1.

Il regolamento (UE) 2016/679 (in prosieguo: l’«RGDP») ( 2 ) non è un atto normativo di portata limitata. Il suo ambito di applicazione definito in maniera ampia, il fatto che qualsiasi eccezione a quest’ultimo sia stata svuotata della sua sostanza dalla giurisprudenza ( 3 ), nonché l’approccio alla sua interpretazione basato sulle definizioni, astratto e di conseguenza piuttosto vasto ( 4 ), hanno contribuito a rendere l’ambito di applicazione dell’RGDP praticamente illimitato. Infatti, adottando un siffatto approccio, è piuttosto difficile al giorno d’oggi trovare una situazione in cui qualcuno non stia trattando dati personali da qualche parte in qualche momento.

2.

Tale approccio, basato sull’elevazione della protezione dei dati personali ai sensi dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea a (super)diritto fondamentale assoluto, comporta tuttavia evidenti effetti centripeti che la protezione dei dati personali ha iniziato ad avere su altri settori del diritto e sul contenzioso che ne deriva. Diverse cause sono state improvvisamente presentate come questioni di protezione dei dati personali e sottoposte a questa Corte (e non solo) come una questione di interpretazione dell’RGDP. Tuttavia, le questioni specifiche sollevate in tali controversie non sono, a volte, quelle che ci si aspetta siano disciplinate da una normativa come l’RGDP, nonostante la sua portata piuttosto ampia.

3.

In effetti, probabilmente in pochi avrebbero previsto che l’RGDP o il suo predecessore, la direttiva 95/46/CE ( 5 ), potessero essere considerati come normativa che disciplina l’accesso di esperti contabili tirocinanti alle prove d’esame, eventualmente insieme al diritto di rettifica di quei dati personali dopo che l’esame ha avuto luogo ( 6 ); oppure come impedimento all’identificazione di una parte coinvolta in un incidente stradale da parte della polizia di modo che la parte lesa non possa avviare un’azione civile per il risarcimento dei danni arrecati al suo veicolo ( 7 ); oppure ancora come limitazione alla comunicazione a un curatore fallimentare di informazioni sulle imposte pagate in precedenza da una società fallita, al fine di ristabilire l’uguaglianza tra i creditori di diritto privato e di diritto pubblico nel contesto di azioni revocatorie fondate sull’insolvenza ( 8 ), per citare solo alcuni degli esempi più interessanti.

4.

La presente fattispecie costituisce un altro esempio di tali effetti centripeti dell’RGDP. La SIA «SS» è un prestatore di servizi di pubblicazione di annunci on line. Nell’ambito di tale attività commerciale, ottiene i dati personali delle persone che inseriscono annunci sul suo sito web. L’amministrazione tributaria nazionale competente ha chiesto a tale impresa di trasmetterle un certo numero di dati relativi agli annunci di auto usate pubblicati su tale sito, al fine di garantire la corretta riscossione delle imposte sulla vendita di automobili. Detta amministrazione tributaria ha stabilito in dettaglio il formato dei dati che desidera ricevere. Essa ha altresì precisato che tale trasferimento di dati deve essere permanente e, a quanto sembra, senza alcun indennizzo economico.

5.

In questo contesto, il giudice del rinvio si interroga sulla portata ammissibile di tali richieste di trasferimento di dati. Come nei casi precedenti, l’RGDP sembra essere applicabile nel caso di specie. I dati personali sono o saranno trattati da qualche parte da qualcuno, certamente una volta effettuato il trasferimento. I diritti delle persone interessate nell’ambito del suddetto trattamento, al pari dei dati personali coinvolti, dovrebbero essere protetti. Ciò non significa, tuttavia, che l’RGDP disciplini specificamente il rapporto tra il successivo titolare del trattamento (un’autorità pubblica) e l’attuale titolare del trattamento (un’impresa privata). Infatti, l’RGDP segue e protegge i dati ovunque si trovino, regolando così gli obblighi di ogni successivo titolare del trattamento nei confronti dei dati e degli interessati. Per contro, l’RGDP non disciplina, salvo alcune eccezioni esplicite, i dettagli concreti del rapporto che intercorre tra due successivi titolari del trattamento di tali dati. In particolare, l’RGDP non prescrive le modalità esatte dell’accordo tra i titolari del trattamento, sia che abbia origine in un contratto o nel diritto pubblico, in forza del quale un soggetto può chiedere e ottenere dati da un altro.

6.

Il considerando 31 dell’RGDP così recita:

«Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale ai fini dell’esercizio della loro missione istituzionale, quali autorità fiscali e doganali, unità di indagine finanziaria, autorità amministrative indipendenti o autorità dei mercati finanziari, responsabili della regolamentazione e della vigilanza dei mercati dei valori mobiliari, non dovrebbero essere considerate destinatari qualora ricevano dati personali che sono necessari per svolgere una specifica indagine nell’interesse generale, conformemente al diritto dell’Unione o degli Stati membri. Le richieste di comunicazione inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all’interconnessione di archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento».

7.

Il considerando 45 dell’RGDP è formulato nei termini seguenti:

«È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri sia basato sul diritto dell’Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un’associazione professionale».

8.

L’articolo 2 stabilisce il campo di applicazione materiale dell’RGDP:

«1.   Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2.   Il presente regolamento non si applica ai trattamenti di dati personali:

(...)

(…)».

9.

L’articolo 4 contiene le definizioni ai fini dell’RGDP:

«1)   “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (…)

2)   “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7)   “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8)   “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9)   “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

(…)».

10.

L’articolo 5 dell’RGDP stabilisce i principi applicabili al trattamento dei dati personali:

«1.   I dati personali sono:

2.   Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

11.

A tenore dell’articolo 6 del medesimo regolamento:

«1.   Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(...)

(...)

(...)

2.   Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3.   La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito».

12.

Il capo III, rubricato «Diritti dell’interessato», enuncia agli articoli da 12 a 22 i diritti e i corrispondenti obblighi dei titolari del trattamento. L’articolo 23 dell’RGDP conclude detto capo. Esso è rubricato «Limitazioni» e prevede che:

«1.   Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:

(...)

(...)

2.   In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso:

13.

Ai sensi dell’articolo 15, paragrafo 6, della Likums «Par nodokļiem un nodevām» («legge sulle imposte e sulle tasse»), nella versione vigente all’epoca dei fatti di cui trattasi, i prestatori di servizi di pubblicazione di annunci su Internet sono tenuti a fornire, a richiesta dell’amministrazione tributaria dello Stato, le informazioni di cui dispongono relativamente ai soggetti passivi che hanno pubblicato annunci utilizzando detti servizi e sugli annunci pubblicati dai medesimi.

14.

Il 28 agosto 2018, il direttore della Nodokļu kontroles pārvalde (Ispettorato fiscale) del Valsts ieņēmumu dienests (amministrazione tributaria lettone) (in prosieguo: la «convenuta»), ha inviato alla SIA «SS» (in prosieguo: la «ricorrente») una richiesta di informazioni sulla base dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse.

15.

In tale richiesta, la convenuta invitava la ricorrente a rinnovare il proprio accesso alle informazioni relative ai numeri di telefono degli inserzionisti e ai numeri di telaio dei veicoli che figuravano negli annunci pubblicati sul sito web della ricorrente (www.ss.com). La convenuta ha inoltre chiesto alla ricorrente di fornire, entro il 3 settembre 2018, informazioni sugli annunci pubblicati nella sezione «Autoveicoli» del sito web nel periodo compreso tra il 14 luglio e il 31 agosto 2018. Alla ricorrente veniva chiesto di trasmettere le informazioni elettronicamente, in un formato che consentisse di filtrare e selezionare i dati. Le veniva altresì chiesto che il file contenesse le seguenti informazioni: link e testo dell’annuncio, marca del veicolo, modello, numero di telaio, prezzo, numeri di telefono del venditore.

16.

Nel caso in cui non fosse possibile rinnovare l’accesso, veniva chiesto alla ricorrente di indicare il motivo (o i motivi) di tale impossibilità nonché di fornire regolarmente le informazioni relative agli annunci pubblicati entro il terzo giorno di ogni mese.

17.

La ricorrente presentava un reclamo amministrativo dinanzi al direttore generale della convenuta contestando la richiesta di informazioni. Secondo la ricorrente, la portata della richiesta di informazioni, che costituiscono dati personali ai sensi dell’articolo 4, punto 1, dell’RGDP, non era giustificata dalla legge. Nella richiesta non sarebbero indicati né uno specifico gruppo di interessati, né la finalità o l’ambito di applicazione del trattamento previsto, né la durata dell’obbligo di fornire le informazioni, sicché la convenuta, nella sua qualità di titolare del trattamento, non avrebbe agito conformemente al principio di proporzionalità né al principio di minimizzazione del trattamento di dati personali derivante dall’RGDP a cui essa è soggetta.

18.

Con decisione del 30 ottobre 2018 (in prosieguo: la «decisione impugnata»), la convenuta respingeva il reclamo e confermava la richiesta di informazioni.

19.

Nella motivazione della decisione la convenuta affermava, in sostanza, che l’amministrazione tributaria, allorché effettua il trattamento dei dati in questione, esercita le funzioni e i poteri conferitile dalla legge. Detta amministrazione è responsabile della riscossione e del controllo di imposte, tasse e altri tributi. Essa è tenuta per legge a vigilare sulle attività economiche e finanziarie delle persone fisiche e giuridiche al fine di garantire che siano versati i tributi ai bilanci dello Stato e dell’Unione. Ai fini dell’adempimento delle menzionate funzioni, la legge conferisce alla convenuta il potere di raccogliere le informazioni e i documenti necessari per effettuare la contabilizzazione e la registrazione dei fatti imponibili o procedere al controllo delle imposte e tasse. In particolare, ai sensi dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, i prestatori di servizi di pubblicazione di annunci su Internet sono tenuti a fornire, a richiesta dell’amministrazione tributaria, le informazioni di cui dispongono relative ai soggetti passivi che hanno pubblicato annunci utilizzando detti servizi, nonché agli annunci stessi. Le informazioni riservate di cui dispone la convenuta sono protette dalla legge, in particolare attraverso il divieto di divulgarle imposto ai dipendenti dell’amministrazione tributaria. Ne consegue che la richiesta di informazioni è legittima.

20.

La ricorrente ha proposto un ricorso diretto all’annullamento della decisione impugnata dinanzi all’Administratīvā rajona tiesa (Tribunale amministrativo distrettuale, Lettonia), sostenendo che la motivazione di tale decisione non indicava né la finalità concreta del trattamento dei dati, né i criteri definiti per la selezione delle informazioni fornite in relazione a un gruppo specifico di persone identificabili.

21.

Con sentenza del 21 maggio 2019, l’Administratīvā rajona tiesa (Tribunale amministrativo distrettuale) ha respinto detto ricorso. In sostanza, ha accolto la tesi della convenuta secondo cui non possono imporsi restrizioni alla quantità di informazioni alle quali l’amministrazione tributaria può accedere in relazione a qualsiasi persona, salvo qualora si ritenga che le informazioni in questione non siano conformi agli obiettivi della gestione in materia tributaria. Secondo tale sentenza, le informazioni richieste sarebbero necessarie per individuare attività economiche non dichiarate. Le disposizioni dell’RGDP si applicherebbero unicamente alla ricorrente nella sua qualità di fornitore di servizi, non all’amministrazione tributaria.

22.

La ricorrente ha impugnato tale sentenza dinanzi all’Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia), sostenendo l’applicabilità dell’RGDP al caso di specie. Per quel che riguarda i dati personali raccolti mediante la richiesta di informazioni, la convenuta dovrebbe essere considerata titolare del trattamento ai sensi di detto regolamento e, pertanto, sarebbe tenuta a soddisfare i requisiti ivi previsti. Tuttavia, con l’emissione della richiesta di informazioni la convenuta avrebbe violato il principio di proporzionalità, in quanto essa esigerebbe che le venga fornita ogni mese una notevole quantità di dati relativi a un numero non delimitato di annunci, senza indicare contribuenti specifici nei confronti dei quali sia stato avviato un accertamento fiscale. La ricorrente afferma che nella richiesta di informazioni non è indicata la durata dell’obbligo impostole di fornire alla convenuta le informazioni menzionate in detta richiesta. Essa, pertanto, ritiene che la convenuta abbia violato i principi del trattamento di dati personali enunciati all’articolo 5 dell’RGDP (liceità, correttezza e trasparenza). Deduce che né nella richiesta di informazioni, né nella motivazione della decisione sono specificati l’ambito concreto (finalità) in cui si colloca il trattamento delle informazioni previsto dalla convenuta e la quantità di informazioni necessaria (minimizzazione dei dati). A suo avviso, nella richiesta di informazioni, l’autorità amministrativa dovrebbe includere criteri chiaramente definiti per la selezione delle informazioni richieste da detta autorità in relazione a un gruppo determinato di persone identificabili.

23.

Secondo il giudice del rinvio, non si può concludere in modo inequivocabile che detta richiesta di informazioni possa essere considerata «debitamente motivata» e «occasionale» e che non si riferisca a tutte le informazioni contenute nella sezione «Autoveicoli» del sito Internet della ricorrente, in quanto l’amministrazione tributaria desidera, in sostanza, effettuare un controllo continuo ed esaustivo. Il giudice del rinvio nutre dubbi in merito alla possibilità di ritenere che il trattamento di dati personali previsto dalla convenuta sia conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento, ai sensi del considerando 31 dell’RGDP. Pertanto, occorre determinare i criteri sulla base dei quali deve valutarsi se la richiesta di informazioni formulata dalla convenuta rispetti i diritti e le libertà fondamentali e se detta richiesta possa essere considerata necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi di interesse pubblico dell’Unione e della Lettonia nei settori fiscale e di bilancio.

24.

Secondo il giudice del rinvio, la richiesta di informazioni di cui trattasi non fa riferimento ad alcuna «specifica indagine» condotta dalla convenuta ai sensi delle disposizioni dell’RGDP. Con tale richiesta non vengono chieste informazioni su persone specifiche, bensì su tutti gli interessati che hanno pubblicato annunci nella sezione «Autoveicoli» del sito web. L’amministrazione tributaria chiede altresì di fornire dette informazioni entro il terzo giorno di ogni mese (vale a dire che la ricorrente deve fornire alla convenuta tutte le informazioni relative agli annunci pubblicati il mese precedente). Alla luce di quanto precede, il giudice del rinvio si chiede se tale modus operandi di un’amministrazione nazionale sia compatibile con i requisiti previsti dall’RGDP.

25.

In tale contesto di fatto e di diritto, l’Administratīvā apgabaltiesa (Corte amministrativa regionale) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

26.

Hanno presentato osservazioni scritte i governi belga, greco, spagnolo e lettone, nonché la Commissione europea. La ricorrente, i governi belga, spagnolo e lettone, insieme alla Commissione, hanno risposto alle questioni scritte poste dalla Corte ai sensi dell’articolo 61, paragrafo 1, del regolamento di procedura della Corte di giustizia.

27.

Le presenti conclusioni sono articolate come segue. Inizierò affrontando la questione se l’RGDP sia applicabile a una richiesta formulata da un’autorità pubblica e rivolta a un titolare del trattamento per il trasferimento di una certa quantità di dati personali. Tenuto conto delle questioni sollevate dal giudice del rinvio, è necessaria una duplice precisazione iniziale: quale sia esattamente il ruolo di ciascun soggetto nel procedimento principale e quali regole specifiche siano previste dall’RGDP in questi casi (A). In seguito, mi soffermerò sul quadro giuridico (piuttosto semplice) che deriva dall’RGDP rispetto a richieste di trasferimento di dati formulate a imprese private da autorità pubbliche (B). Concluderò poi con alcune osservazioni su ciò che costituisce, almeno a mio avviso, la vera questione spinosa di questo caso, sebbene non sia stata sollevata espressamente dal giudice del rinvio (C).

28.

Il giudice del rinvio ha proposto nove questioni, ciascuna delle quali verte, in un modo o nell’altro, sulla legittimità di una o più specifiche richieste di trasferimento di determinati dati personali da una o più imprese private formulate da un’amministrazione tributaria a fini di riscossione delle imposte e di accertamento dell’evasione fiscale. I dati personali in questione sono stati ottenuti dall’impresa privata nell’ambito della sua regolare attività commerciale presso gli interessati.

29.

Tuttavia, non risulta in modo manifesto dalle nove questioni proposte a chi precisamente incomba quale obbligo e sulla base di quale disposizione dell’RGDP. Questa ambiguità è alquanto indicativa di un notevole grado di incertezza per quanto riguarda l’inquadramento della presente controversia sotto almeno due profili.

30.

In primo luogo, all’interno delle categorie stabilite dall’RGDP, qual è il ruolo di ciascun soggetto nella presente controversia? La controversia riguarda il trasferimento, dall’impresa privata all’autorità pubblica, di taluni dati provenienti da un insieme di dati più ampio raccolti e controllati dall’impresa privata. È questa l’operazione specifica di trattamento ai sensi dell’articolo 4, punto 2, dell’RGDP che costituisce il fondamento delle questioni sottoposte a questa Corte.

31.

Tuttavia, risulta altresì che, per quanto riguarda detto trasferimento di dati, il giudice del rinvio ritiene che l’amministrazione tributaria (la convenuta) sia già responsabile di detto trattamento ( 9 ). Tale presupposto, che è alla base dell’intera decisione di rinvio, è enunciato espressamente alle questioni 6 e 9. Ciò richiede un chiarimento preliminare: chi esattamente è tenuto a rispettare l’RGDP nella presente causa? Chi è il titolare di questo specifico trattamento? (2)

32.

In secondo luogo, a causa di questa incertezza vi è un’altra questione importante: quali sono le disposizioni specifiche dell’RGDP che si applicano a domande di trasferimento di dati, e quali di queste disposizioni si riferiscono, in particolare, al tipo di dati e alla quantità di dati che possono essere richiesti da un’autorità pubblica a un’impresa privata? A questo proposito è piuttosto significativo il fatto che solo tre delle questioni proposte dal giudice del rinvio menzionino l’articolo 5, paragrafo 1, dell’RGDP, una disposizione trasversale che stabilisce i principi relativi al trattamento dei dati personali da parte di qualsiasi titolare del trattamento. Per contro, le altre questioni si riferiscono semplicemente ai «requisiti previsti dall’RGDP» senza precisare quali disposizioni specifiche debbano contenere detti requisiti.

33.

Pertanto, è necessario un altro chiarimento preliminare in relazione alla disposizione o alle disposizioni applicabili dell’RGDP, in particolare per quanto riguarda il rapporto tra l’impresa ricorrente e l’amministrazione tributaria convenuta. In che modo l’RGDP disciplina specificamente siffatte richieste di trasferimento di dati nonché i diritti e gli obblighi reciproci tra un’impresa privata e un’autorità pubblica? (3)

34.

Ciò detto, prima di affrontare queste due problematiche, ricorderò le ragioni per le quali, a mio avviso, l’applicazione e il rispetto dell’RGDP non possono essere considerati in modo astratto, interpretando definizioni che non si riferiscono a un’operazione specifica di trattamento che dovrebbe essere considerata come punto di partenza. Solo una volta fornita tale spiegazione, è possibile analizzare correttamente gli attori e i loro rispettivi obblighi (1).

35.

Nel caso di specie, tutte le parti interessate, compreso il governo lettone, concordano sul fatto che, se il punto di partenza dell’analisi si basa sulle definizioni legislative di «dato personale» e «trattamento» di cui all’articolo 4 dell’RGDP, allora detto strumento è certamente applicabile alla fattispecie di cui al procedimento principale.

36.

In primo luogo, i dati oggetto della richiesta di informazioni sono dati personali ai sensi dell’articolo 4, punto 1, dell’RGDP. Le informazioni richieste, quali il numero di telefono degli interessati o il numero di telaio delle autovetture, costituiscono un’«informazione riguardante una persona fisica identificata o identificabile». Infatti, tali informazioni consentono di identificare i venditori di autovetture e, pertanto, i potenziali soggetti passivi.

37.

In secondo luogo, è giurisprudenza consolidata che la comunicazione di dati ( 10 ) o la comunicazione di dati personali mediante trasmissione, come la conservazione o la messa a disposizione in altro modo di dati, costituiscono trattamento ( 11 ). Dopo tutto, «la comunicazione mediante trasmissione» è inclusa nell’elenco descrittivo delle operazioni di trattamento ai sensi dell’articolo 4, punto 2, dell’RGDP.

38.

In terzo luogo, tale trattamento dei dati personali è chiaramente effettuato con strumenti automatizzati ai sensi dell’articolo 2, paragrafo 1, dell’RGDP.

39.

Inoltre, nessuna delle eccezioni, che in ogni caso devono essere interpretate restrittivamente ( 12 ), è applicabile nel caso di specie. Alla luce della sentenza Österreischischer Rundfunk e a. ( 13 ), e segnatamente in seguito alla recente sentenza «Punti di penalità» ( 14 ), non si può sostenere che il trattamento dei dati personali in questione sia stato effettuato «per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione» ai sensi dell’articolo 2, paragrafo 2, lettera a), dell’RGDP.

40.

Del pari, non sembra applicabile neppure l’eccezione di cui all’articolo 2, paragrafo 2, lettera d), dell’RGDP. Le «autorità competenti» ai sensi di tale disposizione sembrano essere organi quali le forze di polizia o le autorità inquirenti dello Stato ( 15 ). Fra queste non rientrano le amministrazioni tributarie che agiscono a fini di riscossione delle imposte, né, tanto meno, i prestatori di servizi di pubblicazione di annunci su Internet. Inoltre, anche se il trattamento dei dati da parte delle amministrazioni tributarie competenti potrebbe in alcuni casi portare all’individuazione di un reato sotto forma di frode fiscale, si tratta di una possibilità meramente ipotetica in questa fase ( 16 ).

41.

Pertanto, se esaminato in questo modo, si deve concludere che l’RGDP trova applicazione: si tratta di dati personali oggetto di trattamento automatizzato. Tuttavia, come già menzionato nell’introduzione delle presenti conclusioni, un siffatto approccio, fondato sulle nozioni pertinenti di cui all’articolo 4 dell’RGDP, quali «trattamento» ( 17 ), «dato personale» ( 18 ) o «titolare del trattamento» ( 19 ), interpretate in modo estensivo e al di fuori di trattamenti specifici, implica che qualsiasi comunicazione di qualsiasi informazione sia disciplinata dall’RGDP.

42.

Al fine di interpretare correttamente gli obblighi di tutti gli attori coinvolti, il punto di partenza di un’analisi ai sensi dell’RGDP dovrebbe essere la chiara identificazione di una specifica operazione di trattamento. Solo allora si può procedere correttamente alla valutazione degli obblighi derivanti dall’RGDP per quella specifica operazione per i soggetti effettivamente coinvolti in quel trattamento ( 20 ). È la specifica operazione di trattamento che viene regolamentata, il lavoro sui dati e con i dati. La logica normativa e i principali elementi dell’RGDP sono incentrati sui risultati e orientati ai processi, e sono quindi necessariamente dinamici.

43.

Qual è l’operazione specifica di trattamento nella presente causa? L’esecuzione di richieste di informazioni come quelle di cui al procedimento principale richiede senza dubbio un trattamento di dati personali a cui l’RGDP sarà in linea di principio applicabile. Nella fattispecie di cui trattasi, vi sono due diverse entità che effettuano il trattamento dei dati in una certa fase. Nei suoi quesiti, il giudice del rinvio si concentra sul trattamento da parte della convenuta, vale a dire l’Amministrazione tributaria nazionale. Tuttavia, dalle circostanze del caso di specie sembrerebbe che debba essere previamente effettuato il trattamento da parte della ricorrente, ossia l’impresa privata.

44.

Nella sentenza Fashion ID ( 21 ), la Corte ha esaminato le operazioni specifiche in questione nell’ambito del trattamento dei dati al fine di identificare il titolare o i titolari del trattamento pertinenti. La Corte ha statuito che la nozione di «responsabile del trattamento» non rinvia necessariamente a un organismo unico e può riguardare più soggetti che partecipano a tale trattamento, ognuno dei quali è quindi assoggettato alle disposizioni applicabili in materia di protezione dei dati ( 22 ). Tuttavia, una persona fisica o giuridica non può essere considerata responsabile delle operazioni anteriori o successive della catena di trattamento di cui essa non determina né le finalità né gli strumenti ( 23 ).

45.

Nel caso di specie, la convenuta potrebbe essere considerata titolare del trattamento una volta che ha ricevuto i dati richiesti dalla ricorrente e inizia a trattarli ai sensi dell’articolo 4, punto 2, dell’RGDP ( 24 ). In tale fase, la convenuta non solo inizierà a trattare i dati, ma potrebbe anche definire i mezzi e le finalità del proprio trattamento ai fini dell’articolo 4, punto 7, dell’RGDP. Nell’effettuare essa stessa qualsiasi futura operazione di trattamento dei dati, la convenuta dovrà quindi – sempre che lo Stato membro non abbia adottato a tale riguardo limitazioni ai sensi dell’articolo 23 dell’RGDP – essere conforme ai principi relativi alla qualità dei dati di cui all’articolo 5 dell’RGDP, e fondare il suo o i suoi trattamenti su una delle ipotesi di cui all’articolo 6, paragrafo 1, dell’RGDP ( 25 ).

46.

Tuttavia, dalla decisione di rinvio risulta che il presente procedimento non è ancora giunto a tale fase. L’Amministrazione tributaria non è in possesso dei dati richiesti. Pertanto, essa non avrebbe potuto avviare alcuna operazione di trattamento di tali dati. Inoltre, la Corte non ha ricevuto alcuna informazione su cosa la convenuta intenda fare con i dati o sul tipo di trattamento che verrebbe effettuato da parte sua.

47.

Tutto quello che è successo fino ad oggi è che l’Amministrazione tributaria ha chiesto a un’impresa privata di fornirle una determinata serie di dati. Questo, di per sé, non costituisce trattamento di dati personali, certamente non di dati che devono ancora essere ottenuti. All’interno di tale situazione di fatto la ricorrente, l’impresa privata, rimane titolare del trattamento dei dati in quanto ha ottenuto i dati, in primo luogo, in virtù della propria attività, quindi per strumenti e finalità autonomi. Nel trattare i dati in suo possesso al fine di comunicarli alla convenuta secondo le condizioni ricevute, la ricorrente rimane titolare del trattamento anche per tale operazione. È la ricorrente che esegue tale operazione di trattamento ulteriore ( 26 ).

48.

In siffatto contesto, e conformemente all’articolo 6, paragrafo 1, lettera c), dell’RGDP, la ricorrente garantisce in tal modo di adempiere un obbligo legale al quale è soggetta in quanto titolare del trattamento, segnatamente ai sensi dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse. Nella sua qualità di titolare del trattamento, la ricorrente è anche tenuta a rispettare l’RGDP nel trattamento dei dati personali, così come per la comunicazione di tali dati alla convenuta. Tuttavia, il giudice del rinvio non si interroga sulla portata del trattamento dei dati richiesto alla ricorrente per dare esecuzione alla richiesta di cui trattasi. In realtà, detto giudice non ha posto alcuna questione su eventuali obblighi della ricorrente basati sull’RGDP nell’esecuzione di tale trattamento.

49.

Individuando la convenuta come presunto titolare di obblighi ai sensi dell’RGDP, il giudice del rinvio sembra preoccupato della base (giuridica) del trattamento ai sensi dell’articolo 6, paragrafo 3, dell’RGDP, vale a dire l’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, come ulteriormente attuato dalle richieste di informazioni presentate dalla convenuta.

50.

In sintesi, il problema chiave sotteso all’insieme delle nove delle questioni sollevate dal giudice del rinvio sembra essere quello della portata e delle condizioni dei trasferimenti di dati personali tra due titolari successivi ( 27 ). Quali sono, eventualmente, le disposizioni dell’RGDP che disciplinano i rapporti tra titolari successivi? L’RGDP prevede limiti (materiali o temporali) alla portata e al tipo di trasferimenti di dati personali tra due titolari del trattamento, nel caso di specie un’impresa privata e un’autorità pubblica? Tutte le suddette questioni sono propriamente pertinenti alla base giuridica per l’ottenimento di dati personali e non riguardano concretamente l’operazione di trattamento.

51.

L’RGDP riguarda principalmente la protezione dei dati personali degli interessati e il rapporto tra questi ultimi e qualsiasi soggetto che tratti i loro dati. A tal fine, l’RGDP stabilisce i diritti degli interessati e gli obblighi dei rispettivi titolari nell’ambito del trattamento dei dati personali.

52.

Tale logica normativa si concentra sui dati e sui soggetti che vi accedono e lavorano con essi. Vi sono pochissime disposizioni nell’RGDP che disciplinano direttamente ed espressamente il rapporto tra i soggetti che trattano i dati ( 28 ). È vero che l’RGDP raggiunge questi rapporti in modo indiretto. Esso obbliga qualsiasi ulteriore entità che ottenga i dati a proteggere gli stessi e i diritti degli interessati. In tal modo, l’RGDP stabilisce effettivamente alcune condizioni per la comunicazione e i trasferimenti dei dati. Tuttavia, ciò non significa certamente che l’RGDP disciplini direttamente i rapporti tra questi soggetti.

53.

In un certo senso, se si considerano i dati come dei beni, allora la logica normativa dell’RGDP è analoga a un regime di diritto pubblico specifico per alcuni tipi di beni (preziosi, artistici, storici). Un simile regime impone talune limitazioni a detti beni: come possano essere fabbricati, come debbano essere utilizzati, a quali condizioni possano essere modificati, conservati, rivenduti o distrutti. Un siffatto regime specifico protegge i beni e quindi vincola indirettamente ogni successivo proprietario o possessore degli stessi. Tuttavia, di per sé, questo regime specifico rimane legato ai beni. Esso non disciplina né gli accordi privati in base ai quali tali beni potrebbero essere venduti tra due parti private, né le condizioni in base alle quali gli stessi beni possano o debbano essere trasferiti da un soggetto privato a uno pubblico. La regolamentazione dei beni è cosa diversa dalla regolamentazione del titolo giuridico sottostante e dal commercio degli stessi.

54.

È solo chiarendo tale logica normativa dell’RGDP, nonché focalizzandosi sulla specifica operazione di trattamento come punto di partenza per i potenziali obblighi derivanti da tale strumento che l’RGDP può essere ragionevolmente interpretato. Altrimenti, l’RGDP sarà sempre applicabile, mentre, per quanto lo si interpreti in modo creativo, semplicemente non vi sarà alcuna disposizione che disciplini la questione specifica posta. Il risultato inevitabile di questi casi sarà che l’RGDP non è contrario a talune normative o prassi nazionali. Orbene, tale «assenza di contrarietà» non sarà necessariamente dovuta al fatto che i regimi nazionali sono generalmente legittimi, ma piuttosto che una siffatta questione semplicemente non è disciplinata dall’RGDP, pur riguardando, in un modo o nell’altro, i dati personali.

55.

La giurisprudenza della Corte ha familiarità con questi «falsi positivi» per quanto riguarda i diversi obblighi di comunicazione dei dati previsti dal diritto nazionale per motivi diversi. Di nuovo, la maggior parte di queste cause non riguarda un’operazione di trattamento in corso in quanto tale, quanto piuttosto la questione a monte della base giuridica di una siffatta operazione successiva. Le cause spaziano dall’avvio di un procedimento civile per far rispettare i diritti d’autore ( 29 ), alla corretta gestione dei fondi pubblici ( 30 ) o alla salvaguardia della sicurezza nazionale ( 31 ). Esempi rientranti sotto questa voce potrebbero anche includere cause come Rīgas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) o J & S Service ( 35 ).

56.

In tutte le suddette situazioni, l’RGDP era certamente applicabile per quanto riguarda i diritti degli interessati nei confronti del o dei titolari del trattamento nell’ambito di specifiche operazioni di trattamento appena avvenute o in procinto di avvenire. Tuttavia, e ancora una volta, la logica normativa e la corretta portata dell’RGDP devono seguire il flusso dei dati e garantire che i dati personali siano protetti nell’ambito delle operazioni di trattamento. Esso non è inteso a disciplinare qualsiasi rapporto a monte tra i vari soggetti che potrebbero essere in possesso di dati, compresi i motivi e le modalità con cui potrebbero entrare in possesso di detti dati. In altre parole, l’RGDP non garantisce alcun «diritto» di un titolare del trattamento nei confronti di un altro titolare.

57.

Questo non significa che tali questioni non siano disciplinate dalla legge. Lo sono, ma da altri strumenti afferenti principalmente all’applicazione della legge. È principalmente in detti strumenti che si riviene la base giuridica del trattamento, richiesta dall’articolo 6, paragrafo 3, dell’RGDP. Nell’ipotesi di trasferimenti obbligatori di dati personali, detti trasferimenti tendono ad essere infatti, piuttosto logicamente, previsti da «strumenti di applicazione della legge», ai sensi sia del diritto dell’Unione ( 36 ) sia del diritto nazionale. Nell’ipotesi di trasferimenti volontari di dati personali, nella misura in cui è possibile e consentito dal sistema di diritto pubblico quale è l’RGDP, la base di tali trasferimenti sarà il diritto commerciale nazionale o il diritto contrattuale, in considerazione del tipo di accordi in atto tra i rispettivi titolari successivi.

58.

Tenuto conto di queste precisazioni, ritengo che la presente causa non verta (ancora) su alcuna operazione di trattamento. Essa verte sulla base giuridica di questo trattamento, una questione cui l’RGDP fa solo riferimento, ma che non disciplina direttamente. Tuttavia, detto questo, e nell’intento di assistere pienamente il giudice del rinvio, quanto riportato nella sezione seguente delle presenti conclusioni è lo schema del quadro di base che deriva dall’RGDP e che sarà applicabile all’operazione di trattamento, una volta effettuata dal titolare, l’impresa privata (B). L’obiettivo dell’RGDP è proteggere l’interessato, non un’impresa privata da un’ingerenza pubblica nella sua libertà d’impresa o il suo diritto di proprietà sotto forma di sfruttamento dei dati. Questo non significa che un siffatto tema non possa dar luogo a una legittima preoccupazione, ma piuttosto che esso può difficilmente essere disciplinato tramite l’RGDP (C).

59.

Quanto segue è una discussione piuttosto generale sulla base giuridica del trattamento dei dati che la ricorrente dovrebbe effettuare quando esegue la richiesta di informazioni della convenuta. A tale riguardo, la disposizione pertinente è probabilmente l’articolo 6 dell’RGDP, e in particolare i suoi paragrafi 1 e 3, letti alla luce del considerando 45.

60.

In via preliminare, vale la pena ricordare che non è stata fornita a questa Corte alcuna informazione specifica supplementare in merito ad eventuali norme nazionali supplementari applicabili in materia di protezione dei dati in circostanze come quelle di cui al procedimento principale. Inoltre, la Corte non ha neppure ricevuto informazioni sulla questione se esistano, al di là dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, altri atti nazionali di portata generale (ad esempio, un decreto o orientamenti applicativi) che disciplinerebbero l’obbligo in questione per i fornitori di servizi (di annunci pubblicati su Internet) di comunicare determinati dati all’amministrazione tributaria. Vi sono anche pochissime informazioni sul quadro legislativo nazionale che attua l’RGDP in generale.

61.

Per giunta, non è stato chiarito se l’articolo 23, paragrafo 1, lettera e), dell’RGDP sia stato attuato nel diritto nazionale in qualunque modo. Il fatto che tale disposizione di diritto dell’Unione sia stata o meno attuata non determina la legittimità della richiesta di trasferimento di informazioni. Essa sarebbe tuttavia rilevante per determinare la portata e la natura degli obblighi che un successivo titolare del trattamento (un’autorità pubblica) potrebbe avere nei confronti degli interessati, così come per determinare gli obblighi del titolare originario e le informazioni che quest’ultimo deve fornire agli interessati.

62.

Pertanto, la disamina che segue non può che essere generica. Esaminerò i principi che scaturiscono dall’articolo 6 dell’RGDP per il futuro trattamento che un’impresa privata dovrà effettuare per soddisfare una richiesta di dati da parte di un’autorità pubblica, innanzitutto per quanto riguarda la finalità di detti trasferimenti di dati (1) e la portata e durata degli stessi (2). Mi soffermerò poi sulla base giuridica di tale trasferimento, poiché i requisiti relativi a detta base diventano più chiari una volta affrontate le summenzionate sottoquestioni (3).

63.

In generale, la finalità complessiva per la quale l’Amministrazione tributaria chiede la comunicazione dei dati personali nel procedimento principale è senza dubbio legittima. Garantire la corretta riscossione delle imposte e individuare potenziali violazioni dell’obbligo fiscale può certamente rientrare tra gli obiettivi e le finalità legittime di trattamento di dati ai sensi sia dell’articolo 6, paragrafo 1, sia dell’articolo 3 del RGDP ( 37 ).

64.

La chiave delle questioni sollevate dalla presente causa è il livello di astrazione al quale occorre fissare tale obiettivo. A tal riguardo, sembra esservi una certa confusione tra due tipi di finalità specifiche: (i) la ricerca di determinati tipi di informazioni (al fine di individuare le violazioni della legge), rispetto alla (ii) verifica del fatto che determinate violazioni abbiano avuto luogo (con la richiesta di comunicare dati specifici, al fine di confermare tale ipotesi).

65.

La natura (e di conseguenza la portata) dei due tipi di comunicazione di dati è necessariamente diversa. La logica della ricerca e dell’individuazione è ex ante, ampia, e ampiamente indeterminata quanto agli esatti interessati. Se l’obiettivo è quello di individuare eventuali violazioni, allora occorre metaforicamente gettare una rete piuttosto estesa. Al contrario, la logica della verifica delle potenziali violazioni mediante la comunicazione dei dati pertinenti può essere molto più sfumata e mirata. In tal caso, la logica è molto più a posteriori, incentrata sulla verifica di taluni sospetti che sono usualmente riconducibili a un soggetto interessato già individuato.

66.

A mio avviso, l’articolo 6 dell’RGDP consente entrambi gli scenari. Ciò detto, l’articolo 6, paragrafo 3, dell’RGDP richiede una chiara base giuridica per entrambi i tipi di trasferimento di dati.

67.

Tuttavia, comprendo le esitazioni del giudice del rinvio nel contesto della fattispecie di cui trattasi, con riferimento alla formulazione dell’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse. Nella formulazione che risulta fosse in vigore al momento in cui il giudice del rinvio ha presentato la sua domanda di pronuncia pregiudiziale, i prestatori di servizi di pubblicazione di annunci su Internet potevano essere obbligati, su richiesta dell’Amministrazione tributaria statale, a fornire informazioni sui (rispettivi) soggetti passivi.

68.

Sembrerebbe quindi che, nel caso di specie, la finalità della comunicazione, indicata nella base giuridica pertinente, sia simile al secondo scenario sopra considerato: la verifica di talune informazioni relative a determinati soggetti passivi. Tuttavia, l’Amministrazione tributaria nazionale sembra aver utilizzato detta base giuridica per ciò che appare essere una richiesta di trasferimento (illimitato) di dati, o addirittura una vera e propria raccolta di dati, al fine di eseguire un’attività generalizzata di ricerca e individuazione, che rientra nel primo scenario delineato sopra. È qui che è ravvisabile la dissonanza logica che sembra essere alla base della presente causa a livello nazionale, che si traduce in un senso di confusione sia sulla proporzionalità di una tale misura (2) sia sulla sua corretta base giuridica (3).

69.

La proporzionalità, così come la «minimizzazione», è un esame del rapporto tra gli obiettivi (dichiarati) e i mezzi (scelti). Il problema nel caso di specie è che, a seconda di quale obiettivo venga scelto tra i due scenari (ipotetici ( 38 )) appena delineati, la valutazione della proporzionalità rischia di essere diversa.

70.

Nel quadro di un obiettivo di «ricerca e individuazione», le autorità pubbliche getteranno una rete più vasta possibile per garantire che si possano rinvenire le informazioni pertinenti. Ciò può comportare il trattamento di una grande quantità di dati. Infatti, la necessità di ottenere ed elaborare un’ampia mole di dati è inerente a questo tipo di ricerca di informazioni generale e indeterminata. In tale scenario, la proporzionalità e la minimizzazione del trattamento di dati possono riguardare realmente solo il tipo di dati richiesti in cui le informazioni necessarie sono potenzialmente reperibili ( 39 ).

71.

Nel quadro di un obiettivo di «verifica», in cui le autorità pubbliche hanno bisogno di ottenere prove relative al contenuto di una specifica operazione o serie di operazioni, la valutazione della proporzionalità può naturalmente essere più rigorosa. L’amministrazione tributaria può quindi presentare richieste solo relativamente a operazioni specifiche, in un determinato lasso di tempo, al fine di effettuare verifiche a posteriori, che avranno usualmente ad oggetto uno o più soggetti passivi determinati. Le richieste di informazioni possono quindi essere adattate ai dati specifici che contengono tale tipo di informazione.

72.

La logica sottesa al considerando 31 dell’RGDP, nella misura in cui riesco a coglierne una, sembra riguardare solo quest’ultimo scenario. La seconda frase di tale considerando, che è stata invocata e abbondantemente discussa dalle parti interessate, in particolare dalla Commissione, stabilisce che le richieste di comunicazione di dati inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all’interconnessione di archivi.

73.

Tuttavia, a mio avviso, non si può prendere (una parte di) un considerando di un regolamento fuori dal suo contesto, considerarlo una disposizione autonoma e vincolante, senza che sia nemmeno ripresa da qualche altra parte nel testo giuridicamente vincolante di detto strumento ( 40 ), e su questa base far valere che qualsiasi trasferimento di dati personali alle autorità pubbliche può avvenire solo a quelle condizioni. Non riesco semplicemente ad accettare l’idea che una parte del considerando 31, presa isolatamente, vieti tutti i trasferimenti di dati su larga scala alle autorità pubbliche, anche quelli dotati di una base giuridica adeguata (nel diritto nazionale e/o dell’Unione) e conformi a tutte le disposizioni vincolanti dell’RGDP.

74.

Nell’ambito della presente causa, il governo lettone ha sostenuto che il volume delle informazioni richieste può essere considerato ragionevole, in quanto la richiesta di comunicazione comprende solo gli annunci pubblicati nella sezione «Autoveicoli», che è una delle 112 sezioni del sito web interessato gestito dalla ricorrente. I governi belga e spagnolo hanno aggiunto che, a loro parere, la questione non verte sulla quantità, ma piuttosto sul tipo di dati richiesti.

75.

Concordo con queste osservazioni.

76.

La proporzionalità della ricerca e dell’individuazione ex ante implica un «controllo di qualità» rispetto al tipo di dati richiesti. Solo per verificare a posteriori alcuni fatti è possibile eseguire pienamente il «controllo di quantità». Se così non fosse, la maggior parte dei mezzi di controllo o di sorveglianza dei dati sarebbe, in pratica, esclusa.

77.

A condizione che esista una base giuridica adeguata nel diritto dell’Unione o nazionale, un’amministrazione tributaria nazionale può, in linea di principio, richiedere tutti i dati necessari per il tipo di esame che deve effettuare, senza alcuna limitazione temporale. L’unico limite che deriva dall’RGDP è la proporzionalità rispetto al tipo di dati richiesti. Come sottolinea giustamente il governo greco, le richieste di informazioni dovrebbero essere limitate al tipo di dati riguardanti l’attività economica dei contribuenti, e non la loro vita privata.

78.

Per fare un esempio, se lo scopo dichiarato è individuare i redditi non dichiarati provenienti dalla vendita di auto usate, l’amministrazione tributaria non ha il diritto di chiedere se la persona che vende l’autovettura abbia i capelli rossi, se segua una dieta particolare o se possegga una piscina. Pertanto, il tipo di informazioni richieste deve chiaramente riferirsi alla ricerca e all’indagine in atto.

79.

A parte ciò, la valutazione della proporzionalità nei due scenari descritti supra spetta al giudice del rinvio alla luce delle circostanze di fatto e di diritto del caso di specie. ( 41 ). In parole semplici, la domanda da porsi è se il tipo di dati richiesti sia idoneo a far sì che la convenuta ottenga le informazioni necessarie alla realizzazione del suo scopo dichiarato.

80.

Infine, solo ora la questione centrale della base giuridica può essere utilmente valutata alla luce delle precisazioni appena fatte. Ovviamente, i due scenari esposti nelle precedenti sottosezioni delle presenti conclusioni («ricerca e individuazione» e «verifica») richiedono una base giuridica ai sensi dell’articolo 6, paragrafo 3, dell’RGDP affinché abbia luogo il trattamento dei dati da parte della ricorrente. Tale disposizione consente espressamente un adattamento specifico dell’applicazione delle norme generali dell’RGDP, tanto da parte del diritto dell’Unione che da parte del diritto degli Stati membri.

81.

In ogni caso, tuttavia, la base giuridica prevista deve logicamente coprire la finalità specifica e il tipo di trattamento effettuato per tale scopo. Come esattamente si procederà è una questione di specifiche disposizioni di adeguamento adottate dallo Stato membro o dall’Unione ai sensi dell’articolo 6, paragrafo 3, dell’RGDP. In generale, più i trasferimenti di dati sono generalizzati, ampi e permanenti, più la base legislativa deve essere solida, dettagliata ed esplicita, poiché tali trasferimenti di dati rappresentano un’interferenza maggiore nella salvaguardia della protezione dei dati. Al contrario, più le richieste di comunicazione sono discrete e limitate – di solito in relazione a uno o pochi interessati soltanto, o anche in relazione a una quantità limitata di dati – più è probabile che tali richieste possano essere eseguite a livello di singole richieste amministrative, rimanendo la clausola di abilitazione legislativa piuttosto ampia e generica.

82.

In altre parole, i due livelli di regolamentazione, ossia quello legislativo e quello amministrativo, che fungono da base giuridica finale del trattamento dei dati, operano congiuntamente. Almeno uno di essi deve essere sufficientemente specifico e adeguato a uno o più tipi o quantità determinati di dati personali richiesti. Quanto più è dettagliato a livello legislativo e strutturale per tali trasferimenti di dati, quanto meno è necessario che lo sia la singola richiesta amministrativa. Il livello legislativo potrebbe anche essere così dettagliato e completo da essere del tutto autosufficiente e immediatamente esecutivo. Al contrario, quanto più generico e vago è il livello legislativo, tanto più a livello della singola richiesta amministrativa saranno necessari dettagli, compresa l’esplicita dichiarazione delle finalità che ne delimiterà così la portata.

83.

Questo punto consente indirettamente di rispondere alla problematica sollevata dal giudice del rinvio sotto il profilo della proporzionalità, che di fatto può essere affrontata al meglio in questa fase per stabilire se l’amministrazione tributaria possa formulare richieste di dati illimitate nel tempo. A mio parere, ai sensi dell’RGDP, essa può farlo. Tuttavia, la questione più pertinente dovrebbe essere quella di stabilire se essa disponga di una base giuridica adeguata secondo il diritto nazionale per quello che è, in sostanza, un trasferimento di dati continuo e permanente. Fintanto che tali trasferimenti dispongano di una base, nonché di una durata, chiara nel diritto nazionale, l’articolo 6, paragrafo 3, dell’RGDP non vi si oppone. Ancora una volta, il considerando 31 dell’RGDP cambia poco al riguardo ( 42 ). Non vedo quale sia il senso pratico di leggere tale considerando come se richiedesse effettivamente alle autorità amministrative di emettere di volta in volta (che sia ogni giorno, mese o anno) identiche richieste individuali per ottenere qualcosa che avrebbero già potuto ottenere sulla base della legislazione nazionale.

84.

Nel caso di specie, la base giuridica del trattamento sembra essere costituita sia dall’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, sia dalle specifiche richieste di comunicazione dei dati da parte dell’amministrazione tributaria. Risulta quindi esservi una doppia base giuridica con una clausola di abilitazione legislativa generale e la sua applicazione amministrativa specifica e mirata.

85.

Nel complesso, tale doppia base giuridica appare sufficiente a giustificare il trattamento dei dati personali da parte della ricorrente ai fini del loro trasferimento a un’autorità pubblica ai sensi dell’articolo 6, paragrafo 1, lettera c), e dell’articolo 6, paragrafo 3, dell’RGDP. Sebbene la legislazione nazionale che autorizza le amministrazioni tributarie a richiedere informazioni rimanga piuttosto generica, le specifiche richieste di dati sembrano riguardare per lo più un certo tipo di dati, nonostante la loro quantità potenzialmente elevata.

86.

Tuttavia, spetta in ultima analisi al giudice nazionale verificare, nella piena conoscenza del diritto nazionale, comprese eventuali ulteriori norme nazionali di attuazione non menzionate nel corso del presente procedimento, se il trattamento richiesto dalla ricorrente nel procedimento principale soddisfi o meno i requisiti indicati nella presente sezione di queste conclusioni.

87.

La questione centrale nella suddetta valutazione, che richiede un’attenzione particolare, è se l’articolo 15, paragrafo 6, della legge sulle imposte e sulle tasse, insieme alle richieste specifiche di informazioni, soddisfi il requisito di prevedibilità ( 43 ) nell’esame della base giuridica. La legislazione che consente il trasferimento dei dati deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura de qua e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente tali dati contro il rischio di abusi ( 44 ).

88.

Pertanto, la base giuridica considerata nel suo insieme (legislativa e amministrativa) deve essere formulata con sufficiente precisione per tutti gli interessati: le autorità pubbliche in relazione a ciò che possono chiedere, le imprese in relazione a ciò che possono fornire e, soprattutto, gli interessati, affinché sappiano chi potrebbe avere accesso ai loro dati e con quali finalità. Si potrebbe ricordare che l’informazione sul trattamento dei dati è effettivamente un requisito fondamentale dell’RGDP. Le persone interessate devono essere a conoscenza dell’esistenza di un siffatto trattamento e tale informazione è il presupposto per l’esercizio di ulteriori diritti di accesso, cancellazione o rettifica ( 45 ).

89.

A meno che l’articolo 23 dell’RGDP non sia stato in qualche modo trasposto nel diritto nazionale al fine di limitare i diritti delle persone interessate ai sensi del capo III dell’RGDP, dagli articoli 13 e 14 del medesimo regolamento risulta che il titolare del trattamento deve fornire informazioni alla persona interessata. Nel contesto di trasferimenti successivi di dati, potrebbe essere difficile determinare chi sia soggetto all’obbligo di informazione ( 46 ). Inoltre, in pratica, in assenza di limitazioni adottate ai sensi dell’articolo 23, paragrafo 1, dell’RGDP, che nel diritto nazionale devono soddisfare il requisito dell’articolo 23, paragrafo 2, del medesimo regolamento, ai sensi dell’articolo 14 dello stesso un’autorità pubblica che ha ottenuto i dati potrebbe essere tenuta a fornire le informazioni appropriate a tutte le persone interessate. In assenza di una base giuridica chiara e prevedibile che permetta, in ultima analisi, tali trasferimenti di dati, difficilmente ci si può aspettare che il titolare del trattamento che ha raccolto i dati informi già l’interessato ai sensi dell’articolo 13 dell’RGDP.

90.

In conclusione quindi, a mio avviso, l’articolo 6, paragrafo 1, lettera c), e l’articolo 6, paragrafo 3, dell’RGDP non ostano a che norme nazionali stabiliscano, senza limiti di tempo, l’obbligo per i fornitori di servizi di annunci pubblicati su Internet di comunicare taluni dati personali a un’amministrazione tributaria, purché esista una chiara base giuridica nel diritto nazionale per questo tipo di trasferimenti di dati e i dati richiesti siano idonei e necessari all’amministrazione tributaria per svolgere i propri compiti istituzionali.

91.

Non è certo mio compito speculare sulle reali motivazioni delle parti dinanzi al giudice nazionale. Rimarrò quindi fedele alla mia speranza nell’esistenza dei buoni samaritani, che si fanno avanti disinteressatamente in difesa degli altri. Perché una società privata non potrebbe semplicemente difendere i diritti degli interessati dai quali ha raccolto i dati personali?

92.

Anche se si può solo gioire quando le imprese commerciali si impegnano nella causa della protezione dei dati, presumo che alcune altre imprese possano avere anche altre ragioni per opporsi al trasferimento, imposto dal potere pubblico, dei dati personali che hanno raccolto. Un motivo potrebbe essere legato ai costi di un tale impegno. Si dovrebbe forse consentire alle autorità pubbliche di esternalizzare effettivamente parte dell’attività della pubblica amministrazione, costringendo le imprese private a sostenere i costi per l’esercizio di quella che essenzialmente è una funzione pubblica? La questione diventa significativa nei casi di trasferimenti di dati permanenti e su larga scala che si suppone siano effettuati da imprese private per il bene comune senza alcun indennizzo ( 47 ). Altre ragioni potrebbero essere maggiormente legate all’attività economica. Se si suppone per un attimo, naturalmente a livello di pura ipotesi, che le persone in generale non gradiscano pagare le tasse, non è azzardato altresì supporre che alcune di queste persone possano scegliere strade diverse per la pubblicazione degli annunci delle loro auto usate rispetto a un sito web online che poi comunica queste informazioni all’amministrazione tributaria.

93.

La ricerca di un equilibrio tra tutti gli interessi esistenti in una siffatta situazione è tutt’altro che semplice. Da un lato, per il potere pubblico richiedere alle imprese private dei dati che devono essere preparati e presentati secondo i precisi requisiti del primo, potrebbe avvicinarsi pericolosamente all’esternalizzazione forzata dell’esercizio della funzione pubblica. Ciò potrebbe essere particolarmente vero per quanto riguarda i dati che sono altrimenti liberamente disponibili e che i soggetti pubblici avrebbero potuto raccogliere essi stessi con un piccolo sforzo tecnico. Dall’altro lato, come il governo belga ha opportunamente sottolineato ricordando la rilevanza più ampia della situazione nel procedimento principale, una risposta leggermente più sfumata potrebbe forse essere auspicabile nel caso di diverse tipologie di piattaforme di economia condivisa, o in altri scenari in cui le autorità pubbliche chiedono l’accesso a dati essenziali per la finalità pubblica dichiarata, ma che non sono liberamente disponibili, e pertanto non possono essere raccolti dalle autorità pubbliche stesse. Tuttavia, anche in tali circostanze, la questione di un eventuale indennizzo rimane aperta.

94.

Ravviso proprio siffatte problematiche sullo sfondo della controversia di cui al procedimento principale. Tuttavia, la ricerca di un equilibrio ragionevole per tali situazioni dovrebbe avere luogo principalmente a livello nazionale o dell’Unione al momento dell’adozione della legislazione pertinente che fornisce la base giuridica per questo tipo di trasferimenti. Non dovrebbe trattarsi di un intervento giurisdizionale, a maggior ragione in un caso in cui il giudice del rinvio non ha nemmeno sollevato esplicitamente nessuna di queste questioni. Peraltro, esistono almeno due ragioni supplementari per le quali il caso di specie non si presta per avviare questo tipo di discussioni.

95.

In primo luogo, come tutte le altre questioni che in qualche modo ruotano intorno al flusso di dati personali, ma non riguardano realmente la protezione dei diritti degli interessati, tali questioni semplicemente non sono disciplinate specificamente dall’RGDP. La questione della protezione giuridica dei responsabili del trattamento dei dati – imprese private contro l’ingerenza potenzialmente illecita o sproporzionata nella loro libertà d’impresa, nel loro eventuale diritto di proprietà ( 48 ), oppure nel loro potenziale diritto a un equo indennizzo per i dati trasferiti – non è una questione disciplinata dall’RGDP.

96.

In secondo luogo, fintantoché il diritto dell’Unione non preveda la base giuridica per un siffatto trasferimento di dati ( 49 ), la questione di un eventuale indennizzo per siffatti trasferimenti di dati imposti non rientra neppure nel diritto dell’Unione. Ciò non significa, ancora una volta, che tali questioni non possano porsi, neppure in materia di tutela dei diritti fondamentali (dei titolari del trattamento dei dati interessati). Tuttavia, tali questioni dovrebbero poi essere adeguatamente affrontate dai giudici dello Stato membro, in primo luogo imponendo tali trasferimenti. Qualsiasi ipotesi di questo tipo, pertanto, dovrebbe essere portata piuttosto dinanzi a un giudice nazionale (costituzionale).

97.

Propongo alla Corte di rispondere alle questioni pregiudiziali poste dall’Administratīvā apgabaltiesa (Corte amministrativa regionale, Lettonia) come segue: