In data 7 marzo 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-740/22, Endemol Shine Finland Oy,sull’interpretazione dell’articolo 2, paragrafo 1, dell’articolo 4, punto 2, e dell’articolo 86 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di un procedimento vertente sul rifiuto di un organo giurisdizionale nazionale di comunicare alla Endemol Shine Finland Oy (“Endemol”) dati relativi a condanne penali concernenti un terzo.
Questi i fatti.
La Endemol aveva chiesto oralmente all’Etelä-Savon käräjäoikeus (Tribunale di primo grado del Savo meridionale) informazioni riguardanti eventuali condanne penali in corso o già scontate relative ad una persona fisica partecipante ad un concorso organizzato da tale società, al fine di accertarne i precedenti giudiziari. Tale giudice, tuttavia, aveva respinto la domanda della Endemol ritenendo che essa riguardasse decisioni o informazioni pubbliche ai sensi del laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (legge in materia di pubblicità dei procedimenti giudiziari dinanzi alle autorità giurisdizionali ordinarie). Di conseguenza, la Endemol aveva interposto appello dinanzi all’Itä-Suomen hovioikeus (Corte d’appello della Finlandia orientale; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 2, paragrafo 1[2], e l’articolo 4, punto 2[3], del GDPR debbano essere interpretati nel senso che la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisca un trattamento di dati personali ai sensi dell’articolo 4, punto 2, di tale regolamento e, in caso affermativo, se tale trattamento rientri nel suo ambito di applicazione materiale, come definito al suo articolo 2, paragrafo 1.
La Corte ha preliminarmente ricordato che il legislatore dell’Unione ha inteso dare alla nozione di “trattamento” una portata ampia, interpretazione corroborata dal carattere non tassativo delle operazioni ivi elencate[4]. Tale elenco riguarda, tra le altre cose, la comunicazione mediante trasmissione, diffusione e qualsiasi altra forma di messa a disposizione, operazioni che possono essere automatizzate o meno. Poiché non pone alcuna condizione quanto alla forma del trattamento non automatizzato, pertanto, l’articolo 4, punto 2, del GDPR comprende necessariamente la comunicazione orale di dati personali. Il GDPR, inoltre, si applica sia al trattamento automatizzato di dati personali sia a quello manuale, di modo non far dipendere la tutela conferita alle persone i cui dati sono oggetto di trattamento dalle tecniche impiegate e di evitare rischi gravi di elusione di tale tutela. Poiché la comunicazione orale costituisce in quanto tale un trattamento non automatizzato, tuttavia, i dati che ne sono oggetto devono essere contenuti in un archivio o destinati a figurarvi affinché tale trattamento rientri nell’ambito di applicazione materiale del GDPR[5], circostanza che, nel caso concreto, spetta al giudice del rinvio verificare.
Con le questioni seconda e terza, invece, il giudice del rinvio chiedeva se le disposizioni del GDPR, in particolare il suo articolo 86[6], debbano essere interpretate nel senso che esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati, e se la risposta a tale questione differisca a seconda che tale persona sia una società commerciale o un privato.
La Corte ha preliminarmente ricordato che qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi stabiliti all’articolo 5[7] del GDPR e, dall’altro, soddisfare una delle condizioni di liceità elencate all’articolo 6[8] di tale regolamento[9]. L’articolo 10 del GDPR, inoltre, sottopone il trattamento dei dati relativi alle condanne penali e ai reati a restrizioni supplementari, prevedendo che lo stesso debba avvenire soltanto sotto il controllo dell’autorità pubblica, a meno che non sia autorizzato dal diritto dell’Unione o degli Stati Membri che preveda garanzie appropriate per i diritti e le libertà degli interessati[10]. Né l’articolo 6, paragrafo 1, lettera e), né l’articolo 10 del GDPR, pertanto, vietano in maniera generale e assoluta che un’autorità pubblica sia autorizzata, se non addirittura obbligata, a comunicare dati personali alle persone che ne fanno richiesta[11]. Di conseguenza, il GDPR non osta a che dati personali siano comunicati al pubblico qualora tale comunicazione sia necessaria per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Al fine di determinare se una comunicazione al pubblico di dati personali relativi a condanne penali sia necessaria per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, e se la normativa che autorizza una simile comunicazione preveda garanzie appropriate per i diritti e le libertà degli interessati, occorre verificare se, alla luce della gravità dell’ingerenza nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali causata da tale comunicazione, quest’ultima risulti giustificata e, in particolare, proporzionata, ai fini della realizzazione degli obiettivi perseguiti[12]. Sebbene l’accesso del pubblico ai documenti ufficiali costituisca un interesse pubblico che può legittimare la comunicazione di dati personali che figurano in tali documenti, esso deve nondimeno conciliarsi con i diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali. Di conseguenza, in considerazione della sensibilità dei dati relativi alle condanne penali e della gravità dell’ingerenza nei suddetti diritti fondamentali, che la divulgazione di tali dati provoca, questi ultimi prevalgono sull’interesse del pubblico ad avere accesso ai documenti ufficiali[13], di talché il diritto alla libertà d’informazione non può essere interpretato nel senso di giustificare la comunicazione a qualsiasi persona che ne faccia richiesta di dati personali relativi a condanne penali.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, che rientra nell’ambito di applicazione materiale di detto regolamento, se tali informazioni sono contenute in un archivio o destinate a figurarvi.
Le disposizioni del regolamento 2016/679, in particolare il suo articolo 6, paragrafo 1, lettera e), e l’articolo 10 del medesimo, devono essere interpretate nel senso che esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati; il fatto che tale persona sia una società commerciale o un privato non rileva a tale riguardo”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 2 GDPR, intitolato “Ambito di applicazione materiale”, al paragrafo 1 dispone: “… Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi…”.
[3] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 2 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.
[4] CGUE 22.06.2023, Causa C‑579/21, Pankki S, punto 46; CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), punto 35.
[5] CGUE 10.07.2018, Causa C‑25/17, Jehovan todistajat, punto 53.
[6] L’articolo 86 GDPR, intitolato “Trattamento e accesso del pubblico ai documenti ufficiali”, dispone: “… I dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento…”.
[7] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziale («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[8] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “… Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle Autorità pubbliche nell’esecuzione dei loro compiti…”.
[9] CGUE 07.12.2023, Causa C‑634/21, SCHUFA Holding e a. (Scoring), punto 67; CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 96.
[10] CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 100.
[11] Ibidem, punto 103.
[12] Ibidem, punto 106.
[13] Ibidem, punto 120.