenza citata).
40 Ne consegue che il secondo capo delle conclusioni del CRU, con cui si chiede al Tribunale di «dichiarare illegittima la decisione iniziale», deve essere respinto a causa dell’incompetenza del Tribunale a conoscerne.
Sulla ricevibilità del primo capo delle conclusioni, diretto all’annullamento della decisione rivista
41 La ricevibilità del ricorso rientra tra i motivi di irricevibilità di ordine pubblico che possono, in qualsiasi momento, essere rilevati d’ufficio dal giudice dell’Unione (v. sentenza del 16 marzo 2022, MEKH e FGSZ/ACER, T‑684/19 e T‑704/19, EU:T:2022:138, punto 29 e giurisprudenza citata; v. altresì, in questo senso, sentenza del 24 marzo 1993, CIRFS e a./Commissione, C‑313/90, EU:C:1993:111, punto 23). Nell’ambito di una misura di organizzazione del procedimento, il Tribunale ha interrogato le parti, in particolare, quanto al fatto che la decisione rivista costituisse o meno un atto impugnabile ai sensi dell’articolo 263 TFUE.
42 In risposta a tale quesito, il GEPD afferma che il fatto che la decisione rivista contenga la sua posizione finale e una dichiarazione di violazione non basta affinché essa costituisca un atto impugnabile. Sarebbe necessario che tale posizione comportasse una modifica della situazione giuridica del CRU. Poiché nella decisione rivista il GEPD non si è avvalso dei suoi poteri correttivi di cui all’articolo 58 del regolamento 2018/1725, si potrebbe ritenere che essa non produca effetti giuridici ai fini del controllo giurisdizionale ai sensi dell’articolo 263 TFUE.
43 Il CRU, nella sua risposta a questo stesso quesito, fa valere che la decisione rivista produce effetti giuridici che possono incidere sui suoi interessi.
44 Dalla giurisprudenza risulta che sono impugnabili da una persona fisica o giuridica, ai sensi dell’articolo 263 TFUE, quarto comma, soltanto i provvedimenti che producono effetti giuridici obbligatori idonei a incidere sugli interessi di chi li impugna, modificando in misura rilevante la sua situazione giuridica. Pertanto, costituiscono atti impugnabili, in linea di principio, i provvedimenti che stabiliscono in modo definitivo la posizione di un’istituzione, di un organo o di un organismo dell’Unione al termine di una procedura amministrativa e che sono intesi alla produzione di effetti giuridici obbligatori tali da incidere sugli interessi della parte ricorrente, con esclusione dei provvedimenti provvisori destinati a preparare la decisione definitiva, privi di tali effetti (v. sentenze del 25 giugno 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, punti 69 e 70 e giurisprudenza citata, e del 6 maggio 2021, ABLV Bank e a/BCE, C‑551/19 P e C‑552/19 P, EU:C:2021:369, punto 39 e giurisprudenza ivi citata).
45 Per stabilire se l’atto impugnato produca simili effetti, occorre riferirsi alla sostanza dell’atto e valutare tali effetti alla luce di criteri oggettivi, come il contenuto dell’atto stesso, tenendo conto, eventualmente, del contesto dell’adozione di quest’ultimo nonché dei poteri dell’istituzione, dell’organo e dell’organismo dell’Unione che ne è l’autore (sentenze del 22 aprile 2021, thyssenkrupp Electrical Steel e thyssenkrupp Electrical Steel Ugo/Commissione, C‑572/18 P, EU:C:2021:317, punto 48 e giurisprudenza citata; del 6 maggio 2021, ABLV Bank e a./BCE, C‑551/19 P e C 552/19 P, EU:C:2021:369, punto 41 e giurisprudenza citata, e del 6 ottobre 2021, Tognoli e a./Parlamento, C‑431/20 P, EU:C:2021:807, punto 34 e giurisprudenza citata).
46 In primo luogo, occorre ricordare che la decisione rivista è stata adottata dal GEPD a seguito di una richiesta di revisione della decisione iniziale da parte del CRU. La decisione rivista, adottata a seguito di una procedura amministrativa in contraddittorio, abroga e sostituisce la decisione iniziale e costituisce una decisione che stabilisce definitivamente la posizione del GEPD sui cinque reclami.
47 Orbene, l’articolo 64, paragrafo 2, del regolamento 2018/1725, relativo al diritto a un ricorso giurisdizionale effettivo, prevede che avverso le decisioni del GEPD possa essere proposto ricorso dinanzi alla Corte di giustizia dell’Unione europea.
48 In particolare, l’articolo 18 del regolamento interno del GEPD, sul cui fondamento è stata adottata la decisione rivista, dispone segnatamente al suo paragrafo 3:
«Se, a seguito di una richiesta di revisione della decisione su un reclamo, il GEPD emette una nuova decisione rivista, il GEPD informa il reclamante e l’istituzione interessata che possono impugnare la nuova decisione dinanzi alla Corte di giustizia dell’Unione europea ai sensi dell’articolo 263 [TFUE]».
49 A questo proposito, nella lettera che correda la decisione rivista inviata al CRU, si legge quanto segue:
«Si prega di notare che questa decisione annulla e sostituisce la decisione adottata il 24 giugno 2020. Lei può proporre un ricorso di annullamento della presente decisione dinanzi alla Corte di giustizia dell’Unione europea entro due mesi dall’adozione della presente decisione e alle condizioni previste dall’articolo 263 [TFUE]».
50 In secondo luogo, per quanto riguarda la sostanza della decisione rivista, occorre ricordare, da un lato, che il GEPD ha concluso che il CRU aveva commesso una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 e, dall’altro, che gli ha raccomandato, in sostanza, di assicurarsi, nelle sue future informative sulla protezione dei dati, di non riprodurre una siffatta violazione.
51 Da un lato, occorre rilevare che, in applicazione dell’articolo 65 del regolamento 2018/1725, una siffatta violazione può far sorgere la responsabilità del CRU, in quanto responsabile del trattamento dei dati interessati, fatto salvo il rispetto delle altre condizioni previste dai trattati.
52 Dall’altro lato, in applicazione dell’articolo 66, paragrafo 1, del regolamento 2018/1725, il GEPD, al momento di decidere se infliggere una sanzione amministrativa pecuniaria a un’istituzione, organo o organismo dell’Unione, e di fissare l’ammontare della stessa, tiene conto, in particolare, di eventuali precedenti violazioni analoghe commesse da tale istituzione o organo. Pertanto, se il CRU non dovesse seguire la raccomandazione del GEPD di modificare in futuro le sue informative sulla protezione dei dati nelle procedure relative al diritto di essere ascoltato, potrebbe essere constatata una violazione analoga dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 da parte del CRU e ciò potrebbe comportare l’irrogazione di un’ammenda.
53 Ne consegue che la constatazione, nella decisione rivista, della violazione da parte del CRU dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 produce effetti giuridici vincolanti, sebbene il GEPD abbia indicato che rinunciava ad esercitare i suoi poteri correttivi di cui all’articolo 58, paragrafo 2, del regolamento 2018/1725.
54 Alla luce di quanto precede, la decisione rivista è un atto dell’Unione idoneo ad incidere sugli interessi del suo destinatario, modificando in misura rilevante la sua situazione giuridica. Essa costituisce quindi un atto impugnabile ai sensi dell’articolo 263 TFUE.
55 Pertanto, si deve considerare che il primo capo delle conclusioni diretto all’annullamento della decisione rivista è ricevibile.
Nel merito
56 A sostegno del ricorso, il CRU deduce due motivi. Il primo motivo verte sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali. Il secondo motivo verte sulla violazione del diritto ad una buona amministrazione sancito dall’articolo 41 della Carta dei diritti fondamentali.
57 Con il primo motivo, il CRU fa valere che il GEPD ha violato l’articolo 3, punto 1, del regolamento 2018/1725 ritenendo, nella decisione rivista, che le informazioni trasmesse a Deloitte costituissero dati personali dei reclamanti.
58 L’articolo 3, punto 1, del regolamento 2018/1725 definisce i dati personali come «qualsiasi informazione concernente una persona fisica identificata o identificabile [e indica che] si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
59 Da tale definizione risulta che un’informazione costituisce un dato personale, in particolare, se sono soddisfatte due condizioni cumulative, vale a dire, da un lato, che tale informazione «concern[e]» una persona fisica e, dall’altro, che tale persona è «identificata o identificabile».
Sulla condizione prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione deve essere «concernente» una persona fisica
60 Il CRU sostiene che le osservazioni ricevute durante la fase di consultazione e comunicate a Deloitte non concernevano persone specifiche ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. Esso ritiene che il ragionamento seguito nella sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), non si applichi alle osservazioni dei reclamanti. Esso sostiene che le informazioni contenute nelle osservazioni dei reclamanti erano informazioni di fatto e di diritto indipendenti dalle persone o dalle qualità personali dei reclamanti e non connesse alla loro vita privata. Esso considera che l’obiettivo del procedimento relativo al diritto di essere ascoltato fosse quello di valutare argomenti di fatto e di diritto riguardanti la decisione preliminare e la valutazione 3 provenienti da un gran numero di parti interessate, non essendo pertinente ai fini della valutazione delle osservazioni di queste ultime da che persona provenissero e quale fosse l’identità di tali parti.
61 Il GEPD sostiene che il contenuto delle osservazioni degli azionisti e dei creditori interessati è un’informazione che li «concerne», in quanto le loro risposte contenevano e riflettevano il loro punto di vista personale, anche se si basavano su informazioni accessibili al pubblico. Le risposte al modulo da parte dei reclamanti e degli altri partecipanti costituirebbero dati personali, a prescindere dal fatto che siano espressione di un parere originale o di un parere condiviso con altri e a prescindere dal fatto che il CRU le consideri come informazioni indipendenti dagli specifici diritti degli azionisti e dei creditori interessati in materi di protezione della loro vita privata.
62 Il GEPD ritiene inoltre che le osservazioni costituiscano dati personali a causa del loro effetto. La valutazione espressa su tali osservazioni, diretta a verificare la validità della valutazione 3 e la legittimità della decisione preliminare, avrebbe potuto incidere sugli interessi e sui diritti dei partecipanti in materia di compensazione finanziaria. Infine, esso afferma che la finalità della raccolta delle osservazioni era di concedere diritti procedurali a ciascuna parte, al fine di raccogliere punti di vista individuali.
63 Nella decisione rivista il GEPD ha indicato che le risposte ricevute durante la fase di consultazione costituivano dati personali dei reclamanti, in quanto contenevano il loro punto di vista personale e rappresentavano pertanto informazioni che li riguardano, anche se erano basate su informazioni accessibili al pubblico per esprimere il loro punto di vista. Esso ha ritenuto che il fatto che i reclamanti avessero espresso punti di vista simili, ma non identici, a quelli di altri partecipanti non significasse che le loro risposte non riflettevano la loro opinione. Di conseguenza, il GEPD ha reputato che tutte le risposte fornite nei campi di testo libero dai reclamanti e dagli altri partecipanti dovessero essere considerate dati personali, indipendentemente dal fatto che si trattasse dell’espressione di un punto di vista originale e unico o di un punto di vista condiviso con altri o ispirato o tratto da informazioni accessibili al pubblico. Esso ha aggiunto che tale conclusione non era contraddetta dalla sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), nella quale la Corte non aveva operato alcuna distinzione tra le risposte interamente elaborate dai rispondenti e le risposte tratte da altre fonti di conoscenze.
64 Occorre esaminare se il GEPD abbia potuto correttamente ritenere che le informazioni trasmesse a Deloitte «concerne[vano]» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
65 In via preliminare, occorre constatare che, nella decisione rivista, il GEPD ha qualificato come dati personali tutte le osservazioni formulate dagli azionisti e dai creditori interessati nell’ambito della fase di consultazione e non ha limitato la sua valutazione alle sole informazioni trasmesse a Deloitte.
66 Orbene, poiché la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 constatata nella decisione rivista riguardava unicamente il fatto che il CRU non aveva menzionato, nell’informativa sulla protezione dei dati personali, che Deloitte sarebbe stata la destinataria potenziale di taluni dati, occorre limitarsi ad esaminare se le informazioni trasmesse a Deloitte fossero dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
67 A tal riguardo, l’articolo 3, punto 13, del regolamento 2018/1725 definisce il «destinatario» come «la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi».
68 Secondo la giurisprudenza, l’uso dell’espressione «qualsiasi informazione» nell’ambito della definizione della nozione di «dati personali», di cui all’articolo 3, punto 1, del regolamento 2018/1725 riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano «concernenti» la persona interessata (v., per analogia, sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 34).
69 Per quanto riguarda tale ultima condizione, la Corte ha dichiarato che essa era soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione era connessa a una determinata persona (sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 35).
70 Orbene, nella decisione rivista il GEPD non ha esaminato né il contenuto, né la finalità, né l’effetto delle informazioni trasmesse a Deloitte.
71 Esso si è infatti limitato ad indicare che le osservazioni prodotte dai reclamanti durante la fase di consultazione riflettevano le loro opinioni o i loro punti di vista e a concludere, su questa sola base, che esse costituivano informazioni che li concernevano, il che era sufficiente per qualificarle come dati personali.
72 In udienza il GEPD ha confermato che, a suo avviso, qualsiasi opinione personale costituiva un dato personale. Esso ha altresì ammesso di non aver esaminato il contenuto delle osservazioni prodotte dai reclamanti durante la fase di consultazione.
73 Certamente, non si può escludere che punti di vista personali o opinioni costituiscano dati personali. Tuttavia, dai punti 34 e 35 della sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), citata ai punti 68 e 69 supra, si evince che tale conclusione non può basarsi su una presunzione come quella descritta ai punti 71 e 72 supra, ma deve basarsi su un esame volto ad accertare se, per il suo contenuto, scopo o effetto, un punto di vista sia collegato a una persona specifica.
74 Ne consegue che, non avendo effettuato un siffatto esame, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero un’informazione «concernente» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
75 Il Tribunale esaminerà nel prosieguo la valutazione del GEPD volta a chiarire se le informazioni trasmesse a Deloitte concernessero una persona fisica «identificata o identificabile».
Sulla condizione prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione concerne una persona fisica «identificata o identificabile»
76 Il CRU sostiene che, contrariamente a quanto ritenuto dal GEPD, la comunicazione del codice alfanumerico a Deloitte non ha portato a «pseudonimizzare» i dati. Questi ultimi sarebbero rimasti anonimi, in quanto il CRU non avrebbe condiviso con Deloitte le informazioni che consentivano di reidentificare gli autori delle osservazioni.
77 Il CRU sostiene che i dati sono anonimizzati per un terzo, anche se l’informazione che consente la reidentificazione non è irrevocabilmente eliminata ed è conservata dal responsabile del trattamento iniziale, dal momento che il formato in cui i dati sono comunicati a tale terzo non consente più l’identificazione dell’autore delle osservazioni o non la rende ragionevolmente verosimile. Il CRU fa valere che, contrariamente a quanto ritenuto dal GEPD nella decisione rivista, il regolamento 2018/1725 e la giurisprudenza della Corte richiedono una valutazione del rischio di reidentificazione.
78 Più in particolare, il CRU afferma che le condizioni poste dalla giurisprudenza della Corte in merito all’esistenza di un rischio di reidentificazione quando non tutte le informazioni idonee a consentire l’identificazione sono detenute da una sola persona, bensì da più parti, non sono soddisfatte nel caso di specie. Da un lato, il codice alfanumerico attribuito alle osservazioni individuali non consentirebbe a Deloitte di reidentificare le persone che hanno presentato osservazioni. Le informazioni aggiuntive menzionate all’articolo 3, punto 6, del regolamento 2018/1725 sarebbero costituite dalla banca dati che consente la decodificazione alla quale solo il CRU avrebbe accesso. Dall’altro lato, per quanto riguarda il criterio di probabilità ragionevole di combinazione delle informazioni, Deloitte non avrebbe avuto e ancora non avrebbe mezzi legali per accedere alle informazioni aggiuntive e di identificazione.
79 Il GEPD sostiene che il fatto che Deloitte non abbia avuto accesso alle informazioni detenute dal CRU che consentono la reidentificazione non comporta che i dati «pseudonimizzati» trasmessi a Deloitte siano divenuti dati anonimi. Non sarebbe necessario stabilire se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente probabile. Dati «pseudonimizzati» rimarrebbero tali anche quando vengono trasmessi a terzi che non dispongono di informazioni aggiuntive.
80 Il GEPD fa valere che l’uso del termine «indirettamente» all’articolo 3, punto 1, del regolamento 2018/1725 significa che, affinché un’informazione sia qualificata come dato personale, non è necessario che essa consenta di per sé sola di identificare la persona interessata. Inoltre, per quanto riguarda i mezzi che possono essere ragionevolmente utilizzati sia dal titolare del trattamento sia da qualsiasi altra persona, non sarebbe richiesto che tutte le informazioni che consentono di identificare l’interessato debbano trovarsi in possesso di una sola persona.
81 Nella decisione rivista il GEPD ha ritenuto che le informazioni trasmesse a Deloitte costituissero dati «pseudonimizzati». A tal riguardo, esso ha indicato che la differenza tra i dati «pseudonimizzati» e i dati anonimi risiedeva nel fatto che, nel caso di dati anonimi, non esistevano «informazioni aggiuntive» che potessero essere utilizzate per attribuire i dati a uno specifico interessato, mentre nel caso di dati «pseudonimizzati» siffatte informazioni aggiuntive esistevano. Pertanto, al fine di valutare se i dati fossero anonimi o «pseudonimizzati», occorreva esaminare se esistessero «informazioni aggiuntive» che potevano essere utilizzate per attribuire i dati a determinati interessati.
82 IL GEPD ha rilevato che il CRU aveva trasmesso a Deloitte non solo alcune osservazioni degli azionisti e dei creditori interessati, ma anche il corrispondente codice alfanumerico e che Deloitte non aveva avuto accesso alle risposte fornite nella fase di iscrizione. Esso ha indicato che, come spiegato dal CRU, «per Deloitte era impossibile rintracciare l’identità di qualsiasi parte che utilizzava tale codice facendo riferimento ai dati concreti forniti dalle parti idonee nell’ambito della fase di registrazione (sempre conservata dal CRU)». Tuttavia, il GEPD ha ritenuto che i dati forniti durante la fase di registrazione con l’identificativo unico, ossia il codice alfanumerico assegnato a ciascun partecipante idoneo, costituissero un perfetto esempio di «informazioni aggiuntive» ai sensi dell’articolo 3, punto 6, del regolamento 2018/1725, in quanto potevano essere utilizzati dal CRU per attribuire i dati a una specifica persona interessata.
83 Il GEPD ha spiegato che il regolamento 2018/1725 non distingueva tra coloro che conservavano i dati «pseudonimizzati» e coloro che detenevano le informazioni aggiuntive, e che il fatto che si trattasse di entità diverse non rendeva anonimi i dati «pseudonimizzati». Esso ha aggiunto che il fatto che Deloitte non fosse in grado, da sola, di attribuire le osservazioni ai dati ricevuti durante la fase di iscrizione non escludeva che i dati che aveva ricevuto fossero «pseudonimizzati». Secondo il GEPD, i dati che il CRU aveva condiviso con Deloitte erano dati «pseudonimizzati», sia perché le osservazioni ricevute durante la fase di consultazione erano dati personali sia perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte fornite nella fase di iscrizione a quelle fornite durante la fase di consultazione, sebbene i dati forniti dai partecipanti per identificarsi durante la fase di iscrizione non fossero stati comunicati a Deloitte. Esso ne ha tratto la conclusione che le informazioni trasmesse a Deloitte erano dati «pseudonimizzati» e, pertanto, dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
84 In via preliminare, va osservato che, visti i meccanismi messi in atto dal CRU in merito al trattamento dei dati raccolti nell’ambito della procedura relativa al diritto di essere ascoltati, come descritto ai punti da 14 a 24, le informazioni trasmesse a Deloitte non riguardavano persone «identificate».
85 Occorre quindi esaminare se il GEPD potesse correttamente ritenere che le informazioni trasmesse a Deloitte concernessero una persona fisica «identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
86 Secondo tale disposizione, si considera «persona fisica identificabile» la persona fisica che può essere identificata, direttamente o indirettamente.
87 Il considerando 16 del regolamento 2018/1725 prevede quanto segue:
«(…) I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici (…)».
88 Occorre rilevare che, nella sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), la Corte ha interpretato la nozione di «dati personali» ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), che contiene una disposizione equivalente all’articolo 3, punto 1, del regolamento 2018/1725.
89 La questione sottoposta in tale causa era se un indirizzo di protocollo Internet (in prosieguo: l’«indirizzo IP») dinamico costituisse un dato personale nei confronti del fornitore di servizi di media online che l’aveva registrato. La Corte ha ritenuto che occorresse verificare se tale indirizzo IP poteva essere qualificato come informazione riferita a una «persona fisica identificabile», tenendo conto, da un lato, del fatto che esso non offriva, di per sé, a tale fornitore la possibilità di identificare l’utente che aveva consultato il sito Internet e, dall’altro, del fatto che le informazioni aggiuntive necessarie che, se combinate con tale indirizzo IP, avrebbero consentito di identificare detto utente, erano in possesso del fornitore di accesso a Internet.
90 Nella misura in cui il considerando 16 del regolamento 2018/1725 fa riferimento ai mezzi che possono essere ragionevolmente utilizzati tanto dal responsabile del trattamento quanto da «altri», la sua formulazione suggerisce che, perché un dato possa essere qualificato come «dato personale» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725 non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona (v., per analogia, sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 43).
91 Tuttavia, la Corte ha inoltre spiegato che il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet fossero detenute non già dal fornitore di servizi di media online, bensì dal fornitore di accesso a Internet di tale utente non pareva quindi idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituissero, per quest’ultimo, dati personali (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 44).
92 La Corte ha considerato che occorreva tuttavia determinare se la possibilità di combinare un indirizzo IP dinamico con le suddette informazioni aggiuntive detenute da detto fornitore di accesso a Internet costituisse un mezzo che potesse essere ragionevolmente utilizzato per identificare la persona interessata (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 45).
93 La Corte ha dichiarato che tale situazione non si verificava laddove l’identificazione della persona interessata fosse vietata dalla legge o fosse praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe un dispendio di tempo, di costo e di manodopera, facendo così apparire in realtà insignificante il rischio di identificazione (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 46).
94 Nel caso di specie, è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a Deloitte non consentiva di per sé di identificare gli autori delle osservazioni e, dall’altro, che Deloitte non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico.
95 Il GEPD ha indicato nella decisione rivista e confermato in udienza che le informazioni aggiuntive necessarie per identificare gli autori delle osservazioni consistevano nel codice alfanumerico e nella banca dati di identificazione.
96 Certamente, come sostiene il GEPD, visto il punto 43 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al punto 90, il fatto che le informazioni aggiuntive necessarie per identificare gli autori delle osservazioni ricevute durante la fase di consultazione non fossero in possesso di Deloitte, bensì del CRU, non è idoneo a escludere a priori che le informazioni trasmesse a Deloitte costituissero dati personali per quest’ultima.
97 Tuttavia, dalla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779) risulta altresì che, per stabilire se le informazioni trasmesse a Deloitte costituissero dati personali, occorre porsi dal punto di vista di quest’ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a «persone identificabili».
98 Infatti, occorre ricordare, in primo luogo, che la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 constatata dal GEPD nella decisione rivista riguardava il trasferimento da parte del CRU di talune osservazioni a Deloitte e non già la mera detenzione da parte del CRU di queste ultime.
99 In secondo luogo, da un lato, la situazione di Deloitte può essere paragonata a quella del fornitore di servizi di media online di cui alla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), dato che essa era in possesso di informazioni, ossia le osservazioni relative alla valutazione 3, che non costituivano informazioni relative a una «persona fisica identificata», in quanto il codice alfanumerico contenuto in ciascuna risposta non consentiva di rivelare direttamente l’identità della persona fisica che aveva compilato il modulo. Dall’altro lato, la situazione del CRU può essere paragonata a quella del fornitore di accesso a Internet in tale causa, in quanto è pacifico che esso era l’unico a detenere le informazioni aggiuntive che consentivano l’identificazione degli azionisti e dei creditori interessati che hanno risposto al modulo, ossia il codice alfanumerico e la banca dati di identificazione.
100 Pertanto, ai sensi del punto 44 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al punto 91, incombeva al GEPD esaminare se le osservazioni inviate a Deloitte costituissero, nei suoi confronti, dati personali.
101 Quindi il GEPD versa in errore quando sostiene che non era necessario verificare se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente possibile.
102 È giocoforza constatare che, nella decisione rivista, il GEPD ha ritenuto che il fatto che il CRU possedeva le informazioni aggiuntive che consentono di reidentificare gli autori delle osservazioni era sufficiente per concludere che le informazioni trasmesse a Deloitte erano dati personali, pur riconoscendo che i dati identificativi ricevuti durante la fase di iscrizione non erano stati comunicati a Deloitte.
103 Dalla decisione rivista risulta quindi che il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del CRU e non di Deloitte.
104 Tuttavia, dal punto 45 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al precedente punto 92, si evince che incombeva al GEPD stabilire se la possibilità di combinare le informazioni fornite a Deloitte con le informazioni aggiuntive in possesso del CRU costituisse un mezzo che poteva essere ragionevolmente attuato da Deloitte per identificare gli autori delle osservazioni.
105 Pertanto, poiché il GEPD non ha verificato se Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
106 Da tutto quanto precede risulta che occorre accogliere il primo motivo e, pertanto, annullare la decisione rivista senza che sia necessario esaminare il secondo motivo.
Sulle spese
107 Ai sensi dell’articolo 134, paragrafo 1, del regolamento di procedura del Tribunale, la parte soccombente è condannata alle spese se ne è stata fatta domanda.
108 Poiché il GEPD è rimasto soccombente nel contenuto essenziale delle sue domande, esso dev’essere condannato alle spese, conformemente alla domanda del CRU.
Per questi motivi,
IL TRIBUNALE (Ottava Sezione ampliata)
dichiara e statuisce:
1) La decisione rivista del Garante europeo della protezione dei dati (GEPD) del 24 novembre 2020 adottata a seguito della richiesta di riesame presentata dal Comitato di risoluzione unico (CRU) relativamente alla decisione del GEPD del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) è annullata.
2) Il ricorso è respinto quanto al resto.
3) Il GEPD è condannato alle spese.
Kornezov | De Baere | Petrlík |
Kecsmár | Kingston |
Così deciso e pronunciato a Lussemburgo il 26 aprile 2023.
Firme
* Lingua processuale: l’inglese.
Nessun commento:
Posta un commento