In data 20 ottobre 2022, la Corte di Giustizia si è pronunciata nella Causa C-77/21, Digi Távközlési és Szolgáltató Kft. contro Nemzeti Adatvédelmi és Információszabadság Hatóság, sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) ed e), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Digi Távközlési és Szolgáltató Kft.(“Digi”), uno dei principali fornitori di servizi Internet e di telediffusione in Ungheria, e la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorità nazionale ungherese per la protezione dei dati e della libertà d’informazione) in merito ad una violazione dei dati personali contenuti in una banca dati della Digi.
Questi i fatti.
A seguito di un guasto tecnico che aveva interessato il funzionamento di un server, la Digi aveva creato una banca dati detta “di test” nella quale aveva copiato i dati personali di circa un terzo dei suoi clienti privati, che erano conservati in un’altra banca dati (“digihu”) che poteva essere a sua volta collegata ad un sito contenente i dati aggiornati delle persone che si erano iscritte per ricevere la newsletter della Digi, a fini di marketing diretto, nonché quelli dell’amministratore di sistema che davano accesso all’interfaccia del sito. Essendo venuta a conoscenza del fatto che un hacker aveva avuto accesso ai dati personali da essa detenuti, la Digi aveva corretto l’errore che aveva permesso tale accesso concludendo un accordo di riservatezza con l’hacker in questione, al quale aveva offerto un compenso.
Dopo avere eliminato la banca dati di test, la Digi aveva notificato la violazione dei dati personali all’Autorità nazionale ungherese, che le aveva imposto di esaminare tutte le sue banche dati infliggendole un’ammenda pari a circa 248.000 euro per non aver immediatamente soppresso la banca dati di test dopo aver effettuato quelli necessari e corretto l’errore. Di conseguenza, la Digi aveva contestato la legittimità di tale decisione dinanzi al Fővárosi Törvényszék (Corte di Budapest-Capitale; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 5, paragrafo 1, lettera b)[2], del GDPR debba essere interpretato nel senso che il principio della “limitazione della finalità”, previsto da tale disposizione, osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti e conservati in un’altra banca dati.
L’articolo 5, paragrafo 1, lettera b), del GDPR, che enuncia il principio della “limitazione della finalità”, contiene due requisiti, uno relativo alle finalità della raccolta iniziale dei dati personali e l’altro riguardante l’ulteriore trattamento di tali dati. Più particolarmente, il requisito secondo cui i dati personali devono essere raccolti per finalità determinate, esplicite e legittime implica che le finalità del trattamento devono i) essere individuate al più tardi al momento della raccolta dei dati personali, ii) essere chiaramente indicate, e iii) garantire, tra l’altro, la liceità del trattamento stesso[3]. Per quanto riguarda, invece, il requisito secondo cui i dati personali non devono essere oggetto di un ulteriore trattamento che sia incompatibile con tali finalità, la Corte ha rilevato, da un lato, che la registrazione e la conservazione, da parte del titolare del trattamento, in una banca dati di nuova creazione, di dati personali conservati in un’altra banca dati costituisce un “ulteriore trattamento” degli stessi e che, dall’altro, l’articolo 5, paragrafo 1, lettera b), del GDPR non contiene indicazioni sulle condizioni alle quali un ulteriore trattamento di dati personali può essere considerato compatibile con le finalità della raccolta iniziale di tali dati.
La questione della compatibilità dell’ulteriore trattamento dei dati personali con le finalità per le quali tali dati sono stati inizialmente raccolti si pone solo nell’ipotesi in cui le finalità di detto ulteriore trattamento non siano identiche a quelle della raccolta iniziale. Nello specifico, laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati Membri, al fine di verificare se il trattamento per un’altra finalità sia compatibile con quella per la quale i dati personali sono stati inizialmente raccolti si deve tener conto, tra l’altro, i) dell’eventuale esistenza di un nesso tra le finalità per le quali i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto, ii) del contesto in cui i dati personali sono stati raccolti, in particolare per quanto riguarda la relazione tra gli interessati e il titolare del trattamento, iii) della natura dei dati personali, iv) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati, e v) dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto[4]. Di conseguenza, spetta al giudice nazionale determinare tanto le finalità della raccolta iniziale dei dati personali quanto quelle dell’ulteriore trattamento di tali dati e, nell’ipotesi in cui queste ultime differiscano da quelle di tale raccolta, verificare che l’ulteriore trattamento di detti dati sia compatibile con le finalità di tale raccolta iniziale.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 5, paragrafo 1, lettera e)[5], del GDPR debba essere interpretato nel senso che il principio della “limitazione della conservazione”, previsto da tale disposizione, osta alla conservazione, da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori.
La Corte ha preliminarmente rilevato che dal tenore letterale dell’articolo 5, paragrafo 1, lettera e), del GDPR risulta che il principio della “limitazione della conservazione” richiede che il titolare del trattamento sia in grado di dimostrare, conformemente al principio di responsabilità, che i dati personali sono conservati unicamente per il periodo necessario al conseguimento delle finalità per le quali i dati sono stati raccolti o per le quali sono stati ulteriormente trattati. Di conseguenza, anche un trattamento inizialmente lecito di dati può divenire, con il tempo, incompatibile con il GDPR qualora tali dati non siano più necessari al conseguimento di tali finalità[6], di talché gli stessi devono essere distrutti allorché tali finalità sono state realizzate[7].
Tutto ciò premesso, la Corte ha statuito che:
“L’articolo 5, paragrafo 1, lettera b), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che il principio della «limitazione della finalità», previsto da tale disposizione, non osta alla registrazione e alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti e conservati in un’altra banca dati, qualora un siffatto ulteriore trattamento sia compatibile con le specifiche finalità per le quali i dati personali sono stati inizialmente raccolti, circostanza che dev’essere determinata alla luce dei criteri di cui all’articolo 6, paragrafo 4, di tale regolamento.
L’articolo 5, paragrafo 1, lettera e), del regolamento 2016/679 dev’essere interpretato nel senso che il principio della «limitazione della conservazione», previsto da tale disposizione, osta alla conservazione da parte del titolare del trattamento, in una banca dati creata al fine di effettuare test e di correggere errori, di dati personali precedentemente raccolti per altre finalità, per un arco di tempo superiore a quello necessario alla realizzazione di tali test e alla correzione di tali errori”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera b) dispone: “… I dati personali sono:
(…)
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)…”.
[3] CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), punti 64-66.
[4] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 4 dispone: “… Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione…”.
[5] L’articolo 5 GDPR al paragrafo 1 lettera e) dispone: “… I dati personali sono:
(…)
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)…”.
[6] CGUE 24.09.2019, Causa C‑136/17, GC e a. (Deindicizzazione di dati sensibili), punto 74.
[7] CGUE 07.05.2009, Causa C‑553/07, Rijkeboer, punto 33.