In data 11 luglio 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C‑461/22, MK contro WB, sull’interpretazione dell’articolo 4, punto 7, e dell’articolo 15 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra MK, una persona fisica domiciliata in Germania e sottoposta al regime dell’amministrazione di sostegno, e WB, suo precedente amministratore, in merito all’accesso da parte di MK ai dati e alle informazioni che la riguardano, raccolti da WB durante il periodo in cui era incaricato della sua amministrazione di sostegno.
Questi i fatti.
MK intendeva presentare una domanda di ammissione al gratuito patrocinio al fine di ottenere il rendiconto e l’accesso ai dati personali che lo riguardavano, che WB, un avvocato designato da un giudice tedesco per esercitarne, nell’ambito delle proprie attività professionali, le funzioni di amministratore per un certo periodo di tempo, aveva raccolto nell’ambito di queste ultime. Di conseguenza, MK aveva presentato tale domanda presso l’Amtsgericht Hannover (Tribunale circoscrizionale di Hannover), che tuttavia l’aveva respinta in quanto un amministratore di sostegno che esercita le sue funzioni nell’ambito delle proprie attività professionali non costituirebbe un “titolare del trattamento” ai sensi del GDPR.
MK, pertanto, aveva contestato il rigetto della propria domanda di ammissione al gratuito patrocinio dinnanzi al Landgericht Hannover (Tribunale del Land Hannover; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 4, punto 7[2], del GDPR debba essere interpretato nel senso che un precedente amministratore di sostegno, che abbia esercitato le proprie funzioni a titolo professionale nei confronti di una persona da lui assistita, deve essere qualificato, ai sensi di tale disposizione, come “titolare del trattamento” dei dati personali in suo possesso riguardanti tale persona, e che un siffatto trattamento deve rispettare tutte le disposizioni di tale regolamento, in particolare l’articolo 15[3] di quest’ultimo.
La Corte ha preliminarmente rilevato che un amministratore di sostegno, in ragione dei compiti che gli sono attribuiti dal diritto nazionale, è chiamato a svolgere diverse attività per la persona che assiste, nell’ambito delle quali egli determina altresì le finalità e i mezzi del trattamento dei dati personali di quest’ultima ai sensi dell’articolo 4, punto 7, del GDPR.
Tutto ciò premesso, nel caso concreto MK chiede l’accesso ai dati personali che lo riguardano, detenuti non già dal suo attuale amministratore di sostegno, e bensì da quello precedente, WB, ormai rimosso dalle sue funzioni, e di cui quest’ultimo è ancora in possesso. In quanto precedente amministratore di sostegno, pertanto, WB è un terzo nei confronti di una persona che è stata da lui assistita in passato. Di conseguenza, un precedente amministratore di sostegno, che abbia esercitato le proprie funzioni a titolo professionale nei confronti di una persona da lui assistita deve essere qualificato come “titolare del trattamento” dei dati personali in suo possesso che riguardano tale persona, di talché egli è tenuto a trattare tali dati nel rispetto del GDPR e, in particolare, degli obblighi ad esso incombenti ai sensi dell’articolo 15 di quest’ultimo, come eventualmente limitati in applicazione dell’articolo 23[4] di tale regolamento[5].
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che un precedente amministratore di sostegno, che abbia esercitato le proprie funzioni a titolo professionale nei confronti di una persona da lui assistita, deve essere qualificato, ai sensi di tale disposizione, come «titolare del trattamento» dei dati personali in suo possesso riguardanti tale persona, e un siffatto trattamento deve rispettare tutte le disposizioni di tale regolamento, in particolare l’articolo 15 di quest’ultimo”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 7 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri…”.
[3] L’articolo 15 GDPR, intitolato “Diritto di accesso dell’interessato”, al paragrafo 1 dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato…”.
[4] L’articolo 23 GDPR, intitolato “Limitazioni”, al paragrafo 1 dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
i) la tutela dell’interessato o dei diritti e delle libertà altrui;
j) l’esecuzione delle azioni civili…”.
[5] CGUE 16.01.2024, Causa C‑33/22, Österreichische Datenschutzbehörde, punti 54-56.