Secondo l’ avvocatura generale della Corte di Giustizia dell’ Unione Europea, il rispetto del diritto alla protezione dei dati personali non esige la previa autorizzazione di un’autorità giudiziaria nelle indagini in materia di concorrenza. Tuttavia, il sequestro di messaggi di posta elettronica professionali deve essere assoggettato a garanzie procedurali adeguate e sufficienti, nonché ad un successivo controllo giurisdizionale.
Nelle cause riunite C-258/23, C-259/23 e C-260/23, la Corte è stata chiamata a dirimere un conflitto tra l'esigenza delle autorità garanti della concorrenza, di svolgere indagini efficaci contro le pratiche anticoncorrenziali , e il diritto fondamentale alla privacy dei dipendenti delle imprese sospettate di pratiche illecite.
Le cause toccano la delicata definizione della base giuridica che legittima il trattamento dei dati personali da parte di un'autorità. L'interrogativo è se il legittimo interesse pubblico sia sufficiente a giustificare l'intrusivo trattamento di dati personali e quali limiti o garanzie debbano essere applicate.
Si richiede alla Corte di stabilire il corretto bilanciamento tra l'efficacia delle indagini e l'obbligo di proteggere la riservatezza delle comunicazioni e dei dati personali degli individui, in conformità con la Carta dei Diritti Fondamentali dell'UE (Articoli 7 e 8).
In questo le conclusioni dell'avvocato generale, depositate il 23 settembre scorso in attesa della sentenza della Corte, hanno suggerito una linea interpretativa chiara e favorevole all'efficacia delle indagini.
I Fatti - Le controversie hanno origine in Portogallo e coinvolgono una società, la Imagens Médicas Integradas, che opera nel settore dei servizi di diagnostica per immagini. L'autorità nazionale portoghese per la concorrenza aveva avviato nei suoi confronti delle indagini, sospettando l'esistenza di presunte pratiche restrittive della concorrenza.
Nel corso di queste indagini, l'Autorità ha effettuato ispezioni e ha sequestrato messaggi di posta elettronica, file e registri contenenti una grossa mole di dati personali appartenenti agli impiegati delle società interessate.
Dette società si sono opposte al sequestro, facendo valere che il loro diritto al segreto della corrispondenza era stato violato e che spettava al giudice istruttore, anziché al pubblico ministero, autorizzare siffatti sequestri.
La controversia arriva dinnanzi al Tribunale amministrativo portoghese, che solleva una serie di questioni pregiudiziali. In sostanza, il giudice nazionale chiedeva come conciliare i poteri investigativi dell'Autorità con il regime di protezione dei dati personali e se il diritto alla protezione dei dati personali imponga che l'accesso a tali informazioni sia sempre subordinato a un controllo preventivo e specifico da parte di un giudice o di un'altra autorità imparziale.
L’ orientamento dell’ avvocatura – Nelle sue conclusioni, l’avvocato generale ritiene che il principio di proporzionalità e legalità siano rispettati a condizione che siano assicurate talune garanzie procedurali. Tali garanzie si aggiungono agli obblighi incombenti alle autorità nazionali garanti in virtù del regolamento generale sulla protezione dei dati , nonché a un controllo giurisdizionale successivo tanto nel corso quanto all’esito della procedura di indagine.
Pertanto – secondo l’ Avvocatura - un’autorizzazione giudiziaria preventiva sarebbe esigibile, in linea di principio, soltanto nei casi di sequestri di messaggi di posta elettronica effettuati presso il domicilio privato di una persona o al fine di incriminare penalmente una persona fisica.
Nelle sue conclusioni, l’ Avvocatura ha escluso la possibilità di appello ai recenti sviluppi della giurisprudenza UE, in riferimento alla causa C-548/21 Bezirkshauptmannschaft Landeck, dove la Corte ha stabilito la necessità di un controllo preventivo per l’accesso ai dati contenuti nei telefoni cellulari ai fini di indagini penali.
Ciò sulla base della considerazione che i sequestri effettuati dalle autorità nazionali garanti hanno lo scopo di individuare pratiche anticoncorrenziali nel mercato interno e riguardano informazioni commerciali relative a persone giuridiche e non singoli interessati che sono, in linea di principio, colpiti da tali sequestri in maniera accessoria.
Inoltre, l’accesso ai messaggi di posta elettronica di un’impresa non permette un accesso completo e incontrollato alla totalità dei dati memorizzati, suscettibili di fornire un’immagine molto più dettagliata e approfondita della vita privata dell’ interessato, al contrario del caso specifico di un telefono cellulare.
Ad ogni modo, è lo stesso Avvocato generale a ricordare che il diritto dell’Unione permette nondimeno agli Stati membri di prevedere un meccanismo di autorizzazione preventiva rilasciata da un’autorità giudiziaria, compreso il pubblico ministero, in merito all’ispezione delle autorità nazionali garanti della concorrenza.
In conclusione, le cause riunite C-258/23 e seguenti si attestano come un banco di prova cruciale per definire il perimetro operativo delle autorità nell'era del GDPR, stabilendo i limiti entro cui la necessità di reprimere le distorsioni del mercato può incidere sui diritti fondamentali di privacy e protezione dei dati deilavoratori. Sarà la sentenza della CGUE a definire in modo vincolante il quadro normativo in tutta l'Unione.
WST Law & Tax