In data 11 gennaio 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-231/22, État belge contro Autorité de protection des données, sull’interpretazione dell’articolo 4, punto 7, e dell’articolo 5, paragrafo 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1].
Tale domanda era stata presentata nell’ambito di una controversia tra l’État belge (Stato belga) e l’Autorité de protection des données (Autorità belga garante della protezione dei dati, APD) relativamente ad una decisione con la quale quest’ultima aveva ingiunto all’autorità che gestisce il Moniteur belge[2] di dar seguito al diritto alla cancellazione, esercitato da una persona fisica, in relazione a diversi dati personali contenuti in un atto ivi pubblicato.
Questi i fatti.
I soci di una società di diritto privato a responsabilità limitata, di cui una persona fisica possedeva la maggioranza delle quote, avevano deciso di operare una riduzione del capitale di quest’ultima, modificandone lo statuto con una decisione dell’assemblea straordinaria. Di conseguenza, un estratto di tale decisione era stato redatto dal notaio della suddetta persona fisica prima di essere trasmesso alla cancelleria del tribunal de l’entreprise (Tribunale delle imprese) nella cui circoscrizione la società in questione aveva la sede legale, che successivamente lo aveva trasmesso, a fini di pubblicazione, alla direzione del Moniteur belge. Avendo tuttavia constatato che il suo notaio era incorso in un errore inserendo nell’estratto un passaggio nel quale venivano menzionati il nome dei due soci della società, gli importi loro rimborsati nonché i loro numeri di conto bancario, quando invece ciò non era richiesto dalla legge, tale persona fisica aveva avviato delle pratiche al fine di ottenerne la cancellazione.
Poiché il service public fédéral Justice (Servizio pubblico federale di giustizia, “SPF Justice”) aveva rifiutato di dare seguito alla sua richiesta, la persona fisica aveva presentato un reclamo presso l’APD al fine di far constatare che quest’ultima era fondata. L’APD, pertanto, aveva inviato una reprimenda al SPF Justice, ingiungendogli di dare seguito alla richiesta di cancellazione al più tardi entro i successivi 30 giorni dalla notifica di tale decisione. Di conseguenza, l’État belge aveva adito la Cour d’appel de Bruxelles (Corte d’appello di Bruxelles; il “giudice del rinvio”) che, alla luce della necessità di interpretare la legislazione europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 4, punto 7[3], del GDPR debba essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato Membro – che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione – possa essere qualificato come “titolare del trattamento” dei dati personali contenuti in tali atti e documenti, ai sensi della disposizione in parola.
La Corte ha preliminarmente ricordato che l’articolo 4, punto 7, del GDPR mira ad assicurare, mediante un’ampia definizione della nozione di “titolare del trattamento”, una tutela efficace e completa delle persone interessate[4], di talché, per determinare se una persona o un’entità debba essere qualificata come tale, occorre verificare se essa determini, singolarmente o insieme ad altri, le finalità e i mezzi del trattamento oppure se gli stessi siano determinati dal diritto nazionale. A tale riguardo, la determinazione delle finalità e dei mezzi del trattamento e, se del caso, la designazione di tale titolare da parte del diritto nazionale possano essere non solo esplicite, e bensì anche implicite. In quest’ultima ipotesi, tuttavia, è richiesto che tale determinazione derivi in maniera sufficientemente certa dal ruolo, dalla funzione e dalle attribuzioni devoluti alla persona o all’entità interessata.
Nel caso concreto, né il Moniteur belge né l’autorità pubblica che lo gestisce, ossia il SPF Justice, sembrano essere investiti dal diritto nazionale del potere di determinare le finalità e i mezzi del trattamento dei dati che essi effettuano. I dati personali contenuti negli atti e documenti trasmessi al Moniteur belge per la pubblicazione, inoltre, sono raccolti, registrati, conservati e pubblicati tal quali al fine di informare ufficialmente il pubblico della loro esistenza e di renderli opponibili ai terzi. Di conseguenza, il diritto belga ha determinato, almeno implicitamente, le finalità e i mezzi del trattamento dei dati personali effettuato dal Moniteur belge, che pertanto, in quanto servizio o organismo incaricato di trattare i dati personali contenuti nelle sue pubblicazioni conformemente alle finalità e ai mezzi di trattamento prescritti dalla legislazione belga, può essere considerato il titolare del trattamento ai sensi dell’articolo 4, punto 7, del GDPR.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 5, paragrafo 2[5], del GDPR debba essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato Membro, qualificato come “titolare del trattamento” ai sensi dell’articolo 4, punto 7, del RGPD, debba essere considerato il solo competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del GDPR o se tale rispetto incomba cumulativamente a detto servizio o organismo e agli enti pubblici terzi che hanno previamente trattato i dati personali contenuti negli atti e documenti pubblicati da detta Gazzetta ufficiale.
Il trattamento dei dati personali che è stato affidato al Moniteur belge è sia posteriore a quello effettuato dal notaio e dalla cancelleria del tribunale competente sia tecnicamente diverso, in quanto si aggiunge a quest’ultimo. Le operazioni effettuate dal Moniteur belge, infatti, gli sono affidate dalla legislazione nazionale ed implicano, in particolare, la trasformazione digitale dei dati contenuti negli atti o estratti di atti che gli vengono sottoposti, la loro pubblicazione, la loro messa a disposizione di un vasto pubblico nonché la loro conservazione. Di conseguenza, il Moniteur belge deve essere considerato, in forza dell’articolo 5, paragrafo 2, del GDPR, competente per il rispetto dei principi di cui al paragrafo 1 di tale articolo, in relazione ai trattamenti che è tenuto ad effettuare in forza del diritto nazionale, e, pertanto, dell’insieme degli obblighi imposti al titolare del trattamento dal GDPR. Ai sensi dell’articolo 4, punto 7, del GDPR, inoltre, il diritto nazionale può determinare esso stesso le finalità e i mezzi di un trattamento di dati personali nonché designare il titolare del trattamento o i criteri specifici applicabili alla sua designazione. Nell’ambito di una catena di trattamenti effettuati da diverse persone o entità e vertenti sugli stessi dati personali, pertanto, il diritto nazionale può determinare le finalità e i mezzi dell’insieme dei trattamenti effettuati in successione da tali diverse persone o entità in modo che queste ultime siano considerate congiuntamente titolari del trattamento.
Tutto ciò premesso, la Corte ha statuito che:
“L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro – che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione – può, nonostante la sua mancanza di personalità giuridica, essere qualificato come «titolare del trattamento» dei dati personali contenuti in tali atti e documenti, qualora il diritto nazionale considerato determini le finalità e i mezzi del trattamento dei dati personali effettuato dalla suddetta Gazzetta ufficiale.
L’articolo 5, paragrafo 2, del regolamento 2016/679, in combinato disposto con l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, di quest’ultimo, deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro, qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del suddetto regolamento, è l’unico competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del medesimo regolamento per quanto riguarda le operazioni di trattamento dei dati personali che è tenuto ad effettuare in forza del diritto nazionale, a meno che una contitolarità con altre entità in relazione a tali operazioni non derivi da tale diritto”.
[1] GUUE L 119 del 04.05.2016.
[2] Il Moniteur belge è la Gazzetta ufficiale che provvede alla produzione e alla diffusione di un ampio ventaglio di pubblicazioni ufficiali, destinate al pubblico, in formato cartaceo ed elettronico.
[3] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 7 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri…”.
[4] CGUE 05.12.2023, Causa C‑683/21, Nacionalinis visuomenės sveikatos centras, punto 29: CGUE 05.12.2023, Causa C‑807/21, Deutsche Wohnen, punto 40.
[5] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.