Sentenza della Corte (Prima Sezione) del 22 giugno 2023 (domanda di pronuncia pregiudiziale proposta dall’Itä-Suomen hallinto-oikeus — Finlandia) — Procedimento promosso da J.M.

(Causa C-579/21 (1), Pankki S)

(Rinvio pregiudiziale - Trattamento dei dati personali - Regolamento (UE) 2016/679 - Articoli 4 e 15 - Portata del diritto di accesso alle informazioni di cui all’articolo 15 - Informazioni contenute negli archivi generati da un sistema di trattamento (log data) - Articolo 4 - Nozione di «dati personali» - Nozione di «destinatari» - Applicazione nel tempo)

(2023/C 278/06)

Lingua processuale: il finlandese

Giudice del rinvio

Itä-Suomen hallinto-oikeus

Parti nel procedimento principale

Ricorrente: J.M.

Con l’intervento di: Apulaistietosuojavaltuutettu, Pankki S

Dispositivo

L’articolo 15 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce dell’articolo 99, paragrafo 2, di tale regolamento,

dev’essere interpretato nel senso che:

si applica a una domanda di accesso alle informazioni menzionate da detta disposizione allorché i trattamenti di cui a tale domanda sono stati svolti prima della data in cui è divenuto applicabile detto regolamento, ma la domanda è stata presentata successivamente a tale data.

L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione. Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti.

L’articolo 15, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

la circostanza che il titolare del trattamento eserciti un’attività bancaria nell’ambito di un’attività regolamentata e che la persona i cui dati personali sono stati trattati nella sua qualità di cliente del titolare del trattamento sia stata anche dipendente di tale titolare non incide, in linea di principio, sulla portata del diritto di cui beneficia tale persona in forza di detta disposizione.

(1) GU C 481 del 29.11.2021.