In data 5 ottobre 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-659/22, RK contro Ministerstvo zdravotnictví, sull’interpretazione dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra RK e il Ministerstvo zdravotnictví (Ministero della Salute della Repubblica ceca) in merito all’adozione, da parte di quest’ultimo, di una misura eccezionale che aveva disciplinato l’accesso delle persone a taluni luoghi ed eventi al fine di proteggere la popolazione dalla diffusione dell’epidemia di coronavirus.
Questi i fatti.
In data 29 dicembre 2021, il Ministero aveva deciso di sottoporre a diverse condizioni, a decorrere dal 3 gennaio 2022, l’accesso delle persone a taluni spazi interni ed esterni nonché la loro partecipazione ad eventi di massa o ad altre attività. Più particolarmente, veniva richiesto i) un test negativo RT-PCR per l’individuazione della presenza del coronavirus, risalente a meno di 72 ore, per le persone di età inferiore a 18 anni, per quelle che non potevano sottoporsi alla vaccinazione a causa di una controindicazione nonché per quelle che non avevano uno schema vaccinale completo, ii) la scadenza di un periodo di almeno 14 giorni dall’ottenimento di uno schema vaccinale completo con un medicinale approvato, o iii) il contagio, confermato da un laboratorio, qualora il periodo di isolamento fosse terminato e non fossero trascorsi più di 180 giorni a decorrere dal primo testpositivo. La misura eccezionale obbligava i clienti a fornire la prova del rispetto di tali condizioni, ed imponeva ai gestori di verificarne l’osservanza mediante l’applicazione mobile del Ministero chiamata “čTečka”.
Tutto ciò premesso, RK aveva presentato un ricorso di annullamento della misura eccezionale dinnanzi al Nejvyšší správní soud(Corte suprema amministrativa; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se la nozione di “trattamento” di dati personali, di cui all’articolo 4, punto 2[2], del GDPR debba essere interpretata nel senso che essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati coronavirus interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del Regolamento 2021/953[3] e utilizzati da uno Stato Membro a fini nazionali.
La Corte ha preliminarmente ricordato che le nozioni di “dati personali”[4] e di “trattamento” ai sensi del GDPR hanno una portata ampia[5], conformemente all’obiettivo di garantire l’effettività del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale.
Tutto ciò premesso, scansionando il codice QR che compare sul certificato digitale al fine di convertire i dati personali ivi contenuti in un formato leggibile dalla persona incaricata di verificarne la validità, l’applicazione “čTečka” consente a quest’ultima di consultare, al termine di un processo automatizzato, taluni dati personali e di utilizzarli al fine di accertare se la situazione dell’interessato sia conforme ai requisiti sanitari applicabili. Di conseguenza, la verifica, mediante l’applicazione “čTečka”, della validità di certificati interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del Regolamento 2021/953, costituisce un “trattamento” ai sensi dell’articolo 4, punto 2, del GDPR, rientrando nel suo ambito di applicazione ratione materiae. Secondo la Corte, inoltre, spetterà al giudice del rinvio verificare se il trattamento introdotto dalla misura eccezionale sia conforme ai principi elencati dagli articoli 5[6] e 6[7] del GDPR[8].
Di conseguenza, la Corte ha statuito che:
“La nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretata nel senso che essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19, e utilizzati da uno Stato membro a fini nazionali”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 2 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.
[3] Regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19, GUUE L 211 del 15.06.2021.
[4] L’articolo 4 GDPR, al punto 1 dispone: “… Ai fini del presente regolamento s’intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale…”.
[5] CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), punto 35.
[6] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)...”.
[7] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.
[8] CGUE 04.05.2023, Causa C‑60/22, Bundesrepublik Deutschland, punto 57; GCUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 96.