In data 4 maggio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-60/22, UZ contro Bundesrepublik Deutschland, sull’interpretazione dell’articolo 5, dell’articolo 17, paragrafo 1, lettera d), dell’articolo 18, paragrafo 1, lettera b), nonché degli articoli 26 e 30 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra UZ, cittadino di uno Stato terzo, e la Bundesrepublik Deutschland (Repubblica federale di Germania), rappresentata dal Bundesamt für Migration und Flüchtlinge (Ufficio federale per la migrazione e i rifugiati), in merito all’esame della domanda di protezione internazionale presentata da tale persona.
Questi i fatti.
In data 7 maggio 2019, UZ aveva presentato una domanda di protezione internazionale all’Ufficio federale, il quale l’aveva respinta basandosi sul fascicolo elettronico “MARIS” da esso compilato, che conteneva i dati personali relativi al ricorrente. Di conseguenza, quest’ultimo aveva proposto ricorso dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 17, paragrafo 1, lettera d)[2], e l’articolo 18, paragrafo 1, lettera b)[3], del GDPR debbano essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26[4] e 30[5] di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle relative attività costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione implica una violazione da parte del titolare del trattamento del principio di “responsabilizzazione” quale sancito dall’articolo 5, paragrafo 2[6], di detto regolamento.
La Corte ha preliminarmente ricordato che ai sensi del GDPR il titolare deve garantire il carattere “lecito” del trattamento dei dati da esso effettuato, che si verifica solo se ricorre almeno una delle condizioni tassativamente elencate dall’articolo 6, paragrafo 1[7], di tale regolamento[8]. Di conseguenza, ogni trattamento di dati personali deve essere conforme ai principi elencati all’articolo 5, paragrafo 1[9], del GDPR e soddisfare le condizioni di liceità elencate all’articolo 6 di quest’ultimo[10]. Dal momento che, inoltre, gli articoli da 7 a 11 del GDPR precisano la portata degli obblighi a carico del titolare del trattamento derivanti dall’articolo 5, paragrafo 1, lettera a), e dall’articolo 6, paragrafo 1, di tale regolamento, il trattamento di dati personali, per essere lecito, deve altresì rispettare le altre disposizioni del Capo II che riguardano il consenso, il trattamento di categorie particolari di dati personali sensibili nonché quello di dati personali relativi a condanne penali e a reati[11].
Tutto ciò premesso, secondo la Corte il rispetto, da parte del titolare del trattamento, dell’obbligo di concludere un accordo che determini la contitolarità del trattamento, previsto dall’articolo 26 del GDPR, nonché di quello di tenere un registro delle attività di trattamento, sancito all’articolo 30 di tale regolamento, non rientra tra le condizioni di liceità del trattamento contemplate dall’articolo 6, paragrafo 1, primo comma, dello stesso. Di conseguenza, la violazione, da parte del titolare del trattamento, degli obblighi previsti da tali articoli non costituisce un “trattamento illecito” ai sensi dell’articolo 17, paragrafo 1, lettera d), e dell’articolo 18, paragrafo 1, lettera b), del GDPR, che deriverebbe dalla violazione, da parte dello stesso, del principio di “responsabilizzazione” di cui all’articolo 5, paragrafo 2.
Alla luce della risposta fornita alla prima questione, la Corte ha ritenuto non necessario rispondere alla seconda, con la quale il giudice del rinvio chiedeva se la sussistenza di un diritto alla cancellazione o di un diritto di limitazione di trattamento comporti che i dati trattati non possano essere presi in considerazione nell’ambito di un procedimento giudiziario.
Con la terza questione, infine, il giudice del rinvio chiedeva se il diritto dell’Unione debba essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del GDPR, la liceità della presa in considerazione di tali dati da parte di un giudice nazionale è subordinata al consenso dell’interessato.
Secondo la Corte, nel caso in cui un giudice eserciti le competenze giurisdizionali conferitegli dal diritto nazionale, il trattamento di dati personali che egli è chiamato ad effettuare deve essere considerato necessario alla finalità prevista all’articolo 6, paragrafo 1, primo comma, lettera e), del GDPR, relativa all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Di conseguenza, poiché, da un lato, è sufficiente che una delle condizioni stabilite all’articolo 6, paragrafo 1, del GDPR sia soddisfatta affinché un trattamento di dati personali possa essere considerato lecito e, dall’altro, la violazione degli articoli 26 e 30 di tale regolamento non costituisce un trattamento illecito, la presa in considerazione, da parte del giudice del rinvio, di dati personali che sarebbero stati trattati dall’Ufficio federale in violazione degli obblighi previsti da tali articoli non è subordinata al consenso dell’interessato.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 17, paragrafo 1, lettera d), e l’articolo 18, paragrafo 1, lettera b), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) devono essere interpretati nel senso che la violazione, da parte del titolare del trattamento, degli obblighi previsti agli articoli 26 e 30 di tale regolamento, relativi, rispettivamente, alla conclusione di un accordo che determina la contitolarità del trattamento e alla tenuta di un registro delle attività di trattamento, non costituisce un trattamento illecito che conferisce all’interessato il diritto alla cancellazione o alla limitazione del trattamento, poiché una siffatta violazione non implica, in quanto tale, una violazione da parte del titolare del trattamento del principio di «responsabilizzazione» quale sancito dall’articolo 5, paragrafo 2, di detto regolamento, in combinato disposto con l’articolo 5, paragrafo 1, lettera a), e con l’articolo 6, paragrafo 1, primo comma, dello stesso.
Il diritto dell’Unione deve essere interpretato nel senso che, qualora il titolare del trattamento di dati personali abbia violato gli obblighi che gli derivano dagli articoli 26 o 30 del regolamento 2016/679, la liceità della presa in considerazione di siffatti dati da parte di un giudice nazionale non è subordinata al consenso dell’interessato”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 17 GDPR, intitolato “Diritto alla cancellazione («diritto all’oblio»)”, al paragrafo 1 lettera d) dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
(…)
d) i dati personali sono stati trattati illecitamente…”.
[3] L’articolo 18 GDPR, intitolato “Diritto di limitazione di trattamento”, al paragrafo 1 lettera b) dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
(…)
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo…”.
[4] L’articolo 26 GDPR, intitolato “Contitolari del trattamento”, dispone: “… Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento…”.
[5] L’articolo 30 GDPR, intitolato “Registri delle attività di trattamento”, ai paragrafi 1-2 dispone: “… Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1…”.
[6] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 2 dispone: “… Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[7] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.
[8] CGUE 08.12.2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale), C‑180/21, punto 83; CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 99.
[9] L’articolo 5 GDPR al paragrafo 1 dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)…”.
[10] CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punti 49-56; CGUE 09.12.2020, Cause riuniteC‑511/18, C‑512/18 e C‑520/18, La Quadrature du Net e a., punto 208.
[11] CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punti 100-106; CGUE 24.09.2019, Causa C‑136/17, GC e a. (Deindicizzazione di dati sensibili), punti da 72-75.