Il conflitto tra sicurezza nazionale e GDPR: quando la raccolta dei dati viola il principio di proporzionalità

Sicurezza nazionale e GDPR: quando la raccolta dei dati viola il principio di proporzionalità secondo l’Avvocato Generale UE

L’Avvocato Generale della Corte di Giustizia dell’Unione Europea, Juliane Kokott, nelle conclusioni del 12 febbraio 2026 (causa C-829/24), ha evidenziato come una normativa nazionale che consenta la raccolta estesa di dati personali senza adeguate garanzie possa violare il GDPR e la Carta dei diritti fondamentali dell’UE.

Il caso davanti alla Corte di Giustizia UE

Il caso nasce dal ricorso della Commissione Europea contro l’Ungheria relativo alla legge n. LXXXVIII del 2023 sulla tutela della sovranità nazionale, che istituisce un organismo con ampi poteri investigativi per monitorare possibili interferenze straniere nel dibattito democratico.

La Commissione Europea ha deferito l’Ungheria alla Corte di Giustizia dell’Unione Europea (CGUE) contestando la compatibilità della normativa nazionale con il diritto dell’Unione.

La legge ungherese sulla tutela della sovranità nazionale ha istituito l’Ufficio per la Protezione della Sovranità, un organismo indipendente con poteri investigativi finalizzati a individuare attività che potrebbero influenzare il dibattito democratico, soprattutto quando sostenute da finanziamenti provenienti dall’estero.

Secondo il governo ungherese, la normativa è giustificata dalla necessità di proteggere la sicurezza nazionale e la sovranità dello Stato, richiamando l’articolo 4, paragrafo 2, del Trattato sull’Unione Europea (TUE), che riconosce agli Stati membri competenze esclusive in materia di sicurezza nazionale.

La Commissione Europea, invece, ritiene che tali misure incidano sull’applicazione del diritto dell’Unione e possano violare diversi principi fondamentali, tra cui la protezione dei dati personali prevista dal Regolamento (UE) 2016/679 (GDPR).

I poteri dell’Ufficio per la Protezione della Sovranità

La legge n. LXXXVIII del 2023 attribuisce all’Ufficio poteri investigativi molto ampi, tra cui:

  • Indagine e monitoraggio

L’Ufficio può identificare persone o organizzazioni che svolgono attività di manipolazione informativa o che tentano di influenzare il dibattito democratico nell’interesse di Stati o soggetti stranieri.

  • Ispezioni e richiesta di dati

Qualsiasi persona o organizzazione può essere obbligata a fornire dati e documenti entro 15 giorni dalla richiesta.

  • Accesso ai dati

L’articolo 8 della legge consente all’Ufficio di esaminare e copiare tutti i dati collegati all’indagine, inclusi documenti elettronici.

  • Pubblicazione dei risultati

Gli esiti delle indagini possono essere inseriti in relazioni pubbliche o trasmessi ad altre autorità per l’avvio di procedimenti penali o amministrativi.

Secondo la Commissione Europea, molte delle definizioni contenute nella legge – come “attività volte a influenzare il dibattito democratico” – risultano vaghe e troppo ampie, creando il rischio di interventi arbitrari.

Le presunte violazioni del GDPR

Uno dei principali motivi del ricorso riguarda la violazione delle norme europee sulla protezione dei dati personali.

Mancanza di una base giuridica adeguata (art. 6 GDPR)

Il trattamento dei dati personali deve basarsi su presupposti giuridici chiari e prevedibili.

Secondo la Commissione, le nozioni utilizzate dalla legge ungherese – come “minaccia alla sovranità nazionale” – sono troppo indeterminate. Questa vaghezza impedisce ai cittadini di sapere quando e come i loro dati potrebbero essere raccolti e trattati.

Violazione dei principi di necessità e proporzionalità

L’obbligo di fornire tutti i dati richiesti dall’Ufficio, senza criteri di pertinenza rigorosi, contrasta con il principio di minimizzazione dei dati previsto dal GDPR.

Inoltre, le attività investigative non sono soggette a controllo giurisdizionale preventivo o successivo, limitando le possibilità di tutela per gli interessati.

Trattamento di dati sensibili (art. 9 GDPR)

Le indagini riguardano spesso opinioni politiche e partecipazione al dibattito pubblico.

Si tratta di categorie particolari di dati personali, per le quali il GDPR prevede garanzie molto rigorose che, secondo la Commissione, la normativa ungherese non rispetta.

Segreto professionale e diritto di difesa

La legge consentirebbe all’Ufficio di richiedere dati anche a soggetti vincolati da segreto professionale, come gli avvocati.

Ciò potrebbe compromettere la riservatezza delle comunicazioni tra avvocato e cliente e il diritto a un ricorso effettivo garantito dalla Carta dei diritti fondamentali dell’UE.

Impatto sulle libertà fondamentali dell’Unione Europea

Il ricorso della Commissione contesta anche violazioni delle libertà fondamentali del mercato interno, tra cui:

  • libera prestazione dei servizi
  • libertà di stabilimento
  • libera circolazione dei capitali

Secondo l’Avvocato Generale Kokott, i poteri investigativi dell’Ufficio possono incidere sulle attività economiche transfrontaliere e risultare indirettamente discriminatori nei confronti di prestatori di servizi stranieri.

Inoltre, l’imposizione di obblighi più severi ai fornitori di servizi della società dell’informazione rispetto a quelli previsti negli altri Stati membri potrebbe violare anche la direttiva sul commercio elettronico.

Le conclusioni dell’Avvocato Generale Kokott

Nelle conclusioni presentate il 12 febbraio 2026, l’Avvocato Generale Juliane Kokott ha proposto alla Corte di Giustizia dell’Unione Europea di dichiarare che l’Ungheria, con l’adozione della legge n. LXXXVIII del 2023, ha violato diversi obblighi derivanti dal diritto dell’Unione.

In particolare, la normativa sarebbe incompatibile con:

  • la libera circolazione dei capitali (art. 63 TFUE)

  • la direttiva sul commercio elettronico

  • la direttiva sui servizi nel mercato interno

  • diversi articoli della Carta dei diritti fondamentali dell’UE

  • varie disposizioni del Regolamento generale sulla protezione dei dati (GDPR).

La decisione finale spetterà ora alla Corte di Giustizia dell’Unione Europea, che dovrà stabilire se la legge ungherese rappresenti un legittimo strumento di tutela della sovranità nazionale o una violazione dei diritti fondamentali e delle norme europee sulla protezione dei dati.

Per consultare il testo integrale della Sintesi giurisprudenziale, clicca qui

FAQ finali:

Cos’è il principio di proporzionalità nel trattamento dei dati personali?

Il principio di proporzionalità impone che il trattamento dei dati personali sia limitato a quanto strettamente necessario per raggiungere uno scopo legittimo. Nel contesto del GDPR, le autorità pubbliche possono raccogliere dati solo se la misura è adeguata, necessaria e non eccessiva rispetto all’obiettivo perseguito.

La sicurezza nazionale può giustificare la raccolta estesa di dati personali?

La sicurezza nazionale è una competenza degli Stati membri dell’Unione Europea. Tuttavia, anche in questo ambito le misure adottate devono rispettare i diritti fondamentali garantiti dal diritto dell’Unione, tra cui la tutela dei dati personali e la privacy previsti dalla Carta dei diritti fondamentali dell’UE e dal GDPR.

Qual è il ruolo dell’Avvocato Generale della Corte di Giustizia dell’UE?

L’Avvocato Generale presenta conclusioni giuridiche indipendenti nei casi più rilevanti esaminati dalla Corte di Giustizia dell’Unione Europea. Le sue conclusioni non sono vincolanti, ma spesso rappresentano un importante orientamento per la decisione finale della Corte.

Perché il caso sulla legge ungherese è rilevante per la protezione dei dati?

Il caso riguarda il delicato equilibrio tra tutela della sicurezza nazionale e protezione dei diritti fondamentali, tra cui la privacy, la libertà di espressione e la libertà di associazione. La decisione della Corte potrebbe chiarire fino a che punto gli Stati membri possono adottare misure di controllo senza violare il GDPR e il diritto dell’Unione Europea.

Il GDPR si applica anche alle attività legate alla sicurezza nazionale?

In linea generale il GDPR non si applica direttamente alle attività di sicurezza nazionale, che restano di competenza degli Stati membri. Tuttavia, quando le misure adottate incidono su ambiti disciplinati dal diritto dell’Unione Europea, devono comunque rispettare i diritti fondamentali garantiti dalla Carta dei diritti fondamentali dell’UE.

Uno Stato può limitare la privacy per proteggere la democrazia?

Uno Stato può adottare misure per proteggere i propri processi democratici, ad esempio contro interferenze straniere o disinformazione. Tuttavia tali misure devono rispettare i principi di necessità, proporzionalità e legalità, evitando raccolte di dati eccessive o prive di adeguate garanzie giuridiche.

Cosa succede se uno Stato membro viola il GDPR?

Se uno Stato membro adotta una normativa incompatibile con il diritto dell’Unione Europea, la Commissione Europea può avviare una procedura di infrazione e deferire il caso alla Corte di Giustizia dell’Unione Europea. La Corte può dichiarare la violazione e imporre allo Stato di adeguare la propria legislazione.

 

Condividi
Condividi
Ultimi articoli

Il conflitto tra sicurezza nazionale e GDPR: quando la raccolta dei dati viola il principio di proporzionalità

Mar 13

Permesso di soggiorno religioso: necessario dimostrare i requisiti e presentare una specifica domanda

Mar 12

Disparità di reddito tra ex coniugi: la Cassazione fissa i limiti dell’assegno divorzile

Mar 11

La responsabilità civile per i danni causati dai cani randagi

Mar 10

Videosorveglianza e privacy: illegittime le telecamere smart che riprendono aree comuni

Mar 6

Diritto di difesa e riqualificazione del reato

Mar 5