CURIA T 557/20 il dato è personale nel contesto in cui è trattato, non se ipoteticamente tale per opera di terzi

estimated reading time: 41 min

Edizione provvisoria

SENTENZA DEL TRIBUNALE (Ottava Sezione ampliata)

26 aprile 2023 (*)

«Tutela dei dati personali – Procedura di indennizzo degli azionisti e creditori in seguito alla risoluzione di un ente creditizio – Decisione del GEPD che dichiara che il CRU ha violato i suoi obblighi relativi al Trattamento dei dati personali – Articolo 15, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 – Nozione di “dati personali” – Articolo 3, punto 1, del regolamento 2018/1725 – Diritto di accesso al fascicolo»

Nella causa T‑557/20,

Comitato di risoluzione unico (CRU), rappresentato da H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, in qualità di agenti, assistite da H.-G. Kamann, M. Braun, F. Louis, e L. Hesse, avocats,

ricorrente,

contro

Garante europeo della protezione dei dati (GEPD), rappresentato da P. Candellier, X. Lareo e T. Zerdick, in qualità di agenti,

convenuto,

IL TRIBUNALE (Ottava Sezione ampliata),

composto da A. Kornezov, presidente, G. De Baere (relatore), D. Petrlík, K. Kecsmár e S. Kingston, giudici,

cancelliere: I. Kurme, amministratrice

vista la fase scritta del procedimento,

in seguito all’udienza del 1° dicembre 2022,

ha pronunciato la seguente

Sentenza

1        Con il suo ricorso fondato sull’articolo 263 TFUE, il Comitato di risoluzione unico (CRU) chiede, da un lato, l’annullamento della decisione rivista del Garante europeo della protezione dei dati (GEPD) del 24 novembre 2020 adottata a seguito della richiesta di riesame presentata dal CRU relativamente alla decisione del GEPD del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (in prosieguo: la «decisione rivista») e, dall’altro, la dichiarazione di illegittimità della decisione del GEPD del 24 giugno 2020 (in prosieguo: la «decisione iniziale»).

 Fatti

2        Il 7 giugno 2017 la sessione esecutiva del CRU ha adottato la decisione SRB/EES/2017/08, relativa a un programma di risoluzione per il Banco Popular Español, SA (in prosieguo: il “programma di risoluzione”), sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (GU 2014, L 225, pag. 1).

3        In pari data, la Commissione europea ha adottato la decisione (UE) 2017/1246, che approva il programma di risoluzione (GU 2017, L 178, pag. 15).

4        Nel programma di risoluzione, il CRU, ritenendo soddisfatte le condizioni di cui all’articolo 18, paragrafo 1, del regolamento n. 806/2014, ha deciso di sottoporre il Banco Popular Español (in prosieguo: il “Banco Popular”) a una procedura di risoluzione. Il CRU ha deciso di svalutare e convertire gli strumenti di capitale del Banco Popular ai sensi dell’articolo 21 del regolamento n. 806/2014 e di applicare lo strumento della vendita dell’attività d’impresa ai sensi dell’articolo 24 del medesimo regolamento, trasferendo le azioni a un acquirente.

5        A seguito della risoluzione del Banco Popular, la Deloitte (in prosieguo: «Deloitte») ha presentato al CRU, il 14 giugno 2018, la valutazione della differenza di trattamento, prevista dall’articolo 20, paragrafi da 16 a 18, del regolamento n. 806/2014, effettuata al fine di accertare se gli azionisti e i creditori avrebbero ricevuto un Trattamento migliore se il Banco Popular fosse stato sottoposto a una procedura ordinaria di insolvenza (in prosieguo: la «Valutazione 3»).

6        Il 6 agosto 2018 il CRU ha pubblicato sul suo sito Internet il proprio avviso del 2 agosto 2018 in merito alla sua decisione preliminare sulla necessità di concedere un indennizzo agli azionisti e ai creditori nei cui confronti sono state avviate le azioni di risoluzione delle crisi riguardanti il Banco Popular e l’avvio del procedimento relativo al diritto di essere ascoltati (SRB/EES/2018/132), nonché una versione non riservata della valutazione 3. Il 7 agosto 2018 è stata pubblicata nella Gazzetta ufficiale dell’Unione europea una comunicazione riguardante il parere del CRU (GU 2018, C 277 I, pag. 1).

7        Nella decisione preliminare, il CRU ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento n. 806/2014, questi ultimi erano invitati a manifestare il loro interesse ad esercitare il diritto di essere ascoltati ai sensi dell’articolo 41, paragrafo 2, lettera a), della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: «la Carta»).

 Sul procedimento relativo al di diritto di essere ascoltato

8        Nella decisione preliminare il CRU ha indicato che la procedura relativa al diritto di essere ascoltato si sarebbe svolta in due fasi. In una prima fase (in prosieguo: la «fase di iscrizione»), gli azionisti e i creditori interessati erano invitati a manifestare il loro interesse ad esercitare il loro diritto di essere ascoltati mediante un modulo di iscrizione online entro il 14 settembre 2018. Inoltre, il CRU doveva verificare se ciascuna parte che aveva manifestato il proprio interesse possedesse effettivamente lo status di azionista o di creditore interessato. In una seconda fase (in prosieguo: la «fase di consultazione»), gli azionisti e i creditori interessati il cui status era stato verificato dal CRU potevano presentare le proprie osservazioni sulla decisione preliminare, alla quale era allegata la valutazione 3.

9        Durante la fase di iscrizione, gli azionisti e i creditori interessati che intendevano esercitare il loro diritto di essere ascoltati dovevano fornire al CRU i documenti giustificativi che dimostrassero che, alla data della risoluzione, essi detenevano uno o più strumenti di capitale del Banco Popular che siano stati svalutati o convertiti e trasferiti al Banco Santander, SA nell’ambito della risoluzione. I documenti giustificativi da fornire comprendevano un documento di identità e una prova della proprietà di uno di tali strumenti di capitale alla data del 6 giugno 2017.

10      Il 6 agosto 2018, data di avvio della fase di iscrizione, il CRU ha altresì pubblicato, sulla pagina Internet di iscrizione al procedimento relativo al diritto di essere ascoltato e sul suo sito Internet, un’informativa sulla protezione dei Dati personali riguardante il Trattamento dei Dati personali nell’ambito del procedimento relativo al diritto di essere ascoltato (in prosieguo: l’«informativa sulla protezione dei dati personali»).

11      Il 16 ottobre 2018 il CRU ha annunciato sul suo sito Internet che a partire dal 6 novembre 2018 gli azionisti e creditori idonei sarebbero stati invitati a presentare le loro osservazioni scritte sulla decisione preliminare durante la fase di consultazione.

12      Il 6 novembre 2018, tramite un messaggio di posta elettronica, il CRU ha inviato agli azionisti e ai creditori idonei un link unico personale per accedere su Internet a un modulo (in prosieguo: il «modulo»). Il modulo conteneva sette domande, con uno spazio di risposta limitato, che consentivano agli azionisti e ai creditori interessati di presentare, entro il 26 novembre 2018, osservazioni sulla decisione preliminare nonché sulla versione non riservata della valutazione 3.

13      Il CRU ha esaminato le osservazioni degli azionisti e dei creditori interessati in merito alla decisione preliminare. Esso ha chiesto a Deloitte, nella sua qualità di valutatore indipendente, di valutare le osservazioni pertinenti relative alla valutazione 3, di fornirgli un documento contenente la sua valutazione e di esaminare se la valutazione 3 restasse valida alla luce di tali osservazioni.

 Sul Trattamento dei dati raccolti dal CRU nell’ambito della procedura relativa al diritto di essere ascoltati

14      I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità dei partecipanti e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del CRU incaricati del Trattamento di tali dati al fine di determinare l’idoneità dei partecipanti.

15      Questi dati non erano visibili ai membri del personale del CRU incaricati di elaborare le osservazioni ricevute durante la fase di consultazione, durante la quale hanno ricevuto solo osservazioni identificate con riferimento a un codice alfanumerico assegnato a ciascuna osservazione inviata tramite il modulo. Il codice alfanumerico consisteva in un identificativo unico universale a 33 cifre, generato in modo casuale al momento della ricezione delle risposte al modulo.

16      Nella prima fase, il CRU ha proceduto ad un filtraggio automatico di 23 822 osservazioni, ciascuna recante un codice alfanumerico unico, inviate da 2 855 partecipanti alla procedura. Due algoritmi hanno consentito di identificare 20 101 osservazioni come identiche. L’osservazione presentata per prima è stata considerata l’osservazione originale, che è stata esaminata durante la fase di analisi, e le osservazioni identiche ricevute successivamente sono state identificate come doppioni.

17      Nella seconda fase, quella di analisi, il CRU ha esaminato le osservazioni con l’obiettivo di garantire la coerenza nella valutazione della loro rilevanza e della loro suddivisione in categorie o gruppi di temi definiti. Il CRU ha quindi individuato osservazioni simili, ma non identiche, fondate sulle stesse fonti disponibili su Internet.

18      Il personale del CRU incaricato di analizzare le osservazioni non ha avuto accesso né ai dati raccolti durante la fase di iscrizione, sicché le osservazioni erano dissociate dalle informazioni personali dei soggetti che le avevano inviate, né alla chiave dati o alle informazioni che consentono di risalire all’identità di un partecipante tramite riferimento al codice alfanumerico unico assegnato a ciascuna osservazione.

19      In tale fase di analisi, il CRU ha confrontato tutte le osservazioni presentate e le ha classificate in funzione della domanda del modulo alla quale esse rispondevano. Le osservazioni sono state poi valutate in funzione della loro pertinenza e divise tra, da un lato, quelle che rientravano nella procedura relativa al diritto di essere ascoltato potendo influire sulla decisione preliminare o sulla valutazione 3 e, dall’altro, quelle che non vi rientravano in quanto riguardavano altri aspetti della risoluzione del Banco Popular.

20      Un’osservazione rientrante nell’ambito di applicazione della procedura era poi assegnata a uno dei quindici temi predefiniti dal CRU. A seconda del tema in cui rientravano, le osservazioni sono state suddivise tra quelle che dovevano essere esaminate dal CRU in quanto riguardavano la decisione preliminare e quelle che dovevano essere esaminate da Deloitte in quanto riguardavano la valutazione 3. Tra le osservazioni che andavano esaminate, il CRU non ha distinto tra quelle che erano state presentate una sola volta e quelle che avevano doppioni.

21      Al termine della fase di analisi, il CRU ha individuato 3 730 osservazioni classificate in base alla loro rilevanza e al tema trattato.

22      Nella terza fase, la fase di esame, le osservazioni relative alla decisione preliminare sono state elaborate dal CRU e quelle relative alla valutazione 3, ossia 1 104 osservazioni, sono state trasferite a Deloitte, il 17 giugno 2019, attraverso un server dati virtuale sicuro dedicato al CRU. Quest’ultimo ha scaricato i file da trasmettere a Deloitte sul server virtuale e ha dato accesso a tali file a un numero limitato e controllato di membri del personale di Deloitte direttamente coinvolti in tale progetto.

23      Le osservazioni trasmesse a Deloitte erano filtrate, classificate e aggregate. Quando costituivano copie di osservazioni precedenti, veniva trasmessa a Deloitte una sola versione, cosicché le osservazioni individuali che erano state replicate non potevano essere distinte nell’ambito di uno stesso tema e Deloitte non aveva la possibilità di sapere se fosse stata formulata un’osservazione da parte di uno o più partecipanti alla procedura.

24      Le osservazioni trasmesse a Deloitte riguardavano unicamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico. Mediante tale codice, il CRU era l’unico a poter collegare le osservazioni ai dati ricevuti durante la fase di iscrizione. Il codice alfanumerico è stato sviluppato a fini di audit per consentire di verificare ed eventualmente dimostrare a posteriori che ogni osservazione era stata trattata e debitamente presa in considerazione. Deloitte non aveva e non ha tuttora accesso alla banca dati contenente i dati raccolti durante la fase di iscrizione.

 Sulla procedura presso il GEPD

25      Il 19, 26 e 28 ottobre e il 5 dicembre 2019, taluni azionisti e creditori interessati che avevano risposto al modulo hanno inviato al GEPD cinque reclami (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) (in prosieguo: i «cinque reclami») ai sensi del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al Trattamento dei Dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39).

26      Gli autori dei cinque reclami (in prosieguo: i «reclamanti») hanno addotto che il CRU non li aveva informati che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi a terzi, ossia Deloitte e Banco Santander, in violazione dei termini dell’informativa sulla protezione dei dati personali. Il CRU avrebbe così violato l’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, che stabilisce che, «[i]n caso di raccolta presso l’interessato di dati che lo riguardano, il Titolare del Trattamento fornisce all’interessato, nel momento in cui i Dati personali sono ottenuti, le (…) informazioni [riguardanti] gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali».

27      Il 12 dicembre 2019 il GEPD ha informato il CRU di aver ricevuto i cinque reclami e gli ha chiesto di presentare osservazioni.

28      Il 24 giugno 2020, al termine di un procedimento nel corso del quale il CRU ha fornito diverse spiegazioni su richiesta del GEPD e i reclamanti hanno presentato osservazioni, il GEPD ha adottato la decisione iniziale. Il GEPD ha dichiarato che il CRU aveva violato l’articolo 15 del regolamento 2018/1725 in quanto non aveva informato i reclamanti, nell’informativa sulla protezione dei dati personali, che era possibile che i loro Dati personali fossero comunicati a Deloitte. Di conseguenza, esso ha rivolto un ammonimento al CRU per tale violazione in forza dell’articolo 58, paragrafo 2, lettera b), del regolamento 2018/1725.

29      Il 22 luglio 2020 il CRU ha chiesto al GEPD di rivedere la decisione iniziale ai sensi dell’articolo 18, paragrafo 1, della decisione del GEPD del 15 maggio 2020 di adozione del regolamento interno del GEPD (GU 2020, L 204, pag. 49). Il CRU ha in particolare fornito una descrizione dettagliata della procedura relativa al diritto di essere ascoltati e dell’analisi delle osservazioni presentate, durante la fase di consultazione, da quattro dei reclamanti individuati. Esso ha sostenuto che le informazioni trasmesse a Deloitte non costituivano Dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

30      Il 5 agosto 2020 il GEPD ha informato il CRU che, alla luce dei nuovi elementi forniti, aveva deciso di rivedere la decisione iniziale e che avrebbe adottato una decisione che l’avrebbe sostituita.

31      Il 24 novembre 2020, al termine della procedura di revisione, durante la quale i reclamanti hanno presentato osservazioni e il CRU ha fornito informazioni supplementari su richiesta del GEPD, quest’ultimo ha adottato la decisione rivista.

32      Il GEPD ha deciso di rivedere la decisione iniziale nei seguenti termini:

«1.      Il GEPD ritiene che i dati che il CRU ha condiviso con Deloitte fossero dati pseudonimizzati, sia perché le osservazioni della fase [di consultazione] erano Dati personali sia perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase [di iscrizione] a quelle della fase [di consultazione], sebbene i dati forniti dai partecipanti per identificarsi durante la fase [di iscrizione] non fossero stati comunicati a Deloitte.

2.      Il GEPD ritiene che Deloitte fosse un Destinatario di Dati personali dei reclamanti ai sensi dell’articolo 3, punto 13, del regolamento 2018/1725. Il fatto che Deloitte non sia stata menzionata nella informativa sulla protezione dei Dati personali del CRU quale potenziale Destinatario dei Dati personali raccolti e trattati dal CRU, nella sua qualità di Responsabile del Trattamento nell’ambito della procedura relativa al diritto di essere ascoltato, costituisce una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), [del regolamento 2018/1725].

3.      Alla luce di tutte le misure tecniche e organizzative messe in atto dal CRU per mitigare i rischi per il diritto delle persone alla protezione dei dati nel contesto della procedura relativa al diritto di essere ascoltati, il GEPD decide di non esercitare i suoi poteri correttivi ai sensi dell’articolo 58, paragrafo 2, [del regolamento 2018/1725].

4.      Il GEPD raccomanda tuttavia che il CRU garantisca che le sue informative sulla protezione dei Dati personali nelle future procedure relative al diritto di essere ascoltati coprano il Trattamento dei Dati personali sia nella fase di iscrizione che in quella di consultazione e che includano tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell’articolo 15 [del regolamento 2018/1725]».

 Conclusioni delle parti

33      Il CRU chiede, dopo l’adeguamento delle sue conclusioni, che il Tribunale voglia:

–        annullare la decisione rivista;

–        dichiarare illegittima la decisione iniziale;

–        condannare il GEPD alle spese.

34      Il GEPD chiede che il Tribunale voglia:

–        respingere il ricorso;

–        condannare il CRU alle spese.

 In diritto

 Sul secondo capo delle conclusioni, con cui si chiede al Tribunale di «dichiarare illegittima la decisione iniziale»

35      Nel caso di specie è pacifico tra le parti che la decisione rivista ha abrogato e sostituito la decisione iniziale.

36      Il GEPD fa valere che, per questo motivo, il capo delle conclusioni riguardante la decisione iniziale è irricevibile.

37      Il CRU sostiene di mantenere un interesse a far constatare le irregolarità procedurali che hanno condotto all’adozione della decisione iniziale, ossia le violazioni dei suoi diritti della difesa e del suo diritto di accesso al fascicolo, affinché esse non si ripetano in futuri procedimenti. Esso ha precisato, nella sua risposta a una misura di organizzazione del procedimento, che, con il suo secondo capo della domanda, esso non chiedeva di annullare la decisione iniziale, poiché quest’ultima era stata abrogata e sostituita dalla decisione rivista con effetto ex tunc, bensì di dichiararla illegittima.

38      Si deve quindi ritenere che, con il suo secondo capo di conclusioni, il CRU miri ad ottenere una sentenza dichiarativa e non già l’annullamento di un atto.

39      Orbene, occorre ricordare che da una giurisprudenza costante emerge che il Tribunale non è competente, nell’ambito del controllo di legittimità fondato sull’articolo 263 TFUE, a pronunciare sentenze dichiarative (v. sentenze del 4 febbraio 2009, Omya/Commissione, T‑145/06, EU:T:2009:27, punto 23 e giurisprudenza citata, e del 13 settembre 2018, DenizBank/Consiglio, T‑798/14, EU:T:2018:546, punto 135 e giurisprudenza citata).

40      Ne consegue che il secondo capo delle conclusioni del CRU, con cui si chiede al Tribunale di «dichiarare illegittima la decisione iniziale», deve essere respinto a causa dell’incompetenza del Tribunale a conoscerne.

 Sulla ricevibilità del primo capo delle conclusioni, diretto all’annullamento della decisione rivista

41      La ricevibilità del ricorso rientra tra i motivi di irricevibilità di ordine pubblico che possono, in qualsiasi momento, essere rilevati d’ufficio dal giudice dell’Unione (v. sentenza del 16 marzo 2022, MEKH e FGSZ/ACER, T‑684/19 e T‑704/19, EU:T:2022:138, punto 29 e giurisprudenza citata; v. altresì, in questo senso, sentenza del 24 marzo 1993, CIRFS e a./Commissione, C‑313/90, EU:C:1993:111, punto 23). Nell’ambito di una misura di organizzazione del procedimento, il Tribunale ha interrogato le parti, in particolare, quanto al fatto che la decisione rivista costituisse o meno un atto impugnabile ai sensi dell’articolo 263 TFUE.

42      In risposta a tale quesito, il GEPD afferma che il fatto che la decisione rivista contenga la sua posizione finale e una dichiarazione di violazione non basta affinché essa costituisca un atto impugnabile. Sarebbe necessario che tale posizione comportasse una modifica della situazione giuridica del CRU. Poiché nella decisione rivista il GEPD non si è avvalso dei suoi poteri correttivi di cui all’articolo 58 del regolamento 2018/1725, si potrebbe ritenere che essa non produca effetti giuridici ai fini del controllo giurisdizionale ai sensi dell’articolo 263 TFUE.

43      Il CRU, nella sua risposta a questo stesso quesito, fa valere che la decisione rivista produce effetti giuridici che possono incidere sui suoi interessi.

44      Dalla giurisprudenza risulta che sono impugnabili da una persona fisica o giuridica, ai sensi dell’articolo 263 TFUE, quarto comma, soltanto i provvedimenti che producono effetti giuridici obbligatori idonei a incidere sugli interessi di chi li impugna, modificando in misura rilevante la sua situazione giuridica. Pertanto, costituiscono atti impugnabili, in linea di principio, i provvedimenti che stabiliscono in modo definitivo la posizione di un’istituzione, di un organo o di un organismo dell’Unione al termine di una procedura amministrativa e che sono intesi alla produzione di effetti giuridici obbligatori tali da incidere sugli interessi della parte ricorrente, con esclusione dei provvedimenti provvisori destinati a preparare la decisione definitiva, privi di tali effetti (v. sentenze del 25 giugno 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, punti 69 e 70 e giurisprudenza citata, e del 6 maggio 2021, ABLV Bank e a/BCE, C‑551/19 P e C‑552/19 P, EU:C:2021:369, punto 39 e giurisprudenza ivi citata).

45      Per stabilire se l’atto impugnato produca simili effetti, occorre riferirsi alla sostanza dell’atto e valutare tali effetti alla luce di criteri oggettivi, come il contenuto dell’atto stesso, tenendo conto, eventualmente, del contesto dell’adozione di quest’ultimo nonché dei poteri dell’istituzione, dell’organo e dell’organismo dell’Unione che ne è l’autore (sentenze del 22 aprile 2021, thyssenkrupp Electrical Steel e thyssenkrupp Electrical Steel Ugo/Commissione, C‑572/18 P, EU:C:2021:317, punto 48 e giurisprudenza citata; del 6 maggio 2021, ABLV Bank e a./BCE, C‑551/19 P e C 552/19 P, EU:C:2021:369, punto 41 e giurisprudenza citata, e del 6 ottobre 2021, Tognoli e a./Parlamento, C‑431/20 P, EU:C:2021:807, punto 34 e giurisprudenza citata).

46      In primo luogo, occorre ricordare che la decisione rivista è stata adottata dal GEPD a seguito di una richiesta di revisione della decisione iniziale da parte del CRU. La decisione rivista, adottata a seguito di una procedura amministrativa in contraddittorio, abroga e sostituisce la decisione iniziale e costituisce una decisione che stabilisce definitivamente la posizione del GEPD sui cinque reclami.

47      Orbene, l’articolo 64, paragrafo 2, del regolamento 2018/1725, relativo al diritto a un ricorso giurisdizionale effettivo, prevede che avverso le decisioni del GEPD possa essere proposto ricorso dinanzi alla Corte di giustizia dell’Unione europea.

48      In particolare, l’articolo 18 del regolamento interno del GEPD, sul cui fondamento è stata adottata la decisione rivista, dispone segnatamente al suo paragrafo 3:

«Se, a seguito di una richiesta di revisione della decisione su un reclamo, il GEPD emette una nuova decisione rivista, il GEPD informa il reclamante e l’istituzione interessata che possono impugnare la nuova decisione dinanzi alla Corte di giustizia dell’Unione europea ai sensi dell’articolo 263 [TFUE]».

49      A questo proposito, nella lettera che correda la decisione rivista inviata al CRU, si legge quanto segue:

«Si prega di notare che questa decisione annulla e sostituisce la decisione adottata il 24 giugno 2020. Lei può proporre un ricorso di annullamento della presente decisione dinanzi alla Corte di giustizia dell’Unione europea entro due mesi dall’adozione della presente decisione e alle condizioni previste dall’articolo 263 [TFUE]».

50      In secondo luogo, per quanto riguarda la sostanza della decisione rivista, occorre ricordare, da un lato, che il GEPD ha concluso che il CRU aveva commesso una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 e, dall’altro, che gli ha raccomandato, in sostanza, di assicurarsi, nelle sue future informative sulla protezione dei dati, di non riprodurre una siffatta violazione.

51      Da un lato, occorre rilevare che, in applicazione dell’articolo 65 del regolamento 2018/1725, una siffatta violazione può far sorgere la responsabilità del CRU, in quanto Responsabile del Trattamento dei dati interessati, fatto salvo il rispetto delle altre condizioni previste dai trattati.

52      Dall’altro lato, in applicazione dell’articolo 66, paragrafo 1, del regolamento 2018/1725, il GEPD, al momento di decidere se infliggere una sanzione amministrativa pecuniaria a un’istituzione, organo o organismo dell’Unione, e di fissare l’ammontare della stessa, tiene conto, in particolare, di eventuali precedenti violazioni analoghe commesse da tale istituzione o organo. Pertanto, se il CRU non dovesse seguire la raccomandazione del GEPD di modificare in futuro le sue informative sulla protezione dei dati nelle procedure relative al diritto di essere ascoltato, potrebbe essere constatata una violazione analoga dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 da parte del CRU e ciò potrebbe comportare l’irrogazione di un’ammenda.

53      Ne consegue che la constatazione, nella decisione rivista, della violazione da parte del CRU dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 produce effetti giuridici vincolanti, sebbene il GEPD abbia indicato che rinunciava ad esercitare i suoi poteri correttivi di cui all’articolo 58, paragrafo 2, del regolamento 2018/1725.

54      Alla luce di quanto precede, la decisione rivista è un atto dell’Unione idoneo ad incidere sugli interessi del suo destinatario, modificando in misura rilevante la sua situazione giuridica. Essa costituisce quindi un atto impugnabile ai sensi dell’articolo 263 TFUE.

55      Pertanto, si deve considerare che il primo capo delle conclusioni diretto all’annullamento della decisione rivista è ricevibile.

 Nel merito

56      A sostegno del ricorso, il CRU deduce due motivi. Il primo motivo verte sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali. Il secondo motivo verte sulla violazione del diritto ad una buona amministrazione sancito dall’articolo 41 della Carta dei diritti fondamentali.

57      Con il primo motivo, il CRU fa valere che il GEPD ha violato l’articolo 3, punto 1, del regolamento 2018/1725 ritenendo, nella decisione rivista, che le informazioni trasmesse a Deloitte costituissero Dati personali dei reclamanti.

58      L’articolo 3, punto 1, del regolamento 2018/1725 definisce i Dati personali come «qualsiasi informazione concernente una persona fisica identificata o identificabile [e indica che] si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

59      Da tale definizione risulta che un’informazione costituisce un dato personale, in particolare, se sono soddisfatte due condizioni cumulative, vale a dire, da un lato, che tale informazione «concern[e]» una persona fisica e, dall’altro, che tale persona è «identificata o identificabile».

 Sulla condizione prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione deve essere «concernente» una persona fisica

60      Il CRU sostiene che le osservazioni ricevute durante la fase di consultazione e comunicate a Deloitte non concernevano persone specifiche ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. Esso ritiene che il ragionamento seguito nella sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), non si applichi alle osservazioni dei reclamanti. Esso sostiene che le informazioni contenute nelle osservazioni dei reclamanti erano informazioni di fatto e di diritto indipendenti dalle persone o dalle qualità personali dei reclamanti e non connesse alla loro vita privata. Esso considera che l’obiettivo del procedimento relativo al diritto di essere ascoltato fosse quello di valutare argomenti di fatto e di diritto riguardanti la decisione preliminare e la valutazione 3 provenienti da un gran numero di parti interessate, non essendo pertinente ai fini della valutazione delle osservazioni di queste ultime da che persona provenissero e quale fosse l’identità di tali parti.

61      Il GEPD sostiene che il contenuto delle osservazioni degli azionisti e dei creditori interessati è un’informazione che li «concerne», in quanto le loro risposte contenevano e riflettevano il loro punto di vista personale, anche se si basavano su informazioni accessibili al pubblico. Le risposte al modulo da parte dei reclamanti e degli altri partecipanti costituirebbero dati personali, a prescindere dal fatto che siano espressione di un parere originale o di un parere condiviso con altri e a prescindere dal fatto che il CRU le consideri come informazioni indipendenti dagli specifici diritti degli azionisti e dei creditori interessati in materi di protezione della loro vita privata.

62      Il GEPD ritiene inoltre che le osservazioni costituiscano Dati personali a causa del loro effetto. La valutazione espressa su tali osservazioni, diretta a verificare la validità della valutazione 3 e la legittimità della decisione preliminare, avrebbe potuto incidere sugli interessi e sui diritti dei partecipanti in materia di compensazione finanziaria. Infine, esso afferma che la finalità della raccolta delle osservazioni era di concedere diritti procedurali a ciascuna parte, al fine di raccogliere punti di vista individuali.

63      Nella decisione rivista il GEPD ha indicato che le risposte ricevute durante la fase di consultazione costituivano Dati personali dei reclamanti, in quanto contenevano il loro punto di vista personale e rappresentavano pertanto informazioni che li riguardano, anche se erano basate su informazioni accessibili al pubblico per esprimere il loro punto di vista. Esso ha ritenuto che il fatto che i reclamanti avessero espresso punti di vista simili, ma non identici, a quelli di altri partecipanti non significasse che le loro risposte non riflettevano la loro opinione. Di conseguenza, il GEPD ha reputato che tutte le risposte fornite nei campi di testo libero dai reclamanti e dagli altri partecipanti dovessero essere considerate dati personali, indipendentemente dal fatto che si trattasse dell’espressione di un punto di vista originale e unico o di un punto di vista condiviso con altri o ispirato o tratto da informazioni accessibili al pubblico. Esso ha aggiunto che tale conclusione non era contraddetta dalla sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), nella quale la Corte non aveva operato alcuna distinzione tra le risposte interamente elaborate dai rispondenti e le risposte tratte da altre fonti di conoscenze.

64      Occorre esaminare se il GEPD abbia potuto correttamente ritenere che le informazioni trasmesse a Deloitte «concerne[vano]» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

65      In via preliminare, occorre constatare che, nella decisione rivista, il GEPD ha qualificato come Dati personali tutte le osservazioni formulate dagli azionisti e dai creditori interessati nell’ambito della fase di consultazione e non ha limitato la sua valutazione alle sole informazioni trasmesse a Deloitte.

66      Orbene, poiché la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 constatata nella decisione rivista riguardava unicamente il fatto che il CRU non aveva menzionato, nell’informativa sulla protezione dei dati personali, che Deloitte sarebbe stata la destinataria potenziale di taluni dati, occorre limitarsi ad esaminare se le informazioni trasmesse a Deloitte fossero Dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

67      A tal riguardo, l’articolo 3, punto 13, del regolamento 2018/1725 definisce il «destinatario» come «la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi».

68      Secondo la giurisprudenza, l’uso dell’espressione «qualsiasi informazione» nell’ambito della definizione della nozione di «dati personali», di cui all’articolo 3, punto 1, del regolamento 2018/1725 riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che non è limitata alle informazioni sensibili o di ordine privato, ma comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano «concernenti» la persona interessata (v., per analogia, sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 34).

69      Per quanto riguarda tale ultima condizione, la Corte ha dichiarato che essa era soddisfatta qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione era connessa a una determinata persona (sentenza del 20 dicembre 2017, Nowak, C‑434/16, EU:C:2017:994, punto 35).

70      Orbene, nella decisione rivista il GEPD non ha esaminato né il contenuto, né la finalità, né l’effetto delle informazioni trasmesse a Deloitte.

71      Esso si è infatti limitato ad indicare che le osservazioni prodotte dai reclamanti durante la fase di consultazione riflettevano le loro opinioni o i loro punti di vista e a concludere, su questa sola base, che esse costituivano informazioni che li concernevano, il che era sufficiente per qualificarle come dati personali.

72      In udienza il GEPD ha confermato che, a suo avviso, qualsiasi opinione personale costituiva un dato personale. Esso ha altresì ammesso di non aver esaminato il contenuto delle osservazioni prodotte dai reclamanti durante la fase di consultazione.

73      Certamente, non si può escludere che punti di vista personali o opinioni costituiscano dati personali. Tuttavia, dai punti 34 e 35 della sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994), citata ai punti 68 e 69 supra, si evince che tale conclusione non può basarsi su una presunzione come quella descritta ai punti 71 e 72 supra, ma deve basarsi su un esame volto ad accertare se, per il suo contenuto, scopo o effetto, un punto di vista sia collegato a una persona specifica.

74      Ne consegue che, non avendo effettuato un siffatto esame, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero un’informazione «concernente» una persona fisica ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

75      Il Tribunale esaminerà nel prosieguo la valutazione del GEPD volta a chiarire se le informazioni trasmesse a Deloitte concernessero una persona fisica «identificata o identificabile».

 Sulla condizione prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione concerne una persona fisica «identificata o identificabile»

76      Il CRU sostiene che, contrariamente a quanto ritenuto dal GEPD, la comunicazione del codice alfanumerico a Deloitte non ha portato a «pseudonimizzare» i dati. Questi ultimi sarebbero rimasti anonimi, in quanto il CRU non avrebbe condiviso con Deloitte le informazioni che consentivano di reidentificare gli autori delle osservazioni.

77      Il CRU sostiene che i dati sono anonimizzati per un terzo, anche se l’informazione che consente la reidentificazione non è irrevocabilmente eliminata ed è conservata dal Responsabile del Trattamento iniziale, dal momento che il formato in cui i dati sono comunicati a tale Terzo non consente più l’identificazione dell’autore delle osservazioni o non la rende ragionevolmente verosimile. Il CRU fa valere che, contrariamente a quanto ritenuto dal GEPD nella decisione rivista, il regolamento 2018/1725 e la giurisprudenza della Corte richiedono una valutazione del rischio di reidentificazione.

78      Più in particolare, il CRU afferma che le condizioni poste dalla giurisprudenza della Corte in merito all’esistenza di un rischio di reidentificazione quando non tutte le informazioni idonee a consentire l’identificazione sono detenute da una sola persona, bensì da più parti, non sono soddisfatte nel caso di specie. Da un lato, il codice alfanumerico attribuito alle osservazioni individuali non consentirebbe a Deloitte di reidentificare le persone che hanno presentato osservazioni. Le informazioni aggiuntive menzionate all’articolo 3, punto 6, del regolamento 2018/1725 sarebbero costituite dalla banca dati che consente la decodificazione alla quale solo il CRU avrebbe accesso. Dall’altro lato, per quanto riguarda il criterio di probabilità ragionevole di combinazione delle informazioni, Deloitte non avrebbe avuto e ancora non avrebbe mezzi legali per accedere alle informazioni aggiuntive e di identificazione.

79      Il GEPD sostiene che il fatto che Deloitte non abbia avuto accesso alle informazioni detenute dal CRU che consentono la reidentificazione non comporta che i dati «pseudonimizzati» trasmessi a Deloitte siano divenuti dati anonimi. Non sarebbe necessario stabilire se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente probabile. Dati «pseudonimizzati» rimarrebbero tali anche quando vengono trasmessi a terzi che non dispongono di informazioni aggiuntive.

80      Il GEPD fa valere che l’uso del termine «indirettamente» all’articolo 3, punto 1, del regolamento 2018/1725 significa che, affinché un’informazione sia qualificata come dato personale, non è necessario che essa consenta di per sé sola di identificare la persona interessata. Inoltre, per quanto riguarda i mezzi che possono essere ragionevolmente utilizzati sia dal Titolare del Trattamento sia da qualsiasi altra persona, non sarebbe richiesto che tutte le informazioni che consentono di identificare l’interessato debbano trovarsi in possesso di una sola persona.

81      Nella decisione rivista il GEPD ha ritenuto che le informazioni trasmesse a Deloitte costituissero dati «pseudonimizzati». A tal riguardo, esso ha indicato che la differenza tra i dati «pseudonimizzati» e i dati anonimi risiedeva nel fatto che, nel caso di dati anonimi, non esistevano «informazioni aggiuntive» che potessero essere utilizzate per attribuire i dati a uno specifico interessato, mentre nel caso di dati «pseudonimizzati» siffatte informazioni aggiuntive esistevano. Pertanto, al fine di valutare se i dati fossero anonimi o «pseudonimizzati», occorreva esaminare se esistessero «informazioni aggiuntive» che potevano essere utilizzate per attribuire i dati a determinati interessati.

82      IL GEPD ha rilevato che il CRU aveva trasmesso a Deloitte non solo alcune osservazioni degli azionisti e dei creditori interessati, ma anche il corrispondente codice alfanumerico e che Deloitte non aveva avuto accesso alle risposte fornite nella fase di iscrizione. Esso ha indicato che, come spiegato dal CRU, «per Deloitte era impossibile rintracciare l’identità di qualsiasi parte che utilizzava tale codice facendo riferimento ai dati concreti forniti dalle parti idonee nell’ambito della fase di registrazione (sempre conservata dal CRU)». Tuttavia, il GEPD ha ritenuto che i dati forniti durante la fase di registrazione con l’identificativo unico, ossia il codice alfanumerico assegnato a ciascun partecipante idoneo, costituissero un perfetto esempio di «informazioni aggiuntive» ai sensi dell’articolo 3, punto 6, del regolamento 2018/1725, in quanto potevano essere utilizzati dal CRU per attribuire i dati a una specifica persona interessata.

83      Il GEPD ha spiegato che il regolamento 2018/1725 non distingueva tra coloro che conservavano i dati «pseudonimizzati» e coloro che detenevano le informazioni aggiuntive, e che il fatto che si trattasse di entità diverse non rendeva anonimi i dati «pseudonimizzati». Esso ha aggiunto che il fatto che Deloitte non fosse in grado, da sola, di attribuire le osservazioni ai dati ricevuti durante la fase di iscrizione non escludeva che i dati che aveva ricevuto fossero «pseudonimizzati». Secondo il GEPD, i dati che il CRU aveva condiviso con Deloitte erano dati «pseudonimizzati», sia perché le osservazioni ricevute durante la fase di consultazione erano Dati personali sia perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte fornite nella fase di iscrizione a quelle fornite durante la fase di consultazione, sebbene i dati forniti dai partecipanti per identificarsi durante la fase di iscrizione non fossero stati comunicati a Deloitte. Esso ne ha tratto la conclusione che le informazioni trasmesse a Deloitte erano dati «pseudonimizzati» e, pertanto, Dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

84      In via preliminare, va osservato che, visti i meccanismi messi in atto dal CRU in merito al Trattamento dei dati raccolti nell’ambito della procedura relativa al diritto di essere ascoltati, come descritto ai punti da 14 a 24, le informazioni trasmesse a Deloitte non riguardavano persone «identificate».

85      Occorre quindi esaminare se il GEPD potesse correttamente ritenere che le informazioni trasmesse a Deloitte concernessero una persona fisica «identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

86      Secondo tale disposizione, si considera «persona fisica identificabile» la persona fisica che può essere identificata, direttamente o indirettamente.

87      Il considerando 16 del regolamento 2018/1725 prevede quanto segue:

«(…) I Dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il Titolare del Trattamento o un Terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del Trattamento sia degli sviluppi tecnologici (…)».

88      Occorre rilevare che, nella sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), la Corte ha interpretato la nozione di «dati personali» ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), che contiene una disposizione equivalente all’articolo 3, punto 1, del regolamento 2018/1725.

89      La questione sottoposta in tale causa era se un indirizzo di protocollo Internet (in prosieguo: l’«indirizzo IP») dinamico costituisse un dato personale nei confronti del fornitore di servizi di media online che l’aveva registrato. La Corte ha ritenuto che occorresse verificare se tale indirizzo ip poteva essere qualificato come informazione riferita a una «persona fisica identificabile», tenendo conto, da un lato, del fatto che esso non offriva, di per sé, a tale fornitore la possibilità di identificare l’utente che aveva consultato il sito Internet e, dall’altro, del fatto che le informazioni aggiuntive necessarie che, se combinate con tale indirizzo IP, avrebbero consentito di identificare detto utente, erano in possesso del fornitore di accesso a Internet.

90      Nella misura in cui il considerando 16 del regolamento 2018/1725 fa riferimento ai mezzi che possono essere ragionevolmente utilizzati tanto dal Responsabile del Trattamento quanto da «altri», la sua formulazione suggerisce che, perché un dato possa essere qualificato come «dato personale» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725 non si richiede che tutte le informazioni che consentono di identificare la persona interessata debbano essere in possesso di una sola persona (v., per analogia, sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 43).

91      Tuttavia, la Corte ha inoltre spiegato che il fatto che le informazioni aggiuntive necessarie per identificare l’utente di un sito Internet fossero detenute non già dal fornitore di servizi di media online, bensì dal fornitore di accesso a Internet di tale utente non pareva quindi idoneo a escludere che gli indirizzi IP dinamici registrati dal fornitore di servizi di media online costituissero, per quest’ultimo, Dati personali (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 44).

92      La Corte ha considerato che occorreva tuttavia determinare se la possibilità di combinare un indirizzo ip dinamico con le suddette informazioni aggiuntive detenute da detto fornitore di accesso a Internet costituisse un mezzo che potesse essere ragionevolmente utilizzato per identificare la persona interessata (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 45).

93      La Corte ha dichiarato che tale situazione non si verificava laddove l’identificazione della persona interessata fosse vietata dalla legge o fosse praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe un dispendio di tempo, di costo e di manodopera, facendo così apparire in realtà insignificante il rischio di identificazione (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 46).

94      Nel caso di specie, è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a Deloitte non consentiva di per sé di identificare gli autori delle osservazioni e, dall’altro, che Deloitte non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico.

95      Il GEPD ha indicato nella decisione rivista e confermato in udienza che le informazioni aggiuntive necessarie per identificare gli autori delle osservazioni consistevano nel codice alfanumerico e nella banca dati di identificazione.

96      Certamente, come sostiene il GEPD, visto il punto 43 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al punto 90, il fatto che le informazioni aggiuntive necessarie per identificare gli autori delle osservazioni ricevute durante la fase di consultazione non fossero in possesso di Deloitte, bensì del CRU, non è idoneo a escludere a priori che le informazioni trasmesse a Deloitte costituissero Dati personali per quest’ultima.

97      Tuttavia, dalla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779) risulta altresì che, per stabilire se le informazioni trasmesse a Deloitte costituissero dati personali, occorre porsi dal punto di vista di quest’ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a «persone identificabili».

98      Infatti, occorre ricordare, in primo luogo, che la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 constatata dal GEPD nella decisione rivista riguardava il trasferimento da parte del CRU di talune osservazioni a Deloitte e non già la mera detenzione da parte del CRU di queste ultime.

99      In secondo luogo, da un lato, la situazione di Deloitte può essere paragonata a quella del fornitore di servizi di media online di cui alla sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), dato che essa era in possesso di informazioni, ossia le osservazioni relative alla valutazione 3, che non costituivano informazioni relative a una «persona fisica identificata», in quanto il codice alfanumerico contenuto in ciascuna risposta non consentiva di rivelare direttamente l’identità della persona fisica che aveva compilato il modulo. Dall’altro lato, la situazione del CRU può essere paragonata a quella del fornitore di accesso a Internet in tale causa, in quanto è pacifico che esso era l’unico a detenere le informazioni aggiuntive che consentivano l’identificazione degli azionisti e dei creditori interessati che hanno risposto al modulo, ossia il codice alfanumerico e la banca dati di identificazione.

100    Pertanto, ai sensi del punto 44 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al punto 91, incombeva al GEPD esaminare se le osservazioni inviate a Deloitte costituissero, nei suoi confronti, dati personali.

101    Quindi il GEPD versa in errore quando sostiene che non era necessario verificare se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente possibile.

102    È giocoforza constatare che, nella decisione rivista, il GEPD ha ritenuto che il fatto che il CRU possedeva le informazioni aggiuntive che consentono di reidentificare gli autori delle osservazioni era sufficiente per concludere che le informazioni trasmesse a Deloitte erano dati personali, pur riconoscendo che i dati identificativi ricevuti durante la fase di iscrizione non erano stati comunicati a Deloitte.

103    Dalla decisione rivista risulta quindi che il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del CRU e non di Deloitte.

104    Tuttavia, dal punto 45 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al precedente punto 92, si evince che incombeva al GEPD stabilire se la possibilità di combinare le informazioni fornite a Deloitte con le informazioni aggiuntive in possesso del CRU costituisse un mezzo che poteva essere ragionevolmente attuato da Deloitte per identificare gli autori delle osservazioni.

105    Pertanto, poiché il GEPD non ha verificato se Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

106    Da tutto quanto precede risulta che occorre accogliere il primo motivo e, pertanto, annullare la decisione rivista senza che sia necessario esaminare il secondo motivo.

 Sulle spese

107    Ai sensi dell’articolo 134, paragrafo 1, del regolamento di procedura del Tribunale, la parte soccombente è condannata alle spese se ne è stata fatta domanda.

108    Poiché il GEPD è rimasto soccombente nel contenuto essenziale delle sue domande, esso dev’essere condannato alle spese, conformemente alla domanda del CRU.

IL TRIBUNALE (Ottava Sezione ampliata)

dichiara e statuisce:

1)      La decisione rivista del Garante europeo della protezione dei dati (GEPD) del 24 novembre 2020 adottata a seguito della richiesta di riesame presentata dal Comitato di risoluzione unico (CRU) relativamente alla decisione del GEPD del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019‑947, 2019‑998, 2019‑999, 2019‑1000 e 2019‑1122) è annullata.

2)      Il ricorso è respinto quanto al resto.

3)      Il GEPD è condannato alle spese.

Kornezov

De Baere

Petrlík

Kecsmár

Kingston

Così deciso e pronunciato a Lussemburgo il 26 aprile 2023.

Firme

*      Lingua processuale: l’inglese.