Home

Una commissione d’inchiesta parlamentare deve in via di principio rispettare il GDPR

La Redazione
16 Gennaio 2024

Con la sentenza C-33/22, la Corte di Giustizia dell’Unione Europea si pronuncia sulla questione se la commissione d'inchiesta istituita dal Parlamento di uno Stato membro, la quale rientra nel potere legislativo e svolge un’indagine riguardante attività di sicurezza nazionale, sia soggetta al GDPR e al controllo dell'autorità per la protezione dei dati. 

La questione origina dal fatto che la commissione d’inchiesta (istituita dal Parlamento austriaco per fare luce sull’esistenza di una possibile influenza politica sull’Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo) ha ascoltato un testimone nel corso di un’audizione ritrasmessa dai mezzi di comunicazione e il resoconto è stato pubblicato sul sito internet del Parlamento con il nome completo del testimone. Ritenendo che la menzione del nome fosse contraria al GDPR, il testimone ha presentato un reclamo all’autorità austriaca per la protezione dei dati, chiarendo che lavorava come agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada. L'autorità per la protezione dei dati ha respinto il reclamo e il testimone si è allora rivolto agli organi giurisdizionali; la Corte amministrativa austriaca ha così interrogato la CGUE a riguardo.

La Corte di Giustizia dell’Unione Europea si pronuncia affermando che «una commissione d'inchiesta istituita dal Parlamento di uno Stato membro nell'esercizio del suo potere di controllo del potere esecutivo deve, di regola, rispettare il regolamento generale sulla protezione dei dati (GDPR). Inoltre, qualora vi sia in tale Stato membro, un’unica autorità di controllo, quest'ultima è, in via di principio, competente a controllare l’osservanza del GDPR da parte della commissione d'inchiesta. Per contro, qualora la commissione d'inchiesta eserciti effettivamente un'attività volta, in quanto tale, a salvaguardare la sicurezza nazionale, essa non è soggetta al GDPR né, di conseguenza, al controllo dell'autorità di controllo».

E ancora: «Poiché l'Austria ha scelto di istituire un'unica autorità di controllo ai sensi del GDPR, ossia l'autorità per la protezione dei dati, quest'ultima è, in via di principio, anche competente a controllare l’osservanza del GDPR da parte di una commissione d'inchiesta come quella di cui trattasi, e, ciò nonostante, il principio di separazione dei poteri. Ciò risulta dall'effetto diretto del GDPR e dal primato del diritto dell'Unione, anche rispetto al diritto costituzionale nazionale». 

(Fonte: Diritto e Giustizia)

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.