I dati pseudonimizzati sono dati personali?

SENTENZA DELLA CORTE (Prima Sezione)

4 settembre 2025 (*)

« Impugnazione – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Procedura di indennizzo degli azionisti e dei creditori di un istituto bancario in seguito alla risoluzione di quest’ultimo – Decisione del Garante europeo della protezione dei dati che constata la violazione da parte del Comitato di risoluzione unico dei suoi obblighi in materia di trattamento dei dati personali – Regolamento (UE) 2018/1725 – Articolo 15, paragrafo 1, lettera d) – Obbligo di informare l’interessato – Trasmissione a terzi di dati pseudonimizzati – Articolo 3, punto 1 – Nozione di “dati personali” – Articolo 3, punto 6 – Nozione di “pseudonimizzazione” »

Nella causa C-413/23 P,

avente ad oggetto l’impugnazione, ai sensi dell’articolo 56 dello Statuto della Corte di giustizia dell’Unione europea, proposta il 5 luglio 2023,

Garante europeo della protezione dei dati (GEPD), rappresentato inizialmente da P. Candellier, G. Devin, X. Lareo, D. Nardi e T. Zerdick, successivamente da P. Candellier, X. Lareo, D. Nardi, N. Stolic e T. Zerdick, in qualità di agenti,

ricorrente,

sostenuto da:

Comitato europeo per la protezione dei dati, rappresentato da C. Foglia, M. Gufflet, G. Le Grand e I. Vereecken, in qualità di agenti, assistiti da E. de Lophem, avocat, G. Ryelandt, advocaat, e P. Vernet, avocat,

interveniente in sede d’impugnazione,

procedimento in cui l’altra parte è:

Comitato di risoluzione unico (SRB o CRU), rappresentato da H. Ehlers, M. Fernández Rupérez e A. Lapresta Bienz, in qualità di agenti, assistite da M. Braun, H.-G. Kamann, Rechtsanwälte, e F. Louis, avocat,

ricorrente in primo grado,

sostenuto da:

Commissione europea, rappresentata da A. Bouchagiar e H. Kranenborg, in qualità di agenti,

interveniente in sede d’impugnazione,

LA CORTE (Prima Sezione),

composta da F. Biltgen, presidente di sezione, T. von Danwitz (relatore), vicepresidente della Corte, facente funzione di presidente della Prima Sezione, A. Kumin, I. Ziemele e S. Gervasoni, giudici,

avvocato generale: D. Spielmann

cancelliere: M. Longar, amministratore

vista la fase scritta del procedimento e in seguito all’udienza del 7 novembre 2024,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 6 febbraio 2025,

ha pronunciato la seguente

Sentenza

1        Con la sua impugnazione, il Garante europeo della protezione dei dati (GEPD) chiede l’annullamento della sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T-557/20; in prosieguo: la «sentenza impugnata», EU:T:2023:219), con la quale quest’ultimo ha annullato la decisione rivista del GEPD, del 24 novembre 2020, adottata a seguito della richiesta di riesame presentata dal Comitato di risoluzione unico (SRB) della decisione del GEPD, del 24 giugno 2020, relativa a cinque reclami presentati da più reclamanti (casi 2019-947, 2019-998, 2019-999, 2019-1000 e 2019-1122) (in prosieguo: la «decisione controversa»).

I.      Contesto normativo

2        I considerando 5, 16, 17 e 35 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39), sono formulati come segue:

«(5)      È nell’interesse di un approccio coerente alla protezione dei dati in tutta l’Unione [europea] e della libera circolazione dei dati personali all’interno dell’Unione allineare per quanto possibile le norme sulla protezione dei dati per le istituzioni, gli organi e gli organismi dell’Unione a quelle adottate per il settore pubblico degli Stati membri. Quando le disposizioni del presente regolamento seguono gli stessi principi delle disposizioni del regolamento (UE) 2016/679 [del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il “RGPD”)], conformemente alla giurisprudenza della [Corte] le disposizioni dei due regolamenti dovrebbero essere interpretate in modo omogeneo, in particolare in considerazione del fatto che il regime del presente regolamento dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/679.

(...)

(16)      È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

(17)      L’applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati. L’introduzione esplicita della “pseudonimizzazione” nel presente regolamento non è intesa a precludere altre misure di protezione dei dati.

(...)

(35)      I principi di trattamento corretto e trasparente implicano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità. Il titolare del trattamento dovrebbe fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati. Inoltre l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. In caso di dati personali raccolti direttamente presso l’interessato, questi dovrebbe inoltre essere informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli. Tali informazioni potrebbero essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico».

3        L’articolo 3 del regolamento 2018/1725, intitolato «Definizioni», ai punti 1, 6, 8 e 13 prevede quanto segue:

«Ai fini del presente regolamento si applicano le seguenti definizioni:

1)      “dati personali”: dati qualsiasi informazione concernente una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

(...)

6)      “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

(...)

8)      “titolare del trattamento”: l’istituzione o l’organo dell’Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell’Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione;

(...)

13)      “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento».

4        L’articolo 4 di detto regolamento, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 2 così dispone:

«Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

5        L’articolo 14 di tale regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», al paragrafo 1 prevede quanto segue:

«Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 15 e 16 e le comunicazioni di cui agli articoli da 17 a 24 e all’articolo 35 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato».

6        L’articolo 15 del medesimo regolamento, intitolato «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», così dispone:

«1.      In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

(...)

d)      gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

(...)

2.      In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a)      il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b)      l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o, ove applicabile, del diritto di opporsi al trattamento o del diritto alla portabilità dei dati;

(...)

e)      se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

(...)».

7        L’articolo 24 del regolamento 2018/1725 stabilisce le condizioni alle quali un processo decisionale può essere basato sul trattamento automatizzato, compresa la profilazione.

8        L’articolo 26 di tale regolamento, intitolato «Responsabilità del titolare del trattamento», al paragrafo 1 prevede quanto segue:

«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

II.    Fatti

9        I fatti all’origine della controversia sono esposti ai punti da 2 a 32 della sentenza impugnata e possono essere riassunti come segue.

10      Il 7 giugno 2017, la sessione esecutiva del SRB ha adottato la decisione SRB/EES/2017/08, relativa a un programma di risoluzione per il Banco Popular Español, SA, sulla base del regolamento (UE) n. 806/2014 del Parlamento europeo e del Consiglio, del 15 luglio 2014, che fissa norme e una procedura uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento nel quadro del meccanismo di risoluzione unico e del Fondo di risoluzione unico e che modifica il regolamento (UE) n. 1093/2010 (GU 2014, L 225, pag. 1) (in prosieguo: il «regolamento SRM»).

11      In tale decisione, il SRB, ritenendo soddisfatte le condizioni di cui all’articolo 18, paragrafo 1, del regolamento SRM, ha deciso di sottoporre il Banco Popular Español SA (in prosieguo: il «Banco Popular») a una procedura di risoluzione. Il SRB ha quindi deciso di svalutare e convertire gli strumenti di capitale del Banco Popular ai sensi dell’articolo 21 di tale regolamento e di applicare lo strumento della vendita dell’attività d’impresa ai sensi dell’articolo 24 di detto regolamento, trasferendo le azioni a un acquirente.

12      In pari data, la Commissione europea ha adottato la decisione (UE) 2017/1246, che approva il programma di risoluzione per il Banco Popular Español SA (GU 2017, L 178, pag. 15).

13      A seguito della risoluzione del Banco Popular, la società di revisione contabile e di consulenza Deloitte è stata incaricata dal SRB della valutazione della differenza di trattamento, prevista dall’articolo 20, paragrafi da 16 a 18, del regolamento SRM, effettuata al fine di accertare se gli azionisti e i creditori del Banco Popular avrebbero ricevuto un trattamento migliore se quest’ultimo fosse stato sottoposto a una procedura ordinaria di insolvenza (in prosieguo: la «valutazione 3»). Il 14 giugno 2018, essa ha trasmesso tale valutazione al SRB.

14      Il 6 agosto 2018, il SRB ha pubblicato sul suo sito Internet l’avviso del 2 agosto 2018 in merito alla sua decisione preliminare sulla necessità di concedere un indennizzo agli azionisti e ai creditori nei cui confronti sono state avviate le azioni di risoluzione delle crisi riguardanti il Banco Popular Español, SA e l’avvio del procedimento relativo al diritto di essere ascoltati (SRB/EES/2018/132), nonché una versione non riservata della valutazione 3. Il 7 agosto 2018, nella Gazzetta ufficiale dell’Unione europea è stata pubblicata una comunicazione riguardante tale avviso (GU 2018, C 277 I, pag. 1).

15      Nella decisione preliminare, il SRB ha dichiarato che, al fine di poter prendere una decisione definitiva sulla necessità o meno di concedere un indennizzo agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular (in prosieguo: gli «azionisti e creditori interessati») ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM, questi ultimi erano invitati a manifestare il loro interesse ad esercitare il diritto di essere ascoltati ai sensi dell’articolo 41, paragrafo 2, lettera a), della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: «la Carta»).

A.      Sul procedimento relativo al diritto di essere ascoltati

16      Secondo le indicazioni contenute nella decisione preliminare, il procedimento relativo al diritto di essere ascoltati doveva svolgersi in due fasi.

17      In una prima fase (in prosieguo: la «fase di iscrizione»), gli azionisti e i creditori interessati erano invitati a manifestare il loro interesse ad esercitare il loro diritto di essere ascoltati mediante un modulo di iscrizione online, e ciò entro il 14 settembre 2018. Durante tale fase, gli azionisti e i creditori interessati che intendevano esercitare il loro diritto di essere ascoltati dovevano fornire al SRB i documenti giustificativi che dimostrassero che, alla data della risoluzione del Banco Popular, essi detenevano uno o più strumenti di capitale dello stesso che erano stati svalutati o convertiti e trasferiti al Banco Santander, SA nell’ambito della risoluzione. I documenti giustificativi da fornire comprendevano un documento di identità e una prova della proprietà di uno di tali strumenti di capitale alla data del 6 giugno 2017. Inoltre, il SRB doveva verificare se ciascuna persona che aveva manifestato il proprio interesse possedesse effettivamente lo status di azionista o di creditore interessato.

18      Il 6 agosto 2018, data di avvio della fase di iscrizione, il SRB ha altresì pubblicato, sulla pagina Internet di iscrizione al procedimento relativo al diritto di essere ascoltati e sul suo sito Internet, un’informativa sulla protezione dei dati personali riguardante il trattamento dei dati personali nell’ambito di tale procedura (in prosieguo: l’«informativa sulla protezione dei dati personali»).

19      In una seconda fase (in prosieguo: la «fase di consultazione»), le persone il cui status di azionisti e creditori interessati era stato verificato dal SRB potevano presentare le proprie osservazioni sulla decisione preliminare, alla quale era allegata la valutazione 3. Il 16 ottobre 2018, il SRB ha annunciato sul suo sito Internet che a partire dal 6 novembre 2018 gli azionisti e creditori interessati sarebbero stati invitati a presentare le loro osservazioni scritte sulla decisione preliminare durante la fase di consultazione.

20      Il 6 novembre 2018, tramite un messaggio di posta elettronica, il SRB ha inviato agli azionisti e ai creditori interessati un link unico personale per accedere su Internet a un modulo, che conteneva sette domande, con uno spazio di risposta limitato, che consentivano agli azionisti e ai creditori interessati di presentare, entro il 26 novembre 2018, osservazioni sulla decisione preliminare nonché sulla versione non riservata della valutazione 3.

21      Il SRB ha esaminato le osservazioni degli azionisti e dei creditori interessati in merito alla decisione preliminare. Esso ha chiesto a Deloitte, nella sua qualità di valutatore indipendente, di valutare le osservazioni pertinenti relative alla valutazione 3, di fornirgli un documento contenente la sua valutazione e di esaminare se la suddetta valutazione restasse valida alla luce di tali osservazioni.

B.      Sul trattamento dei dati raccolti dal SRB nell’ambito del procedimento relativo al diritto di essere ascoltati

22      I dati raccolti durante la fase di iscrizione, ossia le prove dell’identità degli azionisti dei creditori interessati e della proprietà di strumenti di capitale del Banco Popular svalutati o convertiti e trasferiti, erano accessibili a un numero limitato di membri del personale del SRB, ossia quelli incaricati del trattamento di tali dati al fine di determinare l’idoneità di detti azionisti e creditori a ricevere un indennizzo.

23      I membri del personale del SRB incaricati del trattamento delle osservazioni ricevute durante la fase di consultazione non avevano accesso né ai dati raccolti durante la fase di iscrizione, cosicché le osservazioni erano dissociate dalle informazioni personali degli azionisti e dei creditori interessati che le avevano inviate, né alla chiave dati o alle informazioni che consentivano di risalire all’identità di un azionista o creditore interessato tramite riferimento al codice alfanumerico unico assegnato a ciascuna osservazione inviata tramite il modulo. Tale codice alfanumerico consisteva in un identificativo unico universale a 33 cifre, generato in modo casuale al momento della ricezione delle risposte al modulo.

24      Nella prima fase, il SRB ha proceduto ad un filtraggio automatico di 23 822 osservazioni, ciascuna recante un codice alfanumerico unico, inviate da 2 855 partecipanti alla procedura. Due algoritmi hanno consentito di identificare 20 101 osservazioni come identiche. In tal caso, l’osservazione presentata per prima è stata considerata l’osservazione originale, che è stata esaminata durante la fase di analisi, e le osservazioni identiche ricevute successivamente sono state identificate come doppioni.

25      Nella seconda fase, il SRB ha individuato le osservazioni presentate che rientravano nel procedimento relativo al diritto di essere ascoltati in quanto potevano incidere sulla decisione preliminare o sulla valutazione 3. Esso ha poi suddiviso dette osservazioni tra quelle che dovevano essere esaminate dal SRB in quanto riguardavano la decisione preliminare e quelle che dovevano essere esaminate da Deloitte in quanto riguardavano la valutazione 3. Al termine di tale fase, il SRB ha individuato 3 730 osservazioni, che ha classificato in base alla loro rilevanza e al tema trattato.

26      Nella terza fase, le osservazioni relative alla decisione preliminare sono state elaborate dal SRB e quelle relative alla valutazione 3, ossia 1 104 osservazioni, sono state trasferite a Deloitte, il 17 giugno 2019, attraverso un server dati virtuale sicuro dedicato al SRB. Quest’ultimo ha scaricato i file da trasmettere a Deloitte su detto server e ha dato accesso a tali file a un numero limitato e controllato di membri del personale di Deloitte, ossia quelli direttamente coinvolti nell’esame delle osservazioni relative alla valutazione 3.

27      Le osservazioni trasmesse a Deloitte erano filtrate, classificate e aggregate. Quando costituivano copie di osservazioni precedenti, veniva trasmessa a Deloitte una sola versione, cosicché le osservazioni individuali che erano state replicate non potevano essere distinte nell’ambito di uno stesso tema e Deloitte non aveva la possibilità di sapere se fosse stata formulata un’osservazione da parte di uno o più partecipanti al procedimento relativo al diritto di essere ascoltati.

28      Le osservazioni trasmesse a Deloitte erano unicamente quelle ricevute nella fase di consultazione e recavano un codice alfanumerico. Tuttavia, il SRB era l’unico a poter collegare, mediante tale codice, le osservazioni ai dati, in particolare ai dati identificativi degli autori delle osservazioni, ricevuti durante la fase di iscrizione. Il codice alfanumerico è stato sviluppato a fini di audit per consentire di verificare ed eventualmente dimostrare, in un procedimento giudiziario, che ogni osservazione era stata trattata e debitamente presa in considerazione. Deloitte non aveva accesso alla banca contenente i dati raccolti durante la fase di iscrizione, né durante il procedimento relativo al diritto di essere ascoltati e non continuava a non avervi accesso alla data in cui è stata pronunciata la sentenza impugnata.

C.      Sulla procedura presso il GEPD

29      Nel corso dei mesi di ottobre e di dicembre 2019, taluni azionisti e creditori interessati che avevano risposto al modulo hanno inviato al GEPD cinque reclami ai sensi del regolamento 2018/1725. Con tali reclami, essi hanno addotto una violazione dell’articolo 15, paragrafo 1, lettera d), di tale regolamento, per il motivo che il SRB non li aveva informati che i dati raccolti mediante le risposte al modulo sarebbero stati trasmessi a terzi, ossia Deloitte e Banco Santander, e ciò in violazione dei termini dell’informativa sulla protezione dei dati personali.

30      Al termine di un procedimento nel corso del quale il SRB ha fornito diverse spiegazioni su richiesta del GEPD e i reclamanti hanno presentato osservazioni, il GEPD ha adottato, il 24 giugno 2020, una decisione relativa a cinque reclami presentati da più reclamanti contro il Comitato di risoluzione unico (casi 2019-947, 2019-998, 2019-999, 2019-1000 e 2019-1122) (in prosieguo: la «decisione iniziale»). In tale decisione, il GEPD ha dichiarato che il SRB aveva violato l’articolo 15 del regolamento 2018/1725 in quanto non aveva informato i reclamanti, nell’informativa sulla protezione dei dati personali, che era possibile che i loro dati personali fossero comunicati a Deloitte. Di conseguenza, esso ha rivolto un ammonimento al SRB per tale violazione in forza dell’articolo 58, paragrafo 2, lettera b), di detto regolamento.

31      Il 22 luglio 2020, il SRB ha chiesto al GEPD di rivedere la decisione iniziale ai sensi dell’articolo 18, paragrafo 1, della decisione del Garante europeo della protezione dei dati del 15 maggio 2020 di adozione del regolamento interno del GEPD (GU 2020, L 204, pag. 49). Il SRB ha in particolare fornito una descrizione dettagliata del procedimento relativo al diritto di essere ascoltati e dell’analisi delle osservazioni presentate, durante la fase di consultazione, da quattro dei reclamanti individuati. Esso ha sostenuto che le informazioni trasmesse a Deloitte non costituivano dati personali ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

32      Il 5 agosto 2020, il GEPD ha informato il SRB che, alla luce dei nuovi elementi forniti, aveva deciso di rivedere la decisione iniziale e che avrebbe adottato una decisione che l’avrebbe sostituita.

33      Il 24 novembre 2020, al termine della procedura di revisione, durante la quale i reclamanti hanno presentato osservazioni e il SRB ha fornito informazioni supplementari su richiesta del GEPD, quest’ultimo ha adottato la decisione controversa.

34      Con tale decisione, il GEPD ha riveduto la decisione iniziale nei seguenti termini:

«1.      Il GEPD ritiene che i dati che il [SRB] ha condiviso con Deloitte fossero dati pseudonimizzati, sia perché le osservazioni della fase [di consultazione] erano dati personali sia perché il [SRB] condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase [di iscrizione] a quelle della fase [di consultazione], sebbene i dati forniti dai partecipanti per identificarsi durante la fase [di iscrizione] non fossero stati comunicati a Deloitte.

2.      Il GEPD ritiene che Deloitte fosse un destinatario di dati personali dei reclamanti ai sensi dell’articolo 3, punto 13, del regolamento 2018/1725. Il fatto che Deloitte non sia stata menzionata nella informativa sulla protezione dei dati personali del [SRB] quale potenziale destinatario dei dati personali raccolti e trattati dal [SRB], nella sua qualità di responsabile del trattamento nell’ambito della procedura relativa al diritto di essere ascoltato, costituisce una violazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), [del regolamento 2018/1725].

3.      Alla luce di tutte le misure tecniche e organizzative messe in atto dal [SRB] per mitigare i rischi per il diritto delle persone alla protezione dei dati nel contesto della procedura relativa al diritto di essere ascoltati, il GEPD decide di non esercitare i suoi poteri correttivi ai sensi dell’articolo 58, paragrafo 2, [del regolamento 2018/1725].

4.      Il GEPD raccomanda tuttavia che il [SRB] garantisca che le sue informative sulla protezione dei dati personali nelle future procedure relative al diritto di essere ascoltati coprano il trattamento dei dati personali sia nella fase di iscrizione che in quella di consultazione e che includano tutti i potenziali destinatari delle informazioni raccolte, al fine di rispettare pienamente l’obbligo di informare gli interessati ai sensi dell’articolo 15 [del regolamento 2018/1725]».

III. Procedimento dinanzi al Tribunale e sentenza impugnata

35      Con atto introduttivo depositato presso la cancelleria del Tribunale il 1° settembre 2020, il SRB ha proposto un ricorso diretto, da un lato, ad annullare la decisione controversa e, dall’altro, a dichiarare illegittima la decisione iniziale.

36      A sostegno del primo capo della domanda, il SRB ha dedotto due motivi di ricorso, il primo dei quali verteva sulla violazione dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali, e il secondo, sulla violazione del diritto ad una buona amministrazione, sancito dall’articolo 41 della Carta.

37      Con la sentenza impugnata, il Tribunale ha respinto per difetto di competenza il secondo capo della domanda diretto ad ottenere che la decisione iniziale fosse dichiarata illegittima, con la motivazione che il SRB mirava ad ottenere una sentenza dichiarativa e non già l’annullamento di un atto.

38      Per contro, il Tribunale ha dichiarato ricevibile il primo capo della domanda. Quanto al merito, esso ha accolto il primo motivo di ricorso e ha annullato la decisione controversa, senza esaminare il secondo motivo di ricorso.

IV.    Procedimento dinanzi alla Corte e conclusioni delle parti

39      Con decisione del presidente della Corte del 20 ottobre 2023, la Commissione europea è stata autorizzata a intervenire a sostegno del SRB. Con ordinanza del presidente della Corte del 29 novembre 2023, il Comitato europeo per la protezione dei dati è stato autorizzato a intervenire a sostegno del GEDP.

40      Il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, chiede che la Corte voglia:

–        annullare la sentenza impugnata;

–        pronunciarsi definitivamente sulla controversia; e

–        condannare il SRB alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.

41      Il SRB, sostenuto dalla Commissione, chiede che la Corte voglia:

–        respingere l’impugnazione;

–        in subordine, annullare la decisione controversa;

–        in ulteriore subordine, rinviare la causa dinanzi al Tribunale, e

–        condannare il GEPD alle spese del procedimento di impugnazione e del procedimento dinanzi al Tribunale.

V.      Sull’impugnazione

42      A sostegno della sua impugnazione, il GEPD, sostenuto dal Comitato europeo per la protezione dei dati, deduce due motivi, il primo dei quali verte sulla violazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725, come interpretato dalla Corte, e il secondo sulla violazione dell’articolo 4, paragrafo 2, e dell’articolo 26, paragrafo 1, di tale regolamento.

A.      Sul primo motivo di impugnazione

43      Con il suo primo motivo di impugnazione, il GEPD afferma, in sostanza, che, dichiarando che esso aveva erroneamente concluso, nella decisione controversa, che le informazioni di cui trattasi nel caso di specie costituivano dati personali, il Tribunale è incorso in un errore di diritto nell’interpretazione dell’articolo 3, punti 1 e 6, del regolamento 2018/1725. Tale motivo di impugnazione si suddivide in due parti. La prima parte riguarda la condizione, prevista all’articolo 3, punto 1, di tale regolamento, secondo cui l’informazione «concerne» una persona fisica e la seconda parte riguarda la condizione, prevista nella medesima disposizione, relativa al carattere «identificabile» di tale persona.

1.      Sulla prima parte, vertente su un’interpretazione erronea della condizione, prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione «concerne» una persona fisica

a)      Argomenti delle parti

44      Con la prima parte del primo motivo di impugnazione, il GEPD deduce che, contrariamente a quanto dichiarato dal Tribunale ai punti da 60 a 74 della sentenza impugnata, le informazioni trasmesse a Deloitte concernevano una persona fisica, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

45      In primo luogo, il GEPD sostiene che, contrariamente a quanto risulta dal punto 70 della sentenza impugnata, le autorità incaricate della protezione dei dati non possono essere tenute a procedere, in ogni caso, a un esame del contenuto, della finalità o dell’effetto di un’informazione al fine di verificare se essa riguardi una persona fisica. Secondo il GEPD, un siffatto esame non poteva, in particolare, essere richiesto per quanto riguarda le osservazioni trasmesse dal SRB a Deloitte, dal momento che, a suo avviso, era chiaro che si trattava di osservazioni «concernenti» una persona fisica in quanto esse esprimevano il punto di vista personale di taluni creditori e azionisti del Banco Popular sul loro eventuale diritto a un indennizzo ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM.

46      In secondo luogo, contrariamente a quanto constatato al punto 71 della sentenza impugnata, il GEPD sostiene che, per ravvisare l’esistenza di dati personali, esso si è basato non solo sulla natura delle osservazioni trasmesse a Deloitte, ma anche sulla circostanza che il codice alfanumerico era stato anch’esso trasmesso a tale società.

47      In terzo luogo, il GEPD sostiene che la sentenza impugnata è viziata da una contraddizione in quanto il Tribunale, da un lato, ha rilevato al punto 7 di tale sentenza che l’obiettivo stesso delle osservazioni trasmesse a Deloitte era quello di consentire a persone fisiche specifiche, vale a dire agli azionisti e ai creditori interessati, di esercitare il loro diritto di essere ascoltati ai fini di un eventuale indennizzo ai sensi dell’articolo 76, paragrafo 1, lettera e), del regolamento SRM. In contraddizione con questa prima constatazione, il Tribunale avrebbe dichiarato, dall’altro lato, al punto 73 di detta sentenza, che il GEPD si era basato su presunzioni secondo le quali tutte le osservazioni trasmesse a Deloitte costituivano dati personali, senza dimostrare che esse riguardassero persone fisiche.

48      Il SRB, sostenuto dalla Commissione, afferma che tale argomento deve essere respinto.

49      In primo luogo, secondo la giurisprudenza derivante dalle sentenze del 20 dicembre 2017, Nowak (C-434/16, EU:C:2017:994, punti 34 e 35), e del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF (C-487/21, EU:C:2023:369, punti 23 e 24), informazioni, oggettive o soggettive, sotto forma di pareri o di valutazioni, potrebbero costituire dati personali, a condizione che esse siano «concernenti» la persona interessata. A questo proposito, secondo tale giurisprudenza, un’informazione concernerebbe una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile. Pertanto, il Tribunale avrebbe correttamente dichiarato, ai punti da 70 a 74 della sentenza impugnata, che il GEPD ha disatteso detta giurisprudenza essendosi limitato ad indicare che le osservazioni trasmesse a Deloitte riflettevano le opinioni o i punti di vista degli azionisti e dei creditori interessati e, quindi, senza aver esaminato se, per il loro contenuto, la loro finalità o il loro effetto, tali osservazioni fossero legate a una persona identificabile.

50      In secondo luogo, l’affermazione del GEPD, secondo cui la natura di dati personali di dette osservazioni deriva necessariamente dalla loro finalità, costituirebbe una nuova allegazione di fatto, presentata per la prima volta dinanzi al giudice dell’impugnazione, che sarebbe, per tale motivo, irricevibile. In ogni caso, l’affermazione sarebbe inconferente in quanto il GEPD non avrebbe esaminato tale punto nella decisione controversa.

51      Per quanto riguarda, in terzo luogo, l’asserita contraddittorietà della motivazione tra i punti 7 e 73 della sentenza impugnata, il SRB sostiene che la descrizione di cui al punto 7 di tale sentenza non contiene alcuna informazione sul contenuto, sulla finalità o sull’effetto delle osservazioni trasmesse a Deloitte e, pertanto, non contraddice la conclusione enunciata al punto 73 di detta sentenza.

b)      Giudizio della Corte

52      In via preliminare, occorre rilevare che la definizione della nozione di «dati personali», enunciata all’articolo 3, punto 1, del regolamento 2018/1725, è sostanzialmente identica a quella di cui all’articolo 4, punto 1, del RGPD, la quale, dal canto suo, ha una portata sostanzialmente identica a quella che figurava all’articolo 2, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31). Al fine di garantire un’applicazione uniforme e coerente del diritto dell’Unione, occorre quindi assicurare un’interpretazione identica dell’articolo 3, punto 1, del regolamento 2018/1725, dell’articolo 4, punto 1, del RGPD e dell’articolo 2, lettera a), della direttiva 95/46 (v., in tal senso, sentenze del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 43, nonché del 7 marzo 2024, IAB Europe, C-604/22, EU:C:2024:214, punto 33 e giurisprudenza citata).

53      L’articolo 3, punto 1, del regolamento 2018/1725 dispone che costituisce un dato personale «qualsiasi informazione concernente una persona fisica identificata o identificabile».

54      La Corte ha dichiarato che l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», che figura in tale disposizione e all’articolo 4, punto 1, del RGPD, riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse «riguardino» la persona interessata (sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C-487/21, EU:C:2023:369, punto 23 e giurisprudenza citata; del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 45 nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, punto 130).

55      Un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile (sentenza del 20 dicembre 2017, Nowak, C-434/16, EU:C:2017:994, punto 35; del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 45 e del 7 marzo 2024, IAB Europe, C-604/22, EU:C:2024:214, punto 37 e giurisprudenza citata).

56      Nel caso di specie, sebbene il Tribunale abbia rilevato, al punto 70 della sentenza impugnata, che il GEPD non aveva esaminato né il contenuto, né la finalità, né l’effetto delle informazioni risultanti dalle osservazioni trasmesse a Deloitte, dai punti 71 e 72 di tale sentenza risulta tuttavia che la constatazione che tali osservazioni riflettevano le opinioni o i punti di vista delle persone interessate aveva richiesto che il GEPD avesse previamente esaminato il contenuto di dette osservazioni. A partire da tale constatazione, il GEPD ha concluso che esse costituivano informazioni relative a tali persone. Orbene, secondo la giurisprudenza ricordata al punto 55 della presente sentenza, un esame vertente sul contenuto di un’informazione non deve necessariamente essere completato da un’analisi della finalità e degli effetti di tale informazione, come indica l’impiego della congiunzione «o» che collega i diversi criteri considerati da tale giurisprudenza.

57      Tuttavia, ai punti 73 e 74 della sentenza impugnata, il Tribunale ha considerato che il GEPD non poteva qualificare come dati personali le informazioni risultanti dalle osservazioni trasmesse a Deloitte sulla sola base della constatazione che si trattava di opinioni o punti di vista personali, ma che avrebbe dovuto esaminare, inoltre, il contenuto, la finalità e l’effetto delle opinioni così espresse, al fine di stabilire se esse fossero collegate a una determinata persona.

58      Tale valutazione del Tribunale non tiene conto della particolare natura delle opinioni o dei punti di vista personali che, in quanto espressione del pensiero di una persona, sono necessariamente strettamente connessi a quest’ultima.

59      L’interpretazione accolta al punto precedente è corroborata dalla giurisprudenza derivante dalla sentenza del 20 dicembre 2017, Nowak (C-434/16, EU:C:2017:994), la quale verteva, tra l’altro, sulle correzioni apposte da un esaminatore in merito alle risposte scritte di un candidato a un esame professionale. Infatti, ai punti da 42 a 44 di tale sentenza, se è vero che la Corte ha valutato il contenuto, la finalità e l’effetto di tali correzioni per constatare che esse costituivano informazioni riguardanti il candidato da esse indicato, essa ha considerato, in sostanza, che dette correzioni concernevano anche l’esaminatore che ne era l’autore, dal momento che esse esprimevano il parere o la valutazione di quest’ultimo.

60      Ne consegue che il Tribunale è incorso in un errore di diritto dichiarando, ai punti 73 e 74 della sentenza impugnata, che il GEPD, per concludere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte «concernevano», ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, le persone che avevano presentato tali osservazioni, avrebbe dovuto esaminare il contenuto, la finalità o gli effetti di dette osservazioni, essendo pacifico che esse esprimevano l’opinione o il punto di vista personale dei loro autori.

61      Pertanto, senza che sia necessario esaminare gli argomenti sintetizzati ai punti 46 e 47 della presente sentenza, la prima parte del primo motivo di impugnazione deve essere accolta.

2.      Sulla seconda parte del primo motivo di impugnazione, vertente su un’interpretazione erronea della condizione, prevista all’articolo 3, punto 1, del regolamento 2018/1725, secondo la quale l’informazione concerne una persona fisica «identificabile»

62      Con la seconda parte del primo motivo di impugnazione, il GEPD deduce che, ai punti da 76 a 106 della sentenza impugnata, il Tribunale ha erroneamente dichiarato di non poter ritenere che le informazioni risultanti dalle osservazioni trasmesse a Deloitte concernessero una persona fisica «identificabile», ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725. Detta parte consta di due censure distinte.

a)      Sulla prima censura della seconda parte del primo motivo di impugnazione

1)      Argomenti delle parti

63      Anzitutto, il GEPD ricorda che, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, il titolare del trattamento o «un terzo» deve essere in grado di identificare una persona interessata dall’informazione di cui si tratta. In mancanza di indicazioni quanto alla persona che deve essere in grado di procedere a tale identificazione, sarebbe sufficiente che l’interessato possa essere identificato. Orbene, nel caso di specie, sarebbe pacifico che le osservazioni trasmesse a Deloitte, di cui disponeva il SRB, costituiscono dati personali. Inoltre, dall’articolo 3, punto 6, di tale regolamento, in combinato disposto con il considerando 16 di quest’ultimo, risulterebbe che dati pseudonimizzati costituiscono dati personali, e ciò semplicemente a causa dell’esistenza di informazioni aggiuntive che consentono di attribuirli a una determinata persona.

64      Secondo il GEPD, le considerazioni di cui ai punti 90 e 91 della sentenza impugnata non tengono sufficientemente conto dei termini di tali disposizioni nonché della distinzione tra anonimizzazione e pseudonimizzazione. A tale riguardo, il Comitato europeo per la protezione dei dati precisa che, secondo l’interpretazione accolta dal Tribunale, i dati personali cambierebbero natura quando sono trasmessi a un’entità esterna al titolare del trattamento, che non dispone di informazioni aggiuntive che consentano di identificare l’interessato. Questa interpretazione consentirebbe a tale titolare di sottrarre indebitamente i dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di tali dati, e ciò anche quando il trattamento da parte dell’entità esterna esponga gli interessati a rischi significativi.

65      Il GEPD rileva poi che, avendo introdotto la nozione di pseudonimizzazione, il legislatore dell’Unione ha chiarito che, per escludere dati personali dall’ambito di applicazione del diritto dell’Unione in materia di protezione di tali dati, non è sufficiente separare i dati in parola dalle informazioni aggiuntive che consentono di identificare l’interessato.

66      Infine, il GEPD ricorda che la nozione di dati personali deve essere interpretata estensivamente, il che, a suo avviso, è necessario affinché il diritto in materia di protezione dei dati produca il suo effetto utile. Nella misura in cui l’interpretazione del Tribunale consentisse di considerare, erroneamente, i dati pseudonimizzati come dati anonimi, essa sarebbe tale da compromettere l’elevato livello di protezione perseguito dal legislatore dell’Unione e richiesto dalla Carta. Secondo il Comitato europeo per la protezione dei dati, l’interpretazione adottata dal Tribunale comporterebbe altresì il rischio che i dati pseudonimizzati possano essere trattati senza restrizioni ai sensi del RGPD e del regolamento 2018/1725, compresa la loro condivisione, pubblicazione e trasferimento verso paesi terzi.

67      Il SRB, sostenuto dalla Commissione, si oppone a tale argomento.

2)      Giudizio della Corte

68      La prima censura della seconda parte del primo motivo di impugnazione è, in sostanza, fondata sulla considerazione che dati pseudonimizzati come le osservazioni trasmesse a Deloitte costituiscono, in ogni caso, dati personali in ragione della sola esistenza di informazioni che consentono di identificare l’interessato, senza che sia necessario esaminare concretamente se, nonostante la pseudonimizzazione, la persona alla quale si riferiscono tali dati sia identificabile.

69      A questo proposito, occorre ricordare che, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, affinché un’informazione possa essere qualificata come dato personale, ai sensi di tale disposizione, deve trattarsi di un’informazione concernente una persona fisica «identificata o identificabile». Pertanto, l’applicazione di detto regolamento presuppone, in linea di principio, un esame vertente sul carattere identificato o identificabile della persona interessata dall’informazione di cui si tratta.

70      Tale interpretazione è corroborata dalla quinta e dalla sesta frase del considerando 16 del regolamento 2018/1725, in base alle quali non rientrano nella definizione della nozione di «dati personali» le «informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile», né i «dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (v., per analogia, sentenza del 5 dicembre 2023, Nacionalinis visuomenes sveikatos centras, C-683/21, EU:C:2023:949, punto 57).

71      Per quanto riguarda, più in particolare, i dati pseudonimizzati, occorre osservare, in primo luogo, che tali dati non sono menzionati nella definizione legale della nozione di «dati personali», di cui all’articolo 3, punto 1, del regolamento 2018/1725, ma che le loro caratteristiche risultano dall’articolo 3, punto 6, di tale regolamento. Quest’ultima disposizione definisce la nozione di «pseudonimizzazione» come «il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».

72      Come rilevato, in sostanza, dall’avvocato generale ai paragrafi 46 e 48 delle sue conclusioni, la pseudonimizzazione non costituisce quindi un elemento della definizione dei «dati personali», ma si riferisce all’attuazione di misure tecniche e organizzative dirette a ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati. Secondo il considerando 17 di detto regolamento, la pseudonimizzazione «può [solo] ridurre i rischi» di una siffatta correlazione per tali persone e, di conseguenza, «aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».

73      In secondo luogo, dalla formulazione dell’articolo 3, punto 6, del regolamento 2018/1725 risulta che la nozione di «pseudonimizzazione» presuppone l’esistenza di informazioni che consentano di identificare l’interessato. Orbene, l’esistenza stessa di tali informazioni osta a che dati che sono stati oggetto di una pseudonimizzazione possano, in ogni caso, essere considerati dati anonimi, esclusi dall’ambito di applicazione di tale regolamento.

74      Ciò non toglie che, in terzo luogo, il requisito di una conservazione separata delle informazioni identificative nonché di misure tecniche e organizzative «intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile», previsto all’articolo 3, punto 6, di detto regolamento, indica che la pseudonimizzazione ha segnatamente l’obiettivo di evitare che l’interessato possa essere identificato mediante i soli dati pseudonimizzati.

75      Infatti, a condizione che siffatte misure tecniche e organizzative siano effettivamente attuate e siano idonee a prevenire un’attribuzione dei dati di cui trattasi all’interessato, in modo tale che quest’ultimo non sia o non sia più identificabile, la pseudonimizzazione può incidere sul carattere personale di tali dati ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.

76      A tale riguardo, occorre precisare che, come normalmente avviene nel caso del titolare del trattamento che ha proceduto alla pseudonimizzazione, il SRB dispone, nel caso di specie, delle informazioni aggiuntive che consentono di attribuire le osservazioni trasmesse a Deloitte all’interessato, cosicché, per esso, tali osservazioni conservano, nonostante la pseudonimizzazione, il loro carattere personale.

77      Per quanto riguarda Deloitte, a cui il SRB ha trasmesso osservazioni pseudonimizzate, le misure tecniche e organizzative di cui all’articolo 3, punto 6, del regolamento 2018/1725 possono, come afferma in sostanza il SRB, avere l’effetto che, per tale società, le osservazioni in parola non presentino carattere personale. Ciò presuppone tuttavia, da un lato, che Deloitte non sia in grado di revocare tali misure in occasione di qualsiasi trattamento di dette osservazioni effettuato sotto il suo controllo. Dall’altro lato, dette misure devono effettivamente essere tali da impedire a Deloitte di attribuire le stesse osservazioni all’interessato anche mediante il ricorso ad altri mezzi di identificazione, quali una sovrapposizione con altri elementi, in modo tale che, per tale società, l’interessato non sia o non sia più identificabile.

78      Tale interpretazione è corroborata dal considerando 16 del regolamento 2018/1725, il quale, dopo aver enunciato, nella sua prima frase, che «[è] auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile», prevede, alla seconda frase, che «[i] dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile».

79      Infatti, a seguito di tali indicazioni relative ai dati personali e ai dati pseudonimizzati, la terza frase del considerando in parola precisa che, per stabilire l’identificabilità di una persona è opportuno considerare «tutti i mezzi» di cui il titolare del trattamento o «un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente». Inoltre, ai sensi della quarta frase di tale considerando, per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione «l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici».

80      Orbene, come rilevato, in sostanza, dall’avvocato generale al paragrafo 51 delle sue conclusioni, tali precisazioni relative alla valutazione del carattere identificabile o meno dell’interessato sarebbero private di qualsiasi effetto utile se dati pseudonimizzati dovessero essere considerati come costituenti, in ogni caso e per qualsiasi persona, dati personali ai fini dell’applicazione del regolamento 2018/1725.

81      A questo proposito, occorre ricordare che, per quanto riguarda un comunicato stampa che conteneva un certo numero di indicazioni relative a una persona senza indicarla nominativamente, la Corte non si è limitata, nella sua sentenza del 7 marzo 2024, OC/Commissione (C-479/22 P, EU:C:2024:215, punti da 52 a 64), alla constatazione che l’organismo dell’Unione che aveva pubblicato tale comunicato disponeva di tutte le informazioni che consentivano di identificare tale persona, ma ha esaminato se le indicazioni contenute in detto comunicato consentissero ragionevolmente al pubblico interessato di identificare tale persona, in particolare mediante una combinazione di tali indicazioni con informazioni disponibili su Internet.

82      Inoltre, la Corte ha già dichiarato che non ci si può avvalere ragionevolmente di un mezzo per identificare la persona interessata quando l’identificazione di tale persona è vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che ciò implicherebbe un dispendio sproporzionato di tempo, costi e manodopera (v., in tal senso, sentenza del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 51 e giurisprudenza citata). Tale giurisprudenza corrobora l’interpretazione secondo la quale l’esistenza di informazioni aggiuntive che consentono di identificare la persona interessata non implica, di per sé, che dati pseudonimizzati debbano essere considerati, in ogni caso e per qualsiasi persona, come dati personali ai fini dell’applicazione del regolamento 2018/1725.

83      Nello stesso ordine di idee, la Corte ha dichiarato, in sostanza, segnatamente nelle sentenze del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779, punti 44, 47 e 48) e del 7 marzo 2024, IAB Europe (C-604/22, EU:C:2024:214, punti 43 e 48), che dati di per sé impersonali, raccolti e conservati dal titolare del trattamento, erano comunque collegati a una persona identificabile, dal momento che il titolare del trattamento disponeva di strumenti giuridici per ottenere da altri le informazioni aggiuntive che consentivano di identificare tale persona. Infatti, in tali circostanze, il fatto che le informazioni che consentivano di identificare l’interessato si trovassero in possesso di più persone non ne impediva effettivamente l’identificazione in modo tale che quest’ultimo non fosse essere identificabile per il titolare del trattamento.

84      Soprattutto, secondo la giurisprudenza derivante dalla sentenza del 9 novembre 2023, Gesamtverband Autoteile-Handel (Accesso alle informazioni sui veicoli) (C-319/22, EU:C:2023:837, punti 46 e 49), dati che sono di per sé impersonali possono acquisire carattere «personale», qualora il titolare del trattamento li metta a disposizione di altre persone che dispongono di mezzi che consentano con ragionevole probabilità l’identificazione dell’interessato. Da quest’ultima sentenza risulta, in particolare, che – nel contesto di una siffatta messa a disposizione – detti dati presentano un carattere personale tanto per tali persone quanto, indirettamente, per il titolare del trattamento.

85      Di conseguenza, alla luce della giurisprudenza ricordata al punto precedente, il GEPD sostiene erroneamente che il fatto che dati pseudonimizzati non presentino, se del caso, un carattere personale per le persone alle quali il titolare del trattamento trasferisce dati pseudonimizzati consentirebbe di sottrarre indebitamente tali dati dall’ambito di applicazione del diritto dell’Unione in materia di protezione dei dati personali. Infatti, secondo la stessa giurisprudenza, detta circostanza non incide sulla valutazione del carattere personale dei medesimi dati nel contesto, in particolare, del loro eventuale trasferimento successivo a terzi. Pertanto, nei limiti in cui non è escluso che tali terzi siano ragionevolmente in grado di attribuire, con mezzi quali un controllo incrociato con altri dati di cui dispongono, i dati pseudonimizzati all’interessato, quest’ultimo deve essere considerato identificabile per quanto riguarda tanto tale trasferimento quanto qualsiasi ulteriore trattamento di tali dati da parte di detti terzi. In tali circostanze, i dati pseudonimizzati dovrebbero essere considerati personali.

86      Ne consegue che, contrariamente a quanto sostiene il GEPD, non si deve ritenere che i dati pseudonimizzati costituiscano, in ogni caso e per qualsiasi persona, dati personali ai fini dell’applicazione del regolamento 2018/1725, in quanto la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile.

87      Tale interpretazione non è messa in discussione dalla circostanza, invocata dal GEPD, secondo cui la quarta frase del considerando 16 del regolamento 2018/1725 riguarda il titolare del trattamento o «un terzo». Infatti, dai termini stessi di tale frase, ricordati al punto 79 della presente sentenza, risulta che essa si riferisce solo alle persone che dispongono di o possono accedere ai mezzi che consentono con ragionevole probabilità l’identificazione dell’interessato. Orbene, come rilevato ai punti da 75 a 77 della presente sentenza, la pseudonimizzazione può, a seconda delle circostanze del caso di specie, effettivamente impedire a persone diverse dal titolare del trattamento di identificare l’interessato in modo tale che, per esse, quest’ultimo non sia o non sia più identificabile.

88      Per quanto riguarda l’argomento del GEPD vertente sull’obiettivo di garantire un livello elevato di protezione dei dati personali, sebbene i termini dell’articolo 3, punto 1, del regolamento 2018/1725 riflettano l’obiettivo del legislatore dell’Unione di attribuire un significato ampio alla nozione di «dati personali», tale nozione non è illimitata, dal momento che la disposizione citata richiede segnatamente che l’interessato sia identificato o identificabile.

89      In particolare, come rilevato dall’avvocato generale al paragrafo 58 delle sue conclusioni, il regolamento 2018/1725 contiene obblighi, quali l’obbligo di fornire informazioni all’interessato previsto all’articolo 15 di tale regolamento, il cui rispetto presuppone l’identificazione dell’interessato. Orbene, obblighi del genere non possono essere imposti a un soggetto che non sia affatto in grado di procedere a tale identificazione.

90      Pertanto, la prima censura della seconda parte del primo motivo di impugnazione deve essere respinta in quanto infondata.

b)      Sulla seconda censura della seconda parte del primo motivo di impugnazione

1)      Argomenti delle parti

91      Con la seconda censura della seconda parte del primo motivo di impugnazione, il GEPD sostiene che il Tribunale ha disatteso la giurisprudenza derivante dalla sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779).

92      In primo luogo, il Tribunale avrebbe travisato il carattere oggettivo della condizione relativa al carattere «identificabile» dell’interessato, dichiarando, ai punti 97, 99 e 100 della sentenza impugnata, in particolare, che il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali. Infatti, secondo il GEPD, dai punti 47 e 48 della sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779), risulta che la mera esistenza di strumenti giuridici che consentano di identificare la persona interessata è sufficiente per concludere che tale persona è identificabile. Orbene, nel caso di specie, il SRB sarebbe stato in grado di identificare gli interessati, circostanza di cui il Tribunale non avrebbe tenuto sufficientemente conto nell’ambito dell’applicazione della giurisprudenza derivante da tale sentenza.

93      In secondo luogo, il GEPD sostiene che, in detta sentenza, il carattere identificabile o meno dell’interessato è stato valutato dal punto di vista del titolare del trattamento, e ciò in assenza di qualsiasi rapporto tra tale titolare e le entità in possesso delle informazioni aggiuntive che consentivano di identificare tale persona. Per contro, nel caso di specie, Deloitte non sarebbe il titolare del trattamento e sarebbe, inoltre, vincolata da un contratto al SRB. Tenuto conto di tali differenze, il GEPD ritiene che esso che non era tenuto a procedere a una valutazione completa dei mezzi che avrebbero consentito a Deloitte, con ragionevole probabilità, l’identificazione degli interessati.

94      In ogni caso, nell’ipotesi in cui fosse stato nondimeno tenuto a valutare se Deloitte fosse in grado di identificare gli autori delle osservazioni che le erano state trasmesse, il GEPD sostiene che nulla impediva a Deloitte di procedere a tale identificazione.

95      Il SRB, sostenuto dalla Commissione, si oppone a tale argomento.

96      In primo luogo, ai punti 96, 97 e 100 della sentenza impugnata, in particolare, il Tribunale si sarebbe correttamente basato su un approccio secondo il quale il carattere identificabile dell’interessato deve essere esaminato rispetto a ciascun soggetto e a ciascun titolare del trattamento interessato che tratta le informazioni pertinenti. Orbene, nel contesto dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, tale esame dovrebbe porsi nella prospettiva del destinatario delle informazioni di cui trattasi.

97      In secondo luogo, il SRB sostiene che l’argomento vertente sulle asserite differenze che la presente causa presenterebbe rispetto a quella sfociata nella sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779), è irricevibile. Esso ritiene che tale argomento metta in discussione le constatazioni di fatto del Tribunale contenute ai punti 94 e 95 della sentenza impugnata, secondo le quali Deloitte non aveva accesso alle informazioni identificative necessarie per identificare i reclamanti.

2)      Giudizio della Corte

98      Ai punti da 97 a 100 della sentenza impugnata, in particolare, il Tribunale ha dichiarato, in sostanza, che, conformemente alla giurisprudenza derivante dalla sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779), il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali. Per giungere a tale constatazione, il Tribunale ha rilevato, in particolare, che la violazione dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, constatata nella decisione controversa, riguardava il trasferimento da parte del SRB di tali osservazioni a Deloitte e non la mera detenzione di queste ultime da parte del SRB.

99      In via preliminare, occorre ricordare che l’articolo 3, punto 1, del regolamento 2018/1725 non precisa espressamente la prospettiva pertinente per valutare il carattere identificabile dell’interessato, mentre il considerando 16 di tale regolamento riguarda, in modo indifferenziato, il «titolare del trattamento» o «un terzo». Inoltre, secondo costante giurisprudenza, perché un dato possa essere qualificato come «dato personale» non si richiede che tutte le informazioni che consentono di identificare l’interessato debbano essere in possesso di una sola persona (v., in tal senso, sentenze del 19 ottobre 2016, Breyer, C-582/14, EU:C:2016:779, punto 43, e del 7 marzo 2024, OC/Commissione, C-479/22 P, EU:C:2024:215, punto 48).

100    Secondo la giurisprudenza derivante segnatamente dalla sentenza del 19 ottobre 2016, Breyer (C-582/14, EU:C:2016:779), richiamata ai punti da 81 a 84 della presente sentenza, la prospettiva pertinente per valutare l’identificabilità dell’interessato dipende essenzialmente dalle circostanze che caratterizzano il trattamento dei dati in ciascun caso particolare.

101    Nel caso di specie, occorre ricordare che, nella decisione controversa, il GEPD ha constatato che, omettendo di menzionare Deloitte quale potenziale destinataria delle osservazioni nella dichiarazione sulla riservatezza presentata al momento della loro raccolta, il SRB aveva violato il suo obbligo di informazione risultante dall’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725.

102    L’articolo 15, paragrafo 1, di tale regolamento stabilisce le informazioni che il titolare del trattamento deve fornire all’interessato, qualora i dati personali siano raccolti presso quest’ultimo, precisando nel contempo che tali informazioni devono essere fornite a tale persona «nel momento in cui i dati personali sono ottenuti». Dalla formulazione stessa di tale disposizione risulta che tali informazioni devono essere fornite dal titolare del trattamento immediatamente, ossia al momento della raccolta di tali dati (v., per analogia, sentenza del 29 luglio 2019, Fashion ID, C-40/17, EU:C:2019:629, punto 104 e giurisprudenza citata).

103    Per quanto riguarda, più in particolare, l’informazione relativa agli eventuali destinatari dei dati personali, di cui all’articolo 15, paragrafo 1, lettera d), di detto regolamento, si tratta di un’informazione da fornire, tra le altre, al momento della raccolta dei dati presso l’interessato.

104    L’articolo 14, paragrafo 1, del regolamento 2018/1725 prevede che il titolare del trattamento adotti misure appropriate, in particolare, affinché le informazioni di cui, in particolare, all’articolo 15 di tale regolamento siano fornite all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile e che siano formulate con un linguaggio semplice e chiaro, in modo che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli vengono inviate [v., per analogia, sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C-487/21, EU:C:2023:369, punto 38, nonché dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C-757/22, EU:C:2024:598, punti 55 e 56].

105    L’importanza del rispetto di un siffatto obbligo di informazione è confermata dal considerando 35 del regolamento 2018/1725, le cui frasi prima e seconda enunciano che il principio del trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, sottolineando che il titolare del trattamento dovrebbe altresì fornire eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, come previsto dall’articolo 15, paragrafo 2, di tale regolamento [v., per analogia, sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C-757/22, EU:C:2024:598, punto 57 e giurisprudenza citata].

106    Pertanto, qualora la raccolta di tali dati presso l’interessato – come, nel caso di specie, nell’ambito del procedimento relativo al diritto di essere ascoltati – sia fondata sul consenso di tale persona, la validità del consenso prestato da detta persona dipende, tra l’altro, dalla questione se quest’ultima abbia previamente ottenuto le informazioni alla luce di tutte le circostanze relative al trattamento dei dati in questione alle quali aveva diritto, in forza dell’articolo 15 del regolamento 2018/1725, e che le consentono di dare un consenso con piena cognizione di causa [v., per analogia, sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C-757/22, EU:C:2024:598, punto 60].

107    Inoltre, per quanto riguarda l’ipotesi di un obbligo per l’interessato di fornire dati personali al titolare del trattamento, il considerando 35 di tale regolamento precisa, nella sua quarta frase, che è importante che l’interessato sia informato dell’eventuale obbligo di fornire i dati personali e delle conseguenze in cui incorre se si rifiuta di fornirli, il che conferma l’importanza dell’informazione richiesta dall’articolo 15 di detto regolamento, al momento stesso della raccolta dei dati presso l’interessato.

108    In tali circostanze, risulta che l’obbligo di fornire all’interessato – al momento della raccolta dei dati personali ad esso collegati – l’informazione relativa agli eventuali destinatari di tali dati ha, in particolare, lo scopo di consentire a detta persona di decidere con piena cognizione di causa se fornire o, al contrario, rifiutare di fornire i suoi dati personali raccolti presso di essa.

109    Occorre aggiungere che, come affermato, in sostanza, dalla Commissione in udienza, è vero che l’informazione relativa agli eventuali destinatari è indispensabile anche affinché la persona interessata possa, successivamente, difendere i propri diritti nei confronti di tali destinatari. Tuttavia, l’obbligo di fornire tali informazioni al momento della raccolta dei dati personali garantisce, in particolare, che i dati in parola non siano raccolti dal titolare del trattamento contro la volontà dell’interessato, o addirittura trasferiti a terzi contro la sua volontà.

110    Ne consegue che, come rilevato dall’avvocato generale al paragrafo 69 delle sue conclusioni, l’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725 si inserisce nel rapporto giuridico esistente tra l’interessato e il titolare del trattamento e, pertanto, ha ad oggetto le informazioni relative a tale persona quali trasmesse a detto titolare, quindi prima di qualsiasi eventuale trasferimento a un terzo.

111    Pertanto, si deve ritenere che, ai fini dell’applicazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, l’identificabilità dell’interessato debba essere valutata al momento della raccolta dei dati e dal punto di vista del titolare del trattamento.

112    Ne deriva che, come rilevato, in sostanza, dall’avvocato generale al paragrafo 79 delle sue conclusioni, l’obbligo di informazione incombente al SRB si applicava nella fattispecie a monte del trasferimento delle osservazioni in questione e a prescindere dal fatto che fossero o meno dati personali, dal punto di vista di Deloitte, dopo la loro eventuale pseudonimizzazione.

113    Questa interpretazione non è messa in discussione dall’argomento del SRB vertente sui termini dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, che si riferiscono ai «destinatari (...) dei dati personali». Infatti, come risulta dai punti da 102 a 108 della presente sentenza, tale disposizione disciplina l’obbligo di informazione incombente al titolare del trattamento al momento della raccolta di detti dati. Orbene, la questione se il titolare del trattamento abbia, in tale momento, rispettato il suo obbligo di informazione non può dipendere dalle possibilità di identificazione dell’interessato, di cui disporrebbe, eventualmente, un eventuale destinatario dopo un ulteriore trasferimento dei dati di cui si tratta.

114    Come rilevato, in sostanza, dall’avvocato generale al paragrafo 77 delle sue conclusioni, l’argomento del SRB secondo cui occorrerebbe porsi dal punto di vista del destinatario per controllare il rispetto del suddetto obbligo di informazione avrebbe come conseguenza di rinviare tale controllo nel tempo. Nei limiti in cui detto controllo verterebbe necessariamente su dati personali già trasferiti al destinatario, tale argomento, inoltre, non tiene conto dell’oggetto dell’obbligo di informazione, che è intrinsecamente connesso al rapporto tra il titolare del trattamento e l’interessato.

115    Pertanto, il Tribunale è incorso in un errore di diritto dichiarando, ai punti 97, 98, 100, 101 e da 103 a 105 della sentenza impugnata, che, per valutare se il SRB avesse rispettato il suo obbligo di informazione ai sensi dell’articolo 15, paragrafo 1, lettera d), del regolamento 2018/1725, il GEPD avrebbe dovuto esaminare se le osservazioni trasmesse a Deloitte costituissero, dal punto di vista di quest’ultima, dati personali.

116    Ne consegue che, senza che occorra esaminare gli argomenti del GEPD sintetizzati ai punti 93 e 94 della presente sentenza, la seconda censura della seconda parte del primo motivo di impugnazione dev’essere accolta.

B.       Sul secondo motivo di impugnazione

117    Poiché il primo motivo di impugnazione è fondato, nella sua prima parte e nella seconda censura della sua seconda parte, non occorre esaminare il secondo motivo di impugnazione del GEPD, vertente su una violazione dell’articolo 4, paragrafo 2, e dell’articolo 26, paragrafo 1, del regolamento 2018/1725.

118    Poiché il primo motivo di impugnazione è quindi accolto, occorre annullare la sentenza impugnata.

VI.    Sul ricorso dinanzi al Tribunale

119    Ai sensi dell’articolo 61, primo comma, seconda frase, dello Statuto della Corte di giustizia dell’Unione europea, la Corte, in caso di annullamento della decisione del Tribunale, può statuire definitivamente sulla controversia qualora lo stato degli atti lo consenta.

120    Nel caso di specie, lo stato degli atti consente di statuire sulla controversia per quanto riguarda il primo motivo di ricorso, vertente su un’asserita violazione da parte del GEPD dell’articolo 3, punto 1, del regolamento 2018/1725, in quanto le informazioni trasmesse a Deloitte non costituivano dati personali. Infatti, alla luce delle considerazioni esposte ai punti da 58 a 60 della presente sentenza, il GEPD ha potuto, da un lato, ritenere, senza incorrere in errori di diritto, che le osservazioni trasmesse a Deloitte costituissero informazioni concernenti persone fisiche, ossia agli autori di tali osservazioni. Dall’altro lato, come rilevato al punto 111 della presente sentenza, nell’ambito dell’applicazione dell’obbligo di informazione previsto all’articolo 15, paragrafo 1, lettera d), di tale regolamento, l’identificabilità dell’interessato deve essere valutata collocandosi dal punto di vista del titolare del trattamento. Orbene, è pacifico tra le parti che il SRB disponeva, in quanto titolare del trattamento, di tutte le informazioni necessarie per identificare gli autori di dette osservazioni. Da quanto precede risulta che le informazioni controverse costituiscono, contrariamente a quanto sostiene il SRB, dati personali. Pertanto, il primo motivo di ricorso deve essere respinto in quanto infondato.

121    Per contro, lo stato degli atti non consente di statuire sulla controversia per quanto riguarda il secondo motivo di ricorso, dal momento che tale motivo implica valutazioni di fatto che non sono state operate dal Tribunale.

122    Di conseguenza, occorre rinviare la causa al Tribunale ai fini dell’esame del secondo motivo di ricorso.

VII. Sulle spese

123    Poiché la causa è stata rinviata dinanzi al Tribunale, occorre riservare le spese relative all’impugnazione.

Per questi motivi, la Corte (Prima Sezione) dichiara e statuisce:

1)      La sentenza del Tribunale dell’Unione europea del 26 aprile 2023, CRU/GEPD (T-557/20, EU:T:2023:219), è annullata.

2)      La causa T-557/20 è rinviata dinanzi al Tribunale dell’Unione europea.

3)      Le spese sono riservate.

Firme

* Lingua processuale: l’inglese.