In data 28 novembre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-169/23, Nemzeti Adatvédelmi és Információszabadság Hatóság contro UC, sull’interpretazione dell’articolo 14, paragrafi 1 e 5, lettera c), dell’articolo 32 nonché dell’articolo 77, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale ungherese incaricata della protezione dei dati e della libertà di informazione) e UC in merito all’esistenza di un obbligo di informazione riguardante il trattamento dei dati personali in capo al Budapest Főváros Kormányhivatala (Ufficio governativo di Budapest-Capitale), incaricato di rilasciare certificati di immunità alle persone vaccinate contro il coronavirus o che avevano contratto tale malattia.
Questi i fatti.
Dopo aver ricevuto un certificato di immunità attestante la sua vaccinazione contro il coronavirus, UC aveva avviato un procedimento amministrativo relativo al trattamento dei dati personali che lo riguardavano, presentando presso l’autorità nazionale un reclamo affinché fosse ordinato all’amministrazione preposta al rilascio di conformare alle disposizioni del GDPR le sue operazioni di trattamento. Nello specifico, UC aveva contestato all’amministrazione di non aver redatto e pubblicato un’informativa sulla protezione dei dati personali relativi al rilascio dei certificati di immunità, facendo valere la mancanza di informazioni in ordine alle finalità e alla base giuridica del trattamento di tali dati nonché ai diritti spettanti agli interessati e alle rispettive modalità di esercizio.
Poiché, tuttavia, l’autorità nazionale aveva respinto la sua domanda dichiarando che non sussisteva l’obbligo di informazione in capo all’amministrazione preposta al rilascio, UC aveva proposto un ricorso amministrativo dinanzi alla Fővárosi Törvényszék (Corte di Budapest-Capitale), che aveva annullato tale decisione ordinando all’autorità di avviare un nuovo procedimento. Quest’ultima, pertanto, aveva adito la Kúria (Corte suprema ungherese: il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 14, paragrafo 5, lettera c)[2], del GDPR debba essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda unicamente i dati personali che quest’ultimo ha ottenuto presso una persona diversa dall’interessato o, altresì, quelli generati dallo stesso titolare del trattamento nell’ambito dell’esercizio dei propri compiti.
La Corte ha preliminarmente rilevato che l’articolo 14, paragrafo 5, lettera c), del GDPR, da un lato, si riferisce all’ottenimento o alla comunicazione dei dati personali e, dall’altro, non limita la deroga da esso prevista ai soli dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato, né esclude quelli che sono stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei propri compiti, a partire da tali dati. Di conseguenza, i dati personali che sono stati oggetto di un ottenimento, ai sensi dell’articolo 14, paragrafo 5, lettera c), del GDPR, da parte del titolare del trattamento sono tutti quelli che quest’ultimo ottiene presso una persona diversa dall’interessato e quelli che esso stesso ha generato, nell’ambito dell’esercizio dei propri compiti, a partire da quelli ottenuti presso tale persona. Tanto i dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato quanto quelli generati dal titolare del trattamento stesso, i quali, per loro natura, neppure sono stati ottenuti presso l’interessato, inoltre, rientrano nell’ambito di applicazione di tale articolo 14, di talché la deroga prevista dal suo paragrafo 5 riguarda queste due categorie di dati. Conformemente all’obiettivo perseguito dal GDPR, infine, la deroga all’obbligo di informazione dell’interessato, prevista all’articolo 14, paragrafo 5, lettera c) richiede, da un lato, che l’ottenimento o la comunicazione dei dati personali da parte del titolare del trattamento siano espressamente previsti dal diritto dell’Unione o da quello dello Stato Membro cui tale titolare del trattamento è soggetto e, dall’altro, che tale diritto preveda misure appropriate per tutelare gli interessi legittimi dell’interessato.
Con le questioni seconda e terza, invece, il giudice del rinvio chiedeva se l’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1[3], del GDPR debbano essere interpretati nel senso che, nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato Membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c), e, in caso affermativo, se tale verifica riguardi anche l’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32[4] di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali.
La Corte ha preliminarmente ricordato che il titolare del trattamento è dispensato dal fornire all’interessato le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del GDPR se e nella misura in cui, da un lato, l’ottenimento o la comunicazione dei dati personali sono espressamente previsti dal diritto dell’Unione o dello Stato Membro cui è soggetto il titolare del trattamento e, dall’altro, tale diritto prevede misure appropriate per tutelare gli interessi legittimi dell’interessato, le quali devono indicare, in modo chiaro e prevedibile, la fonte a partire dalla quale quest’ultimo otterrà informazioni sul trattamento dei dati personali che lo riguardano.
Tutto ciò premesso, nel contesto della trasmissione dei dati personali tra organismi di uno Stato Membro e della loro generazione da parte di un titolare del trattamento a partire da quelli raccolti presso una persona diversa dall’interessato, in caso di reclamo da parte di quest’ultimo spetterà all’autorità di controllo verificare, in particolare, se il diritto nazionale o dell’Unione pertinente definisca con sufficiente precisione i diversi tipi di dati personali da ottenere o da comunicare, nonché quelli che egli deve generare nell’ambito dell’esercizio dei suoi compiti e se tale diritto prevede in che modo l’interessato abbia effettivamente accesso alle informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del GDPR. La verifica, da parte di un’autorità di controllo, della questione se siano soddisfatte tutte le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), del GDPR, tuttavia, non rientra in un esame della validità delle disposizioni pertinenti del diritto nazionale, in quanto tale autorità si pronuncia unicamente sulla questione se, in un determinato caso, il titolare del trattamento abbia o meno il diritto di invocare la deroga prevista da tale disposizione nei confronti dell’interessato. Più particolarmente, se, in un determinato caso, l’autorità di controllo decide che il reclamo dell’interessato non è fondato, quest’ultimo deve disporre, nel suo Stato Membro, del diritto ad un ricorso giurisdizionale effettivo avverso tale decisione di rigetto. Per contro, qualora ritenga che il reclamo sia fondato e che le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), del GDPR non siano soddisfatte, tale autorità ordina al titolare del trattamento di fornire all’interessato le informazioni, conformemente all’articolo 14, paragrafi 1, 2 e 4, del medesimo regolamento.
Gli obblighi sanciti all’articolo 32 del GDPR, che devono essere rispettati in ogni caso ed indipendentemente dall’esistenza o meno di un obbligo di informazione ai sensi dell’articolo 14 di tale regolamento, infine, sono diversi per natura e portata rispetto all’obbligo di informazione previsto da quest’ultimo articolo. Di conseguenza, in caso di reclamo ai sensi dell’articolo 77, paragrafo 1, del GDPR, per il motivo che il titolare del trattamento ha invocato, erroneamente, la deroga di cui all’articolo 14, paragrafo 5, lettera c), di tale regolamento, l’oggetto delle verifiche che l’autorità di controllo deve effettuare è circoscritto dall’ambito di applicazione del solo articolo 14 di detto regolamento, dato che il rispetto dell’articolo 32 di quest’ultimo non fa parte di tali verifiche.
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 14, paragrafo 5, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda indistintamente tutti i dati personali che il titolare del trattamento non ha raccolto direttamente presso l’interessato, indipendentemente dal fatto che tali dati siano stati ottenuti dal titolare del trattamento presso una persona diversa dall’interessato o che siano stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei suoi compiti.
L’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c). Tale verifica non verte tuttavia sull’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32 di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 14 GDPR, intitolato “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”, al paragrafo 5 lettera c) dispone: “… I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
(…)
c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato…”.
[3] L’articolo 77 GDPR, intitolato “Diritto di proporre reclamo all’autorità di controllo”, al paragrafo 1 dispone: “… Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione…”.
[4] L’articolo 32 GDPR, intitolato “Sicurezza del trattamento”, al paragrafo 1 dispone: “… Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento…”.