Home

Privacy: le commissioni parlamentari d’inchiesta devono rispettare il GDPR e il controllo dell’autority nazionale, salvo per salvaguardia della sicurezza nazionale

La Redazione
17 Gennaio 2024

Con sentenza del 16 gennaio 2024 (C-33/22), la CGUE ha ritenuto che, in via di principio, una commissione d'inchiesta istituita dal Parlamento di uno Stato membro, che rientra nell'esercizio del suo potere di controllo del potere esecutivo, è soggetta al GDPR e al controllo dell'autorità nazionale per la protezione della privacy, salvo che svolga un'attività volta a tutelare la sicurezza nazionale.

Una commissione d'inchiesta istituita dal Parlamento di uno Stato membro nell'esercizio del suo potere di controllo del potere esecutivo deve, di regola, rispettare il regolamento generale sulla protezione dei dati (in prosieguo: il «GDPR») (1).

Inoltre, qualora vi sia, in tale Stato membro, un'unica autorità di controllo, quest'ultima è, in via di principio, competente a controllare l'osservanza del GDPR da parte della commissione d'inchiesta. Per contro, qualora la commissione d'inchiesta eserciti effettivamente un'attività volta, in quanto tale, a salvaguardare la sicurezza nazionale, essa non è soggetta al GDPR né, di conseguenza, al controllo dell'autorità di controllo.

La Camera dei deputati del Parlamento austriaco ha istituito una commissione d'inchiesta incaricata di fare luce sull'esistenza di una possibile influenza politica sull'Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo (2).

Tale commissione d'inchiesta ha ascoltato un testimone nel corso di un'audizione ritrasmessa dai mezzi di comunicazione. Il resoconto di questa audizione è stato pubblicato sul sito Internet del Parlamento austriaco. Esso conteneva, nonostante la richiesta di anonimizzazione del testimone, il nome completo di quest'ultimo.

Ritenendo che la menzione del suo nome fosse contraria al GDPR, il testimone ha presentato un reclamo presso l'autorità austriaca per la protezione dei dati. Egli ha chiarito che lavorava come agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada. L'autorità per la protezione dei dati ha respinto il reclamo con la motivazione che il principio della separazione dei poteri osta a che detta autorità, in quanto ramo del potere esecutivo, controlli l'osservanza del GDPR da parte della commissione d'inchiesta, la quale rientra nel potere legislativo. Il testimone si è allora rivolto agli organi giurisdizionali austriaci per contestare tale approccio.

La Corte amministrativa austriaca ha interrogato la Corte di giustizia sulla questione se la commissione d'inchiesta, che rientra nel potere legislativo e svolge un'indagine riguardante attività di sicurezza nazionale, sia soggetta al GDPR e al controllo dell'autorità per la protezione dei dati.

La Corte dichiara che anche una commissione d'inchiesta istituita dal Parlamento di uno Stato membro nell'esercizio del suo potere di controllo del potere esecutivo deve, in via di principio, rispettare il GDPR.

È vero che il GDPR non si applica ai trattamenti di dati personali effettuati dalle autorità statali nel contesto di un'attività volta a salvaguardare la sicurezza nazionale. Tuttavia, fatta salva la verifica da parte della Corte amministrativa austriaca, l'indagine di cui trattasi non sembra essere volta, in quanto tale, a salvaguardare la sicurezza nazionale. Infatti, detta commissione d'inchiesta doveva indagare sull'esistenza di una possibile influenza politica su un'autorità rientrante nel potere esecutivo, la quale aveva il compito di garantire la protezione della Costituzione e combattere il terrorismo.

Ciò premesso, la sicurezza nazionale può giustificare limitazioni, mediante misure legislative, agli obblighi e ai diritti derivanti dal GDPR. Dal fascicolo non risulta tuttavia che la commissione d'inchiesta di cui trattasi abbia affermato che la divulgazione del nome del testimone era necessaria per salvaguardare la sicurezza nazionale e fondata su una misura legislativa. Spetterà tuttavia alla Corte amministrativa austriaca procedere alle verifiche necessarie a tal riguardo.

Poiché l'Austria ha scelto di istituire un'unica autorità di controllo ai sensi del GDPR, ossia l'autorità per la protezione dei dati, quest'ultima è, in via di principio, anche competente a controllare l'osservanza del GDPR da parte di una commissione d'inchiesta come quella di cui trattasi, e, ciò nonostante, il principio di separazione dei poteri. Ciò risulta dall'effetto diretto del RGPD e dal primato del diritto dell'Unione, anche rispetto al diritto costituzionale nazionale.

--------------------

(1) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

(2) Il 1° dicembre 2021 la Direzione per la sicurezza dello Stato e dei servizi di intelligence è succeduta a tale Ufficio.