Tribunale Ue: la Commissione condannata a risarcire i danni per trasferimento di dati personali negli Stati Uniti

Tribunale Ue: la Commissione deve risarcire i danni a un visitatore del suo sito Internet della Conferenza sul futuro dell’Europa a causa del trasferimento di dati personali negli Stati Uniti

Ricorso proposto il 9 giugno 2022 – Bindl/Commissione, (Causa T-354/22), Lingua processuale: il tedesco

Attraverso il collegamento ipertestuale «connettersi con Facebook», visualizzato sulla pagina Internet di EU
Login, la Commissione ha creato le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato
all’impresa americana Meta Platforms

Un cittadino residente in Germania lamenta la violazione da parte della Commissione del diritto alla protezione dei suoi dati personali in occasione della consultazione da parte sua, nel 2021 e nel 2022, del sito internet della
Conferenza sul futuro dell’Europa (1) , gestito dalla Commissione. Più precisamente, egli si era registrato tramite questo sito per l’evento «GoGreen», utilizzando il servizio di autenticazione EU Login della Commissione e scegliendo l’opzione offerta di accedere utilizzando il suo account Facebook.
L’interessato ritiene che, in occasione delle sue consultazioni di tale sito Internet, taluni dati personali ad esso
appartenenti sarebbero stati trasferiti verso destinatari stabiliti negli Stati Uniti, in particolare il suo indirizzo IP nonché informazioni sul suo browser e sul suo terminale.
In effetti, da un lato, questi dati sarebbero stati trasferiti alla società americana Amazon Web Services, in qualità di gestore della rete di diffusione di contenuti denominata Amazon CloudFront, che sarebbe utilizzata dal sito Internet in questione. Dall’altro lato, quando si è registrato all’evento «GoGreen» utilizzando il suo account Facebook, questi dati sarebbero stati trasferiti alla società americana Meta Platforms, Inc.
Orbene, secondo l’interessato, gli Stati Uniti non hanno un livello di protezione adeguato. Tali trasferimenti
avrebbero dato luogo ad un rischio di accesso ai suoi dati da parte dei servizi americani di sicurezza e di intelligence.
La Commissione non avrebbe menzionato alcuna delle garanzie adeguate idonee a giustificare tali trasferimenti (2) .
Egli chiede, a tale titolo, il versamento di 400 euro come risarcimento del danno morale che avrebbe subito a causa dei trasferimenti controversi.
Egli chiede altresì l’annullamento dei trasferimenti dei suoi dati personali, di constatare che la Commissione si è
illegittimamente astenuta dal prendere posizione su una richiesta di informazioni e di condannare la Commissione a versargli un importo di 800 euro a titolo di risarcimento del danno morale che egli avrebbe subito a causa della violazione del suo diritto di accesso alle informazioni.
Il Tribunale respinge la domanda di annullamento in quanto irricevibile e decide che non vi è più luogo a statuire sulla domanda per carenza. Il Tribunale respinge altresì la domanda di risarcimento fondata sulla violazione del diritto di accesso alle informazioni, ritenendo che manchi il danno morale lamentato.
Per quanto riguarda la domanda di risarcimento fondata sui trasferimenti di dati controversi, il Tribunale respinge tale domanda quanto ai trasferimenti di dati attraverso Amazon CloudFront.
In effetti, il Tribunale ha concluso che, durante una delle connessioni contestate, i dati non sono stati trasferiti negli Stati Uniti ma, in base al principio di prossimità (3), a un server (4 ) situato a Monaco, in Germania. In base al contratto stipulato tra la Commissione e il gestore di Amazon CloudFront, la società lussemburghese Amazon Web Services, quest’ultima doveva garantire che i dati rimanessero a riposo e in transito in Europa.
Per quanto riguarda un’altra connessione, è stato l’interessato stesso a far sì che venisse inviata, tramite il
meccanismo di instradamento di Amazon CloudFront, verso server negli Stati Uniti. Infatti, a causa di un
aggiustamento tecnico, questi era apparentemente localizzato negli Stati Uniti.
Per contro, per quanto riguarda l’iscrizione dell’interessato all’evento «GoGreen», il Tribunale ritiene che la
Commissione abbia creato, attraverso il collegamento ipertestuale «connettersi con Facebook» visualizzato sulla pagina Internet di EU Login, le condizioni che consentono di trasmettere l’indirizzo IP dell’interessato a Facebook.
Tale indirizzo IP costituisce un dato personale che, tramite detto collegamento ipertestuale, è stato trasmesso a
Meta Platforms, impresa con sede negli Stati Uniti. Tale trasferimento deve essere imputato alla Commissione.
Orbene, al momento del trasferimento, vale a dire il 30 marzo 2022, non esisteva alcuna decisione della
Commissione che constatasse che gli Stati Uniti garantivano un livello adeguato di protezione dei dati personali dei cittadini dell’UE. Inoltre, la Commissione non ha dimostrato, o anche solo dedotto, l’esistenza di una garanzia adeguata, in particolare di una clausola standard di protezione dei dati o di una clausola contrattuale (5). La visualizzazione del collegamento ipertestuale «connettersi con Facebook» sul sito Internet di EU Login era semplicemente disciplinata dalle condizioni generali della piattaforma Facebook.
La Commissione non ha quindi rispettato le condizioni poste dal diritto dell’Unione per il trasferimento, da parte di un’istituzione, di un organismo o di un organismo dell’Unione, di dati personali verso un paese terzo.
Il Tribunale afferma che la Commissione è incorsa in una violazione sufficientemente qualificata di una norma
di diritto preordinata a conferire diritti ai singoli. L’interessato ha subito un danno morale, poiché si è trovato in
una situazione di incertezza riguardo al trattamento dei suoi dati personali, in particolare del suo indirizzo IP.
Inoltre, esiste un nesso causale sufficientemente diretto tra la violazione nella quale è incorsa la Commissione e il danno morale subito dall’interessato.
Essendo soddisfatte le condizioni per il sorgere della responsabilità extracontrattuale dell’Unione, il
Tribunale condanna la Commissione a versare all’interessato la somma di 400 euro, da lui richiesta.

NOTE
1) All’indirizzo https://futureu.europa.eu .
2) Previste al capo V del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, relativo alla protezione delle persone
fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché alla libera circolazione di tali
dati.
3) Il servizio Amazon CloudFront è fondato su un meccanismo di instradamento che dirige la richiesta di un utente del sito Internet della Conferenza sul
futuro dell’Europa verso il server periferico che fornisce il tempo di latenza più debole, secondo un principio di prossimità al terminale dell’utente, affinché il
contenuto sia trasmesso all’utente nelle migliori condizioni possibili.
4) Tale server appartiene a un’impresa tedesca che fa parte della rete di siti periferici di Amazon CloudFront.
5) Adottate alle condizioni previste all’articolo 48, paragrafi 2 e 3, del regolamento 2018/1725.

TESTO DEL RICORSO

Parti

Ricorrente: Thomas Bindl (Monaco, Germania) (rappresentante: T. Herbrich, avvocato)
Convenuta: Commissione europea

Conclusioni
Il ricorrente chiede che il Tribunale voglia

  • annullare i trasferimenti dei dati personali del ricorrente a destinatari stabiliti in paesi terzi sprovvisti di un livello di protezione adeguato nei confronti del ricorrente, effettuati dalla convenuta in violazione del capo V del regolamento (UE) 2018/1725, in occasione dell’accesso del ricorrente al sito Internet «https://futureu.europa.eu» in data 30 marzo 2022 e 8 giugno 2022, nonché dell’iscrizione all’evento «GoGreen» il 30 marzo 2022;
  • dichiarare che la convenuta ha illegittimamente omesso di dare seguito alla richiesta del ricorrente del 1° aprile 2022 avente ad oggetto informazioni sul trattamento dei suoi dati personali da parte della convenuta, nonché sull’esistenza di garanzie adeguate ai sensi dell’articolo 48 del regolamento (UE) 2018/1725 relative al trasferimento a destinatari stabiliti in paesi terzi;
  • condannare la convenuta a risarcire il danno subito dal ricorrente a causa dell’errata applicazione del   regolamento (UE) 2018/1725 per un importo pari a EUR 1 200, oltre interessi maggiorati di 2 punti percentuali rispetto al tasso di interesse fissato dalla Banca centrale europea sulle operazioni di rifinanziamento principali, a partire dalla data di pronuncia della sentenza;
  • condannare la convenuta alle spese.

Motivi e principali argomenti

A sostegno del ricorso, il ricorrente deduce cinque motivi.
Primo motivo, vertente sull’errata applicazione dell’articolo 46, frase 1, nonché dell’articolo 48, paragrafi 1 e 2, lettera b), del regolamento (UE) 2018/1725 1
La convenuta avrebbe trasferito, in occasione dell’accesso al sito Internet «https://futureu.europa.eu», i dati personali del ricorrente a destinatari stabiliti negli Stati Uniti, paese terzo, rispetto al quale la Commissione non avrebbe adottato una decisione di adeguatezza.
Un trasferimento dei dati personali del ricorrente a destinatari stabiliti negli Stati Uniti sulla base di clausole contrattuali tipo di cui all’articolo 48, paragrafo 2, lettera b), del regolamento (UE) 2018/1725 non fornirebbe, in assenza di misure di protezione supplementari sotto un profilo tecnico e organizzativo, garanzie adeguate che negli Stati Uniti sia assicurato un livello appropriato di protezione.

Secondo motivo, vertente sulla violazione dei diritti fondamentali del ricorrente di cui agli articoli 7 e 8 della Carta dei diritti fondamentali (in prosieguo: la «Carta»)
Le restrizioni ai diritti fondamentali del ricorrente ai sensi dell’articolo 7 e dell’articolo 8 della Carta, derivanti dal fatto che le autorità statunitensi, in base al diritto statunitense, potrebbero accedere ai dati trasferiti dall’Unione agli Stati Uniti e utilizzarli, non sarebbero disciplinate in modo tale da soddisfare requisiti sostanzialmente equivalenti a quelli previsti nel diritto dell’Unione ai sensi dell’articolo 52, paragrafo 1, seconda frase, della Carta.
Né il 50 U.S. Code § 1881a (Section 702 FISA) né l’Executive Order 12333 assicurerebbero ai cittadini dell’Unione possibilità o diritti per difendersi contro l’accesso di terzi ai loro dati personali o per far valere effettivamente i diritti previsti dal regolamento (UE) 2018/1725.
Il diritto di accesso del ricorrente, previsto dall’articolo 17, paragrafi 1 e 2, del regolamento (UE) 2018/1725, sarebbe un presupposto ai fini dell’esercizio dei diritti fondamentali conferiti al ricorrente dall’articolo 7 e dall’articolo 8, paragrafo 1, della Carta. La convenuta, a causa della sua inerzia rispetto alla sua richiesta di accesso, avrebbe privato il ricorrente della possibilità di esercitare le posizioni protette dai diritti fondamentali. La violazione dei diritti fondamentali di cui all’articolo 7 e all’articolo 8, paragrafo 1, della Carta, derivante dall’inerzia della convenuta, non sarebbe quindi giustificata.

Terzo motivo, vertente sulla violazione dei diritti fondamentali del ricorrente ai sensi dell’articolo 47 della Carta
Il diritto statunitense non contemplerebbe la possibilità di una tutela giurisdizionale contro l’accesso ai dati personali dei cittadini dell’Unione da parte delle autorità di sicurezza e dei servizi di intelligence statunitensi.
Quanto ai programmi di sorveglianza delle agenzie di sicurezza e di intelligence statunitensi basati sul 50 U.S. Code § 1881a (Section 702 FISA) e sull’Executive Order 12333 – ad esempio PRISM e UPSTREAM – né la Presidential Policy Directive 28 né l’Executive Order 12333 conferirebbero agli interessati diritti di cui è possibile invocare la tutela giurisdizionale nei confronti delle autorità statunitensi.

Quarto motivo, vertente sull’errata applicazione dell’articolo 17, paragrafi 1 e 2, nonché dell’articolo 14, paragrafi 3 e 4, del regolamento (UE) 2018/1725
La convenuta avrebbe illegittimamente omesso di fornire al ricorrente, a seguito della sua richiesta di accesso del 1° aprile 2022, le informazioni menzionate all’articolo 17, paragrafi 1 e 2, del regolamento (UE) 2018/1725, in particolare sull’esistenza delle garanzie di cui al successivo articolo 48, entro il termine di un mese previsto dall’articolo 14, paragrafo 3, prima frase, di detto regolamento.
La convenuta avrebbe illegittimamente omesso di comunicare al ricorrente i motivi alla base di un’eventuale proroga del termine per fornire le informazioni ai sensi dell’articolo 14, paragrafo 3, seconda frase, del regolamento (UE) 2018/1725 o, rispettivamente, di informare il ricorrente, ai sensi dell’articolo 14, paragrafi 3 e 4, del medesimo regolamento, entro un mese dalla presentazione della richiesta, dei motivi del diniego di accesso nonché dei mezzi di ricorso giurisdizionali ed extragiudiziali a disposizione.

Quinto motivo, vertente sul danno morale
In considerazione del rifiuto di fornire l’accesso da parte della convenuta, nonché del trasferimento incontrollato dei dati personali del ricorrente a destinatari stabiliti negli Stati Uniti da parte della stessa convenuta, e della concomitante incertezza relativa ad una sorveglianza illegale del traffico Internet, il ricorrente avrebbe subito un danno morale pari a EUR 1 200.

____________

1Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39).

CAUSA T‑354/22
SENTENZA DEL TRIBUNALE (sesta sezione ampliata)
8 gennaio 2025 (*)
“Trattamento di dati personali – Tutela delle persone fisiche rispetto al trattamento dei dati personali da parte delle istituzioni, degli organi e delle agenzie dell’Unione – Regolamento (UE) 2018/1725 – Nozione di “trasferimento di dati a carattere personale verso un paese terzo” ” – Trasferimento di dati in occasione della consultazione di un sito web – EU Login – Ricorso di annullamento – Atto non impugnabile – Irricevibilità – Ricorso per inadempimento – Decisione posizione che pone fine all’inadempimento – Non luogo a statuire – Ricorso risarcitorio – Violazione sufficientemente qualificata di una norma giuridica che conferisce diritti ai singoli – Nesso causale – Danno morale”
Nella causa T‑354/22,
Tommaso Bindl, residente a Monaco (Germania), rappresentato dal sig. ME T. Herbrich, avvocato,
parte richiedente,
contro
Commissione europea, rappresentato da MM. A. Bouchagiar, B. Hofstötter e H. Kranenborg, in qualità di agenti,
convenuto,
IL TRIBUNALE (sesta sezione ampliata),
composto da MNoi M. J. Costeira (relatori), presidente, M. Kancheva, MM. U. Öberg, P. Zilgalvis e MMe E. Tichy‑Fisslberger, giudici,
impiegato: mMe S. Jund, amministratore,
vista la fase scritta del procedimento,
viste la misura di organizzazione del procedimento del 21 luglio 2023 e le memorie della Commissione e della ricorrente depositate presso la cancelleria del Tribunale, rispettivamente, il 7 e l’8 settembre 2023,
a seguito dell’udienza del 17 ottobre 2023,
viste la misura di organizzazione del procedimento del 9 febbraio 2024 e le memorie della Commissione e della ricorrente depositate presso la cancelleria del Tribunale, rispettivamente, il 12 e il 13 marzo 2024,
restituisce il presente
Fermare
1        Con il suo ricorso basato sugli articoli 263, 265 e 268 TFUE, il ricorrente, sig. Thomas Bindl, chiede alla Corte, in primo luogo, di cancellare i trasferimenti dei suoi dati personali verso paesi terzi che non dispongono di un livello di protezione adeguato e, in secondo luogo, di constatare che la Commissione Europea si è illegittimamente astenuta dal prendere posizione sulla richiesta di informazioni di 1È aprile 2022 e, in terzo luogo, per riparare il danno morale che avrebbe subito a seguito, da un lato, della violazione del suo diritto di accesso alle informazioni e, dall’altro, dei trasferimenti dei suoi dati a carattere personale.
Fatti della controversia e fatti successivi al deposito del ricorso
2        Il ricorrente è un cittadino tedesco interessato a questioni nel campo dell’informatica e della protezione dei dati personali.
3        La direzione generale della Comunicazione della Commissione è responsabile del trattamento dei dati personali ai fini del sito web della Conferenza sul futuro dell’Europa all’indirizzo “https://futureu.europa.eu” (di seguito il “sito web CAE”).
4        Il ricorrente ha consultato più volte il sito web della CAE nel corso degli anni 2021 e 2022. Ha consultato questo sito in particolare il 30 marzo 2022 e si è registrato all’evento “GoGreen” ivi apparso utilizzando il suo account Facebook e, l’8 giugno 2022, ha visitato nuovamente il suddetto sito web.
5        Con messaggio di posta elettronica del 9 novembre 2021 (di seguito la “richiesta di informazioni del 9 novembre 2021”), il ricorrente ha chiesto al responsabile della protezione dei dati della Commissione di fornirgli informazioni ai sensi del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio del 23 ottobre 2018 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi e delle agenzie dell’Unione e la libera circolazione di tali dati, e che abroga il Regolamento (CE) nIL 45/2001 e decisione n.IL 1247/2002/CE (GU 2018, L 295, pag. 39).
6        Nella suddetta email, in primo luogo, il ricorrente indicava di aver notato che, collegandosi al sito della CAE, era stato attivato un collegamento con fornitori terzi, come la società americana Amazon Web Services; in secondo luogo, chiede di essere informato su quali dati personali che lo riguardano siano stati trattati o conservati e quali, eventualmente, siano stati ceduti a terzi; in terzo luogo, ha chiesto informazioni sulla base giuridica di tale trasferimento nonché sull’esistenza di eventuali garanzie riguardo al trasferimento verso paesi terzi che non dispongono di un livello di protezione adeguato.
7        Con messaggio di posta elettronica del 3 dicembre 2021, la direzione generale della Comunicazione della Commissione ha inviato al richiedente un collegamento elettronico informandolo che tale collegamento gli consentiva di generare direttamente un elenco dei dati personali trattati durante la consultazione del sito web del CAE. Inoltre, ha informato il ricorrente, da un lato, che i suoi dati personali non erano stati trasferiti a destinatari situati al di fuori dell’Unione europea e, dall’altro, che essi erano archiviati e trattati dal sito web del CAE, che utilizzava un sistema di content delivery rete gestita da Amazon Web Services EMEA SARL (di seguito “AWS EMEA”), con sede in Lussemburgo (Lussemburgo). Inoltre, ha chiarito che, nell’ambito degli accordi contrattuali conclusi tra la Commissione e AWS EMEA, il titolare del trattamento non utilizza servizi che richiederebbero un trasferimento di dati a partner AWS EMEA situati negli Stati Uniti e che l’ il trasferimento dei dati al di fuori del territorio dell’Unione non era, in linea di principio, consentito.
8        Per e-mail da 1È aprile 2022, il ricorrente ha chiesto alla Commissione, ai sensi del regolamento 2018/1725, informazioni sul trattamento dei suoi dati (di seguito la “richiesta di informazioni del 1È aprile 2022). Innanzitutto ha affermato di aver notato che quando ha effettuato l’accesso al sito web di CAE si è verificato un collegamento con fornitori terzi come AWS EMEA e che si sarebbe stabilito un collegamento con Microsoft quando ha utilizzato i suoi dati di accesso a Facebook per registrarsi su questo sito web . In secondo luogo, ha chiesto di essere informato su quali dati personali che lo riguardano siano stati trattati o archiviati e quali, eventualmente, siano stati trasferiti a terzi. In terzo luogo, ha chiesto informazioni sulla base giuridica di tale trasferimento nonché sull’esistenza di eventuali garanzie riguardo al trasferimento verso paesi terzi che non dispongono di un livello di protezione adeguato. In quarto luogo, ha richiesto una copia dei suoi dati, compresi quelli archiviati o elaborati da terzi come Facebook.
9        Con e-mail del 22 aprile e del 2 maggio 2022, il richiedente ha insistito affinché la Commissione gli fornisse una risposta alla richiesta di informazioni del 1 maggio.È Aprile 2022.
10      Con atto depositato presso la Cancelleria della Corte il 9 giugno 2022, la ricorrente ha proposto il presente ricorso.
11      Con e-mail del 30 giugno 2022, la Commissione ha informato il richiedente di ritenere che la richiesta di informazioni del 1° giugnoÈ Aprile 2022 era quasi identica alla richiesta di informazioni del 9 novembre 2021 e a quest’ultima aveva già risposto con la sua email del 3 dicembre 2021.
12      Amazon Web Services è una società con sede negli Stati Uniti e AWS EMEA è una società con sede in Lussemburgo. Queste due società sono filiali della società americana Amazon.com, Inc.
Conclusioni delle parti
13      La ricorrente chiede che la Corte voglia:
– annullare i trasferimenti dei tuoi dati personali verso paesi terzi che non dispongono di un livello di protezione adeguato avvenuti il ​​30 marzo e l’8 giugno 2022;
– constatare che la Commissione si è illegittimamente astenuta dal prendere posizione sulla richiesta di informazioni di 1È aprile 2022;
– condannare la Commissione a versargli la somma di 1.200 euro, più interessi, corrispondente, da un lato, all’importo di 800 euro, a titolo di risarcimento del danno morale subito a seguito della violazione del suo diritto di accesso alle informazioni e, dall’altro, per l’importo di 400 euro, a titolo di risarcimento del danno morale subito a seguito delle dette cessioni dei suoi dati;
– condannare la Commissione alle spese.
14      La Commissione conclude che la Corte dovrebbe:
– respingere in quanto irricevibili le conclusioni di annullamento e le conclusioni per carenza;
– in subordine, dichiarare che non vi è più luogo a pronunciarsi sugli accertamenti di inadempimento;
–     respingere le domande di risarcimento in quanto infondate;
– condannare la ricorrente alle spese.
Posto
Considerazioni preliminari sulla tutela dei dati personali da parte delle istituzioni, degli organi e delle agenzie dell’Unione
15      L’articolo 16, paragrafo 1, TFUE e l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (di seguito “la Carta”) prevedono che ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
16      Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1) stabilisce norme generali volte a tutelare le persone fisiche riguardo al trattamento dei dati personali e di garantire la libera circolazione di tali dati (articolo 1È, comma 1, del Regolamento 2016/679).
17      Il regolamento 2018/1725 stabilisce norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organi dell’Unione e norme relative alla libera circolazione dei dati personali tra tali istituzioni e organismi o verso altri destinatari stabiliti in dell’Unione (articolo 1È, comma 1, del Regolamento 2018/1725). Tale regolamento tutela i diritti e le libertà fondamentali delle persone fisiche, e in particolare il loro diritto alla protezione dei dati personali (articolo 1È, comma 2, del Regolamento 2018/1725). Si applica al trattamento dei dati personali da parte di tutte le istituzioni e gli organi dell’Unione (articolo 2, paragrafo 1, del regolamento 2018/1725).
18      Il considerando 5 del Regolamento 2018/1725 ricorda che, secondo la giurisprudenza della Corte, ogni volta che le disposizioni del Regolamento 2018/1725 seguono gli stessi principi delle disposizioni del Regolamento 2016/679, questi due gruppi di disposizioni devono essere interpretati in maniera omogenea, in particolare in ragione del fatto che il regime del Regolamento 2018/1725 deve intendersi equivalente a quello del Regolamento 2016/679. Al riguardo, emerge anche dalla lettura congiunta delle disposizioni dell’articolo 2, comma 3, del Regolamento 2016/679 e dell’articolo 99 del Regolamento 2018/1725 che quest’ultimo regolamento è adeguato ai principi e alle norme del Regolamento 2016/679.
Sulla ammissibilità
Ricevibilità delle conclusioni di annullamento
19      Con il primo capo delle sue conclusioni, il ricorrente chiede la cancellazione dei trasferimenti dei suoi dati personali verso paesi terzi che non dispongono di un livello di protezione adeguato, che avrebbero avuto luogo il 30 marzo e l’8 giugno 2022 (cit. “trasferimenti contestati”).
20      Nel controricorso la Commissione sostiene che la presente domanda di annullamento è irricevibile in quanto non è diretta contro un atto impugnabile, ai sensi dell’articolo 263 TFUE, ma mira a far sì che nei suoi confronti venga indirizzata un’ingiunzione.
21      Il ricorrente sostiene la ricevibilità della domanda di annullamento, sostenendo che i trasferimenti controversi sono atti che producono effetti giuridici obbligatori e che incidono sulla sua situazione giuridica, violando il suo diritto fondamentale alla protezione dei dati personali, garantito dall’articolo 8 della Carta. Ogni diversa interpretazione sarebbe incompatibile con il diritto fondamentale ad una tutela giurisdizionale effettiva, mentre l’articolo 64, comma 1, del Regolamento 2018/1725 riconosce esplicitamente tale diritto.
22      Come ricordato dall’articolo 64, paragrafo 1, e dal considerando 79 del Regolamento 2018/1725, chiunque ha diritto a un ricorso giurisdizionale effettivo dinanzi alla Corte di giustizia dell’Unione europea, conformemente ai Trattati, se ritiene che i diritti conferitigli lui da detto regolamento sono violati.
23      Ne consegue che, nell’ambito del regolamento 2018/1725, ogni interessato ha il diritto, in particolare, di proporre un ricorso di annullamento alle condizioni previste dall’articolo 263 TFUE.
24      Secondo costante giurisprudenza, il ricorso di annullamento previsto dall’articolo 263 TFUE è disponibile nei confronti di qualsiasi atto delle istituzioni, qualunque sia la sua forma, che miri a produrre effetti giuridici vincolanti idonei a pregiudicare gli interessi del ricorrente, modificando in modo significativo la sua situazione giuridica (v. sentenze del 19 gennaio 2017, Commissione/Total e Elf Aquitaine, C‑351/15 P, EU:C:2017:27, punti 35 e 36 e giurisprudenza citata, e del 16 luglio 2020, Inclusion Alliance for Europe/Commissione, C‑378/16 P, EU:C:2020:575, punto 71 e giurisprudenza citato).
25      Per determinare se un atto produce effetti giuridici obbligatori è necessario, secondo la costante giurisprudenza della Corte, concentrarsi sulla sostanza di tale atto e valutarne gli effetti alla luce di criteri oggettivi, quali il contenuto di tale atto atto, tenendo conto, se del caso, del contesto della sua adozione nonché delle competenze dell’istituzione, dell’organo o dell’organismo dell’Unione che ne è responsabile come autore (cfr. sentenza del 15 luglio 2021, FBF, C‑911/19, EU:C:2021:599, punto 38 e giurisprudenza citata).
26      Nel caso di specie, il ricorrente chiede l’annullamento dei trasferimenti controversi, che, a suo dire, hanno avuto luogo in tre occasioni. In primo luogo, durante la consultazione del sito web CAE del 30 marzo 2022 (di seguito il “trasferimento contestato durante la consultazione del sito web CAE del 30 marzo 2022”), i dati personali che lo riguardano, in particolare il suo indirizzo IP nonché informazioni su il suo browser e il suo terminale, sarebbero stati ceduti alla società americana Amazon Web Services, in qualità di operatore della rete di distribuzione di contenuti denominata Amazon CloudFront, che verrebbe utilizzata da detto sito web.
27      In secondo luogo, a seguito della connessione stabilita dal ricorrente, il 30 marzo 2022, al servizio di autenticazione degli utenti della Commissione EU Login, utilizzando il suo account Facebook, al fine di registrarsi all’evento “GoGreen” sul sito web della CAE (di seguito il “trasferimento contestato durante la connessione”) a EU Login il 30 marzo 2022″), i suoi dati personali, in particolare il suo indirizzo IP, nonché informazioni sulla sua browser e il suo terminale sarebbero stati trasferiti alla società americana Meta Platforms, Inc.
28      In terzo luogo, durante la consultazione, da parte del ricorrente, del sito web della CAE dell’8 giugno 2022 (di seguito il “trasferimento contestato durante la consultazione del sito web della CAE dell’8 giugno 2022”), dati di natura personale a lui appartenenti sono stati trasferiti a un Server Amazon CloudFront situato a Newark (New Jersey, Stati Uniti).
29      Inoltre, il ricorrente menziona nella sua domanda di aver avuto accesso al sito web della CAE il 9 novembre 2021 e di essersi registrato sul sito web della CAE in tale data utilizzando il suo account Facebook. Tuttavia, non cita alcuna prova concreta che consenta di concludere che tali circostanze rientrino nella sua richiesta di annullamento dei trasferimenti controversi. È pertanto opportuno prendere in considerazione soltanto i trasferimenti controversi menzionati ai precedenti paragrafi da 26 a 28.
30      Va rilevato che i trasferimenti contestati di cui il ricorrente chiede la cancellazione, menzionati ai precedenti paragrafi da 26 a 28, corrispondono, secondo lo stesso ricorrente, ad operazioni di migrazione di dati informatici che sarebbero state avviate da sistemi o dai servizi informatici della Commissione , in particolare il sito web di CAE, su server appartenenti a società terze stabilite fuori dal territorio dell’Unione.
31      È certamente vero che l’operazione consistente nel trasferire dati personali da un’istituzione o un organismo dell’Unione verso un paese terzo costituisce, in quanto tale, un trattamento di dati personali, ai sensi dell’articolo 3, punto 3, del Regolamento 2018/1725 , effettuati nel territorio dell’Unione, trattamento cui si applica il presente regolamento in forza dell’articolo 2, comma 5 (v., per analogia, sentenza del 16 luglio 2020, Facebook Ireland e Schrems, C‑311/18, in prosieguo: la “sentenza Schrems II”, EU:C:2020:559, punto 83).
32      Tuttavia, tutte le operazioni che possono comportare un trasferimento di dati personali, ai sensi dell’articolo 3, punto 3, del Regolamento 2018/1725, non costituiscono atti impugnabili, ai sensi dell’articolo 263 TFUE, come interpretato dalla causa legge richiamata al precedente punto 24.
33      In questo caso, ammesso che i trasferimenti contestati siano dimostrati, va rilevato che essi costituiscono atti materiali e non atti giuridici. Infatti, i trasferimenti controversi, come descritti nella richiesta, sono operazioni informatiche di migrazione di dati da un terminale o server a un altro, che risultano da interazioni tra il richiedente e sistemi o servizi informatici della Commissione, durante la consultazione del sito web dell’EAC o del sito dell’UE Servizio di accesso. D’altro canto, i trasferimenti controversi non costituiscono atti della Commissione che producono effetti giuridici vincolanti, non sono cioè diretti a risolvere una situazione giuridica e, come risulta dalla loro stessa natura, la Commissione non aveva intenzione di dare loro tali effetti.
34      Pertanto, i trasferimenti controversi non sono idonei a produrre effetti giuridici vincolanti tali da incidere sugli interessi del ricorrente, modificando significativamente la sua situazione giuridica, conformemente alla giurisprudenza richiamata al paragrafo 24 supra. Non possono pertanto essere considerati atti impugnabili ai sensi dell’articolo 263 TFUE.
35      Ne consegue che la domanda di annullamento della ricorrente deve essere respinta in quanto irricevibile.
Ammissibilità delle conclusioni di carenza
36      Con il secondo capo delle sue conclusioni il ricorrente chiede alla Corte di constatare che la Commissione si è illegittimamente astenuta dal prendere posizione sulla richiesta di informazioni di 1È Aprile 2022.
37      Nel controricorso la Commissione sostiene che tale domanda di carenza è irricevibile per mancanza di un invito ad agire ai sensi dell’articolo 265, secondo comma, TFUE. In subordine, la Commissione sostiene che non occorre più pronunciarsi sulla domanda di inottemperanza, tenuto conto della sua risposta al ricorrente con posta elettronica del 30 giugno 2022.
38      La ricorrente sostiene, in sostanza, che la Commissione è ancora obbligata a rispondere alla richiesta di informazioni di 1È aprile 2022, poiché le informazioni da lei fornite con la sua email del 30 giugno 2022 sono insufficienti e inesatte.
39      Secondo costante giurisprudenza, il rimedio previsto dall’articolo 265 TFUE si fonda sull’idea che l’illegale inerzia dell’istituzione in questione consenta di adire il giudice dell’Unione affinché quest’ultimo dichiari che l’astensione dall’agire è contrario al Trattato, quando l’istituzione interessata non ha posto rimedio a tale astensione (sentenza del 12 luglio 1988, Parlamento/Consiglio, 377/87, EU:C:1988:387, punto 9; v., inoltre, sentenza del 16 dicembre 2015, Svezia/Commissione, T‑521/14, non pubblicata, EU:T:2015:976, punto 33 e causa legge citata).
40      Nel caso in cui l’atto la cui omissione è oggetto della controversia sia stato adottato dopo la presentazione del ricorso, ma prima della pronuncia della sentenza, una dichiarazione del giudice dell’Unione che accerta l’illegittimità dell’astensione iniziale non può più condurre alla conseguenze previste dall’articolo 266 TFUE. Ne consegue che, in un caso del genere, l’oggetto del ricorso è venuto meno, per cui non vi è più luogo a statuire (sentenza del 12 luglio 1988, Parlamento/Consiglio, 377/87, EU:C: 1988: 387, punti 10 e 11; v., inoltre, ordinanza del 13 dicembre 2000, Sodima/Commissione, C‑44/00 P, EU:C:2000:686, punto 83 e giurisprudenza citata).
41      In questo caso va osservato che la Commissione ha risposto alla richiesta di informazioni di 1È aprile 2022, tramite la sua email del 30 giugno 2022 (vedi punto 11 sopra). La Commissione ha quindi posto fine all’inadempimento lamentato dalla ricorrente nell’ambito del presente ricorso, dopo la presentazione del presente ricorso. La seconda censura tende a fondare, sulla base dell’articolo 265 TFUE, un inadempimento della Commissione per la mancata risposta alla richiesta di informazioni di 1È Aprile 2022 è quindi diventato irrilevante.
42      È irrilevante al riguardo il fatto che il contenuto della email della Commissione del 30 giugno 2022 non corrisponda alla risposta auspicata dal ricorrente. In effetti, la circostanza che tale presa di posizione dell’istituzione non soddisfi il ricorrente è, a questo proposito, irrilevante, poiché l’articolo 265 TFUE mira all’astensione o alla mancata presa di posizione e non all’adozione di un atto diverso da quello di tale parte avrebbe desiderato o ritenuto necessario (v. ordinanza del 6 aprile 2017, Brancheforeningen for Regulerkraft i Danmark/Commissione, T‑203/16, non pubblicata, EU:T:2017:279, punto 22 e giurisprudenza ivi citata).
43      Ne consegue che non occorre più pronunciarsi sulle constatazioni di inadempimento formulate dalla ricorrente e che non occorre più pronunciarsi sull’irricevibilità di tali constatazioni sollevate dalla Commissione.
Sulle conclusioni per il risarcimento
44      Con il terzo capo delle sue conclusioni il ricorrente formula due domande di risarcimento. In primo luogo, chiede il pagamento di 800 euro a titolo di risarcimento del danno morale che avrebbe subito a causa del mancato rispetto da parte della Commissione del suo diritto di accesso alle informazioni, in violazione dell’articolo 14, paragrafi 3 e 4, e dell’articolo 17, paragrafo 1, e ( 2) del Regolamento 2018/1725 nonché del principio di trasparenza previsto dall’articolo 4, comma 1, lettera a), di tale regolamento. In secondo luogo, chiede il pagamento della somma di 400 euro a titolo di risarcimento del danno morale asseritamente subito a causa dei trasferimenti contestati, avvenuti in violazione degli articoli 46 e 48, comma 1, e comma 2, lettera b), del Regolamento. 2018/1725.
45      La Commissione conclude che le richieste di risarcimento dovrebbero essere respinte.
Considerazioni preliminari sulle condizioni di insorgenza della responsabilità extracontrattuale dell’Unione ai sensi del Regolamento 2018/1725
46      L’articolo 65 del Regolamento 2018/1725 prevede che chiunque abbia subito un danno materiale o morale in conseguenza di una violazione di tale regolamento ha il diritto di ottenere dall’istituzione o dall’organismo dell’Unione il risarcimento del danno subito, alle “condizioni previste”. nei trattati”.
47      L’articolo 65 del regolamento 2018/1725 dovrebbe essere interpretato nel senso che prevede che il diritto di ottenere dall’istituzione o dall’organismo dell’Unione il risarcimento del danno subito a causa di una violazione di tale regolamento è soggetto alle condizioni dell’articolo 340, secondo comma, TFUE, in base al quale l’Unione deve risarcire, secondo i principi generali comuni agli ordinamenti degli Stati membri, i danni cagionati dalle sue istituzioni o dai suoi agenti nell’esercizio delle loro funzioni.
48      Secondo una giurisprudenza costante, l’insorgere della responsabilità extracontrattuale dell’Unione presuppone il verificarsi di tre condizioni cumulative, vale a dire l’illegittimità del comportamento addebitato alle istituzioni, l’effettività del danno e l’esistenza di un nesso di causalità tra tale comportamento e il danno lamentato (v., in tal senso, sentenze del 4 luglio 2000, Bergaderm e Goupil/Commissione, C‑352/98 P, EU:C:2000:361, punti da 39 a 42, e del 28 ottobre 2021, Vialto Consulting/Commissione, C‑650/19 P, EU:C:2021:879, punto 138).
49      Il carattere cumulativo di tali condizioni implica che, poiché una di esse non è soddisfatta, la domanda di risarcimento deve essere respinta nel suo complesso senza che sia necessario esaminare le altre condizioni (sentenza del 9 settembre 1999, Lucaccioni/Commissione, C‑ 257/98 P, EU:C:1999:402, punti 14 e 63 v., anche, sentenza del 25 febbraio; 2021, Dalli/Commissione, C‑615/19 P, EU:C:2021:133, punto 42 e giurisprudenza ivi citata).
50      Per quanto riguarda la prima condizione, la giurisprudenza richiede che sia accertata una violazione sufficientemente qualificata di una norma giuridica diretta a conferire diritti ai singoli (v. sentenza del 4 luglio 2000, Bergaderm e Goupil/Commissione, C‑352/98 P EU:C:2000:361, punto 42 e giurisprudenza ivi citata).
51      Tale requisito di una violazione sufficientemente qualificata del diritto dell’Unione mira, qualunque sia la natura dell’atto illecito in questione, a evitare che il rischio di dover sopportare il danno lamentato dagli interessati ostacoli la capacità dell’istituzione interessata di esercitare pienamente i suoi poteri nell’interesse generale, sia nell’ambito della sua attività di portata normativa o comportante scelte di politica economica, sia nell’ambito della sua competenza amministrativa, senza consentirle di far gravare sui singoli il peso delle conseguenze di flagranti violazioni e ingiustificabile (v., in tal senso, sentenza del 14 dicembre 2018, East West Consulting/Commissione, T‑298/16, EU:T:2018:967, punto 124 e la giurisprudenza ivi citata).
52      Il criterio decisivo per considerare sufficientemente grave una violazione consiste nel mancato rispetto manifesto e grave, da parte dell’istituzione o dell’organo dell’Unione interessato, dei limiti imposti al suo potere discrezionale. Quando tale istituzione o organo dispone di un margine di discrezionalità notevolmente ridotto, o addirittura nullo, la semplice violazione del diritto dell’Unione può essere sufficiente per dimostrare l’esistenza di una violazione sufficientemente qualificata (v. sentenza del 10 dicembre 2002, Commissione/Camar e Tico, C‑312/00 P, EU:C:2002:736, punto 54 e giurisprudenza ivi citata). Tuttavia, tale giurisprudenza non stabilisce alcun nesso automatico tra, da un lato, il difetto di discrezionalità dell’istituzione interessata e, dall’altro, la qualificazione del reato come violazione sufficientemente qualificata del diritto all’Unione ( sentenza del 3 marzo 2010, Artegodan/Commissione, T‑429/05, EU:T:2010:60, punto 59). Infatti, pur essendo decisiva, la portata del potere discrezionale dell’istituzione interessata non costituisce un criterio esclusivo. Al riguardo, la Corte ha costantemente ricordato che il regime da essa istituito ai sensi dell’articolo 340, secondo comma, TFUE tiene conto, in particolare, della complessità delle situazioni da risolvere e delle difficoltà di applicazione o di interpretazione dei testi (v. sentenza del 23 novembre 2011, Sison/Consiglio, T‑341/07, EU:T:2011:687, punti 36 e 37 e giurisprudenza citata) o, più in generale, l’ambito, le condizioni e il contesto in cui la norma sconosciuta viene imposta all’istituzione o all’organo dell’Unione interessato (v. sentenza del 4 aprile 2017, Médiateur/Staelen, C‑337/15 P EU:C:2017:256, punto 40 e giurisprudenza ivi citata).
53      Ne consegue che solo la constatazione di un’irregolarità che non sarebbe stata commessa, in circostanze analoghe, da un’amministrazione normalmente prudente e diligente consente di ritenere responsabile l’Unione. Spetta quindi al giudice dell’Unione, dopo aver accertato se l’istituzione interessata disponesse di un margine di apprezzamento, prendere in considerazione la complessità della situazione da risolvere, le difficoltà di applicazione o di interpretazione dei testi, il grado di chiarezza e precisione della norma violata e carattere intenzionale o imperdonabile dell’errore commesso (sentenza del 3 marzo 2010, Artegodan/Commissione, T‑429/05, EU:T:2010:60, punto 62).
54      Per quanto riguarda la condizione relativa all’effettività del danno, quest’ultimo deve essere reale e certo, cosa che spetta al ricorrente provare (v. sentenza del 9 novembre 2006, Agraz e a./Commissione, C‑243/05 P, UE :C:2006:708, punto 27 e giurisprudenza citata). Per contro, un danno meramente ipotetico e indeterminato non dà luogo a risarcimento (v. sentenza del 26 ottobre 2011, Dufour/BCE, T‑436/09, EU:T:2011:634, punto 192 e giurisprudenza ivi citata). .
55      Quanto alla condizione relativa al nesso di causalità, si tratta dell’esistenza di un nesso di causa-effetto sufficientemente diretto tra la condotta imputata all’istituzione e il danno, nesso di cui spetta al richiedente fornire la prova il comportamento asserito deve essere la causa determinante del danno (v. sentenza del 13 dicembre 2018, Unione europea/ASPLA e Armando Álvarez, C‑174/17 P e C‑222/17 P, EU:C:2018:1015, punto 23 e giurisprudenza ivi citata).
56      Va inoltre ricordato che l’azione risarcitoria, fondata sull’articolo 340, secondo comma, TFUE, è stata istituita come mezzo di ricorso autonomo, avente una sua funzione particolare nell’ambito del sistema dei ricorsi e soggetto a condizioni di esercizio destinate al fini della sua specifica finalità, tale che la dichiarazione di inammissibilità della richiesta di annullamento non comporta automaticamente quella della richiesta di risarcimento (v. sentenza del 5 settembre 2019, Unione europea/Guardian Europe e Guardian Europe/Unione europea, C‑447/17 P e C‑479/17 P, EU:C:2019:672, punto 49 e giurisprudenza ivi citata).
57      Ne consegue che il rigetto della domanda di annullamento perché irricevibile e il rigetto della domanda di carenza perché non vi è più luogo a pronunciarsi, ai sensi dei precedenti paragrafi 35 e 43, non comportano, conseguentemente, il rigetto in quanto irricevibili delle domande risarcitorie di cui al precedente paragrafo 44.
58      È alla luce di queste considerazioni che occorre esaminare le censure sollevate dal ricorrente nell’ambito delle sue richieste di risarcimento.
Con la prima domanda risarcitoria, diretta al risarcimento del danno morale derivante dalla violazione del diritto di accesso all’informazione
59      Con la sua prima richiesta di risarcimento, il ricorrente chiede che la Commissione sia condannata a versargli la somma di 800 euro, a titolo di risarcimento del danno morale subito a seguito della violazione del suo diritto di accesso alle informazioni.
60      Innanzitutto, la ricorrente contesta alla Commissione di non aver risposto alla richiesta di informazioni di 1È aprile 2022 entro il termine e per non avergli comunicato le ragioni della sua inerzia, in violazione dell’articolo 14, commi 3 e 4, e dell’articolo 17, commi 1 e 2, del Regolamento 2018/1725 nonché del principio di trasparenza, prevista dall’articolo 4, paragrafo 1, lettera a), dello stesso regolamento. Inoltre, la Commissione non avrebbe rispettato l’articolo 17, paragrafi 1, lettera c), e 2, del regolamento 2018/1725, in quanto la dichiarazione relativa alla tutela della vita privata, che appare sul sito web della CAE, non conterrebbe informazioni relativi al trasferimento di dati personali verso paesi terzi e le eventuali garanzie adeguate ai fini di tale trasferimento, come sarebbe richiesto dall’articolo 48 del medesimo regolamento. Inoltre, nella email del 3 dicembre 2021, la Commissione avrebbe fornito informazioni errate, nella misura in cui avrebbe negato il trasferimento dei dati personali del ricorrente a destinatari situati negli Stati Uniti.
61      Il ricorrente sostiene poi che l’illecita inerzia della Commissione gli ha impedito di controllare il trattamento dei suoi dati personali, il che costituisce un danno morale ai sensi del considerando 46 del regolamento 2018/1725. Infine, sostiene che questo danno morale, che stima a 800 euro, è direttamente causato dal comportamento illecito della Commissione.
62      La Commissione contesta tali argomenti sostenendo, in sostanza, che nel caso di specie non ricorre alcuna delle condizioni per far sorgere la responsabilità extracontrattuale.
63      Innanzitutto, per quanto riguarda la condizione relativa all’illegittimità della condotta censurata, occorre verificare se il ricorrente abbia invocato la violazione di norme giuridiche destinate a conferire diritti ai singoli.
64      Al riguardo, si segnala che l’articolo 17, paragrafo 1, lettera c), del Regolamento 2018/1725 prevede un diritto di accesso dell’interessato alle informazioni riguardanti, in particolare, i destinatari ai quali i suoi dati personali sono stati comunicati destinatari stabiliti in paesi terzi. Tale disposizione dà quindi attuazione al principio, sancito dall’articolo 4, comma 1, lettera a), del Regolamento 2018/1725, secondo cui tutte le informazioni e le comunicazioni relative al trattamento dei dati personali devono essere facilmente accessibili.
65      Inoltre, l’articolo 14, comma 3, del Regolamento 2018/1725 prevede un termine di un mese entro il quale il titolare del trattamento dei dati personali può rispondere alle richieste di informazioni. Inoltre, l’articolo 14, comma 4, di tale regolamento impone al titolare del trattamento dei dati personali, nel caso in cui decida di non dare seguito alla richiesta, di comunicare al richiedente, entro il termine di un mese, i motivi della sua richiesta inerzia, nonché la possibilità di presentare un reclamo al Garante europeo della protezione dei dati (GEPD) e di adire le vie legali. Tali disposizioni costituiscono quindi norme di procedimento amministrativo che contribuiscono all’attuazione del diritto di accesso alle informazioni sui dati personali dell’interessato, concretizzandolo e modulandolo. Inoltre, tali disposizioni contribuiscono alla realizzazione del diritto riconosciuto a ogni persona, dall’articolo 41 della Carta, a che la sua questione sia trattata entro un termine ragionevole dalle istituzioni e dagli organi dell’Unione.
66      Di conseguenza, le disposizioni dell’articolo 4, paragrafo 1, lettera a), dell’articolo 14, paragrafi 3 e 4, e dell’articolo 17, paragrafo 1, lettera c), del regolamento 2018/1725, letti congiuntamente, costituiscono norme di diritto il cui scopo è conferire diritti individuali, ai sensi della giurisprudenza citata al paragrafo 50 supra.
67      Occorre poi esaminare se nel caso di specie sia stata accertata una violazione di tali disposizioni da parte della Commissione.
68      Da un lato, la ricorrente sostiene che la Commissione ha violato l’articolo 17, paragrafi 1, lettera c), e 2, del regolamento 2018/1725, in quanto la dichiarazione relativa alla tutela della vita privata che appare sul sito web della CAE non conterrebbe informazioni sul trasferimento di dati personali a destinatari stabiliti in paesi terzi, sulle eventuali garanzie adeguate relative a detto trasferimento, o sull’identificazione dei contraenti come destinatari di questi dati.
69      Come accennato al precedente paragrafo 64, l’articolo 17, paragrafi 1, lettera c) e 2, del Regolamento 2018/1725 prevede, in particolare, che l’interessato ha il diritto di ottenere informazioni sui destinatari stabiliti in paesi terzi ai quali si riferiscono i dati personali sono stati comunicati, nonché le garanzie adeguate relative al trasferimento dei dati a tali destinatari.
70      Ne consegue che tali disposizioni stabiliscono un diritto di accesso dell’interessato a determinate informazioni, ma non prevedono che tali informazioni debbano figurare su un determinato documento, o anche su una dichiarazione relativa alla tutela della vita privata, come quella appare sul sito web della CAE. In altri termini, da tali disposizioni non discende che le informazioni in questione debbano essere divulgate mediante tale dichiarazione. Tuttavia, il richiedente, come ogni interessato, conserva il diritto di ottenere tali informazioni esercitando il suo diritto di accesso alle informazioni, stabilito dall’articolo 17, paragrafi 1, lettera c) e 2, del regolamento 2018/1725, questione il che va oltre la portata dell’illegittimità addebitata dalla ricorrente alla Commissione, la quale si limita al contenuto della dichiarazione relativa alla tutela della vita privata (v. supra punto 68).
71      In ogni caso, nel caso di specie, risulta dal tenore della predetta dichiarazione relativa alla tutela della vita privata, allegata alla richiesta, che essa contiene informazioni relative ai destinatari o alle categorie di destinatari cui si riferiscono i dati di carattere personale sono stati o saranno comunicati. Pertanto, al punto 7 di tale dichiarazione si precisa in particolare che l’accesso ai dati è “concesso al personale autorizzato della [Commissione] e ai suoi contraenti incaricati di effettuare il trattamento in questione, conformemente al principio della “bisogno di sapere””. Inoltre, l’argomento del ricorrente secondo cui detta dichiarazione non contiene informazioni sul trasferimento di dati personali a destinatari stabiliti in paesi terzi si fonda sull’ipotesi che la consultazione del sito web del CAE comporti un trasferimento dei dati personali degli utenti verso un paese terzo. Tale richiesta di risarcimento si fonda però sulla violazione del diritto di accesso alle informazioni e non su quella delle disposizioni in materia di trasferimento dei dati personali verso paesi terzi che, peraltro, è alla base della seconda richiesta di risarcimento.
72      Pertanto, nel caso di specie non è stato dimostrato che la Commissione abbia violato l’articolo 17, paragrafi 1, lettera c), e 2, del regolamento 2018/1725, per quanto riguarda la dichiarazione relativa alla tutela della vita privata che appare sul sito web del CAE.
73      La ricorrente, invece, contesta alla Commissione di non aver risposto alla richiesta di informazioni di 1È aprile 2022 entro il termine e senza averlo informato delle ragioni della sua inerzia, in violazione dell’articolo 14, commi 3 e 4, e dell’articolo 17, commi 1 e 2, del Regolamento 2018/1725 nonché del principio di trasparenza. Inoltre, la Commissione gli avrebbe comunicato informazioni errate nella email del 3 dicembre 2021.
74      Occorre anzitutto rilevare che la ricorrente non deduce alcun argomento concreto a sostegno della violazione del principio di trasparenza. Tale argomentazione non ha quindi alcun contenuto autonomo rispetto alla censura fondata sul mancato rispetto del termine per rispondere alla richiesta di informazioni e sull’obbligo di comunicare le ragioni del superamento di tale termine.
75      Inoltre, gli argomenti del ricorrente basati sulla violazione dell’articolo 17, paragrafi 1 e 2, del regolamento 2018/1725 nonché sul fatto che la Commissione gli ha comunicato informazioni errate nell’e-mail del 3 dicembre 2021 sono fondati nell’ipotesi che la consultazione del sito CAE comporti un trasferimento dei dati personali degli utenti verso un paese terzo. Tuttavia, come menzionato al precedente paragrafo 71, tale domanda di risarcimento si basa sulla violazione del diritto di accesso all’informazione e non su quella delle disposizioni relative al trasferimento di dati personali verso paesi terzi su cui si fonda la seconda domanda di risarcimento compenso.
76      Pertanto, nel caso di specie non è stato dimostrato che la Commissione abbia violato l’articolo 17, paragrafi 1 e 2, del regolamento 2018/1725.
77      Per quanto riguarda la censura della ricorrente relativa ad una violazione dell’articolo 14, paragrafi 3 e 4, del regolamento 2018/1725, risulta dal fascicolo che la Commissione ha risposto alla richiesta di informazioni del 9 novembre 2021 nel termine di un mese previsto all’articolo 14, paragrafo 3, del Regolamento 2018/1725 (v. supra punti 5 e 7). In merito alla richiesta di informazioni da parte di 1È aprile 2022, la Commissione ha informato il richiedente, con e-mail del 30 giugno 2022, di ritenere che la richiesta di informazioni di 1È aprile 2022 era quasi identica alla richiesta di informazioni del 9 novembre 2021 e a quest’ultima aveva già risposto con la sua email del 3 dicembre 2021 (vedi punto 11 sopra).
78      Ne consegue che, per quanto riguarda la richiesta di informazioni da parte di 1È aprile 2022, la Commissione non ha rispettato il termine di un mese previsto dall’articolo 14, paragrafo 4, del regolamento 2018/1725 (v. paragrafo 65 supra).
79      Dai precedenti paragrafi da 68 a 78 risulta che l’unica illegittimità addebitata alla Commissione accertata nel caso di specie è quella del mancato rispetto del termine previsto dall’articolo 14, paragrafo 4, del regolamento 2018/1725.
80      In tali circostanze, e indipendentemente dalla questione se il mancato rispetto di tale termine da parte della Commissione costituisca una violazione sufficientemente qualificata di una norma giuridica, occorre esaminare preliminarmente se il mancato rispetto di tale termine abbia causato alla ricorrente un reale e un certo danno morale, ai sensi della giurisprudenza richiamata al paragrafo 54 supra.
81      Per quanto riguarda la realtà del danno morale asseritamente subito, va ricordato che, se la presentazione di un’offerta di prova non è necessariamente considerata come condizione per il riconoscimento del danno morale, spetta quanto meno al ricorrente dimostrare che il comportamento addebitato all’istituzione interessata era tale da arrecarle un danno del genere (sentenza del 16 luglio 2009, SELEX Sistemi Integrati/Commissione, C‑481/07 P, non pubblicato, EU:C:2009:461, punto 38 v., anche, sentenza del 2 luglio 2019, Fulmen/Consiglio, T‑405/15, EU:T:2019:469, punto 188 e la giurisprudenza ivi citata; ).
82      Nel caso di specie, il ricorrente chiede il risarcimento del danno morale per un importo di 800 euro, sostenendo che l’asserito comportamento della Commissione gli ha impedito di controllare il trattamento dei suoi dati personali.
83      Tuttavia, va osservato che tale danno morale non è stato dimostrato nel caso di specie. Infatti, l’unica illegittimità accertata nel caso di specie è quella del mancato rispetto, da parte della Commissione, del termine di un mese previsto dall’articolo 14, paragrafo 4, del regolamento 2018/1725 (v. punto 79 supra). Tuttavia, tale termine non è stato superato di più di due mesi (vedere paragrafo 77 supra). Inoltre, le richieste di informazioni del 9 novembre 2021 e del 1 novembreÈ aprile 2022 erano sostanzialmente gli stessi (v. paragrafi 5 e 8 supra), tanto che la ricorrente aveva già ricevuto una risposta almeno a parte della sua richiesta di informazioni il 3 dicembre 2021, data in cui la Commissione ha risposto alla richiesta di informazioni del 9 novembre 2021 (vedi sopra punto 7).
84      Inoltre, l’argomento della ricorrente basato sulla comunicazione di informazioni errate (v. supra, paragrafo 75) riguarda la fondatezza dell’informazione e il mancato rispetto della regola procedurale la cui violazione è stata accertata al paragrafo 78 supra e pertanto non rileva dimostrare il danno morale invocato.
85      Ne consegue che non è stato dimostrato che il mancato rispetto da parte della Commissione del termine previsto dall’articolo 14, paragrafo 4, del regolamento 2018/1725 potesse causare al ricorrente il presunto danno morale.
86      Di conseguenza, poiché manca una delle condizioni cumulative per far sorgere la responsabilità extracontrattuale dell’Unione, prevista dall’articolo 340, secondo comma, TFUE, la prima domanda di risarcimento del ricorrente deve essere respinta.
Con la seconda domanda risarcitoria, diretta al risarcimento del danno morale derivante dalle cessioni contestate
87      Con la sua seconda richiesta di risarcimento, il ricorrente chiede il pagamento di 400 euro a titolo di risarcimento del danno morale che avrebbe subito a causa dei trasferimenti contestati menzionati ai precedenti punti da 26 a 28, vale a dire il trasferimento contestato durante la consultazione del sito web della CAE del marzo 30/03/2022, il contestato trasferimento in fase di connessione a EU Login del 30 marzo 2022 e il contestato trasferimento in fase di consultazione del sito della CAE dell’8 giugno 2022.
88      La ricorrente sostiene, in sostanza, che i trasferimenti controversi sono avvenuti verso destinatari stabiliti negli Stati Uniti, paese che non dispone di un livello di protezione adeguato. La Commissione non avrebbe fornito alcuna delle garanzie adeguate a giustificare tali trasferimenti, previste dal capo V del regolamento 2018/1725, e avrebbe quindi violato l’articolo 46 e l’articolo 48, paragrafi 1 e 2, lettera b), del presente regolamento nonché degli articoli 7, 8 e 47 della Carta. I trasferimenti controversi avrebbero comportato un rischio di accesso ai dati del ricorrente da parte dei servizi di sicurezza e di intelligence di tale paese e, di conseguenza, gli avrebbero causato un danno morale, ai sensi del considerando 46 del regolamento 2018/1725, in quanto è stato privato dei suoi diritti e delle sue libertà e gli è stato impedito di esercitare il controllo sui suoi dati.
89      La Commissione contesta tali argomenti sostenendo, in sostanza, che nel caso di specie non sono soddisfatte le condizioni per far sorgere la responsabilità extracontrattuale.
–       Considerazioni preliminari sulle disposizioni relative al trasferimento di dati personali verso un Paese terzo
90      In primo luogo, si precisa che, ai sensi dell’articolo 2, comma 5, del medesimo, il Regolamento 2018/1725 si applica al trattamento dei dati personali, in tutto o in parte, nonché al trattamento non automatizzato dati personali contenuti o destinati a comparire in un file.
91      In secondo luogo, la nozione di “dato personale” dovrebbe essere interpretata come corrispondente a qualsiasi informazione relativa a una persona fisica identificata o identificabile, ai sensi dell’articolo 3, punto 1, del Regolamento 2018/1725.
92      In terzo luogo, si precisa che il conferimento dei dati costituisce un’operazione di “trattamento” di dati ai sensi dell’articolo 3, punto 3, del Regolamento 2018/1725.
93      In quarto luogo, si precisa che i “trasferimenti di dati personali verso paesi terzi o verso organizzazioni internazionali” sono disciplinati dal Capo V del Regolamento 2018/1725, che tuttavia non li definisce.
94      Tuttavia, dal considerando 63 del regolamento 2018/1725 risulta che i trasferimenti contemplati dalle disposizioni del capo V di tale regolamento riguardano dati personali trasferiti dalle istituzioni e dagli organi dell’Unione a responsabili del trattamento, subincaricati o altri destinatari in paesi terzi o alle organizzazioni internazionali.
95      Inoltre, da un’interpretazione sistematica del Regolamento 2018/1725 risulta che il trasferimento di dati personali verso paesi terzi, ai sensi dell’articolo 46 dello stesso, richiede, in primo luogo, che il responsabile del trattamento dei dati in questione appartenga a un’istituzione o un organismo dell’Unione ed è pertanto soggetto a tale regolamento (articolo 1È del Regolamento 2018/1725); in secondo luogo, che il titolare del trattamento metta, mediante trasmissione o in altro modo, i dati personali a disposizione di un destinatario, in particolare di un’altra persona fisica o giuridica (articolo 3, punti 3 e 13, del Regolamento 2018/1725) e, in terzo luogo, che tale destinatario sia stabilito in un Paese terzo (articolo 46 del Regolamento 2018/1725), vale a dire un Paese che non è né membro né dell’Unione o dello Spazio Economico Europeo (SEE).
96    In quinto luogo, si rammenta che le disposizioni del capo V del Regolamento 2018/1725 mirano a preservare, in occasione dei trasferimenti di dati personali verso paesi terzi o verso organizzazioni internazionali, il livello di protezione delle persone fisiche garantito nell’Unione, conformemente all’art. obiettivo specificato al considerando 63 dello stesso.
97      In sesto luogo, l’articolo 46 del Regolamento 2018/1725 prevede un principio generale secondo cui un trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può aver luogo solo se, fatte salve le altre disposizioni di tale regolamento, sono soddisfatte le condizioni definite al Capo V. sono rispettati dal titolare del trattamento e dal subappaltatore.
98     In settimo luogo, per quanto riguarda le condizioni definite nel capo V del regolamento 2018/1725, occorre rilevare che l’articolo 47, paragrafo 1, di tale regolamento prevede che un trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può aver luogo laddove la Commissione ha deciso, mediante una decisione di adeguatezza adottata, in particolare, ai sensi dell’articolo 45, comma 3, del Regolamento 2016/679, che il paese o organizzazione internazionale in questione garantisce un livello di protezione adeguato e che il trasferimento dei dati personali avviene esclusivamente per consentire l’esecuzione di missioni che rientrano nella competenza del titolare del trattamento.
99   Al riguardo, si ricorda che sono state dichiarate invalide le due decisioni di adeguatezza della Commissione riguardanti gli Stati Uniti. Da un lato, con la sentenza del 6 ottobre 2015, Schrems (C‑362/14, EU:C:2015:650), la Corte ha dichiarato invalida la decisione 2000/520/CE della Commissione del 26 luglio 2000, conformemente alla direttiva 95/46/CE del Parlamento Europeo e del Consiglio sull’adeguatezza della tutela prevista dai principi della “sfera di security” e le relative domande frequenti, pubblicate dal Dipartimento del Commercio degli Stati Uniti d’America (GU 2000, L 215, pag. 7). Con la sentenza Schrems II, invece, la Corte ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione del 12 luglio 2016, ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della tutela prevista dallo scudo UE-USA per la privacy (GU 2016 L 207, pag. 1).
100    Ne consegue che, alla data dei trasferimenti controversi, non esisteva alcuna decisione di adeguatezza, ai sensi dell’articolo 47 del Regolamento 2018/1725, nei confronti degli Stati Uniti.
101    In assenza di una decisione di adeguatezza della Commissione nei confronti degli Stati Uniti, si applica l’articolo 48, paragrafo 1, del Regolamento 2018/1725, secondo cui il trasferimento di dati personali verso un paese terzo o a un’organizzazione internazionale può essere effettuato solo se il titolare del trattamento oppure il subappaltatore ha fornito garanzie adeguate e a condizione che le persone interessate dispongano di diritti esercitabili e di mezzi di ricorso effettivi, è applicabile.
102    Le garanzie adeguate di cui all’articolo 48, paragrafo 1, del regolamento 2018/1725, elencate all’articolo 48, paragrafi 2 e 3, di tale regolamento, possono essere previste, in particolare, da clausole tipo sulla protezione dei dati, adottate dalla Commissione, conformemente con l’articolo 48, paragrafo 2, lettera b), di tale regolamento.
103    Tuttavia, le clausole tipo sulla protezione dei dati previste dall’articolo 48, paragrafo 2, lettera b), del regolamento 2018/1725 possono richiedere l’adozione di misure aggiuntive al fine di garantire il rispetto del livello di protezione adeguato, con riguardo al diritto dell’Unione (cfr. , per analogia, sentenza Schrems II, punti 133 e 134).
104    Inoltre, le garanzie adeguate di cui all’articolo 48, paragrafo 1, del regolamento 2018/1725 possono essere fornite in particolare da clausole contrattuali, previste dall’articolo 48, paragrafo 3, lettera a), di tale regolamento, concluse tra, da un lato da un lato, il titolare del trattamento o il responsabile del trattamento e, dall’altro, il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo, salvo autorizzazione del GEPD.
105    Inoltre, va ricordato che gli articoli 7, 8 e 47 della Carta sanciscono, rispettivamente, il diritto al rispetto della vita privata, il diritto alla protezione dei dati personali e il diritto a un ricorso effettivo e all’accesso a un tribunale imparziale.
106    Nel caso di specie, va preliminarmente rilevato che la seconda domanda di risarcimento del ricorrente si basa su una violazione, da parte della Commissione, delle disposizioni degli articoli 46 e 48, paragrafo 1, e paragrafo 2, lettera b), del regolamento 2018 /1725 nonché gli articoli 7, 8 e 47 della Carta. Tuttavia, dai paragrafi da 91 a 105 supra risulta che le citate disposizioni del regolamento 2018/1725 danno attuazione ai diritti fondamentali, come quelli sanciti dagli articoli 7 e 8 della Carta, e mirano nel loro insieme a garantire la continuità dell’alto livello di protezione dei dati personali in caso di trasferimento di tali dati verso paesi terzi o organizzazioni internazionali.
107    Ne consegue che le disposizioni la cui violazione viene invocata dal ricorrente a sostegno della sua seconda domanda di risarcimento mirano a tutelare l’interesse individuale degli interessati e costituiscono quindi norme giuridiche il cui scopo è quello di conferire diritti ai singoli, ai sensi dell’art. giurisprudenza richiamata al paragrafo 50 supra.
108  Occorre ora verificare se ricorrano i presupposti per l’insorgere della responsabilità extracontrattuale della Commissione per ciascuno dei tre trasferimenti controversi menzionati al punto 87 supra.
109    Posto che i trasferimenti contestati di cui ai precedenti punti 26 e 28 sono avvenuti a causa dell’utilizzo, da parte del sito CAE, della content delivery network o “RDC” (in inglese, “content delivery network” o “CDN”) denominata Amazon CloudFront (di seguito il “servizio Amazon CloudFront”), è necessario innanzitutto informarsi sulle condizioni operative di questo servizio nell’ambito di questo sito web.
–       Sul funzionamento del servizio Amazon CloudFront nell’ambito del sito Web CAE
110    In questo caso, è pacifico che il sito web della CAE utilizza la rete di distribuzione dei contenuti Amazon CloudFront e che tale rete si attiva ogni volta che un utente consulta detto sito web.
111  Dal fascicolo, in particolare dalle risposte delle parti alla misura di organizzazione del procedimento del 21 luglio 2023 nonché dalle loro memorie e risposte all’udienza del 17 ottobre 2023, risulta che, in primo luogo , il servizio Amazon CloudFront è un servizio Internet che accelera la distribuzione dei contenuti Internet, in questo caso il contenuto del sito Web CAE, agli utenti. Il servizio Amazon CloudFront fornisce contenuti attraverso una rete globale di server o data center chiamati “edge location” o “edge server”.
112    In secondo luogo, il servizio Amazon CloudFront si basa su un meccanismo di routing che indirizza la richiesta di un utente al sito Web CAE al server perimetrale che fornisce la latenza più bassa, in base a un principio di prossimità al terminale dell’utente, in modo che il contenuto venga trasmesso al utente nelle migliori condizioni possibili. Se, a causa soprattutto di difficoltà tecniche, l’edge server con la latenza più bassa non è disponibile, la connessione viene stabilita con quello con la seconda latenza più bassa e così via.
113  In terzo luogo, il servizio Amazon CloudFront viene utilizzato per il sito web CAE sulla base del contratto nIL 2020-1742, firmato tra la Commissione e AWS EMEA, quest’ultima controllata della società americana Amazon.com e con sede in Lussemburgo (cfr. punto 12 supra).
114    In quarto luogo, nell’ambito di questo contratto, la Commissione ha optato, per quanto riguarda il sito web dell’EAC, per l’area geografica denominata “Nord America (Stati Uniti, Messico, Canada), Europa e Israele”. Ciò significa che la distribuzione dei contenuti di questo sito web non avviene attraverso la rete globale di edge location di Amazon CloudFront, ma solo attraverso quelli ubicati nelle predette aree geografiche, ossia negli Stati Uniti, Messico, Canada, Europa e Israele.
115    In quinto luogo, in ragione del principio di prossimità menzionato al punto 112 supra, le richieste di consultazione del sito web del CAE da parte di utenti provenienti dall’Unione sono solitamente dirette ai server periferici della rete Amazon CloudFront situati in tale territorio, mentre sono dirette i casi in cui tali richieste sono dirette ai server al di fuori dell’Unione sono rari.
116    In sesto luogo, per quanto riguarda l’infrastruttura di rete edge di Amazon CloudFront, dai dati risulta che essa è fornita da un insieme di società, alcune delle quali appartengono al gruppo Amazon e altre sono società terze, il cui elenco è consultabile su il sito Amazon Web Services, a seconda dell’area geografica interessata. Per quanto riguarda l’area geografica denominata “Nord America (Stati Uniti, Messico, Canada), Europa e Israele”, le società interessate sono stabilite sia negli Stati membri dell’Unione che al di fuori dell’Unione, in particolare negli Stati Uniti, in Israele, Messico, Svizzera o Regno Unito. Ciascuna società gestisce server nel paese in cui è stabilita e, pertanto, l’ubicazione geografica dei server coinvolti nella fornitura del servizio Amazon CloudFront dipende anche dall’ubicazione delle società interessate.
117    In settimo luogo, le clausole del contratto tra la Commissione e AWS EMEA prevedono, in particolare, quanto segue:
– AWS EMEA deve essere in grado di garantire che i dati rimangano inattivi e in transito all’interno del territorio del SEE (sezione 11.2 del contratto);
– AWS EMEA non è autorizzata a modificare il luogo del trattamento dei dati senza previa autorizzazione della Commissione [sezione 12.2.3(a) del contratto];
– eventuali trasferimenti di dati personali previsti dal contratto verso paesi terzi o organizzazioni internazionali devono rispettare pienamente i requisiti di cui al Capo V del Regolamento 2018/1725 [sezione 12.2.3(b) del contratto]; 
– AWS EMEA non può trasferire alcun dato personale verso un paese al di fuori del SEE, a meno che la Commissione non abbia dato la sua previa autorizzazione scritta per tale trasferimento e il trasferimento avvenga in conformità con le condizioni del presente capitolo V (sezione 1.8.9 del contratto );
– AWS EMEA deve trasmettere alla Commissione qualsiasi richiesta di accesso ai dati personali e deve utilizzare tutti i rimedi disponibili contro tali richieste (sezioni 1.8.3, 1.8.4 e 1.8.5 del contratto);
– AWS EMEA deve garantire che queste misure siano implementate anche quando si utilizzano subappaltatori (sezione 1.8.8 del contratto).
118    In ottavo luogo, la Commissione ha consultato il GEPD sulle suddette clausole contrattuali, ma queste non erano oggetto di autorizzazione formale da parte del GEPD, ai sensi dell’articolo 48, paragrafo 3, lettera a, del regolamento 2018/1725.
–       Trasferimento contestato durante la consultazione del sito web CAE il 30 marzo 2022
119    Il ricorrente sostiene, in sostanza, che, consultando il sito web della CAE il 30 marzo 2022, ha constatato che alcuni dati personali che lo riguardavano, in particolare il suo indirizzo IP e le informazioni sul suo browser e terminale, erano stati trasferiti negli Stati Uniti . Infatti, in primo luogo, il suddetto sito utilizzerebbe una rete di distribuzione di contenuti denominata “Amazon CloudFront”, il cui operatore sarebbe Amazon Web Services, una società americana filiale della società americana Amazon.com. In secondo luogo, nel corso di tale consultazione, i dati personali del richiedente sarebbero stati inviati al servizio Amazon CloudFront, più precisamente al server Amazon.com situato a Seattle (Washington, Stati Uniti), il cui indirizzo IP sarebbe 18.66. In terzo luogo, la chiave di sicurezza utilizzata dal sito web del CAE (detta “certificato SSL”) è stata fornita da Amazon, motivo per cui si dovrebbe presumere che essa avesse la possibilità di decrittografare tutti i dati personali del richiedente trasferiti sui suoi server, compresi le sue opinioni sul futuro dell’Europa. In quarto luogo, la società che fornisce il servizio Amazon CloudFront sarebbe soggetta alle leggi americane e sarebbe quindi obbligata a comunicare informazioni ai servizi di sicurezza e sorveglianza degli Stati Uniti, anche se i server fossero ubicati al di fuori di questo Paese. Inoltre, la Commissione non ha adottato “misure aggiuntive”, ai sensi della sentenza Schrems II, per garantire un livello adeguato di protezione dei dati trasferiti negli Stati Uniti.
120    La Commissione contesta queste argomentazioni.
121    Per quanto riguarda la consultazione del sito web della CAE il 30 marzo 2022, risulta dal fascicolo che il richiedente ha consultato questo sito web in quella data (vedi punto 3 sopra) e che, durante tale consultazione, sono stati trasmessi il suo indirizzo IP e informazioni sulla sua browser e terminale ha avuto luogo.
122    Al riguardo, è importante notare che l’indirizzo IP deve essere qualificato come dato personale, ai sensi dell’articolo 3, punto 1, del Regolamento 2018/1725, poiché soddisfa le due condizioni ivi previste. Da un lato, queste informazioni si riferiscono a una persona fisica e, dall’altro, si riferiscono a una persona identificata o identificabile, in questo caso il richiedente (sentenza del 26 aprile 2023, CRU/CEPD, T‑557 /20 , impugnata, EU:T:2023:219, punto 59, v. anche, in tal senso e per analogia, sentenze del 24 novembre 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, punto 51, e del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 49). Infatti, anche gli indirizzi IP cosiddetti “dinamici”, che per loro natura sono mutevoli, corrispondono ad una precisa identità in un dato momento, che, in questo caso, coincide con il momento in cui è avvenuta la consultazione del sito web del CAE.
123    È altresì dimostrato che il trasferimento dei dati di cui al precedente punto 121 è stato avviato dal sito della CAE, attraverso il servizio Amazon CloudFront, verso un server il cui indirizzo IP è 18.66.192.74.
124    È inoltre dimostrato che, all’epoca dei fatti, l’indirizzo IP 18.66.192.74 era assegnato a un server situato a Monaco di Baviera (Germania) e che tale server apparteneva alla società A 100 ROW GmbH, con sede in Germania e che gestiva parte di l’elenco delle società di cui al precedente paragrafo 116.
125    Ne consegue che certamente, consultando il sito web della CAE il 30 marzo 2022, si è verificato un trasferimento di dati personali, ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725, del ricorrente, in particolare della sua proprietà intellettuale indirizzo.
126    Tuttavia, non è stato dimostrato nel caso di specie che, consultando il sito web della CAE il 30 marzo 2022, si sia verificato un trasferimento dei dati personali del ricorrente verso un paese terzo e, in particolare, verso gli Stati Uniti.
127    D’altro canto, dai precedenti paragrafi da 121 a 124 risulta che, in occasione della consultazione del sito web della CAE il 30 marzo 2022, il trasferimento dei dati personali del ricorrente è stato avviato dal sito web della CAE, attraverso il servizio Amazon CloudFront, ad un server situato a Monaco. Tale server apparteneva ad una società con sede in Germania, che faceva parte della rete di fornitori di infrastrutture per il servizio Amazon CloudFront, fornito alla Commissione sulla base di un contratto con l’AWS EMEA, società con sede in Lussemburgo.
128    Ne consegue che, in occasione della consultazione del sito web dell’EAC in data 30 marzo 2022, i dati personali del richiedente sono stati trasmessi ad un destinatario stabilito nell’Unione.
129    Inoltre, anche supponendo che i dati personali del ricorrente non abbiano lasciato il territorio dell’Unione, tali dati sarebbero comunque stati trasferiti su un server che appartiene alla rete di edge location del servizio Amazon CloudFront, che copre, per quanto riguarda la diffusione dei dati contenuto del sito web dell’EAC, una rete di luoghi periferici che non si limita al territorio del SEE, ma che va oltre esso (v. paragrafo 116 supra).
130    Tuttavia, le circostanze concrete descritte al punto 127 supra non dimostrano l’esistenza di un trasferimento di dati personali a destinatari stabiliti al di fuori del territorio del SEE, in particolare negli Stati Uniti.
131    Il trasferimento controverso consultando il sito della CAE il 30 marzo 2022 non corrisponde quindi ad un trasferimento di dati personali verso un paese terzo, ai sensi dell’articolo 46 del Regolamento 2018/1725, posto che la nozione di trasferimento verso un paese terzo paese richiede che i dati personali siano resi disponibili a un destinatario stabilito al di fuori del SEE (vedere paragrafo 93 sopra).
132    L’argomento della ricorrente basato sul fatto che AWS EMEA sarebbe obbligata, in quanto filiale di una società americana, a trasmettere dati personali alle autorità americane, anche quando tali dati sono archiviati nel territorio dell’Unione, non rimette in discussione tale conclusione domanda.
133    Se è certamente vero che l’accesso ai dati personali trattati nel SEE dalle autorità di un paese terzo ai sensi della legislazione di tale paese costituisce un trasferimento di dati personali verso un paese terzo, ai sensi dell’articolo 46 del regolamento 2018/1725, ciò non toglie che, nel caso di specie, non è dimostrato che tale accesso sia avvenuto. Infatti, il ricorrente non ha né dimostrato né asserito l’esistenza di una trasmissione alle autorità americane di dati personali che lo riguardavano, né ha dimostrato o asserito l’esistenza di una richiesta di dette autorità circa i dati trasferiti su detto server Amazon CloudFront , con sede a Monaco di Baviera.
134    Pertanto, la tesi della ricorrente non verte su una violazione diretta delle disposizioni del capo V del regolamento 2018/1725, ma solo sul rischio di tale violazione, nel caso in cui AWS EMEA, in quanto filiale di una società americana società, non potrebbe opporsi ad una richiesta delle autorità americane relativa all’accesso ai dati conservati su server situati nel territorio del SEE.
135    Tuttavia, il mero rischio di accesso ai dati personali da parte di un paese terzo non può corrispondere ad un trasferimento di dati, ai sensi dell’articolo 46 del Regolamento 2018/1725, come interpretato al paragrafo 93 supra, poiché non è stato dimostrato che tale trasferimento c’è stata una trasmissione o altrimenti messa a disposizione di un destinatario stabilito in un paese terzo dei dati personali del richiedente. In altre parole, il rischio di violazione dell’articolo 46 non può essere equiparato a una violazione diretta di questa disposizione.
136    Si deve inoltre ricordare che, nell’ambito della presente domanda di risarcimento, l’esame della Corte verte sulla verifica dei presupposti per l’insorgere della responsabilità extracontrattuale della Commissione ed in particolare della condizione relativa all’illegittimità del comportamento della Commissione, che richiede che sia accertata una violazione sufficientemente grave delle disposizioni del Regolamento 2018/1725 e della Carta invocate dal ricorrente.
137    Al riguardo, il solo rischio di violazione delle disposizioni del Capo V del Regolamento 2018/1725 non può, in ogni caso, essere sufficiente a far emergere una condotta illecita della Commissione, corrispondente ad una violazione sufficientemente grave di tali disposizioni.
138    Questa conclusione non è rimessa in discussione dall’argomento della ricorrente fondato sulla sentenza Schrems II. Va infatti osservato che, in tale sentenza, la Corte si è pronunciata su alcune delle condizioni alle quali possono aver luogo trasferimenti di dati personali verso gli Stati Uniti e non su quelle in cui tali dati possono essere trattati, all’interno del SEE, da parte di filiali di aziende americane, come AWS EMEA.
139    Da tutto quanto precede consegue che, con riferimento al contestato trasferimento, consultando il sito della CAE in data 30 marzo 2022, il ricorrente non ha dimostrato che la Commissione avesse commesso una violazione sufficientemente grave, ai sensi della giurisprudenza richiamata in paragrafo 50, le disposizioni dell’articolo 46 e dell’articolo 48, paragrafi 1 e 2, lettera b), del Regolamento 2018/1725 nonché degli articoli 7, 8 e 47 della Carta.
140    Di conseguenza, poiché manca una delle condizioni cumulative per l’insorgere della responsabilità extracontrattuale dell’Unione, prevista dall’articolo 340, secondo comma, TFUE, la seconda domanda di risarcimento relativa al trasferimento contestato deve essere respinta, sentita la CAE sito web il 30 marzo 2022, senza che sia necessario esaminare gli altri argomenti del ricorrente.
–       Trasferimento contestato durante le consultazioni del sito web CAE l’8 giugno 2022
141    Il ricorrente sostiene che, durante la consultazione del sito web della CAE l’8 giugno 2022, è avvenuto un trasferimento dei suoi dati personali, in particolare del suo indirizzo IP, ai server Amazon CloudFront situati negli Stati Uniti. Secondo il ricorrente, questi trasferimenti non derivano dalla sua attività di utente del sito web, ma sono il risultato del funzionamento del servizio Amazon CloudFront, in cui il rischio di trasferimento di dati verso gli Stati Uniti è inerente all’infrastruttura globale su cui si basa questo servizio. La situazione del ricorrente non sarebbe diversa da quella di un cittadino dell’Unione che consulta il sito web dell’EAC durante, ad esempio, un viaggio d’affari negli Stati Uniti.  La Commissione non eserciterebbe tutta la dovuta diligenza per evitare trasferimenti di dati verso gli Stati Uniti, poiché ha optato per una rete di distribuzione dei contenuti basata su una struttura di livello mondiale, invece di una soluzione di hosting puramente europea.
142    Secondo il ricorrente, tale trasferimento di dati personali gli ha causato un danno morale, ai sensi del considerando 46 del Regolamento 2018/1725, nella misura in cui ha perso il controllo dei suoi dati, che sono stati trasferiti negli Stati Uniti è stata sottoposta a sorveglianza illegale da parte delle autorità statunitensi ed è stata privata dei suoi diritti e delle sue libertà.
143    La Commissione contesta queste argomentazioni.
144    In via preliminare e tenendo conto dell’argomentazione della ricorrente, occorre ricordare che, nell’ambito della presente domanda di risarcimento, l’esame della Corte non verte direttamente sulla legittimità della decisione della Commissione di utilizzare il servizio Amazon CloudFront per la distribuzione del contenuto del sito della CAE, ma sulla verifica delle condizioni di assunzione della responsabilità extracontrattuale della Commissione con riguardo al trasferimento contestato nel corso delle consultazioni del sito della CAE dell’8 giugno 2022.
145    Nel caso di specie, la Corte ritiene opportuno occuparsi immediatamente della condizione relativa all’esistenza di un nesso di causalità tra l’asserito comportamento illegittimo della Commissione ed il danno morale invocato.
146    Dalla giurisprudenza richiamata al punto 55 supra risulta che la condizione relativa al nesso di causalità verte sull’esistenza di un nesso di causa-effetto sufficientemente diretto tra il comportamento addebitato all’istituzione e il danno, nesso di cui spetta al ricorrente di fornire la prova, tale che il comportamento addebitato deve essere la causa determinante del danno.
147    Inoltre, dalla giurisprudenza risulta che il nesso di causalità richiesto per far sorgere la responsabilità extracontrattuale dell’Unione ai sensi dell’articolo 340, secondo comma, TFUE è accertato quando il danno è conseguenza diretta dell’atto illecito di cui trattasi ( sentenza del 28 giugno 2007, Internationaler Hilfsfonds/Commissione, C‑331/05 P, EU:C:2007:390, punto 23).
148    Per quanto riguarda il carattere diretto del nesso di causalità, la Corte ha già statuito che il danno deve derivare direttamente dall’asserita illegittimità e non da una scelta del ricorrente su come reagire all’atto asseritamente illegale. Si è ritenuto, quindi, che il semplice fatto che la condotta illecita costituisse una condizione necessaria (conditio sine qua non) affinché si verificasse il danno, nel senso che esso non si sarebbe verificato in assenza di tale condotta, non è sufficiente per stabilire un nesso causale sufficientemente diretto ai sensi della giurisprudenza dell’Unione europea (cfr., in questo senso e per analogia, sentenze del 30 novembre 2011, Transnational Company “Kazchrome” e ENRC Marketing/Consiglio e Commissione, T‑107/08, EU:T:2011:704, punto 80 e giurisprudenza ivi citata, e del 23 maggio 2019, Remag Metallhandel e Jaschinsky/Commissione, T‑631/16, non pubblicata, UE: T:2019:352, punto 52 e giurisprudenza citata).
149    Dalla giurisprudenza risulta quindi che un siffatto nesso di causalità non è dimostrato quando il danno invocato è conseguenza diretta di una decisione o libera scelta del ricorrente e non può, pertanto, essere imputato all’istituzione o all’organo interessato (v., in tal senso e, per analogia, sentenze del 28 giugno 2007, Internationaler Hilfsfonds/Commissione, C‑331/05 P, EU:C:2007:390, punti da 22 a 29; del 17 febbraio 2017, Novar/EUIPO, T‑726/14, EU:T:2017:99, punti 31 e 32, e del 28 febbraio 2018, Vakakis kai Synergates. /Commissione, T‑292/15, EU:T:2018:103, punto 173 e giurisprudenza citata).
150    Nel caso di specie occorre quindi esaminare se la condotta addebitata alla Commissione, vale a dire l’utilizzo del servizio Amazon CloudFront come rete di distribuzione di contenuti per il sito CAE, costituisca la causa diretta del presunto danno morale ., consistente in una perdita di controllo sui dati personali del ricorrente che sarebbero stati oggetto di un trasferimento negli Stati Uniti durante la sua consultazione del suddetto sito web l’8 giugno 2022.
151    Al riguardo, in primo luogo, risulta dal fascicolo nonché dalle risposte delle parti ai quesiti posti in udienza che, l’8 giugno 2022, il ricorrente si trovava a Monaco e ha consultato più volte il sito dell’EAC. Nel corso di tali consultazioni, l’indirizzo IP del richiedente ha stabilito connessioni successive a diversi server del servizio Amazon CloudFront, geograficamente molto distanti tra loro. Pertanto, si è connessa alle 7:13 ad un server situato a Monaco, alle 11:13 ad un server situato a Londra (Regno Unito), alle 12:56 ad un server situato a Hillsboro (Oregon, Stati Uniti), alle 13:05 su un server situato a Newark e alle 19:12 su un server situato a Francoforte sul Meno (Germania).
152    In secondo luogo, dal fascicolo risulta che l’indirizzo IP del ricorrente è stato trasferito sui diversi server del servizio Amazon CloudFront menzionati al punto 151 supra, tra cui quelli ubicati negli Stati Uniti.
153    In terzo luogo, va ricordato che l’indirizzo IP del richiedente costituisce un dato personale.
154    In quarto luogo, va notato che, all’8 giugno 2022, il sito web del CAE aveva 4.548 accessi e 18 indirizzi IP diversi. Di questi, solo un indirizzo IP, vale a dire quello del ricorrente, stabiliva una connessione con server situati al di fuori dell’Unione, vale a dire negli Stati Uniti e nel Regno Unito. A questo proposito va precisato che non è stato dimostrato né tantomeno asserito che, in data 8 giugno 2022, il servizio Amazon CloudFront per il sito CAE abbia avuto problemi tecnici o di altro tipo, tali da impedire il normale funzionamento del suo instradamento meccanismo secondo il principio di prossimità, che indirizza le richieste degli utenti del sito CAE all’edge server che prevede la latenza più bassa in funzione della localizzazione geografica dell’utente (vedi punto 112 sopra).
155    In quinto luogo, per quanto riguarda le circostanze relative ai collegamenti stabiliti dall’indirizzo IP della ricorrente con server situati negli Stati Uniti, in primo luogo, risulta dal fascicolo nonché dalle risposte delle parti all’udienza che la ricorrente sostiene che tali collegamenti fossero il risultato dell’operazione di Amazon CloudFront e non di alcuna manipolazione che avrebbe effettuato. La Commissione osserva invece che tali collegamenti erano atipici e si spiegano soltanto con manipolazioni tecniche da parte della ricorrente.
156    A questo proposito, occorre rilevare che le circostanze descritte al punto 151 supra dimostrano che le diverse ubicazioni dei server ai quali era collegato l’indirizzo IP del ricorrente non potevano risultare dagli spostamenti fisici del ricorrente nello stesso giorno, cosa che sarebbe impossibile tenuto conto le distanze e gli intervalli di tempo coinvolti. Inoltre, non è stato dimostrato né presunto alcun malfunzionamento del servizio Amazon CloudFront, il che ci consente di concludere che, l’8 giugno 2022, questo servizio funzionava secondo il principio di prossimità al terminale dell’utente, il suo meccanismo di instradamento indirizzava le richieste degli utenti del sito web della CAE al server perimetrale che ha fornito la latenza più bassa (si veda il paragrafo 154 supra).
157    In tali circostanze, le connessioni dell’indirizzo IP del ricorrente a server ubicati negli Stati Uniti mentre si trovava in Germania non possono risultare dal normale funzionamento del servizio Amazon CloudFront, ma piuttosto da un adeguamento tecnico effettuato dal ricorrente al fine di modificare la sua posizione apparente, presentandosi nel dominio digitale come se si trovasse nello stesso giorno successivamente in luoghi vicino a Monaco, Londra, Hillsboro, Newark e Francoforte sul Meno.
158    Ne consegue che, certamente, questo è il funzionamento del servizio Amazon CloudFront, con il suo meccanismo di routing che opera secondo il principio di prossimità e che copre un’area geografica più ampia del territorio dello SEE, comprendendo in particolare gli Stati-Stati Uniti (v. punti 112 e 114 supra), il che ha consentito che, durante la consultazione del sito web della CAE, l’indirizzo IP del ricorrente stabilisse connessioni con i server Amazon CloudFront situati negli Stati Uniti.
159    Tuttavia, sebbene l’utilizzo del servizio Amazon CloudFront da parte della Commissione sia una condizione necessaria affinché si verifichino i trasferimenti di dati personali verso gli Stati Uniti, menzionati al punto 152 supra, tale circostanza non è sufficiente, nelle circostanze della specie, per stabilire un nesso causale sufficientemente diretto tra il danno morale invocato dalla ricorrente e il comportamento asseritamente illegittimo della Commissione, consistente nell’utilizzo di un siffatto servizio in violazione delle disposizioni del capo V del regolamento 2018/1725.
160    Infatti, è il comportamento della ricorrente che deve essere considerato come costituente la causa diretta e immediata dell’asserito danno morale e non la colpa asseritamente commessa dalla Commissione nell’utilizzare il servizio Amazon CloudFront.
161    Pertanto, è stata la ricorrente a creare le condizioni necessarie per realizzare connessioni a server situati negli Stati Uniti attraverso il funzionamento del servizio Amazon CloudFront. È stato il comportamento del ricorrente a far sì che il meccanismo di instradamento del servizio Amazon CloudFront inviasse le sue richieste di consultazione del sito web CAE a server situati negli Stati Uniti, poiché erano questi ultimi ad avere la latenza inferiore rispetto all’ubicazione apparente del il richiedente nel dominio digitale, anche se questo non corrispondeva alla sua effettiva ubicazione.
162    Inoltre, il ricorrente non è giustificato ad adottare un comportamento volto a conseguire un determinato risultato (vale a dire il trasferimento dei suoi dati personali verso un paese terzo) e, successivamente, a chiedere il risarcimento del danno asseritamente causato da tale risultato, di cui il suo comportamento è stata la causa diretta. Pertanto, contrariamente a quanto sostiene il ricorrente, nell’ambito di un’azione di risarcimento come quella di specie, la sua situazione non può essere valutata in modo analogo a quella di un utente che ha effettivamente viaggiato negli Stati Uniti e che , pertanto, avrebbe avuto accesso al sito web della CAE da quel paese.
163    Da tutto quanto precede consegue che, con riguardo al contestato trasferimento nel corso delle consultazioni del sito CAE dell’8 giugno 2022, non esiste un nesso causale sufficientemente diretto tra il comportamento asseritamente illegale della Commissione e il danno morale invocato non è stato dimostrato.
164    Mancando uno dei presupposti cumulativi per il sorgere della responsabilità extracontrattuale dell’Unione, la domanda risarcitoria deve essere respinta con riferimento alla cessione contestata nella consultazione del sito della CAE dell’8 giugno 2022, senza che occorra esaminare le altre condizioni per il sorgere di detta responsabilità.
–       Trasferimento contestato al momento della connessione a EU Login il 30 marzo 2022
165    Il ricorrente sostiene che, il 30 marzo 2022, durante la sua registrazione all’evento “GoGreen” disponibile sul sito web della CAE, il suo indirizzo IP nonché le informazioni sul suo browser e terminale sono stati trasferiti alla società Meta Platforms, con sede negli Stati Uniti States, proprietaria del social network Facebook. Infatti, durante questa registrazione, il richiedente sarebbe stato indirizzato al servizio di autenticazione dell’Unione EU Login, che offre, in particolare, la connessione tramite diverse reti sociali. Il ricorrente ha scelto di connettersi tramite il suo account Facebook e, quando ha cliccato sul collegamento ipertestuale che lo reindirizzava a Facebook, tale collegamento ha comportato la trasmissione del suo indirizzo IP a Facebook. Il ricorrente ha accettato soltanto i “cookie essenziali” di Facebook. Altri dati personali del richiedente, vale a dire il suo indirizzo e-mail, il suo nome e cognome e la foto del profilo, sono stati raccolti da Facebook utilizzando i cookie, in particolare il cookie denominato “sb”, e trasferiti ai server di Meta Platforms. Dalla giurisprudenza risulta che i gestori di siti web che utilizzano Facebook sui loro siti web, come nel caso della Commissione, sono responsabili, insieme a Facebook, del rispetto del diritto dell’Unione in materia di protezione dei dati. La Commissione sarebbe quindi corresponsabile dell’inserimento dei cookie memorizzati da Facebook. Il ricorrente perderebbe il controllo sui suoi dati personali trasmessi a Facebook e verrebbe privato dei suoi diritti e delle sue libertà, il che costituirebbe un danno morale ai sensi del considerando 46 del Regolamento 2018/1725.
166    La Commissione contesta queste argomentazioni. Essa sostiene, in sostanza, di non aver effettuato né avviato trasferimenti di dati verso la Meta Platforms. Non è obbligatorio registrarsi tramite EU Login per partecipare all’evento ‘GoGreen’ e, anche utilizzando EU Login, il richiedente avrebbe avuto diverse possibilità di autenticazione, comprese possibilità che non richiederebbero l’utilizzo di un account sui social network. Sarebbe quindi una scelta del richiedente collegarsi al servizio EU Login con il suo account Facebook e sarebbe quindi lui, e non la Commissione, ad avviare l’accesso al sito web Facebook. Inoltre, sul piano tecnico, l’opzione di autenticazione da parte di Facebook verrebbe effettuata tramite il collegamento ipertestuale visualizzato sul sito EU Login, che non conterrebbe i dati personali dell’utente. Contrariamente a quanto sostiene la ricorrente, i dati raccolti dai cookie utilizzati da Facebook non verrebbero trasferiti alla Commissione al momento della connessione a EU Login e non ricadrebbero sotto la sua responsabilità. Questi cookie risultano da scambi tra Facebook e il richiedente, sulla base dei consensi forniti da quest’ultimo, senza che la Commissione sia coinvolta in tali scambi. Inoltre, la Commissione sostiene che la giurisprudenza invocata dalla ricorrente non è applicabile nel caso di specie e che, in ogni caso, l’argomento della ricorrente fondato su una presunta responsabilità congiunta della Commissione e di Meta Platforms costituirebbe un nuovo motivo invocato per la prima volta in fase di replica il che, pertanto, sarebbe irricevibile.
167    Nel caso di specie, occorre preliminarmente esaminare il quadro fattuale nel quale si inserisce il trasferimento contestato in occasione della connessione a EU Login in data 30 marzo 2022, tenendo conto degli elementi risultanti dal fascicolo nonché delle risposte delle parti alla domanda questioni poste dalla Corte in udienza e dalla misura di organizzazione del procedimento del 9 febbraio 2024.
168    A questo proposito va segnalato che sul sito della CAE è stato annunciato l’evento “GoGreen”, organizzato da un’organizzazione con sede nei Paesi Bassi. La registrazione a questo evento potrà essere effettuata, in particolare, sul sito del CAE, tramite il servizio EU Login.
169    Il richiedente ha scelto di registrarsi sul sito dell’EAC, utilizzando EU Login.
170    EU Login è il servizio di autenticazione degli utenti della Commissione, che protegge diverse centinaia di siti web e applicazioni legati all’UE. In questo caso, il collegamento a EU Login, ai fini della registrazione all’evento “GoGreen”, aveva lo scopo di garantire che tale registrazione avvenisse tramite un indirizzo email verificato, riducendo i rischi legati alla registrazione di utenti falsi o al furto di identità .
171    EU Login mostra diverse opzioni di accesso sul suo sito web. La prima opzione è accedere direttamente a EU Login, inserendo i dettagli di accesso per un account EU Login preesistente o creando un account per questo servizio. La seconda opzione consiste nell’utilizzare una carta d’identità elettronica “eID”, a disposizione dei cittadini di alcuni Stati membri. La terza opzione, disponibile per un numero limitato di servizi, consiste nell’utilizzare un account che l’utente già possiede su Facebook, Twitter o Google, cliccando sul corrispondente collegamento ipertestuale visualizzato sul sito EU Login.
172    La possibilità di accedere a EU Login tramite un account Facebook nasce dal fatto che la Commissione ha ritenuto opportuno dare agli utenti la possibilità di accedere a EU Login tramite account preesistenti sulle piattaforme, al fine di offrire loro un servizio più semplice e un accesso più rapido, nonché la possibilità di autenticarsi senza la necessità di creare un account EU Login ed evitare così di moltiplicare il numero di account ed entità con cui gli utenti devono condividere i propri dati di carattere personale. Inoltre, la Commissione ha ritenuto che Facebook fosse affidabile ai fini della verifica degli indirizzi e-mail degli utenti, tenendo conto delle misure da esso messe in atto. Tuttavia, il collegamento ipertestuale che consente di accedere tramite un account Facebook preesistente è disponibile solo su EU Login per siti Web o applicazioni che richiedono solo un livello di sicurezza di base.
173    Il richiedente ha scelto la possibilità di connettersi a EU Login tramite il suo account Facebook, utilizzando il collegamento ipertestuale “Accedi con Facebook” visualizzato sul sito web EU Login (di seguito il collegamento ipertestuale “Accedi con Facebook”). ).
174    Il collegamento ipertestuale “Connettiti con Facebook” contiene un collegamento a un sito web esterno alla Commissione. Quando questo collegamento ipertestuale è attivato, cliccando su di esso, si accede a un indirizzo URL del sito Web di Facebook, cioè a un indirizzo individuale di questo sito Web.
175    L’accesso all’indirizzo URL del sito web di Facebook comporta una comunicazione tra il browser dell’utente e il sito web, per cui il browser trasmette automaticamente l’indirizzo IP dell’utente al sito web. Questa trasmissione è simile a quella che avviene quando l’utente inserisce direttamente l’indirizzo URL di un qualsiasi sito web nel proprio browser, nella misura in cui l’indirizzo IP deve necessariamente essere comunicato da qualsiasi utente Internet che desideri accedere a un sito Internet.
176    Attraverso il collegamento ipertestuale “accedi con Facebook”, EU Login invia a Facebook alcune informazioni necessarie ai fini del processo di autenticazione e assumono la forma del seguente esempio:
177    Più nel dettaglio, le informazioni contenute nel collegamento ipertestuale “connettiti con Facebook” sono le seguenti:
– in primo luogo, la parte “client_id=1200572836629487” contiene un “codice identificativo univoco”, che identifica EU Login come applicazione. Questo numero identificativo è lo stesso per tutti gli utenti che desiderano autenticarsi a EU Login utilizzando Facebook;
– in secondo luogo, la parte “redirect_uri=https%3A%2F%2Fecas.ec.europa.eu%2Fcas%2FoAuthCallback” contiene l’URL generale di accesso UE, che è l’indirizzo a cui Facebook dovrebbe inviare l’utente dopo che ha acconsentito ai suoi dati personali dati trasmessi da Facebook a EU Login;
– in terzo luogo, la parte “scope=email” contiene i dati che Facebook deve trasmettere a EU Login per garantire la corretta autenticazione dell’utente, compreso l’indirizzo e-mail dell’utente e il nome e cognome indicati sul sito web di Facebook al momento della creazione di un account Facebook;
– in quarto luogo, la parte “state=useFacebook” indica che la lunga stringa di caratteri che segue è un valore di sicurezza casuale, che viene utilizzato per prevenire attacchi alla sicurezza e ha un periodo di validità limitato nel tempo. Questo valore di sicurezza casuale viene generato in modo casuale da EU Login e funge da passphrase, che Facebook deve ripetere quando trasmette i dati a EU Login, per consentire a EU Login di sapere che l’indirizzo email, il nome e il cognome riportati riguardano l’utente che ha avviato il metodo di autenticazione. Scaduto il tempo limite o già autenticato l’utente non è più possibile utilizzare il valore di sicurezza; E
– in quinto luogo, la parte “response_type=code” indica che la trasmissione dei dati da parte di Facebook a EU Login è comunque accompagnata da un codice univoco. Questo codice univoco include il valore di sicurezza casuale menzionato sopra. Il codice univoco equivale a un numero di registrazione univoco o numero di serie che autentica i dati trasmessi da Facebook a EU Login. 
178    Una volta che l’utente accede all’URL di Facebook, si trova su questo sito web, dove, innanzitutto, viene visualizzata una finestra che chiede all’utente di accettare l’utilizzo dei cookie di connessione o “cookie” da parte di Facebook. Successivamente, se si accettano i cookie, si apre un’altra finestra che consente di inserire il nome utente e la password dell’account Facebook dell’utente. Infine, una volta collegato al proprio account Facebook, l’utente può autorizzare Facebook a utilizzare i cookie su altre applicazioni e siti web, rispondendo alla domanda “Consentire a Facebook di utilizzare cookie e tecnologie simili collocati su altre app e siti web?” “. Se l’utente acconsente a tale utilizzo, gli verrà successivamente chiesto il consenso affinché Facebook fornisca a EU Login nome, cognome, foto del profilo e indirizzo email collegati al proprio account Facebook. Inoltre, durante questo processo, l’utente può interrompere l’autenticazione tramite il proprio account Facebook, scegliendo l’opzione “Annulla”. In questo caso viene reindirizzato al sito EU Login, dove viene nuovamente visualizzata la pagina con le opzioni di accesso.
179    Nel caso di specie, quando il ricorrente ha cliccato sul collegamento ipertestuale “Connettiti con Facebook”, il suo browser Internet ha avuto accesso all’indirizzo URL del sito web di Facebook e ha quindi comunicato il suo indirizzo IP a tale sito web. Successivamente, sul sito web di Facebook, il ricorrente ha scelto le opzioni che consentono a Facebook di utilizzare solo i cookie essenziali, ha quindi effettuato l’accesso al suo account Facebook e, infine, ha autorizzato Facebook a comunicare a EU Login il suo nome, cognome, foto del profilo ed e-mail. indirizzo, come aveva fornito sul suo account Facebook.
180    A seguito di tali autorizzazioni concesse dal ricorrente, Facebook lo ha indirizzato al sito web EU Login, conformemente alle informazioni contenute nel collegamento ipertestuale “Connettiti con Facebook” (v. supra, paragrafo 177, primo e secondo trattino).
181    Contestualmente, Facebook ha comunicato a EU Login il valore casuale di sicurezza e il codice univoco di cui al precedente punto 177, quarto e quinto trattino. Da un lato, tale comunicazione di Facebook ha consentito all’EU Login di sapere che i dati personali che Facebook le ha messo a disposizione riguardavano l’utente che aveva avviato la procedura di autenticazione, vale a dire, nella fattispecie, il ricorrente. Per contro, ha consentito all’EU Login di accedere, per un periodo limitato, ai dati personali menzionati al punto 177, terzo trattino, supra, vale a dire, in particolare, nome, cognome e indirizzo di posta elettronica del ricorrente, come ha fornito sul suo account Facebook. La trasmissione di questi dati da Facebook a EU Login è avvenuta tramite una connessione crittografata tra loro. È sulla base dei dati forniti da Facebook che l’EU Login autentica l’indirizzo di posta elettronica del ricorrente.
182    Inoltre, va segnalato che il social network Facebook è di proprietà di Meta Platforms, società con sede negli Stati Uniti.
183    Si precisa inoltre che la visualizzazione del presente collegamento ipertestuale sul sito EU Login è regolata dalle condizioni generali della piattaforma Facebook, rese disponibili all’indirizzo Internet “https://developers.facebook.com/terms”.
184    È alla luce di queste considerazioni che occorre esaminare se ricorrano i presupposti per far sorgere la responsabilità extracontrattuale della Commissione.
185    Il ricorrente sostiene, in sostanza, che, quando si è collegato a EU Login il 30 marzo 2022, si è verificato un trasferimento dei suoi dati personali, in particolare del suo indirizzo IP, ai server del social network Facebook, la cui società proprietaria è stabilito negli Stati Uniti. Tale trasferimento sarebbe stato effettuato in violazione dell’articolo 46 del Regolamento 2018/1725 e avrebbe causato al ricorrente un danno morale consistente in una perdita di controllo dei suoi dati e in una privazione dei suoi diritti e delle sue libertà.
186    In via preliminare, occorre ricordare che, come risulta dal precedente punto 95, un trasferimento di dati personali verso un paese terzo, ai sensi dell’articolo 46 del regolamento 2018/1725, richiede che un’istituzione, un’agenzia o un organismo del L’Unione mette, mediante trasmissione o in altro modo, i dati personali a disposizione di un destinatario stabilito in un paese terzo, vale a dire un paese Chi non è membro né dell’Unione né del SEE.
187    Nel caso di specie, è dimostrato che, in primo luogo, tra le opzioni per connettersi a EU Login, il ricorrente ha scelto di accedere con il suo account Facebook. In secondo luogo, il collegamento ipertestuale “Accedi con Facebook” contiene un collegamento a un indirizzo URL del sito web di Facebook. In terzo luogo, quando il ricorrente ha attivato tale collegamento ipertestuale cliccandovi sopra, il suo browser accedeva all’indirizzo URL del sito web di Facebook e trasmetteva successivamente il suo indirizzo IP a Facebook (v. punti da 173 a 175 supra).
188    Ne consegue che la Commissione, attraverso il collegamento ipertestuale “log in with Facebook”, visualizzato sulla pagina internet EU Login, ha creato le condizioni affinché l’indirizzo IP della ricorrente potesse essere trasmesso a Facebook. Tuttavia, tale indirizzo IP costituisce dati personali del ricorrente (v. punto 122 supra) che, tramite il suddetto collegamento ipertestuale, sono stati trasmessi a Meta Platforms, una società con sede negli Stati Uniti. Tale trasmissione corrisponde quindi ad un trasferimento di dati personali verso un Paese terzo, ai sensi dell’articolo 46 del Regolamento 2018/1725.
189    È dimostrato, peraltro, nel caso di specie che, al momento di tale trasferimento di dati, ossia il 30 marzo 2022, non esisteva alcuna decisione di adeguatezza, ai sensi dell’articolo 47 del Regolamento 2018/1725, nei confronti degli Stati Uniti (cfr. par. 100 sopra).
190    In assenza di una decisione di adeguatezza della Commissione riguardo agli Stati Uniti, il trasferimento di dati personali verso un paese terzo o verso un’organizzazione internazionale può avvenire solo se il titolare o il responsabile del trattamento ha fornito garanzie adeguate e a condizione che il le persone interessate dispongono di diritti esercitabili e di mezzi di ricorso effettivi, conformemente all’articolo 48, paragrafo 1, del regolamento 2018/1725 (v. paragrafo 101 supra).
191    In questo caso, la Commissione non ha dimostrato, né tanto meno asserito, l’esistenza di una garanzia adeguata, in particolare di una clausola tipo sulla protezione dei dati o di una clausola contrattuale adottata alle condizioni previste dall’articolo 48, paragrafi 2 e 3, del Regolamento 2018 /1725 (v. supra paragrafi 102-104). Per contro, è dimostrato che la visualizzazione del collegamento ipertestuale “Connettiti con Facebook” sul sito EU Login è disciplinata semplicemente dalle condizioni generali della piattaforma Facebook (v. punto 183 supra).
192    Di conseguenza, la Commissione ha creato le condizioni affinché avvenisse un trasferimento dei dati personali del richiedente verso un paese terzo, senza rispettare le condizioni stabilite dall’articolo 46 del Regolamento 2018/1725.
193    Si deve pertanto concludere, senza che sia necessario esaminare gli altri argomenti della ricorrente, che la Commissione ha commesso una violazione sufficientemente qualificata, ai sensi della giurisprudenza richiamata al punto 50 supra, dell’articolo 46 del regolamento 2018/1725, con riguardo al trasferimento contestato al momento della connessione a EU Login il 30 marzo 2022.
194    Occorre quindi esaminare se nel caso di specie siano soddisfatte le altre condizioni per far sorgere la responsabilità extracontrattuale della Commissione, relative al danno e al nesso di causalità.
195    Il ricorrente sostiene che il trasferimento illegale del suo indirizzo IP ad una società con sede negli Stati Uniti gli ha causato un danno morale consistente nella perdita del controllo dei suoi dati e nella privazione dei suoi diritti e delle sue libertà.
196    Al riguardo, deve ritenersi che l’articolo 65 del Regolamento 2018/1725 dà diritto al risarcimento non solo del danno materiale, ma anche del danno morale subito in conseguenza della violazione di tale regolamento, senza che sia necessario dimostrare una certa soglia di gravità [v., in questo senso e per analogia, sentenza del 4 maggio 2023, Österreichische Post (Danno morale legato al trattamento dei dati personali), C‑300/21, EU:C:2023:370, punti 45 e 51].
197    Nel caso di specie, il danno morale invocato dal ricorrente deve ritenersi reale e certo, ai sensi della giurisprudenza richiamata al punto 54 supra, in quanto la cessione di cui al punto 188 supra, effettuata in violazione dell’art. 46 del Regolamento 2018/1725, poneva il ricorrente in una situazione di insicurezza riguardo al trattamento dei suoi dati personali, in particolare del suo indirizzo IP.
198    Inoltre, esiste un nesso causale sufficientemente diretto, ai sensi della giurisprudenza richiamata al punto 55 supra, tra la violazione dell’articolo 46 del regolamento 2018/1725 da parte della Commissione e il danno morale subito dal ricorrente.
199    Nelle circostanze del caso di specie, è opportuno valutare ex aequo et bono l’importo del danno morale causato dalla Commissione nella somma di 400 euro.
200    Conseguentemente, la Commissione deve essere condannata a pagare alla ricorrente la somma di 400 euro per il danno morale subito in conseguenza del contestato trasferimento avvenuto durante la connessione a EU Login in data 30 marzo 2022.

 Sui costi
201    Ai sensi dell’articolo 134, paragrafo 3, del regolamento di procedura del Tribunale, ciascuna parte sopporta le proprie spese se entrambe risultano soccombenti in uno o più capi di imputazione. Tuttavia, se ciò appare giustificato tenuto conto delle circostanze della causa, la Corte può decidere che, oltre alle proprie spese, una parte sopporti una frazione delle spese dell’altra parte.
202    Nel caso di specie il ricorrente è rimasto soccombente sul primo e sul secondo capo delle sue conclusioni nonché su parte del terzo capo delle sue conclusioni. Il terzo capo della domanda è stato tuttavia parzialmente accolto e la Commissione è condannata al pagamento del risarcimento richiesto dal ricorrente a titolo di risarcimento del danno morale subito a seguito del contestato trasferimento in occasione del collegamento a EU Login del 30 marzo. 2022. Stando così le cose, si deve decidere che la Commissione sopporterà le proprie spese e la metà delle spese sostenute dalla ricorrente. Il ricorrente sopporterà la metà delle proprie spese.
Per questi motivi,
IL TRIBUNALE (sesta sezione ampliata)
dichiara e interrompe:
1) Il ricorso è dichiarato irricevibile quanto alle domande di annullamento.
2) Non occorre più pronunciarsi sulle conclusioni volte a stabilire che la Commissione europea si è illegittimamente astenuta dal prendere posizione sulla richiesta di informazioni del sig. Thomas Bindl del 1È Aprile 2022.
3) La Commissione è condannata a pagare al sig. Bindl la somma di 400 euro a titolo di risarcimento del danno morale subito.
4) Per la restante parte le richieste di risarcimento vengono respinte.
5) La Commissione sopporterà le proprie spese nonché la metà delle spese sostenute dal sig. Bindl.
6) Il sig. Bindl sopporterà la metà delle proprie spese.

Costeira Kancheva Öberg Zilgalvis Tichy-Fisslberger
Così pronunciato nell’udienza pubblica tenutasi a Lussemburgo, l’8 gennaio 2025.
Firme
Sommario
Fatti della controversia e fatti successivi al deposito del ricorso
Conclusioni delle parti
Posto
Considerazioni preliminari sulla tutela dei dati personali da parte delle istituzioni, degli organi e delle agenzie dell’Unione
Sulla ammissibilità
Ricevibilità delle conclusioni di annullamento
Ammissibilità delle conclusioni di carenza
Sulle conclusioni per il risarcimento
Considerazioni preliminari sulle condizioni di insorgenza della responsabilità extracontrattuale dell’Unione ai sensi del Regolamento 2018/1725
Con la prima domanda risarcitoria, diretta al risarcimento del danno morale derivante dalla violazione del diritto di accesso all’informazione
Con la seconda domanda risarcitoria, diretta al risarcimento del danno morale derivante dalle cessioni contestate
– Considerazioni preliminari sulle disposizioni relative al trasferimento di dati personali verso un Paese terzo
– Sul funzionamento del servizio Amazon CloudFront nell’ambito del sito Web CAE
– Trasferimento contestato durante la consultazione del sito web CAE il 30 marzo 2022
– Trasferimento contestato durante le consultazioni del sito web CAE l’8 giugno 2022
– Trasferimento contestato al momento della connessione a EU Login il 30 marzo 2022

0:00
0:00