12 gennaio 2024
Gli obblighi del responsabile del trattamento: quando la responsabilità può ricadere cumulativamente anche sui soggetti che hanno precedentemente trattato i medesimi dati personali?
La Corte di Giustizia dell'Unione Europea, in una recente pronuncia, ha precisato i contorni della nozione di "responsabile del trattamento", definendone i limiti degli obblighi nel caso in cui il trattamento dei medesimi dati personali è effettuato da soggetti successivi.
L’origine della controversia su cui è intervenuta la Corte di Giustizia con sentenza 11 gennaio 2024 (causa C-231/22) risiede nella pubblicazione di dati da parte della Gazzetta ufficiale belga, il Moniteur belge, che pubblica documenti ufficiali in formato cartaceo ed elettronico.
Il procedimento principale vede contrapposti l’État belge (Stato belga) e l’Autorité de protection des données (Autorità garante della protezione dei dati in Belgio). Avendo notato che un passaggio di una decisione di una società, autenticato da un notaio e contenente, oltre ai dati richiesti dalla legge belga, dati personali di una persona fisica, era stato pubblicato per errore, il responsabile della protezione dei dati del notaio ha chiesto al Moniteur belge di cancellare tali dati. Tuttavia, il Service Public Fédéral Justice (Servizio pubblico federale di giustizia - SPF Justice), l’autorità di gestione del Moniteur belge, ha respinto tale richiesta.
Nella fattispecie una persona fisica possedeva la maggioranza delle quote di una società di diritto privato a responsabilità limitata. Poiché i soci di tale società decidevano di operare una riduzione del capitale di quest’ultima, lo statuto di detta società veniva modificato con una decisione dell’assemblea straordinaria della stessa del 23 gennaio 2019. Conformemente al code des sociétés (codice delle società), nella versione risultante dalla legge del 7 maggio 1999, un estratto di tale decisione era redatto dal notaio della suddetta persona fisica prima di essere trasmesso alla cancelleria del tribunale competente, vale a dire il Tribunal de l’entreprise (Tribunale delle imprese) nella cui circoscrizione detta società ha la sede legale. In forza delle disposizioni di legge pertinenti, il Tribunale ha trasmesso, a fini di pubblicazione, tale estratto alla direzione del Moniteur belge.
Il 12 febbraio 2019 il suddetto estratto è stato pubblicato tale e quale, ossia senza che ne sia stato verificato il contenuto, negli allegati del Moniteur belge, conformemente alle disposizioni di legge applicabili. L'estratto conteneva la decisione di ridurre il capitale di detta società, l’importo iniziale di tale capitale, l’importo della riduzione di cui trattasi nonché il nuovo importo del capitale sociale e il nuovo testo dello statuto della medesima società. Esso conteneva anche un passaggio nel quale erano menzionati il nome dei due soci di quest’ultima, gli importi loro rimborsati nonché i loro numeri di conto bancario.
Il socio che deteneva la maggioranza delle quote, avendo constatato che il suo notaio era incorso in un errore inserendo nell’estratto il passaggio in questione nel procedimento principale, quando invece ciò non era richiesto dalla legge, ha avviato, tramite tale notaio ed il responsabile della protezione dei dati di quest’ultimo, delle pratiche al fine di ottenere la cancellazione del passaggio di cui trattasi, conformemente al suo diritto alla cancellazione previsto all’articolo 17 del GDPR.
Il Service public fédéral Justice, al quale è collegata la direzione del Moniteur belge, ha rifiutato, con decisione del 10 aprile 2019, di dare seguito a siffatta richiesta di cancellazione.
Il 21 gennaio 2020 il socio in questione ha presentato un reclamo contro il SPF Justice presso l'APD al fine di far constatare che tale richiesta di cancellazione era fondata e che le condizioni per l’esercizio del diritto alla cancellazione previste all’articolo 17, paragrafo 1, del GDPR erano soddisfatte.
Con decisione del 23 marzo 2021 l’APD ha ingiunto di dare seguito a detta richiesta di cancellazione quanto prima, al più tardi entro i successivi 30 giorni dalla notifica di tale decisione.
Il 22 aprile 2021 l’État belge (Stato belga) ha adito la Cour d’appel de Bruxelles (Corte d’appello di Bruxelles), giudice del rinvio, al fine di ottenere l’annullamento di detta decisione.
La Cour d’appel de Bruxelles ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia UE le seguenti questioni pregiudiziali:
«1) Se l’articolo 4, punto 7, del [GDPR] debba essere interpretato nel senso che una Gazzetta ufficiale di uno Stato membro – incaricata di un compito di servizio pubblico di pubblicazione e archiviazione di documenti ufficiali, la quale, in forza della normativa nazionale applicabile, è responsabile della pubblicazione di atti e di documenti ufficiali di cui è stata disposta la pubblicazione da parte di enti pubblici terzi, quali comunicati da detti enti, dopo che essi stessi hanno trattato i dati personali contenuti in tali atti e documenti, senza essere incaricata dal legislatore nazionale di alcun potere di valutazione riguardo al contenuto dei documenti da pubblicare, né quanto alle finalità e ai mezzi della pubblicazione – rivesta la qualità di titolare del trattamento.
2) In caso di risposta affermativa alla prima questione, se l’articolo 5, paragrafo 2, del [GDPR] debba essere interpretato nel senso che solo la Gazzetta ufficiale in questione è tenuta al rispetto degli obblighi che incombono al titolare del trattamento ai sensi di detta disposizione, ad esclusione degli enti pubblici terzi che hanno precedentemente trattato i dati contenuti negli atti e nei documenti ufficiali di cui essi chiedono la pubblicazione, o se tali obblighi siano cumulativamente imposti a ciascuno dei successivi titolari del trattamento».
In sostanza, la Corte d’appello di Bruxelles ha interrogato la Corte di Giustizia sulla questione se il Moniteur Belge possa essere qualificato come “responsabile del trattamento” e se debba essere ritenuto l’unico responsabile del rispetto dei principi relativi al trattamento dei dati o se tale responsabilità ricada cumulativamente anche sui soggetti che hanno precedentemente trattato i dati riportati nel passaggio oggetto della contestazione.
La Corte di Giustizia, nella sentenza in esame, quanto alla questione se il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro come il Moniteur Belge possa essere qualificato come “responsabile del trattamento” ai sensi del GDPR, precisa che, tenendo conto della definizione ampia di questo concetto, la determinazione delle finalità e dei mezzi del trattamento nonché, ove applicabile, la designazione del responsabile del trattamento da parte del diritto nazionale possono essere non solo esplicite, ma anche implicite. In quest'ultimo caso, è tuttavia necessario che tale determinazione risulti con sufficiente certezza dal ruolo, dalla missione e dalle attribuzioni devolute al servizio o all'ente interessato.
La Corte rileva che, nella specie, il diritto belga ha determinato, almeno implicitamente, le finalità ed i mezzi del trattamento di dati personali effettuato dal Moniteur Belge. Di conseguenza, quest’ultimo può essere considerato il “titolare del trattamento”.
La Corte sottolinea che tale conclusione non è rimessa in discussione né dalla circostanza che il Moniteur Belge non ha personalità giuridica né dal fatto che, secondo il diritto nazionale, esso non controlla, prima della loro pubblicazione, i dati personali che figurano negli atti e i documenti che riceve.
Sebbene sia vero che tale organismo deve pubblicare il documento in questione così com'è, è solo esso ad assumersi tale compito e poi a diffondere l'atto o il documento in questione. Da un lato, la pubblicazione di tali atti e documenti senza possibilità di verificarne o modificarne il contenuto è intrinsecamente legata alle finalità e alle modalità del trattamento determinate dal diritto nazionale. Il ruolo della Gazzetta Ufficiale, infatti, si limita ad informare il pubblico dell'esistenza di tali atti e documenti, così come gli vengono trasmessi sotto forma di copia conformemente al diritto nazionale applicabile, in modo da renderli opponibili ai terzi partiti. Sarebbe invece contrario all’obiettivo dell’articolo 4, punto 7, del GDPR escludere dalla nozione di “responsabile del trattamento” la Gazzetta Ufficiale di uno Stato membro per il motivo che quest’ultimo non esercita il controllo sui dati personali che compaiono nelle sue pubblicazioni.
Per quanto riguarda la questione se un organismo come il Moniteur Belge debba essere ritenuto unico responsabile del rispetto dei principi relativi al trattamento dei dati personali di cui al GDPR, la Corte osserva che il trattamento affidato alla Gazzetta Ufficiale belga è sia successivo al trattamento effettuato dal notaio e dalla cancelleria del tribunale competente, sia tecnicamente diverso dal trattamento effettuato da questi due soggetti in quanto vi si aggiunge. In effetti, le operazioni svolte dal Moniteur Belge sono ad esso affidate dalla legislazione nazionale e riguardano in particolare la trasformazione digitale dei dati che figurano negli atti o estratti di atti che gli vengono sottoposti, la pubblicazione di questi, il loro aggiornamento e la loro conservazione. Pertanto, deve ritenersi responsabile del rispetto di tutti gli obblighi imposti al titolare del trattamento dal GDPR.
La Corte ricorda, inoltre, che l’articolo 4, punto 7, del GDPR prevede non solo che le finalità ed i mezzi del trattamento di dati personali possono essere determinati congiuntamente da più soggetti titolari del trattamento, ma anche che il diritto nazionale può determinare tali finalità e mezzi e designare il titolare del trattamento o fissare i criteri specifici applicabili alla sua designazione. Pertanto, nell'ambito di una catena di trattamenti effettuati da persone o entità diverse e riguardanti gli stessi dati personali, il diritto nazionale può determinare le finalità ed i mezzi di tutti i trattamenti effettuati successivamente da queste persone o entità diverse in modo che siano co-responsabile del trattamento.
La Corte sottolinea che, ai sensi del GDPR, la responsabilità congiunta di più soggetti in una catena di trattamento relativa agli stessi dati personali può essere stabilita dal diritto nazionale a condizione che le diverse operazioni di trattamento siano accomunate da finalità e mezzi determinati da tale legge e siano definiti i rispettivi obblighi di ciascuno dei contitolari del trattamento. Tale determinazione delle finalità e dei mezzi che riuniscono le diverse operazioni di trattamento effettuate da più soggetti di una catena nonché dei loro rispettivi obblighi può essere effettuata non solo direttamente, ma anche indirettamente dal diritto nazionale, a condizione, in quest'ultimo caso, che dalle disposizioni di legge che disciplinano le persone o gli enti interessati nonché il trattamento dei dati personali si possa dedurre in modo sufficientemente esplicito che essi operano nell'ambito della catena di trattamento imposta da tale diritto.
La Corte di Giustizia UE conclude rispondendo come segue sulle questioni pregiudiziali sollevate:
1) L’articolo 4, punto 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro - che è segnatamente tenuto, in forza della legislazione di tale Stato, a pubblicare tal quali atti e documenti ufficiali redatti da terzi sotto la loro responsabilità nel rispetto delle norme applicabili e che vengono poi depositati presso un’autorità giudiziaria che glieli trasmette per la pubblicazione - può, nonostante la sua mancanza di personalità giuridica, essere qualificato come «titolare del trattamento» dei dati personali contenuti in tali atti e documenti, qualora il diritto nazionale considerato determini le finalità e i mezzi del trattamento dei dati personali effettuato dalla suddetta Gazzetta ufficiale.
2) L’articolo 5, paragrafo 2, del regolamento 2016/679, in combinato disposto con l’articolo 4, punto 7, e l’articolo 26, paragrafo 1, di quest’ultimo, deve essere interpretato nel senso che il servizio o l’organismo responsabile della Gazzetta ufficiale di uno Stato membro, qualificato come «titolare del trattamento», ai sensi dell’articolo 4, punto 7, del suddetto regolamento, è l’unico competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del medesimo regolamento per quanto riguarda le operazioni di trattamento dei dati personali che è tenuto ad effettuare in forza del diritto nazionale, a meno che una contitolarità con altre entità in relazione a tali operazioni non derivi da tale diritto.