Il 10 febbraio 2026, con un comunicato quasi per addetti ai lavori, la Corte di Giustizia UE (CGUE) ha annunciato una decisione destinata ad avere effetti profondi, che riapre la partita sul reale equilibrio di potere tra Big Tech e regolatori europei.

Al centro della decisione c’è WhatsApp Ireland e la possibilità, finora negata, di impugnare direttamente davanti ai giudici dell’Unione una decisione vincolante del Comitato europeo per la protezione dei dati (EDPB).

Ecco cosa ha chiarito la CGUE.

La sentenza della Corte di Giustizia Ue su WhatsApp

La vicenda nasce dalla nota sanzione da 225 milioni di euro inflitta a WhatsApp per violazioni del GDPR in materia di trasparenza nei confronti degli utenti.

Nel 2021, infatti, nell’ambito del meccanismo di coerenza previsto dal Regolamento, l’EDPB era intervenuto per risolvere un conflitto tra autorità nazionali, imponendo alla Data Protection Commission irlandese di rafforzare il proprio provvedimento, che prevedeva una sanzione significativamente inferiore (30 milioni di euro) a quella poi comminata per l’effetto del parere vincolante dell’EDPB.

Quando WhatsApp ha tentato di impugnare direttamente la decisione dell’EDPB, il General Court ha dichiarato il ricorso inammissibile.

La CGUE ribalta ora quell’impostazione, rinviando la causa al giudice di primo grado affinché esamini il merito della controversia e consentendo a Meta di proseguire la propria azione legale nei confronti del Board.

Cosa ha chiarito la sentenza della CGUE

La sentenza chiarisce che quando l’EDPB interviene in modo vincolante, incidendo in maniera determinante sulla posizione giuridica di un’impresa, le sue decisioni non possono considerarsi confinate nella sfera tecnica della cooperazione amministrativa, poiché diventano atti dell’Unione pienamente sindacabili.

Annullando l’ordine della General Court, la Corte ha dichiarato ammissibile l’azione di WhatsApp e rinviato il caso alla stessa General Court affinché esamini il merito della controversia e valuti se WhatsApp abbia effettivamente violato il GDPR.

Insomma: per la CGUE la decisione dell’EDPB è un atto aperto al controllo giurisdizionale, perché proviene da un organismo dell’Unione e produce effetti giuridici diretti nei confronti delle autorità di controllo coinvolte, quindi anche sulla posizione giuridica di WhatsApp.

WhatsApp, EDPB e CGUE: il processo diventa il terreno della sovranità digitale europea

Stabilendo che le decisioni vincolanti dell’EDPB possono essere impugnate direttamente dalle imprese davanti ai giudici europei, la Corte ha deciso qualcosa di dirompente, che mette in discussione la stessa efficacia del GDPR, il funzionamento del One-Stop-Shop e il futuro dell’enforcement europeo nel diritto digitale e nell’intelligenza artificiale.

Si tratta di una decisione che ridefinisce il perimetro del potere regolatorio europeo.

L’EDPB da organismo di coordinamento ad attore amministrativo europeo

Per anni, il Board è stato presentato come un organismo di coordinamento, privo di un rapporto diretto con le imprese e inserito in un sistema che lasciava formalmente alle autorità nazionali il potere decisionale finale.

Senza smentire l’architettura formale del General Data Protection Regulation, la Corte ne mette però in luce la sostanza: quando l’EDPB adotta una decisione vincolante che non lascia margini di discrezionalità all’autorità nazionale, quella decisione produce effetti giuridici diretti e, come tale, deve poter essere sottoposta a controllo giurisdizionale.

È un chiarimento che sposta il baricentro del sistema. L’EDPB resta il garante della coerenza, ma anche un attore amministrativo europeo a pieno titolo, soggetto allo scrutinio delle corti dell’Unione, al pari della Commissione o di altre agenzie. Un punto già colto da diversi commentatori internazionali.

Il One-Stop-Shop alla prova dei fatti

La decisione è emblematica anche perché mostra in modo plastico le tensioni interne al One-Stop-Shop ovvero il meccanismo pensato per semplificare l’applicazione del GDPR nei casi transfrontalieri.

In teoria, una sola autorità capofila avrebbe dovuto garantire efficienza, rapidità e certezza giuridica; in pratica, il sistema ha spesso prodotto l’effetto opposto.

La Data Protection Commission irlandese, competente per molte Big Tech, è stata più volte accusata di eccessiva prudenza e l’intervento dell’EDPB nel caso WhatsApp sembra nascere proprio dal tentativo di riequilibrare decisioni percepite come troppo indulgenti.

La sentenza della CGUE certifica ora uno spostamento del conflitto, dal livello nazionale a quello europeo, e da lì direttamente alle corti. In questo quadro, il One-Stop-Shop entra in una fase di stress strutturale, dove l’efficienza promessa si scontra con una crescente complessità procedurale.

Il nodo politico: il diritto di ricorso come logoramento dell’enforcement

La decisione della CGUE rende esplicita una tensione già presente nell’architettura del GDPR.

Il diritto di difesa e di ricorso è una garanzia fondamentale dello Stato di diritto europeo, ma nel contesto del diritto digitale, il rischio è che si trasformi in uno strumento di logoramento sistemico dell’enforcement.

Le grandi piattaforme dispongono infatti di risorse legali tali da sostenere contenziosi lunghi, multilivello e altamente tecnici.

Ogni nuovo grado di giudizio è in grado di dilatare i tempi di applicazione delle sanzioni e ogni rinvio è in grado di produrre un effetto sospensivo, formale o
sostanziale.

Il risultato è semplice ma rilevante: più garanzie procedurali per le imprese, meno protezione immediata per gli utenti.

Occorre chiedersi, ora più che mai, se il GDPR sia ancora, nella pratica, uno strumento di tutela dei diritti fondamentali o piuttosto rischi di diventare un manuale avanzato di contenzioso regolatorio, in cui vince chi è in grado di sostenere il confronto giudiziario più lungo.

Democrazia dei ricorsi ed effetti collaterali

La sentenza della CGUE rafforza un modello di governance in cui ogni decisione rilevante è potenzialmente impugnabile.

In termini astratti è senz’altro una buona notizia per lo Stato di diritto, ma, in concreto, introduce un potenziale fattore di inefficienza strutturale.

Se ogni decisione vincolante dell’EDPB potesse essere contestata direttamente davanti ai giudici europei, l’enforcement potrebbe trasformarsi in un processo permanente, dove il tempo diventa la vera variabile strategica.

La portata sistemica della decisione

Il precedente tracciato dalla Corte rende strutturalmente impugnabile il cuore dell’enforcement europeo, trasformando il contenzioso in una variabile centrale della governance regolatoria europea.

Per gli operatori di maggiori dimensioni, il processo, oltre ad essere uno strumento di difesa, può diventare una strategia per diluire l’impatto delle sanzioni, guadagnare tempo e condizionare l’efficacia delle politiche pubbliche.

In questo quadro, il rischio è la progressiva neutralizzazione pratica del Regolamento Ue sulla protezione dei dati: le regole restano, ma la loro applicazione sarà sempre più lenta, incerta e negoziata.

I vantaggi per Meta

Riconoscendo la possibilità di impugnare direttamente le decisioni vincolanti dell’EDPB, la Corte di Giustizia abbassa in modo significativo la soglia di accesso al contenzioso europeo per le grandi piattaforme digitali.

Se finora, anche le sanzioni GDPR di importo più elevato potevano essere contestate solo indirettamente (attraverso le decisioni delle autorità nazionali e i relativi giudici interni), con questa pronuncia il confronto si sposta a monte, colpendo direttamente l’organo che, nei fatti, orienta o determina l’esito finale dei procedimenti sanzionatori.

Per Meta, sul piano delle sanzioni e dei contenziosi aperti, l’impatto è potenzialmente rilevantissimo, dal momento che il gruppo è destinatario di alcune delle sanzioni GDPR più alte mai irrogate e ha numerosi procedimenti ancora pendenti o suscettibili di evoluzioni future.

La possibilità di contestare le decisioni dell’EDPB consente di rimettere in discussione sia l’entità delle multe che l’intera cornice interpretativa che le sorregge, con l’effetto concreto di tenere aperto, e negoziabile nel tempo, un’esposizione sanzionatoria che vale miliardi di euro.

La CGUE come centro di gravità della sovranità digitale

Un altro effetto, meno evidente ma altrettanto significativo, è il rafforzamento del ruolo della Corte di Giustizia come arbitro finale della sovranità digitale europea.

In un sistema in cui l’enforcement amministrativo è frammentato e politicamente sensibile, la Corte diventa l’istanza chiamata a riequilibrare il potere dei regolatori.

Tuttavia, affidare ai giudici il compito di definire i confini dell’azione regolatoria significa accettare che la capacità dell’Europa di governare il digitale dipenda sempre più dai tempi e dagli esiti del contenzioso.

Si tratta di una scelta forse inevitabile, ma che potrebbe seriamente ridimensionare l’ambizione di una regolazione rapida ed efficace.

Dal GDPR all’AI Act: un precedente che pesa

La portata della decisione va ben oltre la protezione dei dati personali e investe il modello stesso di governance europea del digitale.

Il modello regolatorio europeo sta puntando sempre più su autorità indipendenti dotate di poteri forti: dal Digital Markets Act al Digital Services Act, fino all’AI Act e all’AI Office.

Il messaggio della CGUE è però chiaro: l’accentramento decisionale non sarà mai un monologo e ogni decisione che incide sui diritti e sugli interessi economici delle imprese dovrà reggere al vaglio giudiziario diretto.

La complessità che ne deriva è quella di conciliare l’esigenza di controllo giurisdizionale con quella di un enforcement tempestivo in settori tecnologici che evolvono a velocità esponenziale.

Ancora una volta, la sovranità digitale passa dal processo

La decisione della CGUE nel caso WhatsApp, pur non indebolendo formalmente il GDPR, ne espone una tensione strutturale, quella tra ambizione normativa ed effettività concreta. Una questione che difficilmente potrà essere ormai ignorata.

Mentre l’Unione europea continua a produrre alcune delle regole più avanzate al mondo in materia di digitale, ancora una volta, scopre che la partita decisiva si gioca nelle aule dei tribunali e che la sovranità digitale non si misura tanto nella forza delle norme, quanto nella capacità del sistema di farle sopravvivere al processo stesso.