In data 20 ottobre 2022, la Corte di Giustizia si è pronunciata nelle Causa C-306/21, Komisia za zashtita na lichnite danni, Tsentralna izbiratelna komisia contro Koalitsia «Demokratichna Bulgaria – Obedinenie», sull’interpretazione dell’articolo 2, paragrafo 2, lettera a), e dell’articolo 6, paragrafo 1, lettera e), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra, da un lato, la Komisia za zashtita na lichnite danni (Commissione bulgara per la protezione dei dati personali, KZLD) e la Tsentralna isbiratelna komisia (Commissione elettorale centrale, TSIK) e, dall’altro, la Koalitsia «Demokratichna Bulgaria – Obedinenie» (“Koalitsia”), una coalizione di partiti politici bulgari, in merito alle linee guida per il trattamento e la protezione dei dati personali nella procedura elettorale adottate dalla KZLD e dalla TSIK.
Questi i fatti.
In data 10 febbraio 2021, la Koalitsia aveva contestato la legittimità delle linee guida in questione dinnanzi all’Administrativen sad Sofia (Tribunale amministrativo di Sofia) nella parte in cui esse si applicano al trattamento dei dati personali mediante la registrazione di video. Più particolarmente, tali linee guida prevedevano che i) l’obiettivo del trattamento dei dati personali mediante la registrazione di video nell’ambito del procedimento elettorale è quello di garantire la trasparenza, l’obiettività, la legittimità del procedimento elettorale, la parità di trattamento delle persone nonché la libertà di espressione e il diritto all’informazione, ii) i mass media trattino dati personali mediante la registrazione di video solo in occasione dell’apertura della giornata elettorale, della sua chiusura, dell’annuncio dei risultati del voto, nonché dell’estrazione dei numeri d’ordine delle schede, e iii) nessun soggetto coinvolto nel procedimento elettorale può trattare dati personali mediante la registrazione di video, per incompatibilità con il loro ruolo nell’ambito di tale procedimento.
Il Tribunale amministrativo di Sofia, tuttavia, aveva stabilito che il GDPR non si applica nel caso di attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali l’organizzazione di elezioni parlamentari nazionali o degli enti locali di uno Stato Membro, di talché le linee guida in questione, che attuano il regolamento stesso, sono prive di base giuridica. Di conseguenza, la KZLD e la TSIK avevano impugnato tale sentenza dinanzi al Varhoven administrativen sad (Corte suprema amministrativa; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia sei questioni pregiudiziali.
Con le questioni prima e seconda, il giudice del rinvio chiedeva se l’articolo 2, paragrafo 2, lettera a)[2], del GDPR debba essere interpretato nel senso che è escluso dall’ambito di applicazione di tale regolamento il trattamento dei dati personali nel contesto dell’organizzazione di elezioni in uno Stato Membro.
La Corte ha preliminarmente rilevato che dovendo essere letto in combinato disposto con l’articolo 2, paragrafo 2, lettera b)[3] e con il considerando 16[4] del GDPR, l’articolo 2, paragrafo 2, lettera a) si inserisce parzialmente nella continuità dell’articolo 3, paragrafo 2, primo trattino, della Direttiva 95/46/CE[5], che escludeva già dall’ambito di applicazione di tale direttiva, in particolare, i trattamenti di dati personali effettuati nell’ambito di attività che non rientrano nel campo di applicazione del diritto comunitario[6]. Di conseguenza, l’articolo 2, paragrafo 2, lettera a), del GDPR ha il solo scopo di escludere dall’ambito di applicazione di tale regolamento i trattamenti di dati personali effettuati dalle autorità statali nell’ambito di un’attività volta a salvaguardare la sicurezza nazionale o di un’attività che può essere ascritta alla medesima categoria, di modo che il mero fatto che un’attività sia propria dello Stato o di un’autorità pubblica non è sufficiente affinché tale eccezione sia automaticamente applicabile[7].
Le attività che hanno lo scopo di salvaguardare la sicurezza nazionale di cui all’articolo 2, paragrafo 2, lettera a), del GDPR comprendono, in particolare, quelle volte a tutelare le funzioni essenziali dello Stato e gli interessi fondamentali della società[8]. Non perseguendo tale obiettivo, pertanto, le attività relative all’organizzazione di elezioni in uno Stato Membro non possono essere ascritte alla categoria delle attività che hanno lo scopo di salvaguardare la sicurezza nazionale ai sensi di tale articolo.
Con le questioni dalla terza alla sesta, invece, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, lettera e)[9], e l’articolo 58 del GDPR debbano essere interpretati nel senso che ostano a che le autorità competenti di uno Stato Membro adottino un atto amministrativo di applicazione generale che limiti, o eventualmente vieti, la registrazione di video delle operazioni di scrutinio all’interno dei seggi durante le elezioni in tale Stato Membro.
La Corte ha preliminarmente rilevato che il trattamento lecito di dati personali da parte dei soggetti presenti all’interno dei seggi durante le operazioni di scrutinio elettorale sulla base dell’articolo 6, paragrafo 1, lettera e), del GDPR presuppone non solo che questi ultimi svolgano un compito di interesse pubblico, e bensì anche che i trattamenti di dati personali connessi si fondino su una base giuridica prevista all’articolo 6, paragrafo 3[10], di tale regolamento. Nel caso concreto, tuttavia, le linee guida in questione, adottate dalle autorità di controllo bulgare competenti, non sembrano costituire una tale base giuridica, e bensì rappresentano una misura diretta alla protezione dei dati personali delle persone presenti all’interno dei seggi limitando, per quanto riguarda i rappresentanti dei mass media, e vietando, per quanto riguarda gli altri soggetti presenti all’interno dei seggi, il trattamento di tali dati mediante la registrazione di video durante una fase specifica della procedura elettorale, ossia quella delle operazioni di scrutinio.
Da quanto risulta alla Corte, inoltre, non sembra possibile stabilire se le autorità bulgare competenti abbiano ecceduto i poteri di cui dispongono in forza dell’articolo 58, paragrafo 2, lettera f)[11], e paragrafo 3, lettera b)[12], del GDPR, e in particolare se le linee guida in questione non rispettino il principio di proporzionalità. Tali linee guida, infatti, non sembrano limitare la possibilità dei soggetti presenti all’interno dei seggi, in occasione delle operazioni di scrutinio elettorale, di assistere all’apertura delle urne e alla determinazione del risultato del voto, ciò che consente di garantire la trasparenza, l’obiettività e la legittimità del procedimento elettorale, la parità di trattamento delle persone nell’ambito di detto procedimento nonché la libertà di espressione e il diritto all’informazione, conformemente all’obiettivo delle linee guida stesse. DI conseguenza, queste ultime sono destinate a minimizzare l’ostacolo al diritto alla protezione dei dati personali causato dalla registrazione di video del procedimento elettorale[13].
Alla luce di quanto rammentato, pertanto, la Corte ha statuito che:
“L’articolo 2, paragrafo 2, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che non è escluso dall’ambito di applicazione di tale regolamento il trattamento dei dati personali nel contesto dell’organizzazione di elezioni in uno Stato membro.
L’articolo 6, paragrafo 1, lettera e), e l’articolo 58 del regolamento 2016/679, devono essere interpretati nel senso che tali disposizioni non ostano a che le autorità competenti di uno Stato membro adottino un atto amministrativo di applicazione generale che limiti, o eventualmente vieti, la registrazione di video delle operazioni di scrutinio elettorale all’interno dei seggi in occasione delle elezioni in tale Stato membro”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 2 GDPR, intitolato “Ambito di applicazione materiale”, al paragrafo 2 lettera a) dispone: “… Il presente regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione…”.
[3] L’articolo 2 GDPR al paragrafo 2 lettera b) dispone: “… Il presente regolamento non si applica ai trattamenti di dati personali:
(…)
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE…”.
[4] Il considerando (16) GDPR dispone: “… Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali effettuato dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione…”.
[5] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, GUUE L 281 del 23.11.1995. L’articolo 3 della Direttiva, intitolato “Campo di applicazione”, al paragrafo 2 dispone: “… Le disposizioni della presente direttiva non si applicano ai trattamenti di dati personali
– effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario, come quelle previste dai titoli V e VI del trattato sull’Unione europea e comunque ai trattamenti aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale;
– effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico…”.
[6] CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 64.
[7] Ibidem, punto 66.
[8] Ibidem, punto 67.
[9] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 lettera e) dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
(…)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento…”.
[10] L’articolo 6 GDPR al paragrafo 3 dispone: “… La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito…”.
[11] L’articolo 58 GDPR, intitolato “Poteri, al paragrafo 2 lettera f) dispone: “… Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
(…)
f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento…”.
[12] L’articolo 58 GDPR al paragrafo 3 lettera b) dispone: “… Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:
(…)
b) rilasciare, di propria iniziativa o su richiesta, pareri destinati al parlamento nazionale, al governo dello Stato membro, oppure, conformemente al diritto degli Stati membri, ad altri organismi e istituzioni e al pubblico su questioni riguardanti la protezione dei dati personali…”.
[13] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera c) dispone: “… I dati personali sono: (…) c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)…”.