Regolamento - 27/04/2016 - n. 679 art. 78 - Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo

Legittimazione attiva e passiva

Sul piano della legittimazione attiva, qualunque persona fisica o giuridica, dunque non solo l'interessato ma anche, per esempio, il titolare o contitolare del trattamento o il responsabile del trattamento può procedere all'impugnazione, con ricorso giurisdizionale «effettivo» (v. sotto), di un atto amministrativo dell'Autorità di controllo, a due condizioni:

a) che l'atto sia una decisione giuridicamente vincolante;

b) che essa riguardi l'impugnante.

Ai sensi del considerando 143, sono oggetto di gravame: atti di esercizio di poteri di indagine, correttivi e autorizzativi dell'autorità di controllo, ossia gli atti emanati ai sensi dell'art. 58, paragrafi 1, 2 e 3 (limitatamente agli atti autorizzativi), GDPR al cui commento si fa rinvio. Come espressamente precisato allo stesso considerando, non sono invece impugnabili «misure [...] che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall'autorità di controllo».

Il secondo paragrafo riconosce inoltre, al solo interessato, il diritto di proporre un ricorso effettivo nel caso di mera inerzia dell'Autorità di controllo o di ritardo della stessa nell'informare l'interessato entro tre mesi dello stato o dell'esito di un reclamo, cfr. considerando 141 GDPR, che ravvisa il diritto a un ricorso giurisdizionale anche se l'Autorità di controllo «non agisce quando è necessario intervenire per proteggere i diritti dell'interessato». L'interessato potrà dunque impugnare tanto provvedimenti insoddisfacenti rispetto alle doglianze presentate, quanto provvedimenti di rigetto, di archiviazione e altresì la mancata pronuncia dell'Autorità, ove dovuta. Devono altresì considerarsi impugnabili, per l'Italia, le segnalazioni disciplinate dall'art. 144, ma solo ove abbiano comportato l'adozione di provvedimenti.

Giova infine notare che sono legittimati attivamente, su mandato degli interessati, anche gli enti rappresentativi di loro diritti ai sensi dell'art. 80, par. 1 GDPR (v. per l'Italia art. 5 d.lgs. n. 150/2011), oppure gli stessi enti anche in assenza di mandato dell'interessato, se ciò è consentito dalla legge nazionale applicabile (art. 80, par. 2), possibilità quest'ultima che il legislatore nazionale non ha tuttavia ritenuto di percorrere. Ma vedasi in proposito CGUE, 28 aprile 2022, Meta Platforms Ireland, MC-319/20.

Legittimata passiva è l'autorità di controllo di cui si impugna il provvedimento, osservate, per quanto occorrer debba, le norme nazionali di rito sul litisconsorzio necessario di altre parti.

Rinvio pregiudiziale alla Corte di giustizia UE

Circa l'individuazione del giudice nazionale competente, trovano applicazione le già citate norme nazionali (artt. 152 cod. priv. e 10 d.lgs. n. 150/2011). Occorre ricordare che, secondo le regole generali, il giudice nazionale potrà o dovrà, a seconda dei casi, in osservanza dell'art. 267 TFUE, investire la Corte di giustizia in via pregiudiziale di questioni di interpretazione o di validità di disposizioni del Regolamento, la cui soluzione sia necessaria per la decisione (cfr. anche considerando 143 GDPR).

Giurisdizione

Quanto al riparto tra Stati membri, è competente il giudice dello Stato membro in cui è stabilita l'Autorità garante di cui si impugna la decisione (art. 78, par. 3).

Legge processuale applicabile

Come confermato anche dal considerando 143, la legge processuale segue la lex fori.

Impugnazione da parte del reclamante.

Come già notato, fermo restando il diritto riconosciuto al primo paragrafo a qualunque persona fisica o giuridica di impugnare le decisioni vincolanti dell'autorità di controllo (per l'Italia il Garante per la protezione dei dati personali), il solo interessato può altresì, in applicazione del secondo paragrafo, agire nei confronti dell'autorità, competente ai sensi degli artt. 55 e 56, che non tratti un reclamo o che non lo informi dello stato o dell'esito di un reclamo entro i primi tre mesi dalla presentazione. In linea generale, l'autorità di controllo competente è istituzionalmente tenuta quantomeno a esaminare con diligenza i reclami (cfr. CGUE, 16 luglio 2020, Schrems II, C-311/18, punto 109) e, se del caso, a comunicarne l'avvenuta archiviazione indicandone le ragioni. Per quanto concerne in modo specifico l'ordinamento italiano, v. anche commento agli articoli dal 140-bis al 143 cod. privacy in quest'Opera. Quanto alle specifiche ragioni che possono portare all'archiviazione, al termine dell'istruttoria preliminare, vedasi per l'Italia l'art. 11 reg. 1/2019 GPDP.

Rapporti tra artt. 78 e 79 GDPR

Nell'architettura del Regolamento, l'art. 78 è dedicato all'impugnazione nei confronti dell'autorità di controllo, mentre l'art. 79 riguarda la tutela giurisdizionale nei confronti del titolare (o contitolare) o, nei casi in cui ciò sia possibile, nei confronti del responsabile del trattamento. L'impugnazione ai sensi dell'art. 78 costituisce in ogni caso un primo grado giurisdizionale, stante la natura amministrativa del procedimento di reclamo al Garante.

Termine a quo

Il termine a quo per l'impugnazione decorre, a seconda dei casi, dalla maturazione del termine trimestrale per l'informazione all'interessato dal deposito del reclamo, oppure, per tutti i legittimati attivi, dalla comunicazione del provvedimento dell'autorità di controllo, o infine, per l'interessato, dal superamento del termine massimo per la pronuncia dell'autorità di controllo. Tale ultimo termine è fissato per l'Italia dall'art. 143, comma 3 d.lgs. n. 196/2003 in nove o dodici mesi.

Ricorso giurisdizionale effettivo

Sul concetto di rimedio giurisdizionale “effettivo” (cfr. supra), si rimanda al commento subart. 79 GDPR. Va osservato che, anche in ottemperanza a tale principio, una decisione su reclamo adottata da un'autorità di controllo è soggetta ad un sindacato giurisdizionale completo, come da ultimo ribadito dalla Corte di giustizia nell'arresto del 7 dicembre 2023, Schufa Holding, cause riunite C-26/22 e C-64/22, punto 114.1).