La Corte di Giustizia dell’Unione europea, con la sentenza 10 febbraio 2026 (causa C-97/23 P, WhatsApp Ireland Ltd c. Comitato europeo per la protezione dei dati – EDPB), ha affermato che le decisioni vincolanti adottate dall’EDPB ai sensi dell’art. 65 del Regolamento (UE) 2016/679 (“GDPR”) costituiscono atti impugnabili ai sensi dell’art. 263 TFUE, in quanto idonei a produrre effetti giuridici nei confronti di terzi e a incidere direttamente sulla posizione giuridica dell’impresa interessata.
La pronuncia è intervenuta sull’impugnazione proposta da WhatsApp avverso l’ordinanza del Tribunale dell’Unione europea del 7 dicembre 2022 (T-709/21, EU:T:2022:783), che aveva dichiarato irricevibile il ricorso diretto all’annullamento della decisione vincolante 1/2021 del 28 luglio 2021, adottata dal Comitato europeo nel contesto del meccanismo di coerenza in relazione al progetto di decisione elaborato dalla Data Protection Commission irlandese (DPC), quale autorità di controllo capofila nel procedimento transfrontaliero.
In tal sede, il Comitato ha sostenuto che tale decisione costituisse semplicemente un atto intermedio, privo di effetti giuridici autonomi, la cui eventuale illegittimità avrebbe potuto essere fatta valere esclusivamente nell’ambito del ricorso contro la decisione finale dell’autorità nazionale.
La Corte, tuttavia, ha rilevato che dalla formulazione degli artt. 65, parr. 1 e 2, e 68, par. 1, GDPR emerge che la decisione del Comitato promana da un organo dell’Unione dotato di personalità giuridica e ha carattere vincolante nei confronti delle autorità di controllo interessate, le quali, ai sensi dell’art. 65, par. 6, GDPR, sono tenute ad adottare la decisione finale sulla base della pronuncia del Comitato e ad allegarla al provvedimento conclusivo. Ne consegue che essa non può essere qualificata come mero atto preparatorio, poiché definisce le questioni oggetto del deferimento e vincola l’autorità capofila, integrando così un atto impugnabile ai sensi dell’art. 263, primo comma, TFUE.
Quanto al requisito dell’interesse diretto ex art. 263, quarto comma, TFUE, la Corte ha ricordato che esso presuppone, secondo giurisprudenza costante, che l’atto produca effetti diretti sulla situazione giuridica del ricorrente e non lasci alcun margine di discrezionalità ai destinatari incaricati della sua applicazione; nel caso di specie, la decisione del Comitato aveva accertato la violazione degli obblighi informativi di cui all’art. 13, par. 1, lett. d), e par. 2, lett. e), GDPR, qualificando come dati personali le informazioni sottoposte a “lossy hashing” e imposto una revisione in aumento delle sanzioni, incidendo direttamente sulle modalità di conformazione di WhatsApp al Regolamento e sul suo assetto contrattuale con gli utenti, senza consentire all’Autorità irlandese di discostarsi dalle valutazioni operate.
Pertanto, risultando soddisfatte le condizioni di cui all’art. 263, primo e quarto comma, TFUE, la Corte ha annullato l’ordinanza del Tribunale e dichiarato ricevibile il ricorso, affermando un principio di rilevante portata sistemica: le decisioni adottate dall’EDPB nell’ambito del meccanismo di coerenza producono effetti giuridici diretti e sono suscettibili di controllo giurisdizionale diretto dinanzi al giudice dell’Unione, con conseguente rafforzamento della tutela delle imprese nei procedimenti transfrontalieri in materia di protezione dei dati personali.
Fonte: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62023CJ0097