In data 18 giugno 2026, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-414/24, Datenschutzbehörde, sull’interpretazione degli articoli 77 e 79 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Dott.ssa G S e la Datenschutzbehörde (Autorità austriaca per la protezione dei dati, DSB) in merito al rigetto, da parte di quest’ultima, del reclamo proposto dalla dott.ssa G S sulla base di un’asserita violazione del suo diritto alla protezione dei dati personali che la riguardano, in quanto l’interessata aveva previamente proposto un ricorso giurisdizionale avente lo stesso oggetto e rimasto pendente dinanzi all’autorità giurisdizionale adita.
Questi i fatti.
La Dott.ssa G S aveva presentato alla società D, gestore di una piattaforma per la ricerca di medici che consente a terzi di riportare valutazioni ed esperienze in relazione agli stessi, una domanda diretta ad ottenere la cancellazione di taluni dati personali che la riguardavano, sulla base della situazione giuridica esistente prima dell’entrata in vigore del GDPR. Poiché la società D aveva respinto la sua domanda, la Dott.ssa G S aveva proposto un ricorso dinanzi ad un giudice civile, facendo valere, in particolare, una violazione del diritto alla protezione dei dati personali e chiedendo la cancellazione dei dati pubblicati che la riguardavano.
A seguito dell’entrata in vigore del GDPR, la Dott.ssa G S aveva nuovamente sottoposto alla società D una domanda diretta ad ottenere la cancellazione dei dati personali che la riguardavano pubblicati sulla piattaforma gestita da quest’ultima. Poiché anche tale richiesta era stata respinta, la Dott.ssa G S aveva proposto un reclamo alla DSB chiedendole di accertare la violazione del suo diritto alla protezione dei dati personali, di ingiungere alla società D di cancellare l’insieme dei dati personali che la riguardavano presenti sulla sua piattaforma nonché di astenersi da qualsiasi ulteriore trattamento degli stessi. Avendo la DSB respinto tale reclamo, la Dott.ssa G S si era rivolta al Bundesverwaltungsgericht (Tribunale amministrativo federale austriaco), che tuttavia aveva respinto il suo ricorso in un momento in cui la sentenza pronunciata dal giudice civile, che aveva parimenti respinto la domanda della stessa, non aveva ancora acquisito carattere definitivo. Successivamente, sia la Dott.ssa G S, dopo che il Verfassungsgerichtshof (Corte costituzionale austriaca) aveva rifiutato di esaminare il suo ricorso, sia la DSB avevano adito il Verwaltungsgerichtshof (Corte amministrativa austriaca; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 77, paragrafo 1[2], e l’articolo 79, paragrafo 1[3], del GDPR debbano essere interpretati nel senso che essi ostano a che un’autorità di controllo, investita di un reclamo ai sensi di tale articolo 77, paragrafo 1, possa respingerlo per il solo motivo che un ricorso giurisdizionale, proposto conformemente a tale articolo 79, paragrafo 1, e avente il medesimo oggetto, è stato proposto in precedenza e sebbene la decisione emessa nell’ambito di tale ricorso non abbia ancora acquisito carattere definitivo.
La Corte ha preliminarmente ricordato che gli articoli da 77 a 79 del GDPR offrono diversi mezzi di ricorso ai soggetti che lamentano una violazione di quest’ultimo, fermo restando che ciascuno di essi deve poter essere esercitato fatto salvo ogni altro[4]. Il GDPR, pertanto, non prevede alcuna competenza prioritaria o esclusiva né introduce alcuna regola di prevalenza della valutazione effettuata dall’autorità o dai giudici ivi menzionati quanto all’esistenza di una violazione dei diritti conferiti da tale regolamento. Il ricorso previsto all’articolo 78, paragrafo 1, del GDPR, il cui oggetto è l’esame della legittimità della decisione di un’autorità di controllo adottata sulla base dell’articolo 77 di detto regolamento, e quello previsto all’articolo 79, paragrafo 1, infatti, possono essere esercitati anche in modo concorrente e indipendente[5]. Ogni autorità di controllo, inoltre, è tenuta, nel suo territorio, a trattare i reclami che qualsiasi persona, ai sensi dell’articolo 77, paragrafo 1, del GDPR, ha il diritto di proporre quando considera che un trattamento di dati personali che la riguardano costituisca una violazione del medesimo regolamento, ad esaminarne l’oggetto nella misura necessaria e ad informare l’autore del reclamo dello stato e dell’esito dell’indagine entro un termine ragionevole. Nello specifico, l’autorità di controllo deve trattare un siffatto reclamo con la dovuta diligenza[6], svolgendo quindi un ruolo indispensabile nel sistema di protezione dei dati personali, contribuendo all’applicazione coerente del GDPR negli Stati Membri.
In assenza di una disciplina europea in materia, spetta a ciascuno Stato Membro, in forza del principio di autonomia processuale, stabilire le modalità delle procedure amministrative e quelle relative alla procedura giurisdizionale intese a garantire la tutela dei diritti spettanti agli amministrati in forza del diritto dell’Unione[7], che in ogni caso non devono rimettere in discussione l’effetto utile e la tutela effettiva dei diritti garantiti dal GDPR[8] né essere meno favorevoli di quelle che riguardano ricorsi simili previsti per la protezione dei diritti che derivano dall’ordine giuridico interno o strutturate in modo da rendere in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dall’ordinamento giuridico dell’Unione[9].
Tutto ciò premesso, la procedura di reclamo, che non è simile a quella di una petizione, è concepita come un meccanismo idoneo a salvaguardare efficacemente i diritti e gli interessi delle persone coinvolte[10]. L’autorità di controllo, infatti, è tenuta ad intervenire qualora l’adozione di una o più delle misure correttive previste dal GDPR sia appropriata, necessaria e proporzionata al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento[11]. È vero che tale obbligo di intervenire richiede che, qualora sia investita di un reclamo ai sensi dell’articolo 77, paragrafo 1, del GDPR e sia informata dell’esistenza di un procedimento giurisdizionale avviato sulla base dell’articolo 79, paragrafo 1, di tale regolamento e avente il medesimo oggetto, l’autorità di controllo tenga debitamente conto, nell’ambito dell’esame di tale reclamo, della decisione che chiuderà definitivamente tale procedimento. Tuttavia, sarebbe contrario a questo stesso obbligo privare un interessato al trattamento dei dati personali del beneficio di un siffatto meccanismo di protezione consentendo all’autorità di controllo di respingere il suo reclamo per il solo motivo che un ricorso giurisdizionale, proposto conformemente all’articolo 79, paragrafo 1, del GDPR e avente il medesimo oggetto, è stato proposto in precedenza, e sebbene la decisione emessa nell’ambito di tale ricorso non abbia ancora acquisito carattere definitivo.
Di conseguenza, la Corte ha statuito che:
“L’articolo 77, paragrafo 1, e l’articolo 79, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che essi ostano a che un’autorità di controllo, investita di un reclamo ai sensi di tale articolo 77, paragrafo 1, possa respingerlo per il solo motivo che un ricorso giurisdizionale, proposto conformemente a tale articolo 79, paragrafo 1, e avente il medesimo oggetto, è stato proposto in precedenza e sebbene la decisione emessa nell’ambito di tale ricorso non abbia ancora acquisito carattere definitivo”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 77 GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[3] L’articolo 79 GDPR, intitolato “Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento…”.
[4] CGUE 12.01.2023, Causa C‑132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság, punto 34.
[5] Ibidem, punto 35.
[6] CGUE 26.09.2024, Causa C‑768/21, Land Hessen (Obbligo di agire dell’autorità per la protezione dei dati), punto 32.
[7] CGUE 12.01.2023, Causa C‑132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság, punto 45.
[8] Ibidem, punto 47.
[9] Ibidem, punto 48.
[10] CGUE 07.12.2023, Cause riunite C‑26/22 e C‑64/22, SCHUFA Holding (Esdebitazione), punto 58.
[11] CGUE 30.04.2025, Cause riunite C‑313/23, C‑316/23 e C‑332/23, Inspektorat kam Visshia sadeben savet, punto 132