In data 27 febbraio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-638/23, Amt der Tiroler Landesregierung contro Datenschutzbehörde, sull’interpretazione dell’articolo 4, punto 7, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra l’Amt der Tiroler Landesregierung (Ufficio del governo del Land Tirolo) e la Datenschutzbehörde (Autorità austriaca per la protezione dei dati) in merito ad un trattamento asseritamente illecito dei dati personali di una persona fisica da parte dell’Ufficio.
Questi i fatti.
Nell’ambito di misure destinate a combattere la pandemia di coronavirus, l’Ufficio del governo aveva inviato una lettera di promemoria per la vaccinazione a tutte le persone maggiorenni residenti nel Land Tirolo che non erano state ancora vaccinate contro tale virus. Al fine di identificare i destinatari di tali lettere, l’Ufficio aveva incaricato due imprese private, che pertanto avevano incrociato i dati riportati nell’anagrafe centrale vaccini nonché nel registro dei pazienti, il quale menzionava il loro indirizzo di residenza. Successivamente CW, uno dei destinatari, aveva presentato un reclamo contro l’Ufficio per un trattamento illecito dei suoi dati personali dinnanzi all’Autorità preposta, che in data 22 agosto 2022 aveva constatato una violazione del diritto di CW alla protezione dei suoi dati personali in quanto, al fine di inviargli la suddetta lettera, l’Ufficio aveva consultato i suoi dati riportati nell’anagrafe vaccini pur non disponendo di un diritto di accesso.
Di conseguenza, l’Ufficio aveva presentato ricorso contro tale decisione dinanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale), che tuttavia lo aveva respinto. L’Ufficio, pertanto, si era rivolto al Verwaltungsgerichtshof (Corte amministrativa; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 4, punto 7[2], del GDPR debba essere interpretato nel senso che esso osta ad una normativa nazionale che designa, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le specifiche operazioni di trattamento di dati personali di cui tale ente è titolare né la finalità di tali operazioni. Il giudice del rinvio, inoltre, chiedeva se l’articolo 4, punto 7, del GDPR debba essere interpretato nel senso che un’entità designata dal diritto nazionale come titolare del trattamento, conformemente a tale disposizione, deve decidere effettivamente in merito alle finalità e ai mezzi del trattamento in questione per essere tenuta a rispondere, in quanto titolare di quest’ultimo, alle richieste rivoltele dagli interessati sulla base dei diritti che essi traggono dal GDPR.
La Corte ha preliminarmente ricordato che, ai sensi dell’articolo 4, punto 7, del GDPR, un titolare del trattamento può essere non solo una persona fisica o giuridica, e bensì anche un’autorità pubblica, un servizio o un organismo, in quanto tali entità non sono necessariamente dotate di personalità giuridica in funzione del diritto nazionale[3]. Di conseguenza, non si può escludere che un’entità possa essere qualificata come “titolare del trattamento”, ai sensi di tale disposizione, quand’anche essa sia priva di personalità giuridica. Il legislatore dell’Unione, inoltre, ha voluto che la responsabilità gravante sul titolare sia identica indipendentemente dal trattamento di dati personali effettuato, sia direttamente o tramite un terzo, ma per suo conto. È in tale misura, infatti, che l’articolo 5, paragrafo 2[4], del GDPR sancisce un principio di responsabilità, in forza del quale il titolare del trattamento è responsabile del rispetto dei principi relativi al trattamento dei dati personali enunciati al paragrafo 1[5] di tale articolo e deve essere in grado di comprovarlo. Tenuto conto degli obblighi legali ai quali è soggetto il titolare del trattamento di cui all’articolo 4, punto 7, del GDPR, pertanto, quest’ultimo, secondo le modalità previste dalla normativa dello Stato Membro cui appartiene, deve essere in grado di rispondere, in fatto e in diritto, a tali obblighi, essendo irrilevante il fatto che tale entità possegga o meno una personalità giuridica e una propria capacità giuridica.
Tutto ciò premesso, quando il diritto nazionale designa un’entità quale titolare del trattamento, la determinazione delle finalità e dei mezzi del trattamento può essere implicita, a condizione che essa derivi in modo sufficientemente certo dal ruolo, dalla funzione e dalle attribuzioni devolute a tale entità[6]. La validità di una siffatta designazione, tuttavia, è subordinata alla condizione che la normativa nazionale determini la portata del trattamento dei dati personali di cui tale entità è designata titolare, senza che il legislatore debba necessariamente aver elencato, in modo esaustivo, tutte le operazioni di trattamento per le quali detta entità è così designata. Di conseguenza, una normativa nazionale che designa un’entità quale titolare del trattamento senza elencare espressamente tutte le operazioni specifiche di cui è titolare né la loro finalità è compatibile con l’articolo 4, punto 7, del GDPR, a condizione di determinare, esplicitamente o quantomeno implicitamente, la portata del trattamento dei dati personali di cui tale entità è designata come titolare.
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che esso non osta a una normativa nazionale che designi, quale titolare del trattamento, un’entità amministrativa ausiliaria priva di personalità giuridica nonché di una capacità giuridica propria, senza precisare, in concreto, le operazioni specifiche di trattamento di dati personali di cui tale entità è titolare né la finalità di tali operazioni, purché, da un lato, una siffatta entità sia atta a rispondere, conformemente alla normativa nazionale di cui trattasi, agli obblighi incombenti a un titolare del trattamento nei confronti degli interessati in materia di protezione dei dati personali e, dall’altro, detta normativa nazionale determini, esplicitamente o quantomeno implicitamente, la portata del trattamento di dati personali di cui tale entità è titolare”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 7 dispone: “… Ai fini del presente regolamento s’intende per: “…
(… )
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri…”.
[3] CGUE 11.01.2024, Causa C‑231/22, État belge (Dati trattati da una gazzetta ufficiale), punto 36.
[4] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 2 dispone: “… Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[5] L’articolo 5 GDPR al paragrafo 1 dispone: “… I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»); f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)…”.
[6] CGUE 11.01.2024, Causa C‑231/22, État belge (Dati trattati da una gazzetta ufficiale), punto 30.