Chi ha sentito parlare del principio della diretta efficacia del diritto dell’Unione Europea e dunque della prevalenza dello stesso sul diritto nazionale, l’ha fatto perché si è imbattuto sulla questione per preparare un esame all’università o sostenere un concorso oppure nel contesto lavorativo, nell’ambito della corretta interpretazione delle norme, o banalmente per passione, una ricerca, un articolo o approfondendo la tematica per diletto.
Il principio della diretta efficacia del diritto dell’Unione in due sentenze della CGUE
Ed è un fatto che per dover comprendere al meglio tale principio, i libri, più specificatamente i testi universitari, giuridici e no, richiamano sempre e costantemente due celebri sentenze della Corte di Giustizia dell’Unione Europea. Per i cultori della materia: bellissime.
Tale primato fu affermato la prima volta da parte della Corte di Giustizia dell’Unione Europea (di seguito anche “CGUE”) nella sentenza Costa c. E.n.e.l. (causa 6/64)[1] e reso più esplicito nella sentenza Amministrazione delle Finanze c. Simmenthal (causa 106/77)[2] in cui la Corte così disponeva: “[…] 17. inoltre, in forza del principio della preminenza del diritto comunitario, le disposizioni del Trattato e gli atti delle istituzioni, qualora siano direttamente applicabili, hanno l’effetto, nei loro rapporti col diritto interno degli Stati membri, non solo di rendere «ipso jure» inapplicabile, per il fatto stesso della loro entrata in vigore, qualsiasi disposizione contrastante della legislazione nazionale preesistente, ma anche — in quanto dette disposizioni e detti atti fanno parte integrante, con rango superiore rispetto alle norme interne, dell’ordinamento giuridico vigente nel territorio dei singoli Stati membri — di impedire la valida formazione di nuovi atti legislativi nazionali, nella misura in cui questi fossero incompatibili con norme comunitarie; […]”.
In altre parole, è dovere dell’autorità giudiziaria nazionale applicare interamente il diritto comunitario ed assicurare l’efficacia delle sue norme, garantendo all’individuo la tutela che tale diritto gli attribuisce, disapplicando le disposizioni normative interne contrastanti.
L’armonizzazione del Codice Privacy italiano con il GDPR
Non è una novità che parte della dottrina ha sempre sostenuto o evidenziato limiti o dubbi circa la conformità della normativa italiana (o almeno di parte di essa), in questo caso il D.lgs. 196/03 e s.m.i. (di seguito anche “Codice Privacy”) alle disposizioni europee, ossia il Regolamento UE n. 2016/679 (noto anche come “GDPR”). Questo anche a seguito del D. Lgs. 101/2018, l’intervento con cui il legislatore italiano ha cercato di uniformare la nostra disciplina a quella europea.
In tutto ciò, per gli addetti ai lavori, trovare casi di disapplicazione o inapplicabilità della disciplina nazionale sulla protezione dei dati per contrasto con il diritto dell’Unione Europea è un lavoro assai arduo (ma prima o dopo bisogna iniziare).
Sulla scia della filosofia del “chi cerca, trova”, incoraggiati anche dal precedente lavoro esplorativo ed interpretativo di studiosi e professionisti della materia, si ritiene corretto concordare sul fatto che vi possano essere disposizioni incompatibili con la disciplina europea.
Il concetto di alternatività dei rimedi di tutela secondo il Codice Privacy
Ed è per questo motivo che riteniamo utile approfondire, in materia di “Tutela amministrativa e giurisdizionale”, l’alternatività delle forme di tutela.
L’articolo 140-bis del Codice Privacy, in materia di forme alternative di tutela, così dispone: 1. Qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria. 2. Il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria. 3. La presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto, salvo quanto previsto dall’articolo 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.”
Sebbene la ratio della norma, tesa a regolare la disciplina dei rapporti tra il procedimento innanzi all’Autorità Garante per la Protezione dei Dati Personali (il “Garante”) e il processo davanti al giudice ordinario, è volta ad evitare che, in concreto, in sede amministrativa e in sede giurisdizionale, la medesima questione tra le stesse parti sia oggetto di relativi concomitanti procedimenti, la stessa norma imporrebbe – nella sua interpretazione più rigorosa – che l’interessato proponga o il ricorso al giudice ordinario oppure il reclamo al Garante: sostanzialmente una scelta forzata in capo al ricorrente/interessato.
Ad avviso di parte della dottrina, l’alternatività dei rimedi sarebbe quantomeno discutibile, in quanto tale approccio andrebbe a indebolire i mezzi di tutela messi a disposizione del ricorrente per far valere un proprio diritto, anziché rafforzarli: si pensi ai casi di licenziamento in cui il diritto del lavoro si intreccia con il diritto alla privacy, e al fatto che l’esperimento del rimedio giurisdizionale vanificherebbe (o meglio, escluderebbe) il reclamo dinnanzi al Garante.
Compito pertanto dell’Autorità adita è comprendere se l’oggetto del reclamo sia sovrapponibile a quello del ricorso giurisdizionale tra le medesime parti, o viceversa e verificare, caso per caso, l’applicabilità o meno dell’art. 140-bis del Codice Privacy.
L’interpretazione della giurisprudenza europea sui rimedi di tutela
In questo scenario nazionale però la faccenda si complica (come sempre) perché oltre alle norme nazionali applicabili, vi sono le norme previste dal GDPR agli artt. 77, 78 e 79.
Infatti, in materia di esperimento dei mezzi di ricorso, il GDPR prevede: il diritto di proporre reclamo all’autorità di controllo (art. 77); il diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo (art. 78); e il diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento (art. 79).
Non è questa la sede per esaminare i singoli mezzi di ricorso ma la normativa europea non prevede come regola l’alternatività dei rimedi ma bensì la loro coesistenza ed infatti tutti e tre gli articoli sopra menzionati utilizzano la locuzione “fatto salvo ogni altro ricorso […]”.
Ed in questo caso a venirci in soccorso vi è l’interpretazione fornita dalla giurisprudenza europea delle norme stesse che ne chiarisce la lettura.
Infatti, una recente sentenza della CGUE del 12 gennaio 2023, proposta dalla Fovárosi Törvényszék (Corte di Budapest-Capitale, Ungheria) nel procedimento Nemzeti Adatvédelmi és Információszabadság Hatóság c Budapesti Elektromos Muvek Zrt. (causa 132/21)[3], ha sancito, in materia di concorrenza ed esclusività dei mezzi di ricorso previsti dagli artt. 77, comma 1, 78, comma 1 e 79, comma 1, che: “L’articolo 77, paragrafo 1, l’articolo 78, paragrafo 1, e l’articolo 79, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti alla luce dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea, devono essere interpretati nel senso che: essi consentono un esercizio concorrente e indipendente dei mezzi di ricorso previsti, da un lato, da tale articolo 77, paragrafo 1, e da tale articolo 78, paragrafo 1, nonché, dall’altro, da tale articolo 79, paragrafo 1. Spetta agli Stati membri, in linea con il principio dell’autonomia procedurale, prevedere le modalità di articolazione di tali mezzi di ricorso affinché siano garantiti l’efficacia della protezione dei diritti garantiti da tale regolamento, l’applicazione coerente ed omogenea delle disposizioni dello stesso nonché il diritto a un ricorso effettivo dinanzi a un giudice, come sancito dall’articolo 47 della Carta dei diritti fondamentali.”
Alla luce di quanto detto, e senza voler giungere ad interpretazioni forzate, si ritiene che la disciplina prevista dal nostro Codice in materia di tutela della protezione dei dati, armonizzata con gli artt. 77, 78 e 79 del GDPR, debba essere interpretata nel senso che tutti i mezzi di tutela riconosciuti all’interessato sono da intendersi come rimedi di tutela concorrenti e indipendenti.
La sentenza del Tribunale di Roma sulla non alternatività dei ricorsi
Come è stato detto, ad oggi, non è facile trovare casi di disapplicazione o inapplicabilità della disciplina nazionale sulla protezione dei dati personali per contrasto con il diritto dell’Unione. Benché non sia chiaro se l’art. 140-bis del Codice Privacy possa sempre essere compatibile con il GDPR, una recente pronuncia dell’Autorità giudiziaria ne impone quantomeno una interpretazione più “ampia”, orientata ad obbligare il Garante a verificare in concreto che non vi sia identità di petitum tra le due vertenze (una presentata avanti al Garante ed un’altra davanti al Tribunale), a prescindere dal fatto che i due ricorsi riguardino lo stesso tema.
Il Tribunale di Roma, in una recentissima sentenza n. 8443 del 14 maggio 2024, ha annullato un provvedimento del Garante che aveva respinto un reclamo presentato dal ricorrente – ex art. 77 del GDPR e artt. da 140-bis a 143 del Codice Privacy – in quanto, secondo il Garante, la causa incardinata presso la magistratura ordinaria verteva sulla stessa materia (sostanzialmente veniva rilevata identità del petitum tra le due azioni promosse).
Nell’annullare tale provvedimento, il Tribunale ha precisato i limiti entro cui va applicata la regola di alternatività dei rimedi per violazione della privacy. Le due azioni (quella davanti al Garante e quella davanti al Tribunale ordinario) devono avere lo stesso oggetto e le medesime parti: laddove i beni giuridici tutelati siano diversi non è applicabile l’alternatività.
Per verificare la sussistenza della identità di tutela richiesta occorreva fare riferimento al petitum, che nel caso di specie era diverso: davanti al Tribunale il ricorrente aveva chiesto l’annullamento del licenziamento, e dunque la reintegra sul posto di lavoro, mentre nel reclamo davanti al Garante era stata lamentata la violazione dei dati personali, e contestualmente chiesta la tutela dei propri dati personali.
In tale pronuncia, il giudice di merito ha anche stabilito un precedente di importanza significativa ed un principio giuridico molto importante, ribadendo quanto già affermato dalla giurisprudenza della CGUE nella causa 132-21 del 12 gennaio 2023, sopra citata. Infatti, nella sentenza viene sancito che al soggetto che lamenta la violazione dei propri dati personali deve essere assicurata la possibilità di fare ricorso in modo “concorrente e indipendente” a strumenti e procedure tali da garantire la tutela effettiva dei diritti garantiti dal GDPR, rilevando nel caso di specie che, stante la diversità di oggetto tra il ricorso al giudice del lavoro e il reclamo al Garante, l’unico modo per assicurare una tutela effettiva del diritto alla privacy (del ricorrente) cui fa riferimento il GDPR, si sostanzia nell’ottenimento di una autonoma pronuncia da parte del Garante.
Garantire l’efficacia della protezione dei diritti garantiti dal GDPR
In tale contesto, il giudice ha sancito come l’art. 140 bis del Codice Privacy debba essere necessariamente interpretato (e dunque applicato) alla luce del principio della maggior tutela come chiarito dalla giurisprudenza europea.
In conclusione, alla luce di quanto detto, a nostro avviso non si può presumere a priori che ci sia identità di petitum solo per il fatto che le due azioni promosse, una avanti al Garante e l’altra al giudice ordinario, nascono dalla stessa vicenda: va accertato, infatti, che la tutela effettiva dell’interessato sia garantita dai ricorsi esperiti. La sentenza europea, nell’affermare che i rimedi di cui gli artt. 77, 78 e 79 del GDPR siano concorrenti e indipendenti, ha voluto sancire la corretta interpretazione delle norme secondo cui occorre garantire all’interessato l’efficacia della protezione dei diritti garantiti dal GDPR, l’applicazione coerente ed omogenea delle disposizioni dello stesso nonché il diritto a un ricorso effettivo dinanzi a un giudice.
Note
[1] Testo integrale della sentenza: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A61964CJ0006
“[…] La Corte rileva che, a differenza dei comuni trattati internazionali, il Trattato C.E.E. ha istituito un proprio ordinamento giuridico, integrato nell’ordinamento giuridico degli Stati membri all’atto dell’entrata in vigore del Trattato e che i giudici nazionali sono tenuti ad osservare. Infatti, istituendo una Comunità senza limiti di durata, dotata di propri organi, di personalità, di capacità giuridica, di capacità di rappresentanza sul piano internazionale, ed in ispecie di poteri effettivi provenienti da una limitazione di competenza o da un trasferimento di attribuzioni degli Stati alla Comunità, questi hanno limitato, sia pure in campi circoscritti, i loro poteri sovrani e creato quindi un complesso di diritto vincolante per i loro cittadini e per loro stessi. Tale integrazione nel diritto di ciascuno Stato membro di norme che promanano da fonti comunitarie, e più in generale, lo spirito e i termini del Trattato, hanno per corollario l’impossibilità per gli Stati di far prevalere, contro un ordinamento giuridico da essi accettato a condizione di reciprocità, un provvedimento unilaterale ulteriore, il quale pertanto non potrà essere opponibile all’ordine comune. Se l’efficacia del diritto comunitario variasse da uno stato all’altro in funzione delle leggi interne posteriori, ciò metterebbe in pericolo l’attuazione degli scopi del Trattato contemplata nell’art. 5, secondo comma, e causerebbe una discriminazione vietata dall’art. 7. […]”
[2] Testo integrale della sentenza: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:61977CJ0106
[3] Testo integrale della sentenza https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62021CJ0132&from=it
