Con la sentenza C-33/22, la Corte di Giustizia dell’Unione Europea si pronuncia sulla questione se la commissione d'inchiesta istituita dal Parlamento di uno Stato membro, la quale rientra nel potere legislativo e svolge un’indagine riguardante attività di sicurezza nazionale, sia soggetta al GDPR e al controllo dell'autorità per la protezione dei dati.
La questione origina dal fatto che la commissione d’inchiesta istituita dal Parlamento austriaco per fare luce sull’esistenza di una possibile influenza politica sull’Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo ha ascoltato un testimone nel corso di un’audizione ritrasmessa dai mezzi di comunicazione e il resoconto è stato pubblicato sul sito internet del Parlamento con il nome completo del testimone . Ritenendo che la menzione del nome fosse contraria al GDPR, il testimone ha presentato un reclamo all’autorità austriaca per la protezione dei dati, chiarendo che lavorava come agente infiltrato nel gruppo di intervento della polizia incaricato della lotta alla delinquenza su strada. L'autorità per la protezione dei dati ha respinto il reclamo e il testimone si è allora rivolto agli organi giurisdizionali la Corte amministrativa austriaca ha così interrogato la CGUE a riguardo . La Corte di Giustizia dell’Unione Europea si pronuncia affermando che una commissione d'inchiesta istituita dal Parlamento di uno Stato membro nell'esercizio del suo potere di controllo del potere esecutivo deve, di regola, rispettare il regolamento generale sulla protezione dei dati GDPR . Inoltre, qualora vi sia in tale Stato membro, un’unica autorità di controllo, quest'ultima è, in via di principio, competente a controllare l’ osservanza del GDPR da parte della commissione d'inchiesta. Per contro, qualora la commissione d'inchiesta eserciti effettivamente un'attività volta, in quanto tale, a salvaguardare la sicurezza nazionale, essa non è soggetta al GDPR né, di conseguenza, al controllo dell'autorità di controllo . E ancora Poiché l'Austria ha scelto di istituire un'unica autorità di controllo ai sensi del GDPR , ossia l'autorità per la protezione dei dati, quest'ultima è, in via di principio, anche competente a controllare l’osservanza del GDPR da parte di una commissione d'inchiesta come quella di cui trattasi, e, ciò nonostante, il principio di separazione dei poteri. Ciò risulta dall'effetto diretto del GDPR e dal primato del diritto dell'Unione, anche rispetto al diritto costituzionale nazionale .
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Articolo 16 TFUE – Regolamento UE 2016/679 – Articolo 2, paragrafo 2, lettera a – Ambito di applicazione – Esclusioni – Attività che non rientrano nell’ambito di applicazione del diritto dell’Unione – Articolo 4, paragrafo 2, TUE – Attività riguardanti la sicurezza nazionale – Commissione di inchiesta istituita dal Parlamento di uno Stato membro – Articolo 23, paragrafo 1, lettere a e h , articoli 51 e 55 del regolamento UE 2016/679 – Competenza dell’autorità di controllo incaricata della protezione dei dati – Articolo 77 – Diritto di proporre reclamo all’autorità di controllo – Effetto diretto Sentenza 1. La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 16, paragrafo 2, prima frase, TFUE nonché dell’articolo 2, paragrafo 2, lettera a , dell’articolo 51, paragrafo 1, dell’articolo 55, paragrafo 1, e dell’articolo 77, paragrafo 1, del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1 in prosieguo il RGPD . 2. Tale domanda è stata presentata nell’ambito di una controversia tra l’Österreichische Datenschutzbehörde Autorità per la protezione dei dati, Austria in prosieguo la Datenschutzbehörde e WK relativamente al rigetto del reclamo proposto da quest’ultimo avverso un’asserita violazione del suo diritto alla protezione dei suoi dati personali. Contesto normativo Diritto dell’Unione 6. I considerando 16, 20 e 117 dell’RGPD enunciano quanto segue 16 Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione. 20 Sebbene il presente regolamento si applichi, tra l’altro, anche alle attività delle autorità giurisdizionali e di altre autorità giudiziarie, il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento relativamente al trattamento dei dati personali effettuato da autorità giurisdizionali e da altre autorità giudiziarie. Non è opportuno che rientri nella competenza delle autorità di controllo il trattamento di dati personali effettuato dalle autorità giurisdizionali nell’adempimento delle loro funzioni giurisdizionali, al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali, compreso il processo decisionale. 117 L’istituzione di autorità di controllo a cui è conferito il potere di eseguire i loro compiti ed esercitare i loro poteri in totale indipendenza in ciascuno Stato membro è un elemento essenziale della protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. Gli Stati membri dovrebbero poter istituire più di una autorità di controllo, al fine di rispecchiare la loro struttura costituzionale, organizzativa e amministrativa . 7. L’articolo 2 dell’RGPD, intitolato Ambito di applicazione materiale , così dispone 1.Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. 2. Il presente regolamento non si applica ai trattamenti di dati personali a effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione b effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE c effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico d effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. . 8. L’articolo 23, paragrafo 1, dell’RGPD, intitolato Limitazioni , prevede quanto segue Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare a la sicurezza nazionale h una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a a e e g . 9. L’articolo 51, paragrafo 1, dell’RGPD, intitolato Autorità di controllo , così recita Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione autorità di controllo” . 10. L’articolo 55 dell’RGPD, intitolato Competenza , è così formulato 1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro. 3. Le autorità di controllo non sono competenti per il controllo dei trattamenti effettuati dalle autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali . 11. L’articolo 77, dell’RGPD, intitolato Diritto di proporre reclamo all’autorità di controllo , al paragrafo 1 prevede quanto segue Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo . Diritto austriaco 12. L’articolo 53 del Bundes‑Verfassungsgesetz legge costituzionale federale , del 2 gennaio 1930 BGBl. 1/1930 , nella versione del 30 dicembre 2021 BGBl. I 235/2021 , così prevede 1 Il Nationalrat può decidere di istituire commissioni di inchiesta. Inoltre, una commissione di inchiesta è istituita su richiesta di un quarto dei suoi membri. 2 L’inchiesta verte su un’attività passata in un ambito rientrante nel potere esecutivo a livello federale. Sono incluse in esso tutte le attività degli organi federali mediante i quali il Bund, indipendentemente dall’entità della sua partecipazione, esercita diritti di partecipazione e di controllo. È escluso il riesame della giurisprudenza. 3 Tutti gli organi del Bund, dei Länder, dei comuni e dei raggruppamenti di comuni nonché degli altri organi autonomi devono fornire, su richiesta, i loro fascicoli e documenti a una commissione di inchiesta nei limiti in cui essi rientrino nell’oggetto dell’inchiesta e devono soddisfare le richieste di una commissione di inchiesta dirette alla raccolta degli elementi di prova concernenti l’oggetto dell’inchiesta. . 13. A termini dell’articolo 18, paragrafo 1, del Datenschutzgesetz legge sulla protezione dei dati personali , del 17 agosto 1999 BGBl. I 165/1999 , nella versione del 26 luglio 2021 BGBl. I 148/2021, in prosieguo il DSG , intitolato Organizzazione La Datenschutzbehörde è istituita come autorità nazionale di controllo ai sensi dell’articolo 51 [dell’RGPD] . 14. L’articolo 24 del DSG, intitolato Reclamo alla Datenschutzbehörde , è così formulato 1 Ogni interessato ha il diritto di proporre un reclamo alla Datenschutzbehörde se ritiene che il trattamento dei dati personali che lo riguardano costituisca una violazione dell’RGPD . 15. L’articolo 35 del DSG, rubricato Poteri specifici dell’autorità di controllo della protezione dei dati , al suo paragrafo 1, prevede quanto segue La Datenschutzbehörde ha il compito di garantire la protezione dei dati in conformità con le disposizioni dell’RGPD e della presente legge federale . Fatti all’origine della controversia, procedimento principale e questioni pregiudiziali Fatti 16. Il 20 aprile 2018 la Camera bassa del Parlamento austriaco istituiva una commissione di inchiesta incaricata di esaminare le ingerenze che sarebbero state esercitate sul BVT al fine di strumentalizzarne le attività. Le affermazioni dei deputati all’origine della domanda di inchiesta riguardavano, in particolare, casi di abuso di autorità imputati ai funzionari del BVT, voci relative a intercettazioni telefoniche negli uffici della Cancelleria federale, la presunta strumentalizzazione delle indagini riguardanti taluni movimenti estremisti, nonché nomine di ispirazione politica, avvenute all’interno del BVT e nei gabinetti ministeriali. 17. Il 19 settembre 2018 l’interessato veniva ascoltato dalla commissione di inchiesta in qualità di testimone. Agente di un reparto della polizia federale incaricato della lotta alla delinquenza su strada, egli veniva interrogato in merito alle perquisizioni e ai sequestri di dati effettuati dalla sua unità negli uffici del BVT e presso i domicili dei suoi dipendenti. 18. Nonostante la prassi adottata nei confronti di alcuni altri testimoni, e malgrado la richiesta di anonimizzazione presentata dall’interessato, la commissione di inchiesta rivelava la sua identità pubblicando la versione integrale del verbale dell’audizione sul sito Internet del Parlamento austriaco. Procedimento nella causa principale 19. Il reclamo proposto dall’interessato alla Datenschutzbehörde in forza dell’articolo 77, paragrafo 1, dell’RGPD veniva respinto per difetto di competenza. Nella sua decisione del 18 settembre 2019, tale autorità faceva valere che il principio della separazione dei poteri ostava a che essa interferisse con le attività di un organo del Parlamento. 20. Il ricorso proposto dall’interessato avverso la decisione del 18 settembre 2019 veniva accolto dal Bundesverwaltungsgericht Corte amministrativa federale, Austria con sentenza del 23 novembre 2020. Detto giudice annullava la decisione della Datenschutzbehörde per il motivo che le disposizioni dell’RGPD non prevedevano eccezioni idonee a limitare il suo ambito di applicazione nei confronti degli organi del potere legislativo. 21. La Datenschutzbehörde ha proposto un ricorso per cassazione Revision avverso tale sentenza dinanzi al Verwaltungsgerichtshof Corte amministrativa , il quale si chiede se le disposizioni dell’RGPD siano applicabili nel procedimento principale. Questioni pregiudiziali 22. In primo luogo – e a prescindere dall’oggetto dell’inchiesta di cui al procedimento principale – il giudice del rinvio si chiede se le attività di una commissione parlamentare di inchiesta rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, TFUE. Tale disposizione determina la competenza del Parlamento europeo e del Consiglio per adottare le norme relative ai trattamenti di dati personali effettuati dagli Stati membri. 23. A tale proposito, poiché le competenze dell’Unione restano limitate dal principio di attribuzione, il giudice del rinvio si chiede se l’RGPD sia applicabile alle attività di un organo parlamentare investito di una funzione di controllo politico, che a suo avviso non sono disciplinate da alcuna disposizione specifica del diritto dell’Unione. 24. Preoccupato di preservare l’identità nazionale e le funzioni essenziali degli Stati membri, conformemente all’articolo 4, paragrafo 2, TUE, il giudice del rinvio rileva inoltre che l’ingerenza di un organo amministrativo, quale la Datenschutzbehörde, nelle attività del Parlamento violerebbe il principio della separazione dei poteri sancito dalla Costituzione austriaca. 25. Alla luce della sentenza Land Hessen 3 , in cui la Corte ha confermato che le disposizioni dell’RGPD si applicavano alle attività della commissione per le petizioni del Parlamento del Land dell’Assia, il giudice del rinvio si chiede, infine, se le funzioni di tale commissione, che contribuisce alle attività parlamentari solo indirettamente, debbano essere tenute distinte da quelle di cui sono investite le commissioni di inchiesta. A suo avviso, queste ultime si collocano al centro dell’attività del Parlamento e potrebbero esulare, per tale motivo, dall’ambito di applicazione del diritto dell’Unione. 26. In secondo luogo, nell’ipotesi in cui la Corte dichiarasse che le disposizioni dell’RGPD sono intese a disciplinare le attività delle commissioni di inchiesta, il giudice del rinvio si chiede tuttavia se la commissione di cui trattasi nel procedimento principale debba essere sottratta a dette disposizioni, in quanto l’oggetto delle sue attività presenta una connessione con questioni relative alla sicurezza nazionale. 27. Su questo punto, il giudice del rinvio ricorda che, a termini del considerando 16 dell’RGPD, le attività riguardanti la sicurezza nazionale non rientrano nell’ambito di applicazione di tale regolamento. A suo avviso, ciò potrebbe valere per l’inchiesta relativa alle pressioni politiche esercitate sul BVT, organo federale responsabile della salvaguardia delle funzioni essenziali dello Stato. 28. In terzo luogo, nel caso in cui la Corte concludesse che le disposizioni dell’RGPD sono comunque applicabili nel caso di specie, il giudice del rinvio s’interroga sull’applicazione diretta di tale regolamento. 29. Infatti, in assenza di un’adeguata deroga di rango costituzionale, la competenza della Datenschutzbehörde rimane limitata dal principio della separazione dei poteri vigente nel diritto austriaco. Pertanto, il giudice del rinvio si chiede se la competenza di tale autorità nei confronti degli organi del Parlamento austriaco possa discendere direttamente dal combinato disposto degli articoli 77, paragrafo 1, e 55, paragrafo 1, dell’RGPD, sebbene il legislatore nazionale abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, di detto regolamento. 30. In tale contesto, il Verwaltungsgerichtshof Corte amministrativa ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali 1 Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE, indipendentemente dall’oggetto dell’indagine, in modo che il trattamento dei dati personali effettuato da detta commissione sia disciplinato [dall’RGPD]. Qualora sia data una risposta affermativa alla prima questione 2 Se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo, la quale sottopone a indagine le attività di un’autorità di polizia di protezione dello Stato, ossia relative alla salvaguardia della sicurezza nazionale ai sensi del considerando 16 [dell’RGPD], rientrino nella deroga di cui all’articolo 2, paragrafo 2, lettera a , di detto regolamento. Qualora sia data una risposta negativa alla seconda questione 3 Ove – come nel caso in esame – uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, [dell’RGPD], se la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, in combinato disposto con l’articolo 55, paragrafo 1, di detto regolamento, discenda direttamente [da tale] regolamento . 31. Hanno presentato osservazioni scritte l’interessato, il Präsident des Nationalrates presidente del Consiglio nazionale, Austria , la Datenschutzbehörde, i governi austriaco e ceco nonché la Commissione europea. Le medesime parti erano rappresentate all’udienza tenutasi il 6 marzo 2023. Valutazione Sulla prima questione pregiudiziale 32. Con la prima questione, il giudice del rinvio chiede se le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrino nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE. 33. La risposta a tale questione dipende, da un lato, dall’interpretazione che occorre dare alla nozione di attività che rientrano nel campo di applicazione del diritto dell’Unione , di cui all’articolo 16, paragrafo 2, prima frase, TFUE. Tale nozione, formulata in modo negativo, figura anche all’articolo 2, paragrafo 2, lettera a , dell’RGPD, che sottrae all’applicazione di tale regolamento le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione . Queste due disposizioni delimitano, rispettivamente, la competenza degli organi dell’Unione ad adottare le norme relative alla protezione dei dati personali e l’ambito di applicazione materiale dell’RGPD. 34. Dall’altro lato, la risposta alla prima questione pregiudiziale dipende dal modo in cui si devono qualificare le attività delle commissioni parlamentari di inchiesta alla luce delle succitate disposizioni del Trattato FUE e dell’RGPD. Sulla nozione di attività che rientrano nel campo di applicazione del diritto dell’Unione 35. Come ho cercato di dimostrare nell’ambito di un’altra causa 4 , tale nozione non è priva di ambiguità, in quanto si presta a due diverse interpretazioni. Tenuto conto delle discussioni sorte nel presente procedimento a proposito della sua interpretazione, nonostante una costante giurisprudenza della Corte 5 , ritengo necessario esporre esaustivamente le ragioni che hanno portato agli sviluppi giurisprudenziali in tale materia. – Interpretazione concretizzante 36. La prima delle possibili interpretazioni del campo di applicazione del diritto dell’Unione può essere definita concretizzante, nel senso che induce a chiedersi se una determinata attività sia disciplinata da una specifica disposizione del diritto dell’Unione. 37. In sostanza, tale interpretazione corrisponde alla nozione di attuazione del diritto dell’Unione , che definisce l’ambito di applicazione della Carta dei diritti fondamentali dell’Unione europea in prosieguo la Carta . In un contesto diverso da quello della protezione dei dati personali, detta nozione è assimilata nella giurisprudenza della Corte all’ ambito di applicazione del diritto dell’Unione 6 . 38. Il giudice del rinvio si basa su questa interpretazione nella sua domanda di pronuncia pregiudiziale, rilevando che le attività delle commissioni parlamentari di inchiesta restano disciplinate esclusivamente dal diritto nazionale, il che lo induce a dubitare che l’RGPD sia applicabile nel procedimento principale. 39. Proprio su tale interpretazione si è basato l’avvocato generale Tizzano nelle conclusioni relative alle cause riunite Österreichischer Rundfunk e a. 7 e alla causa Lindqvist 8 , in vigenza della direttiva 95/46/CE 9 , che non sono state seguite dalla Corte. 40. È importante ricordare che la direttiva 95/46 era stata adottata sulla base dell’allora articolo 100 A del Trattato CE, divenuto articolo 95 CE e successivamente articolo 114 TFUE, nell’ambito delle misure che avevano ad oggetto l’istituzione e il funzionamento del mercato interno. Mirando a garantire la libera circolazione e un livello equivalente di protezione dei dati personali all’interno dell’Unione, detta direttiva non si applicava, conformemente al suo articolo 3, paragrafo 2, alle attività che non rientra[va]no nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attività dello Stato in materia di diritto penale , nonché ai trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico . 41. Sulla base di tali disposizioni, l’avvocato generale Tizzano ha concluso che la direttiva 95/46 non era applicabile nelle cause riunite Österreichischer Rundfunk e a. 10 . In riferimento al trattamento dei dati relativi agli stipendi corrisposti da enti pubblici, destinati a figurare in una relazione trasmessa al Parlamento dalla Corte dei conti austriaca, l’avvocato generale ha quindi ritenuto che quest’ultima esercitasse nella fattispecie un’attività pubblica di controllo, prevista e disciplinata dalle autorità austriache addirittura con legge costituzionale in base ad una loro autonoma scelta politico‑istituzionale, e non volta a dare esecuzione ad un obbligo comunitario. Non formando oggetto di alcuna specifica disciplina comunitaria, tale attività non può non rientrare nella competenza degli Stati membri 11 . 42. Seguendo la medesima interpretazione nella causa Lindqvist, l’avvocato generale Tizzano ha considerato che la pagina Internet creata dalla sig.ra Lindqvist nell’ambito della sua attività gratuita di catechista rientrava in un’ attività di carattere non economico, che non presenta nessun legame o quanto meno nessun legame diretto con l’esercizio delle libertà fondamentali garantite dal Trattato e non forma oggetto di alcuna specifica disciplina a livello comunitario 12 . Secondo l’avvocato generale, tale attività esulava pertanto dall’ambito di applicazione del diritto comunitario, ai sensi dell’articolo 3, paragrafo 2, della direttiva 95/46. 43. Tali conclusioni non sono state seguite dalla Corte, per ragioni che possono essere ricondotte alla volontà di salvaguardare la certezza del diritto e alla necessità di garantire l’effetto utile della direttiva 95/46. 44. Infatti, tenuto conto della specificità dei dati personali, la cui circolazione e il cui sfruttamento economico sono facilitati dalla loro digitalizzazione, è molto difficile stabilire in pratica, caso per caso, se il loro trattamento presenti un legame con disposizioni specifiche del diritto dell’Unione o con le libertà che caratterizzano il mercato interno, come richiederebbe l’interpretazione concretizzante. 45. Per riprendere l’esempio della causa che ha dato luogo alla sentenza Lindqvist 13 , sarebbe difficile stabilire in pratica se il funzionamento di una pagina Internet destinata a una cerchia limitata di parrocchiani presentasse un legame concreto con le disposizioni della direttiva 95/46 relative alla libera circolazione dei dati tra gli Stati membri nell’ambito del mercato comune. La risposta a tale questione potrebbe dipendere, in particolare, dall’ubicazione fisica dei server che ospitano il sito Internet di cui trattasi 14 . 46. Aggiungo che rischierebbero di presentarsi difficoltà di natura analoga qualora l’interpretazione concretizzante dovesse prevalere nel presente procedimento in vigenza dell’RGPD. 47. A titolo d’esempio, sarebbe difficile stabilire con precisione in quale misura le attività di taluni titolari del trattamento – come le chiese o le associazioni religiose, che sono espressamente menzionate da detto regolamento 15 – rimangano effettivamente soggette a disposizioni specifiche del diritto dell’Unione 16 . La stessa questione potrebbe porsi per taluni enti senza scopo di lucro che non esercitano attività economiche. Ne deriverebbe un’incertezza giuridica circa l’ambito di applicazione dell’RGPD. 48. Tenuto conto di tali difficoltà, la Corte ha respinto l’interpretazione concretizzante del campo di applicazione del diritto comunitario in vigenza della direttiva 95/46. Nelle sentenze Österreichischer Rundfunk e a. 17 e Lindqvist 18 , la Corte ha dichiarato che, [p]oiché tutti i dati personali possono circolare tra gli Stati membri, la direttiva 95/46 impone in linea di principio il rispetto delle norme di tutela di tali dati rispetto a qualsiasi trattamento di questi ultimi, come disposto dal suo art. 3. Di conseguenza, l’applicabilità della direttiva 95/46 non può dipendere dalla soluzione del problema se le situazioni concrete di cui trattasi … presentino un nesso sufficiente con l’esercizio delle libertà fondamentali garantite dal Trattato . Infatti, un’interpretazione in senso contrario rischierebbe di rendere particolarmente incerti ed aleatori i limiti del campo di applicazione della detta direttiva, il che sarebbe contrario al suo obiettivo essenziale, che è quello di ravvicinare le disposizioni legislative, regolamentari, ed amministrative degli Stati membri per eliminare gli ostacoli al funzionamento del mercato interno derivanti proprio dalle disparità esistenti tra le normative nazionali 19 . 49. L’interpretazione generalizzante della direttiva 95/46 ha quindi prevalso nella giurisprudenza della Corte. – Interpretazione generalizzante 50. Tale interpretazione conduce ad includere nell’ambito di applicazione del diritto dell’Unione tutte le attività che possono rientrarvi, nel senso che non sono state sottratte ad esso in ragione delle competenze esclusive degli Stati membri. 51. In vigenza della direttiva 95/46, detta interpretazione ha indotto la Corte a fornire una lettura restrittiva dell’eccezione riguardante le attività che non rientravano nel campo di applicazione del diritto comunitario. Così, nella sentenza Lindqvist, la Corte ha dichiarato che le attività menzionate a titolo esemplificativo nell’art[icolo] 3, [paragrafo] 2, primo trattino, della direttiva 95/46 s[o]no destinate a definire la portata dell’eccezione ivi prevista, di modo che detta eccezione si applica solo alle attività che vi sono così espressamente menzionate e che possono essere ascritte alla stessa categoria eiusdem generis 20 . 52. Prima dell’entrata in vigore del Trattato di Lisbona, le attività coperte da tale eccezione – concernente la pubblica sicurezza, la difesa, la sicurezza dello Stato, la materia penale nonché le attività menzionate nei titoli V e VI del Trattato sull’Unione europea – rientravano nel secondo e nel terzo pilastro dell’Unione ed erano pertanto escluse dalla cooperazione intergovernativa. Tali attività non potevano quindi essere oggetto di una disciplina comunitaria, tenuto conto della ripartizione delle competenze tra l’Unione e gli Stati membri prevista all’epoca dai Trattati. 53. L’esclusione delle attività che non rientrano nel campo di applicazione del diritto comunitario contenuta nell’articolo 3, paragrafo 2, primo trattino, della direttiva 95/46 deve essere letta in tale contesto. Orbene, l’ambito di applicazione dell’RGPD è stato definito in termini analoghi. 54. Ai sensi del suo articolo 2, paragrafo 2, lettere da a a d , l’RGPD non si applica ai trattamenti di dati personali a effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione b effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE c effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico d effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse . Quest’ultimo tipo di trattamento è stato assoggettato alle disposizioni della direttiva UE 2016/680 21 . 55. Alla luce del considerando 16 dell’RGPD, le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione sono, in particolare, quelle riguardanti la sicurezza nazionale. 56. Sulla base del complesso di tali disposizioni, la Corte ha dichiarato nella sentenza Land Hessen che l’eccezione di cui all’articolo 2, paragrafo 2, lettera a , dell’RGPD, la quale copre le attività che non rientrano nell’ambito di applicazione del diritto dell’Unione , deve essere interpretata restrittivamente, di modo che il fatto che un’attività sia propria dello Stato o di una pubblica autorità non è sufficiente affinché tale eccezione sia automaticamente applicabile all’attività considerata. È infatti necessario che detta attività sia inclusa tra quelle che sono espressamente menzionate dalla disposizione in discorso o che possa essere ascritta alla stessa categoria di tali attività 22 . 57. Mi sembra che nessuno degli argomenti dedotti nella presente causa possa rimettere in discussione tale interpretazione. 58. In particolare, non condivido gli argomenti basati sul principio di attribuzione, che sono stati sollevati, in particolare, dal giudice del rinvio e dal Präsident des Nationalrates presidente del Consiglio nazionale . 59. Conformemente al principio di attribuzione di cui all’articolo 5, paragrafo 2, TUE 23 , l’Unione dispone unicamente di competenze che le sono state conferite nei Trattati dagli Stati membri. 60. Sul piano puramente lessicale, la nozione di attività che rientrano nel campo di applicazione del diritto dell’Unione è ambigua a tale riguardo. A prima vista, l’interpretazione generalizzante di detta nozione adottata nella giurisprudenza della Corte potrebbe sembrare discutibile, in quanto conduce ad assoggettare alle disposizioni dell’RGPD tutte le attività che non sono state sottratte a tale regolamento, il che sembra in contrasto con il principio sopra ricordato. 61. Tuttavia, in forza di una giurisprudenza costante, quando si interpreta una disposizione del diritto dell’Unione occorre tenere conto non soltanto della formulazione di quest’ultima e degli obiettivi da essa perseguiti, ma anche del suo contesto e dell’insieme delle disposizioni del diritto dell’Unione. Anche la genesi di una disposizione del diritto dell’Unione può fornire elementi pertinenti per la sua interpretazione 24 . 62. Orbene, tralasciando l’interpretazione letterale, che mi sembra poco concludente, tenuto conto del tenore equivoco del campo di applicazione del diritto dell’Unione , l’analisi contestuale 25 e teleologica depone chiaramente a favore dell’interpretazione generalizzante dell’articolo 16, paragrafo 2, TFUE, cosicché la portata di tale disposizione va oltre quella dell’ attuazione del diritto dell’Unione ai sensi dell’articolo 51, paragrafo 1, della Carta. 63. In primo luogo, tale conclusione s’impone alla luce del sistema del Trattato FUE e della specifica collocazione dell’articolo 16, paragrafo 2, nell’architettura di detto Trattato. 64. L’articolo in parola figura nel titolo II della prima parte del Trattato FUE, che contiene le disposizioni di applicazione generale . Ne consegue che il diritto delle persone fisiche alla protezione dei dati personali, sancito dalla menzionata disposizione, riveste un’importanza speciale rispetto agli altri diritti fondamentali che hanno trovato la loro collocazione nella Carta allegata al Trattato. 65. Più in particolare, la posizione privilegiata dell’articolo 16 TFUE nell’economia del Trattato suggerisce che il campo di applicazione menzionato in tale disposizione non è limitato alle sole situazioni nelle quali gli Stati membri attua[no il] diritto dell’Unione ai sensi dell’articolo 51, paragrafo 1, della Carta, il che corrisponderebbe all’interpretazione concretizzante evocata supra. 66. Su tale punto, tengo a sottolineare una differenza di natura tra le disposizioni dell’articolo 16, paragrafo 2, TFUE e le disposizioni della Carta. 67. Conformemente al suo articolo 51, paragrafo 2, la Carta non estende l’ambito di applicazione del diritto dell’Unione al di là delle competenze dell’Unione, né introduce competenze nuove o compiti nuovi per l’Unione, né modifica le competenze e i compiti definiti nei trattati . Le sue disposizioni sono rivolte agli Stati membri, nella misura in cui attuano il diritto dell’Unione in settori che rientrano già nell’ambito di applicazione di tale diritto. 68. Lo stesso non vale per l’articolo 16, paragrafo 2, TFUE, le cui disposizioni costituiscono e delegano all’Unione una competenza legislativa in materia di protezione e di libera circolazione dei dati personali, e definiscono a tal fine un ambito di applicazione specifico, basato sulle disposizioni della direttiva 95/46, come dimostra la genesi di tale disposizione. 69. In secondo luogo, infatti, dai lavori preparatori del Trattato di Lisbona emerge chiaramente che gli autori del Trattato FUE intendevano riaffermare il campo di applicazione delle norme relative alla protezione dei dati personali, quale era stato definito in vigenza della direttiva 95/46. 70. A tale proposito, occorre rammentare che il tenore dell’articolo 16 TFUE si ispira direttamente al progetto di Trattato che istituisce una Costituzione per l’Europa, il cui articolo 36 bis, paragrafo 2 divenuto articolo 50, paragrafo 2, nella versione finale del progetto del 18 luglio 2003 26 prevedeva la competenza del Parlamento e del Consiglio ad adottare le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, e le norme relative alla libera circolazione di tali dati 27 . 71. Orbene, secondo le spiegazioni fornite dai suoi autori, [i]l progetto di articolo 36 bis è volto a creare una base giuridica unica ai fini della protezione dei dati di carattere personale, sia da parte delle istituzioni che degli Stati membri, nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione. Il testo si basa sul regime comunitario attuale, quale risulta dalla [direttiva 95/46] fondata sull’articolo 95 TCE per quanto riguarda l’azione degli Stati membri 28 . 72. Ne consegue chiaramente che se la nozione di ambito di applicazione del diritto dell’Unione che figura all’articolo 2, paragrafo 2, lettera a , dell’RGPD fosse interpretata in modo da limitare l’applicazione di tale regolamento rispetto a quella della direttiva 95/46, ciò sarebbe in contrasto con la volontà degli Stati membri espressa nel Trattato FUE. 73. In terzo luogo, occorre tenere conto delle considerazioni teleologiche, legate alla dinamica e agli obiettivi specifici della protezione dei dati personali nella quale si inscrive l’adozione dell’RGPD. 74. Sotto tale profilo, non vi è dubbio che il legislatore dell’Unione abbia tentato di rafforzare tale protezione e di consolidare l’ambito di applicazione delle relative norme. Ciò è evidenziato dalla sostituzione deliberata della direttiva 95/46 con un dispositivo regolamentare più vincolante e, in modo esplicito, dal contenuto dei considerando 9, 11 e 13 dell’RGPD. 75. Gli obiettivi presi in considerazione in tale misura derivano dalla specificità del fenomeno del trattamento dei dati personali, che va oltre l’ambito delle attività in occasione delle quali tali dati possono essere raccolti. 76. Inoltre, dette attività non sono necessariamente attività economiche, le quali sarebbero già soggette a norme del diritto dell’Unione che disciplinano il mercato interno, il che non riduce in alcun modo il valore di mercato dei dati raccolti e non elimina i rischi inerenti al loro trattamento. 77. La problematica dei dati personali presenta a tale proposito un carattere trasversale e le norme relative alla loro protezione non possono quindi essere confinate all’ambito di applicazione delle categorie preesistenti del diritto dell’Unione. 78. In altri termini, se il campo di applicazione del diritto dell’Unione menzionato all’articolo 16, paragrafo 2, TFUE va oltre le ipotesi di attuazione del diritto dell’Unione , ai sensi dell’articolo 51, paragrafo 1, della Carta, ciò avviene in ragione della natura autonoma delle problematiche legate al trattamento dei dati personali, che hanno richiesto uno specifico intervento legislativo la cui portata va oltre la somma delle disposizioni preesistenti del diritto dell’Unione. Da questo punto di vista, l’ampio ambito di applicazione dell’RGPD riflette la volontà di affrontare le questioni relative alla protezione dei dati personali adottando un sistema concepito su misura . 79. Tenuto conto della convergenza delle conclusioni derivanti dall’analisi contestuale e teleologica dell’articolo 16, paragrafo 2, TFUE, propongo alla Corte di confermare la sua giurisprudenza precedente 29 , adottando un’interpretazione restrittiva dell’eccezione relativa alle attività che non rientrano nell’ambito di applicazione del diritto dell’Unione , contenuta nell’articolo 2, paragrafo 2, lettera a , dell’RGPD. 80. Propongo alla Corte di valutare alla luce di tale interpretazione l’idoneità del regolamento in parola ad applicarsi alle attività della commissione parlamentare di inchiesta oggetto del procedimento principale. Sull’applicazione dell’RGPD alle attività della commissione parlamentare di inchiesta 81. Ritengo che si imponga un’osservazione preliminare riguardo al modo in cui le disposizioni pertinenti dell’RGPD definiscono l’ambito di applicazione di tale regolamento. – Importanza secondaria dei criteri istituzionali per la definizione dell’ambito di applicazione dell’RGPD 82. Occorre sottolineare che le considerazioni organiche o istituzionali, relative alla natura degli organi o delle persone titolari del trattamento di dati personali, rivestono un’importanza secondaria nella definizione dell’ambito di applicazione dell’RGPD. 83. Da un lato, infatti, l’ambito di applicazione dell’RGPD si basa sulla nozione materiale di trattamento dei dati personali, conformemente all’articolo 2, paragrafo 1, di tale regolamento. La nozione organica di titolare del trattamento contenuta nell’articolo 4, punto 7, dell’RGPD ha, da questo punto di vista, solo un carattere accessorio, nel senso che si basa, in sostanza, sulla nozione materiale di trattamento. Infatti, sebbene la definizione del titolare del trattamento menzioni la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo , tale menzione equivale a neutralizzare i criteri organici ai fini della sua applicazione. 84. Dall’altro, se pure le disposizioni che delimitano l’ambito di applicazione materiale dell’RGPD, contenute nell’articolo 2, paragrafo 2, di tale regolamento, si riferiscono a talune categorie di persone o di organi, vale a dire agli Stati membri, alle persone fisiche e alle autorità competenti in materia penale, ciò avviene sempre nel contesto delle attività che esulano dall’ambito di applicazione di detto regolamento. Pertanto, non sono persone in quanto tali ad essere sottratte all’applicazione dell’RGPD, bensì unicamente alcune delle loro attività. 85. L’importanza secondaria dei criteri istituzionali è inoltre confermata dal modo in cui vengono definite le deroghe parziali, che limitano la portata delle disposizioni specifiche dell’RGPD. A titolo d’esempio 30 , se le autorità giurisdizionali sfuggono alla competenza delle autorità di controllo nazionali, conformemente all’articolo 55, paragrafo 3, dell’RGPD, ciò avviene solamente nella misura in cui esse esercitano le loro funzioni giurisdizionali. La portata di tale eccezione è quindi determinata non già dallo status delle autorità giurisdizionali, bensì dalla natura particolare delle loro attività. 86. Dall’assenza di disposizioni dell’RGPD che riguardino specificamente gli organi parlamentari deriva, a mio avviso, che ciò che deve determinare la possibilità di applicare tale regolamento non è lo status degli organi del Parlamento nel diritto austriaco, bensì la natura delle loro attività. – Sulla natura delle attività della commissione di inchiesta nel procedimento principale 87. Alla luce di tutti gli elementi portati a conoscenza della Corte, ritengo che i compiti affidati a tale commissione possano essere qualificati come attività di controllo pubblico che implicano l’esercizio dell’autorità pubblica. 88. Siffatta qualificazione risulta dal tenore stesso della prima e della seconda questione pregiudiziale, che vertono sulle attività svolte nell’ambito del controllo del potere esecutivo. Secondo le spiegazioni fornite dal giudice del rinvio, [l]’obiettivo delle commissioni di inchiesta è di fare luce su taluni punti a fini politici . A tale proposito spetta alle commissioni di inchiesta assolvere il compito di controllo che è stato loro conferito costituzionalmente 31 . 89. Tale qualificazione è corroborata dalle osservazioni scritte presentate alla Corte 32 . 90. Alla luce delle spiegazioni fornite in udienza dal Präsident des Nationalrates presidente del Consiglio nazionale , è inoltre pacifico che la commissione di inchiesta in questione gode di talune prerogative di autorità pubblica, quali il diritto di convocare testimoni o di ottenere l’accesso ai documenti relativi all’oggetto delle sue attività, che sono corredate dal potere di infliggere sanzioni pecuniarie, volto a garantire il corretto svolgimento dell’inchiesta. 91. Mi sembra che sussista invece una certa confusione per quanto riguarda la natura legislativa delle attività di tale commissione e le sue eventuali conseguenze per l’applicabilità dell’RGPD. 92. Il Präsident des Nationalrates presidente del Consiglio nazionale osserva a tale proposito che [l]e commissioni di inchiesta rientrano, sia dal punto di vista organizzativo che funzionale, nel potere legislativo. Gli atti compiuti dalle commissioni di inchiesta o per loro conto rientrano quindi nella funzione legislativa dello Stato 33 . Ad avviso di tale organo, ne consegue che [l]’attività di una commissione di inchiesta si colloca quindi al centro dell’ambito legislativo e, in quanto attività di controllo di natura esclusivamente parlamentare e politica, rientra nell’eccezione di cui all’articolo 2, paragrafo 2, lettera a , dell’RGPD 34 . 93. Tali affermazioni mi inducono a tre osservazioni. 94. In primo luogo, a prescindere dall’eventuale partecipazione delle commissioni di inchiesta alle attività legislative, tengo a sottolineare che le attività legislative o parlamentari non sono state sottratte all’applicazione dell’RGPD 35 , a differenza delle attività connesse all’esercizio delle funzioni giurisdizionali, che rientrano nella deroga parziale di cui all’articolo 55, paragrafo 3, di tale regolamento. 95. Su questo punto, a differenza di alcuni interessati, dubito che si possa interpretare detta deroga per analogia, in modo da estendere alle funzioni legislative l’eccezione riguardante le funzioni giurisdizionali. Anzi, se la deroga contenuta nell’articolo 55, paragrafo 3, dell’RGPD dovesse ispirare il ragionamento della Corte nel presente procedimento, potrebbe dare luogo soltanto ad un’interpretazione a contrario. Tenuto conto dell’ampio ambito di applicazione dell’RGPD, l’eccezione relativa alle funzioni giurisdizionali non potrebbe essere interpretata estensivamente. 96. In secondo luogo, a mio avviso, nessuno degli elementi portati a conoscenza della Corte permette di sostenere che l’attività della commissione di inchiesta di cui al procedimento principale rivesta una funzione legislativa. 97. In particolare, la commissione di inchiesta in questione non è autorizzata ad assumere iniziative legislative e non partecipa in alcun altro modo alle attività legislative del Parlamento austriaco. Inoltre, quand’anche la relazione finale dell’inchiesta possa costituire una fonte di ispirazione per il legislatore, non mi sembra che tale circostanza sia idonea a conferire carattere legislativo alle attività di detta commissione. Anche le attività di alcuni organi extraparlamentari – come la Corte dei conti austriaca, le cui relazioni vengono trasmesse al Parlamento – possono ispirare il legislatore, senza che si debba collegarle per questo motivo all’esercizio del potere legislativo. 98. In terzo luogo, e a prescindere dalla loro eventuale importanza nel diritto austriaco, le considerazioni istituzionali restano irrilevanti ai fini dell’applicabilità dell’RGPD, cosicché l’appartenenza organizzativa della commissione parlamentare di inchiesta non può essere determinante per la risposta da dare alla prima questione pregiudiziale. – Sull’idoneità dell’RGPD ad applicarsi alle attività di controllo pubblico 99. Alla luce delle considerazioni che precedono, occorre chiedersi se le attività di controllo pubblico svolte da una commissione parlamentare di inchiesta rientrino nell’ambito di applicazione dell’RGPD. 100. A mio avviso, si deve rispondere a tale questione in senso affermativo, per tre motivi principali. 101. In primo luogo, i trattamenti di dati personali effettuati dalla commissione di cui trattasi rientrano nella nozione materiale di trattamento , definita all’articolo 2, paragrafo 1, dell’RGPD. Tale qualificazione non è contestata da nessuna delle parti interessate nel presente procedimento. 102. In secondo luogo, le attività di controllo pubblico rientrano nel campo di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, TFUE e dell’articolo 2, paragrafo 2, lettera a , dell’RGPD, come interpretati dalla giurisprudenza della Corte, segnatamente in quanto nessuna disposizione di detto regolamento le sottrae alla sua applicazione. 103. Al contrario, le attività di controllo sono espressamente menzionate all’articolo 23, paragrafo 1, lettera h , dell’RGPD, il quale prevede la possibilità di limitare la portata di taluni diritti e obblighi previsti da tale regolamento, quando siffatta limitazione sia necessaria per garantire l’esercizio di una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri in determinati casi previsti dalla menzionata disposizione. 104. Ne consegue che le disposizioni dell’RGPD sono intese ad applicarsi alle attività di controllo pubblico, anche se a tal fine possono essere previste misure particolari. L’eventuale limitazione delle tutele derivanti dall’RGPD non conduce tuttavia ad escludere l’applicazione di detto regolamento. 105. Infine, in terzo luogo, tenuto conto della ripartizione generale delle competenze tra l’Unione e gli Stati membri, non risulta affatto che le attività di controllo pubblico siano riservate esclusivamente a questi ultimi. 106. Per attenersi specificamente ad un esempio di controllo parlamentare, la duplicazione delle indagini sul cosiddetto Dieselgate , avviate contemporaneamente dal Parlamento europeo 36 e dal Bundestag Parlamento federale tedesco, illustra chiaramente il concorso di competenze in materia. 107. Certamente, si potrebbe sostenere che l’ambito di applicazione del diritto dell’Unione copre unicamente le attività di controllo che presentano un nesso con l’applicazione delle disposizioni di tale diritto. 108. Tuttavia, un approccio siffatto equivarrebbe a reintrodurre l’interpretazione concretizzante del campo di applicazione del diritto dell’Unione e presenterebbe pertanto gli stessi rischi di incertezza giuridica. Tenuto conto della natura stessa dell’inchiesta parlamentare, che mira a fare luce sulle circostanze di cui trattasi, mi sembra difficile stabilire in anticipo se le attività di una commissione di inchiesta presentino un nesso concreto con l’applicazione delle disposizioni del diritto dell’Unione 37 . 109. In tale contesto, occorre tenere conto dell’obiettivo di certezza del diritto perseguito dalle disposizioni dell’RGPD, che mirano ad evitare la frammentazione dell’attuazione della protezione dei dati nell’Unione 38 . 110. Tenuto conto di detto obiettivo, e conformemente alla soluzione adottata dalla Corte nella sentenza Österreichischer Rundfunk e a. 39 , pronunciata in vigenza della direttiva 95/46, l’ambito di applicazione dell’RGPD dovrebbe essere interpretato in modo da includere le attività di controllo pubblico, a prescindere dal loro legame con l’applicazione di specifiche disposizioni del diritto dell’Unione. 111. Alla luce di quanto precede, propongo di rispondere alla prima questione pregiudiziale dichiarando che le attività di una commissione di inchiesta istituita dal Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrano nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE. Sulla seconda questione pregiudiziale 112. Con la seconda questione, il giudice del rinvio chiede se le attività della commissione di inchiesta di cui al procedimento principale rientrino nell’eccezione di cui all’articolo 2, paragrafo 2, lettera a , dell’RGPD, letto alla luce del considerando 16 di detto regolamento, tenuto conto dell’oggetto particolare delle sue attività, connesso alle questioni della sicurezza nazionale. 113. Ritengo che non sia così, per vari motivi. 114. In primo luogo, considerato l’ampio ambito di applicazione dell’RGPD, l’eccezione concernente le attività riguardanti la sicurezza nazionale deve essere interpretata restrittivamente. Ne deduco che solo le attività aventi per oggetto immediato la sicurezza nazionale rientrano in tale eccezione. 115. È evidente che ciò non vale per le attività della commissione di inchiesta di cui al procedimento principale, che è stata investita di un compito di controllo nei confronti degli organi del governo federale. 116. È vero che, nella misura in cui il controllo in questione verte sul funzionamento del BVT, il cui compito consiste nel garantire l’integrità e la continuità delle istituzioni statali, l’attività di detta commissione può avere contribuito indirettamente alla salvaguardia della sicurezza nazionale. 117. Tuttavia, tale contributo non modifica la natura delle attività affidate a una commissione di inchiesta e non può condurre a sottrarle alle disposizioni dell’RGPD. Se dovesse prevalere la soluzione opposta, ci si potrebbe chiedere se un’agenzia pubblicitaria, incaricata dal Ministero della Difesa di promuovere le professioni militari, non debba sfuggire a dette disposizioni per lo stesso motivo. 118. In secondo luogo, se l’applicazione dell’RGPD dovesse dipendere dall’oggetto di un’inchiesta parlamentare, ciò sarebbe in contrasto con l’obiettivo di certezza del diritto perseguito dal legislatore dell’Unione. 119. Tenuto conto della sua natura mutevole, l’oggetto di un’inchiesta parlamentare non costituisce una base sufficientemente coerente per determinare l’ambito di applicazione dell’RGPD. Fattori circostanziali, come il coinvolgimento personale di un Ministro della Difesa in un caso di corruzione – che potrebbe essere rivelato o smentito nel corso dell’inchiesta –, non possono servire come riferimenti a tal fine. 120. In terzo luogo, l’interpretazione dell’eccezione contenuta nell’articolo 2, paragrafo 2, lettera a , dell’RGPD dovrebbe tenere conto della ratio legis di tale disposizione. Ritengo che ciò sia legato all’impossibilità di conciliare taluni aspetti fondamentali del diritto al rispetto dei dati personali con la segretezza inerente ad alcune attività riguardanti la sicurezza nazionale. 121. A titolo d’esempio, mi è difficile immaginare come i servizi di intelligence nazionale potrebbero garantire il rispetto dei diritti di informazione e di accesso, sanciti dagli articoli 14 e 15 dell’RGPD, senza compromettere nel contempo le attività di sorveglianza delle persone sospettate di appartenere ad un gruppo terroristico. In un caso del genere, le esigenze derivanti dall’RGPD risultano intrinsecamente incompatibili con gli imperativi della sicurezza nazionale. 122. Per contro, mi sembra che l’attività di una commissione parlamentare di inchiesta non incontri alcun ostacolo insormontabile di questo tipo, e non vedo perché il rispetto degli obblighi derivanti dall’RGPD potrebbe comprometterne l’eventuale contributo alla salvaguardia della sicurezza nazionale. 123. È vero che la pubblicità che solitamente accompagna le attività delle commissioni di inchiesta contribuisce alla dimensione pubblica del controllo parlamentare. L’obiettivo di trasparenza è tuttavia in contrasto con la ratio legis dell’articolo 2, paragrafo 2, lettera a , dell’RGPD, che mira a preservare i segreti della sicurezza nazionale. 124. In quarto luogo, sebbene il corretto svolgimento di un’inchiesta parlamentare possa, in alcuni casi, non conciliarsi con il rispetto degli obblighi derivanti dall’RGPD – ad esempio nell’ipotesi in cui la commissione ottenga l’accesso a documenti riservati contenenti dati personali – ricordo che l’articolo 23, paragrafo 1, lettere a e h , dell’RGPD prevede la possibilità di limitare i diritti e gli obblighi sanciti dagli articoli 5, da 12 a 22 e 34 di detto regolamento quando tale limitazione sia necessaria per garantire un compito di controllo in considerazione degli imperativi della sicurezza nazionale. 125. Ne consegue, a mio avviso, che l’eventuale legame tra l’oggetto di un’inchiesta parlamentare e le questioni della sicurezza nazionale non dovrebbe condurre a sottrarre la commissione di inchiesta all’applicazione dell’RGPD. Considerato il contesto istituzionale in cui si colloca l’attività di tali commissioni, i cui membri partecipano ai lavori degli organi legislativi del Parlamento, mi sembra inoltre relativamente agevole adottare le necessarie disposizioni legislative per poter tenere conto dell’oggetto particolare di talune inchieste parlamentari, come previsto dalle disposizioni dell’articolo 23, paragrafo 1, dell’RGPD. 126. Per tutti questi motivi, propongo alla Corte di rispondere alla seconda questione pregiudiziale dichiarando che le attività di una commissione parlamentare di inchiesta, la quale sottopone a indagine le attività di un’autorità di polizia di protezione dello Stato relative alla salvaguardia della sicurezza nazionale, ai sensi del considerando 16 dell’RGPD, non rientrano nella deroga di cui all’articolo 2, paragrafo 2, lettera a , di detto regolamento. Sulla terza questione pregiudiziale 127. Con la terza questione, il giudice del rinvio chiede se la competenza di un’unica autorità di controllo, istituita ai sensi dell’articolo 51, paragrafo 1, dell’RGPD con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di tale regolamento, possa discendere direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, dell’RGPD. 128. Tale questione, che viene sollevata per il caso in cui l’RGPD sia applicabile alle attività della commissione di inchiesta di cui al procedimento principale, si spiega con taluni ostacoli di natura costituzionale. Ad avviso del Verwaltungsgerichtshof Corte amministrativa e di alcuni interessati, il principio della separazione dei poteri proprio del diritto austriaco osta a che un organo amministrativo, nella fattispecie la Datenschutzbehörde, interferisca con le attività del Parlamento, esaminando reclami che lo riguardano. 129. La terza questione pregiudiziale è quindi volta a stabilire la portata dell’effetto diretto dell’articolo 55, paragrafo 1, in combinato disposto con l’articolo 77, paragrafo 1, dell’RGPD, quando la competenza dell’unica autorità di controllo istituita da uno Stato membro rischi di essere limitata da un principio di rango costituzionale. 130. In riferimento ad un regolamento dell’Unione, occorre ricordare che esso, in linea di principio, è direttamente applicabile in tutti i suoi elementi, ai sensi dell’articolo 288, paragrafo 2, TFUE, come confermato dall’articolo 99, paragrafo 2, secondo comma, dell’RGPD 40 . 131. Conformemente alla giurisprudenza della Corte, lo stesso vale nel caso in cui una disposizione regolamentare richieda l’adozione di misure di applicazione, considerato il margine di valutazione lasciato per la sua attuazione agli Stati membri 41 . 132. A tal riguardo, ritengo che il combinato disposto dell’articolo 77, paragrafo 1, dell’RGPD, che prevede la competenza delle autorità di controllo ad esaminare i reclami ivi previsti, e dell’articolo 55, paragrafo 1, di detto regolamento sia sufficientemente chiaro e incondizionato per essere applicato direttamente. 133. Aggiungo che la Corte ha già confermato l’effetto diretto dell’articolo 58, paragrafo 5, dell’RGPD, dichiarando che un’autorità di controllo nazionale può avvalersi della capacità di stare in giudizio ad essa riconosciuta da detta disposizione per intentare o proseguire un’azione nei confronti di un privato, anche in assenza di qualsiasi misura di applicazione legislativa adottata a tale fine dallo Stato membro interessato 42 . 134. Inoltre, nelle circostanze del procedimento principale, mi sembra che non siano necessarie ulteriori misure di attuazione per disciplinare le modalità procedurali del reclamo di cui all’articolo 77 dell’RGPD. La Datenschutzbehörde esamina regolarmente siffatti reclami e l’unica questione riguarda la sua competenza nei confronti degli organi del Parlamento. 135. Orbene, tale questione non è stata lasciata alla libera valutazione degli Stati membri. 136. È vero che l’esercizio effettivo del diritto di proporre un reclamo presuppone la previa istituzione di una o più autorità di controllo, conformemente all’articolo 51, paragrafo 1, dell’RGPD, il che richiede l’intervento degli Stati membri. Si tratta, tuttavia, di una questione relativa all’effetto diretto di quest’ultima disposizione, questione che non è stata sollevata nel procedimento principale. 137. Per quanto riguarda il numero di autorità di controllo da istituire ai sensi dell’articolo 51, paragrafo 1, dell’RGPD, la scelta istituzionale lasciata in materia agli Stati membri non può condurre a limitare le competenze dell’unica autorità istituita dal legislatore austriaco. L’interpretazione contraria priverebbe l’articolo 55, paragrafo 1, e l’articolo 77, paragrafo 1, dell’RGPD della loro efficacia diretta e rischierebbe di ridurre l’effetto utile di tutte le altre disposizioni di tale regolamento che possano essere interessate da un reclamo. 138. Infine, per quanto riguarda gli ostacoli di natura costituzionale esistenti nel diritto austriaco, essi non possono condurre a negare l’applicazione delle disposizioni dell’RGPD. Conformemente ad una giurisprudenza costante della Corte, il fatto che siano menomati i principi di una costituzione nazionale non può sminuire l’efficacia di un atto dell’Unione 43 . 139. In risposta alla terza questione pregiudiziale, propongo quindi alla Corte di dichiarare che, ove uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, dell’RGPD, la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di detto regolamento discende direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, di tale regolamento. Conclusione 140. Alla luce di tutte le suesposte considerazioni, propongo alla Corte di rispondere alle questioni sollevate dal Verwaltungsgerichtshof Corte amministrativa, Austria nei seguenti termini 1 Le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo rientrano nell’ambito di applicazione del diritto dell’Unione ai sensi dell’articolo 16, paragrafo 2, prima frase, TFUE, cosicché il regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati , si applica al trattamento dei dati personali effettuato da una simile commissione. 2 Le attività di una commissione di inchiesta istituita da un Parlamento di uno Stato membro nell’esercizio del suo diritto di controllo sul potere esecutivo, la quale sottopone a inchiesta le attività di un’autorità di polizia di protezione dello Stato, ossia relative alla salvaguardia della sicurezza nazionale ai sensi del considerando 16 del regolamento 2016/679, non rientrano nella deroga di cui all’articolo 2, paragrafo 2, lettera a , di detto regolamento. 3 Ove uno Stato membro abbia istituito un’unica autorità di controllo ai sensi dell’articolo 51, paragrafo 1, del regolamento 2016/679, la sua competenza con riguardo ai reclami di cui all’articolo 77, paragrafo 1, di detto regolamento discende direttamente da quest’ultima disposizione, in combinato disposto con l’articolo 55, paragrafo 1, di tale regolamento.