Sentenza della Corte nella causa C-33/22 | Österreichische Datenschutzbehörde

Ciò non si verifica qualora essa eserciti effettivamente un’attività volta a salvaguardare la sicurezza nazionale Una commissione d'inchiesta istituita dal Parlamento di uno Stato membro nell'esercizio del suo potere di controllo del potere esecutivo deve, di regola, rispettare il regolamento generale sulla protezione dei dati (in prosieguo: il «RGPD») 1 . Inoltre, qualora vi sia, in tale Stato membro, un’unica autorità di controllo, quest'ultima è, in via di principio, competente a controllare l’osservanza del RGPD da parte della commissione d'inchiesta. Per contro, qualora la commissione d'inchiesta eserciti effettivamente un'attività volta, in quanto tale, a salvaguardare la sicurezza nazionale, essa non è soggetta al RGPD né, di conseguenza, al controllo dell'autorità di controllo. La Camera dei deputati del Parlamento austriaco, ha istituito una commissione d'inchiesta incaricata di fare luce sull’esistenza di una possibile influenza politica sull’Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo2 . Tale commissione d'inchiesta ha ascoltato un testimone nel corso di un’audizione ritrasmessa dai mezzi di comunicazione. Il resoconto di questa audizione è stato pubblicato sul sito Internet del Parlamento austriaco. Esso conteneva, nonostante la richiesta di anonimizzazione del testimone, il nome completo di quest’ultimo. Ritenendo che la menzione del suo nome fosse contraria al RGPD, il testimone ha presentato un reclamo presso l’autorità austriaca per la protezione dei dati. Egli ha chiarito che lavorava come agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada. L'autorità per la protezione dei dati ha respinto il reclamo con la motivazione che il principio della separazione dei poteri osta a che detta autorità, in quanto ramo del potere esecutivo, controlli l’osservanza del RGPD da parte della commissione d'inchiesta, la quale rientra nel potere legislativo. Il testimone si è allora rivolto agli organi giurisdizionali austriaci per contestare tale approccio. La Corte amministrativa austriaca ha interrogato la Corte di giustizia sulla questione se la commissione d'inchiesta, che rientra nel potere legislativo e svolge un’indagine riguardante attività di sicurezza nazionale, sia soggetta al RGPD e al controllo dell'autorità per la protezione dei dati. La Corte dichiara che anche una commissione d’inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo potere di controllo del potere esecutivo deve, in via di principio, rispettare il RGPD. È vero che il RGPD non si applica ai trattamenti di dati personali effettuati dalle autorità statali nel contesto di un’attività volta a salvaguardare la sicurezza nazionale. Tuttavia, fatta salva la verifica da parte della Corte amministrativa austriaca, l'indagine di cui trattasi non sembra essere volta, in quanto tale, a salvaguardare la sicurezza nazionale. Infatti, detta commissione d’inchiesta doveva indagare sull'esistenza di una possibile influenza politica su un'autorità rientrante nel potere esecutivo, la quale aveva il compito di garantire la protezione della Direzione della Comunicazione Unità Stampa e informazione curia.europa.eu Restate in contatto! Costituzione e combattere il terrorismo. Ciò premesso, la sicurezza nazionale può giustificare limitazioni, mediante misure legislative, agli obblighi e ai diritti derivanti dal RGPD. Dal fascicolo non risulta tuttavia che la commissione d'inchiesta di cui trattasi abbia affermato che la divulgazione del nome del testimone era necessaria per salvaguardare la sicurezza nazionale e fondata su una misura legislativa. Spetterà tuttavia alla Corte amministrativa austriaca procedere alle verifiche necessarie a tal riguardo. Poiché l'Austria ha scelto di istituire un'unica autorità di controllo ai sensi del RGPD, ossia l'autorità per la protezione dei dati, quest'ultima è, in via di principio, anche competente a controllare l’osservanza del RGPD da parte di una commissione d'inchiesta come quella di cui trattasi, e ciò nonostante il principio di separazione dei poteri. Ciò risulta dall'effetto diretto del RGPD e dal primato del diritto dell'Unione, anche rispetto al diritto costituzionale nazionale.