1        Con la sua impugnazione, la WhatsApp Ireland Ltd (in prosieguo: la «WhatsApp») chiede l’annullamento dell’ordinanza del Tribunale dell’Unione europea del 7 dicembre 2022, WhatsApp Ireland/Comitato europeo per la protezione dei dati (T-709/21; in prosieguo: l’«ordinanza impugnata», EU:T:2022:783), con cui quest’ultimo ha respinto in quanto irricevibile il suo ricorso diretto all’annullamento della decisione vincolante 1/2021 del Comitato europeo per la protezione dei dati (in prosieguo: il «Comitato»), del 28 luglio 2021, relativa alla controversia tra le autorità di controllo interessate scaturita dal progetto di decisione riguardante la WhatsApp elaborato dalla Data Protection Commission (DPC) (Autorità di controllo in materia di protezione dei dati, Irlanda) (in prosieguo: l’«autorità di controllo irlandese») (in prosieguo: «la decisione impugnata»).

 Contesto normativo

2        I considerando 10 e 143 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»), enunciano quanto segue:

«(10)      Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (…)

(…)

(143)      Qualsiasi persona fisica o giuridica ha diritto di proporre un ricorso per l’annullamento delle decisioni del [Comitato] dinanzi alla Corte di giustizia, alle condizioni previste all’articolo 263 TFUE. In quanto destinatari di tali decisioni, le autorità di controllo interessate che intendono impugnarle, devono proporre ricorso entro due mesi dalla loro notifica, conformemente all’articolo 263 TFUE. Ove le decisioni del [Comitato] si riferiscano direttamente e individualmente a un titolare del trattamento, a un responsabile del trattamento o al reclamante, quest’ultimo può proporre un ricorso per l’annullamento di tali decisioni e dovrebbe farlo entro due mesi dalla loro pubblicazione sul sito web del [Comitato], conformemente all’articolo 263 TFUE. Fatto salvo tale diritto ai sensi dell’articolo 263 TFUE, ogni persona fisica o giuridica dovrebbe poter proporre un ricorso giurisdizionale effettivo dinanzi alle competenti autorità giurisdizionali nazionali contro una decisione dell’autorità di controllo che produce effetti giuridici nei confronti di detta persona. Tale decisione riguarda in particolare l’esercizio di poteri di indagine, correttivi e autorizzativi da parte dell’autorità di controllo o l’archiviazione o il rigetto dei reclami. Tuttavia, tale diritto a un ricorso giurisdizionale effettivo non comprende altri provvedimenti adottati dalle autorità di controllo che non sono giuridicamente vincolanti, come pareri o consulenza forniti dall’autorità di controllo. Le azioni contro l’autorità di controllo dovrebbero essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita e dovrebbero essere effettuate in conformità del diritto processuale dello Stato membro in questione. Tali autorità giurisdizionali dovrebbero esercitare i loro pieni poteri giurisdizionali, ivi compreso quello di esaminare tutte le questioni di fatto e di diritto che abbiano rilevanza per la controversia dinanzi a esse pendente.

Se un reclamo è stato rigettato o archiviato da un’autorità di controllo, il reclamante può proporre ricorso giurisdizionale nello stesso Stato membro. Nell’ambito dei ricorsi giurisdizionali relativi all’applicazione del presente regolamento, le autorità giurisdizionali nazionali che ritengano necessario, ai fini di una sentenza, disporre di una decisione in merito, possono, o nel caso di cui all’articolo 267 TFUE, devono chiedere alla Corte di giustizia di pronunciarsi, in via pregiudiziale, sull’interpretazione del diritto dell’Unione, compreso il presente regolamento. Inoltre, se una decisione dell’autorità di controllo che attua una decisione del [Comitato] è impugnata dinanzi a un’autorità giurisdizionale nazionale ed è in questione la validità della decisione del [Comitato], tale autorità giurisdizionale nazionale non ha il potere di invalidare la decisione del [Comitato], ma deve deferire la questione di validità alla Corte di giustizia ai sensi dell’articolo 267 TFUE quale interpretato dalla Corte di giustizia, ove ritenga la decisione non valida. Tuttavia, un’autorità giurisdizionale nazionale non può deferire una questione relativa alla validità di una decisione del comitato su richiesta di una persona fisica o giuridica che ha avuto la possibilità di proporre un ricorso per l’annullamento di tale decisione, specialmente se direttamente e individualmente interessata da siffatta decisione, ma non ha agito in tal senso entro il termine stabilito dall’articolo 263 TFUE».

3        L’articolo 5 del RGPD, rubricato «Principi applicabili al trattamento di dati personali», al paragrafo 1, lettera a), stabilisce che i dati personali debbano essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. L’articolo 5, paragrafo 1, lettera c), di quest’ultimo prevede che questi dati debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

4        L’articolo 6 del RGPD, rubricato «Liceità del trattamento», enuncia le condizioni di liceità del trattamento dei dati personali. Il paragrafo 1 di tale articolo 6 così dispone:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)      il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)      il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)      il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)      il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)      il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti».

5        L’articolo 12 del RGPD contiene, dal canto suo, disposizioni relative alla trasparenza delle informazioni, delle comunicazioni nonché delle modalità per l’esercizio dei diritti dell’interessato. Il paragrafo 1 di tale articolo 12 prevede quanto segue:

«Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato».

6        Ai sensi dell’articolo 13 del RGPD, rubricato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato»:

«1.      In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a)      l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b)      i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c)      le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d)      qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e)      gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)      ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione [europea] o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.

2.      In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a)      il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b)      l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c)      qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d)      il diritto di proporre reclamo a un’autorità di controllo;

e)      se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f)      l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

(…)».

7        L’articolo 14 del RGPD concerne le informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato.

8        A termini dell’articolo 55, paragrafo 1, del RGPD, ogni autorità di controllo è competente ad eseguire i compiti assegnati e ad esercitare i poteri a essa conferiti a norma del RGPD nel territorio del rispettivo Stato membro.

9        L’articolo 56 del RGPD, rubricato «Competenza dell’autorità di controllo capofila», prevede quanto segue:

«1.      Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60.

2.      In deroga al paragrafo 1, ogni autorità di controllo è competente per la gestione dei reclami a essa proposti o di eventuali violazioni del presente regolamento se l’oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.

3.      Nei casi indicati al paragrafo 2 del presente articolo, l’autorità di controllo informa senza ritardo l’autorità di controllo capofila in merito alla questione. Entro un termine di tre settimane da quando è stata informata, l’autorità di controllo capofila decide se intende o meno trattare il caso secondo la procedura di cui all’articolo 60, tenendo conto dell’esistenza o meno di uno stabilimento del titolare del trattamento o responsabile del trattamento nello Stato membro dell’autorità di controllo che l’ha informata.

4.      Qualora l’autorità di controllo capofila decida di trattare il caso, si applica la procedura di cui all’articolo 60. L’autorità di controllo che ha informato l’autorità di controllo capofila può presentare a quest’ultima un progetto di decisione. L’autorità di controllo capofila tiene nella massima considerazione tale progetto nella predisposizione del progetto di decisione di cui all’articolo 60, paragrafo 3

5.      Nel caso in cui l’autorità di controllo capofila decida di non trattarlo, l’autorità di controllo che ha informato l’autorità di controllo capofila tratta il caso conformemente agli articoli 61 e 62.

6.      L’autorità di controllo capofila è l’unico interlocutore del titolare del trattamento o del responsabile del trattamento in merito al trattamento transfrontaliero effettuato da tale titolare del trattamento o responsabile del trattamento».

10      L’articolo 57 del RGPD, rubricato «Compiti», al paragrafo 1, lettera h) dispone che, sul territorio del suo Stato membro, ciascuna autorità di controllo ha il compito di svolgere indagini sull’applicazione del RGPD.

11      I poteri di indagine di tale autorità sono elencati al paragrafo 1 dell’articolo 58 del RGPD, rubricato «Poteri». Il paragrafo 2 di tale articolo elenca i poteri correttivi di cui dispone tale autorità, tra cui quelli annoverati alle lettere b), d) e i) di quest’ultimo, che consistono, rispettivamente, nel rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del RGPD, nell’ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine, e nell’infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83 del RGPD.

12      L’articolo 60 del RGPD, rubricato «Cooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», così dispone:

«1.      L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili.

2.      L’autorità di controllo capofila può chiedere in qualunque momento alle altre autorità di controllo interessate di fornire assistenza reciproca a norma dell’articolo 61 e può condurre operazioni congiunte a norma dell’articolo 62, in particolare per lo svolgimento di indagini o il controllo dell’attuazione di una misura riguardante un titolare del trattamento o responsabile del trattamento stabilito in un altro Stato membro.

3.      L’autorità di controllo capofila comunica senza ritardo le informazioni utili sulla questione alle altre autorità di controllo interessate. Trasmette senza indugio alle altre autorità di controllo interessate un progetto di decisione per ottenere il loro parere e tiene debitamente conto delle loro opinioni.

4.      Se una delle altre autorità di controllo interessate solleva un’obiezione pertinente e motivata al progetto di decisione entro un termine di quattro settimane dopo essere stata consultata conformemente al paragrafo 3 del presente articolo, l’autorità di controllo capofila, ove non dia seguito all’obiezione pertinente e motivata o ritenga l’obiezione non pertinente o non motivata, sottopone la questione al meccanismo di coerenza di cui all’articolo 63.

5.      L’autorità di controllo capofila, qualora intenda dare seguito all’obiezione pertinente e motivata sollevata, trasmette un progetto di decisione riveduto alle altre autorità di controllo interessate per ottenere il loro parere. Tale progetto di decisione riveduto è soggetto alla procedura di cui al paragrafo 4 entro un termine di due settimane.

6.      Se nessuna delle altre autorità di controllo interessate ha sollevato obiezioni al progetto di decisione trasmesso dall’autorità di controllo capofila entro il termine di cui ai paragrafi 4 e 5, si deve considerare che l’autorità di controllo capofila e le autorità di controllo interessate concordano su tale progetto di decisione e sono da esso vincolate.

7.      L’autorità di controllo capofila adotta la decisione e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o responsabile del trattamento, a seconda dei casi, e informa le altre autorità di controllo interessate e il comitato la decisione in questione, compresa una sintesi dei fatti e delle motivazioni pertinenti. L’autorità di controllo cui è stato proposto un reclamo informa il reclamante riguardo alla decisione.

8.      In deroga al paragrafo 7, in caso di archiviazione o di rigetto di un reclamo, l’autorità di controllo cui è stato proposto il reclamo adotta la decisione e la notifica al reclamante e ne informa il titolare del trattamento.

9.      Se l’autorità di controllo capofila e le autorità di controllo interessate convengono di archiviare o rigettare parti di un reclamo e di intervenire su altre parti di tale reclamo, è adottata una decisione separata per ciascuna di tali parti della questione. L’autorità di controllo capofila adotta la decisione per la parte riguardante azioni in relazione al titolare del trattamento e la notifica allo stabilimento principale o allo stabilimento unico del titolare del trattamento o del responsabile del trattamento sul territorio del suo Stato membro e ne informa il reclamante, mentre l’autorità di controllo del reclamante adotta la decisione per la parte riguardante l’archiviazione o il rigetto di detto reclamo, la notifica a detto reclamante e ne informa il titolare del trattamento o il responsabile del trattamento.

10.      Dopo aver ricevuto la notifica della decisione dell’autorità di controllo capofila a norma dei paragrafi 7 e 9, il titolare del trattamento o responsabile del trattamento adotta le misure necessarie per garantire la conformità alla decisione per quanto riguarda le attività di trattamento nel contesto di tutti i suoi stabilimenti nell’Unione. Il titolare del trattamento o responsabile del trattamento notifica le misure adottate per conformarsi alla decisione all’autorità di controllo capofila, che ne informa le altre autorità di controllo interessate.

11.      Qualora, in circostanze eccezionali, un’autorità di controllo interessata abbia motivo di ritenere che urga intervenire per tutelare gli interessi degli interessati, si applica la procedura d’urgenza di cui all’articolo 66.

12.      L’autorità di controllo capofila e le altre autorità di controllo interessate si scambiano reciprocamente con mezzi elettronici, usando un modulo standard, le informazioni richieste a norma del presente articolo».

13      Ai sensi dell’articolo 63 del RGPD, rubricato «Meccanismo di coerenza»:

«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza (…)».

14      L’articolo 65 del RGPD, rubricato «Composizione delle controversie da parte del [Comitato]», stabilisce quanto segue:

«1.      Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato adotta una decisione vincolante nei seguenti casi:

a)      se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;

b)      se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;

c)      se un’autorità di controllo competente non richiede il parere del comitato nei casi di cui all’articolo 64, paragrafo 1, o non si conforma al parere del comitato emesso a norma dell’articolo 64. In tal caso qualsiasi autorità di controllo interessata o la Commissione può comunicare la questione al [Comitato].

2.      La decisione di cui al paragrafo 1 è adottata entro un mese dal deferimento della questione da parte di una maggioranza di due terzi dei membri del [Comitato]. Tale termine può essere prorogato di un mese, in considerazione della complessità della questione. La decisione di cui al paragrafo 1 è motivata e trasmessa all’autorità di controllo capofila e a tutte le autorità di controllo interessate ed è per esse vincolante.

3.      Qualora non sia stato in grado di adottare una decisione entro i termini di cui al paragrafo 2, il [Comitato] adotta la sua decisione entro due settimane dalla scadenza del secondo mese di cui al paragrafo 2, a maggioranza semplice dei membri del comitato. In caso di parità di voti dei membri del [Comitato], prevale il voto del presidente.

4.      Le autorità di controllo interessate non adottano una decisione sulla questione sottoposta al [Comitato] a norma del paragrafo 1 entro i termini di cui ai paragrafi 2 e 3.

5.      Il presidente del comitato notifica senza ingiustificato ritardo alle autorità di controllo interessate la decisione di cui al paragrafo 1 e ne informa la Commissione. La decisione è pubblicata senza ritardo sul sito web del [Comitato] dopo che l’autorità di controllo ha notificato la decisione definitiva di cui al paragrafo 6.

6.      L’autorità di controllo capofila o, se del caso, l’autorità di controllo a cui è stato proposto il reclamo adotta la sua decisione definitiva in base alla decisione di cui al paragrafo 1 del presente articolo senza ingiustificato ritardo e al più tardi entro un mese dalla notifica della decisione da parte del [Comitato]. L’autorità di controllo capofila o, se del caso, l’autorità di controllo a cui è stato proposto il reclamo, informa il [Comitato] circa la data in cui la decisione definitiva è notificata rispettivamente al titolare del trattamento o al responsabile del trattamento e all’interessato. La decisione definitiva delle autorità di controllo interessate è adottata ai sensi dell’articolo 60, paragrafi 7, 8 e 9. La decisione finale fa riferimento alla decisione di cui al paragrafo 1 del presente articolo e precisa che la decisione di cui a tale paragrafo sarà pubblicata sul sito web del [Comitato] conformemente al paragrafo 5 del presente articolo. La decisione finale deve accludere la decisione di cui al paragrafo 1 del presente articolo».

15      L’articolo 68 del RGPD, rubricato «[Comitato]», prevede, al paragrafo 1, che il comitato sia istituito quale organismo dell’Unione e sia dotato di personalità giuridica.

16      L’articolo 70 del RGPD, rubricato «Compiti del [Comitato]», prevede, al paragrafo 1, lettera a), che il Comitato garantisca la coerente applicazione del RGPD. A tal fine, il Comitato, di propria iniziativa o, se del caso, su richiesta della Commissione, ha in particolare il compito di monitorare e assicurare la corretta applicazione del RGPD nei casi previsti agli articoli 64 e 65 del medesimo, fatti salvi i compiti delle autorità nazionali di controllo.

17      L’articolo 78 del RGPD, rubricato «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», così dispone:

«1.      Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2.      Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.

3.      Le azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4.      Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del [Comitato] nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale».

18      L’articolo 83 del RGPD enuncia le condizioni generali per infliggere sanzioni amministrative pecuniarie.

 Fatti e decisione controversa

19      Gli antecedenti della controversia sono esposti ai punti da 2 a 12 dell’ordinanza impugnata e, ai fini del presente procedimento, possono essere riassunti come segue.

20      A seguito dell’entrata in vigore del RGPD, l’autorità di controllo irlandese ha ricevuto vari reclami da parte di utilizzatori e non utilizzatori del servizio di messaggeria «WhatsApp» in ordine al trattamento di dati personali da parte della WhatsApp. Il Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (Commissario federale per la protezione dei dati e la libertà d’informazione, Germania) ha peraltro richiesto l’assistenza dell’autorità di controllo irlandese relativamente al rispetto, da parte della WhatsApp, degli obblighi di trasparenza incombenti ai titolari del trattamento dei dati personali con riguardo all’eventuale condivisione dei dati medesimi con altre società del gruppo Facebook, rinominato «Meta» nel settembre 2021.

21      Nel dicembre 2018 l’autorità di controllo irlandese avviava d’ufficio un’indagine generale sul rispetto da parte della WhatsApp degli obblighi di trasparenza e di informazione nei confronti dei singoli enunciati agli articoli da 12 a 14 del RGPD, salvo restando il seguito che essa avrebbe potuto dare alle singole segnalazioni ricevute. L’autorità di controllo irlandese ha agito, in tal senso, quale autorità di controllo capofila, a termini dell’articolo 56, paragrafo 1, del RGPD, considerato che la WhatsApp aveva il proprio stabilimento principale in Irlanda nella sua qualità di titolare del trattamento per le operazioni del servizio di messaggeria «WhatsApp» in Europa, essendo tale trattamento di natura transfrontaliera.

22      Successivamente alla fase di indagine conclusasi nel settembre 2019 con la presentazione di una relazione finale da parte dell’investigatore, nel dicembre 2020, in esito a fasi procedurali intermedie in cui la WhatsApp aveva presentato le sue osservazioni, l’autorità di controllo irlandese ha sottoposto un progetto di decisione a tutte le altre autorità di controllo interessate dal dossier, al fine di ottenere il loro parere, conformemente all’articolo 60, paragrafo 3, del RGPD.

23      Nel gennaio 2021, otto di tali altre autorità di controllo hanno formulato obiezioni su alcuni aspetti di tale progetto di decisione. L’autorità di controllo irlandese ha risposto collettivamente a tali obiezioni, proponendo soluzioni di compromesso. Anche se, a seguito di tale risposta, una di tali otto autorità di controllo ha ritirato una delle sue obiezioni, l’autorità di controllo irlandese ha constatato che non risultava un consenso in merito ad altri aspetti che erano stati oggetto di obiezioni. Essa ha deciso di respingere tutte le obiezioni ricevute e di adire il Comitato affinché risolvesse la controversia tra le autorità di controllo interessate riguardo agli aspetti coperti da tali obiezioni, conformemente alle disposizioni di cui all’articolo 60, paragrafo 4, ed all’articolo 65, paragrafo 1, lettera a), del RGPD.

24      Nel maggio 2021 l’autorità di controllo irlandese ha ricevuto le osservazioni scritte della WhatsApp relative alle questioni discusse tra le autorità di controllo interessate, dopo che le aveva trasmesso tutti i documenti scambiati al riguardo, e ha provveduto essa stessa a trasmettere tali osservazioni al Comitato affinché ne prendesse conoscenza nell’ambito della procedura di composizione delle controversie, che è stata avviata dalla medesima autorità nel giugno 2021.

25      Il 28 luglio 2021 il Comitato ha adottato la decisione controversa, sulla base dell’articolo 65, paragrafo 2, del RGPD.

26      Dopo che l’autorità di controllo irlandese ha ricevuto la decisione controversa e ha raccolto le osservazioni della WhatsApp sulle sanzioni pecuniarie che, in definitiva, si prevedeva d’infliggerle a seguito di tale decisione, tale autorità ha adottato, il 20 agosto 2021, conformemente all’articolo 65, paragrafo 6, del RGPD, una decisione finale indirizzata alla WhatsApp (in prosieguo: la «decisione finale»).

27      Nella decisione finale, l’autorità di controllo irlandese ha constatato che la WhatsApp aveva violato il principio e gli obblighi di trasparenza sanciti all’articolo 5, paragrafo 1, lettera a), all’articolo 12, paragrafo 1, all’articolo 13, paragrafo 1, lettere da c) a f), all’articolo 13, paragrafo 2, lettere a), c) ed e), nonché all’articolo 14 del RGPD. Per contro, tale autorità ha indicato che la WhatsApp si era conformata agli obblighi enunciati all’articolo 13, paragrafo 1, lettere a) e b), nonché all’articolo 13, paragrafo 2, lettere b) e d), del RGPD. A titolo di misure correttive adottate ai sensi dell’articolo 58, paragrafo 2, lettere b), d) e i), del RGPD, l’autorità ha rivolto alla WhatsApp un avvertimento, imponendole l’attuazione di una serie di azioni, elencate in un allegato, volte a farla conformare, entro un termine di tre mesi, alle disposizioni del RGPD violate, nonché quattro sanzioni amministrative pecuniarie relative alle infrazioni all’articolo 5, paragrafo 1, lettera a), nonché agli articoli da 12 a 14 del RGPD accertate, per un totale complessivo di EUR 225 milioni.

28      Inoltre, nella decisione finale, l’autorità di controllo irlandese ha identificato gli aspetti per i quali la decisione controversa le imponeva la revisione delle valutazioni esposte nel suo progetto di decisione. Essa ha deciso, in ordine a tali aspetti, di riprodurre letteralmente, in riquadri ombreggiati, le motivazioni accolte dal Comitato nella decisione impugnata, traendone semplicemente, di volta in volta, le conseguenze in un punto conclusivo.

29      Ai sensi dell’articolo 65, paragrafo 6, del RGPD, la decisione controversa è stata allegata alla decisione finale.

30      Nella decisione controversa, il Comitato ha preso posizione sulle questioni che erano state oggetto di obiezioni pertinenti e motivate, ai sensi dell’articolo 65, paragrafo 1, lettera a), del RGPD, vale a dire:

–        la sussistenza di una violazione, da parte della WhatsApp, degli obblighi di informazione sanciti dall’articolo 13, paragrafo 1, lettera d), del RGPD, riguardo a talune informazioni da fornire agli interessati in caso di raccolta presso gli stessi di dati personali. Una siffatta violazione non era stata identificata dall’autorità di controllo irlandese nel suo progetto di decisione. Il Comitato ha constatato, per contro, che tale disposizione era stata violata dalla WhatsApp;

–        la qualificazione come dati personali degli elementi risultanti da una procedura di compressione con perdita, comunemente denominata «lossy hashing» ed applicata ai dati relativi ai contatti che non sono utilizzatori di WhatsApp contenuti nelle rubriche dei terminali degli utilizzatori di WhatsApp. L’autorità di controllo irlandese non aveva qualificato detti elementi come tali nel proprio progetto di decisione. Il Comitato ha ritenuto, per contro, che essi costituissero sempre di dati personali. Tale aspetto comportava, secondo il Comitato, un possibile impatto sull’eventuale accertamento di una violazione, da parte della WhatsApp, dell’articolo 5, paragrafo 1, lettera c), e dell’articolo 6, paragrafo 1, del regolamento RGPD, nonché un impatto sulla portata della violazione, da parte della WhatsApp, dell’articolo 14 del RGPD e sull’entità della sanzione pecuniaria incorsa a tali titoli;

–        la sussistenza di una violazione, da parte della WhatsApp, del principio di trasparenza sancito all’articolo 5, paragrafo 1, lettera a), del RGPD, che l’autorità di controllo irlandese non aveva identificato nel proprio progetto di decisione. Il Comitato ha ritenuto, per contro, che questo principio fosse stato violato dalla WhatsApp;

–        l’accertamento di una violazione, da parte della WhatsApp, dell’articolo 13, paragrafo 2, lettera e), del RGPD, relativo a talune informazioni da fornire agli interessati in caso di raccolta presso gli stessi di dati personali, che l’autorità di controllo irlandese aveva ritenuto di non poter effettuare, non avendo l’investigatore preso posizione sulla questione nell’ambito dell’indagine, e relativamente alla quale essa aveva ritenuto di poter emettere solo una raccomandazione. Il Comitato ha ritenuto, per contro, che l’indagine riguardasse l’insieme delle disposizioni di cui all’articolo 13 del RGPD e che si dovesse constatare la violazione della menzionata disposizione;

–        la sussistenza di una violazione, da parte della WhatsApp, dell’articolo 6, paragrafo 1, del RGPD, relativo alle condizioni di liceità del trattamento dei dati personali, in ordine alla quale l’autorità di controllo irlandese non si era pronunciata. Il Comitato ha ritenuto che, per ragioni procedurali, non fosse in concreto possibile pronunciarsi al riguardo e constatare una tale violazione;

–        l’ampliamento dei motivi inerenti all’inosservanza, da parte della WhatsApp, degli obblighi d’informazione stabiliti all’articolo 14 del RGPD in ordine alle informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato, in ragione dell’analisi relativa al secondo trattino del presente punto. Il Comitato ha confermato l’impatto che tale ampliamento doveva avere sulle misure correttive della condotta e sulle sanzioni inflitte alla WhatsApp;

–        la sussistenza di una violazione, da parte della WhatsApp, del principio, sancito dall’articolo 5, paragrafo 1, lettera c), del RGPD, di raccogliere unicamente dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del loro trattamento, in ordine alla quale l’autorità di controllo irlandese non si era pronunciata. Il Comitato ha ritenuto che tale violazione non risultasse dimostrata in base al fascicolo, tenuto conto, in particolare, dell’ambito di indagine fatto proprio nella procedura a carico della WhatsApp;

–        il termine, che l’autorità di controllo irlandese ha fissato in sei mesi, entro il quale, a titolo di misure correttive, la WhatsApp doveva conformarsi ai requisiti del RGPD da essa violati. Il Comitato ha ridotto tale termine a tre mesi;

–        a titolo di misure correttive, le modalità d’informazione dei non utilizzatori di WhatsApp riguardo al trattamento dei loro dati personali da parte della WhatsApp, avendo il Comitato confermato la valutazione formulata al riguardo dall’autorità di controllo irlandese nel proprio progetto di decisione;

–        a titolo di misure correttive, l’indicazione di motivi ulteriori riguardo all’inosservanza, da parte della WhatsApp, degli obblighi di cui all’articolo 14 del RGPD, avendo il Comitato affermato che tale indicazione era necessaria per garantire che la WhatsApp adottasse le misure correttive appropriate al riguardo;

–        alla luce dell’articolo 83 del RGPD, relativo alle «Condizioni generali per infliggere sanzioni amministrative pecuniarie», i criteri inerenti al quantum delle sanzioni pecuniarie da infliggere alla WhatsApp. Il Comitato ha ritenuto che l’autorità di controllo irlandese avesse erroneamente interpretato il criterio relativo al fatturato annuo mondiale dell’impresa interessata, che essa avesse correttamente interpretato la nozione di «esercizio precedente», che essa avesse erroneamente interpretato la norma in virtù della quale, in caso di violazione di più disposizioni del RGPD nell’ambito dello stesso trattamento o di trattamenti collegati, l’importo totale della sanzione pecuniaria amministrativa non può eccedere quello previsto per la violazione più grave, e che essa avesse interpretato correttamente taluni criteri di determinazione della sanzione pecuniaria menzionati all’articolo 83, paragrafi 1 e 2, del RGPD, vale a dire il carattere doloso o colposo delle violazioni e la gravità delle medesime, ma avesse erroneamente interpretato altri di tali criteri, quali la presa in considerazione del fatturato per quantificare la sanzione indipendentemente dal calcolo del suo massimale e, più in generale, la necessità che la sanzione sia effettiva, proporzionata e dissuasiva, e

–        l’entità delle sanzioni pecuniarie, avendo il Comitato ritenuto che, a fronte dell’errata interpretazione, da parte dell’autorità di controllo irlandese, di taluni criteri inerenti al quantum della sanzione e delle ulteriori violazioni da contestare alla WhatsApp, gli importi delle sanzioni previste da tale autorità dovessero essere aumentati ad un livello complessivo compreso tra EUR 30 e 50 milioni.

31      La WhatsApp ha impugnato la decisione finale dinanzi a un organo giurisdizionale irlandese.

 Procedimento dinanzi al Tribunale e ordinanza impugnata

32      Con atto introduttivo depositato presso la cancelleria del Tribunale il 1º novembre 2021, la WhatsApp ha proposto un ricorso ai sensi dell’articolo 263 TFUE, diretto all’annullamento della decisione controversa.

33      Con l’ordinanza impugnata, adottata in applicazione dell’articolo 129 del suo regolamento di procedura, il Tribunale ha respinto detto ricorso in quanto irricevibile.

34      Pur rilevando, ai punti 36, 37 e 40 dell’ordinanza impugnata, che la decisione controversa costituiva un atto di un organo dell’Unione, destinato a produrre effetti giuridici nei confronti di terzi, e che la WhatsApp era individualmente interessata da tale decisione, il Tribunale ha nondimeno ritenuto, al punto 42 dell’ordinanza impugnata, che detta decisione fosse un atto preparatorio o intermedio in un procedimento destinato a concludersi con l’adozione, da parte dell’autorità di controllo nazionale, di una decisione finale. Orbene, il Tribunale ha considerato, ai punti 43 e 44 dell’ordinanza impugnata, che un atto di questo tipo costituisse un «atto impugnabile» solo qualora producesse effetti giuridici autonomi rispetto ai quali non potesse essere garantita una tutela giurisdizionale sufficiente nell’ambito di un ricorso avverso la decisione conclusiva del procedimento di cui trattasi.

35      A tal riguardo, il Tribunale ha ritenuto, al punto 45 dell’ordinanza impugnata, che, nel caso di specie, una tutela giurisdizionale effettiva a fronte della decisione controversa fosse garantita mediante il rimedio giurisdizionale esperibile dalla WhatsApp, dinanzi al giudice nazionale, avverso la decisione finale, essendo tale giudice nazionale abilitato, in forza dell’articolo 267 TFUE, a sottoporre alla Corte un rinvio pregiudiziale per accertamento della validità della decisione controversa. Il Tribunale ha altresì precisato, al punto 46 dell’ordinanza impugnata, che la decisione controversa non produceva, nei confronti della WhatsApp, effetti giuridici autonomi rispetto alla decisione finale adottata dall’autorità di controllo irlandese.

36      Inoltre, il Tribunale ha considerato, al punto 49 dell’ordinanza impugnata, che il fatto che un tale atto intermedio esprimesse una posizione definitiva di un’autorità, che dovrà essere ripresa nella decisione finale che conclude il procedimento di cui trattasi, non significava necessariamente che tale atto modificasse esso stesso in modo qualificato la situazione giuridica della parte ricorrente.

37      Peraltro, il Tribunale ha rilevato, al punto 50 dell’ordinanza impugnata, che la WhatsApp non era direttamente interessata dalla decisione controversa. Al punto 52 di tale ordinanza, il Tribunale ha osservato che tale decisione non aveva carattere opponibile che le avrebbe consentito, senza ulteriori fasi del procedimento, di essere fonte di obblighi a carico della WhatsApp o, eventualmente, di diritti per altri soggetti, di modo che essa non produceva altresì menzionato, al punto 53 dell’ordinanza, che la decisione controversa, pur essendo vincolante per l’autorità di controllo irlandese riguardo agli aspetti su cui essa verteva, le lasciava, nondimeno, un margine di discrezionalità in ordine al contenuto della decisione finale.

38      Quindi, ai punti 61 e 62 della medesima ordinanza, il Tribunale ha dichiarato che non ricorreva nessuna delle condizioni richieste per poter considerare la WhatsApp direttamente interessata dal provvedimento che costituisce l’oggetto del suo ricorso e che tale ricorso era, di conseguenza, irricevibile.

39      Infine, il Tribunale ha dichiarato, ai punti da 66 a 70 dell’ordinanza impugnata, che il risultato della sua analisi si inseriva nella logica del sistema dei rimedi giurisdizionali istituito dai Trattati. Il Tribunale ha ritenuto, in particolare, che l’ammissione della ricevibilità del ricorso della WhatsApp avverso la decisione controversa presentasse un rischio di procedure giurisdizionali parallele dinanzi al giudice dell’Unione e al giudice nazionale, essendo quest’ultimo, inoltre, legittimato ad adire la Corte con un rinvio pregiudiziale per accertamento della validità di tale decisione.

 Conclusioni delle parti

40      Con la sua impugnazione, la WhatsApp chiede che la Corte voglia:

–        annullare l’ordinanza impugnata;

–        dichiarare ricevibile il ricorso in primo grado;

–        rinviare la causa dinanzi al Tribunale affinché si pronunci sulla controversia, e

–        condannare il Comitato alle spese del procedimento d’impugnazione.

41      Il Comitato, sostenuto nelle sue conclusioni dalla Repubblica federale di Germania, chiede che la Corte voglia:

–        respingere l’impugnazione;

–        condannare la WhatsApp alle spese, e

–        in subordine, rinviare la causa dinanzi al Tribunale affinché si pronunci.

 Sull’impugnazione

 Sull’asserita tardività del ricorso in primo grado

 Argomenti delle parti

42      Il Comitato fa valere che il ricorso in primo grado è stato proposto tardivamente. A tal riguardo, esso adduce che la WhatsApp è venuta a conoscenza delle parti pertinenti della decisione controversa in una data anteriore alla sua pubblicazione sul suo sito Internet e, più precisamente, il 13 agosto 2021. Di conseguenza, indipendentemente dalla data di pubblicazione della decisione controversa sul sito Internet del Comitato, la quale non può peraltro essere assimilata a una pubblicazione nella Gazzetta ufficiale dell’Unione europea, il termine di ricorso avrebbe iniziato a decorrere dal 13 agosto 2021 e sarebbe scaduto il 25 ottobre successivo. Poiché la WhatsApp ha proposto il suo ricorso di annullamento il 1º novembre 2021, quest’ultimo sarebbe tardivo.

43      La WhatsApp sostiene che l’allegazione del Comitato in ordine al carattere tardivo del suo ricorso è errata. Infatti, qualora la parte ricorrente non sia il destinatario di un atto, sarebbe la data di pubblicazione di tale atto a determinare il dies a quo del termine di ricorso. La data in cui si è avuta conoscenza dell’atto costituirebbe solo un criterio sussidiario a tal riguardo. La modalità di pubblicazione di detto atto sarebbe, dal canto suo, priva di pertinenza. Nel caso di specie, la pubblicazione della decisione controversa sarebbe stata comunque effettuata sul sito Internet del Comitato il 2 settembre 2021 e il ricorso sarebbe stato proposto il 1º novembre 2021, nel rispetto del termine previsto all’articolo 263, sesto comma, TFUE.

 Giudizio della Corte

44      Ai sensi dell’articolo 263, sesto comma, TFUE, i ricorsi previsti da detto articolo devono essere proposti nel termine di due mesi a decorrere, secondo i casi, dalla pubblicazione dell’atto, dalla sua notificazione al ricorrente ovvero, in mancanza, dal giorno in cui il ricorrente ne ha avuto conoscenza.

45      Dalla formulazione di tale disposizione, in particolare dalle espressioni «secondo i casi» e «in mancanza», risulta chiaramente che il dies a quo del termine di ricorso è determinato in funzione della situazione di cui trattasi e che i due primi criteri idonei a far decorrere tale termine seguono un ordine gerarchico rispetto al terzo. Pertanto, il termine per proporre ricorso di annullamento inizia a decorrere, in via principale, dalla pubblicazione dell’atto o dalla notificazione di quest’ultimo al ricorrente. Tali due criteri principali sono collocati, nell’impianto sistematico di detta disposizione, su un piano di parità, nel senso che nessuno di questi due criteri è subordinato rispetto all’altro. Per contro, il criterio della data in cui si è avuta conoscenza dell’atto impugnato come dies a quo del termine di ricorso ha carattere subordinato rispetto a quello della pubblicazione o della notificazione del medesimo atto (v., in tal senso, sentenza del 26 settembre 2024, WEPA Hygieneprodukte e a./Commissione, C-795/21 P e C-796/21 P, EU:C:2024:807, punti da 61 a 63 e giurisprudenza citata).

46      Nel caso di specie, è pacifico che la decisione controversa non è stata notificata alla WhatsApp, in quanto il Comitato è tenuto a notificare una siffatta decisione solo alle autorità di controllo interessate, in forza dell’articolo 65, paragrafo 5, prima frase, del RGPD. Occorre pertanto stabilire se la decisione controversa sia stata oggetto di una «pubblicazione», ai sensi dell’articolo 263, sesto comma, TFUE.

47      Su questo punto, occorre precisare che la nozione di «pubblicazione» non riguarda esclusivamente la pubblicazione nella Gazzetta ufficiale dell’Unione europea e, al contrario, deve essere interpretata estensivamente. Rientra in tale nozione, fra l’altro, una pubblicazione sul sito Internet di un’istituzione, di un organo o di un organismo dell’Unione qualora essa sia prevista dal diritto derivato (v., in tal senso, sentenza del 26 settembre 2024, WEPA Hygieneprodukte e a./Commissione, C-795/21 P e C-796/21 P, EU:C:2024:807, punto 70 e giurisprudenza citata).

48      Nel caso di specie, essendo la pubblicazione della decisione controversa prevista dall’articolo 65, paragrafo 5, terza frase, del RGPD, occorre dunque prendere in considerazione la data in cui tale decisione è stata pubblicata sul sito Internet del Comitato, vale a dire il 2 settembre 2021. Tale interpretazione è corroborata dal considerando 143, terza frase, del RGPD, da cui risulta che il termine di ricorso deve essere calcolato a decorrere dalla pubblicazione della decisione in questione del Comitato sul sito Internet di quest’ultimo.

49      Poiché il ricorso è stato proposto il 1º novembre 2021, il termine previsto all’articolo 263, sesto comma, TFUE non è stato violato, cosicché occorre esaminare se i motivi d’impugnazione dedotti nell’ambito della presente impugnazione siano tali da rimettere in discussione la valutazione effettuata dal Tribunale nell’ordinanza impugnata.

 Sul primo motivo d’impugnazione, vertente su errori di diritto nell’interpretazione e nell’applicazione della nozione di atto impugnabile e della condizione secondo cui il ricorrente deve essere direttamente interessato dal provvedimento che costituisce l’oggetto del suo ricorso

 Sulla prima parte del primo motivo d’impugnazione

–       Argomenti delle parti

50      La WhatsApp sostiene che il Tribunale è incorso in un errore di diritto quando ha considerato che la decisione controversa non era un atto impugnabile.

51      La WhatsApp contesta, in particolare, la pertinenza del criterio adottato dal Tribunale, al punto 41 dell’ordinanza impugnata, al fine di stabilire se un atto sia impugnabile o meno. Il Tribunale avrebbe, così, a torto considerato necessario dimostrare che la decisione controversa produce effetti giuridici che modificano in modo qualificato la situazione giuridica della WhatsApp e che essa la riguarda direttamente. Orbene, sarebbe stato sufficiente concludere che tale decisione era destinata a produrre effetti giuridici nei confronti di uno o più terzi per constatare che essa costituiva un atto impugnabile, a causa del suo carattere definitivo. In ogni caso, detta decisione non costituirebbe un mero provvedimento intermedio, bensì esprimerebbe la posizione definitiva del Comitato.

52      Secondo la WhatsApp, il Tribunale ha applicato erroneamente la giurisprudenza relativa agli effetti giuridici degli atti intermedi utilizzando un criterio procedurale in base al quale un atto di questo tipo sarebbe impugnabile solo qualora un ricorso diretto contro l’atto finale non consentisse di garantire una tutela giurisdizionale sufficiente, e concludendo nel senso dell’assenza di effetti giuridici della decisione controversa.

53      In tale contesto, la WhatsApp fa riferimento alla sentenza dell’11 novembre 1981, IBM/Commissione (60/81, EU:C:1981:264, punti 10 e 11), da cui risulterebbe, in particolare, che un atto intermedio è impugnabile quando ha carattere definitivo ed è indipendente dalla decisione finale successivamente adottata. Si dovrebbe quindi esaminare la sostanza di tale atto e valutarne gli effetti in funzione di criteri obiettivi, come il contenuto di detto atto, tenendo conto, eventualmente, del contesto in cui quest’ultimo è stato adottato nonché dei poteri dell’istituzione da cui esso promana. La WhatsApp cita al riguardo, in particolare, la sentenza del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio (C-348/20 P, EU:C:2022:548, punto 63).

54      In particolare, un atto di questo tipo non sarebbe impugnabile con ricorso di annullamento solo se, da un lato, avesse carattere provvisorio nel merito, nel senso che il suo autore potrebbe modificare la sua posizione nella fase della decisione finale successivamente adottata e, dall’altro, se tale decisione finale fosse adottata da una stessa istituzione o da uno stesso organo dell’Unione. Non occorrerebbe quindi applicare la nozione di provvedimento intermedio a una decisione adottata da un’istituzione o da un organo dell’Unione, ed indirizzata a un’autorità nazionale, incaricata di attuare tale decisione nei confronti dei terzi.

55      Nel caso di specie, secondo la WhatsApp, il Tribunale si è limitato ad esaminare se, sul piano processuale, le fosse garantita una tutela giurisdizionale effettiva attraverso il ricorso dinanzi al giudice nazionale. Così, esso avrebbe erroneamente dichiarato irrilevante, ai punti 48 e 49 dell’ordinanza impugnata, l’argomento della WhatsApp secondo cui la decisione controversa esprimeva la posizione definitiva del suo autore. Procedendo in tal modo, il Tribunale avrebbe pertanto ritenuto a torto che la decisione controversa non producesse effetti giuridici e che quest’ultima non fosse indipendente dalla decisione finale, e, questo, senza aver valutato il contenuto e il contesto della decisione controversa, né la portata degli effetti giuridici autonomi di quest’ultima.

56      Per quanto riguarda il contenuto della decisione controversa, sarebbe pacifico che essa era destinata, in quanto decisione vincolante adottata sulla base dell’articolo 65 del RGPD, a produrre effetti giuridici nei confronti dei terzi e che essa rappresentava la posizione finale del Comitato sui punti che gli erano stati sottoposti. Tale posizione sarebbe stata di natura tale da modificare in modo qualificato la situazione giuridica della WhatsApp, in particolare in ragione della constatazione secondo cui i dati sottoposti ad una compressione con perdita erano dati personali, constatazione che vincolerebbe l’autorità di controllo irlandese.

57      Quanto al contesto della decisione controversa, dalla formulazione dell’articolo 65 del RGPD risulterebbe che essa costituisce una decisione vincolante. Il considerando 143 del RGPD indicherebbe che le decisioni adottate dal Comitato possono riguardare direttamente e individualmente, fra gli altri, un titolare del trattamento, il che presupporrebbe che tali decisioni siano idonee a produrre effetti giuridici esterni, al di là delle autorità di controllo nazionali che ne sono destinatarie. Ciò sarebbe corroborato tanto dalla ragion d’essere dell’effetto vincolante delle decisioni del Comitato, che consisterebbe nel garantire la corretta e coerente applicazione del RGPD, quanto dall’economia della procedura di cui all’articolo 65, paragrafo 1, del RGPD.

58      Per quanto riguarda gli effetti giuridici autonomi della decisione controversa, al di là di quelli prodotti nei confronti dei suoi destinatari, la WhatsApp rileva che tale decisione produce effetti di questo tipo nei suoi confronti, incidendo in particolare sul modo in cui essa intenderebbe conformarsi al RGPD in ordine ai dati sottoposti alla compressione con perdita, essendo questi ultimi qualificati come dati personali dal Comitato. La decisione controversa produrrebbe altresì effetti giuridici nei confronti dei giudici nazionali, i quali non sarebbero autorizzati a modificarla o ad annullarla.

59      Il Comitato si oppone a questi argomenti. Esso fa valere che il ricorso di annullamento è, in linea di principio, esperibile solo contro un provvedimento con il quale un’istituzione, un organo o un organismo dell’Unione fissa, al termine di un procedimento amministrativo, la propria posizione in modo definitivo. Non possono invece essere qualificati come «atti impugnabili» provvedimenti intermedi il cui obiettivo è di preparare una decisione finale, nei limiti in cui atti di questo tipo non mirano a produrre effetti giuridici vincolanti autonomi rispetto all’atto dell’Unione così preparato, confermato o eseguito. Inoltre, ad avviso del Comitato, un atto intermedio non è impugnabile laddove la sua illegittimità possa essere fatta valere a sostegno di un ricorso diretto avverso la decisione finale, della quale esso costituirebbe un atto di elaborazione.

60      Nel caso di specie, secondo il Comitato, la decisione controversa costituisce un atto intermedio, che fa parte di un procedimento decisionale indivisibile, condotto dall’autorità di controllo irlandese e sfociato in una decisione finale, adottata da tale autorità. In tale contesto, benché le valutazioni del Comitato siano vincolanti, esse non sarebbero tuttavia direttamente opponibili alla WhatsApp e non avrebbero, nei suoi confronti, alcun effetto giuridico autonomo rispetto alla decisione finale. Pertanto, la circostanza che la decisione controversa contenga una posizione definitiva del Comitato riguardo a taluni aspetti che devono figurare nella decisione finale non significherebbe che la decisione controversa, di per sé, modifichi in modo qualificato la situazione giuridica della WhatsApp. La decisione controversa e la decisione finale sarebbero, infatti, state adottate nell’ambito di un procedimento amministrativo unificato, composto da fasi interdipendenti a livello nazionale ed europeo, aventi lo stesso oggetto, e non a seguito di due procedimenti indipendenti che riguarderebbero questioni distinte.

61      A tale riguardo, il Comitato precisa che la procedura di composizione delle controversie ha per obiettivo di garantire la coerenza dell’attuazione del RGPD da parte delle autorità nazionali. Nel caso di specie, la decisione controversa non istituirebbe nuovi obblighi giuridici a carico della WhatsApp. Gli obblighi di quest’ultima sarebbero definiti dal RGPD stesso, e non dalla decisione controversa, ed applicati dall’autorità di controllo irlandese, e non dal Comitato. Del resto, tali obblighi sarebbero stati applicabili alla WhatsApp prima che fossero accertate le infrazioni di cui trattasi.

62      Quanto ai presunti effetti giuridici esterni della decisione controversa, il Comitato afferma che le sue interpretazioni hanno effetti vincolanti solo tra le parti, vale a dire tra le autorità di controllo interessate. La decisione controversa, oltre al fatto di non avere effetti giuridici diretti sulla WhatsApp, verterebbe su punti di applicazione circoscritti del RGPD, che sarebbero destinati ad essere inclusi e sviluppati nella decisione finale. Se è vero che le interpretazioni del RGPD accolte dal Comitato possono quindi essere dotate di un certo grado di autorità in casi successivi, vertenti su questioni giuridiche simili, esse non vincolerebbero, tuttavia, gli organi giurisdizionali nazionali, i quali dovrebbero, in caso di dubbio, adire la Corte in via pregiudiziale.

63      La Repubblica federale di Germania, intervenuta a sostegno delle conclusioni del Comitato, fa valere che il meccanismo di coerenza previsto dal RGPD, ivi compresa la procedura di composizione delle controversie, è puramente interno e ha il solo scopo di pervenire a un arbitrato, in caso di pareri divergenti fra autorità di controllo. In particolare, dalla terza frase dell’articolo 65, paragrafo 2, del RGPD risulterebbe che una misura adottata dal Comitato in tale contesto produrrebbe un effetto giuridicamente vincolante unicamente nei confronti delle autorità di controllo nazionali. Solo la decisione finale sarebbe vincolante per il titolare del trattamento o per il responsabile del trattamento interessato.

–       Giudizio della Corte

64      La prima parte del primo motivo d’impugnazione verte sulla questione se il Tribunale sia incorso in un errore di diritto quando ha dichiarato, ai punti da 41 a 49 dell’ordinanza impugnata, che la decisione controversa non costituiva un atto impugnabile, ai sensi dell’articolo 263, primo comma, TFUE.

65      In forza di tale disposizione la Corte esercita, fra l’altro, un «controllo di legittimità sugli atti degli organi o organismi dell’Unione destinati a produrre effetti giuridici nei confronti di terzi».

66      Secondo una giurisprudenza costante, il ricorso di annullamento istituito dall’articolo 263 TFUE è esperibile per tutte le disposizioni adottate dalle istituzioni, organi o organismi dell’Unione, qualunque sia la loro forma, destinate a produrre effetti giuridici vincolanti (v., in tal senso, sentenza del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio, C-348/20 P, EU:C:2022:548, punto 62 e giurisprudenza citata).

67      Per accertare se un atto produca simili effetti e possa, pertanto, essere oggetto di un ricorso di annullamento ai sensi dell’articolo 263 TFUE, occorre riferirsi alla sua sostanza e valutarne gli effetti in funzione di criteri obiettivi, come il contenuto di detto atto, tenendo conto eventualmente del contesto in cui quest’ultimo è stato adottato e dei poteri dell’istituzione, dell’organo o dell’organismo da cui esso promana (v., in tal senso, sentenza del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio, C-348/20 P, EU:C:2022:548, punto 63 e giurisprudenza citata).

68      Sotto tale profilo, come rilevato dall’avvocata generale ai paragrafi 79 e 121 delle sue conclusioni, alla luce dell’articolo 263, primo comma, TFUE, il terzo nei confronti del quale l’atto in questione produce effetti giuridici non deve necessariamente essere la parte ricorrente. Infatti, riveste la qualità di terzo qualsiasi persona fisica o giuridica distinta dal soggetto da cui tale atto promana. Pertanto, al fine di stabilire se detto atto produca questo tipo di effetti, non è necessario verificare se questi ultimi siano idonei a incidere sulla situazione giuridica della parte ricorrente, poiché questa verifica è pertinente soltanto nell’ambito dell’esame del rispetto delle condizioni stabilite dall’articolo 263, quarto comma, TFUE, secondo cui un ricorso di annullamento avverso un atto è a disposizione di ogni persona che sia direttamente ed individualmente interessata da quest’ultimo, laddove quest’ultima disposizione trovi applicazione (v., in tal senso, sentenza del 13 febbraio 2025, Swissgrid/Commissione, C-121/23 P, EU:C:2025:83, punto 46). L’impugnabilità di un atto deve pertanto essere valutata in modo obiettivo, in funzione della sostanza di quest’ultimo, e non in funzione della parte ricorrente.

69      Ciò premesso, occorre ricordare che, in presenza di atti la cui elaborazione sia effettuata in più fasi procedurali, costituisce, in linea di principio, un atto impugnabile solo il provvedimento che fissa in modo definitivo la posizione dell’istituzione, dell’organo o dell’organismo dell’Unione competente, ad esclusione dei provvedimenti intermedi destinati a preparare tale provvedimento definitivo, in particolare esprimendo un punto di vista provvisorio Costituiscono, in particolare, provvedimenti intermedi di questo tipo quelli che esprimono un parere provvisorio di tale istituzione, di detto organo o di tale organismo dell’Unione (v., in tal senso, sentenze dell’ 11 novembre 1981, IBM/Commissione, 60/81, EU:C:1981:264, punto 10; del 22 settembre 2022, IMG/Commissione, C-619/20 P e C-620/20 P, EU:C:2022:722, punto 103, nonché del 18 giugno 2024, Commissione/CRU, C-551/22 P, EU:C:2024:520, punto 92).

70      Secondo la giurisprudenza, un provvedimento intermedio non è, in particolare, impugnabile con ricorso di annullamento qualora sia accertato che l’illegittimità che lo inficia potrà essere fatta valere a sostegno di un ricorso diretto avverso la decisione finale della quale esso costituisce un atto di elaborazione. In simili circostanze, il ricorso proposto avverso la decisione che conclude il procedimento assicurerà una tutela giurisdizionale sufficiente (v., in tal senso, sentenze dell’11 novembre 1981, IBM/Commissione, 60/81, EU:C:1981:264, punto 12, nonché del 15 marzo 2017, Stichting Woonlinie e a./Commissione, C-414/15 P, EU:C:2017:215, punto 46 e giurisprudenza citata).

71      Nel caso di specie, per quanto riguarda il contenuto dell’atto di cui trattasi e i poteri dell’organo in questione, risulta dalla formulazione stessa dell’articolo 65, paragrafo 1, lettera a), e paragrafo 2, del RGPD e dell’articolo 68, paragrafo 1, del RGPD che la decisione controversa è un atto che promana da un organo dell’Unione e che ha carattere vincolante nei confronti di terzi. Infatti, tale atto vincola l’autorità di controllo capofila e tutte le autorità di controllo interessate, che ne sono i destinatari e che sono terzi rispetto al Comitato. Conformemente all’articolo 65, paragrafo 6, del RGPD, l’autorità di controllo capofila deve adottare la sua decisione finale sulla base della decisione del Comitato. Tale decisione finale deve inoltre fare riferimento alla decisione del Comitato, che deve essere allegata.

72      Inoltre, per quanto riguarda il contesto dell’adozione della decisione controversa, è pacifico che quest’ultima è stata elaborata nell’ambito di un processo decisionale che comporta più fasi procedurali, ai sensi della giurisprudenza menzionata al punto 69 della presente sentenza, in quanto essa precede l’adozione di un altro atto da parte dell’autorità di controllo irlandese. Tuttavia, tale decisione fissa in modo definitivo, ai sensi della medesima giurisprudenza, la posizione dell’organo dell’Unione competente, vale a dire il Comitato, ed esaurisce tutte le questioni che detto organo è chiamato a risolvere. Occorre infatti constatare che una decisione di questo tipo, adottata sul fondamento dell’articolo 65, paragrafo 1, lettera a), del RGPD, verte su tutte le questioni oggetto di un’obiezione pertinente e motivata da parte delle autorità di controllo interessate, ai sensi dell’articolo 60, paragrafo 4, del RGPD, in particolare quella se vi sia stata una violazione del RGPD.

73      Da quanto precede risulta che, sebbene non costituisca l’ultima fase della procedura di controllo della coerenza prevista agli articoli 58, 60 e 65 del RGPD, la decisione controversa non può essere qualificata come provvedimento intermedio non impugnabile, ai sensi della giurisprudenza citata al punto 69 della presente sentenza, contrariamente a quanto dichiarato dal Tribunale al punto 42 dell’ordinanza impugnata. Di conseguenza, la giurisprudenza ricordata al punto 70 della presente sentenza non è pertinente nel caso di specie.

74      In tale contesto, poiché la decisione del Comitato produce effetti giuridici vincolanti nei confronti di terzi, è irrilevante la circostanza che la portata della decisione finale dell’autorità nazionale di controllo comprenda questioni che non rientrerebbero nell’ambito del deferimento o della competenza del Comitato.

75      Per le stesse ragioni, il fatto che, come rilevato dal Tribunale al punto 42 dell’ordinanza impugnata, contrariamente alla decisione finale dell’autorità di controllo irlandese, la decisione controversa non sia opponibile a soggetti diversi dai suoi destinatari è anch’esso non pertinente ai fini della qualificazione di tale decisione come atto impugnabile, ai sensi dell’articolo 263, primo comma, TFUE. Tale fatto, che riguarda la posizione giuridica della ricorrente rispetto alla decisione controversa, non si riferisce né alla sostanza della decisione controversa né ai suoi effetti giuridici vincolanti alla luce di criteri oggettivi.

76      Dall’insieme di tali considerazioni risulta che la decisione controversa costituisce un atto di un organo dell’Unione destinato a produrre effetti giuridici nei confronti dei terzi ed esprime la posizione definitiva di tale organo sui punti che devono essere decisi da quest’ultimo, come del resto lo stesso Tribunale ha constatato ai punti 36, 37 e 49 dell’ordinanza impugnata. Pertanto, tale decisione costituisce, alla luce della formulazione dell’articolo 263, primo comma, TFUE e della giurisprudenza citata ai punti da 66 a 69 della presente sentenza, un atto impugnabile, senza che occorra valutare, in questa fase, se detta decisione abbia avuto la conseguenza di modificare in modo qualificato la situazione giuridica della WhatsApp.

77      A tale titolo, si deve constatare che il Tribunale è incorso in un errore di diritto, da un lato, al punto 38 dell’ordinanza impugnata, operando una confusione tra i requisiti risultanti, rispettivamente, dal primo e dal quarto comma dell’articolo 263 TFUE e, dall’altro, al punto 42 dell’ordinanza impugnata, formulando un criterio erroneo, relativo all’assenza di opponibilità diretta dell’atto in questione nei confronti della WhatsApp, e qualificando la decisione controversa come provvedimento intermedio privo di effetti giuridici autonomi.

78      Di conseguenza, la prima parte del primo motivo d’impugnazione deve essere accolta.

 Sulla seconda parte del primo motivo d’impugnazione

–       Argomenti delle parti

79      La WhatsApp ritiene che il Tribunale abbia commesso un errore di diritto quando ha dichiarato che essa non era direttamente interessata dalla decisione controversa e che, di conseguenza, il suo ricorso era irricevibile.

80      Da un lato, in ordine alla condizione secondo cui l’atto dovrebbe produrre direttamente effetti sulla situazione giuridica del ricorrente, il Tribunale avrebbe erroneamente concluso, al punto 52 dell’ordinanza impugnata, che la WhatsApp non era direttamente interessata dalla decisione controversa, in quanto tale decisione non era opponibile nei suoi confronti e non costituiva l’ultima fase della procedura prevista agli articoli 58, 60 e 65 del RGPD.

81      Dall’altro lato, per quanto riguarda la condizione secondo cui un atto non deve lasciare alcun potere discrezionale ai destinatari incaricati della sua attuazione, la WhatsApp ritiene che il Tribunale abbia commesso un errore di diritto quando ha dichiarato, ai punti da 53 a 60 dell’ordinanza impugnata, che la decisione controversa aveva lasciato all’autorità di controllo irlandese un margine di discrezionalità in ordine al contenuto della sua decisione finale, pur ammettendo che la decisione controversa vincolava tale autorità di controllo relativamente agli aspetti sui quali essa verteva.

82      Per quanto riguarda i punti da 54 a 56 dell’ordinanza impugnata, nei quali il Tribunale avrebbe considerato che il contenuto della decisione controversa era parziale rispetto alla decisione finale, la WhatsApp sostiene che sarebbe stato necessario esaminare l’assenza di potere discrezionale facendo riferimento alla sostanza stessa della decisione controversa, senza fare riferimento al contenuto aggiuntivo della decisione finale. Infatti, il Comitato avrebbe analizzato soltanto taluni aspetti di un caso di specie, vale a dire le questioni che sono state oggetto di obiezioni pertinenti e motivate da parte delle autorità di controllo interessate. La decisione controversa non può quindi vertere sull’insieme della causa e non può comprendere aspetti che non rientrerebbero nell’ambito del deferimento o della competenza del Comitato.

83      Inoltre, il Tribunale avrebbe commesso un errore di diritto quando ha dichiarato, ai punti da 57 a 59 dell’ordinanza impugnata, che l’autorità di controllo irlandese aveva esercitato il suo potere discrezionale per trarre conclusioni dalla decisione controversa. In primo luogo, in ordine alla qualificazione come dati personali di quei dati che sono stati oggetto di una compressione con perdita, la WhatsApp ritiene che tale qualificazione effettuata dal Comitato generi per essa obblighi supplementari ai sensi del RGPD, e ciò indipendentemente dal fatto che l’autorità di controllo capofila abbia esercitato un potere discrezionale nel merito, andando al di là di una siffatta qualificazione, verificando se la WhatsApp avesse agito in qualità di titolare del trattamento o di responsabile del trattamento. In secondo luogo, in ordine all’aumento delle sanzioni pecuniarie da infliggere alla WhatsApp, tale decisione non avrebbe lasciato alcun margine di discrezionalità all’autorità di controllo irlandese, essendo quest’ultima tenuta ad infliggere una sanzione pecuniaria più elevata di quella inizialmente prevista. Il fatto che tale autorità conservi un potere discrezionale in ordine alla determinazione dell’importo preciso della sanzione pecuniaria sarebbe irrilevante, dato che tale compito rientrerebbe nella competenza di detta autorità.

84      Il Comitato contesta tale argomentazione e sostiene che dovrebbero esser soddisfatti due criteri cumulativi affinché una persona fisica o giuridica, che non è destinataria di un atto individuale, sia direttamente interessata da un atto dell’Unione. Da un lato, tale atto dovrebbe avere un’incidenza diretta sulla situazione giuridica di tale persona e, dall’altro, non dovrebbe lasciare alcun potere discrezionale al destinatario incaricato della sua attuazione, la quale ha carattere meramente automatico, senza applicazione di altre norme intermedie

85      Per quanto riguarda il primo criterio, tale parte osserva che l’effetto vincolante di un atto deve essere considerato in funzione della sua incidenza sulla situazione specifica della parte ricorrente. Nel caso di specie, la decisione controversa non sarebbe opponibile alla WhatsApp in un modo che le permetterebbe, senza ulteriori fasi procedurali, di costituire una fonte di obblighi. Tale decisione non costituirebbe l’ultima fase del procedimento di cui agli articoli 58, 60 e 65 del RGPD e, in particolare, non avrebbe determinato l’importo finale della sanzione pecuniaria, né definito un nuovo insieme di norme per le attività della WhatsApp. Pertanto, solo la decisione finale riguarderebbe direttamente la WhatsApp, dato che l’autorità di controllo irlandese, in forza dell’articolo 56, paragrafo 6, del RGPD, è l’unico interlocutore di tale impresa nella sua qualità di titolare del trattamento.

86      Per quanto riguarda il secondo criterio, il Comitato sostiene che l’autorità di controllo irlandese avrebbe conservato un vero e proprio potere discrezionale in ordine alle conclusioni da stabilire nella sua decisione finale, che avrebbe una portata più ampia della decisione controversa e che conterrebbe constatazioni sulle quali il Comitato non è stato invitato a pronunciarsi, essendo il deferimento a quest’ultimo limitato alle questioni che sono state oggetto di obiezioni pertinenti e motivate. In ogni caso, esisterebbe un’interdipendenza tra la decisione controversa e la decisione finale. Non sarebbe possibile dissociare le parti di quest’ultima decisione corrispondenti alle istruzioni del Comitato, il che confermerebbe il fatto che quest’ultimo ha lasciato un certo margine di discrezionalità all’autorità di controllo irlandese su vari aspetti.

87      In tali circostanze, un giudice nazionale sarebbe in una posizione migliore per riesaminare tale decisione finale, ponendo, se del caso, questioni pregiudiziali alla Corte in merito alle disposizioni del RGPD applicate tanto d’ufficio quanto sulla base delle istruzioni del Comitato.

88      Secondo il Comitato, l’autorità di controllo irlandese avrebbe altresì mantenuto un certo margine di discrezionalità sulle questioni affrontate nella decisione controversa, in particolare su quelle relative, da un lato, alle conseguenze giuridiche da trarre dalla qualificazione come dati personali dei dati sottoposti alla compressione con perdita e, dall’altro, alla fissazione dell’importo delle sanzioni pecuniarie da infliggere alla WhatsApp. Per quanto riguarda tale primo aspetto, detta autorità avrebbe mantenuto un potere discrezionale e avrebbe proceduto a un esame autonomo, in particolare per quanto riguarda il rispetto dell’articolo 14 del RGPD. Sarebbe errato, al riguardo, affermare che il Comitato avrebbe proceduto ad una valutazione «completa», in quanto la competenza di quest’ultimo è limitata al contenuto delle obiezioni pertinenti e motivate, e non si estende all’intera procedura d’infrazione. Quanto al secondo aspetto, vale a dire la fissazione delle sanzioni pecuniarie, sebbene la decisione controversa contenga istruzioni generali relative alle sanzioni pecuniarie, essa non si occuperebbe dell’applicazione di tali istruzioni, né del calcolo di tali sanzioni pecuniarie.

89      La Repubblica federale di Germania ritiene che, poiché l’autorità capofila era l’unica interlocutrice della Whatsapp, quest’ultima non possa essere considerata direttamente interessata dalla decisione controversa. Una siffatta decisione non sarebbe destinata ad essere attuata in modo autonomo, ma dovrebbe sempre essere seguita da una decisione finale di tale autorità. Il legislatore dell’Unione avrebbe, infatti, scelto deliberatamente un controllo decentrato del RGPD, senza optare per la creazione di un’autorità europea e centrale per la protezione dei dati.

–       Giudizio della Corte

90      La seconda parte del primo motivo d’impugnazione verte sulla questione se il Tribunale abbia commesso un errore di diritto quando, ai punti da 50 a 60 dell’ordinanza impugnata, ha considerato che la decisione controversa non riguardava direttamente la WhatsApp, ai sensi dell’articolo 263, quarto comma, TFUE, e che, di conseguenza, il ricorso proposto da quest’ultima era irricevibile.

91      Ai sensi di tale disposizione, qualsiasi persona fisica o giuridica può proporre, alle condizioni previste al primo e secondo comma dell’articolo 263 TFUE, un ricorso contro gli atti adottati nei suoi confronti o che la riguardano direttamente e individualmente, e contro gli atti regolamentari che la riguardano direttamente e che non comportano alcuna misura d’esecuzione.

92      Così, la ricevibilità di un ricorso proposto da una persona fisica o giuridica contro un atto di cui essa non sia destinataria, sul fondamento dell’articolo 263, quarto comma, TFUE, è subordinata segnatamente alla condizione che tale atto la riguardi direttamente e individualmente (sentenza del 3 dicembre 2019, Iccrea Banca, C-414/18, EU:C:2019:1036, punto 64 e giurisprudenza citata).

93      Nel caso di specie, come constatato dal Tribunale al punto 40 dell’ordinanza impugnata, è acclarato che la WhatsApp è individualmente interessata dalla decisione controversa, poiché quest’ultima riguarda taluni aspetti del progetto di decisione finale concernenti specificamente la situazione di tale impresa. Tuttavia, ai punti 52 e 53 di tale ordinanza, il Tribunale ha considerato che la WhatsApp non era direttamente interessata dalla decisione controversa, poiché, da un lato, quest’ultima non sarebbe opponibile alla WhatsApp in un modo che le permetterebbe, senza ulteriori fasi procedurali, di costituire una fonte di obblighi per quest’ultima o, se del caso, di diritti per altri singoli e, dall’altro, che, anche se la decisione controversa vincolava l’autorità di controllo irlandese relativamente agli aspetti sui quali essa verteva, essa le avrebbe lasciato un margine di discrezionalità in ordine al contenuto della decisione finale.

94      Al riguardo, occorre ricordare che, secondo una giurisprudenza costante, la condizione secondo cui una persona fisica o giuridica deve essere direttamente interessata dalla decisione oggetto del ricorso richiede la compresenza di due criteri cumulativi, ossia che il provvedimento contestato, da un lato, produca effetti direttamente sulla situazione giuridica del soggetto in questione e, dall’altro, non riconosca alcun potere discrezionale ai destinatari incaricati della sua applicazione, la quale ha carattere meramente automatico e deriva dalla sola normativa dell’Unione, senza intervento di altre norme intermedie (sentenza del 4 ottobre 2024, Commissione e Consiglio/Front Polisario, C-779/21 P e C-799/21 P, EU:C:2024:835, punto 87 e giurisprudenza citata).

95      Prima di esaminare il rispetto di queste due condizioni nel caso di specie, occorre precisare che l’assenza di opponibilità diretta dell’atto impugnato nei confronti della parte ricorrente, così come la circostanza che tale atto non costituisca l’ultima fase di un procedimento composito, non ostano a che tale parte ricorrente possa essere direttamente interessata da detto atto qualora il destinatario del medesimo non disponga di alcun potere discrezionale (v., in tal senso, sentenze del 4 giugno 1992, Infortec/Commissione, C-157/90, EU:C:1992:243, punti 13 e 17; del 3 dicembre 2019, Iccrea Banca, C-414/18, EU:C:2019:1036, punti 65 e 67, nonché del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio, C-348/20 P, EU:C:2022:548, punto 74).

96      Di conseguenza, come osservato dall’avvocata generale ai paragrafi 139 e 144 delle sue conclusioni, il Tribunale ha commesso un errore di diritto quando ha ritenuto, al punto 52 dell’ordinanza impugnata, che la WhatsApp non potrebbe essere direttamente interessata dalla decisione controversa con la motivazione che quest’ultima non sarebbe opponibile alla WhatsApp e non costituirebbe l’ultima fase della procedura prevista agli articoli 58, 60 e 65 del RGPD.

97      Per quanto riguarda il rispetto della prima delle condizioni ricordate al punto 94 della presente sentenza, occorre valutare se l’atto impugnato modifichi in modo qualificato la situazione giuridica della persona fisica o giuridica di cui trattasi, riferendosi alla sostanza di tale atto e valutando gli effetti in funzione di criteri obiettivi, come il contenuto di detto atto, tenendo conto, eventualmente, del contesto in cui quest’ultimo è stato adottato nonché dell’istituzione, dell’organo o dell’organismo da cui esso promana (v., in tal senso, sentenze dell’11 novembre 1981, IBM/Commissione, 60/81, EU:C:1981:264, punto 9, e del 18 giugno 2024, Commissione/CRU, C-551/22 P, EU:C:2024:520, punto 65 e giurisprudenza citata).

98      Nel caso di specie, come indicato al punto 30 della presente sentenza, il Comitato, nella decisione controversa, ha segnatamente deciso che la WhatsApp aveva violato gli obblighi di informazione di cui all’articolo 13, paragrafo 1, lettera d), del RGPD e commesso una violazione dell’articolo 13, paragrafo 2, lettera e), di quest’ultimo. Di conseguenza, tale decisione modifica la situazione giuridica della WhatsApp, essendo quest’ultima in particolare indotta, a causa dell’intervento del Comitato, a modificare il suo rapporto contrattuale con gli utilizzatori del servizio di posta elettronica fornito dalla WhatsApp. Ne deriva che sussiste un nesso diretto tra detta decisione e i suoi effetti sulla situazione della WhatsApp, ai sensi della giurisprudenza citata ai punti 94 e 95 della presente sentenza.

99      Contrariamente a quanto sostiene il Comitato, tale constatazione non è messa in discussione dalla circostanza che l’autorità di controllo irlandese sia, ai sensi dell’articolo 56, paragrafo 6, del RGPD, l’unico interlocutore della WhatsApp quale titolare del trattamento, non incide su tale constatazione. Infatti, tale disposizione mira unicamente a organizzare i rapporti tra un titolare del trattamento o responsabile del trattamento, un’autorità di controllo capofila e le autorità di controllo interessate, cosicché essa non verte sui mezzi di ricorso disponibili contro le decisioni del Comitato.

100    Per quanto riguarda il rispetto della seconda delle condizioni ricordate al punto 94 della presente sentenza, per valutare se un atto lasci ai suoi destinatari un margine di discrezionalità nella sua attuazione, occorre esaminare gli effetti giuridici prodotti dalle disposizioni di tale atto, oggetto del ricorso, sulla situazione della persona che invoca il diritto di ricorso ai sensi dell’articolo 263, quarto comma, seconda parte di frase, TFUE (sentenza del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio, C-348/20 P, EU:C:2022:548, punto 98 e giurisprudenza citata).

101    L’esistenza di un siffatto margine di discrezionalità dovrà segnatamente essere esclusa qualora sia stabilito che le disposizioni dell’atto che sono oggetto del ricorso hanno avuto come conseguenza diretta di assoggettare tale persona ad obblighi il cui esito non poteva essere modificato dall’entità incaricata di attuare successivamente tale atto (v., in tal senso, sentenza del 12 luglio 2022, Nord Stream 2/Parlamento e Consiglio, C-348/20 P, EU:C:2022:548, punto 114).

102    Nel caso di specie, come risulta dai punti 71 e 72 della presente sentenza, occorre ricordare che la decisione controversa vincola l’autorità di controllo capofila e le autorità di controllo interessate. Queste ultime non possono discostarsi dalla posizione adottata dal Comitato in tale decisione e ricordata al punto 30 della presente sentenza. Infatti, detta decisione risolve le questioni di diritto oggetto del deferimento al Comitato e vincola incondizionatamente tali autorità, per quanto riguarda in particolare la constatazione della violazione di talune disposizioni del RGPD, la qualificazione come dati personali dei dati sottoposti a compressione con perdita nonché l’obbligo di aumentare l’importo delle sanzioni pecuniarie previste. Tali autorità non hanno la possibilità di modificare il risultato delle valutazioni effettuate, per quanto riguarda tali questioni, dal Comitato, ai sensi della giurisprudenza citata al punto precedente della presente sentenza.

103    A tal riguardo, in forza dell’articolo 70, paragrafo 1, lettera a), del RGPD, il Comitato ha il compito di assicurare l’applicazione coerente del RGPD, monitorando e garantendo, come risulta dal considerando 10 di quest’ultimo, un’applicazione coerente ed omogenea delle norme di protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali in tutta l’Unione, nei casi previsti, in particolare, all’articolo 65 del RGPD, fatti salvi i compiti delle autorità nazionali di controllo.

104    In tale contesto, è di scarso rilievo il fatto che la portata della decisione finale si estenda a questioni che non rientrano nel deferimento al Comitato, vale a dire ad aspetti che non sono stati oggetto di obiezioni pertinenti e motivate, ai sensi dell’articolo 65, paragrafo 1, lettera a), del RGPD, oppure a questioni che non rientrano nella competenza di tale organo, quali, in particolare, la fissazione dell’importo preciso della sanzione pecuniaria da infliggere al titolare del trattamento o a un responsabile del trattamento, la quale spetta all’autorità di controllo adita ai sensi dell’articolo 58, paragrafo 2, lettera i), nonché dell’articolo 83 del RGPD.

105    Inoltre, se è vero che esiste un nesso di interdipendenza tra la decisione controversa e la decisione finale, resta il fatto che queste ultime costituiscono atti distinti e che la portata della decisione controversa è ben delimitata, come risulta dall’elenco riportato al punto 30 della presente sentenza. Ciò posto, tale vincolo d’interdipendenza non è tale da ostare alla constatazione che la WhatsApp sia direttamente interessata dalla decisione controversa.

106    In particolare, se è vero che la proposizione simultanea di un ricorso di annullamento dinanzi al giudice dell’Unione, ai sensi dell’articolo 263 TFUE, nei confronti della decisione vincolante del Comitato, e dinanzi al giudice nazionale, ai sensi dell’articolo 78 del RGPD, nei confronti della decisione finale adottata dall’autorità nazionale di controllo sulla base di tale decisione vincolante, dà luogo a due procedure parallele, tale situazione non comporta che gli effetti della decisione del Comitato debbano essere considerati indiretti, nel caso di specie, nei confronti della WhatsApp.

107    Infatti, da un lato, secondo la giurisprudenza della Corte, quando la soluzione della controversia pendente dinanzi al giudice nazionale dipende dalla validità della decisione di un organo dell’Unione, dall’obbligo di leale cooperazione deriva che il giudice nazionale, al fine di evitare di emettere una decisione incompatibile con quella di detto organo, dovrebbe sospendere il procedimento fino alla pronuncia di una sentenza definitiva sul ricorso di annullamento da parte degli organi giurisdizionali dell’Unione, a meno che esso non ritenga che, nelle circostanze del caso di specie, sia giustificato deferire alla Corte una questione pregiudiziale sulla validità della decisione di tale organo (v., in tal senso, sentenze del 14 dicembre 2000, Masterfoods e HB, C-344/98, EU:C:2000:689, punto 57, nonché del 25 luglio 2018, Georgsmarienhütte e a., C-135/16, EU:C:2018:582, punto 24).

108    D’altro lato, occorre altresì rilevare che, nel caso in cui vengano contemporaneamente aditi il Tribunale, con un ricorso di annullamento, e la Corte, con un rinvio pregiudiziale, il principio di buona amministrazione della giustizia può giustificare il fatto che la Corte si avvalga, se lo considera opportuno, dell’articolo 54, terzo comma, dello Statuto della Corte di giustizia dell’Unione europea per sospendere il procedimento dinanzi ad essa pendente in favore di quello avviato presso il Tribunale (sentenza del 25 luglio 2018, Georgsmarienhütte e a., C-135/16, EU:C:2018:582, punto 25).

109    Di conseguenza, essendo soddisfatte le due condizioni indicate al punto 94 della presente sentenza, la WhatsApp è direttamente interessata dalla decisione controversa.

110    Avuto riguardo alle considerazioni che precedono, occorre quindi accogliere la seconda parte del primo motivo d’impugnazione e, di conseguenza, annullare l’ordinanza impugnata.

 Sulla terza parte del primo motivo d’impugnazione

111    Con la terza parte del primo motivo d’impugnazione, la WhatsApp adduce un errore di diritto che inficerebbe la constatazione del Tribunale, ai punti da 66 a 70 dell’ordinanza impugnata, secondo cui l’irricevibilità del suo ricorso si inserisce nella logica del sistema dei mezzi di ricorso giurisdizionali istituito dai Trattati UE e FUE.

112    Avuto riguardo alla conclusione accolta al punto 110 della presente sentenza, non vi è luogo a statuire sulla terza parte del primo motivo d’impugnazione.

 Sul secondo motivo d’impugnazione, vertente su un errore di diritto nell’interpretazione e nell’applicazione dell’articolo 65 del RGPD e del principio di applicazione coerente del diritto dell’Unione

113    Facendo riferimento all’argomento sviluppato nell’ambito del primo motivo d’impugnazione, la WhatsApp adduce che il Tribunale avrebbe violato l’articolo 65, paragrafo 1, del RGPD e il principio di applicazione coerente del diritto dell’Unione quando ha dichiarato, ai punti da 41 a 60 dell’ordinanza impugnata, che la decisione controversa non produceva effetti giuridici diversi dai suoi effetti vincolanti nei confronti delle autorità di controllo interessate.

114    Poiché la WhatsApp si limita a rinviare all’argomentazione sviluppata a sostegno del primo motivo d’impugnazione, e tenuto conto della conclusione accolta al punto 110 della presente sentenza, non vi è luogo a statuire su tale secondo motivo d’impugnazione, non potendo quest’ultimo comportare un annullamento più esteso dell’ordinanza impugnata.

 Sul rinvio della causa dinanzi al Tribunale

115    Ai sensi dell’articolo 61, primo comma, dello Statuto della Corte di giustizia dell’Unione europea, quest’ultima, in caso di annullamento della decisione del Tribunale, può statuire definitivamente sulla controversia, qualora lo stato degli atti lo consenta.

116    Tale condizione è soddisfatta nel caso di specie in quanto la causa riguarda la sola ricevibilità del ricorso proposto dinanzi al Tribunale.

117    A tal riguardo, in primo luogo, come risulta dal punto 76 della presente sentenza, la decisione controversa costituisce un atto impugnabile ai sensi dell’articolo 263, primo comma, TFUE. In secondo luogo, come constatato al punto 109 della presente sentenza, la WhatsApp è direttamente interessata dalla decisione controversa, ai sensi dell’articolo 263, quarto comma, TFUE. In terzo luogo, tale decisione riguarda individualmente la WhatsApp, come constatato dallo stesso Tribunale al punto 40 dell’ordinanza impugnata.

118    Di conseguenza, poiché le condizioni sancite al primo e al quarto comma dell’articolo 263 TFUE sono in tal modo soddisfatte, ed in assenza di qualsiasi altro motivo d’irricevibilità, il ricorso di annullamento è dichiarato ricevibile.

119    Nondimeno, dato che il Tribunale non ha esaminato il merito del ricorso di cui è stato investito, ciò che richiede una valutazione approfondita in diritto e in fatto, lo stato degli atti non consente di statuire sul merito della controversia.

120    Di conseguenza, occorre rinviare la causa dinanzi al Tribunale.

Sulle spese

121    Poiché la causa viene rinviata dinanzi al Tribunale, occorre riservare le spese inerenti al procedimento d’impugnazione.

CGUE, Grande Sezione, 10.02.2026, causa C-97/23 P (ECLI:EU:C:2026:81)