CGUE 2025-Il 27 febbraio 2025, la Corte di Giustizia dell’Unione Europea (CGUE) ha emesso una sentenza significativa nella causa C-638/23, che ha affrontato questioni cruciali riguardanti la designazione diretta del titolare del trattamento dei dati personali secondo il diritto nazionale, in particolare nel contesto del Regolamento (UE) 2016/679 (GDPR). Questa pronuncia si inserisce in un panorama giuridico sempre più complesso e in continua evoluzione, dove la protezione dei dati personali assume un ruolo centrale nella legislazione europea e nazionale.
La controversia tra l’Amt der Tiroler Landesregierung (Ufficio del governo del Land Tirolo) e la Datenschutzbehörde (Autorità austriaca per la protezione dei dati) ha evidenziato importanti questioni relative all’interpretazione dell’articolo 4, punto 7, del GDPR, che definisce il titolare del trattamento come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali". La sentenza della CGUE ha quindi analizzato se il diritto nazionale potesse influenzare la designazione di tale figura e come tali designazioni dovessero essere in linea con i principi stabiliti dal GDPR.
Uno degli aspetti principali emersi dalla sentenza riguarda il bilanciamento tra le competenze delle autorità nazionali e i principi di protezione dei dati europei. La Corte ha sottolineato l'importanza di garantire che la designazione del titolare del trattamento non possa avvenire in modo arbitrario o in contrasto con i diritti fondamentali dei soggetti interessati. Questo rappresenta un chiaro richiamo alla necessità di un'applicazione uniforme delle norme europee in tutti gli Stati membri, per evitare disparità di trattamento e garantire una protezione adeguata dei dati personali.
Inoltre, la CGUE ha ribadito che, sebbene il diritto nazionale possa prevedere modalità specifiche per la designazione del titolare del trattamento, tali modalità devono sempre rispettare i principi fondamentali stabiliti dal GDPR. Questo implica che le autorità nazionali non possono derogare ai diritti e agli obblighi previsti dal regolamento europeo, e devono garantire un livello di protezione dei dati che sia coerente con gli standard europei.
In conclusione, la sentenza della CGUE nella causa C-638/23 rappresenta un passo importante nella definizione dei confini tra diritto nazionale e diritto europeo in materia di protezione dei dati. Essa riafferma l'importanza di un approccio armonizzato alla protezione dei dati personali all'interno dell'Unione Europea, sottolineando che le legislazioni nazionali devono sempre operare nel rispetto dei diritti fondamentali e dei principi stabiliti dal GDPR. Questa decisione avrà sicuramente un impatto significativo sulla pratica giuridica e sulla gestione dei dati personali da parte delle autorità pubbliche e private in tutta Europa.
Edizione provvisoria
SENTENZA DELLA CORTE (Ottava Sezione)
27 febbraio 2025 (*)
« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 4, punto 7 – Nozione di “titolare del trattamento” – Designazione diretta del titolare del trattamento in base al diritto nazionale – Entità amministrativa ausiliaria al servizio di un governo regionale – Mancanza di personalità giuridica – Mancanza di capacità giuridica propria – Determinazione delle finalità e dei mezzi del trattamento »
Nella causa C‑638/23,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Verwaltungsgerichtshof (Corte amministrativa, Austria), con decisione del 23 agosto 2023, pervenuta in cancelleria il 24 ottobre 2023, nel procedimento
Amt der Tiroler Landesregierung
contro
Datenschutzbehörde,
con l’intervento di:
Bundesministerin für Justiz,
CW,
LA CORTE (Ottava Sezione),
composta da N. Jääskinen, presidente della Nona Sezione, facente funzione di presidente dell’Ottava Sezione, M. Gavalec (relatore) e N. Piçarra, giudici,
avvocato generale: M. Campos Sánchez-Bordona
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
– per la Datenschutzbehörde, da M. Schmidl e E. Wagner, in qualità di agenti;
– per la Bundesministerin für Justiz, da E. Riedl, in qualità di agente;
– per il governo austriaco, da A. Posch, J. Schmoll e C. Gabauer, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar e M. Heller, in qualità di agenti,
vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra l’Amt der Tiroler Landesregierung (Ufficio del governo del Land Tirolo, Austria) (in prosieguo: l’«Ufficio») e la Datenschutzbehörde (Autorità per la protezione dei dati, Austria) in merito ad un trattamento asseritamente illecito dei dati personali di una persona fisica da parte dell’Ufficio.
Contesto normativo
Diritto dell’Unione
3 I considerando 1, 7, 10, 45 e 74 del RGPD sono formulati come segue:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (…) e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(7) (...) È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...)
(...)
(45) È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un’associazione professionale.
(...)
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche».
4 L’articolo 1 di tale regolamento, intitolato «Oggetto e finalità», al paragrafo 2, dispone quanto segue:
«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».
5 L’articolo 4 di detto regolamento, intitolato «Definizioni», è così formulato:
«Ai fini del presente regolamento si intende per:
(...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)».
6 Ai sensi dell’articolo 5 del medesimo regolamento, intitolato «Principi applicabili al trattamento di dati personali»:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
7 L’articolo 6 del RGPD, intitolato «Liceità del trattamento», ai suoi paragrafi 1 e 3, enuncia quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(...)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
(...)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
(...)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. (...)».
Diritto austriaco
Regolamento del Land Tirolo del 1989
8 L’articolo 56 del Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [legge regionale relativa alla costituzione del Land Tirolo (regolamento del Land Tirolo del 1989)], del 21 settembre 1988, nella versione applicabile al procedimento principale (in prosieguo: il «regolamento del Land Tirolo del 1989»), intitolato «Landeshauptmann (governatore del Land, Austria) (in prosieguo: il «governatore»)», al paragrafo 1, prevede quanto segue:
«Il [governatore] rappresenta il Land Tirolo».
9 L’articolo 58 del regolamento del Land Tirolo del 1989, intitolato «[Ufficio]», al paragrafo 1, così dispone:
«Il [governatore], il governo del Land e i suoi membri devono ricorrere all’[Ufficio] per trattare i loro affari. Il [governatore] è il presidente dell’[Ufficio]».
Il TDVG
10 L’articolo 2 del Tiroler Datenverarbeitungsgesetz (legge sul trattamento dei dati del Land Tirolo; in prosieguo: il «TDVG»), prevede quanto segue:
«1. È considerato titolare del trattamento ai sensi dell’articolo 4, punto 7, del [RGPD]:
a) l’[Ufficio];
(...)
3. Quando un trattamento di dati è effettuato o ordinato dal Land Tirolo, l’[Ufficio] è sempre considerato titolare di tale trattamento nella misura in cui
a) non sussiste una contitolarità ai sensi del paragrafo 1, lettera b) o c), e
b) non vi è alcun trattamento affidato ai sensi dell’articolo 5».
Procedimento principale e questione pregiudiziale
11 Nell’ambito di misure destinate a combattere la pandemia di COVID-19, l’Ufficio, un’entità amministrativa ausiliaria al servizio del governatore e del governo del Land Tirolo, ha inviato una «lettera di promemoria per la vaccinazione» a tutte le persone maggiorenni residenti nel Land Tirolo che non erano state ancora vaccinate contro tale virus. Al fine di identificare i destinatari di tali lettere, l’Ufficio ha incaricato due imprese private, che hanno proceduto ad un incrocio dei dati riportati nell’anagrafe centrale vaccini nonché nel registro dei pazienti, il quale menzionava il loro indirizzo di residenza.
12 Il 21 dicembre 2021, CW, uno di tali destinatari, ha presentato all’Autorità per la protezione dei dati un reclamo contro l’Ufficio per un trattamento illecito dei suoi dati personali. Dinanzi a tale autorità, l’Ufficio ha dichiarato di avere qualità di «titolare del trattamento» e di essere all’origine della lettera inviata a CW.
13 Con decisione del 22 agosto 2022, detta autorità ha constatato che l’Ufficio aveva violato il diritto di CW alla protezione dei suoi dati personali, in quanto, al fine di inviargli una «lettera di promemoria per la vaccinazione», l’Ufficio aveva consultato i dati dell’interessato riportati nell’anagrafe vaccini, pur non disponendo di un diritto di accesso a tale anagrafe né al registro dei pazienti. Il trattamento dei dati personali di CW sarebbe stato quindi illecito.
14 L’Ufficio ha presentato ricorso contro tale decisione dinanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale, Austria). Quest’ultimo ha stabilito che, sulla base del diritto nazionale applicabile, l’Ufficio aveva la qualità di titolare del trattamento, ma non aveva il diritto di consultare l’anagrafe vaccini ai fini dell’invio di una lettera di promemoria come quella spedita a CW. Avendo tale giudice respinto il ricorso dell’Ufficio, quest’ultimo ha presentato ricorso per cassazione (Revision), avverso tale sentenza dinanzi al Verwaltungsgerichtshof (Corte amministrativa, Austria), che è il giudice del rinvio.
15 Tale giudice ritiene che, per poter statuire nella causa di cui è investito, occorra stabilire se l’Ufficio, nel contesto di tale causa, abbia la qualità di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD.
16 A tal riguardo, il giudice del rinvio sottolinea il fatto che l’Ufficio si sarebbe limitato a presentare al governatore una proposta di invio di una «lettera di promemoria per la vaccinazione», proposta che quest’ultimo avrebbe approvato nella sua qualità di presidente dell’Ufficio e di rappresentante del Land Tirolo, conformemente, rispettivamente, all’articolo 58 e all’articolo 56, paragrafo 1, del regolamento del Land Tirolo del 1989. L’Ufficio si sarebbe quindi limitato ad indicare al governatore, da un lato, quale sarebbe la finalità del trattamento dei dati personali previsto, vale a dire un aumento del tasso di vaccinazione, e, dall’altro, i mezzi che sarebbero stati utilizzati sulla base di tale trattamento, vale a dire l’invio di una siffatta «lettera di promemoria per la vaccinazione» utilizzando i dati dell’anagrafe centrale vaccini e del registro dei pazienti.
17 Secondo il giudice del rinvio, tenuto conto di tale approvazione da parte del governatore, solo quest’ultimo ha deciso tanto sulla finalità quanto sui mezzi del trattamento dei dati personali, cosicché l’Ufficio non può avere la qualità di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, prima frase, del RGPD.
18 Nondimeno, tale giudice si chiede se l’Ufficio abbia potuto essere validamente designato come tale da una disposizione del diritto nazionale, vale a dire l’articolo 2, paragrafo 1, lettera a), del TDVG.
19 Infatti, l’Ufficio non sarebbe una persona giuridica o un’autorità incaricata del trattamento di dati personali che hanno dato luogo all’invio di una «lettera di promemoria per la vaccinazione» a CW. L’Ufficio sarebbe intervenuto in detto trattamento esclusivamente in qualità di entità amministrativa ausiliaria al servizio di un’autorità pubblica. Sarebbe privo di personalità giuridica nonché di una capacità giuridica propria. Occorrerebbe quindi stabilire se l’Ufficio possa, in tali circostanze, essere considerato un «servizio o un altro organismo», ai sensi dell’articolo 4, punto 7, prima frase, del RGPD, idoneo ad essere designato come titolare del trattamento in forza del diritto nazionale, conformemente all’articolo 4, punto 7, seconda frase, di tale regolamento.
20 Inoltre, detto giudice ricorda che, conformemente all’articolo 4, punto 7, seconda frase, del RGPD, un titolare del trattamento può essere designato direttamente solo se le finalità e i mezzi del trattamento dei dati personali di cui trattasi sono determinati dal diritto nazionale. Orbene, sebbene l’articolo 2, paragrafo 1, lettera a), del TDVG designi l’Ufficio quale titolare del trattamento, esso non indica tuttavia in modo concreto né a quali tipi di trattamenti di dati personali può procedere l’Ufficio, né le finalità che tali trattamenti dovrebbero perseguire, né i mezzi che l’Ufficio potrebbe adoperare a tal fine.
21 Il giudice del rinvio aggiunge che dall’articolo 6, paragrafo 1, lettere c) ed e), del RGPD risulta che un trattamento di dati personali è lecito se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o se è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Da tali condizioni di liceità e dall’obiettivo perseguito dall’articolo 4, punto 7, del RGPD di garantire una protezione efficace ed estesa degli interessati emergerebbe che gli Stati membri potrebbero designare come titolare del trattamento solo una persona o un’entità in grado di determinare le finalità e i mezzi del trattamento di dati personali o, quanto meno, di partecipare a tale determinazione.
22 Ciò premesso, il Verwaltungsgerichtshof (Corte amministrativa) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se l’articolo 4, punto 7, del [RGPD] debba essere interpretato nel senso che esclude l’applicazione di una disposizione di diritto nazionale (nel caso di specie l’articolo 2, paragrafo 1, del [TDVG] in cui viene stabilito uno specifico titolare del trattamento ai sensi della seconda frase dell’articolo 4, punto 7, del RGPD, sebbene
– quest’ultimo sia un mero ufficio (come, nel caso di specie, l’[Ufficio] che, benché istituito per legge, non è una persona fisica o giuridica e, nel caso di specie, non è nemmeno un’autorità pubblica, ma agisce solo come apparato ausiliario per quest’ultima e non dispone di capacità giuridica autonoma (nemmeno parziale);
– la sua designazione avvenga senza riferimento a un trattamento concreto di dati personali e, di conseguenza, le finalità e i mezzi di un trattamento concreto di dati personali non siano determinati dalla legislazione dello Stato membro;
– esso non abbia, nel caso concreto, determinato singolarmente o insieme ad altri le finalità e i mezzi del trattamento sottostante di dati personali».
Sulla questione pregiudiziale
23 Con la sua questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che esso osta a una normativa nazionale che designa, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le specifiche operazioni di trattamento di dati personali di cui tale ente è titolare né la finalità di tali operazioni. Tale giudice chiede altresì se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che un’entità designata dal diritto nazionale come titolare del trattamento, conformemente a tale disposizione, deve decidere effettivamente in merito alle finalità e ai mezzi del trattamento dei dati personali per essere tenuta a rispondere, in quanto titolare del trattamento, alle richieste rivoltele dagli interessati sulla base dei diritti che essi traggono dal RGPD.
24 In via preliminare, occorre ricordare che, in forza dell’articolo 4, punto 7, del RGPD, la nozione di «titolare del trattamento» comprende le persone fisiche o giuridiche, le autorità pubbliche, i servizi o altri organismi che, da soli o insieme ad altri, determinano le finalità e i mezzi del trattamento. Detta disposizione enuncia anche che, quando le finalità e i mezzi di tale trattamento sono determinati segnatamente dal diritto degli Stati membri, il titolare del trattamento può essere designato o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal predetto diritto.
25 Dalla giurisprudenza della Corte risulta che detta disposizione mira a garantire, mediante una definizione ampia della nozione di «titolare del trattamento», una protezione efficace e completa degli interessati (v., in tal senso, sentenze del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punto 29, e del 5 dicembre 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, punto 40).
26 L’obiettivo perseguito dal RGPD, quale risulta dal suo articolo 1 nonché dai suoi considerando 1 e 10, consiste, segnatamente, nel garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali e all’articolo 16, paragrafo 1, TFUE (sentenza del 7 marzo 2024, IAB Europe, C‑604/22, EU:C:2024:214, punto 53, e giurisprudenza ivi citata).
27 Tenuto conto della formulazione dell’articolo 4, punto 7, del RGPD, letto alla luce di tale obiettivo, per determinare se una persona o un’entità debba essere qualificata come «titolare del trattamento», ai sensi di tale disposizione, occorre verificare se tale persona o entità determini, da sola o insieme ad altri, le finalità e i mezzi del trattamento oppure se questi ultimi siano determinati dal diritto nazionale. Qualora siffatta determinazione sia effettuata dal diritto nazionale, occorre verificare se il diritto di cui trattasi designi il titolare del trattamento o se preveda i criteri specifici applicabili alla sua designazione [sentenza dell’11 gennaio 2024, État belge (Dati trattati da una gazzetta ufficiale), C‑231/22, EU:C:2024:7, punto 29].
28 Alla luce dell’ampia definizione della nozione di «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del RGPD, la determinazione delle finalità e dei mezzi del trattamento e, se del caso, la designazione di tale titolare da parte del diritto nazionale possono essere non solo esplicite, ma anche implicite. In quest’ultima ipotesi, è tuttavia necessario che tale determinazione derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devolute alla persona o all’entità interessata [sentenza dell’11 gennaio 2024, État belge (Dati trattati da una gazzetta ufficiale), C‑231/22, EU:C:2024:7, punto 30].
29 È alla luce di tali considerazioni preliminari che occorre esaminare la questione sollevata. A tal fine, occorre, in primo luogo, stabilire in quale misura il legislatore nazionale possa validamente designare un’entità amministrativa ausiliaria al servizio delle autorità pubbliche quale titolare del trattamento, ai sensi dell’articolo 4, punto 7, seconda frase, del RGPD, qualora tale entità sia priva di personalità giuridica e di una capacità giuridica propria.
30 A tal riguardo, va rilevato, da un lato, che la Corte ha già dichiarato che dalla chiara formulazione dell’articolo 4, punto 7, del RGPD risulta che un titolare del trattamento può essere non solo una persona fisica o giuridica, ma anche un’autorità pubblica, un servizio o un organismo, in quanto tali entità non sono necessariamente dotate di personalità giuridica in funzione del diritto nazionale [v., in tal senso, sentenza dell’11 gennaio 2024, État belge (Dati trattati da una gazzetta ufficiale), C‑231/22, EU:C:2024:7, punto 36].
31 Pertanto, non si può escludere che un’entità possa essere qualificata come «titolare del trattamento», ai sensi di tale disposizione, quand’anche essa sia priva di personalità giuridica.
32 D’altro lato, per quanto riguarda la questione se la qualificazione di un’entità come «titolare del trattamento» richieda l’esistenza di una capacità giuridica propria di tale entità, o se sia sufficiente a tal fine che l’entità interessata sia dotata di una certa capacità decisionale e di azione nell’ambito della protezione dei dati personali, occorre ricordare che dal considerando 74 del RGPD risulta che il legislatore dell’Unione ha voluto che la responsabilità gravante sul titolare del trattamento sia identica indipendentemente dal trattamento di dati personali effettuato, sia direttamente o tramite un terzo, ma per suo conto. Tale legislatore ha altresì inteso garantire che il titolare del trattamento sia tenuto ad attuare misure adeguate ed efficaci e sia in grado di dimostrare la conformità delle attività di trattamento a tale regolamento, compresa l’efficacia delle misure in questione, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio che esso presenta per i diritti e le libertà delle persone fisiche.
33 È in tale misura che l’articolo 5, paragrafo 2, del RGPD sancisce un principio di responsabilità, in forza del quale il titolare del trattamento è responsabile del rispetto dei principi relativi al trattamento dei dati personali enunciati al paragrafo 1 di tale articolo 5, e prevede che detto titolare debba essere in grado di comprovarlo.
34 Tenuto conto degli obblighi legali ai quali è quindi soggetto il titolare del trattamento di cui all’articolo 4, punto 7, del RGPD, quest’ultimo, secondo le modalità previste dalla normativa dello Stato membro cui appartiene, deve essere in grado di rispondere, in fatto e in diritto, a tali obblighi, essendo a tal riguardo privo di incidenza il fatto che tale entità possegga o meno una personalità giuridica e una propria capacità giuridica.
35 Nel caso di specie, spetta al giudice del rinvio verificare se l’Ufficio sia autorizzato dal diritto austriaco ad assumersi le responsabilità e gli obblighi che il RGPD impone al titolare del trattamento, tenuto conto, in particolare, della circostanza, non contestata dinanzi ai giudici nazionali aditi nel procedimento principale, che l’Ufficio possa proporre un ricorso avverso la decisione dell’Autorità per la protezione dei dati, così come può essere oggetto di un reclamo dinanzi a tale autorità. Il giudice del rinvio potrà altresì prendere in considerazione il fatto che l’Ufficio ha incaricato due imprese private di effettuare trattamenti dei dati personali contenuti nell’anagrafe centrale vaccini e nel registro dei pazienti residenti nel Land Tirolo.
36 In secondo luogo, il giudice del rinvio si chiede se un legislatore nazionale possa designare un’entità quale titolare del trattamento, ai sensi dell’articolo 4, punto 7, seconda frase, del RGPD, senza precisare, in concreto, né i trattamenti di dati personali che tale entità può essere indotta ad effettuare, né la loro finalità, né i mezzi precisi che essa può adoperare ai fini di tale trattamento.
37 Come ricordato al punto 28 della presente sentenza, quando il diritto nazionale designa un’entità quale titolare del trattamento, la determinazione delle finalità e dei mezzi del trattamento da parte di tale diritto può essere implicita, a condizione che tale determinazione derivi in modo sufficientemente certo dal ruolo, dalla funzione e dalle attribuzioni devolute a tale entità. Tale condizione è soddisfatta se dette finalità e mezzi risultano, in sostanza, dalle disposizioni di diritto nazionale che disciplinano l’attività di detta entità.
38 La designazione diretta, da parte del legislatore nazionale, di un’entità quale titolare del trattamento contribuisce all’obiettivo di certezza del diritto cui mira il RGPD, come risulta dal suo considerando 7, consentendo alle persone fisiche i cui dati personali sono soggetti a un trattamento di identificare agevolmente l’entità incaricata di garantire il rispetto dei diritti loro conferiti dal regolamento di cui trattasi.
39 La validità di una siffatta designazione è comunque subordinata alla condizione che la normativa nazionale determini la portata del trattamento dei dati personali di cui tale entità è designata titolare, senza tuttavia che il legislatore debba necessariamente aver elencato, in modo esaustivo, tutte le operazioni di trattamento per le quali detta entità è così designata. Come enunciato dal considerando 45 del regolamento di cui trattasi «[u]n atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri».
40 Ne consegue che una normativa nazionale che designa un’entità quale titolare del trattamento senza elencare espressamente tutte le operazioni specifiche di trattamento di dati personali di cui è titolare né la finalità di dette operazioni di trattamento è compatibile con l’articolo 4, punto 7, del RGPD, purché tale normativa determini, esplicitamente o quantomeno implicitamente, la portata del trattamento dei dati personali di cui tale entità è designata come titolare.
41 Nel caso di specie, spetta al giudice del rinvio verificare, da un lato, se il trattamento di dati personali effettuato dall’Ufficio ai fini della preparazione e dell’invio delle «lettere di promemoria per la vaccinazione» di cui trattasi nel procedimento principale sia compatibile con le finalità alle quali devono rispondere le operazioni di trattamento di dati personali di cui l’Ufficio è stato designato come titolare, quali risultano, quantomeno implicitamente, dall’insieme delle disposizioni di diritto nazionale che disciplinano la sua attività e, dall’altro, i mezzi che esso può attuare a tal fine. La mera circostanza che tali disposizioni nazionali non precisino, se del caso, in modo concreto, le operazioni di trattamento che l’Ufficio è autorizzato ad effettuare, non può escludere la qualificazione di un’entità, quale l’Ufficio, come titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD.
42 In terzo luogo, il giudice del rinvio chiede se un’entità designata dalla normativa nazionale come titolare del trattamento, ai sensi dell’articolo 4, punto 7, seconda frase, del RGPD, debba altresì decidere essa stessa, o unitamente ad altre autorità competenti, in merito alle finalità e ai mezzi del trattamento dei dati personali per i quali è designata come titolare, affinché sia tenuta a rispondere, in tale qualità, alle richieste rivoltele dagli interessati sulla base dei diritti loro conferiti dal RGPD.
43 A tal riguardo, è sufficiente osservare che è al fine di stabilire la qualità di titolare del trattamento di un’entità, ai sensi dell’articolo 4, punto 7, prima frase, del RGPD, che occorre esaminare se tale entità abbia effettivamente influito, per fini che le sono propri, sulla determinazione delle finalità e dei mezzi di tale trattamento (v., in tal senso, sentenza del 5 dicembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punti 30 e 31).
44 Per contro, al fine di stabilire la qualità di titolare del trattamento di un’entità, ai sensi dell’articolo 4, punto 7, seconda frase, del RGPD, come risulta dalla chiara formulazione di tale disposizione, non è necessario che tale entità eserciti un’influenza sulla determinazione delle finalità e dei mezzi di tale trattamento.
45 Una siffatta entità, designata dal diritto nazionale quale titolare del trattamento, non deve quindi decidere essa stessa in merito alle finalità e ai mezzi del trattamento dei dati personali per dover rispondere, in quanto titolare del trattamento, alle richieste che gli interessati le rivolgono sulla base dei diritti loro conferiti dal RGPD.
46 A tal riguardo, la Corte ha già dichiarato che la validità di una designazione diretta non era inficiata dalla circostanza che, in forza del diritto nazionale, l’entità designata come titolare del trattamento non eserciti alcun controllo sui dati personali che è chiamata a trattare [v., in tal senso, sentenza dell’11 gennaio 2024, État belge (Dati trattati da una gazzetta ufficiale), C‑231/22, EU:C:2024:7, punti 37 e 38].
47 Una siffatta interpretazione è conforme all’obiettivo di certezza del diritto perseguito dal RGPD. Come sottolineato dalla Commissione europea nelle sue osservazioni scritte, tale obiettivo sarebbe compromesso se, per poter ritenere che tale designazione sia stata validamente operata dal legislatore nazionale, gli interessati dovessero verificare che l’entità designata in qualità di titolare del trattamento dei loro dati personali abbia il potere di determinare essa stessa le finalità e i mezzi di un siffatto trattamento.
48 Occorre inoltre aggiungere che il fatto che non sia necessario che un’entità designata dal diritto nazionale come titolare del trattamento sia altresì abilitata a decidere essa stessa in merito alle finalità e ai mezzi del trattamento dei dati personali per dover rispondere, in quanto titolare del trattamento, alle richieste che gli interessati le rivolgono sulla base dei diritti loro conferiti dal RGPD, non priva tuttavia tali interessati della possibilità di rivolgere tali richieste a un’altra entità che essi considerano titolare o contitolare del trattamento dei loro dati personali a causa dell’influenza che quest’altra entità ha esercitato sulla determinazione delle finalità e dei mezzi del trattamento in questione.
49 Alla luce dei motivi che precedono, occorre rispondere alla questione sollevata dichiarando che l’articolo 4, punto 7, del RGPD dev’essere interpretato nel senso che esso non osta a una normativa nazionale che designi, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare né la finalità di tali operazioni, purché, da un lato, una siffatta entità sia atta a rispondere, conformemente alla normativa nazionale di cui trattasi, agli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali e, dall’altro, detta normativa nazionale determini, esplicitamente o quantomeno implicitamente, la portata del trattamento di dati personali di cui tale entità è titolare.
Sulle spese
50 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Ottava Sezione) dichiara:
L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
esso non osta a una normativa nazionale che designi, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare né la finalità di tali operazioni, purché, da un lato, una siffatta entità sia atta a rispondere, conformemente alla normativa nazionale di cui trattasi, agli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali e, dall’altro, detta normativa nazionale determini, esplicitamente o quantomeno implicitamente, la portata del trattamento di dati personali di cui tale entità è titolare.
Firme
* Lingua processuale: il tedesco.
Nessun commento:
Posta un commento