(Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali in materia penale – Esercizio dei diritti dell’interessato tramite l’autorità di controllo competente – Verifica da parte di tale autorità della liceità del trattamento dei dati personali dell’interessato – Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo)

 

1. La direttiva (UE) 2016/680 (2), meglio conosciuta come «direttiva sulla [protezione dei dati nell’] attività di polizia e giudiziaria», prevede norme specifiche sulla protezione dei dati personali e sulla libera circolazione di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia e riflette, in sostanza, la «specificità dei settori in questione» (3). La direttiva 2016/680 persegue due obiettivi programmatici. Da un lato, essa mira a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia (in prosieguo: «SLSG») (4), che garantisca la libera circolazione dei dati personali tra le autorità competenti per finalità di applicazione normativa (5). Dall’altro, essa mira a garantire un livello elevato di protezione di tali dati. Il suo fondamento giuridico è l’articolo 16, paragrafo 2, TFUE, che affida al legislatore dell’Unione il compito di stabilire norme relative alla protezione dei dati personali.

 

2. «Conciliare» questi due obiettivi programmatici perseguite dalla direttiva 2016/680 rimane, tuttavia, un compito difficile (6). La presente causa offre alla Corte l’opportunità di esaminare un esempio concreto di bilanciamento tra l’applicazione della legge e la protezione dei dati nell’ambito dell’esercizio, dei diritti da parte degli interessati. La direttiva rafforza i diritti degli interessati rispetto al precedente regime previsto dalla decisione quadro 2008/977/GAI del Consiglio (7). Tale rafforzamento concerne, in particolare, il riconoscimento di un diritto di accesso diretto da parte dell’interessato, che è un elemento essenziale del diritto fondamentale alla protezione dei dati. Come osservato nella letteratura accademica, i diritti degli interessati nell’ambito di applicazione della legge sono «uno strumento essenziale contro le asimmetrie del potere informativo e il trattamento illecito» (8). È pertanto essenziale garantire che tali diritti possano essere esercitati in modo efficace.

 

I. Contesto normativo

 

Diritto dell’Unione europea

 

Direttiva 2016/680

 

3. Ai sensi dell’articolo 3 della direttiva 2016/680 si intende per:

 

«8) “titolare del trattamento” l’autorità competente che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o dello Stato membro, il titolare del trattamento o i criteri specifici applicabili alla sua nomina possono essere previsti dal diritto dell’Unione o dello Stato membro;

 

(...)

 

15) “autorità di controllo” l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 41».

 

4. Il capo III della direttiva 2016/680 è intitolato «Diritti dell’interessato». Nello stesso capo, l’articolo 13, intitolato «Informazioni da rendere disponibili o da fornire all’interessato», ai paragrafi 3 e 4 recita quanto segue:

 

«3. Gli Stati membri possono adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all’interessato ai sensi del paragrafo 2 nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:

 

a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

 

b) non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali;

 

c) proteggere la sicurezza pubblica;

 

d) proteggere la sicurezza nazionale;

 

e) proteggere i diritti e le libertà altrui.

 

4. Gli Stati membri possono adottare misure legislative al fine di determinare le categorie di trattamenti cui può applicarsi, in tutto o in parte, una delle lettere del paragrafo 3».

 

5. L’articolo 14 della direttiva 2016/680, intitolato «Diritto di accesso dell’interessato», così recita:

 

«Fatto salvo l’articolo 15, gli Stati membri dispongono che l’interessato abbia il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

 

(...)».

 

6. L’articolo 15 della medesima direttiva, intitolato «Limitazioni del diritto di accesso», così dispone:

 

«1. Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, il diritto di accesso dell’interessato nella misura e per il tempo in cui tale limitazione totale o parziale costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata al fine di:

 

a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

 

b) non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali;

 

c) proteggere la sicurezza pubblica;

 

d) proteggere la sicurezza nazionale;

 

e)  proteggere i diritti e le libertà altrui.

 

2. Gli Stati membri possono adottare misure legislative al fine di determinare le categorie di trattamenti cui possono applicarsi, in tutto o in parte, le lettere da a) a e) del paragrafo 1.

 

3. Nei casi di cui ai paragrafi 1 e 2, gli Stati membri dispongono che il titolare del trattamento informi l’interessato, senza ingiustificato ritardo e per iscritto, di ogni rifiuto o limitazione dell’accesso e dei motivi del rifiuto o della limitazione. Detta comunicazione può essere omessa qualora il suo rilascio rischi di compromettere una delle finalità di cui al paragrafo 1. Gli Stati membri dispongono che il titolare del trattamento informi l’interessato delle possibilità di proporre reclamo dinanzi a un’autorità di controllo o di proporre ricorso giurisdizionale.

 

4. Gli Stati membri dispongono che il titolare del trattamento documenti i motivi di fatto o di diritto su cui si basa la decisione. Tali informazioni sono rese disponibili alle autorità di controllo».

 

7. L’articolo 16 della direttiva 2016/680, intitolato «Diritto di rettifica o cancellazione di dati personali e limitazione di trattamento» enuncia, al paragrafo 4, quanto segue:

 

«Gli Stati membri dispongono che il titolare del trattamento informi l’interessato per iscritto di ogni rifiuto di rettifica o cancellazione dei dati personali o limitazione del trattamento e dei motivi del rifiuto. Gli Stati membri possono adottare misure legislative volte a limitare, in tutto o in parte, l’obbligo di fornire tali informazioni nella misura in cui tale limitazione costituisca una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata per:

 

a) non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari;

 

b) non compromettere la prevenzione, l’indagine, l’accertamento o il perseguimento di reati o l’esecuzione di sanzioni penali;

 

c) proteggere la sicurezza pubblica;

 

d) proteggere la sicurezza nazionale;

 

e) proteggere i diritti e le libertà altrui.

 

Gli Stati membri dispongono che il titolare del trattamento informi l’interessato delle possibilità di proporre reclamo dinanzi a un’autorità di controllo o di proporre ricorso giurisdizionale».

 

8. L’articolo 17 della direttiva 2016/680, intitolato «Esercizio dei diritti dell’interessato e verifica da parte dell’autorità di controllo» recita:

 

«1. Nei casi di cui all’articolo 13, paragrafo 3, all’articolo 15, paragrafo 3, e all’articolo 16, paragrafo 4, gli Stati membri adottano misure che dispongano che i diritti dell’interessato possano essere esercitati anche tramite l’autorità di controllo competente.

 

2. Gli Stati membri dispongono che il titolare del trattamento informi l’interessato della possibilità di esercitare i suoi diritti tramite l’autorità di controllo ai sensi del paragrafo 1.

 

3. Qualora sia esercitato il diritto di cui al paragrafo 1, l’autorità di controllo informa l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame. L’autorità di controllo informa inoltre l’interessato del diritto di quest’ultimo di proporre ricorso giurisdizionale».

 

Diritto belga

 

9. La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel [legge relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali] del 30 luglio 2018 (Moniteur belge, 5 settembre 2018, pag. 68616) (in prosieguo la «LPD») recepisce la direttiva 2016/680 nel diritto belga. Il titolo 2, capo III della LPD disciplina i diritti dell’interessato, che consistono, in sostanza, nel diritto all’informazione, all’accesso ai dati e alla rettifica dei dati.

 

10. L’articolo 42 della LPD così dispone:

 

«La richiesta di esercitare i diritti di cui al presente capo nei confronti dei servizi di polizia (...) o dell’Inspection générale de la police fédérale et de la police locale [(Ispettorato generale della polizia federale e della polizia locale, Belgio)], è presentata all’autorità di controllo di cui all’articolo 71.

 

Nei casi di cui agli articoli 37, paragrafo 2, 38, paragrafo 2, 39, paragrafo 4, e 62, paragrafo 1, l’autorità di controllo di cui all’articolo 71 comunica unicamente all’interessato di aver eseguito le verifiche necessarie.

 

Fatto salvo il paragrafo 2, l’autorità di controllo di cui all’articolo 71 può comunicare all’interessato determinate informazioni contestuali.

 

Il Re determina, previo parere dell’autorità di controllo di cui all’articolo 71, la categoria delle informazioni contestuali che possono essere comunicate all’interessato da tale autorità».

 

11. Il giudice del rinvio fa presente che le «informazioni contestuali» che l’Organo di controllo dell’informazione di polizia può comunicare all’interessato non sono state ancora precisate con regio decreto previsto dall’articolo 42, quarto comma, della LPD.

 

12. L’articolo 71 della LPD così dispone:

 

«1. È istituita presso la Chambre des représentants (Camera dei rappresentanti, Belgio) un’autorità di controllo indipendente dell’informazione di polizia, denominata «Organe de contrôle de l’information policière» [(Organo di controllo dell’informazione di polizia, Belgio)].

 

(...)

 

incaricata di: 1. sorvegliare l’applicazione del presente titolo (…)».

 

13. Il titolo 5, nel capo I della LPD, è intitolato «Azione inibitoria». L’articolo 209, contenuto in tale capo, recita nel modo seguente:

 

«Fatto salvo ogni altro ricorso giurisdizionale, amministrativo o extragiudiziale, il presidente del Tribunale di primo grado, in qualità di giudice del procedimento sommario, accerta l’esistenza di un trattamento che costituisce violazione delle disposizioni legislative o regolamentari relative alla tutela delle persone fisiche con riguardo al trattamento dei loro dati personali, e ne ordina la cessazione.

 

Il presidente del Tribunale di primo grado, in qualità di giudice del procedimento sommario, conosce di ogni domanda relativa al diritto, riconosciuto dalla legge o ai sensi della legge, di ottenere comunicazione di dati personali, e di ogni domanda diretta a ottenere la rettifica, la cancellazione o il divieto di utilizzo di qualunque dato personale inesatto o, tenuto conto delle finalità del trattamento, incompleto o non pertinente, o la cui registrazione, comunicazione o conservazione sono vietate, al cui trattamento l’interessato si è opposto o che è stato conservato oltre il periodo autorizzato».

 

14. L’articolo 240 della LPD dispone che l’Organo di controllo dell’informazione di polizia:

 

«4. tratta i reclami, svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo (...)».

 

II. Fatti, procedimento e questioni pregiudiziali

 

15. Nel 2016 BA intendeva partecipare al montaggio e allo smantellamento delle installazioni della decima edizione delle «Giornate europee dello sviluppo» a Bruxelles (Belgio). A tal fine, egli doveva ottenere un «nulla osta di sicurezza».

 

16. Con lettera del 22 giugno 2016, l’Autorité nationale de sécurité (Autorità nazionale di sicurezza, Belgio) ha negato il rilascio del nulla osta di sicurezza richiesto, affermando che dai dati messi a sua disposizione risultava che l’interessato era noto per aver partecipato a dieci manifestazioni tra il 2007 e il 2016, fatto che impediva il rilascio di un nulla osta. BA non ha contestato tale decisione dell’Autorità nazionale di sicurezza.

 

17. La LPD, che istituisce l’Organo di controllo dell’informazione di polizia, è entrata in vigore il 5 settembre 2018.

 

18. Il 4 febbraio 2020, il legale di BA ha chiesto all’Organo di controllo dell’informazione di polizia di individuare i responsabili del trattamento controverso e di ingiungere loro di dare a BA accesso a tutte le informazioni che lo riguardavano.

 

19. Con un messaggio di posta elettronica del 6 febbraio 2020, l’Organo di controllo dell’informazione di polizia ha risposto che BA disponeva soltanto di un diritto di accesso indiretto, assicurando al contempo che intendeva verificare i dati personali di BA, al fine di garantire la legittimità di un eventuale trattamento dei dati nella Banque de données nationale générale (BNG - Banca dati nazionale generale). L’Organo di controllo dell’informazione di polizia ha precisato di avere il potere di ordinare alla polizia di cancellare o modificare dati, se necessario, e che, in esito a tale controllo, il suo cliente sarebbe stato informato del fatto che «sono state effettuate le verifiche necessarie».

 

20. Il 22 giugno 2020 l’Organo di controllo dell’informazione di polizia ha scritto:

 

«(…) La informo, conformemente all’articolo 42 della [“LPD”], che l’Organo di controllo ha eseguito le verifiche necessarie.

 

Ciò significa che i dati personali del Suo cliente sono stati verificati nelle banche dati di polizia al fine di garantire la liceità di un eventuale trattamento.

 

Se ritenuto necessario, i dati personali sono stati modificati o cancellati.

 

Come Le avevo spiegato nella mia e-mail del 2 giugno scorso, l’articolo 42 della LPD non consente all’Organo di controllo di comunicare ulteriori informazioni».

 

21. Il 2 settembre 2020 i ricorrenti nel procedimento principale, segnatamente BA e la Ligue des droits humains [Lega dei diritti umani] hanno citato l’Organo di controllo dell’informazione di polizia dinanzi al presidente del tribunal de première instance du tribunal francophone de Bruxelles [tribunale francofono di primo grado di Bruxelles, Belgio], ai sensi dell’articolo 209, secondo comma, della LPD. Essi hanno chiesto che il loro ricorso contro l’autorità di controllo fosse dichiarato ricevibile. In subordine, essi hanno chiesto a tale giudice se l’articolo 42 della LPD sia contrario all’articolo 47, paragrafo 4, e all’articolo 17, paragrafo 3, della direttiva 2016/680. Al riguardo, BA e la Ligue des droits humains hanno fatto valere che l’articolo 42 della LPD non prevede un ricorso giurisdizionale avverso le decisioni adottate dall’autorità di controllo indipendente, né obbliga tale autorità a informare l’interessato del suo diritto di proporre ricorso giurisdizionale.

 

22. Per quanto riguarda il merito del loro ricorso, i ricorrenti hanno chiesto accesso a tutti i dati personali riguardanti BA e hanno chiesto che all’organo di controllo delle informazioni di polizia fosse ingiunto di identificare i titolari del trattamento e gli eventuali destinatari di tali dati. In subordine, essi hanno chiesto in sostanza di sottoporre alla Corte di giustizia la questione intesa a chiarire se l’articolo 42, paragrafo 2, della LPD sia compatibile con gli articoli 14, 15 e 17 della direttiva 2016/680, letti alla luce degli articoli 8, e 47 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»). A tal riguardo, essi hanno denunciato il fatto che l’articolo 42, paragrafo 2, della LPD, prevede una deroga generale e sistematica al diritto di accesso ai dati personali.

 

23. Con ordinanza del 17 maggio 2021, il tribunal de première instance francophone de Bruxelles [(tribunale francofono di primo grado di Bruxelles, Belgio)] ha dichiarato la propria incompetenza in relazione al ricorso dei ricorrenti.

 

24. Con atto introduttivo del 15 giugno 2021, la cour d’appel de Bruxelles (corte d’appello di Bruxelles, Belgio) è stata investita del ricorso nel procedimento principale. I ricorrenti hanno, in sostanza, ribadito le critiche da essi mosse all’articolo 42, paragrafo 2, della LPD e le richieste da essi formulate nell’ambito del procedimento di primo grado.

 

25. L’Organo di controllo dell’informazione di polizia sostiene che il ricorso dovrebbe essere respinto.

 

26. Il giudice del rinvio precisa che ai sensi del diritto belga i dati trattati dai servizi di polizia sono soggetti a un regime particolare. Ai sensi dell’articolo 42 della LPD, tutte le richieste inerenti ai diritti su tali dati personali devono essere presentate all’Organo di controllo dell’informazione di polizia, che si limita a comunicare all’interessato «di aver eseguito le verifiche necessarie».

 

27. Il giudice del rinvio rileva che l’articolo 17, paragrafo 3, della direttiva 2016/680 non è stato recepito correttamente nel diritto interno. Innanzitutto, l’articolo 42 della LPD non prevede che l’autorità di controllo informi l’interessato del suo diritto di proporre un ricorso giurisdizionale. In secondo luogo, la LPD non consente l’esercizio di un ricorso giurisdizionale contro l’Organo di controllo dell’informazione di polizia.

 

28. Al riguardo, il giudice del rinvio rileva innanzitutto che il ricorso previsto all’articolo 240 della LPD, che consente all’interessato di proporre reclamo all’autorità di controllo, deve essere diretto contro il titolare del trattamento.

 

29. In secondo luogo, l’azione inibitoria, quale disciplinata dagli articoli 209 e seguenti della LPD, non conferisce a BA un ricorso effettivo nei confronti dell’Organo di controllo dell’informazione di polizia. Al riguardo, il giudice del rinvio precisa che da tali disposizioni discende, in primo luogo, che il ricorso deve essere diretto contro il titolare del trattamento e che BA non può, pertanto, proporlo avverso l’Organo di controllo dell’informazione di polizia. Inoltre, l’articolo 42 della LPD non consente a BA di proporre una siffatta azione nei confronti del titolare del trattamento, poiché l’esercizio dei suoi diritti è affidato all’Organo di controllo dell’informazione di polizia. In terzo luogo, le informazioni particolarmente succinte fornite dall’Organo di controllo dell’informazione di polizia ai sensi dell’articolo 42 della LPD non consentono né a BA, né a un giudice, di valutare, nell’ambito di un controllo a posteriori, se tale organo abbia correttamente esercitato i diritti di BA.

 

30. Infine, anche se l’azione inibitoria è disciplinata dalla LPD «fatto salvo ogni altro ricorso giurisdizionale, amministrativo o extragiudiziale» e senza limitare «la competenza del Tribunale di primo grado e del presidente del Tribunale di primo grado, in qualità di giudice del procedimento sommario» (articoli 209 e 219 della LPD), secondo il giudice del rinvio qualsiasi altro ricorso proposto da BA incontrerebbe gli stessi ostacoli.

 

31. In tali circostanze, la cour d’appel de Bruxelles (Corte d’appello di Bruxelles) ha deciso di sospendere il procedimento e di sottoporre alla Corte di giustizia le seguenti questioni pregiudiziali:

 

1. «Se gli articoli 47 e 8, paragrafo 3, della [Carta] impongano di prevedere un ricorso giurisdizionale nei confronti di un’autorità di controllo indipendente, come [l’Organo di controllo dell’informazione di polizia], quando essa esercita i diritti dell’interessato nei confronti del [titolare] del trattamento.

 

2. Se l’articolo 17 della direttiva 2016/680 sia conforme agli articoli 47 e 8, paragrafo 3, della [Carta], come interpretati dalla Corte di giustizia, nella parte in cui impone all’autorità di controllo — che eserciti i diritti dell’interessato nei confronti del [titolare] del trattamento — soltanto di informare l’interessato “di aver eseguito tutte le verifiche necessarie o un riesame” e “del diritto di quest’ultimo di proporre ricorso giurisdizionale”, sebbene siffatta informazione non consenta alcun controllo a posteriori sull’azione e sulla valutazione dell’autorità di controllo in merito ai dati dell’interessato e agli obblighi gravanti sul [titolare] del trattamento».

 

32. Osservazioni scritte sono state presentate dai ricorrenti nel procedimento principale, dal governo belga, dalla Repubblica Ceca, dalla Commissione europea e dal Parlamento europeo. La Corte ha posto una serie di quesiti scritti al governo belga con richiesta di risposta scritta. Tale governo ha risposto il 13 marzo 2023. I ricorrenti e la parte convenuta nel procedimento principale, il governo francese, la Commissione europea e il Parlamento europeo hanno partecipato all’udienza orale che si è svolta il 29 marzo 2023.

 

III. Valutazione

 

Osservazioni preliminari

 

33. Le questioni pregiudiziali vertono, in sostanza, sul controllo giurisdizionale dell’azione di un’autorità di controllo, e sulla portata e l’efficacia della stessa nell’ipotesi in cui tale autorità eserciti i diritti dell’interessato per conto di quest’ultimo, vale a dire, qualora tali diritti siano esercitati indirettamente. Il giudice del rinvio non ha messo in discussione, in quanto tale, la struttura del regime belga di accesso indiretto da parte degli interessati. Tuttavia, il diritto a un ricorso effettivo è necessariamente compromesso da un sistema che rende in pratica impossibile o eccessivamente difficile l’accesso da parte degli interessati. È quindi importante descrivere brevemente, in via preliminare, la struttura dei diritti degli interessati ai sensi della direttiva 2016/680, prima di esaminare come il regime belga di accesso indiretto si inserisca in tale struttura.

 

a) I diritti degli interessati ai sensi della direttiva 2016/680 e limitazioni a tali diritti

 

34. Il diritto di accedere ai dati raccolti e di ottenerne la rettifica è un elemento essenziale del diritto alla protezione dei dati di carattere personale sancito dall’articolo 8, paragrafo 2, della Carta. In generale, il diritto di accesso persegue due obiettivi principali, segnatamente «migliorare la trasparenza e facilitare il controllo» (9). In effetti, come sottolineato dalla letteratura accademica, esso accresce la trasparenza in quanto fornisce «un secondo e più approfondito livello di informazioni che l’interessato può ottenere» (10). Il diritto di accesso facilita il controllo in quanto costituisce una condizione preliminare per l’esercizio di altri diritti, segnatamente, il diritto di rettifica o cancellazione dei dati personali o il diritto di proporre ricorso giurisdizionale (11).

 

35. Dal considerando 7 della direttiva 2016/680 si evince che tale direttiva mira a realizzare un’efficace protezione dei dati personali in tutta l’Unione europea, che presuppone il rafforzamento dei diritti degli interessati e degli obblighi di tutti coloro che trattano dati personali, nonché poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri. Si tratta di un importante passo avanti rispetto al precedente regime della decisione quadro 2008/977. L’ambito di applicazione di tale decisione quadro era limitato al trattamento transfrontaliero dei dati. Inoltre, essa rifletteva le «le particolarità della struttura “a pilastri” dell’Unione prima dell’entrata in vigore del trattato di Lisbona» (12) e lasciava «un ampio margine di manovra [agli] Stati membri» (13). Rispetto a tale regime precedente, il capo III della direttiva 2016/680 prevede una «nuova architettura dei diritti degli interessati, basata sul principio che essi hanno un diritto di informazione, accesso, rettifica, cancellazione o limitazione di trattamento, a meno che tali diritti siano limitati» (14).

 

36. Più in particolare, l’articolo 13 della direttiva 2016/680 prevede che i titolari del trattamento rendano disponibili agli interessati determinate informazioni (in prosieguo: il «diritto di informazione»). L’articolo 14 stabilisce che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e a informazioni specifiche (in prosieguo: il «diritto di accesso»). L’articolo 16 stabilisce che l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica di dati personali inesatti che lo riguardano e la cancellazione dei dati personali o, se del caso, la limitazione del trattamento (in prosieguo: il «diritto alla rettifica, alla cancellazione o alla limitazione del trattamento»). L’interessato può, in linea di principio, esercitare i propri diritti direttamente.

 

37. La direttiva 2016/680 consente agli Stati membri di adottare misure legislative che limitano in tutto o in parte i diritti degli interessati, alle condizioni stabilite all’articolo 13, paragrafo 3, all’articolo 15 e all’articolo 16, paragrafo 4, della medesima. In sostanza, tali provvedimenti sono consentiti «nella misura e per il tempo in cui [costituiscano] una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata» al fine di preservare una specifica finalità di interesse pubblico, segnatamente, al fine di non compromettere indagini, inchieste o procedimenti ufficiali o giudiziari, non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, proteggere la sicurezza pubblica, la sicurezza nazionale o i diritti e le libertà altrui. Ai sensi dell’articolo 13, paragrafo 4, e dell’articolo 15, paragrafo 2, della direttiva 2016/680, gli Stati membri possono adottare misure legislative al fine di determinare le categorie di trattamenti che possono rientrare, in tutto o in parte, in una di tali finalità.

 

38. In caso di limitazione del diritto di accesso, il titolare del trattamento deve informare l’interessato, senza ingiustificato ritardo e per iscritto, conformemente all’articolo 15, paragrafo 3, della direttiva 2016/680, di ogni rifiuto o limitazione dell’accesso e dei motivi del rifiuto o della limitazione. Detta comunicazione può essere omessa qualora il suo rilascio rischi di compromettere una delle finalità di interesse pubblico di cui all’articolo 15, paragrafo 1, della direttiva. Il titolare del trattamento informa l’interessato della possibilità di proporre un reclamo dinanzi a un’autorità di controllo o di proporre ricorso giurisdizionale. Inoltre, ai sensi dell’articolo 15, paragrafo 4, della direttiva 2016/680, qualora il diritto di accesso sia limitato o negato, il titolare del trattamento deve documentare i motivi di fatto o di diritto su cui si basa la decisione e rendere tali informazioni disponibili alle autorità di controllo.

 

39. Dalla struttura dei diritti dell’interessato previsti nel capo III della direttiva 2016/680 si evince che la regola generale è che, nell’ambito dell’applicazione della legge, gli interessati godono di diritti relativi alla protezione dei loro dati e possono esercitarli direttamente. Qualsiasi limitazione a tali diritti costituisce un’eccezione. Secondo una giurisprudenza consolidata, un’eccezione a una regola generale deve essere oggetto di un’interpretazione restrittiva (15). Inoltre, esistono limitazioni alle restrizioni connesse all’obbligo di motivazione delle limitazioni imposte e di informazione dell’interessato. La comunicazione di tali informazione può essere omessa solo in via eccezionale.

 

40. La stessa correlazione tra regola e eccezione vale anche per quanto riguarda la possibilità per gli Stati membri di determinare «categorie di trattamento» che possono essere qualificate, in tutto o in parte, come finalità di interesse pubblico, consentendo così di limitare l’esercizio dei diritti degli interessati ai sensi dell’articolo 13, paragrafo 3, o dell’articolo 15, paragrafo 1, della direttiva 2016/680. Come sottolineato, in sostanza, dal gruppo di lavoro articolo 29 (16) nel suo parere sulla direttiva 2016/680, la possibilità per gli Stati membri di determinare tali categorie di trattamento non consente limitazioni generalizzate dei diritti di accesso e informazione degli interessati (17). Siffatte limitazioni generalizzate attribuirebbero all’eccezione la preminenza sulla regola, svuotando in gran parte di senso le disposizioni che sanciscono i diritti dell’interessato (18).

 

b) Esercizio indiretto dei diritti dell’interessato

 

41. Il diritto dell’interessato di rivolgersi direttamente al titolare del trattamento per esercitare i propri diritti è una caratteristica importante della direttiva 2016/680. Tale direttiva garantisce l’esercizio diretto dei diritti da parte degli interessati «in linea di principio» (19). Gli interessati godono di un diritto di accesso diretto, a meno che non si applichi una limitazione. Qualora si applichi una limitazione e il diritto di accesso diretto non sia quindi più disponibile, l’interessato può esercitare i propri diritti indirettamente, tramite l’autorità di controllo competente, ai sensi dell’articolo 17, paragrafo 1, della direttiva 2016/680.

 

42. Come rilevato dal governo francese e dalla Commissione e come sottolineato anche dal gruppo di lavoro articolo 29 nel suo parere sulla direttiva 2016/680, l’esercizio indiretto dei diritti tramite l’autorità competente è una garanzia supplementare offerta agli interessati laddove si applichino limitazioni (20). L’inquadramento dell’esercizio indiretto dei diritti come garanzia supplementare rappresenta un importante passo avanti rispetto al precedente regime della decisione quadro 2008/977 (21). Infatti, in forza di tale decisione quadro, l’accesso indiretto si trovava su un piano di parità con l’accesso diretto (22). Sarebbe contrario all’intera finalità di armonizzazione perseguita dalla direttiva 2016/680, se gli Stati membri, malgrado gli sviluppi della direttiva relativi alla struttura dei diritti degli interessati, rendessero la possibilità di accesso indiretto non una via supplementare offerta agli interessati, ma piuttosto la sola via a loro disposizione.

 

c) Il regime di esercizio indiretto previsto dall’articolo 42 della LPD

 

43. L’articolo 17 della direttiva 2016/680 è recepito nel diritto belga dall’articolo 42 della LPD. L’articolo 42, primo comma, di detta legge, stabilisce che gli interessati devono presentare qualsiasi richiesta di esercitare i propri diritti nei confronti dei servizi di polizia all’Organo di controllo dell’informazione di polizia. L’articolo 42, secondo comma, della LPD, prevede che, qualora il titolare del trattamento limiti o rifiuti l’accesso, tale autorità di controllo informi l’interessato soltanto di aver eseguito le verifiche necessarie.

 

44. A mio parere, l’articolo 42 della LPD istituisce un regime derogatorio al principio dell’esercizio diretto dei diritti degli interessati con riferimento a tutti i dati trattati dai servizi di polizia. Infatti, tenuto conto della portata estremamente ampia dei dati ai quali il regime di deroga si applica, tale regime costituisce un’eccezione generalizzata al diritto di accesso diretto. Come spiegato nelle osservazioni preliminari di cui sopra, un’eccezione così ampia e generalizzata al diritto di accesso diretto può essere considerata incompatibile con la direttiva 2016/680 (23). Come sostanzialmente affermato dal Conseil d’État (Consiglio di Stato, Belgio) nel suo parere sul progetto della LPD, passare dalla possibilità per l’interessato di esercitare i propri diritti indirettamente, a permettere invece al legislatore di imporre che l’esercizio di tali diritti sia indiretto, è contrario all’articolo 17 della direttiva 2016/680 (24).

 

45. La sostituzione dell’accesso diretto con l’accesso indiretto ai sensi dell’articolo 42 della LPD è ancora più problematica alla luce dei poteri limitati dell’organo di controllo dell’informazione di polizia. Interrogato su tale punto in udienza, il rappresentante di detta autorità ha confermato che, nell’ambito dell’esercizio indiretto dei diritti dell’interessato, l’organo di controllo dell’informazione di polizia può solo informare l’interessato che sono state effettuate tutte le verifiche necessarie. Tuttavia, occorre ricordare che il regime di accesso indiretto costituisce l’eccezione, il che presuppone che i diritti degli interessati siano limitati secondo le condizioni enunciate dalla direttiva 2016/680. Per contro, nel sistema belga, l’interessato è obbligato a chiedere all’autorità di controllo di esercitare i suoi diritti con riferimento ai dati trattati dai servizi di polizia. L’interessato non può accedere ai dati che lo riguardano e non può ottenere altro che la conferma che sono state effettuate tutte le verifiche necessarie. Il legislatore nazionale sembra partire da un assunto di base, che si discosta dalla direttiva 2016/680, secondo cui, per quanto riguarda tutti i dati trattati dalla polizia, i diritti degli interessati sono sempre limitati e un accesso diretto non è possibile.

 

46. Alla luce delle considerazioni che precedono, ritengo che l’articolo 42 della LPD istituisca un regime di esercizio indiretto di diritti, incompatibile con le modalità di esercizio dei diritti degli interessati quali risultano dalla direttiva 2016/680. È alla luce di tale considerazione che occorre esaminare le questioni pregiudiziali.

 

Prima questione

 

47. In via preliminare, occorre ricordare che, secondo una costante giurisprudenza, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte di giustizia istituita all’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una risposta utile che gli consenta di dirimere la controversia di cui è investito. In tale prospettiva, spetta alla Corte, se necessario, riformulare le questioni ad essa sottoposte. A tal proposito la Corte può trarre dall’insieme degli elementi forniti dal giudice nazionale e, in particolare, dalla motivazione della decisione di rinvio gli elementi di detto diritto che richiedono un’interpretazione, tenuto conto dell’oggetto della controversia principale (25).

 

48. Nel caso di specie, dall’ordinanza di rinvio emerge chiaramente che, con la sua prima questione, il giudice del rinvio chiede un’interpretazione dell’articolo 17 della direttiva 2016/680. Esso chiede, in sostanza, se tale disposizione, letta alla luce dell’articolo 47 e dell’articolo 8, paragrafo 3, della Carta, debba essere interpretata nel senso che l’interessato deve poter disporre di un ricorso giurisdizionale nei confronti di un’autorità di controllo indipendente quando esercita i propri diritti tramite l’autorità di controllo.

 

49. In via preliminare, occorre sottolineare che il giudice del rinvio pone tale questione in quanto ritiene che il diritto belga non preveda il diritto di proporre ricorso giurisdizionale nei confronti di un’autorità di controllo, quando quest’ultima esercita indirettamente i diritti dell’interessato. Al riguardo, esso rileva, in primo luogo, che tale disposizione non è stata recepita correttamente nel diritto nazionale, dal momento che l’articolo 42 della LPD non prevede l’obbligo per l’autorità di controllo di informare l’interessato del suo diritto di proporre un ricorso giurisdizionale. In secondo luogo, il giudice del rinvio ritiene che nessun’altra disposizione della LPD, in particolare gli articoli 209 e seguenti e l’articolo 240 della stessa, consenta all’interessato di presentare un ricorso contro l’autorità di controllo in caso di esercizio indiretto dei suoi diritti (26).

 

50. Nelle sue osservazioni scritte il governo belga ha sostenuto, che, indipendentemente dall’interpretazione dell’articolo 209, secondo comma, della LPD, l’ordinamento giuridico belga prevede un controllo giurisdizionale effettivo nelle circostanze del procedimento principale. A tal riguardo, esso fa valere che mezzi di ricorso specifici nella LPD non pregiudicano la competenza generale dei giudici civili. Ciò premesso, il governo belga sottolinea correttamente che, secondo una giurisprudenza consolidata, la Corte può pronunciarsi unicamente sull’interpretazione o sulla validità di un testo dell’Unione, sulla base dei fatti che le vengono indicati dal giudice nazionale. Per contro, spetta esclusivamente al giudice del rinvio interpretare la normativa nazionale (27).

 

a) I mezzi di ricorso a disposizione dell’interessato

 

51. Al fine di determinare se un interessato abbia il diritto di proporre un ricorso giurisdizionale nei confronti dell’autorità di controllo nell’ipotesi di esercizio indiretto dei propri diritti, occorre ricordare che la direttiva 2016/680 prevede, al capo VIII, diversi ricorsi a disposizione degli interessati. Questi ultimi hanno il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 52 della direttiva 2016/680. L’articolo 53, paragrafo 1, della direttiva 2016/680 prevede il diritto degli interessati a un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che li riguarda. L’articolo 53, paragrafo 2, stabilisce che ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo. Inoltre, gli interessati hanno diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento qualora ritengano che i loro diritti siano stati violati a seguito del trattamento illecito dei propri dati personali. Tutte queste disposizioni stabiliscono che ciascuno di tali rimedi è disponibile «fatto salvo ogni altro ricorso amministrativo o extragiudiziale».

 

52. Per quanto riguarda il diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo, il considerando 86 della direttiva 2016/680 stabilisce che tale diritto può essere esercitato avverso una «decisione dell’autorità di controllo che produce effetti giuridici nei confronti di tale persona». Lo stesso considerando precisa che tale decisione riguarda in particolare l’esercizio di poteri di indagine, correttivi e autorizzativi da parte dell’autorità di controllo o l’archiviazione o il rigetto dei reclami, ma che il diritto a un ricorso giurisdizionale effettivo «non comprende altre misure delle autorità di controllo che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall’autorità di controllo».

 

53. Dall’articolo 53, paragrafo 1, della direttiva 2016/680, letto alla luce del considerando 86 di quest’ultima, si evince che l’interessato ha il diritto di impugnare una decisione o una misura di un’autorità di controllo che produce effetti giuridici vincolanti.

 

54. Al riguardo, occorre ricordare che il diritto a un ricorso giurisdizionale effettivo, sancito dall’articolo 47 della Carta, deve essere riconosciuto a chiunque faccia valere diritti o libertà garantiti dal diritto dell’Unione contro una decisione che gli arreca pregiudizio, tale da ledere tali diritti o tali libertà (28).

 

55. Occorre poi rilevare che atti che arrecano pregiudizio a una persona sono «gli atti o i provvedimenti che producono effetti giuridici vincolanti tali da incidere direttamente e immediatamente sugli interessi del ricorrente modificando, in maniera sensibile, la situazione giuridica di quest’ultimo» (29). Al riguardo, occorre riferirsi alla sostanza di tale atto e valutare tali effetti alla luce di criteri oggettivi, come il contenuto dell’atto stesso, tenendo conto, eventualmente, del contesto dell’adozione di quest’ultimo nonché dei poteri dell’istituzione che ne è l’autrice (30).

 

b) I poteri dell’autorità di controllo nel contesto dell’esercizio indiretto di diritti

 

56. Alla luce degli elementi che determinano un atto che arreca pregiudizio ad una persona, al fine di stabilire se un’autorità di controllo adotti una decisione giuridicamente vincolante quando esercita indirettamente i diritti dell’interessato, conformemente all’articolo 17 della direttiva 2016/680, occorre esaminare il contenuto o la sostanza dell’atto di un’autorità di controllo, tenendo conto del contesto di tale atto e dei poteri di tale autorità.

 

57. Per quanto riguarda, in primo luogo, la sostanza dell’atto dell’autorità di controllo, occorre chiarire subito che la capacità di un atto di produrre effetti diretti sulla situazione giuridica di una persona fisica o giuridica non può essere valutata unicamente sulla base del fatto che tale atto assume la forma di un messaggio di posta elettronica (come nel caso del procedimento principale), in quanto ciò equivarrebbe a far prevalere la forma dell’atto oggetto del ricorso sulla sostanza stessa di tale atto (31).

 

58. L’articolo 17, paragrafo 1, della direttiva 2016/680 stabilisce che i diritti dell’interessato possono essere esercitati «tramite» l’autorità di controllo competente. Il considerando 48 di tale direttiva stabilisce che l’autorità di controllo interviene «per conto» dell’interessato. Ai sensi dell’articolo 17, paragrafo 3, di tale direttiva, l’autorità di controllo «informa» l’interessato, perlomeno, di aver eseguito tutte le verifiche necessarie o un riesame.

 

59. L’Organo di controllo dell’informazione di polizia fa valere che dalla formulazione di tali disposizioni risulta che un’autorità di controllo altro non fa che esercitare un mandato per agire per conto dell’interessato e agisce in qualità di “messaggero”, che si limita a comunicare informazioni all’interessato. Pertanto, l’atto che tale autorità adotta non può essere considerato come produttivo di effetti giuridici vincolanti per l’interessato. Il governo ceco deduce un argomento analogo.

 

60. Non sono in disaccordo sul fatto che la formulazione utilizzata in relazione all’esercizio dei diritti dell’interessato «tramite» l’autorità di controllo, o l’azione dell’autorità di controllo «per conto» dell’interessato possa, presa isolatamente, essere intesa nel senso che l’autorità di controllo dispone di un mandato unicamente per fornire informazioni.

 

61. Tuttavia, ritengo che un esame del contesto dell’atto e dei poteri dell’autorità di controllo non corrobori la tesi dell’esistenza di un mero mandato. Nel contesto dell’esercizio indiretto dei diritti dell’interessato, il ruolo dell’autorità di controllo va ben oltre quello di agire in modo simile ad un “agente” dell’interessato, come un «messaggero» o un intermediario. Come dimostrerò, il legislatore dell’Unione ha invece attribuito all’autorità di controllo un ruolo preponderante e attivo nella verifica della liceità del trattamento dei dati, che può essere effettuata solo da un’autorità pubblica.

 

62. Più precisamente, come sostenuto dalla Commissione e dal governo belga, l’articolo 17 della direttiva 2016/680 deve essere letto in combinato disposto con le disposizioni del capo VI, sezione 2, di detta direttiva, che stabilisce le norme relative alla competenza, ai compiti e ai poteri delle autorità di controllo indipendenti. L’articolo 46, paragrafo 1, lettera g), di tale direttiva prevede che l’autorità di controllo «verifichi la liceità del trattamento ai sensi dell’articolo 17 e informi l’interessato entro un termine ragionevole dell’esito della verifica ai sensi del paragrafo 3 di tale articolo, o dei motivi per cui non è stata effettuata».

 

63. Il governo belga ha giustamente sottolineato, nella sua risposta ad un quesito scritto della Corte, che il compito specifico di controllo della liceità del trattamento dimostra che il ruolo di un’autorità di controllo non si limita a quello di semplice «messaggero» tra l’interessato e il titolare del trattamento. Piuttosto, tale autorità effettua un’adeguata valutazione legale della liceità del trattamento.

 

64. Inoltre, al fine di esercitare il proprio ruolo di controllo indipendente della liceità del trattamento, ciascuna autorità di controllo dispone di determinati poteri «esecutivi» ai sensi dell’articolo 47 della direttiva 2016/680. Si tratta di «poteri d’indagine effettivi», che comprendono almeno il «potere di ottenere, dal titolare del trattamento e dal responsabile del trattamento, l’accesso a tutti i dati personali oggetto del trattamento», nonché di poteri «correttivi», compresa la rettifica o cancellazione dei dati personali o la limitazione del trattamento. Inoltre, ai sensi dell’articolo 47, paragrafo 5, le autorità di controllo hanno il potere di agire in sede giudiziale al fine di far rispettare le disposizioni in materia di protezione dei dati adottate in applicazione della direttiva 2016/680. Concordo con la Commissione, che ha sottolineato, a questo proposito, che l’autorità di controllo può esercitare tali poteri solo per proprio conto in quanto autorità pubblica e non come semplice mandatario o in nome dell’interessato.

 

65. Quando l’autorità di controllo informa l’interessato dell’esito della verifica effettuata ai sensi dell’articolo 17, paragrafo 3, e dell’articolo 46, paragrafo 1, lettera g), della direttiva 2016/680, essa è necessariamente giunta al termine di un processo decisionale per quanto riguarda la liceità del trattamento. Sulla situazione giuridica dell’interessato incidono pertanto (i) la questione se l’autorità di controllo abbia correttamente svolto il compito ad essa incombente di «verifica[re] la liceità di un trattamento ai sensi dell’articolo 17» e (ii) la conclusione formulata da tale autorità a seguito di tale processo.

 

66. Il riconoscimento all’autorità di controllo di un ruolo autonomo ai sensi dell’articolo 17 della direttiva 2016/680, distinto da quello di mero intermediario, è corroborato da un’interpretazione della direttiva alla luce della Carta. L’articolo 8, paragrafo 3, della Carta, affida ad un’autorità indipendente il controllo del rispetto delle regole relative alla protezione dei dati e, più in particolare, del diritto di accesso ai dati. Il ruolo delle autorità preposte alla protezione dei dati riveste importanza costituzionale in virtù del fatto che viene menzionato nella Carta. Il ruolo di controllo e di applicazione della direttiva 2016/680 spetta all’autorità di controllo. Un’interpretazione secondo cui tale autorità agisce separatamente dall’interessato qualora eserciti indirettamente i diritti dell’interessato promuove il ruolo costituzionale dell’autorità di controllo.

 

67. Inoltre, se si ammettesse che l’autorità di controllo agisce in modo assimilabile a un “agente” di un interessato, tale autorità sarebbe tenuta a riferire all’interessato in qualità di mandante. L’Organo di controllo dell’informazione di polizia sostiene, tuttavia, di non avere la facoltà di fornire ulteriori informazioni all’interessato. Tale approccio dà luogo ad una situazione peculiare, in cui un mandatario sarebbe meglio informato rispetto al mandante.

 

68. In udienza, il governo francese ha sostenuto, in sostanza, che, contrariamente alla situazione in cui un’autorità di controllo tratta reclami ai sensi dell’articolo 46, paragrafo 1, lettera f), della direttiva 2016/680, tale autorità non ha poteri nei confronti del titolare del trattamento ai sensi dell’articolo 46, paragrafo 1, lettera g). Secondo il governo francese, dal momento che l’interessato non dispone di poteri nei confronti del titolare del trattamento quando esercita i propri diritti direttamente, non può disporne quando li esercita indirettamente tramite l’autorità di controllo. Il governo francese ha sostenuto che l’articolo 47 della direttiva 2016/680 riguarda unicamente i poteri esercitati dall’autorità di controllo per proprio conto, ma non le competenze esercitate per conto dell’interessato.

 

69. L’argomento del governo francese si basa, in sostanza, sulla tesi secondo cui l’autorità di controllo agisce semplicemente come intermediario dell’interessato. Non condivido questa teoria per le ragioni sopra esposte. Inoltre, non condivido un’interpretazione così riduttiva del ruolo dell’autorità di controllo. L’esercizio indiretto dei diritti dell’interessato deve presentare un valore aggiunto, costituendo una garanzia supplementare e una tutela per l’interessato. Se l’autorità dovesse semplicemente confermare, in ogni circostanza, senza poter esercitare i propri poteri, che le verifiche necessarie sono state effettuate, il suo ruolo nel verificare la liceità del trattamento avrebbe un valore aggiunto limitato.

 

70. Al riguardo, l’articolo 17 della direttiva 2016/680 prevede che l’autorità di controllo informi l’interessato «perlomeno» di avere eseguito tutte le verifiche necessarie. Ciò significa che possono esservi circostanze in cui l’autorità di controllo può o deve andare oltre tali informazioni minime. Tale interpretazione è corroborata dall’articolo 46, paragrafo 1, lettera g), della direttiva 2016/680, che incarica l’autorità di controllo di verificare la liceità del trattamento ai sensi dell’articolo 17 della medesima direttiva e di informare l’interessato dell’esito della verifica, ai sensi del paragrafo 3 di tale articolo. L’«esito della verifica» include, ma non in via esclusiva, la fornitura di informazioni minime.

 

71. Come sottolineato dalla Commissione, l’articolo 17 della direttiva 2016/680 conferisce un potere discrezionale all’autorità di controllo. Esso non conferisce agli Stati membri il potere discrezionale di ridurre il ruolo dell’autorità a quello di messaggero, o di sopprimere del tutto il margine di discrezionalità di tale autorità, prevedendo che essa fornisca solo informazioni minime. Infatti, se uno Stato membro potesse discostarsi dalla direttiva 2016/680 e conferire meno poteri alle autorità di controllo, ciò comprometterebbe seriamente l’obiettivo di rafforzare i diritti degli interessati e di armonizzare i poteri di controllo e di garanzia del rispetto delle norme sulla protezione dei dati negli Stati membri. Pregiudicherebbe altresì l’obiettivo del miglioramento della trasparenza e del controllo perseguito da tale direttiva.

 

72. In udienza, l’Organo di controllo dell’informazione di polizia ha espresso riserve quanto al riconoscimento di un ruolo che vada oltre quello di esercitare meramente un mandato per conto dell’interessato. Esso ha sostenuto che, nell’ambito dell’articolo 17 della direttiva 2016/680, l’autorità di controllo non può decidere circa l’opportunità di un atto del titolare del trattamento, né bilanciare gli interessi che la comunicazione delle informazioni pertinenti implica. Tale autorità ha sostenuto che, se così non fosse, essa sarebbe obbligata a sostituirsi al titolare del trattamento, fatto che sarebbe contrario alla sua indipendenza.

 

73. Al riguardo, il margine di discrezionalità di cui dispone l’autorità di controllo ai sensi dell’articolo 17 della direttiva 2016/680 non dovrebbe essere inteso come un potere di sostituirsi al titolare del trattamento e concedere un accesso automatico alle informazioni che quest’ultimo ha rifiutato di divulgare. In virtù della sua indipendenza, l’autorità di controllo instaura un dialogo riservato con il titolare del trattamento, al fine di verificare la liceità del trattamento. Come sostanzialmente fatto valere dalla Commissione, tale dialogo può essere dedotto dall’obbligo del titolare del trattamento, previsto dall’articolo 15, paragrafo 4, della direttiva 2016/680, di rendere disponibili alle autorità di controllo i motivi di fatto o di diritto su cui si basa la decisione di limitare l’accesso.

 

74. Nell’ambito di tale dialogo, se l’autorità di controllo ritiene che le limitazioni ai diritti dell’interessato non siano giustificate, deve fornire al titolare del trattamento l’opportunità di porre rimedio a tale situazione. A seguito di tale dialogo, l’articolo 17, paragrafo 3, lascia all’autorità di controllo un margine di discrezionalità quanto alla portata delle informazioni che essa può comunicare all’interessato sull’esito della sua verifica. La determinazione della portata delle informazioni che può divulgare deve essere valutata caso per caso, in base al principio di proporzionalità. Inoltre, l’autorità di controllo dev’essere in grado di garantire il rispetto delle norme della direttiva 2016/680 e di esercitare i poteri definiti all’articolo 47 della stessa. Tale disposizione non prevede alcuna limitazione quanto all’esercizio di tali poteri nell’ambito dell’articolo 17 di tale direttiva. Al contrario, i poteri effettivi dell’autorità di controllo costituiscono un forte e necessario contrappeso alla limitazione del diritto di accesso dell’interessato.

 

c) Gerarchia dei ricorsi giurisdizionali

 

75. Infine, l’Organo di controllo dell’informazione di polizia e il governo ceco hanno presentato un argomento concernente la gerarchia dei ricorsi giurisdizionali. Essi sostengono, in sostanza, che, nell’ambito dell’esercizio indiretto dei diritti tramite l’autorità di controllo, il diritto di proporre un ricorso giurisdizionale deve essere esercitato nei confronti del titolare del trattamento, conformemente all’articolo 54 della direttiva 2016/680, piuttosto che nei confronti dell’autorità di controllo, a meno che quest’ultima si astenga dall’agire.

 

76. A questo proposito, va osservato che da nessuna disposizione della direttiva 2016/680 risulta che i rimedi in essa previsti si escludono a vicenda. Dalla formulazione dei sopra citati (32) articoli 52, 53 e 54 della medesima direttiva risulta invece che tali disposizioni offrono diversi mezzi di ricorso ai soggetti che lamentano una violazione di detto regolamento, fermo restando che ciascuno di tali mezzi di ricorso deve poter essere esercitato «fatto salvo» ogni altro (33). Occorre ricordare che, per quanto riguarda il rapporto tra i rimedi previsti dal regolamento (UE) 2016/679 (34), la Corte ha dichiarato, nella sentenza Nemzeti, che tale regolamento «non prevede alcuna competenza prioritaria o esclusiva né alcuna regola di prevalenza della valutazione effettuata da detta autorità o dai giudici a cui essa si riferisce relativa all’esistenza di una violazione dei diritti conferiti da tale regolamento» (35).

 

77. Contrariamente alla posizione del governo francese e dell’Organo di controllo dell’informazione di polizia, ritengo che il ragionamento della sentenza Nemzeti si applichi per analogia con riferimento ai mezzi di ricorso previsti dalla direttiva 2016/680. In primo luogo, i mezzi di ricorso a disposizione dell’interessato nei confronti dell’autorità di controllo e del titolare del trattamento ai sensi del regolamento 2016/679 e della direttiva 2016/680 sono simili. In secondo luogo, il considerando 7 della direttiva 2016/680 stabilisce che un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento dei diritti degli interessati (36). La messa a disposizione di diversi mezzi di ricorso rafforza l’obiettivo, enunciato anche al considerando 85 della direttiva 2016/680, di garantire il diritto a un ricorso giurisdizionale effettivo a norma dell’articolo 47 della Carta, a ciascun interessato che ritenga che siano stati violati i diritti di cui gode ai sensi delle disposizioni adottate a norma di tale direttiva.

 

78. Occorre altresì sottolineare che il ricorso nei confronti dell’autorità di controllo e il ricorso nei confronti del titolare del trattamento hanno finalità diverse. Da un lato, come giustamente osservato dalla Commissione, lo scopo di un ricorso contro una decisione del titolare del trattamento di limitare i diritti dell’interessato è quello di ottenere un controllo giurisdizionale della corretta applicazione dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, e dell’articolo 16, paragrafo 4, della direttiva 2016/680. D’altro canto, l’obiettivo di un’azione nei confronti dell’autorità di controllo è di ottenere un controllo giurisdizionale della corretta applicazione dell’articolo 17 e dell’articolo 46, paragrafo 1, lettera g), della direttiva 2016/680, il che implica la valutazione se tale autorità di controllo abbia correttamente esercitato il suo compito di verificare la liceità del trattamento.

 

79. Occorre altresì rilevare che il sistema di tutela giurisdizionale sarebbe incoerente e incompleto se l’interessato potesse contestare solo l’inerzia dell’autorità di controllo, mentre le azioni e le modalità di adempimento degli obblighi di quest’ultima sarebbero sottratte al controllo giurisdizionale.

 

80. In ogni caso, nel procedimento principale appare impossibile intentare un’azione nei confronti del responsabile del trattamento. Dall’ordinanza di rinvio risulta che gli interessati non possono proporre un’azione nei confronti del titolare del trattamento, dal momento che l’esercizio di tutti i loro diritti è affidato all’Organo di controllo dell’informazione di polizia. La Ligue des droits humains ha inoltre affermato che, nel sistema belga delle banche dati di polizia, è molto difficile per l’interessato anche solo identificare il titolare del trattamento. In tali circostanze, l’interessato rischia di essere privato del tutto di una tutela giurisdizionale effettiva, dal momento che non sa chi sia il titolare del trattamento e, anche se lo sapesse, non ha il diritto di rivolgersi a quest’ultimo direttamente. Inoltre, non può contestare l’operato dell’Organo di controllo dell’informazione di polizia. Mi sembra che l’interessato si trovi di fronte a un sistema in cui «tutte le porte gli sono chiuse», il che è contrario alla direttiva 2016/680.

 

81. Alla luce delle considerazioni che precedono, ritengo che l’articolo 17 della direttiva 2016/680, letto in combinato disposto con l’articolo 46, paragrafo 1, lettera g), della stessa e alla luce dell’articolo 47 e dell’articolo 8, paragrafo 3, della Carta, debba essere interpretato nel senso che l’interessato deve poter disporre di un ricorso giurisdizionale nei confronti di un’autorità di controllo indipendente quando tale interessato esercita i propri diritti tramite detta autorità, nei limiti in cui tale ricorso concerne il compito dell’autorità di controllo di verificare la liceità del trattamento.

 

Seconda questione

 

82. Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 17 della direttiva 2016/680 sia conforme all’articolo 8, paragrafo 3 e all’articolo 47, della Carta, nella parte in cui impone all’autorità di controllo soltanto di informare l’interessato (i) «di aver eseguito tutte le verifiche necessarie o un riesame» e (ii) del «diritto di quest’ultimo di proporre ricorso giurisdizionale», sebbene siffatta informazione non consenta alcun controllo a posteriori sull’azione e sulla valutazione dell’autorità di controllo in merito ai dati dell’interessato e agli obblighi gravanti sul responsabile del trattamento.

 

83. In via preliminare, va osservato che, secondo un principio ermeneutico generale, un atto dell’Unione deve essere interpretato, per quanto possibile, in un modo che non pregiudichi la sua validità e in conformità con l’insieme del diritto primario e, segnatamente, con le disposizioni della Carta. Così, qualora un testo di diritto derivato dell’Unione si presti a più di un’interpretazione, occorre preferire quella che rende la disposizione conforme al diritto primario anziché quella che porta a constatare la sua incompatibilità con quest’ultimo (37).

 

84. Come spiegato nel contesto delle osservazioni preliminari e nell’ambito dell’analisi della prima questione, l’articolo 17 della direttiva 2016/680 stabilisce che l’interessato può esercitare indirettamente i propri diritti tramite l’autorità di controllo competente, qualora tali diritti siano limitati ai sensi dell’articolo 13, paragrafo 3, dell’articolo 15, paragrafo 3, e dell’articolo 16, paragrafo 4, della direttiva 2016/680. Le limitazioni ai diritti dell’interessato sono consentite solo nella misura in cui costituiscano una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei diritti fondamentali e dei legittimi interessi della persona fisica interessata sanciti da tali disposizioni.

 

85. Si pone la questione di stabilire in che misura il contenuto delle informazioni fornite dall’autorità di controllo che esercita indirettamente i diritti dell’interessato consenta a quest’ultimo di esercitare il suo diritto a un ricorso giurisdizionale effettivo ai sensi del primo comma dell’articolo 47, della Carta.

 

86. Al riguardo si è già ricordato nell’ambito dell’analisi della prima questione, che il diritto a un ricorso giurisdizionale effettivo, sancito dall’articolo 47 della Carta, deve essere riconosciuto a chiunque faccia valere diritti o libertà garantiti dal diritto dell’Unione contro una decisione che gli arreca pregiudizio, tale da ledere tali diritti o tali libertà (38).

 

87. Tuttavia, occorre tenere presente che il diritto a una tutela giurisdizionale effettiva non costituisce una prerogativa assoluta e che, conformemente all’articolo 52, paragrafo 1, della Carta, possono esservi apportate limitazioni, a condizione, in primo luogo, che tali limitazioni siano previste dalla legge, in secondo luogo, che rispettino il contenuto essenziale dei diritti e delle libertà di cui trattasi e, in terzo luogo, che, nel rispetto del principio di proporzionalità, siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui (39).

 

88. Nell’ambito dell’esercizio indiretto dei diritti tramite l’autorità di controllo, occorre sottolineare che la possibilità di un esercizio indiretto è innescata dalla limitazione dei diritti dell’interessato. L’autorità di controllo ha il compito di agire nella situazione in cui un diritto sia limitato, in via eccezionale, anche qualora, a seconda delle circostanze, il titolare del trattamento ometta di fornire informazioni sui motivi di tale limitazione (40). Come ampiamente dimostrato nell’analisi della prima questione, nello svolgimento di tale compito, il ruolo dell’autorità di controllo non è quello di agire come semplice “messaggero”, ma piuttosto di garantire la liceità del trattamento.

 

89. Il livello di informazione che l’autorità di controllo può comunicare all’interessato dipende necessariamente dai motivi che hanno determinato la limitazione del diritto di accesso. Più i motivi della limitazione, ed eventualmente dell’omissione di informazioni, sono gravi, meno informazioni potranno essere fornite dall’autorità di controllo. Contrariamente alla presunzione sottesa alla formulazione della questione pregiudiziale, dall’articolo 17, paragrafo 3, della direttiva 2016/680 non risulta che l’autorità di controllo possa «solo» confermare, in ogni circostanza, che tutte le verifiche necessarie sono state effettuate. Invece, ai sensi di tale disposizione, l’autorità di controllo informa l’interessato, «perlomeno», di aver eseguito tutte le verifiche necessarie o un riesame.

 

90. Ne consegue che le informazioni che l’autorità di controllo è tenuta a fornire non possono essere predeterminate. In altri termini, il contenuto minimo previsto dall’articolo 17, paragrafo 3, non è il solo contenuto possibile. Come sottolineato dalla Commissione, il livello di informazione deve essere determinato caso per caso e può variare in funzione delle circostanze e della ponderazione degli interessi in gioco alla luce del principio di proporzionalità. A titolo illustrativo, come correttamente osservato nella letteratura accademica (41), non sembrerebbe problematico che l’autorità di controllo segnalasse all’interessato il fatto che un errore ortografico ha comportato la presenza del nome di tale interessato in una banca dati della polizia.

 

91. Occorre rilevare che la proposta della Commissione di una direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie prevedeva che le autorità di controllo, oltre a fornire informazioni minime, fossero tenute ad informare l’interessato «del loro esito riguardo alla liceità del trattamento in questione» (42). Quest’ultimo elemento di informazione, segnatamente l’esito riguardo alla liceità del trattamento, non era incluso nell’articolo 17 della direttiva 2016/680. Ciò non significa, tuttavia, che eventuali violazioni delle norme in materia di protezione dei dati possano essere tollerate. Nella mia analisi della prima questione, ho sottolineato che l’autorità di controllo instaura un dialogo riservato con il titolare del trattamento. Se l’autorità di controllo ritiene che il trattamento sia illecito, essa fornisce al titolare del trattamento la possibilità di porre rimedio alla situazione. Se tuttavia la situazione non viene corretta, l’autorità di controllo dispone di poteri di esecuzione in forza dell’articolo 47 della direttiva 2016/680, che devono essere esercitati. In una siffatta situazione non è sufficiente, a mio avviso, che l’autorità di controllo riferisca al parlamento nazionale, come suggerito in udienza dall’Autorità di controllo dell’informazione di polizia. Essa deve esercitare il suo potere di portare all’attenzione delle autorità giudiziarie le violazioni delle norme in materia di protezione dei dati e, se del caso, di avviare un procedimento giudiziario o altrimenti agire in giudizio, conformemente all’articolo 47, paragrafo 5, della direttiva 2016/680.

 

92. L’interpretazione secondo cui l’autorità di controllo dispone di un margine di discrezionalità quando esercita indirettamente i diritti dell’interessato è altresì corroborata dall’importanza costituzionale del ruolo delle autorità di controllo indipendenti, sancito all’articolo 8, paragrafo 3, della Carta.

 

93. Ciò premesso, possono sussistere circostanze in cui l’autorità di controllo ritiene di non poter andare oltre la divulgazione di informazioni minime, vale a dire che sono state effettuate tutte le verifiche necessarie. In tali circostanze, l’esercizio del controllo giurisdizionale sarebbe impossibile, a meno che il giudice incaricato del controllo della decisione dell’autorità di controllo non sia in grado di esaminare tutti i motivi sui quali tale decisione è fondata, nonché la decisione del titolare del trattamento di limitare l’accesso.

 

94. A questo proposito occorre innanzitutto sottolineare che l’articolo 15, paragrafo 4, della direttiva 2016/680 prevede che il responsabile del trattamento documenti i motivi di fatto o di diritto su cui si basa la decisione di limitare l’accesso e che tali informazioni siano rese disponibili alle autorità di controllo. Come rilevato dal Parlamento europeo, occorre ammettere che, se tali informazioni sono a disposizione dell’autorità di controllo, esse dovrebbero essere rese disponibili anche all’autorità giudiziaria, qualora l’interessato eserciti il suo diritto di proporre ricorso nei confronti della decisione del titolare del trattamento e/o della decisione dell’autorità di controllo.

 

95. In secondo luogo, in casi eccezionali in cui il titolare del trattamento non fornisce informazioni circa la motivazione del rifiuto o della limitazione dei diritti dell’interessato e l’autorità di controllo fornisce solo informazioni minime, segnatamente che sono state effettuate tutte le verifiche necessarie, il giudice competente dello Stato membro interessato deve avere a sua disposizione e applicare tecniche e norme di diritto processuale che consentano di conciliare le legittime preoccupazioni di sicurezza dello Stato, quanto alla natura e alle fonti di informazione prese in considerazione nell’adottare la decisione di cui trattasi, con la necessità di garantire al soggetto il rispetto dei suoi diritti processuali, quali il diritto di esporre la propria difesa e il principio del contraddittorio (43).

 

96. A tal fine, conformemente al ragionamento nella giurisprudenza derivante dalla sentenza del 4 giugno 2013, ZZ (C-300/11, EU:C:2013:363), gli Stati membri sono tenuti a prevedere, da un lato, un controllo giurisdizionale effettivo tanto dell’esistenza quanto della fondatezza delle ragioni invocate dall’autorità nazionale e, dall’altro, tecniche e norme relative a tale controllo, quali menzionate al paragrafo precedente delle presenti conclusioni (44).

 

97. In udienza, il governo francese ha sostenuto che la sentenza nella causa ZZ presentava un contesto diverso da quello del procedimento principale, dal momento che la sentenza nella causa ZZ riguardava il controllo giurisdizionale di una decisione che negava ad un cittadino dell’Unione l’ammissione in uno Stato membro per motivi di pubblica sicurezza. A tal riguardo, occorre sottolineare che il ragionamento della Corte nella giurisprudenza derivante dalla sentenza nella causa ZZ, che si fonda sulla sentenza nella causa Kadi (45), è basato sull’esigenza di bilanciare adeguatamente le necessità imposte dalla sicurezza dello Stato con quelle del diritto ad una tutela giurisdizionale effettiva. Interrogato in udienza, il rappresentante del governo francese ha ammesso che da tale giurisprudenza discende essenzialmente che dinanzi al giudice non esiste segretezza. Ritengo, pertanto, che tale giurisprudenza debba applicarsi, per analogia, anche nel contesto della direttiva 2016/680, qualora le autorità competenti ritengano che ragioni di sicurezza nazionale o qualsiasi altro motivo di interesse pubblico suscettibile di giustificare una limitazione dei diritti degli interessati impediscano la divulgazione precisa e completa dei motivi di tale decisione di applicare una limitazione.

 

98. Da quanto precede consegue che l’articolo 17 della direttiva 2016/680 è compatibile con l’articolo 8, paragrafo 3, e con l’articolo 47 della Carta nei limiti in cui (i) l’autorità di controllo può, a seconda delle circostanze, non limitarsi a comunicare di aver eseguito tutte le verifiche necessarie e (ii) l’interessato dispone del diritto a un controllo giurisdizionale sull’azione e sulla valutazione dell’autorità di controllo in merito a tale interessato alla luce degli obblighi gravanti sul titolare del trattamento.

 

99. In considerazione di quanto precede, la validità dell’articolo 17 della direttiva 2016/680 non è messa in discussione.

 

III. Conclusioni

 

100. Alla luce di quanto sopra, propongo alla Corte di rispondere alla cour d’appel de Bruxelles (Corte d’appello di Bruxelles, Belgio) come segue:

 

1) L’articolo 17 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, letto in combinato disposto con l’articolo 46, paragrafo 1, lettera g), di tale direttiva e alla luce dell’articolo 47 e dell’articolo  8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea,

 

deve essere interpretato nel senso che l’interessato deve poter disporre di un ricorso giurisdizionale nei confronti di un’autorità di controllo indipendente quando tale interessato esercita i propri diritti tramite detta autorità, nei limiti in cui tale ricorso concerne il compito dell’autorità di controllo di verificare la liceità del trattamento.

 

2) La validità dell’articolo 17 della direttiva 2016/680 non è messa in discussione.