Court of Justice of the European Uinion
Index of the main cases:
2025
| 04/09/2025 | C-413/23 P | Judgment of the Court in Case C-413/23 P - EDPS v SRB - The Court of Justice clarifies the scope of the concept of personal data in the context of a transfer of pseudonymised data to third parties The Court of Justice sets aside the judgment of the General Court which had annulled the decision of the European Data Protection Supervisor Following the resolution of Banco Popular Español, on 7 June 2017, the Single Resolution Board (SRB) adopted a preliminary decision on whether or not it was necessary to grant compensation to the former shareholders and creditors of that bank as a result of that resolution. Since that decision was adopted without hearing those persons, the SRB subsequently organised a procedure to enable them to submit comments on that preliminary decision. In the context of that procedure, the SRB transferred some of those comments, in the form of pseudonymised data, to Deloitte, an auditing and advisory company tasked by the SRB with carrying out a valuation of the effects of the resolution procedure on shareholders and creditors. |
| 03/09/2025 | C-T-553/23 | Judgment of the General Court in Case C-T-533 - Latombe v Commission - Data Protection: the General Court dismisses an action for annulment of the new framework for the transfer of personal data between the European Union and the United States - The Charter of Fundamental Rights of the European Union and the Treaty on the Functioning of the European Union (TFEU) enshrine the right of every person to the protection of his or her personal data. On the basis of those legal instruments, and to avoid compromising the level of protection conferred within the European Union, EU secondary legislation lays down the rules applicable to international transfers of personal data. In accordance with those rules, if the European Commission considers that a third country ensures an adequate level of protection, transfers of personal data to that country may take place without further authorisation, on the basis of the adequacy decision adopted by the Commission. Such a framework, established by the adequacy decision adopted by the Commission on 10 July 2023 (‘the contested decision’), exists between the European Union and the United States of America. In the past, in the judgments in Schrems I and Schrems II, the Court of Justice declared the two previous adequacy decisions concerning the United States to be invalid, on the ground that they did not ensure a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed by EU law. |
| 09/01/2025 | C-394/23 | Sentenza della Corte nella causa C-394/23 - RGPD e trasporto ferroviario: l’identità di genere del cliente non è un dato necessario per l’acquisto di un titolo di trasporto. La raccolta di dati relativi all’appellativo dei clienti non è oggettivamente indispensabile, in particolare, quando essa ha come finalità una personalizzazione della comunicazione commerciale L’associazione Mousse ha contestato dinanzi all’autorità francese per la protezi one dei dati personali (la CNIL) 1 la prassi dell’impresa ferroviaria francese SNCF Connect che obbliga sistematicamente i suoi clienti a indicare il loro appellativo («Signore» o «Signora») al momento dell’acquisto di titoli di trasporto online. Tale asso ciazione ritiene che detto obbligo violi il regolamento generale sulla protezione dei dati (RGPD) 2, in particolare sotto il profilo del principio di minimizzazione dei dati, in quanto l’indicazione dell’appellativo, che corrisponde a un’identità di genere, non sembra essere necessaria per l’acquisto di un titolo di trasporto ferroviario. Nel 2021 la CNIL ha deciso di respingere tale reclamo, ritenendo che detta prassi non costituisse una violazione del RGPD. |
2024
| 21/03/2024 | C-61/22 | Sentenza della Corte nella causa C-61/22 - Landeshauptstadt Wiesbaden - L’inserimento obbligatorio nelle carte d’identità di due impronte digitali è compatibile con i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale. Tuttavia, poiché il regolamento che prevede tale misura è stato adottato su una base giuridica errata, la Corte di giustizia lo dichiara invalido, pur mantenendo i suoi effetti fino al 31 dicembre 2026 al più tardi affinché il legislatore europeo possa adottare un nuovo regolamento sulla corretta base giuridica. La Corte constata che l’obbligo di inserire due impronte digitali complete nel supporto di memorizzazione delle carte d’identità costituisce una limitazione dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale, garantiti dalla Carta dei diritti fondamentali dell’Unione europea. Tuttavia, tale inserimento è giustificato dalle finalità di interesse generale di lotta contro la fabbricazione di carte d’identità false e contro l’usurpazione d’identità nonché di garanzia dell’interoperabilità dei sistemi di verifica. Esso è infatti idoneo e necessario alla realizzazione di tali finalità e non è sproporzionato rispetto a queste ultime. |
| 14/03/2024 | C-46/23 | Sentenza della Corte nella causa C-46/23 - Újpesti Polgármesteri Hivatal Protezione dei dati personali: l’autorità di controllo di uno Stato membro può ordinare la cancellazione di dati trattati illecitamente, anche in assenza di una previa richiesta dell’interessato. La cancellazione può riguardare sia i dati raccolti presso tale interessato sia quelli provenienti da un’altra fonte. La Corte ungherese chiede alla Corte di giustizia di interpretare il RGPD. Nella sua sentenza, la Corte di giustizia risponde che l’autorità di controllo di uno Stato membro può ordinare d’ufficio, vale a dire anche in assenza di una previa richiesta dell’interessato presentata a tal fine, la cancellazione di dati trattati illecitamente se una simile misura è necessaria per adempiere il suo compito consistente nel vigilare sul pieno rispetto del RGPD. Se tale autorità constata che un trattamento di dati non rispetta il RGPD, essa deve porre rimedio alla violazione constatata, e ciò anche senza previa richiesta dell’interessato. Infatti, esigere una simile richiesta farebbe sì che il responsabile del trattamento potrebbe, in assenza di richiesta, conservare i dati di cui trattasi e continuare a trattarli illecitamente. |
| 07/03/2024 | C-604/22 | Sentenza della Corte nella causa C-604/22 - IAB Europe - Vendita all’asta di dati personali a fini pubblicitari: la Corte chiarisce le regole in base al RGDP Quando un utente consulta un sito Internet o un’applicazione contenente uno spazio pubblicitario, le imprese, i broker di dati e le piattaforme pubblicitarie, che rappresentano migliaia di inserzionisti, possono presentare offerte in tempo reale, dietro le quinte, per ottenere tale spazio pubblicitario mediante un sistema di asta, al fine di visualizzarvi pubblicità adattate al profilo dell’utente (Real Time Bidding). Nella sua sentenza, la Corte di giustizia conferma che la TC String contiene informazioni riguardanti un utente identificabile e costituisce pertanto un dato personale ai sensi del RGPD. Infatti, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo dell’utente, esse possono consentire di creare un profilo di tale utente e di identificarlo. |
| 05/03/2024 | C-755/21 | Impugnazione – Cooperazione dei servizi di repressione dei reati – Regolamento (UE) 2016/794 – Articolo 49, paragrafo 3, e articolo 50 – Protezione dei dati personali – Trattamento illecito di dati – Procedimento penale instaurato in Slovacchia contro il ricorrente – Analisi tecnica effettuata dall’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Europol) ai fini dell’istruttoria – Estrazione di dati da telefoni cellulari e da un supporto di memorizzazione USB appartenenti al ricorrente – Divulgazione di tali dati – Danno morale – Ricorso per risarcimento danni – Natura della responsabilità extracontrattuale - Europol e lo Stato membro nel quale si è prodotto un danno in conseguenza di un trattamento illecito di dati verificatosi nell’ambito di una cooperazione tra loro sono responsabili in solido di tale danno |
| 30/01/2024 | C-118/22 | Rinvio pregiudiziale – Direttiva (EU) 2016/680 - L’articolo 4, paragrafo 1, lettere c) ed e), in combinato disposto con gli articoli 5 e 10, con l’articolo 13, paragrafo 2, lettera b), e con l’articolo 16, paragrafi 2 e 3, di tale direttiva, e alla luce degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che osta a una normativa nazionale che prevede la conservazione da parte delle autorità di polizia a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, di dati personali, in particolare di dati biometrici e genetici, riguardanti persone che hanno subito una condanna penale definitiva per un reato doloso perseguibile d’ufficio, fino al decesso della persona interessata, anche in caso di riabilitazione di quest’ultima, senza porre a carico del titolare del trattamento l’obbligo di esaminare periodicamente se tale conservazione sia ancora necessaria, né riconoscere a detta persona il diritto alla cancellazione di tali dati, dal momento che la loro conservazione non è più necessaria rispetto alle finalità per le quali sono stati trattati, o, eventualmente, il diritto alla limitazione del loro trattamento. |
| 25/01/2024 | C-687/21 | Rinvio pregiudiziale – Regolamento (UE) 2016/679 - 1. Gli articoli 5, 24, 32 e 82, letti congiuntamente, devono essere interpretati nel senso che nell’ambito di un’azione di risarcimento fondata su tale articolo 82, il fatto che taluni dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali non è sufficiente, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate», ai sensi di tali articoli 24 e 32; 2. L’articolo 82, paragrafo 1, deve essere interpretato nel senso che il diritto al risarcimento previsto da tale disposizione, segnatamente in caso di danno immateriale, svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione punitiva; 3. L’articolo 82 deve essere interpretato nel senso che tale articolo non richiede che il livello di gravità della violazione commessa dal titolare del trattamento sia preso in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione; 4. L’articolo 82, paragrafo 1, deve essere interpretato nel senso che la persona che chiede un risarcimento ai sensi di tale disposizione è tenuta a dimostrare non soltanto la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un danno materiale o immateriale; 5. L’articolo 82, paragrafo 1, deve essere interpretato nel senso che nel caso in cui un documento contenente dati personali sia stato consegnato a un terzo non autorizzato di cui sia accertato che non è venuto a conoscenza di questi ultimi, non costituisce «danno immateriale», ai sensi di tale disposizione, il semplice fatto che l’interessato tema che, a causa di detta comunicazione, la quale ha reso possibile la realizzazione di una copia di detto documento prima che fosse restituito, possa in futuro verificarsi una diffusione o addirittura un utilizzo abusivo dei suoi dati |
2023
| 23/11/2023 | C-710/23 | Domanda di pronuncia pregiudiziale - 1. Se la divulgazione di informazioni sugli atti compiuti da una persona giuridica, che comprendono anche informazioni relative a una persona fisica, comporti il trattamento di dati personali di sole persone giuridiche o anche di persone fisiche e, 2. Se la divulgazione di informazioni possa essere subordinata a una condizione che va oltre il GDPR |
| 14/11/2023 | C-683/23 | Domanda di pronuncia pregiudiziale - Cessione di dati personali non basata sul consenso dell’interessato o sul diritto dell’UE o di uno Stato membro |
| 7/11/2023 | C-655/23 | Domanda di pronuncia pregiudiziale - Se l’interessato può esercitare i propri diritti per ottenere un provvedimento inibitorio |
| 2/11/2023 | C-654/23 | Domanda di pronuncia pregiudiziale - Domande su alcuni aspetti legali dei servizi della società dell’informazione, in particolare il commercio elettronico |
| 26/10/2023 | C-307/22 | Diritto di accesso dell’interessato |
| 24/10/2023 | C-638/23 | Domanda di pronuncia pregiudiziale - Domande sul titolare del trattamento |
| 07/09/2023 | C-162/22 | Dati conservati dai fornitori di servizi di comunicazione elettronica |
| 04/07/2023 | C‑252/21 | Principio di leale cooperazione |
| 22/06/2023 | C‑579/21 | Diritto di accesso dell’interessato |
| 04/05/2023 | C‑300/21 | Risarcimento danni |
| 04/05/2023 | C-487/21 | Diritto di accesso dell’interessato |
| 07/04/2023 | T-183/23 | Richiesta di annullamento della decisione vincolante 3/2022 dell’EDPB sul servizio Facebook di Meta |
| 26/04/2023 | T-557/20 | Diritto di accesso dell’interessato |
| 12/01/2023 | C-154/21 | Destinatari |
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.