Home

Cooperazione giudiziaria e tutela dei dati: ammesso il ricorso giurisdizionale se vi è accesso indiretto ai dati detenuti dalle autorità di controllo

La Redazione
La Redazione
21 Giugno 2023

Nelle sue conclusioni nella causa C-333/22 del 15 giugno 2023, l'Avvocato generale, analizzando la compatibilità dell'art. 17 della direttiva sulla protezione dei dati nell' attività di polizia e giudiziaria (direttiva 2016/680) con i diritti sanciti dalla Carta dei diritti fondamentali dell'Unione europea, afferma che la persona oggetto del trattamento dei suoi dati personali deve poter disporre di un ricorso giurisdizionale nei confronti di un'autorità di controllo indipendente quando tale persona esercita i propri diritti tramite questa autorità. Un'eccezione ampia e generalizzata al diritto di accesso diretto ai dati personali in cause penali non è compatibile con il diritto dell'Unione.

Un individuo si è visto rifiutare da parte dell'autorità nazionale di sicurezza belga il rilascio del “nulla osta di sicurezza”, perché in passato aveva partecipato a diverse manifestazioni. Ha successivamente richiesto all'Organo di controllo dell'Informazione di Polizia belga (l'Organo di controllo) di individuare i titolari del trattamento responsabili per i dati in questione e di ingiungere loro di fornirgli accesso a tutte le informazioni che lo riguardavano. L'Organo di controllo ha risposto che aveva effettuato tutte le verifiche necessarie, senza specificare ulteriori dettagli.

Non considerandosi soddisfatto da questa risposta, l'interessato, insieme alla Ligue des droits humains, ha intentato un ricorso contro l'Organo di controllo presso i tribunali belgi. In tale contesto, la corte d'appello di Bruxelles ha effettuato un rinvio pregiudiziale alla Corte di giustizia riguardo alla direttiva 2016/680, meglio nota come “direttiva sulla [protezione dei dati nell'] attività di polizia e giudiziaria”. Tale direttiva stabilisce norme sulla protezione dei dati personali e sul trattamento di tali dati nei settori della cooperazione giudiziaria in materia penale e della cooperazione di polizia e riflette la “specificità dei settori in questione”.

La corte d'appello precisa che secondo il diritto belga tutte le richieste inerenti a diritti relativi a dati personali trattati dai servizi di polizia devono essere presentate all'Organo di controllo. Tale organo si limita a comunicare all'interessato “di aver eseguito le verifiche necessarie”. Inoltre, il giudice nazionale esprime dubbi quanto al fatto che il diritto belga autorizzi la presentazione di un rimedio giurisdizionale nei confronti dell'Organo di controllo e chiede, in sostanza, di acclarare se l'art. 17 della direttiva sia compatibile con l'art. 8, par. 3 e con l'art. 47 della Carta dei diritti fondamentali dell'Unione europea.

Nelle sue odierne conclusioni, l'avvocato generale della causa in esame considera che ai sensi della direttiva sulla protezione dei dati nell'attività di polizia e giudiziaria l'accesso diretto ai dati personali detenuti dalle autorità è la regola generale, mentre l'accesso indiretto rappresenta un'eccezione. L'esercizio indiretto dei diritti tramite l'autorità di controllo è una garanzia supplementare ed una tutela offerta agli interessati laddove si applichino limitazioni.

Quando l'interessato esercita i propri diritti indirettamente tramite un'autorità di controllo, deve disporre di un rimedio giurisdizionale avverso tale autorità relativamente al compito di quest'ultima di verificare la liceità del trattamento. In tale contesto, è possibile che il livello di informazione fornita dall'autorità di controllo all'interessato in merito all'esito del controllo non si limiti sempre all'informazione minima, ossia che sono state effettuate tutte le verifiche necessarie, ma possa variare in funzione delle circostanze della causa alla luce del principio di proporzionalità.

L'avvocato generale rileva che il diritto belga che recepisce la direttiva sulla protezione dei dati nell'attività di polizia e giudiziaria istituisce un regime derogatorio al principio dell'esercizio diretto dei diritti degli interessati con riferimento a tutti i dati trattati dai servizi di polizia. Infatti, tenuto conto della portata estremamente ampia dei dati ai quali il regime di deroga si applica, tale regime stabilisce un'eccezione generalizzata al diritto di accesso diretto. Un regime del genere è incompatibile con la direttiva.

Quanto ai rimedi a disposizione dell'interessato, l'avvocato generale ritiene che quando l'autorità di controllo considera di non poter andare oltre la divulgazione dell'informazioni minima, ossia che sono state effettuate tutte le verifiche necessarie, l'esercizio del controllo giurisdizionale sarebbe impossibile, a meno che il giudice incaricato di verificare la decisione dell'autorità di controllo non sia in grado di esaminare tutti i motivi sui quali tale decisione è fondata, nonché la decisione del titolare del trattamento di limitare l'accesso. In tal caso, le informazioni rilevanti dovrebbero essere rese disponibili anche a tale giudice.

Infine, secondo l'avvocato generale, l'art. 17 della direttiva, che disciplina l'esercizio indiretto dei diritti tramite l'autorità di controllo, è compatibile col diritto fondamentale alla tutela dei dati personali e ad una tutela giurisdizionale effettiva, come previsto nella Carta dei diritti fondamentali dell'Unione europea, nei limiti in cui (i) l'autorità di controllo può, a seconda delle circostanze, non limitarsi a comunicare di aver eseguito tutte le verifiche necessarie e (ii) l'interessato dispone del diritto a un controllo giurisdizionale sull'azione e sulla valutazione dell'autorità di controllo in merito a tale interessato alla luce degli obblighi gravanti sul titolare del trattamento.