Cause riunite C‑26/22 e C‑64/22

UF
e
AB

contro

Land Hessen

(domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wiesbaden)

Sentenza della Corte (Prima Sezione) del 7 dicembre 2023

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 5, paragrafo 1, lettera a) – Principio di “liceità” – Articolo 6, paragrafo 1, primo comma, lettera f) – Necessità del trattamento ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo – Articolo 17, paragrafo 1, lettera d) – Diritto alla cancellazione in caso di trattamento illecito di dati personali – Articolo 40 – Codici di condotta – Articolo 78, paragrafo 1 – Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo – Decisione adottata dall’autorità di controllo su un reclamo – Portata del controllo giurisdizionale su detta decisione – Società che forniscono informazioni commerciali – Conservazione di dati provenienti da un registro pubblico relativi all’esdebitazione a favore di una persona – Durata della conservazione»

1. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Mezzi di ricorso – Ricorso giurisdizionale contro una decisione su reclamo adottata da un’autorità di controllo – Sindacato giurisdizionale – Portata – Limiti – Assenza

   (Carta dei diritti fondamentali dell’Unione europea, artt. 8, § 3, e 47; regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 141 e 143 e artt. 52, 78, § 1, e 79, § 1)

   (v. punti 50-53, 58, 59, 62, 67-70, disp. 1)

2. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo – Trattamento necessario per l’attività di una società privata consistente nella fornitura di informazioni commerciali ai suoi partner contrattuali ai fini della valutazione della solvibilità dei loro potenziali clienti – Conservazione sistematica dei dati provenienti da un registro pubblico relativi all’esdebitazione a favore di una persona – Durata della conservazione che supera il termine di conservazione dei dati nel registro pubblico fallimentare – Inammissibilità

   [Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8; regolamenti del Parlamento europeo e del Consiglio 2015/848, considerando 76 e artt. 79, §§ 4 e 5, e 2016/679, artt. 5, § 1, a), e 6, § 1, c. 1, f)]

   (v. punti 75, 83, 88-100, 113, disp. 2)

3. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Codice di condotta elaborato da un’associazione che rappresenta titolari del trattamento o responsabili del trattamento approvato dall’autorità di controllo competente – Codice che stabilisce condizioni di liceità di un trattamento non corrispondenti a quelle previste dal regolamento 2016/679 – Assenza di presa in considerazione

   (Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 6, § 1, c. 1, f), e 40, §§ 1, 2 e 5)

   (v. punti 101-105)

4. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto alla cancellazione – Portata – Trattamento illecito dei dati personali – Inclusione

   [Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 17, § 1, d)]

   (v. punti 107, 108, 113, disp. 4)

5. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto alla cancellazione – Portata – Diritto di opposizione dell’interessato a un trattamento dei dati – Inclusione – Eccezione – Esistenza di motivi legittimi e cogenti per il trattamento che prevalgono sugli interessi, i diritti e le libertà dell’interessato – Onere della prova a carico del titolare del trattamento

   [Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 17, § 1, c), e 21, § 1]

   (v. punti 109-113, dispositivo 3)

Sintesi

La SCHUFA Holding AG, una società privata di diritto tedesco, registra e conserva, nelle proprie banche dati, informazioni provenienti da registri pubblici, in particolare quelle relative a esdebitazioni, che essa fornisce, se del caso, alle sue controparti contrattuali. Essa procede alla cancellazione di tali informazioni dopo tre anni dalla loro registrazione, conformemente al codice di condotta elaborato in Germania dall’associazione che raggruppa le società che forniscono informazioni commerciali.

Dopo aver beneficiato di esdebitazione anticipata nell’ambito di procedure di insolvenza, UF e AB hanno chiesto alla SCHUFA di cancellare talune iscrizioni relative a tali decisioni. Tale società ha rifiutato di accogliere le loro domande spiegando che il termine di cancellazione di tali dati dal registro pubblico di sei mesi, previsto dalla normativa tedesca ( 1 ), non le era applicabile.

UF e AB hanno presentato ciascuno un reclamo contro la SCHUFA dinanzi allo HBDI ( 2 ), l’autorità di controllo competente, che quest’ultima ha respinto in quanto il trattamento dei dati effettuato dalla SCHUFA era lecito.

Investito dei ricorsi avverso le decisioni dello HBDI da parte di UF e AB, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) ha interrogato la Corte sull’interpretazione di varie disposizioni del RGPD ( 3 ), riguardanti in particolare la necessità del trattamento dei dati ai fini degli interessi perseguiti nonché il diritto alla cancellazione ( 4 ).

Nella sua sentenza, la Corte constata che il RGPD ( 5 ) osta ad una prassi di società che forniscono informazioni commerciali che consiste nel conservare, nelle proprie banche dati, informazioni provenienti da un registro pubblico relative alla concessione di esdebitazioni a favore delle per un periodo più lungo di quello previsto dalla normativa nazionale per la conservazione di tali dati in un registro siffatto. Essa si pronuncia altresì sul diritto dell’interessato di ottenere da tale società la cancellazione dei dati che lo riguardano.

Giudizio della Corte

Anzitutto, la Corte ricorda che, secondo il RGPD, un trattamento di dati personali può essere considerato lecito in particolare quando sono soddisfatte tre condizioni cumulative, ossia, in primo luogo, che il titolare del trattamento o un terzo persegua un interesse legittimo, in secondo luogo, che il trattamento sia necessario per la realizzazione dell’interesse legittimo perseguito e, in terzo luogo, che gli interessi o le libertà e i diritti fondamentali dell’interessato alla protezione dei dati non prevalgano sul legittimo interesse del titolare del trattamento o di un terzo ( 6 ).

Per quanto riguarda la prima condizione, la Corte sottolinea che, sebbene, nel caso di specie, il trattamento dei dati personali sia funzionale agli interessi economici di una società privata, esso serve anche a perseguire gli interessi legittimi dei partner contrattuali di tale società, i quali sono tenuti a valutare la solvibilità delle persone con le quali intendono concludere contratti connessi a un credito, e quindi gli interessi del settore creditizio su un piano socioeconomico.

Per quanto riguarda la seconda condizione, la Corte ricorda che il trattamento dei dati può essere considerato «necessario» solo se viene effettuato nei limiti dello stretto necessario per la realizzazione di un interesse legittimo perseguito dal titolare del trattamento o da un terzo.

Quanto alla terza condizione, la Corte constata che, nel caso di specie, l’esame di quest’ultima si confonde con l’esame della seconda condizione e richiede una ponderazione dei diritti e degli interessi contrapposti per valutare se gli interessi legittimi perseguiti non possano ragionevolmente essere raggiunti da una durata di conservazione dei dati più breve.

Pertanto, per quanto riguarda la ponderazione degli interessi legittimi perseguiti, la Corte rileva che, nei limiti in cui l’analisi predisposta da una società che fornisce informazioni commerciali rende possibile la valutazione obiettiva e affidabile della solvibilità dei potenziali clienti delle controparti contrattuali di tale società, essa consente di compensare disparità di informazione e quindi di ridurre i rischi di frode nonché altre incertezze.

Per quanto riguarda, invece, i diritti e gli interessi dell’interessato, la Corte considera che il trattamento, da parte di tale società, di dati relativi alla concessione di un’esdebitazione, quali la conservazione, l’analisi e la comunicazione di tali dati a terzi, costituisce una grave ingerenza nei diritti fondamentali dell’interessato ( 7 ). Infatti, dati simili costituiscono un fattore negativo per la valutazione della solvibilità di quest’ultimo e costituiscono pertanto informazioni sensibili sulla sua vita privata, il cui trattamento può nuocere considerevolmente ai suoi interessi. Inoltre, più è lunga la conservazione di tali dati, più sono rilevanti le conseguenze sugli interessi e sulla vita privata dell’interessato e più sono elevati sono i requisiti relativi alla liceità della conservazione di tale informazione.

Inoltre, per quanto riguarda la conservazione dei dati nei registri pubblici fallimentari, la Corte rileva che gli Stati membri sono responsabili della raccolta e della conservazione dei dati nelle banche dati nazionali ( 8 ) e, pertanto, devono anche fissare il termine di conservazione di tali dati. Nel caso di specie, il legislatore nazionale ha ritenuto che, dopo la scadenza del termine di sei mesi, i diritti e gli interessi dell’interessato prevalgano su quelli del pubblico a disporre di tale informazione.

Inoltre, l’esdebitazione è volta a consentire al beneficiario di partecipare nuovamente alla vita economica e riveste generalmente un’importanza esistenziale per tale beneficiario. Orbene, la realizzazione di tale obiettivo sarebbe compromessa se le informazioni di cui trattasi potessero essere conservate e utilizzate dopo la loro cancellazione dal registro pubblico fallimentare.

Di conseguenza, la Corte conclude che gli interessi del settore creditizio a disporre delle informazioni su un’esdebitazione non possono giustificare la conservazione dei dati oltre il termine di conservazione nel registro pubblico fallimentare.

La Corte aggiunge che la conservazione dei dati durante il periodo di sei mesi costituisce anch’essa un’ingerenza nei diritti fondamentali dell’interessato. A tal riguardo, spetta al giudice del rinvio valutare se la conservazione parallela di tali dati da parte di società private possa essere considerata limitata allo stretto necessario.

Infine, per quanto riguarda l’esistenza di un codice di condotta che prevede la cancellazione di dati allo scadere di un termine di tre anni, la Corte rileva che, sebbene un siffatto codice sia destinato a contribuire alla corretta applicazione del RGPD ( 9 ), ciò non toglie che le condizioni di liceità di un trattamento di dati personali da esso stabilite non possono differire dalle condizioni previste dal RGPD. Pertanto, un codice di condotta che conduca a una valutazione diversa da quella ottenuta in applicazione del RGPD non può essere preso in considerazione.

Successivamente, per quanto riguarda l’obbligo del titolare del trattamento di cancellare i dati personali, la Corte osserva, da un lato, che quest’ultimo deve procedere alla cancellazione dei dati oggetto di un trattamento illecito come, nel caso di specie, il trattamento dei dati effettuato dalla società di cui trattasi oltre il termine di conservazione di sei mesi nel registro pubblico ( 10 ). Dall’altro lato, anche qualora il giudice del rinvio dovesse concludere che il trattamento dei dati durante il periodo di sei mesi era lecito, l’interessato avrebbe il diritto di opporsi a un trattamento siffatto ( 11 ) e di ottenere la cancellazione dei dati che lo riguardano, se tale società non riesce a dimostrare l’esistenza di cogenti motivi legittimi prevalenti sugli interessi e i diritti e le libertà dell’interessato ( 12 ).

( 1 ) Articolo 3 della Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (regolamento sulle pubblicazioni nelle procedure d’insolvenza su Internet), del 12 febbraio 2002 (BGBl. I, pag. 677).

( 2 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati personali e la libertà di informazione del Land Assia, Germania),

( 3 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1 e rettifica GU 2018, L 127, pag. 2, in prosieguo: il «RGPD»).

( 4 ) Rispettivamente, l’articolo 6, paragrafo 1, primo comma, lettera f), e l’articolo 17, paragrafo 1, lettere c) e d), di tale regolamento.

( 5 ) Articolo 5, paragrafo 1, lettera a), in combinato disposto con l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.

( 6 ) Ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, applicabile al caso di specie.

( 7 ) Diritti sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, riguardanti rispettivamente il rispetto della vita privata e la protezione dei dati di carattere personale.

( 8 ) Ai sensi dell’articolo 79, paragrafo 4, del regolamento (UE) 2015/848 del Parlamento europeo e del Consiglio, del 20 maggio 2015, relativo alle procedure di insolvenza (rifusione) (GU 2015, L 141, pag. 19). L’articolo 79, paragrafo 5, di tale regolamento si limita a prevedere che gli Stati membri informino le persone interessate del periodo durante il quale i dati personali conservati nei registri fallimentari sono accessibili, senza stabilire un termine per la conservazione di tali dati.

( 9 ) Ai sensi dell’articolo 40, paragrafi 1 e 2, del RGPD.

( 10 ) Conformemente all’articolo 17, paragrafo 1, lettera d), del RGPD.

( 11 ) In forza dell’articolo 21, paragrafo 1, del RGPD.

( 12 ) A norma dell’articolo 17, paragrafo 1, lettera c), del RGPD.