1.

Gli Acta Diurna erano avvisi ufficiali romani quotidiani incisi nella pietra o nel metallo ed esposti in luoghi pubblici come il Foro romano. Nell’era digitale, il problema che le autorità nazionali possono trovarsi ad affrontare è se anche i dati pubblicati dalla Gazzetta ufficiale di un determinato paese siano incisi nella pietra, in senso metaforico, o se possano essere cancellati o modificati.

2.

L’origine del procedimento principale risiede nella pubblicazione di dati da parte della Gazzetta ufficiale belga, il Moniteur belge, che pubblica documenti ufficiali in formato cartaceo ed elettronico.

3.

Il procedimento principale vede contrapposti l’État belge (Stato belga) e l’Autorité de protection des données (Autorità garante della protezione dei dati, Belgio; in prosieguo: l’«Autorità garante»). Avendo notato che un passaggio di una decisione di una società, autenticato da un notaio e contenente, oltre ai dati richiesti dalla legge belga, dati personali di una persona fisica, era stato pubblicato per errore, il responsabile della protezione dei dati del notaio ha chiesto al Moniteur belge di cancellare tali dati. Tuttavia, il Service Public Fédéral Justice (Servizio pubblico federale di giustizia; in prosieguo: il «SPF Justice»), l’autorità di gestione del Moniteur belge, ha respinto tale richiesta.

4.

In tale contesto, le questioni presentate dalla cour d’appel de Bruxelles (Corte d’appello di Bruxelles, Belgio) nella domanda di pronuncia pregiudiziale hanno una portata piuttosto limitata. Il giudice del rinvio chiede, in sostanza, se il Moniteur belge o il SPF Justice debbano essere considerati «titolari del trattamento» ai sensi dell’articolo 4, punto 7, del regolamento (UE) 2016/679 (in prosieguo: il «RGPD») ( 2 ). In caso di risposta affermativa a tale questione, il giudice del rinvio si interroga anche sui limiti degli obblighi del titolare del trattamento quando il trattamento è effettuato da soggetti in sequenza.

5.

Nel capo I del RGPD, intitolato «Disposizioni generali», l’articolo 4 definisce, in particolare, i seguenti termini: «dato personale», «trattamento», «titolare del trattamento» e «responsabile del trattamento».

6.

Gli articoli 5, 6, 17 e 26 del RGPD sono parimenti pertinenti nel caso di specie.

7.

L’articolo 67, paragrafi 1 e 2, della Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (legge del 7 maggio 1999 recante il Codice delle società; in prosieguo: il «Codice delle società») prevedeva:

«(1)   Le copie autentiche di atti pubblici, i duplicati o gli originali delle scritture private e gli estratti, anche in forma elettronica, il cui deposito o la cui pubblicazione sono richiesti dagli articoli seguenti, sono depositati presso la cancelleria del Tribunale delle imprese nel cui circondario la società ha la sede legale.

(...)

(2)   I documenti depositati sono conservati nel fascicolo tenuto presso la suddetta cancelleria per ciascuna società e le società in questione sono iscritte nel registro delle persone giuridiche, repertorio della Banque-Carrefour des Entreprises [ente centrale per la registrazione delle imprese]».

8.

L’articolo 71 di detto codice stabiliva quanto segue:

«L’estratto degli atti societari è firmato, per gli atti pubblici, da notai, e per le scritture private, da tutti i soci congiuntamente e solidamente, o da uno di essi, incaricato a tal fine dagli altri con un mandato speciale».

9.

L’articolo 73 di detto codice disponeva quanto segue:

«La pubblicazione è effettuata negli allegati del Moniteur belge entro 15 giorni dal deposito, in caso contrario i funzionari ai quali può essere attribuita l’omissione o il ritardo sono responsabili dei danni.

(…)».

10.

Ai sensi dell’articolo 74, paragrafo 1, di detto codice:

«I seguenti atti sono depositati e pubblicati conformemente agli articoli precedenti:

(1) atti che modificano le disposizioni di cui il presente codice richiede la pubblicazione».

11.

L’articolo 1 dell’Arrêté royal du 30 janvier 2001 portant exécution du Code des sociétés (Regio decreto del 30 gennaio 2001 recante esecuzione del Codice delle società) ( 4 ) stabiliva quanto segue:

«(...) le cancellerie dei tribunali [delle imprese] ricevono il deposito di tutti gli atti, gli estratti di atti, i verbali e i documenti la cui divulgazione è prescritta dal Codice delle società (...)».

12.

L’articolo 11 del suddetto regio decreto così disponeva:

«(1)   Gli atti, gli estratti degli atti e i documenti di cui è richiesta la pubblicazione negli allegati del Moniteur belge sono depositati in cancelleria insieme a una copia. (...)

(2)   Tutti i documenti cartacei presentati devono soddisfare le seguenti condizioni:

(...)

(...)

(3)   Le copie di atti, estratti di atti e i documenti di cui agli articoli 67, 68, 74 (...) del Codice delle società (...), destinate al Moniteur belge, sono presentate senza correzioni o cancellazioni. (…)

(...)».

13.

L’articolo 14 del regio decreto dispone quanto segue:

«Il cancelliere invia alla direzione del Moniteur belge, entro il secondo giorno lavorativo successivo a quello del deposito, copia degli atti, degli estratti di atti e dei documenti (...) che ha ricevuto e che devono essere pubblicati negli allegati del Moniteur belge».

(…)».

14.

L’articolo 16 del suddetto regio decreto stabiliva quanto segue:

«Quando la pubblicazione è necessaria, essa viene effettuata tramite gli allegati del Moniteur belge entro i termini previsti dalla legge».

15.

L’articolo 472 della Loi-programme du 24 décembre 2002 (in prosieguo: la «legge programmatica del 24 dicembre 2002») ( 5 ) prevede quanto segue:

«Il Moniteur belge è una pubblicazione ufficiale edita dalla Direzione del Moniteur belge, che raccoglie tutti i testi [di cui] è disposta la pubblicazione nel Moniteur belge».

16.

L’articolo 474 della suddetta legge programmatica così dispone:

«La pubblicazione nel Moniteur belge da parte della Direzione del Moniteur belge avviene in tre copie stampate su carta.

(...)

Una copia è archiviata elettronicamente. Il Re stabilisce le modalità di archiviazione elettronica (...)».

17.

L’articolo 475 della medesima legge programmatica è così formulato:

«Qualsiasi altra messa a disposizione del pubblico è realizzata tramite il sito Internet della Direzione del Moniteur belge.

Le pubblicazioni rese disponibili su tale sito Internet sono le riproduzioni esatte in formato elettronico delle copie su carta previste all’articolo 474».

18.

Ai sensi dell’articolo 475a della legge programmatica del 24 dicembre 2002:

«Ogni cittadino può ottenere una copia degli atti e dei documenti pubblicati nel Moniteur belge tramite una linea telefonica gratuita a prezzo di costo presso il Moniteur belge. Questo servizio è inoltre incaricato di fornire ai cittadini assistenza nella ricerca dei documenti».

19.

L’articolo 475b della suddetta legge programmatica:

«Ulteriori misure di accompagnamento sono predisposte con regio decreto adottato dal Consiglio dei ministri al fine di garantire la più ampia diffusione possibile delle informazioni contenute nel Moniteur belge e l’accesso alle stesse».

20.

LM è azionista di maggioranza della Bureau LM, una società di diritto privato belga a responsabilità limitata.

21.

Il 23 gennaio 2019 la suddetta società ha tenuto un’assemblea generale nella quale ha deciso di ridurre il capitale, modificando lo statuto in tal senso.

22.

Conformemente alle norme di legge in materia di pubblicità, un notaio ha preparato un estratto. Il 12 febbraio 2019 il notaio lo ha depositato presso la Cancelleria del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunale delle imprese di Bruxelles di lingua neerlandese, Belgio) ai fini della pubblicazione ufficiale nel Moniteur belge.

23.

Il 22 febbraio 2019, l’estratto è stato pubblicato negli allegati del Moniteur belge. In particolare, esso conteneva la decisione di ridurre il capitale della società, l’importo iniziale del capitale, l’importo della riduzione, il nuovo importo del capitale sociale e il nuovo testo dello statuto. Oltre alle informazioni pubblicate in virtù di un obbligo di legge, l’estratto in esame conteneva i nomi dei due soci coinvolti, gli importi che erano stati loro rimborsati, nonché i loro numeri di conto bancario (in prosieguo: il «passaggio controverso»), la cui pubblicazione non era richiesta dalla legge.

24.

Avendo constatato che il notaio era incorso in errore nell’includere il passaggio di cui trattasi nell’estratto pubblicato, il responsabile della protezione dei dati del notaio, facendo riferimento all’articolo 17 del RGPD, ha chiesto al SPF Justice di eliminare il passaggio di cui trattasi e di pubblicare nuovamente l’estratto, questa volta espunto di tale passaggio.

25.

Il 10 aprile 2019, il SPF Justice ha respinto la richiesta ( 6 ) e ha offerto di effettuare una nuova pubblicazione dell’estratto espunto del passaggio controverso, lasciando intatta la pubblicazione iniziale del 22 febbraio 2019.

26.

Il 21 gennaio 2020 LM, uno dei due soci della società interessata, ha presentato reclamo contro il Moniteur belge (il SPF Justice) presso l’Autorità garante, deducendo una violazione dell’articolo 5 (in particolare, principio di minimizzazione dei dati), dell’articolo 6 (trattamento di dati personali) e dell’articolo 17 (diritto alla cancellazione) del RGPD.

27.

Con decisione del 23 marzo 2021, l’Autorità garante ha accolto il reclamo e ha ordinato, in sostanza, la cancellazione del passaggio controverso.

28.

Il 22 aprile 2021 lo Stato belga ha proposto ricorso avverso tale decisione dinanzi alla cour d’appel de Bruxelles (Corte d’appello di Bruxelles), il giudice del rinvio, chiedendone l’annullamento. LM è intervenuto nella controversia.

29.

Il giudice del rinvio sottolinea che le parti sono in disaccordo su come debba essere interpretata la nozione di «titolare del trattamento» di cui all’articolo 4, punto 7, del RGPD. Detto giudice osserva che, dopo aver ricevuto l’estratto dal tribunal de l’entreprise néerlandophone de Bruxelles (Tribunale delle imprese di Bruxelles di lingua neerlandese), il Moniteur belge lo ha pubblicato tal quale, conformemente alle disposizioni di legge che regolano il suo statuto e le sue funzioni, vale a dire senza potere di controllo e di modifica. In particolare, il giudice del rinvio si chiede se ciascuna delle potenziali entità successive o solo una di esse debba essere qualificata come «titolare del trattamento» ai sensi del suddetto articolo e, quindi, ai sensi dell’articolo 5, paragrafo 2, del RPGD, sia competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, di detto regolamento.

30.

Al riguardo, il giudice chiede se una siffatta nozione di responsabilità successiva o ulteriore sia sancita dal regolamento. Ove si ritenga che il Moniteur belge sia il destinatario dei dati ai sensi dell’articolo 4, punto 9, del RGPD, il suddetto giudice si chiede se, a sua volta, la detta Gazzetta ufficiale abbia agito come titolare «ulteriore» o «successivo» del trattamento. Tuttavia, non sembra essere questo il caso poiché, in base alla legge belga applicabile, il Moniteur belge non è in grado di determinare le finalità i mezzi del proprio trattamento ai sensi dell’articolo 4, punto 7, del RGPD.

31.

È in siffatto contesto che la cour d’appel de Bruxelles (Corte d’appello di Bruxelles) ha sottoposto alla Corte di giustizia le seguenti questioni:

32.

L’Autorità garante, i governi belga e ungherese, nonché la Commissione europea hanno presentato osservazioni scritte.

33.

All’udienza del 23 marzo 2023 l’Autorità garante, il governo belga e la Commissione sono comparsi dinanzi alla Corte.

34.

Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 4, punto 7, del RGPD debba essere interpretato nel senso che la Gazzetta ufficiale di uno Stato membro rivesta la qualità di titolare del trattamento. In via preliminare, farei due osservazioni circa la formulazione di detta questione.

35.

In primo luogo, dalla decisione del giudice del rinvio emerge che il codice delle società prevede che queste ultime abbiano l’obbligo ex lege di pubblicare vari documenti e decisioni negli allegati del Moniteur belge. Detto giudice osserva inoltre che il Moniteur belge rientra nell’ambito del SPF Justice, senza ulteriori spiegazioni su questo punto. Atteso che la ripartizione dei poteri delle autorità nazionali nell’ambito di uno Stato membro pertiene alla normativa nazionale, nelle presenti conclusioni farò riferimento esclusivamente al Moniteur belge.

36.

In secondo luogo, osservo che, nella sua questione, il giudice del rinvio inserisce un inciso demarcato da trattini che appare come una spiegazione dei poteri conferiti al Moniteur belge dal legislatore belga.

37.

Di conseguenza, la suddetta questione potrebbe essere riformulata nel senso che si chiede, in sostanza, se la Gazzetta ufficiale di uno Stato membro, quale il Moniteur belge, incaricata in forza della normativa nazionale applicabile, di un compito di servizio pubblico di pubblicazione e archiviazione di documenti ufficiali, possa essere considerata titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD, in circostanze in cui la pubblicazione di detti documenti, tal quali, è stata disposta da enti terzi, in cui detti enti hanno essi stessi trattato i dati personali contenuti nei documenti, e in cui tale Gazzetta ufficiale non dispone di alcun potere di valutazione riguardo al contenuto dei documenti da pubblicare, né quanto alla finalità o ai mezzi di tale pubblicazione.

38.

Per rispondere alla suddetta questione, mi preme osservare preliminarmente che l’espressione «titolare del trattamento» è definita dall’articolo 4, punto 7, del RGPD come «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri». Da tale disposizione, se letta congiuntamente all’articolo 5, paragrafo 1, del RGPD, che stabilisce i principi relativi al trattamento dei dati personali, risulta chiaro che ogni fase del trattamento dei dati richiede che esista un titolare del trattamento ( 7 ). Pertanto, quando vengono trattati dati personali, dovrebbe sempre esistere un titolare del trattamento, che è l’attore chiave nell’operatività della legge sulla protezione dei dati ( 8 ), il che rende importante individuare tale titolare in ogni fase del trattamento ( 9 ). La nozione di «titolare del trattamento» comprende sia persone fisiche che giuridiche, nonché autorità pubbliche, agenzie o altri organismi. Tuttavia, è chiaro che la classificazione del tipo di entità non comporta alcuna difficoltà nel caso di specie.

39.

Prima di passare al punto cruciale della questione, ossia la determinazione della nozione di «titolare del trattamento» nell’accezione dell’articolo 4, punto 7, del RGPD, ritengo che sia importante chiarire se le operazioni di cui trattasi nel presente caso costituiscano un «trattamento» di «dat[i] personal[i]» nell’accezione dell’articolo 4, punti 2 e 1 rispettivamente, del RGPD.

40.

Anzitutto, occorre ricordare che costituisce «dato personale», nell’accezione dell’articolo 4, punto 1, del RGPD, «qualsiasi informazione riguardante una persona fisica identificata o identificabile», fermo restando che, secondo la giurisprudenza, tale definizione è applicabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, l’informazione di cui trattasi sia connessa a una determinata persona ( 10 ). Nel caso di specie, è pacifico fra le parti che i dati inclusi nel passaggio controverso, come i nomi dei due soci della società e i loro numeri di conto corrente, costituiscano dati personali. A mio avviso, gli importi rimborsati ai suddetti soci non sono necessariamente, di per sé, dati personali. Tuttavia, se associati al nome delle persone che li hanno ricevuti, tali importi devono essere infatti considerati dati personali.

41.

In secondo luogo, ai sensi dell’articolo 4, punto 2, del RGPD, la nozione di «trattamento» è definita come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali» quali, tra l’altro, «la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione». Le suddette definizioni riflettono il fatto che il legislatore dell’Unione ha cercato di attribuire alle due nozioni una portata ampia ( 11 ).

42.

Ad esempio, nella sentenza Google Spain, la Corte ha affermato che l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come «trattamento di dati personali», ai sensi dell’articolo 2, lettera b), della direttiva 95/46/CE – ( 12 ), che in sostanza corrisponde all’articolo 4, punto 2, del RGPD – qualora tali informazioni contengano «dati personali» ( 13 ). Inoltre, nella sentenza Fashion ID ( 14 ), la Corte ha affermato che un trattamento di dati personali può essere costituito da una o più operazioni, ciascuna delle quali riguarda una delle diverse fasi nelle quali si può articolare un trattamento di dati personali.

43.

A mio avviso, nel caso di specie hanno avuto luogo tre fasi successive di trattamento di dati personali. Il primo trattamento riguarda il notaio che ha redatto il documento da pubblicare sul Moniteur belge (commettendo l’errore, nel fare ciò, di includere i dati personali di cui trattasi) e lo ha depositato presso la cancelleria del Tribunale delle imprese. Il secondo trattamento riguarda la suddetta cancelleria, che ha inserito tale documento nel fascicolo della società e lo ha inviato per la pubblicazione al Moniteur belge. Il terzo trattamento ha coinvolto il Moniteur belge, che non solo ha trasformato il documento stampato su carta in un documento elettronico, ma lo ha anche raccolto, registrato, archiviato, divulgato e diffuso. A mio avviso, senza dubbio tutte e tre le fasi e, in particolare, le operazioni svolte dal Moniteur belge costituiscono un «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD.

44.

Tuttavia, il fatto che il trattamento abbia avuto luogo in tali tre fasi non significa necessariamente che il Moniteur belge abbia agito in qualità di titolare del trattamento. Ciò perché il RGPD distingue, all’articolo 4, punti 7 e 8, tra, da un lato, i titolari del trattamento e, dall’altro, i responsabili del trattamento. Mentre il titolare del trattamento determina le finalità e i mezzi del trattamento ( 15 ), il responsabile del trattamento tratta dati personali per conto del titolare del trattamento ( 16 ). Pertanto, sebbene sia chiaro che le tre fasi costituiscono un «trattamento», ai sensi dell’articolo 4, punto 2, del RGPD, tale constatazione non è dirimente circa la questione se il Moniteur belge – o un’altra entità coinvolta nella suddetta catena di tre fasi – rivesta la qualità di titolare del trattamento nel caso di specie.

45.

A mio avviso, stabilire se il Moniteur belge abbia agito come «titolare del trattamento» equivale a verificare se esso «determina le finalità e i mezzi del trattamento dei dati personali» nell’accezione dell’articolo 4, punto 7, del RGPD.

46.

Vorrei sottolineare in via preliminare che, secondo la giurisprudenza pertinente della Corte, la nozione di «titolare del trattamento» va intesa in modo ampio. La Corte ha infatti affermato in passato che l’obiettivo dell’articolo 4, punto 7, del RGPD consiste nel garantire, mediante un’ampia definizione della nozione di «[titolare] del trattamento», una tutela efficace e completa delle persone interessate ( 17 ). Inoltre, i concetti di titolare e di responsabile del trattamento sono funzionali, finalizzati all’attribuzione di responsabilità laddove intervenga un’influenza effettiva ( 18 ). In altri termini, «il [titolare] del trattamento dei dati personali è il soggetto che decide perché e come saranno trattati i dati interessati» ( 19 ). Pertanto, la determinazione delle responsabilità del titolare del trattamento «si basa (...) su un’analisi fattuale piuttosto che formale» ( 20 )

47.

In secondo luogo, specificando «singolarmente o insieme» ad altri, l’articolo 4, punto 7 del RGPD riconosce che «le finalità e i mezzi» del trattamento di dati possono essere determinati da più di un soggetto. Tuttavia, la misura in cui due o più attori esercitano congiuntamente il controllo può assumere forme diverse ( 21 ). che saranno discusse nell’analisi della seconda questione.

48.

In terzo luogo, devo osservare che, adottando il Regio decreto del 25 giugno 2020, il Regno del Belgio designa il SPF Justice come titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD ( 22 ). Tuttavia, i fatti oggetto del procedimento principale si sono svolti prima dell’entrata in vigore di tale decreto. Pertanto, esso non è applicabile ratione temporis al caso di specie. Ne consegue quindi che la Corte deve esaminare quale fosse, prima dell’entrata in vigore di tale decreto, la ripartizione delle competenze e delle responsabilità tra gli enti nazionali.

49.

Fatte queste osservazioni preliminari, esaminerò ora le condizioni di cui all’articolo 4, punto 7, del RGPD, ossia quale fra i soggetti in discorso «determina le finalità e i mezzi del trattamento» dei dati personali di cui trattasi.

50.

La titolarità del trattamento può basarsi sulla legge pertinente o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso ( 23 ). L’articolo 4, punto 7, del RGPD stabilisce che, quando le finalità e i mezzi di tale trattamento sono determinati segnatamente dal diritto degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti da tale diritto. Ne consegue che quando un soggetto è stato specificamente identificato dalla legge come titolare del trattamento, tale designazione è determinante ( 24 ). Tuttavia, nel caso di specie, non esiste alcuna disposizione specifica che designi esplicitamente un titolare del trattamento.

51.

È anche possibile che la legge, sebbene implicitamente, designi un’entità come titolare del trattamento ( 25 ). Ad esempio, quando la normativa nazionale impone al soggetto in questione l’obbligo di conservare o fornire determinati dati, tale soggetto sarà considerato un titolare del trattamento per quanto riguarda il trattamento necessario al rispetto di tale obbligo. Una siffatta designazione implicita da parte della normativa nazionale si verifica quando dal ruolo, dai compiti e dai poteri conferiti a tale autorità risulta che essa determina le finalità e i mezzi del trattamento di cui trattasi. Nella sentenza Manni, la Corte si è basata sulla valutazione dei fatti, affermando che «nel trascrivere e conservare dette informazioni nel registro e nel comunicarle, se del caso, a terzi su richiesta», l’autorità incaricata della tenuta del registro effettua un «trattamento di dati personali», per il quale essa è «responsabile», secondo le definizioni contenute all’articolo 2, lettere b) e d), della direttiva 95/46 ( 26 ).

52.

Nel caso di specie, sebbene la normativa nazionale non abbia designato esplicitamente un titolare del trattamento, essa prevede che le società abbiano l’obbligo giuridico di pubblicare determinati documenti nel Moniteur belge ( 27 ). Pertanto, essa ha creato un obbligo giuridico di trattare i dati, che devono essere gestiti da un titolare del trattamento. Il legislatore nazionale ha concepito uno schema in cui vi sono tre soggetti che trattano i dati in successione; non vi è tuttavia accordo tra le parti su quale dei tre soggetti sia effettivamente titolare del trattamento ( 28 ). Pertanto, è necessario stabilire le competenze specifiche attribuite a tali soggetti al fine di determinare quale di essi il legislatore abbia implicitamente designato come titolare per la terza fase del trattamento, vale a dire le operazioni effettuate dal Moniteur belge.

53.

L’articolo 4, punto 7, del RGPD, attraverso l’uso del verbo «determinare», richiede che il titolare del trattamento eserciti un’influenza sul trattamento in virtù di un esercizio del potere decisionale ( 29 ). Ad esempio, nella causa avente ad oggetto il plug-in «Mi piace» di Facebook ( 30 ), si trattava di stabilire se Fashion ID, un rivenditore online di abbigliamento, che aveva incorporato nel proprio sito web il plug-in social «Mi piace» del social network Facebook, avesse determinato congiuntamente a Facebook le modalità di raccolta e di comunicazione mediante trasmissione dei dati personali dei visitatori del suo sito Internet. In quella causa, la Corte ha esplicitamente affermato che, inserendo un siffatto plug-in social sul suo sito Internet, la Fashion ID influenza in modo determinante la raccolta e la trasmissione dei dati personali dei visitatori di tale sito a vantaggio del fornitore di detto plug-in, nella specie la Facebook Ireland; raccolta e trasmissione che, se detto plug-in non fosse inserito, non avrebbero luogo ( 31 ). Ne consegue che l’esercizio di un’influenza decisiva sul trattamento dei dati personali implica che il soggetto che esercita tale influenza è il titolare del trattamento. Tuttavia, il fatto di non esercitare un’influenza determinante non basta a escludere che un soggetto possa comunque godere della qualità di titolare del trattamento.

54.

A causa delle modalità di produzione e distribuzione delle informazioni per via elettronica, la diffusione di dati su Internet aumenta esponenzialmente i rischi di violazione dei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali ( 32 ). Ben consapevole di tale rischio, la Corte ha adottato una definizione ampia della nozione di «titolare del trattamento» ( 33 ) affinché il RGPD assicuri una protezione effettiva e completa degli interessati, in particolare del loro diritto alla privacy ( 34 ). A tal fine, nella sentenza Google Spain, la Corte ha statuito che sarebbe contrario non soltanto al chiaro tenore letterale dell’articolo 2, lettera d), della direttiva 95/46, che corrisponde, in sostanza, all’articolo 4, punto 7, del RGPD, ma anche alla sua finalità il fatto di escludere dalla nozione di cui sopra il gestore di un motore di ricerca per il motivo che egli non esercita alcun controllo sui dati personali pubblicati sulle pagine web di terzi ( 35 ). Adottando una definizione così ampia, è chiaro che la Corte ha optato per un’interpretazione teleologica di tale disposizione: la definizione di «titolare del trattamento» deve garantire una tutela efficace e completa degli interessati. Inoltre, vorrei sottolineare che una tale interpretazione non può che essere rafforzata dal RGPD, che è stato adottato sulla base dell’articolo 16, paragrafo 1, TFUE, che conferisce al legislatore dell’Unione il potere di salvaguardare il diritto fondamentale alla protezione dei dati personali, previsto dall’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») ( 36 ).

55.

Nel caso di specie, è evidente che il legislatore nazionale ha concepito un sistema con tre diverse fasi di trattamento, una catena che inizia con la redazione e la firma dei documenti in questione da parte del notaio, è seguita dalla cancelleria del Tribunale delle imprese che acquisisce il documento al fascicolo aziendale e lo archivia e termina con la trasformazione digitale e la pubblicazione di tali documenti da parte del Moniteur belge. Se è vero che il Moniteur belge deve pubblicare il documento in questione tal quale, resta il fatto che, ai fini della sua pubblicazione, non sono né il notaio né la cancelleria del Tribunale delle imprese a trasformarlo in un documento elettronico; è solo il Moniteur belge a effettuare tale trasformazione e a diffondere poi su Internet il documento di cui trattasi.

56.

In particolare, vorrei sottolineare che, adottando gli articoli da 474 a 475b della legge programmatica del 24 dicembre 2002, il legislatore nazionale ha conferito al Moniteur belge alcuni poteri. Da tali disposizioni si evince che il Moniteur belge non si limita a pubblicare la versione stampata su carta dei documenti di cui trattasi, ma li rende disponibili anche in formato elettronico attraverso il sito web, li archivia elettronicamente, li rende disponibili ai cittadini fornendo un servizio di assistenza telefonica e un servizio di aiuto alla ricerca di documenti e, infine, garantisce la più ampia diffusione e accesso possibili alle informazioni contenute nel Moniteur belge. Pertanto, a mio avviso, da tali disposizioni risulta che il legislatore nazionale, affidando al Moniteur belge poteri in materia di trasformazione digitale, pubblicazione, diffusione e conservazione dei documenti in questione, ha conferito a tale Gazzetta poteri che rientrano nella nozione di «titolare del trattamento» nell’accezione dell’articolo 4, punto 7, del RGPD ( 37 ).

57.

Compiendo le suddette operazioni affidategli dal legislatore, ossia la trasformazione digitale, la pubblicazione e la diffusione, il Moniteur belge fa aumentare esponenzialmente il rischio di violazione dei diritti fondamentali dell’interessato (rispetto alla mera pubblicazione del documento nella versione cartacea). È il trattamento effettuato da tale Gazzetta che minaccia effettivamente la tutela efficace e completa della persona interessata. Di conseguenza, non vedo alternative se non quella di ritenere che, in ragione dell’obiettivo di garantire la tutela efficace e completa degli interessati e a causa del potenziale pregiudizio che la trasformazione e la diffusione digitale possono arrecare a tali soggetti, il Moniteur belge non possa essere escluso dalla definizione di «titolare del trattamento» dei dati nell’accezione dell’articolo 4, punto 7, del RGPD.

58.

Infine, per quanto riguarda l’applicabilità della giurisprudenza relativa ai motori di ricerca privati a soggetti pubblici, quali il Moniteur belge, si deve osservare che, in una recente sentenza, la Corte ha applicato tale giurisprudenza per confermare che la Procura deve essere considerata come un «titolare del trattamento» ( 38 ). A mio avviso, la logica di una siffatta applicazione è corroborata dall’interpretazione estensiva del concetto di «titolare del trattamento», di cui all’articolo 4, punto 7, del RGPD, al fine di garantire una tutela efficace e completa dei diritti e delle libertà fondamentali degli interessati sanciti dal diritto primario ( 39 ), indipendentemente dal fatto che il titolare del trattamento sia un ente pubblico o privato ( 40 ). Al fine di garantire una tutela efficace e completa, i principi di protezione dei dati imposti ai motori di ricerca privati sono rilevanti sia per i soggetti privati sia per quelli pubblici, i quali sono entrambi soggetti agli stessi principi generali relativi ai dati e agli obblighi previsti dal RGPD, che costituiscono un’espressione concreta del diritto primario.

59.

All’udienza, il governo belga ha sostenuto che il notaio dovrebbe essere considerato titolare del trattamento, in quanto determina i mezzi e le finalità del trattamento dei dati.

60.

A mio avviso, se il notaio dovesse essere ritenuto l’unico titolare del trattamento, ciò significherebbe che, in pratica, nessuno sarebbe il titolare della terza fase del trattamento, ossia le operazioni effettuate dal Moniteur belge, poiché il legislatore non ha conferito al notaio – come illustrato dai fatti del presente caso – il potere di esercitare un’influenza determinante su tale terza fase del trattamento. Detto questo, i tre soggetti in questione possono essere coinvolti in fasi diverse e a diversi livelli nel trattamento di dati personali, con il risultato che ciascuno di essi può essere considerato un titolare del trattamento, anche se con un diverso ambito e grado di responsabilità derivante dalla qualità di titolare ( 41 ). Inoltre, vorrei sottolineare che, come affermato dalla Commissione in udienza, la legge potrebbe, in teoria, designare il Moniteur belge come responsabile del trattamento, a condizione che la legislazione nazionale abbia imposto a più soggetti l’obbligo di redigere, conservare e diffondere digitalmente il documento di cui trattasi. Tuttavia, affinché il Moniteur belge possa rivestire la qualità di responsabile del trattamento, dovrebbero essere soddisfatte le condizioni di cui all’articolo 28 del RGPD, cosa che chiaramente non si verifica nelle circostanze quali presentate alla Corte, poiché ogni soggetto interessato è responsabile della propria parte del trattamento ( 42 ). Pertanto, il Moniteur belge non può essere considerato «responsabile del trattamento» ai sensi di tale disposizione.

61.

Inoltre, il governo belga ha sostenuto che il legislatore nazionale agisce esso stesso come titolare del trattamento o definisce un soggetto responsabile del controllo, mentre il Moniteur belge si è limitato a esercitare i poteri ad esso conferiti. Secondo detto governo, la giurisprudenza relativa ai motori di ricerca privati non può applicarsi agli enti pubblici, poiché il Moniteur belge, in quanto autorità pubblica istituita dal legislatore, non può determinare autonomamente la propria missione e i propri compiti.

62.

Come ho già sottolineato ( 43 ), nel caso di specie il legislatore nazionale ha implicitamente designato il Moniteur belge come titolare del trattamento conferendogli il potere di svolgere un certo numero di compiti specifici.

63.

In ogni caso, sono dell’avviso che, se la Corte dovesse ritenere che il legislatore nazionale riveste la qualità di titolare del trattamento ogniqualvolta eserciti il potere di determinare le finalità e i mezzi di un certo trattamento, tale approccio comporterebbe che le persone fisiche non godrebbero più di una tutela efficace, per cui la nozione di titolare del trattamento verrebbe privata di efficacia. La tutela efficace degli interessati non potrebbe infatti essere garantita se le numerose responsabilità del titolare del trattamento fossero svolte, per ogni trattamento di dati personali prescritto dalla normativa di uno Stato membro, dal legislatore stesso. Pertanto, a mio avviso, quando a un’autorità pubblica sono stati conferiti i poteri di trattare i dati personali, non è il legislatore il titolare del trattamento, bensì l’autorità investita di funzioni pubbliche che gestisce le finalità e i mezzi di tale trattamento ( 44 ). Nel caso di specie, dalle circostanze emerge chiaramente che, come spiegato al paragrafo 43 delle presenti conclusioni, il trattamento di cui trattasi ha luogo in attuazione della normativa nazionale, il che esclude l’ipotesi che il legislatore stesso – all’atto di emanare le leggi – sia il titolare del trattamento dei dati personali.

64.

Nel caso in esame, dalla normativa nazionale illustrata alla Corte risulta che il Moniteur belge non ha alcun potere decisionale in merito ai testi che è tenuto a pubblicare ( 45 ). Infatti, come sottolineato dal governo belga nelle sue conclusioni scritte e in udienza, il Moniteur belge ha 15 giorni di tempo ( 46 ) per pubblicare l’atto, che deve essere una copia esatta dell’atto redatto dal notaio. In caso di omissione o ritardo, il funzionario del Moniteur belge rischia di essere citato per danni ( 47 ). Per evitare che ciò si verifichi, la suddetta autorità non controlla che le informazioni che è tenuta a pubblicare siano complete, valide e accurate. Pertanto, come sostenuto dal governo belga, sembra che il Moniteur belge non abbia il potere di esaminare il contenuto di tali documenti, compresi i dati personali che essi potrebbero contenere.

65.

Tuttavia, poiché, all’atto di emanare le leggi, il legislatore stesso non agisce in qualità di titolare del trattamento, e poiché nessun altro soggetto influisce in alcun modo sulla determinazione delle finalità e dei mezzi del trattamento in questione – ossia la trasformazione digitale e la diffusione digitale dei documenti in questione – al fine di evitare una lacuna nella designazione, il Moniteur belge deve essere designato come titolare del trattamento. Il notaio e la cancelleria del Tribunale delle imprese semplicemente non hanno il potere di intervenire in questa fase. Stando così le cose, l’assenza di potere discrezionale da parte del Moniteur belge non può servire da eccezione per la protezione effettiva degli interessati. Pertanto, si deve ritenere che il Moniteur belge sia titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, pur se implicitamente designato, per il trattamento dei dati personali in occasione della pubblicazione di documenti, come prescritto dalla normativa nazionale.

66.

Dai fatti della presente causa risulta che il responsabile della protezione dei dati del notaio ha chiesto al SPF Justice (che agisce per conto del Moniteur belge) di cancellare – rimuovere da Internet – il passaggio di cui trattasi e di pubblicare l’estratto senza tale passaggio. Il SPF Justice ha rifiutato di accogliere tale richiesta e ha proposto di pubblicare un nuovo estratto. Ciò premesso, sembra che il notaio interessato non disponga del potere di ordinare la modifica o la rimozione del passaggio controverso. Tuttavia, vorrei sottolineare che nessun’altra entità sembra disporre di tale potere.

67.

Il governo belga afferma che l’intenzione del legislatore nazionale era che i documenti pubblicati nel Moniteur belge fossero mantenuti immutabili nel tempo a fini di archiviazione e che la versione elettronica delle pubblicazioni rimanesse sempre la copia esatta della versione cartacea, il che esclude modifiche retroattive. Detto governo aggiunge che, per correggere un documento di una persona giuridica pubblicato sul Moniteur belge, il notaio deve depositare un atto di modifica presso la cancelleria del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunale delle imprese di Bruxelles di lingua neerlandese), che deve poi chiedere alla Direzione del Moniteur belge di pubblicare tale atto di modifica. D’altra parte, non è possibile, secondo la legge belga, cancellare del tutto l’atto originale, salvo violare il principio di immutabilità del Moniteur belge.

68.

A mio avviso, il rifiuto dell’autorità pubblica di cancellare il passaggio contenente i dati personali di cui trattasi e di pubblicare il documento in discorso senza tale passaggio ha l’effetto di mantenere tali dati a disposizione del pubblico. Ciò significa, a mio avviso, che la suddetta autorità, nell’applicare le leggi nazionali, agisce come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD, poiché, non rimuovendo il passaggio controverso e mantenendolo pubblico, determina le finalità e i mezzi del trattamento dei dati personali. Se il Moniteur belge non fosse riconosciuto come titolare del trattamento, sembrerebbe che nessuna autorità rivesta tale qualifica ( 48 ).

69.

A mio avviso, la qualifica di «titolare del trattamento» non può dipendere dal fatto che un’autorità come il Moniteur belge non sia in grado, in virtù del diritto nazionale, di soddisfare una richiesta di cancellazione dei dati. Pertanto, stante la lacuna nel diritto nazionale, spetta alle autorità nazionali e, in questa fase, al giudice nazionale designare, applicando il RGPD, il soggetto che deve rispettare gli obblighi derivanti dal regolamento citato. Nel caso di specie, atteso che i dati sono oggetto di trattamento, essi rimangono disponibili al pubblico, ma la legge nazionale non ha designato un’autorità responsabile come titolare per quella parte del trattamento.

70.

In siffatto contesto, poiché il legislatore nazionale ha lasciato una lacuna non designando il titolare del trattamento, la Corte dovrebbe indicare che spetta al giudice del rinvio designare, sulla base delle circostanze descritte alla Corte, il Moniteur belge (o il SPF Justice, secondo la valutazione di tale giudice) come titolare del trattamento. Solo una siffatta interpretazione sarebbe coerente, a mio avviso, con l’obiettivo dell’articolo 4, punto 7, del RGPD di garantire, attraverso una definizione ampia del concetto di «titolare del trattamento», una tutela efficace e completa degli interessati ( 49 ). In tal modo, inoltre, si eviterebbero scappatoie e si potrebbe prevenire il rischio di elusione delle norme del RGPD.

71.

Per quanto riguarda le argomentazioni pratiche derivanti dal principio di immutabilità delle informazioni diffuse dal Moniteur belge, spetta al legislatore nazionale, alla luce degli obblighi derivanti, tra l’altro, dagli articoli 5 e 17 del RGPD, attuare un quadro legislativo che tenga conto della protezione degli interessati e di tale principio. Poiché la pubblicazione di dati personali aumenta in modo esponenziale il rischio di arrecare un pregiudizio agli interessati, è necessario che il diritto nazionale preveda soluzioni innovative ( 50 ).

72.

In conclusione, nel caso in esame, suggerisco alla Corte di statuire che il Moniteur belge agisce in qualità di «titolare del trattamento» ai sensi dell’articolo 4, punto 7, del RGPD, quando decide di negare la rimozione del passaggio di cui trattasi dalla sfera pubblica, ossia quando mantiene tale testo a disposizione del pubblico.

73.

Nella presente causa, la normativa nazionale ha creato l’obbligo di designare un titolare del trattamento al fine di rispettare gli obblighi derivanti dal RGPD. In primo luogo, per quanto riguarda la trasformazione digitale, la pubblicazione e la diffusione dei dati in questione, il Moniteur belge deve essere identificato come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, dal RGPD, al fine di garantire i diritti fondamentali dell’interessato. In secondo luogo, per quanto riguarda la mancata rimozione dei dati di cui trattasi, esiste una lacuna nella normativa nazionale, in quanto nessuno degli enti interessati è autorizzato a cancellare tali dati. In un caso siffatto, spetta al giudice nazionale, in applicazione del RGPD al fine di garantire la tutela dei diritti fondamentali degli interessati, designare un titolare del trattamento, che, nel caso in questione, sembrerebbe essere il Moniteur belge.

74.

Di conseguenza, propongo di rispondere alla prima questione dichiarando che l’articolo 4, punto 7, del RGPD deve essere interpretato nel senso che una Gazzetta ufficiale di uno Stato membro, quale il Moniteur belge, incaricata, in forza della normativa nazionale applicabile, del compito di pubblicazione e archiviazione di documenti ufficiali, al fine di garantire una tutela efficace e completa degli interessati, può essere considerata il titolare del trattamento, ai sensi dell’articolo 4, punto 7, del RGPD, nel caso in cui la pubblicazione di detti documenti, tal quali, sia disposta da enti terzi, in quanto il legislatore nazionale ha conferito a tale Gazzetta il potere di determinare le modalità della trasformazione digitale, della pubblicazione, della diffusione e dell’archiviazione dei documenti di cui trattasi e ha fissato ampie finalità di pubblicazione e diffusione. Tuttavia, per quanto riguarda l’assenza di designazione del titolare del trattamento in relazione alla rimozione o alla cancellazione dei dati e poiché i dati in questione rimangono disponibili al pubblico, spetta al giudice nazionale designare il soggetto che deve rispettare gli obblighi derivanti dal RGPD.

75.

Qualora la Corte accogliesse la suddetta risposta alla prima questione, solo allora dovrebbe rispondere alla seconda, ossia se il Moniteur belge o l’autorità che lo gestisce debba essere l’unico responsabile del rispetto degli obblighi imposti al titolare del trattamento dal RGPD.

76.

Con la seconda questione pregiudiziale il giudice del rinvio chiede, in sostanza, se l’articolo 5, punto 2, del RGPD debba essere interpretato nel senso che solo la Gazzetta ufficiale di cui trattasi è tenuta al rispetto degli obblighi che incombono al titolare del trattamento ai sensi di detta disposizione, ad esclusione degli enti terzi che hanno precedentemente trattato i dati contenuti negli atti e nei documenti ufficiali di cui essi chiedono la pubblicazione, o se tali obblighi siano cumulativamente imposti a ciascuno dei successivi titolari del trattamento.

77.

Ai sensi dell’articolo 5, paragrafo 2, del RGPD, il titolare del trattamento è competente per il rispetto dei principi di cui al paragrafo 1 di detto articolo, come i principi di minimizzazione e di esattezza dei dati ( 51 ), e deve essere in grado di comprovare che tali principi sono stati rispettati. Poiché una persona fisica chiede di ottenere la cancellazione dei dati personali per i quali la normativa nazionale non prevede l’obbligo di pubblicazione, il giudice del rinvio spiega che deve decidere se il Moniteur belge o l’autorità che lo gestisce debbano essere i soli tenuti al rispetto dei principi di minimizzazione e di esattezza dei dati o se anche gli altri due soggetti siano tenuti al rispetto di tali principi.

78.

In particolare, il giudice del rinvio, pur rilevando che le parti del procedimento principale non invocano l’esistenza di contitolari del trattamento come previsto dall’articolo 26 del RGDP, si chiede se ciascuno dei potenziali titolari successivi del trattamento o solo uno di essi debba essere qualificato come «titolare del trattamento» ai sensi dell’articolo 4, punto 7, di detto regolamento e, pertanto, ritenuto competente, ai sensi dell’articolo 5, paragrafo 2, dello stesso regolamento, per il rispetto dei principi sopra menzionati.

79.

Come ho già sottolineato ( 52 ), i dati personali di cui trattasi, riportati nel passaggio di cui trattasi pubblicato sul Moniteur belge, sono stati trattati in sequenza da diversi soggetti, ossia dal notaio che ha redatto l’estratto, dalla cancelleria del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunale delle imprese di Bruxelles di lingua neerlandese) che lo ha acquisito al fascicolo della società e, infine, dal Moniteur belge che lo ha pubblicato tal quale.

80.

Con riferimento a tale catena di eventi, occorre osservare che il trattamento dei dati personali di cui trattasi affidato al Moniteur belge non solo è successivo al trattamento effettuato dal notaio e dalla cancelleria del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunale delle imprese di Bruxelles di lingua neerlandese), ma è anche tecnicamente diverso e aggiuntivo rispetto al trattamento effettuato da tali due entità. È importante sottolineare che, nella misura in cui le operazioni svolte dal Moniteur belge comportano in particolare la trasformazione digitale dei dati contenuti negli estratti dei documenti che gli vengono sottoposti, la pubblicazione, la messa a disposizione del pubblico su vasta scala e la conservazione di tali dati, le operazioni affidate per legge al Moniteur belge hanno – rispetto al trattamento effettuato in precedenza dalle altre due entità – un effetto significativo e aggiuntivo sui diritti fondamentali del rispetto della vita privata e della protezione dei dati personali, comportando un rischio per gli stessi ( 53 ).

81.

Pertanto, spetta al Moniteur belge adempiere a tutti gli obblighi imposti al titolare del trattamento dal RGDP in relazione ai trattamenti imposti dal diritto nazionale.

82.

L’articolo 4, punto 7, del RGDP riconosce che «le finalità e i mezzi del trattamento» possono essere determinati da più di un attore. Si precisa che la nozione di «titolare del trattamento» si riferisce all’entità che, «singolarmente o insieme ad altri», determina le finalità e i mezzi del trattamento. Tale situazione è prevista dall’articolo 26 del RGDP, in base al quale più soggetti diversi possono agire come titolari del trattamento nello stesso ambito, ciascuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati ( 54 ).

83.

Ricordo che l’articolo 26, paragrafo 1, del RGPD prevede che si hanno «contitolari del trattamento» allorché due o più titolari determinano congiuntamente le finalità e i mezzi del trattamento. Lo stesso paragrafo aggiunge che i contitolari del trattamento devono definire le rispettive responsabilità al fine di garantire il rispetto di tutti i requisiti del RGPD in modo trasparente, a meno che e nella misura in cui le rispettive responsabilità siano determinate, tra l’altro, dal diritto dello Stato membro cui i titolari del trattamento sono soggetti. Pertanto, la responsabilità congiunta di più titolari del trattamento non dipende necessariamente dall’esistenza di un accordo tra i diversi titolari del trattamento o anche dalla loro intenzione, ma può derivare dal diritto nazionale, a condizione che la designazione di più titolari del trattamento e i rispettivi obblighi di ciascuno di essi alla luce dei requisiti del RGPD possano essere dedotti da tale diritto.

84.

Tuttavia, il fatto che più soggetti sono coinvolti nella stessa catena di trattamento non significa che essi agiscano necessariamente come contitolari del trattamento ( 55 ). Inoltre, la Corte ha affermato che una persona fisica o giuridica non può essere considerata responsabile di operazioni precedenti o successive nella catena di trattamento per le quali non determina né le finalità né i mezzi ( 56 ). Pertanto, nel caso di specie non sembra che il diritto nazionale abbia designato dei contitolari del trattamento, giacché il notaio non ha alcun controllo sulle operazioni effettuate dal Moniteur belge.

85.

Pertanto, ritengo che, nel caso di specie, la contitolarità delle tre entità non sia stabilita dal diritto nazionale né possa essere accertata dai fatti, come presentati dal giudice del rinvio. Per quanto riguarda i fatti del procedimento principale, in particolare, devo sottolineare soprattutto che le tre entità della catena non sono soggette alle stesse modalità di trattamento, poiché il Moniteur belge effettua la trasformazione digitale, la pubblicazione e la diffusione dei documenti e degli atti in questione. Inoltre, alla luce dei fatti di cui al procedimento principale, la persona fisica interessata che intenda avvalersi del proprio diritto alla cancellazione ai sensi dell’articolo 17 del RGPD, dovrebbe esercitare i propri diritti ai sensi di tale atto normativo nei confronti di e contro ciascuno dei contitolari del trattamento. Da questo punto di vista, ciascuno degli attori sarebbe quindi responsabile separatamente del rispetto dei principi di cui all’articolo 5, paragrafo 1, del RGPD ( 57 ).

86.

Ne consegue che, a mio avviso, non è possibile stabilire una responsabilità «cumulativa» dei vari titolari del trattamento ai sensi dell’articolo 5, paragrafo 2, del RGPD. Infatti, ciascuno dei soggetti coinvolti nella catena di trattamento può essere competente individualmente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del regolamento in parola solo in relazione alle operazioni di trattamento che ha effettuato in conformità alle finalità e ai mezzi del trattamento dei dati. Nel caso di specie, poiché i dati sono stati pubblicati in modo scorretto non dal notaio ma dal Moniteur belge, mi sembra che anche tale autorità, nonostante non abbia inserito essa stessa i dati nel passaggio controverso, debba essere ritenuta individualmente competente per il rispetto dei principi di cui all’articolo 5, paragrafo 1, del RGPD.

87.

Infine, vorrei sottolineare che spetta al giudice del rinvio verificare la compatibilità con il RGPD della legge nazionale che prevede la possibilità di rettifica, ma non di cancellazione, dei dati pubblicati nel Moniteur belge. La normativa nazionale non sembra infatti consentire al Moniteur belge di cancellare retroattivamente i dati già pubblicati (anche in formato elettronico). In tale contesto, è vero che i diritti di rettifica e cancellazione, previsti rispettivamente dagli articoli 16 e 17 del RGPD, possono essere limitati dal diritto nazionale, come stabilito dall’articolo 23 del medesimo regolamento. Tuttavia, ai sensi dell’articolo 52, paragrafo 1, della Carta, tale restrizione deve essere imposta dalla legge, rispettare il contenuto essenziale dei diritti fondamentali delle persone fisiche e osservare il principio di proporzionalità ( 58 ).

88.

Propongo pertanto di rispondere alla seconda questione affermando che l’articolo 5, paragrafo 2, del RGPD, deve essere interpretato nel senso che la Gazzetta ufficiale di cui trattasi è tenuta al rispetto degli obblighi che incombono al titolare del trattamento ai sensi di detta disposizione per le operazioni che ha effettuato. Il trattamento in questione non dà luogo a contitolarità e il Moniteur belge è l’unico soggetto responsabile delle operazioni di trattamento ad esso imposte dalla legislazione nazionale.

89.

Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere nei termini seguenti alla questione pregiudiziale sollevata dalla cour d’appel de Bruxelles (Corte d’appello di Bruxelles, Belgio):

L’articolo 4, punto 7 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

deve essere interpretato nel senso che una Gazzetta ufficiale di uno Stato membro, quale il Moniteur belge, incaricata, in forza della normativa nazionale applicabile, del compito di pubblicazione e archiviazione di documenti ufficiali al fine di garantire una tutela efficace e completa degli interessati, può essere considerata il titolare del trattamento ai sensi dell’articolo 4, punto 7, del regolamento 2016/679, nel caso in cui la pubblicazione di detti documenti, tal quali, sia disposta da enti terzi, in quanto il legislatore nazionale ha conferito a tale Gazzetta il potere di determinare le modalità della trasformazione digitale, della pubblicazione, della diffusione e dell’archiviazione dei documenti di cui trattasi e ha fissato ampie finalità di pubblicazione e diffusione. Tuttavia, per quanto riguarda l’assenza di designazione del titolare del trattamento in relazione alla rimozione o alla cancellazione dei dati, poiché i dati in questione rimangono disponibili al pubblico, spetta al giudice nazionale designare il soggetto che deve rispettare gli obblighi derivanti dal regolamento 2016/679.

L’articolo 5, paragrafo 2, del regolamento 2016/679 deve essere interpretato nel senso che la Gazzetta ufficiale di cui trattasi è tenuta al rispetto degli obblighi che incombono al titolare del trattamento ai sensi di detta disposizione per le operazioni che ha effettuato. Il trattamento in questione non dà luogo a contitolarità e il Moniteur belge è l’unico soggetto responsabile delle operazioni di trattamento ad esso imposte dalla legislazione nazionale.