Il contributo commenta una pronuncia della Corte di Giustizia sulla responsabilità civile di Europol per illecita divulgazione di dati personali di una persona indagata, nel quadro della cooperazione con le autorità inquirenti di uno Stato membro. In particolare, la Corte, riformando una decisione resa dal Tribunale dell’UE, afferma che è configurabile, ai sensi dell’art. 50 del Regolamento 2016/794 (Regolamento Europol), letto, in particolare, alla luce del considerando 57 del medesimo Regolamento, una responsabilità solidale tra Europol e Stato membro. Se tale principio di diritto agevola l’accesso del danneggiato alla tutela risarcitoria laddove non sia possibile individuare con certezza chi abbia illecitamente divulgato i dati (se Europol o le autorità nazionali), la sentenza liquida in favore del ricorrente un risarcimento sostanzialmente simbolico, depotenziando notevolmente il ruolo dell’art. 50 del Regolamento Europol come strumento di tutela e dispositivo di responsabilizzazione dei titolari del trattamento.

CGUE, sent. 5 marzo 2024, C-755/21 P, Marián Kočner contro Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol)

L’articolo 50 del Regolamento 2016/794, letto alla luce dell’articolo 49, paragrafo 3, e dei considerando 56 e 57 del medesimo regolamento, istituisce un regime di responsabilità in solido di Europol e dello Stato membro nel quale si è verificato il danno derivato da un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra essi a titolo del suddetto regolamento.

SOMMARIO:

1. Introduzione - 2. I fatti, la sentenza del Tribunale e il ricorso dinanzi alla Corte di giustizia - 3. Le Conclusioni dell’Avvocato generale - 4. La sentenza della Corte di giustizia - 5. Alcune considerazioni - NOTE

1. Introduzione

Con sentenza del 5 marzo 2024 (caso Kočner contro Europol) [1], la Corte di giustizia dell’UE ha stabilito, inter alia, che Europol e uno Stato membro possono essere chiamati a rispondere in solido per i danni derivanti da un trattamento illecito di dati personali. La Corte ha, inoltre, condannato Europol a versare al ricorrente 2000 euro, a titolo di risarcimento dei danni non patrimoniali sofferti. Il presente contributo riassume, innanzitutto, il caso concreto sotteso alla sentenza in commento e le fasi processuali ad essa antecedenti. In secondo luogo, vengono ripercorsi gli snodi fondamentali dell’argo­mentazione sviluppata dalla Corte di Lussemburgo. In terzo luogo, vengono svolte alcune considerazioni sul potenziale impatto (e sui limiti) della sentenza. Da un lato, si rileva come, in linea di principio, la configurabilità di una responsabilità solidale tra Europol e uno Stato membro per il risarcimento del danno derivante dal trattamento illecito di dati personali possa rafforzare la tutela degli individui interessati, fornendo incentivi comportamentali auspicabili ai titolari del trattamento dei dati. Dall’altro lato, è giocoforza constatare come simili incentivi non possano certo venire efficacemente veicolati mediante liquidazioni risarcitorie, come quella disposta dalla sentenza in commento, sostanzialmente simboliche.

2. I fatti, la sentenza del Tribunale e il ricorso dinanzi alla Corte di giustizia

La pronuncia in commento si ricollega a una tragica vicenda di cronaca consumatasi in Slovacchia nel 2018. Il 21 febbraio di quell’anno, il giornalista Jan Kuciak, che stava indagando sugli intrecci tra criminalità organizzata e politica nel suo Paese, veniva assassinato, con la sua fidanzata Martina Kusnirova, nella sua abitazione presso Veľká Mača [2]. Ampie manifestazioni di piazza seguivano il delitto, inducendo il primo ministro Robert Fico a rassegnare le dimissioni [3], mentre l’imprenditore Marián Kočner veniva indagato come possibile mandante dell’omi­cidio [4]. L’Europol sequestrava i telefoni dell’indagato e un dispositivo di archiviazione [5]. I dati delle analisi venivano forniti alle autorità slovacche nel 2018 e nel 2019 [6]. Tuttavia, nel 2019, delle informazioni relative all’indagato trapelavano nella stampa, ivi comprese delle conversazioni personali e fotografie di natura intima e il collegamento dell’indagato alla c.d. “Mafia list” [7]. L’indagato agiva, dunque, nei confronti di Europol dinanzi al Tribunale dell’UE, ai sensi dell’art. 50, par. 1, Regolamento 2016/794 (Regolamento Europol) e dell’art. 340 TFUE, per il risarcimento del danno arrecato al proprio diritto alla vita privata e familiare, complessivamente quantificato in 100000 euro: 50000 euro per la divulgazione illecita delle suddette conversazioni e fotografie; e di 50000 euro per la sua inclusione nella “Mafia list”, che avrebbe indotto la stampa a designarlo come una persona affiliata alla criminalità organizzata [8]. Ai fini di una più completa comprensione della posizione di parte attrice e delle decisioni del Tribunale e della Corte di giustizia, non è inopportuno riportare brevemente il contenuto dell’art. 50 del Regolamento Europol, che si articola in due paragrafi. Il primo paragrafo (in base al quale, come già detto, Marián Kočner agiva in giudizio) attribuisce alla «persona fisica che subisca un danno cagionato da un trattamento illecito dei dati […] il diritto di ottenere il risarcimento del danno da Europol, conformemente all’articolo 340 TFEU, o dallo Stato membro in cui si è verificato il fatto generatore del danno, conformemente al diritto nazionale»; il secondo paragrafo dispone che «[q]ualsiasi [continua ..]

3. Le Conclusioni dell’Avvocato generale

Con le Conclusioni del 15 giugno 2023 [13], l’Avvocato generale Rantos affermava che, ai sensi del Regolamento Europol, una responsabilità solidale può, in effetti, insorgere tra Europol e uno Stato Membro, proponendo, dunque, alla Corte di richiedere una nuova valutazione di merito da parte del Tribunale. Al riguardo, Rantos presentava una motivazione dettagliata in merito all’interpretazione dell’art. 50, par. 1, Regolamento Europol [14]. In particolare, evidenziava l’Avvocato generale che, nonostante la formulazione letterale dell’articolo 50, paragrafo 1 non sia cristallina sul punto, il considerando 57 del Regolamento Europol menziona esplicitamente la responsabilità solidale tra Europol e lo Stato membro nelle ipotesi di danni derivanti da trattamento illecito di dati personali. Pur riconoscendo che i considerando non sono giuridicamente vincolanti, Rantos ne sottolineava l’importanza ermeneutica [15], evidenziando come il considerando 57 sia indicativo dell’obiettivo del regolamento Europol e dell’intenzione del legislatore dell’UE. Ad adiuvandum, alla luce dei principi generali comuni al diritto degli Stati membri, ai sensi dell’art. 340 TFUE, e dell’art. 9:101 dei Principels of European Tort Law (PETL) [16], l’Avvocato generale rilevava comparativamente come i sistemi giuridici degli Stati membri si sovrappongano, in una certa misura, nel prevedere forme di responsabilità solidale laddove siano coinvolti più danneggianti [17].

4. La sentenza della Corte di giustizia

Con sentenza del 5 marzo 2024, la Corte di giustizia si è sostanzialmente allineata alle raccomandazioni dell’Avvocato generale relative alla questione della responsabilità solidale tra Europol e Stato membro. La Corte ha affermato che, se una disposizione di un Regolamento può essere interpretata in modi diversi, i considerando possono offrire delle indicazioni utili per determinare quale, tra le molteplici interpretazioni possibili, sia quella corretta, chiarendone il contesto e la ratio [18]. Al contrario, l’interprete non può far leva sui considerando (che non sono vincolanti) per interpretare una disposizione (vincolante) in un senso che sia chiaramente contrario al suo tenore letterale [19]. Nella specie, la formulazione dell’art. 50, par. 1, Regolamento Europol non è conclusiva per quanto riguarda la possibilità che insorga una responsabilità solidale tra Europol e uno Stato membro [20]. Nulla nel dato testuale dell’art. 50 del Regolamento Europol osta alla configurabilità di una responsabilità solidale tra le istituzioni europea e nazionale [21], come delineato nel considerando 57. Anzi, secondo la Corte, il tenore letterale dell’art. 50, par. 2, Regolamento Europol, nel prevedere una seconda fase in cui il Consiglio di amministrazione di Europol si pronuncia sulla «responsabilità finale» tra Europol e Stato membro del risarcimento corrisposto ai sensi del par. 1, «non avrebbe alcuna ragion d’essere in assenza di responsabilità solidale di queste entità» [22]. Stando così le cose, secondo la Corte, il danneggiato non è tenuto a identificare quale delle entità coinvolte abbia commesso il trattamento illecito [23]. È sufficiente che l’individuo dimostri che il trattamento illecito dei dati è stato effettuato nell’ambito della cooperazione tra Europol e uno Stato membro. A tale condizione, il danneggiato potrà scegliere nei confronti di quale istituzione agire per ottenere il risarcimento integrale del pregiudizio subito. Dopodiché, la ripartizione delle rispettive quote di responsabilità potrà essere oggetto di un (diverso) procedimento, che coinvolgerà solo Europol e lo Stato membro interessato, dinanzi al Consiglio di amministrazione di Europol [24]. Se, tuttavia, l’Avvocato [continua ..]

5. Alcune considerazioni

La sentenza in commento contiene delle statuizioni di principio che risultano, a parere di scrive, particolarmente apprezzabili nel senso di agevolare la tutela risarcitoria dei danneggiati e di veicolare una maggiore responsabilizzazione dei titolari del trattamento dei dati personali. Tuttavia, l’importo decisamente modesto del risarcimento ridimensiona di molto la portata della sentenza in tal senso. In casi simili futuri, al fine di rendere l’art. 50 del Regolamento Europol uno strumento di tutela e un dispositivo incentivante efficace, la Corte di giustizia dovrebbe prendere in considerazione la liquidazione di importi che non siano meramente simbolici. In linea di principio, il riconoscimento, da parte della Corte di Lussemburgo, che, in ipotesi di collaborazione tra Europol e uno Stato membro, possa insorgere, tra tali soggetti, una responsabilità solidale in relazione al trattamento illecito di dati personali rappresenta una soluzione favorevole ai soggetti danneggiati. Come noto, l’istituto della responsabilità solidale consente al danneggiato, a fronte di una molteplicità di danneggianti, di scegliere il convenuto nei confronti di quale agire per ottenere il risarcimento integrale del danno subito [34]. Questi potrà, poi, agire in regresso nei confronti degli altri danneggianti. Questo schema operativo risulta particolarmente utile per il creditore-danneggiato in casi, come in quello in esame, di causalità alternativa, riscontrabili laddove l’attore può dimostrare che il danno è causalmente riconducibile a uno dei convenuti, ma non può individuare esattamente chi lo ha cagionato [35]. Ne discende che l’operatività della responsabilità solidale determina, di fatto, una traslazione dei costi dell’incertezza causale dal danneggiato ai danneggianti (nel caso de quo, Europol e le autorità slovacche); con la conseguenza di incentivare gli attori coinvolti ad adottare un livello efficiente di precauzione (nel caso de quo, ​​un livello efficiente di protezione dei dati personali trattati nel corso di indagini transfrontaliere) [36]. In definitiva, la configurabilità di una responsabilità solidale tra Europol e Stato membro può promuovere una accountability più efficace in materia di protezione dei dati. La sentenza illustra, altresì, con chiarezza come le condizioni della [continua ..]

NOTE