In data 2 marzo 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-268/21, Norra Stockholm Bygg AB contro Per Nycander AB, sull’interpretazione dell’articolo 6, paragrafi 3 e 4, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Norra Stockholm Bygg AB (“Fastec”) e la Per Nycander AB (“Nycander”) in merito ad una richiesta di comunicazione del registro elettronico del personale della Fastec che aveva eseguito lavori per la Nycander, al fine di determinare l’importo per i quali quest’ultima doveva corrispondere la retribuzione.
Questi i fatti.
La Fastec aveva costruito per la Nycander uno stabile adibito a uffici, e le persone che avevano lavorato nel cantiere edile in questione avevano registrato la loro presenza attraverso un registro elettronico del personale fornito dalla società Entral AB (“Entral”), che agiva per conto della Fastec. Quest’ultima aveva proposto ricorso dinanzi al tingsrätt (Tribunale di primo grado) per chiedere alla Nycander il pagamento di una somma corrispondente al saldo da questa ancora dovuto. Nell’opporsi, la Nycander aveva chiesto al giudice di ordinare alla Entral di produrre il registro del personale della Fastec per il periodo compreso tra il 1° agosto 2016 e il 30 novembre 2017, in via principale, senza procedere all’oscuramento dei dati, e, in subordine, con l’oscuramento dei numeri nazionali di identificazione delle persone interessate.
Poiché tale richiesta era stata accolta e confermata anche in secondo grado, la Fastec si era rivolta allo Högsta domstolen (Corte suprema svedese; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.
Con la sua prima questione, il giudice del rinvio chiedeva se l’articolo 6, paragrafi 3 e 4[2], del GDPR debba essere interpretato nel senso che tale disposizione si applica, nell’ambito di un procedimento giurisdizionale civile, alla produzione come elemento di prova di un registro del personale contenente dati personali di terzi raccolti principalmente ai fini dei controlli fiscali.
La Corte ha preliminarmente ricordato che costituiscono un trattamento di dati personali rientrante nell’ambito di applicazione ratione materiae del GDPR non solo la creazione e la tenuta del registro elettronico del personale[3], e bensì anche la produzione come elemento di prova di un documento, digitale o fisico, contenente dati personali, disposta da un’autorità giurisdizionale nell’ambito di un procedimento giurisdizionale[4]. Qualsiasi trattamento di dati personali, compreso quello effettuato dalle autorità pubbliche quali le autorità giurisdizionali, inoltre, deve soddisfare le condizioni di liceità fissate dall’articolo 6 del GDPR. Più particolarmente, il combinato disposto dell’articolo 6, paragrafo 1, lettera e), del GDPR e dell’articolo 6, paragrafo 3, di tale regolamento richiede una base giuridica, segnatamente nazionale, per il trattamento dei dati personali da parte dei titolari del trattamento che agiscono nell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, come quelli svolti dalle autorità giurisdizionali quando esercitano le relative funzioni. Qualora sia effettuato per un fine diverso da quello per il quale i dati personali sono stati raccolti, infine, il trattamento è consentito a condizione che esso sia basato su un atto legislativo degli Stati Membri e che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia di uno degli obiettivi di cui all’articolo 23, paragrafo 1[5], del GDPR.
Nel caso concreto, i dati contenuti nel registro del personale mirano a consentire agli agenti dell’amministrazione finanziaria svedese di effettuare controlli incrociati durante le ispezioni in loco, di modo da prevenire il lavoro in nero e da creare condizioni di concorrenza più sane. Di conseguenza, il trattamento di tali dati nell’ambito di un procedimento giurisdizionale è effettuato per una finalità diversa da quella per la quale i dati sono stati raccolti, ossia ai fini dei controlli fiscali, e non è fondato sul consenso degli interessati, ai sensi dell’articolo 6, paragrafo 1, lettera a), del GDPR. Tale trattamento, pertanto, deve non solo essere fondato sul diritto nazionale, e bensì anche costituire una misura necessaria e proporzionata in una società democratica, ai sensi dell’articolo 6, paragrafo 4, del GDPR, per la salvaguardia di uno degli obiettivi di cui all’articolo 23, paragrafo 1, di tale regolamento.
Con la sua seconda questione, invece, il giudice del rinvio chiedeva se gli articoli 5[6] e 6 del GDPR debbano essere interpretati nel senso che, nel valutare se debba essere disposta, nell’ambito di un procedimento giurisdizionale civile, la produzione di un documento contenente dati personali, il giudice nazionale è tenuto a prendere in considerazione gli interessi dei soggetti di cui trattasi. In caso affermativo, tale giudice chiede inoltre se il diritto dell’Unione, ed in particolare il GDPR, imponga requisiti particolari riguardo alle modalità di tale valutazione.
La Corte ha preliminarmente rilevato che poiché riguardano la produzione di un documento come elemento di prova, le disposizioni di diritto nazionale nel caso concreto possono rientrare nei casi di trattamento di dati personali considerati leciti ai sensi dell’articolo 6, paragrafi 3 e 4, del GDPR, in combinato disposto con l’articolo 23, paragrafo 1, lettere f) e j), dello stesso. Ciò è vero nella misura in cui tali disposizioni, da un lato, mirano a garantire il corretto svolgimento del procedimento giurisdizionale assicurando che il soggetto dell’ordinamento possa far valere i propri diritti in presenza di un legittimo interesse alla prova e, dall’altro, sono necessarie e proporzionate a tale obiettivo. Di conseguenza, al fine di procedere alla verifica di tali requisiti, un giudice nazionale è tenuto a prendere in considerazione gli interessi contrapposti in gioco quando valuta l’opportunità di ordinare la produzione di un documento contenente dati personali di terzi.
Per quanto riguarda gli interessi in gioco nell’ambito di un procedimento giurisdizionale civile, il giudice nazionale deve garantire, da un lato, la protezione delle persone fisiche con riguardo al trattamento dei dati personali e, dall’altro, il diritto al rispetto della vita privata, che è strettamente connesso al diritto alla protezione dei dati personali. Quest’ultimo, tuttavia, non è un diritto assoluto, e bensì va considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali[7], in ossequio al principio di proporzionalità, come quello ad una tutela giurisdizionale effettiva[8]. Al fine di garantire che i singoli possano beneficiare di un tale diritto e, in particolare, di un diritto a un processo equo, pertanto, le parti di un procedimento giurisdizionale civile devono essere in grado di accedere alle prove necessarie per dimostrare adeguatamente la fondatezza delle loro censure, che possono eventualmente includere dati personali delle parti o di terzi.
Tutto ciò premesso, alla luce del principio della minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), del GDPR, secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati[9], il giudice nazionale è tenuto a stabilire se la divulgazione dei dati personali sia adeguata e pertinente al fine di salvaguardare l’obiettivo perseguito dalle disposizioni applicabili del diritto nazionale, e se tale obiettivo non possa essere realizzato ricorrendo a mezzi di prova meno invasivi rispetto alla protezione dei dati personali di un numero elevato di terzi quali, ad esempio, l’audizione di testimoni selezionati. Nel caso in cui la produzione del documento contenente dati personali risulti giustificata, inoltre, qualora solo una parte di tali dati appaia necessaria a fini probatori il giudice nazionale deve prendere in considerazione l’adozione di misure supplementari in materia di protezione dei dati, quali la pseudonimizzazione dei nomi degli interessati o qualsiasi altra misura destinata a ridurre al minimo l’ostacolo al diritto alla protezione dei dati personali costituito dalla produzione di un tale documento. Un giudice nazionale, pertanto, può ritenere che i dati personali delle parti o di terzi debbano essergli comunicati al fine di poter ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco.
Di conseguenza, la Corte ha statuito che:
“L’articolo 6, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che tale disposizione si applica, nell’ambito di un procedimento giurisdizionale civile, alla produzione come elemento di prova di un registro del personale contenente dati personali di terzi raccolti principalmente ai fini dei controlli fiscali.
Gli articoli 5 e 6 del regolamento 2016/679 devono essere interpretati nel senso che nel valutare se debba essere disposta la produzione di un documento contenente dati personali, il giudice nazionale è tenuto a prendere in considerazione gli interessi delle persone di cui trattasi e a ponderarli in funzione delle circostanze di ciascun caso di specie, del tipo di procedimento di cui trattasi e tenendo debitamente conto delle esigenze derivanti dal principio di proporzionalità e, in particolare, di quelle derivanti dal principio di minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), di tale regolamento”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, ai paragrafi 3-4 dispone: “… La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.
Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione…”.
[3] CGUE 30.05.2013, Causa C‑342/12, Worten, punto 19.
[4] CGUE 08.12.2022, Causa C‑180/21, Inspektor v Inspektorata kam Visshia sadeben savet (Finalità del trattamento di dati personali – Indagine penale), punto 72.
[5] L’articolo 23 GDPR, intitolato “Limitazioni”, al paragrafo 1 dispone: “… Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
- a) la sicurezza nazionale;
- b) la difesa;
- c) la sicurezza pubblica;
- d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica;
- e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale;
- f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari;
- g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate;
- h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle lettere da a), a e) e g);
- i) la tutela dell’interessato o dei diritti e delle libertà altrui;
- j) l’esecuzione delle azioni civili…”.
[6] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, dispone: “… I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)…”.
[7] Il considerando (4) del GDPR dispone: “… Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica…”.
[8] L’articolo 47 della Carta dei diritti fondamentali dell’Unione Europea, intitolato “Diritto a un ricorso effettivo e a un giudice imparziale”, dispone: “… Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo.
Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare.
A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia…”.
[9] CGUE 22.06.2021, Causa C‑439/19, Latvijas Republikas Saeima (Punti di penalità), punto 98.