Home

GDPR: le decisioni del CEPD possono essere impugnate innanzi al Tribunale dell’Unione

La Redazione
10 Febbraio 2026

Secondo la Corte di giustizia UE una decisione vincolante del Comitato europeo per la protezione dei dati (CEPD) che risolve una controversia tra diverse autorità nazionali di controllo può essere impugnata innanzi ai giudici dell'Unione, in quanto atto destinato a produrre effetti giuridici nei confronti dei terzi.

La Data Protection Commission irlandese, nel 2018 avviava un'indagine a seguito dei diversi reclami ricevuti da utenti utilizzatori del servizio di messagistica Whatsapp e inerenti al trattamento dei dati operato dalla piattaforma.

A seguito di interpello da parte dell'autorità di controllo irlandese il Comitato europeo per la protezione dei dati (CEPD) emetteva un proprio parere vincolante per tutte le autorità nazionali di controllo interessate che accertava la violazione di alcune disposizione del GDPR e imponeva la modifica di alcune misure correttive e sanzioni pecuniarie. Sulla base di tali indicazioni, l'autorità irlandese ha adottato la propria decisione finale, infliggendo a WhatsApp sanzioni pecuniarie per un totale di 225 milioni di euro.

WhatsApp ha proposto ricorso di annullamento contro la decisione del CEPD dinanzi al Tribunale dell'Unione europea, che con propria ordinanza, lo ha dichiarato irricevibile, ritenendo che la decisione del CEPD fosse solo un atto intermedio, non autonomamente impugnabile e che la società non fosse direttamente interessata, potendo contestare solo la decisione finale dell'autorità irlandese davanti ai giudici nazionali.

La Corte di giustizia ha rovesciato tale impostazione su due punti chiave: In primo luogo, ha affermato che una decisione vincolante del CEPD che risolve una controversia tra autorità di controllo circa la violazione del GDPR con eventuale adeguamento delle misure correttive è un atto impugnabile ai sensi dell'art. 263 TFUE, in quanto promana da un organo dell'Unione, produce effetti giuridici vincolanti nei confronti delle autorità di controllo interessate e definisce in via definitiva le questioni rimesse al Comitato, non potendo, quindi, essere degradata a semplice provvedimento intermedio.

In secondo luogo, WhatsApp è “direttamente interessata” dalla decisione del CEPD, poiché quest'ultima modifica in modo qualificato la sua situazione giuridica, non lasciando alcun margine di discrezionalità alle autorità nazionali in fase di attuazione, con la conseguenza che queste saranno tenute a conformarsi alla decisione senza poterne alterare l'esito.

La Corte annulla, quindi, l'ordinanza del Tribunale e gli rinvia la causa perché statuisca sul merito, ivi incluso l'accertamento delle presunte violazioni del GDPR da parte di Whatsapp.