Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62023CJ0200

Sentenza della Corte (Prima Sezione) del 4 ottobre 2024.
Agentsia po vpisvaniyata contro OL.
Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Pubblicazione, nel registro del commercio, di un contratto di società contenente dati personali – Direttiva (UE) 2017/1132 – Dati personali non obbligatori – Assenza di consenso da parte della persona interessata – Diritto alla cancellazione – Danno morale.
Causa C-200/23.

Court reports – general

ECLI identifier: ECLI:EU:C:2024:827

Causa C-200/23

Agentsia po vpisvaniyata

contro

OL

(domanda di pronuncia pregiudiziale proposta dal Varhoven administrativen sad)

Sentenza della Corte (Prima Sezione) del 4 ottobre 2024

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Pubblicazione, nel registro del commercio, di un contratto di società contenente dati personali – Direttiva (UE) 2017/1132 – Dati personali non obbligatori – Assenza di consenso da parte della persona interessata – Diritto alla cancellazione – Danno morale»

  1. Libertà di stabilimento – Società – Direttiva 2017/1132 – Obbligo di uno Stato membro di autorizzare nel registro del commercio la pubblicità di un contratto di società contenente dati personali – Pubblicazione dei dati non richiesta dal diritto nazionale – Insussistenza di un obbligo

    (Direttiva del Parlamento europeo e del Consiglio 2017/1132, art. 21, § 2)

    (v. punti 54, 55, 60 e dispositivo 1)

  2. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di titolare del trattamento – Nozione di destinatario dei dati – Autorità responsabile del registro del commercio di uno Stato membro che procede alla pubblicazione dei dati personali contenuti in un contratto di società – Inclusione – Contratto contenente dati personali non richiesti né dalla direttiva 2017/1132 né dal diritto nazionale – Irrilevanza

    (Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 4, punti 7 e 9; direttiva del Parlamento europeo e del Consiglio 2017/1132)

    (v. punti 66, 72-76, 83 e dispositivo 2)

  3. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario per adempiere un obbligo legale incombente al titolare del trattamento – Pubblicazione dei dati personali contenuti in un contratto di società – Dati personali non richiesti né dalla direttiva 2017/1132 né dal diritto nazionale – Esclusione – Qualificazione di tale pubblicazione come trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri – Presupposti – Necessità del trattamento

    [Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 6, § 1 primo comma, c) ed e); direttiva del Parlamento europeo e del Consiglio 2017/1132]

    (v. punti 94-96, 105-112, 114-116)

  4. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto alla cancellazione – Portata – Trattamento illecito di dati personali – Inclusione – Trattamento lecito di dati personali – Trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri – Esclusione – Eccezione – Esistenza di motivi legittimi e cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato – Onere della prova a carico del titolare del trattamento

    [Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 6, § 1, e), 17, § 1, c) e d), e 21, § 1)]

    (v. punti 118-120)

  5. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto alla cancellazione – Obbligo di un’autorità nazionale responsabile del registro del commercio di uno Stato membro di respingere qualsiasi domanda di cancellazione di dati non omessi – Dati personali non richiesti né dalla direttiva 2017/1132 né dal diritto nazionale – Inammissibilità

    (Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 17; direttiva del Parlamento europeo e del Consiglio 2017/1132, art. 16)]

    (v. punto 127 e dispositivo 3)

  6. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di dati personali – Firma autografa di una persona fisica – Inclusione

    (Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 4, punto 1)

    (v. punti 131, 133-136 e dispositivo 4)

  7. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto al risarcimento e responsabilità – Diritto al risarcimento del danno subìto – Danno immateriale – Nozione – Perdita di controllo sui dati personali – Inclusione – Presupposti – Onere della prova del danno immateriale a carico della persona interessata – Obbligo di dimostrare la sussistenza di ulteriori conseguenze negative tangibili – Insussistenza

    (Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 82, § 1)

    (v. punti 140-146, 156 e dispositivo 5)

  8. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Diritto al risarcimento e responsabilità – Responsabilità del titolare del trattamento e obbligo di risarcire il danno subito dall’interessato – Esenzione – Portata – Emissione, da parte di un’autorità di controllo, di un parere su questioni relative alla protezione dei dati, fornito al titolare del trattamento – Mancata applicazione dell’esonero dalla responsabilità di un’autorità nazionale avente la qualità di titolare del trattamento

    [Regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 4, punto 7, 58, § 3, b), e 82, §§ 1-3]

    (v. punti 171, 172, 174, 176 e dispositivo 6)

Sintesi

Adita in via pregiudiziale dal Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria), la Corte si pronuncia su una serie di questioni vertenti, in sostanza, sul rapporto tra le disposizioni del diritto dell’Unione europea in materia di pubblicità degli atti delle società ( 1 ) e il RGPD ( 2 ).

OL è socia della «Praven Shtit Konsulting» OOD, società a responsabilità limitata di diritto bulgaro, iscritta nel registro del commercio a seguito della presentazione di un contratto di società. Tale contratto, reso pubblico dall’Agentsia po vpisvaniyata (Agenzia responsabile delle iscrizioni nei registri, Bulgaria) (in prosieguo: l’«agenzia») così come era stato presentato, contiene svariati dati personali dei soci, compresi cognome, nome, numero di carta d’identità, indirizzo e firme.

Nel 2021 OL ha chiesto all’agenzia di cancellare i dati personali che la riguardavano contenuti in tale contratto. Il rifiuto di tale agenzia di accogliere questa domanda è stato oggetto di due ricorsi proposti da OL dinanzi all’Administrativen sad Dobrich (Tribunale amministrativo di Dobrich, Bulgaria). Con sentenza del 5 maggio 2022, quest’ultimo organo giurisdizionale ha condannato l’agenzia a risarcire OL a titolo di danno immateriale ai sensi del RGPD ( 3 ). Non considerandosi soddisfatta da tale sentenza, l’agenzia ha proposto ricorso in cassazione davanti al giudice del rinvio

Nutrendo dubbi in merito alla conciliazione che deve essere effettuata tra la normativa sul diritto alla protezione dei dati personali e quella che garantisce la pubblicità e l’accesso a taluni atti delle società, il giudice del rinvio ha adito la Corte in via pregiudiziale.

Giudizio della Corte

In primo luogo, per quanto riguarda la portata della pubblicità volontaria delle indicazioni, ivi compresi i dati personali contenuti negli atti societari, la Corte rileva che la disposizione della direttiva 2017/1132 che riguarda la pubblicità volontaria degli atti e delle indicazioni relativi alla società ( 4 ) riguarda solo le loro traduzioni, senza tuttavia fare riferimento al loro contenuto. Pertanto, essa non può essere interpretata nel senso che imponga un qualsivoglia obbligo relativo alla pubblicità di dati la cui pubblicità non è richiesta né da altre disposizioni del diritto dell’Unione né dal diritto dello Stato membro interessato, ma che figurano in un atto soggetto alla pubblicità obbligatoria prevista da detta direttiva ( 5 ). Di conseguenza, tale disposizione non impone ad uno Stato membro l’obbligo di consentire la pubblicità, nel registro del commercio, di un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e contenente dati personali diversi dai dati personali minimi richiesti, la cui pubblicazione non è richiesta dal diritto di tale Stato membro.

In secondo luogo, la Corte rileva che l’autorità responsabile della tenuta del registro del commercio di uno Stato membro che pubblica, in tale registro, i dati personali contenuti in un contratto di società soggetto all’obbligo di pubblicità previsto dalla direttiva 2017/1132, che le è stato trasmesso nell’ambito di una domanda di iscrizione della società in questione nel suddetto registro, è tanto «destinatario» di tali dati quanto, soprattutto nei limiti in cui li mette a disposizione del pubblico, «titolare del trattamento» di detti dati ( 6 ), anche qualora tale contratto contenga dati non richiesti da tale direttiva o dal diritto di tale Stato membro.

In tale contesto la Corte osserva che, in forza della direttiva 2017/1132, è compito degli Stati membri determinare, in particolare, quali categorie di informazioni relative alle generalità delle persone legate alle società e, in particolare, quali tipi di dati personali, sono soggetti a pubblicità obbligatoria, nel rispetto del diritto dell’Unione.

La Corte rileva altresì che, nel trascrivere e conservare dati personali ricevuti nel contesto di una domanda di iscrizione di una società nel registro del commercio di uno Stato membro, nel comunicarli, se del caso, a terzi su richiesta, e nel pubblicarli in un bollettino nazionale o mediante altra misura di effetto equivalente, l’autorità responsabile della tenuta del registro effettua trattamenti di dati personali, per i quali essa è «titolare del trattamento». Infatti, tali trattamenti di dati personali sono distinti e successivi alla comunicazione dei dati personali effettuata dal richiedente tale iscrizione e ricevuta da detta autorità. Inoltre, quest’ultima procede da sola a detti trattamenti, conformemente alle finalità e alle modalità fissate dalla direttiva 2017/1132 e dalla normativa dello Stato membro che attua tale direttiva.

In terzo luogo, per quanto riguarda l’eventuale diritto alla cancellazione di cui disporrebbe l’interessato ( 7 ), la Corte procede, in prima battuta, all’esame dei motivi di liceità in cui può rientrare il trattamento dei suoi dati personali.

Da un lato, per quanto riguarda la questione se il trattamento sia necessario per adempiere un obbligo legale derivante dal diritto dell’Unione o dal diritto dello Stato membro al quale è soggetto il titolare del trattamento ( 8 ), la Corte rileva che la direttiva 2017/1132 non impone il trattamento sistematico di ogni dato personale contenuto in un atto soggetto alla pubblicità obbligatoria prevista da tale direttiva. Al contrario, qualsiasi trattamento di dati personali effettuato nel quadro di tale direttiva deve pienamente soddisfare i requisiti derivanti dal RGPD. Così, spetta agli Stati membri garantire la conciliazione tra gli obiettivi di certezza del diritto e di tutela degli interessi dei terzi, perseguiti dalla direttiva 2017/1132, e i diritti sanciti dal RGPD.

Pertanto, non si può ritenere che la messa a disposizione del pubblico, online, nel registro del commercio, di dati personali non richiesti dalla direttiva 2017/1132 o dalla normativa nazionale di cui trattasi nel procedimento principale, contenuti in un contratto di società soggetto alla pubblicità obbligatoria prevista da tale direttiva e trasmesso all’agenzia, sia giustificata dall’esigenza di garantire la pubblicità degli atti oggetto di tale direttiva e che, quindi, essa derivi da un obbligo legale previsto dal diritto dell’Unione. Inoltre, la liceità del trattamento di cui trattasi non sembra neppure poggiare, con riserva di verifica da parte del giudice nazionale, su un obbligo legale previsto dal diritto nazionale.

Dall’altro lato, quanto alla necessità del trattamento di cui trattasi ai fini dell’esecuzione di un compito di interesse pubblico ( 9 ), la Corte osserva che tale trattamento risulta, certo, realizzato in occasione di un siffatto compito. Tuttavia, esso sembra eccedere quanto necessario per conseguire gli obiettivi di interesse generale perseguiti.

A tal riguardo, la Corte rileva che l’esigenza di preservare l’integrità e l’affidabilità degli atti delle società soggetti alla pubblicità obbligatoria prevista dalla direttiva 2017/1132, la quale implicherebbe la pubblicazione di detti atti tal quali essi sono stati trasmessi alle autorità responsabili della tenuta del registro del commercio, non può sistematicamente prevalere sul diritto alla tutela dei dati personali, salvo rendere tale protezione puramente illusoria. In particolare, tale requisito non può obbligare a mantenere a disposizione del pubblico, online, in questo registro, dati personali non richiesti dalla direttiva o dal diritto nazionale allorché l’agenzia potrebbe essa stessa redigere una copia, da cui siano stati espunti i dati non richiesti, dell’atto della società interessata, prevista da tale diritto ai fini di detta messa a disposizione.

ln seconda battuta, la Corte sottolinea che, nell’ipotesi in cui il giudice del rinvio dovesse concludere, al termine della sua valutazione sulla liceità del trattamento in questione, per l’illiceità del trattamento in esame, incomberebbe all’agenzia, in qualità di titolare del trattamento, cancellare i dati in questione quanto prima.

Tuttavia, qualora detto giudice concludesse che tale trattamento è effettivamente necessario per l’esecuzione di un compito di interesse pubblico, in particolare perché mettere a disposizione del pubblico, online, nel registro del commercio, dati non richiesti dalla direttiva 2017/1132 o dalla normativa nazionale era necessario per evitare di ritardare l’iscrizione della società in questione, nell’interesse della protezione dei terzi, occorrerebbe procedere all’esame della sussistenza di motivi legittimi prevalenti sugli interessi, sui diritti e sulle libertà dell’interessato e opporsi alla domanda di cancellazione ( 10 ).

La Corte constata quindi che la direttiva 2017/1132 e il RGPD devono essere interpretati nel senso che ostano a una normativa o a una prassi di uno Stato membro che conduca l’autorità responsabile della tenuta del registro del commercio di tale Stato membro a respingere qualsiasi domanda di cancellazione di dati personali, non richiesti da tale direttiva o dal diritto di detto Stato membro, contenuti in un contratto di società pubblicato in detto registro, qualora non sia stata fornita a tale autorità una copia di detto contratto che ometta siffatti dati, contrariamente a quanto previsto nelle modalità procedurali stabilite dalla normativa stessa.

In ultimo luogo, pronunciandosi sul regime di responsabilità in forza del RGPD e, più concretamente, sull’impatto, in tale contesto, di un parere emesso dall’autorità di controllo di uno Stato membro, la Corte sottolinea che, in forza del RGPD ( 11 ), l’emissione di un siffatto parere rientra nei poteri consultivi e non già nei poteri autorizzativi dell’autorità di controllo. Inoltre, i termini impiegati indicano che tale parere non è, in virtù del diritto dell’Unione, giuridicamente vincolante. Così, il parere di cui trattasi non può dimostrare, di per sé, una mancanza di imputabilità del danno in capo al titolare del trattamento né, pertanto, essere sufficiente per esonerarlo da responsabilità ai sensi del RGPD. Di conseguenza, un siffatto parere non è sufficiente ad esonerare dalla responsabilità l’autorità responsabile della tenuta del registro del commercio di uno Stato membro avente la qualità di titolare del trattamento.

( 1 ) Direttiva (UE) 2017/1132 del Parlamento europeo e del Consiglio, del 14 giugno 2017, relativa ad alcuni aspetti di diritto societario (GU 2017, L 169, pag. 46)

( 2 ) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

( 3 ) In forza dell’articolo 82 del RGPD.

( 4 ) Articolo 21, paragrafo 2, della direttiva 2017/1132.

( 5 ) In forza dell’articolo 14 della direttiva 2017/1132.

( 6 ) Rispettivamente ai sensi dell’articolo 4, punto 7, e dell’articolo 4, punto 9, del RGPD.

( 7 ) In forza dell’articolo 17 del RGPD.

( 8 ) Motivo di liceità figurante all’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD.

( 9 ) Motivo di liceità figurante all’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD.

( 10 ) In forza dell’articolo 17, paragrafo 1, lettera c), in combinato disposto con l’articolo 21, paragrafo 1, del RGPD

( 11 ) Articolo 58, paragrafo 3, lettera b), del RGPD.

Top