In data 22 giugno 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-579/21, J.M., sull’interpretazione dell’articolo 15, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di un procedimento promosso da J.M. e volto all’annullamento della decisione con cui l’Apulaistietosuojavaltuutettu (Sostituto Garante per la protezione dei dati personali, Finlandia) aveva rigettato la sua domanda di ingiungere alla Pankki S (“Pankki”), istituto bancario con sede in Finlandia presso cui J.M. era dipendente e cliente, di comunicargli talune informazioni riguardanti operazioni di consultazione dei suoi dati personali.
Questi i fatti.
Nel 2014, J.M. era venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della Pankki, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013. Nutrendo dubbi circa la liceità di tali consultazioni, in data 29 maggio 2018 J.M. aveva chiesto alla Pankki di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di tali dati. La Pankki, tuttavia, aveva rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali, limitandosi a fornire precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal suo servizio di audit interno.
J.M. aveva pertanto adito il Tietosuojavaltuutetun toimisto (ufficio del Garante per la protezione dei dati personali) affinché fosse ingiunto alla Pankki di comunicargli le informazioni richieste. Poiché, tuttavia, il Sostituto Garante per la protezione dei dati personali aveva respinto la sua domanda, J.M. si era rivolto all’Itä-Suomen hallinto-oikeus (Tribunale amministrativo della Finlandia orientale; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia quattro questioni pregiudiziali.
Con la quarta questione, il giudice del rinvio chiedeva se l’articolo 15[2] del GDPR, letto alla luce dell’articolo 99, paragrafo 2[3], di tale regolamento, sia applicabile ad una domanda di accesso alle informazioni menzionate alla prima di dette disposizioni allorché i relativi trattamenti sono stati effettuati prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente ad essa.
La Corte ha preliminarmente ricordato che le norme procedurali si considerano generalmente applicabili alla data in cui esse entrano in vigore, a differenza di quelle sostanziali che riguardano situazioni sorte e definitivamente acquisite anteriormente alla loro entrata in vigore solo se dalla loro formulazione, dalla loro finalità o dal loro impianto sistematico risulti chiaramente che va loro attribuito tale effetto[4]. Di conseguenza, conferendo agli interessati un diritto di natura procedurale consistente nell’ottenere informazioni sul trattamento dei loro dati personali, l’articolo 15, paragrafo 1, del GDPR è una norma procedurale che, in quanto tale, si applica alle domande di accesso presentate a partire dal momento in cui è divenuto applicabile tale regolamento, come la domanda di J.M.
Con le questioni prima e seconda, invece, il giudice del rinvio chiedeva se l’articolo 15, paragrafo 1, del GDPR debba essere interpretato nel senso che le informazioni relative ad operazioni di consultazione dei dati personali di una persona, riguardanti le loro date e le loro finalità, nonché l’identità delle persone fisiche che hanno effettuato tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.
L’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, e bensì anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte[5].
Per quanto riguarda la formulazione dell’articolo 15, paragrafo 1, del GDPR, le cui nozioni sono definite all’articolo 4[6] di tale regolamento, la Corte ha preliminarmente rilevato che un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa ad una persona identificabile[7]. Nello specifico, per stabilire l’identificabilità di una persona occorre prendere in considerazione tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare tale persona fisica direttamente o indirettamente[8]. La nozione di “dati personali”, pertanto, non comprende soltanto quelli raccolti e conservati dal titolare del trattamento, e bensì include anche tutte le informazioni risultanti da un trattamento di dati personali che riguardano una persona identificata o identificabile[9]. Mediante la formulazione “qualsiasi operazione”, inoltre, il legislatore dell’Unione ha inteso dare alla nozione di “trattamento”[10] una portata ampia, ricorrendo ad un elenco di operazioni non esaustivo applicate a dati personali o insiemi di dati personali, che includono, tra l’altro, la raccolta, la registrazione, la conservazione o, ancora, la consultazione[11]. Di conseguenza, il diritto di accesso che l’articolo 15, paragrafo 1, del GDPR riconosce all’interessato è caratterizzato dall’ampia portata delle informazioni che il titolare del trattamento dei dati deve fornirgli.
Per quanto riguarda il contesto in cui l’articolo 15, paragrafo 1, del GDPR si inserisce, quest’ultimo prevede che l’interessato dovrebbe avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al relativo periodo di trattamento nonché ai destinatari dei dati stessi[12]. A tale riguardo, le informazioni devono essere fornite dal titolare del trattamento per iscritto o con altri mezzi (anche, se del caso, elettronici), a meno che l’interessato chieda che siano fornite oralmente, di modo che egli sia messo in grado di comprenderle pienamente[13]. Di conseguenza, l’articolo 15, paragrafo 1, del GDPR costituisce una delle disposizioni volte a garantire la trasparenza delle modalità di trattamento dei dati personali nei confronti dell’interessato.
Ciò trova conferma negli obiettivi perseguiti dal GDPR, che ha lo scopo di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché di rafforzare e di disciplinare in modo dettagliato i diritti degli interessati. Nello specifico, il diritto di accesso previsto all’articolo 15 del GDPR deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito[14], di modo che egli possa esercitare, se del caso, il suo diritto di rettifica, quello alla cancellazione, quello di opposizione al trattamento dei suoi dati personali nonché quello di agire in giudizio nel caso in cui subisca un danno[15]. L’articolo 15, paragrafo 1, del GDPR, pertanto, costituisce una delle disposizioni volte a garantire che le modalità attraverso le quali i dati personali sono trattati siano trasparenti per l’interessato[16], non essendo egli in grado di verificare, in caso contrario, che questi ultimi siano trattati in modo lecito né di esercitare le prerogative previste dal GDPR.
Tutto ciò premesso, nel caso concreto le operazioni di consultazione aventi ad oggetto i dati personali di J.M. costituiscono un “trattamento”, conferendogli pertanto, in forza dell’articolo 15, paragrafo 1, del GDPR, non solo un diritto di accesso ai dati in questione, e bensì anche un diritto a che gli siano comunicate le informazioni ad esse relative. Nello specifico, la comunicazione delle date delle operazioni di consultazione è tale da consentire all’interessato di ottenere la conferma che i suoi dati personali sono stati effettivamente trattati in un dato momento. L’informazione relativa alle finalità dei trattamenti, inoltre, è espressamente prevista all’articolo 15, paragrafo 1, lettera a), del GDPR.
Sebbene dall’articolo 15, paragrafo 1, lettera c), del GDPR risulta che l’interessato ha il diritto di ottenere dal titolare del trattamento le informazioni relative ai destinatari o alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, tuttavia, i dipendenti del titolare del trattamento non possono essere considerati come destinatari quando trattano dati personali sotto l’autorità di quest’ultimo e conformemente alle sue istruzioni. Chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali, infatti, non può trattare questi ultimi se non è istruito in tal senso dal titolare[17]. A tale riguardo, le informazioni contenute negli archivi relative alle persone che hanno consultato i dati personali di J.M. potrebbero costituire informazioni rientranti tra quelle menzionate all’articolo 4, punto 1, del GDPR come idonee a consentirgli di verificare la liceità del trattamento di cui sono stati oggetto i suoi dati. Tali informazioni, tuttavia, consentono di identificare i dipendenti che hanno svolto le operazioni di trattamento e contengono i loro dati personali, di talché, anche supponendo che la loro comunicazione sia necessaria a J.M. per verificare la liceità del trattamento dei suoi dati personali, essa è tale da ledere i diritti e le libertà dei dipendenti. Di conseguenza, in caso di conflitto tra, da un lato, l’esercizio di un diritto di accesso che assicura l’effetto utile dei diritti riconosciuti dal GDPR all’interessato e, dall’altro, i diritti o le libertà altrui, occorrerà effettuare un bilanciamento tra i diritti e le libertà in questione, scegliendo, ove possibile, modalità di comunicazione che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono condurre ad un diniego a fornire all’interessato tutte le informazioni[18].
Con la terza questione, infine, il giudice del rinvio chiedeva se la circostanza, da un lato, che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e, dall’altro, che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare, rilevi ai fini della definizione della portata del diritto di accesso riconosciutale dall’articolo 15, paragrafo 1, del GDPR.
La Corte ha preliminarmente ricordato che nessuna disposizione del GDPR opera una distinzione in funzione della natura delle attività del titolare del trattamento o della qualità della persona i cui dati personali sono oggetto di trattamento. A tale riguardo, sebbene l’articolo 23[19] del GDPR consenta agli Stati Membri di limitare, mediante misure legislative, la portata degli obblighi e dei diritti previsti in particolare all’articolo 15 di tale regolamento, non risulta che l’attività della Pankki sia oggetto di una normativa del genere. Tenuto conto non solo degli obiettivi del GDPR, e bensì anche della portata del diritto di accesso di cui gode l’interessato, inoltre, il contesto in cui tale persona chiede l’accesso alle informazioni menzionate all’articolo 15, paragrafo 1, del GDPR non può avere alcuna influenza sulla portata di tale diritto.
Di conseguenza, la Corte ha statuito che:
“L’articolo 15 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento, dev’essere interpretato nel senso che si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.
L’articolo 15, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.
L’articolo 15, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 15 GDPR, intitolato “Diritto di accesso dell’interessato”, al paragrafo 1 dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato…”.
[3] L’articolo 99 GDPR, intitolato “Entrata in vigore e applicazione”, al paragrafo 2 dispone: “… Esso si applica a decorrere dal 25 maggio 2018.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri…”.
[4] CGUE 15.06.2021, Causa C‑645/19, Facebook Ireland e a., punto 100.
[5] CGUE 12.01.2023, Causa C‑154/21, Österreichische Post (Informazioni relative ai destinatari di dati personali), punto 29.
[6] L’articolo 4 GDPR, intitolato “Definizioni”, al numero 1) dispone: “… Ai fini del presente regolamento s’intende per: 1) «dato personale» : qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale…”.
[7] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 24.
[8] Il considerando (26) GDPR dispone: “… È auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca…”.
[9] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 26.
[10] L’articolo 4 GDPR al numero 2) dispone: “… 2) «trattamento» : qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.
[11] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 27.
[12] Il considerando (63) GDPR dispone: “… Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Ciò include il diritto di accedere ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati. Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento. Ove possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni. Se il titolare del trattamento tratta una notevole quantità d’informazioni riguardanti l’interessato, il titolare in questione dovrebbe poter richiedere che l’interessato precisi, prima che siano fornite le informazioni, l’informazione o le attività di trattamento cui la richiesta si riferisce…”.
[13] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 38.
[14] Ibidem, punto 34.
[15] Ibidem, punto 35.
[16] CGUE 12.01.2023, Causa C‑154/21, Österreichische Post (Informazioni relative ai destinatari di dati personali), punto 42.
[17] L’articolo 29 GDPR, intitolato “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento”, dispone: “… Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri…”.
[18] CGUE 04.05.2023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 44.
[19] L’articolo 23 GDPR, intitolato “Limitazioni”, al paragrafo 1 dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
a) la sicurezza nazionale;
b) la difesa;
c) la sicurezza pubblica;
d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
i) la tutela dell’interessato o dei diritti e delle libertà altrui;
j) l’esecuzione delle azioni civili…”.