Con la sentenza pronunciata il 10 febbraio 2026 nella causa C-97/23 P, la Corte di Giustizia dell'Unione Europea ha segnato un punto di svolta fondamentale nel contenzioso in materia di protezione dei dati personali. Accogliendo il ricorso di WhatsApp Ireland, la Corte ha sancito l'impugnabilità diretta delle decisioni vincolanti del Comitato europeo per la protezione dei dati (EDPB), annullando la precedente ordinanza del Tribunale che ne aveva dichiarato l'irricevibilità.

• Leggi qui la sentenza della CGUE (link esterno)

Ecco i passaggi salienti della vicenda e le motivazioni di diritto che hanno condotto a questa decisione.

La genesi del Contenzioso: il meccanismo di coerenza

La vicenda trae origine da un'indagine avviata nel 2018 dall'autorità di controllo irlandese (Data Protection Commission - DPC) riguardante la trasparenza di WhatsApp nel trattamento dei dati,. A seguito dell'attivazione del meccanismo di coerenza previsto dal GDPR, e stante il disaccordo tra le varie autorità nazionali coinvolte, la questione è stata deferita al CEPD. Quest'ultimo ha adottato la decisione vincolante 1/2021, imponendo alla DPC di modificare le misure correttive e di rideterminare l'importo delle sanzioni pecuniarie, che sono state infine fissate in 225 milioni di euro nella decisione finale dell'autorità irlandese.

Il nodo giuridico: l'atto impugnabile

WhatsApp aveva impugnato la decisione del CEPD dinanzi al Tribunale dell'Unione Europea. Tuttavia, con ordinanza del 7 dicembre 2022, il Tribunale aveva respinto il ricorso giudicandolo irricevibile. Secondo i giudici di primo grado, la decisione del CEPD costituiva un mero atto preparatorio o intermedio, non idoneo a produrre effetti autonomi impugnabili, ritenendo che solo la decisione finale dell'autorità nazionale fosse suscettibile di ricorso dinanzi ai giudici nazionali.

La Decisione della CGUE: ricevibilità e vincolatività

La Corte ha ribaltato la tesi del Tribunale, stabilendo che la decisione del CEPD costituisce a tutti gli effetti un atto impugnabile. Il ragionamento della Corte si fonda su due pilastri:

• Natura dell'atto

  La decisione promana da un organo dell'Unione ed è destinata a produrre effetti giuridici vincolanti nei confronti di terzi (le autorità nazionali di controllo). Essa fissa definitivamente la posizione del CEPD, esaurendo la competenza dell'organo sulla questione.

• Interesse diretto

  La Corte ha riconosciuto che WhatsApp è "direttamente interessata" dalla decisione. L'atto del CEPD, infatti, ha modificato in modo qualificato la situazione giuridica della società, non lasciando alcun margine di discrezionalità all'autorità irlandese, la quale era tenuta ad applicare incondizionatamente quanto stabilito dal Comitato, specialmente in merito alla constatazione delle violazioni.

Le conseguenze: rinvio al merito

La Corte ha chiarito che un atto di tale portata non può essere degradato a semplice provvedimento intermedio sottratto al controllo del giudice dell'Unione. Di conseguenza, l'ordinanza del Tribunale è stata annullata. Tuttavia, poiché il primo grado di giudizio si era arrestato alla soglia della ricevibilità senza esaminare il merito delle contestazioni (ossia se WhatsApp avesse effettivamente violato il GDPR), la Corte ha rinviato la causa dinanzi al Tribunale affinché statuisca ora sul merito della controversia.

Questa sentenza rappresenta un precedente essenziale per la rule of law digitale in Europa. Essa conferma che gli atti degli organismi europei che incidono direttamente sulle imprese non possono sfuggire al vaglio giurisdizionale dell'Unione, garantendo così una tutela effettiva contro le decisioni vincolanti sovranazionali.

Hai dubbi in merito? Contattaci!

Immagine di copertina

Copyright: Licenza commerciale